## Rails 全局 ID 与 LLM 安全风险 本文详细介绍了在使用 Rails 全局 ID (GIDs) 与大型语言模型 (LLMs) 时可能存在的安全漏洞。GIDs 是 Rails 模型的字符串句柄(例如 `gid://moneymaker/Invoice/32`),用于序列化和对象查找——尤其是在 ActiveJob 中。由于其基于文本的格式,GIDs 在 LLM 工具调用中很方便,但它们存在风险,因为它们本身并不具有授权性,并且依赖于 ActiveRecord 灵活的 `find` 方法。 核心问题是 LLMs 可能会 *幻觉* 出无效的 GIDs。Rails 的 `find` 方法巧妙地从字符串中提取 ID,这意味着 LLM 生成的包含 UUID 的 GID 可能会被误解为不同的有效记录——可能属于其他用户。GIDs 绕过了正常的授权检查,从而可能导致数据泄露。 作者建议采取几种缓解策略:利用 GID 命名空间,为 LLM 交互使用一个专门的、受限制的定位器;在该定位器中强制执行授权;并使用 *签名* GIDs 来防止 LLM 操作。或者,完全避免使用 GIDs,而选择更安全但不太灵活的 `signed_id` 值,直接在 ActiveRecord 关系中使用。 最终,将 LLM 输入视为不受信任的,并在将 LLM 与 Rails 应用程序集成时实施强大的安全措施。
小心 Rails 中的 GID (julik.nl)
8 分,由 julik 2 小时前发布 | 隐藏 | 过去 | 收藏 | 1 条评论
moondowner 1 分钟前 [–]
有哪些流行的 Rails 应用使用 to_global_id?回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
托马斯·皮凯蒂:“现实是美国正在失去对世界的控制。”
Thomas Piketty: 'The reality is the US is losing control of the world'
28 分钟前
美国的全球领导地位日益不稳定,表现为经济衰退和领导层的不确定性。虽然伊拉克战争等过去的行动已经削弱了信任,但当前的危机直接冲击了美国经济和政治力量的核心。 中国在2016年已经超过美国国内生产总值(目前高出30%,预计到2035年将翻倍),这凸显了全球经济主导权的转变。加上巨额的贸易逆差——类似于一战前殖民大国的状况——美国面临着不断上升的公共和私人债务(预计到2025年将达到GDP的70%)。不断上升的利率威胁着大量资本外流。 这种经济压力导致特朗普政府采取了绝望的政策,包括对外国投资者征税,并可能从乌克兰、格陵兰和巴拿马等国家没收资源,这表明美国正在失去控制,并转向具有侵略性、可能导致局势不稳定的行动。
## 美国全球影响力下降:摘要
最近《世界报》对托马斯·皮凯蒂的采访,在Hacker News上引发了关于美国全球控制力下降的讨论。许多评论员认为美国正在主动放弃其地位,理由是“美国优先”议程侧重于孤立主义和与盟友的交易关系。
多个帖子指出,导致这一现象的因素包括:不可持续的债务、从全球警务向内的转变以及国内政治分裂。一些人认为美国正在优先考虑国内事务,并乐于让其他国家承担更多责任,而另一些人则担心这种退缩将导致权力真空,被俄罗斯或更具主张的中国等不太受欢迎的势力填补。
尽管存在担忧,一些人认为美国可以通过在人工智能和太空探索方面的进步来重获经济主导地位。然而,一个反复出现的主题是当前经济模式不可持续,以及全球可能出现重大转变,摆脱美国领导。最终,这场讨论凸显了一种日益增长的认识,即二战后的世界秩序正在发生变化,其后果尚不确定。
VS Code 放弃 IntelliCode,转而支持付费的 Copilot。
VS Code deactivates IntelliCode in favor of the paid Copilot
54 分钟前
微软已停止提供流行的免费 IntelliCode VS Code 扩展(下载量超过 6000 万次),从而实质性地结束了其 AI 驱动的内联代码建议功能。虽然仍可使用基本的 IntelliSense,但用户现在依赖 Copilot 提供 AI 辅助,Copilot 提供有限的免费层级(2000 条建议),之后需要付费订阅——这与 IntelliCode 的无限本地模型方法有很大不同。 VS Code 1.107 引入了对 TypeScript 7 的实验性支持,使用可通过 `npx tsgo` 访问的新 Go 编译器。此外,该更新增强了 VS Code 的“Agents”功能,允许持久运行代理、环境控制和分层结构(称为“Agent HQ”)。 值得注意的是,IntelliCode 的弃用在 VS Code 1.107 的发布说明中几乎没有得到宣传。
VS Code最近的一次改动引发了争议:微软取消了免费的IntelliCode功能,引导用户转向付费的Copilot。许多Hacker News的评论员认为这是微软一贯的手法,尽管该公司最近一直在强调“开源”品牌。
用户对VS Code越来越重视Copilot的“冗余”功能,而非核心功能改进表示不满,这导致一些人开始探索Neovim等替代方案(推荐使用Lazyvim配置,以获得类似VS Code的体验)。
此举被认为可能损害个人用户利益,很可能是针对那些财力雄厚的企业客户。虽然有人认为VS Code的统治地位并非铁板一块,因为存在竞争对手(如Zed),但目前没有免费的IDE能够提供类似免费的AI代码补全功能。 核心的非AI IntelliSense仍然免费,但AI功能的移除正在加剧不满情绪,并促使人们寻找替代方案。
## Cekura:产品工程师 概要 Cekura (YC F24) 是一家快速发展、资金充足的初创公司,正在构建对话式AI代理的“可靠性层”。他们帮助团队监控和模拟AI在各种渠道(电话、聊天等)上的性能,重点关注延迟和准确性等指标。 他们正在寻找一名**产品工程师**,作为客户和工程团队之间的关键纽带。该职位融合了技术咨询、主动的客户管理和产品影响力——指导客户进行集成,收集反馈以确定路线图优先级,并确保长期成功。 理想的候选人应具备强大的技术背景(开发者工具、API、脚本编写),出色的沟通能力和以客户为中心的思维模式。具有AI工具或可观测性经验者优先。 这是一个具有重大责任和股权的基础性职位,适合在快节奏、面对面(位于旧金山)的创业环境中茁壮成长的建设者。
黑客新闻新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交登录Cekura (YC F24) 正在招聘 (ycombinator.com)29分钟前 | 隐藏
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
## StringZilla:快速、准确的UTF-8处理
StringZilla是一个高性能、开源库,专为快速、准确的UTF-8文本处理而设计。它认识到UTF-8的复杂性——现在被互联网98%使用——旨在显著超越现有的解决方案,如ICU,通常快10-150倍,甚至在不区分大小写的搜索中,大幅超过PCRE2正则表达式的性能。
该库专注于核心操作,如分词、大小写折叠和不区分大小写的子字符串搜索,利用Intel和AMD CPU上的AVX-512指令集。其关键创新在于其不区分大小写搜索方法:识别搜索字符串内的“安全窗口”,这些窗口可以使用SIMD指令高效处理,同时正确处理Unicode复杂的case-folding规则(例如德语'ß'转换为"ss")。
StringZilla将*正确性*与速度并重,严格测试Unicode规范和ICU,以确保准确的结果。它提供多种语言的绑定,包括C++、Python、Rust、Swift、Node.js和Go,使其能够被广泛的开发者使用。未来的开发将侧重于扩展架构支持(特别是ARM),优化其他语言的性能,以及解决Unicode处理中剩余的盲点。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
使用AVX‑512加速的Unicode全字符搜索,速度是ICU的50倍 (ashvardanian.com)
7点 由 ashvardanian 1小时前 | 隐藏 | 过去 | 收藏 | 讨论
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
HÖR Berlin 是一个在线音乐平台。这个网站是一个原型搜索引擎,允许你搜索HÖR的YouTube频道中大约500个视频的歌词。请注意,字幕是由YouTube自动生成的,因此可能非常不准确。这对于非英语语言的单词尤其成问题,这些单词往往会被语音识别“误听”成其他词语。本网站与HÖR Berlin 无关联。如有任何问题或意见,请随时与我联系。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
展示 HN: 搜索 500 个 HÖR Berlin techno 音乐会的歌词 (greg.technology)
4 分,由 gregsadetsky 发表于 2 小时前 | 隐藏 | 过去 | 收藏 | 2 条评论
ChrisArchitect 18 分钟前 [–]
谁会搜索 techno 音乐的歌词?
我在找一个“哔-噗-呼啸”的采样。
回复
gregsadetsky 18 分钟前 | 父评论 [–]
这有点自嘲 :-) 我同意,用描述性/拟声词的语言搜索“声音”会很棒!
回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
## ArkhamMirror:私密、本地AI调查平台
ArkhamMirror是一个气隙隔离的调查平台,专为需要强大数据分析且无需依赖云服务的记者和研究人员设计。它完全在您的计算机上运行,利用AI——包括自然语言处理和视觉AI——将无序信息转化为可操作的情报。
主要功能包括一个本地AI聊天机器人,用于查询数据;超越关键词的语义搜索;以及一个知识图谱,用于可视化实体之间的联系。ArkhamMirror还可以自动从文档中构建时间线,从PDF/图像中的表格中提取数据,并标记矛盾的陈述。
至关重要的是,所有数据都保存在本地“数据孤岛”中,确保绝对的隐私。安装过程简单,用户友好的设置向导会处理所有必要的依赖项。ArkhamMirror提供了一种强大、经济高效的云端取证工具替代方案。
## ArkhamMirror:本地、开源取证分析
ArkhamMirror 是一个全新的、免费且开源的取证文档分析平台,设计为 100% 本地运行——无需云服务。它作为昂贵 SaaS 工具的替代品,通过 LM Studio 使用本地大型语言模型 (LLM)。
其关键特性是实施了中央情报局的“竞争假设分析” (ACH) 方法,引导用户主动*证伪*理论,而不仅仅是确认它们。这包括一个引导式的 8 步工作流程、AI 辅助以及带有 AI 公开标志的导出选项。
该平台还提供敏感性分析以识别关键证据。ArkhamMirror 使用 Python、React、PostgreSQL 和其他开源技术构建,旨在为任何人提供强大的情报能力,同时优先考虑数据隐私和安全。该项目采用 MIT 许可,并在 GitHub 上提供。
## HPN-SSH:提升SSH性能 HPN-SSH是OpenSSH的一个修改版本,旨在大幅提升性能,尤其是在高速、长距离网络中。最初专注于优化接收缓冲区,现在还包括诸如在身份验证后禁用加密以进行大量数据传输,以及为AES-CTR和ChaCha20-Poly1305等密码利用多核等功能——后者比OpenSSH 9.4的速度提高了59%。 最近的开发,由NSF资助,集中在六个关键领域:恢复失败的传输,整合AES-NI硬件加速,并行化ChaCha20密码,实现用于诊断的内联网络遥测,流水线HMAC生成,以及改进打包/分发,提供适用于Ubuntu、Debian和Fedora的预编译软件包。 HPN-SSH正在匹兹堡超级计算中心(PSC)积极开发中,并欢迎用户反馈([email protected])以指导未来的改进。源代码可在GitHub上找到([https://github.com/rapier1/hpn-ssh](https://github.com/rapier1/hpn-ssh)),并鼓励通过捐赠给PSC来提供支持。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
高性能 SSH/SCP (psc.edu)
6 分,来自 gslin 2 小时前 | 隐藏 | 过去 | 收藏 | 1 条评论
josephg 2 分钟前 [–]
这项工作有机会合并到主线 SSH 吗?我很希望 SSH 性能更好,但我可能不会为了那几次需要时才安装并记住使用这个。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
## 从默默无闻到有影响力:一位技术负责人的成长历程
2018年,作者加入mytaxi (FREE NOW) 担任后端领域负责人,这个角色他最初并不完全理解——源于Spotify的团队/领域模型。他很快发现,这家快速发展的公司需要改进事件管理、调试技能和架构一致性。
最初,他试图实施大刀阔斧的变革和后端策略,却无人回应。他意识到,头衔并不能保证影响力,**信任**至关重要。他尚未通过实际价值赢得团队的信任。
两个关键行动改变了这种局面。首先,他构建了一个简单的内部工具来可视化复杂的配置标志,解决了普遍的痛点并邀请团队贡献。其次,他专注于在调试期间与同事结对,分享系统性的问题解决技巧。
这些行动,专注于*帮助*而非*指示*,建立了信誉、可靠性和亲密感。他意识到,影响力不是通过声明获得的,而是通过解决实际问题和支持团队获得的。最终,一位技术负责人赢得尊重不是通过要求,而是通过持续交付价值和促进协作。
一位技术负责人沮丧于团队不听从他的意见。Hacker News的评论员认为问题不在于“技术负责人”的头衔,而在于像平等的伙伴一样赢得尊重和信任。依赖层级关系可能滋生怨恨;赋能同事并积极倾听他们的意见更有效。
一位评论员指出一个常见错误:新任负责人立即提出重大变更(例如架构大修),却不了解现有的背景和团队动态。先熟悉情况更好。
最终,建议的核心是转变从指令式方法到建立在协作和相互尊重之上的真正领导力,而不是仅仅因为职位而期望权威。
## A2UI:安全且通用的AI生成用户界面
A2UI(版本0.8,Apache 2.0许可)是谷歌推出的一款新系统,并汇集了社区贡献,它使AI代理能够在Web、移动和桌面端创建丰富的交互式用户界面,*无需*执行代码。它解决了在代理和客户端之间安全共享用户界面的难题。
A2UI不使用文本或有风险的代码,而是使用声明式的JSON格式——一种“通用UI语言”——允许代理描述UI组件,客户端原生渲染。这种“安全设计”方法可以防止UI注入攻击,并且易于由LLM增量生成。
主要特性包括框架无关的渲染(Angular、Flutter、React等)、实时更新的渐进式渲染以及对自定义组件的支持。A2UI目前处于公开预览阶段,并积极寻求在GitHub上的反馈和贡献。演示展示了代理构建完整的应用程序,并动态选择合适的UI元素,例如图表和地图。
## A2UI:代理驱动界面 - Hacker News 摘要
A2UI (a2ui.org) 提出了一种用于构建由代理驱动的用户界面协议,允许动态UI生成。在Hacker News上讨论中,该概念被认为在数据可视化(例如商业智能图表)等用例中具有前景。
然而,评论员们提出了安全方面的担忧。潜在漏洞包括“幻觉”和提示注入,尤其是在自动生成的交互元素(如购买确认)中——这表明谨慎的沙箱机制至关重要。
有趣的是,一位评论员希望A2UI能够*激励*更好的UI/UX可访问性,因为代理兼容性可能会促使开发者实现这些功能。另一位用户表达了希望*知道*何时某个应用使用了这种代理驱动的方法,同时仍然承认底层协议的价值,该协议不需要LLM。
## 对齐的错觉:使用 RFC 避免浪费工作 一次代价高昂的度假事故教会了一位工程主管一个关键的教训:团队常常*认为*他们达成了一致,但实际上各自持有不同的思维模型。这种脱节会导致大量的精力浪费,例如,在休假一个月期间,一个功能被错误地构建。 解决方案?实施一个“征求意见稿”(RFC)流程——借鉴自开源世界——以使理解明确化。与口头协议不同,RFC 迫使作者仔细记录拟议的解决方案,从而理清自己的思路并最大限度地减少误解。一份书面的 RFC 可以作为可靠的参考点,防止知识随着时间的推移而流失。 成功引入 RFC 需要将其定位为一个有时限的实验,并获得领导层的参与以及一个简单的模板(包括背景和提案部分)。从领导者撰写的 RFC 开始,并鼓励最初的*评论*而不是写作,可以降低采用门槛。 最终,RFC 有助于改进技术解决方案、架构对齐和知识共享,确保每个人在开始编写代码之前真正步调一致。
## RFC 提升工程效率
最近的 Hacker News 讨论强调了在工程团队中使用需求评论 (RFC) 的好处。根据 romannikolaev 的说法,实施 RFC 为他们的团队节省了数月的无效工作,因为它迫使在开始编码*之前*进行更清晰、更精确的思考。
主要优势包括:结构化的思考过程、通过详细的文档(包括图表和示例)减少误解,以及可靠的记录以供未来参考——对抗人类记忆的不可靠性。虽然有些人认为 RFC 耗时,但评论员认为时间实际上是投入到*思考*中,并防止后续的返工。
RFC 可以先于或指导工单的创建,并且理想情况下应该与代码一起作为文档存在。它们鼓励利益相关者参与并明确期望,提供一种轻量级、正式的对齐方法,避免仅仅依赖口头沟通或过载的工单系统的陷阱。
马克·V·沙尼
Mark V Shaney
4 小时前
## 马克·V·沙尼:先驱的Usenet机器人 马克·V·沙尼是早期的一个计算机程序,它能令人信服地伪装成人类在线活动。该程序于20世纪80年代初由贝尔实验室的罗布·派克、布鲁斯·埃利斯和唐·P·米切尔创建,使用三阶马尔可夫链向net.singles Usenet新闻组发布帖子。“马克”程序分析现有的帖子,学习三个词的序列,从而生成新的、常常毫无意义但却出人意料地切题的文本。 许多Usenet用户最初被欺骗,争论马克是否是真实的人、讽刺评论员,甚至是一个人工智能实验。马克发布的帖子,其特点是思想不连贯和话题突然转变,引发了愤怒和好奇。 该项目源于米切尔早期马尔可夫代码,展示了计算机生成类似人类文本的潜力,并强调了在线身份易于伪造。马克·V·沙尼在学术界和大众媒体获得了认可,预示了现代现象,如聊天机器人和社交媒体机器人,并且仍然是早期人工智能和在线欺骗的一个显著例子。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
Mark V Shaney (wikipedia.org)
4点 由 djoldman 2小时前 | 隐藏 | 过去 | 收藏 | 1评论
m463 19分钟前 [–]
有点像齐皮头回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
## 巨型热泵:城市供暖新时代 德国MVV Energie公司正在建设可能成为全球最强大的热泵系统,从莱茵河中获取热量。该项目耗资2亿欧元,将使用两个82.5兆瓦的单元,能够通过区域供暖为约4万户家庭供暖,预计将于2029年投入运营。 这一发展反映了全球范围内大型热泵作为城市脱碳手段的日益增长的趋势。Everllence等公司也在竞相建设更大的系统——丹麦的一个176兆瓦项目已经在进行中。这些热泵利用现有的基础设施,如电网和区域供暖网络,并使用最初为石油和天然气工业设计的 大型压缩机。 虽然成本高昂,但这些系统具有灵活性和效率,尤其是在与大型热存储结合使用时。赫尔辛基等城市正在将热泵与其他技术(如电锅炉)结合使用,以最大限度地利用可再生能源和电网稳定性。英国目前虽然落后,但已开始探索类似的解决方案,利用诸如废弃矿井等资源进行地热能开发。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
世界上最大的热泵 (bbc.com)
10 分,rayhaanj 48 分钟前 | 隐藏 | 过去 | 收藏 | 1 条评论
BoppreH 1 分钟前 [–]
> 曼海姆热泵装置将花费 2 亿欧元(230 万美元;176 万英镑)。
在手机上浏览时,我没有看到联系他们指出错误的方式。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
## 盆景:体素引擎概述
盆景是一个完全自定义的、从零开始构建的体素引擎,专为海量程序生成世界而设计——目前支持每个方向高达10亿个方块,拥有无限的视野距离。它被构建为一个学习练习,优先考虑简单性,并利用GPU通过GLSL着色器进行地形生成,提供广泛的用户配置选项。
目前处于预Alpha阶段(v2.0.0-prealpha-rc0),盆景主要作为一个地形生成器和编辑器运行。它拥有延迟着色、HDR光照以及一套全面的渲染效果(辉光、阴影贴图、SSAO)。它包含异步作业系统、实体、碰撞检测和UI框架。
开发仍在进行中,拥有漫长的路线图,包括改进地形生成、网格化,以及添加声音和高级光照技术等功能。盆景适用于Windows和Linux,仅需要clang++和系统头文件即可构建。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
Bonsai: 一个从零开始的体素引擎 (github.com/scallyw4g)
15 分,jesse__ 2小时前 | 隐藏 | 过去 | 收藏 | 1 条评论
wiz21c 35分钟前 [–]
没找到视频,所以:https://www.youtube.com/watch?v=sRL_RU7-jfcreply
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
403 禁止访问 nginx/1.22.1
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
7年,2次重建,4万+星标:Milvus 回顾与路线图 (milvus.io)
5 分,来自 Fendy 1小时前 | 隐藏 | 过去 | 收藏 | 1 条评论
notachatbot123 4分钟前 [–]
> Milvus 是一个为 GenAI 应用构建的开源向量数据库。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
本许可授予您广泛的权限,可以自由使用、复制、修改和分发该软件——甚至用于商业目的——但有一些关键限制。您**必须**在所有副本中包含原始版权声明。 至关重要的是,您**不能**使用该软件直接与原始创建者竞争,例如将其作为托管服务(如SaaS或云软件)提供,在这种情况下,软件的核心功能*就是*所售服务。 该软件按“原样”提供,**不提供任何形式的担保**,版权所有者对因使用该软件造成的任何损害不承担责任。 基本上,您可以自由使用和修改它,但必须尊重创建者的竞争地位并接受软件不含任何保证。
这个Hacker News讨论围绕“O’saasy”许可展开,这是一种专为SaaS公司设计的新型开源许可方式。Sentry的创建者Mitsuhiko解释说,它的起源是为了避免“开放核心”模式,并保护对开源项目的商业投资。他们率先推出了公平源码许可(FSL),在完全开源之前提供两年的先行优势。
Mitsuhiko质疑两年的延迟是否会被认为对那些犹豫是否采用它的公司来说过于限制。一位评论员认为O’saasy并非真正的开源,将其定义为附加在MIT许可上的一个模糊术语,并对模糊的SaaS定义和潜在的版权转移表示担忧——引用Pine电子邮件客户端作为警示案例。
核心争论在于商业可行性与真正开源原则之间的平衡,以及依赖于版权所有者未来决定的许可的风险。
## 被剥削的希望:病童众筹背后的骗局 BBC调查揭露了一个令人不安的网络,他们利用身患绝症的儿童来诈骗数百万美元的众筹捐款。像来自菲律宾的七岁癌症患者卡利尔的家庭一样,他们被承诺提供治疗资金,但即使众筹活动筹集了大量资金——卡利尔的活动筹集了27,000美元——他们也几乎没有收到任何钱。 调查发现了一种模式:制作精良的视频,展示了脆弱的儿童,通常是在操纵性的条件下拍摄(假输液,诱导的眼泪),并由Chance Letikva等组织推广。九个家庭报告说,他们没有收到以他们名义筹集的400万美元中的任何一笔钱。 关键人物埃雷兹·哈达里,一位居住在加拿大的以色列人,与多个相关组织有关,他招募符合特定标准的儿童(“漂亮,3-9岁,没有头发”)。当地的中间人经常联系这些家庭,资金据称被用于“广告成本”——这一说法受到了慈善专家的质疑。 尽管有证据表明骗局仍在进行,但为已故儿童发起的众筹活动仍然活跃,仍在募集捐款。有关部门已被告知,但该网络仍在运作,利用人们的同情心,并使家庭陷入绝望和经济困境。
BBC调查揭露了一起令人心碎的诈骗案,目标是患癌儿童的家庭。数百万美元的筹款,原本用于他们的医疗治疗,据称被欺诈组织盗取。
The Hacker News的讨论强调了围绕此案的愤怒和悲伤。用户赞扬了调查新闻业,但对缺乏立即后果感到沮丧——涉事组织尚未回应调查,导致起诉问题悬而未决。
评论员们辩论了可能的惩罚,一些人表达了对严厉正义的渴望,而另一些人则重申反对死刑。讨论的一个关键要点是,需要对筹款活动进行更严格的监管,这表明立法上的失误导致了这种剥削的发生。这种情况凸显了绝望家庭的脆弱性以及慈善捐赠中监督的重要性。
用于降维和快速可视化的线性时间替代方案
A linear-time alternative for Dimensionality Reduction and fast visualisation
6 小时前
启用 JavaScript 和 Cookie 以继续。
## 新的基于浏览器的降维技术
一种名为“正弦地标降维”(Sine Landmark Reduction) 的新型线性时间降维方法已被开发,用于在浏览器中进行快速的客户端数据可视化。由romanfll创建,它解决了现有技术(如UMAP和t-SNE)在JavaScript/WASM上运行时缺乏GPU支持所带来的性能限制。
该方法利用基于三角测量与合成“正弦骨架”的确定性方法,实现了O(N)的复杂度。虽然对于复杂数据集的准确性不如UMAP,但它优先考虑适合交互式用户界面的简洁、循环布局。
作者报告称,在标准笔记本电脑CPU上,将大约9,000个点(50维)投影到3D空间大约需要2秒。Python实现和详细的数学解释可在链接的Medium文章中找到,作者欢迎提问。
## Lua 与 Windows C 回调函数桥接:总结 该项目解决了让 Lua 使用需要回调函数(如 `WNDPROC`)的 Windows C API 函数的问题,这是构建完整 API 桥接的关键一步。 核心困难在于 C 语言缺乏原生闭包——函数能够“记住”其周围作用域中的变量的能力——而 Lua 很容易支持这一特性。 解决方案是在运行时动态生成 C 函数。 Lua 函数被传递给一个 `CALLBACK` 函数,该函数为该特定的 Lua 函数创建一个小的、唯一的 C 函数。 该生成的函数设置一个全局索引 (`findex`) 指向 Lua 函数,然后跳转到中央 `REAL_CALLBACK` 函数来执行 Lua 代码。 最初,一个简单的实现遭受 `findex` 被覆盖的问题,限制了它只能记住一个函数。 突破点在于动态生成汇编代码——特别是,将函数的索引移动到寄存器中的指令,然后跳转到 `REAL_CALLBACK`。 这是通过使用 `movToRax` 和 `jmpToRax` 等函数来构建必要的机器代码来实现的。 该过程使用 `VirtualAlloc` 创建可执行内存,用生成的汇编代码填充它,并返回指向该新函数的指针。 虽然功能可用,但所描述的实现优先考虑清晰度而非优化,省略了生产环境(如 lowkPRO)中使用的错误处理和高效内存管理技术,后者成功地桥接了 Windows API 的大部分内容,使用了这种方法。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
从 Lua closure 创建 C closure (lowkpro.com)
4 点赞 来自 publicdebates 1 小时前 | 隐藏 | 过去 | 收藏 | 讨论
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
Erdős 问题 #1026 (terrytao.wordpress.com)
26 分,由 tzury 发表于 1 小时前 | 隐藏 | 过去 | 收藏 | 讨论
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
## Distroless Docker 环境中的 TLS 故障排除
上周的生产事件源于我们的客户端应用程序在 TLS 握手期间无法信任第三方服务提供的 CA 根证书——在使用 mTLS 时,这是一个令人惊讶的常见问题。初步故障排除,使用 `openssl` 在本地复制连接,出乎意料地*成功*了,表明问题不在于我们的客户端证书。
根本原因在于我们的生产环境:基于最小 Debian Bookworm distroless 镜像的 Docker 容器。这些镜像优先考虑安全性,缺乏标准的故障排除工具,如 `openssl` 和包管理器。为了调查,我们使用了 `docker create` 和 `docker cp` 提取了 `ca-certificates.crt` 文件,并发现必要的根 CA(SSL.com TLS RSA Root CA 2022)缺失。
解决方案是将缺失的根 CA 添加到镜像中。通过 Docker 多阶段构建进行验证:将 `ca-certificates.crt` 复制到 Debian 镜像中,安装 `openssl`,然后运行原始的 `openssl s_client` 命令以确认连接成功。将此与使用旧镜像的构建进行比较,旧镜像握手失败,验证了修复方案,然后再进行部署。这突显了 Docker 即使在受限环境中,也能有效进行 TLS 故障排除的灵活性。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
调试 Distroless 容器中的 TLS 失败 (lucabaggi.com)
5 分,by asaiacai 1 小时前 | 隐藏 | 过去 | 收藏 | 讨论
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
加拿大语言专家敦促总理马克·卡尼在官方政府文件中始终使用加拿大英语拼写。他们注意到,最近发布的文件(包括预算案)中出现了英国拼写,例如“globalisation”,尽管加拿大英语一直是标准拼写数十年。 这些专家,包括语言学教授和《加拿大英语词典》主编,认为保持加拿大拼写对于国家认同至关重要,并且可以避免混淆。加拿大英语是独特的,融合了美国和英国的影响,并拥有独特的“加拿大词汇”,例如“toque”和“washroom”。 他们强调,恢复使用英国拼写感觉像是倒退了一步,特别是考虑到卡尼之前曾使用过 distinctly 加拿大的短语,例如“elbows up”。 尽管承认卡尼在英国度过了一段时间,他们希望他能优先考虑独特的加拿大语言认同。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
加拿大卡尼因“使用”英式拼写受到批评 (bbc.com)
5 分,haunter 1小时前 | 隐藏 | 过去 | 收藏 | 2 条评论
mjd 6 分钟前 | 下一个 [–]
在被要求评论时,卡尼办公室表示他们已经告诉那些家伙滚开。回复
alephnerd 1 分钟前 | 上一个 [–]
至少根据我2000年代初在不列颠哥伦比亚省的经验,我们在小学以及温哥华和岛上到处都使用英式拼写(例如:海港中心)回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
## SHARP:从单张图像合成逼真视图 苹果的研究人员推出了SHARP,一种从*一张*图像创建逼真3D场景表示的新方法。与之前的方法不同,SHARP能够快速地——在标准GPU上不到一秒钟内——通过一次神经网络传递直接从输入照片回归3D高斯表示的参数。 由此产生的3D表示能够实时渲染高分辨率、逼真的近景视图,并保持准确的比例以进行度量相机运动。SHARP在现有技术上表现出显著的改进,LPIPS分数降低了25-34%,DISTS分数降低了21-43%,同时合成时间大幅提升了三个数量级。它还在不同数据集上表现出强大的泛化能力,在单图像视图合成领域树立了新的最先进水平。
一个新的AI模型“Sharp”(apple.github.io)可以在一秒钟内从单张照片生成逼真的3D图像,在Hacker News上引发了讨论。用户对其速度和质量印象深刻,认为它在整体真实感方面表现出色,但承认其图像修复(图像补全)能力不如SVC等模型。
讨论延伸到图像创建之外的潜在应用。想法包括从照片自动生成真实世界物体的最小多边形近似值——简化设计和测量过程——以及它在苹果Cinematic模式和空间场景功能中的潜在作用。
一些人质疑投资这种视觉AI的价值,而另一些人则强调它在模拟中的实用性,尤其是在机器人和工业自动化等领域,因为目前创建3D场景既复杂又昂贵。还有一个有趣的提问,关于使用该AI生成苹果礼品卡的图像可能造成的后果。
Windows 通过各种转换处理文本剪贴板格式——CF_TEXT、CF_OEMTEXT 和 CF_UNICODETEXT。引入 CF_UNICODETEXT 增加了四种新的转换可能性:与 CF_TEXT 和 CF_OEMTEXT 之间的转换。这些转换依赖于 CF_LOCALE 格式,该格式存储一个语言代码标识符 (LCID),代表语言和区域设置。 LCID 至关重要,因为 ANSI 和 OEM 代码页都可以从中派生。Windows 使用 `LOCALE_IDEFAULT_ANSI_CODEPAGE` 进行与 CF_TEXT 之间的转换,使用 `LOCALE_IDEFAULT_CODEPAGE` 进行与 CF_OEMTEXT 之间的转换,从而有效地在 Unicode 和这些字符集之间进行翻译。 本质上,系统利用 LCID 来确定正确的代码页,以实现准确的文本转换,简化了流程,而无需单独的代码页信息。虽然该系统提供了一个清晰的框架,但也引入了关于其实现的进一步问题,这些问题将在未来的讨论中探讨。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
Windows 如何将 CF_UnicodeTEXT 从 CF_TEXT 以及反之合成? (devblogs.microsoft.com/oldnewthing)
3 分,ibobev 发表于 1 小时前 | 隐藏 | 过去 | 收藏 | 讨论
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
光照强度引导分子组装成一维、二维或三维结构。
Light intensity steers molecular assemblies into 1D, 2D or 3D structures
9 小时前
🛡️ 安全验证 验证您是否为机器人 ⏳ 正在验证您的浏览器… 验证并继续 ✓ 验证完成 此页面将在稍后自动跳转…
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
光照强度引导分子组装成一维、二维或三维结构 (phys.org)
3点 由 PaulHoule 1小时前 | 隐藏 | 过去 | 收藏 | 讨论
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系方式
搜索:
## 受欢迎浏览器扩展程序收集的AI对话 安全研究人员发现,一项广泛的数据收集行动通过看似合法的浏览器扩展程序影响了超过800万用户,这些扩展程序主要由Urban Cyber Security Inc.(与数据经纪公司BiScience有关)发布。例如Urban VPN Proxy、1ClickVPN和Urban Ad Blocker等扩展程序——其中许多被Google和Microsoft“推荐”——秘密捕获了包括ChatGPT、Claude和Gemini在内的十个流行AI平台上的*所有*提示和回复。 这次收集从2025年7月通过扩展程序的更新悄然开始,并且无论是否使用VPN或“AI保护”设置都会持续进行,讽刺的是,这些设置声称可以*保护*用户数据。收集到的数据——包括敏感的个人和专业信息——然后被出售用于“营销分析”目的。 尽管隐私政策中埋藏了披露信息,但Chrome网上商店的列表却具有误导性,声称用户数据不会出售给第三方。Google的“推荐”徽章表明经过了审查和批准,这引发了对市场安全检查有效性的质疑。研究人员建议立即卸载这些扩展程序,并假设在2025年7月安装后进行的任何AI对话的数据都已泄露。这凸显了信任具有广泛浏览器访问权限的扩展程序的风险,以及在扩展程序市场上需要更强大的安全措施。
## 浏览器扩展导致AI对话数据泄露
一份最新报告指出一个令人担忧的问题:公司正在通过看似合法的浏览器扩展程序出售从AI对话中收集的用户数据。该公司Urban Cyber Security INC 似乎已注册成立且运营合法,这引发了他们可能并不知道其扩展程序的数据收集行为的可能性。
这一发现引发了关于谷歌扩展程序审核流程的讨论,许多评论员质疑其彻底性,尤其是在过去出现过广告拦截器限制(manifest V3)以及提交数量庞大的情况下。一些用户表示惊讶,注意到谷歌通常严格的应用审核政策。
这起事件强调了对浏览器扩展程序保持谨慎的必要性。许多评论员提倡一种经过严格审查、最简化扩展程序的方法,只信任像uBlock Origin和Privacy Badger等知名选项。用户还讨论了禁用自动更新甚至自行打包扩展程序以保持控制的方法。核心要点是将扩展程序视为潜在风险并优先考虑隐私。
## 骁龙 X 精英 & 魔兽世界:模拟进展报告
最近对骁龙 X 精英开发套件的测试显示,通过 Windows on ARM 中的 Microsoft Prism 层,x86 应用程序模拟有了显著改进。今年早些时候的初步测试显示,《魔兽世界经典版》的 FPS 相较于原生版本下降了 40-60%。然而,借助 Windows 11 25H2 和 AVX 指令支持,《魔兽世界经典版》和零售版现在都能成功运行。
在各种游戏区域(从斯通纳德等光照区域到阿登瓦德和地下城等高需求区域)的测试表明,模拟的 x86 性能现在与原生版本*相当*,有时甚至*超过*原生版本。唯一明显的差异出现在卡拉赞副本中的大规模战斗场景中,原生版本表现略好。
与英特尔的 Strix Point 和 Arrow Lake 芯片相比,骁龙 X 精英表现不俗,在 CPU 密集型场景中表现出色,而英特尔/AMD 在 GPU 密集型任务中领先。虽然应用程序兼容性并非完美(Unigine Superposition 无法运行),但进展显著,展示了 Windows on ARM 的潜力。尽管最初发布存在问题,但高通下一代 X 精英芯片备受期待,并且持续改进模拟对于更广泛的应用至关重要。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 工作 | 提交 登录
原生 vs. 模拟:骁龙 X Elite 上的魔兽世界游戏性能 (rkblog.dev)
17 分,geekman7473 1 小时前 | 隐藏 | 过去 | 收藏 | 4 条评论
MuffinFlavored 19 分钟前 [–]
暴雪重新编译 WoW 以支持 arm64 会有多难?回复
teraflop 14 分钟前 | 父评论 | 下一个 [–]
他们已经做了,这篇文章就是对它的基准测试。具体来说,它比较了原生 ARM64 版本和模拟的 x86_64 版本,两者都在 ARM64 CPU 上运行。
pxc 14 分钟前 | 父评论 | 上一个 | 下一个 [–]
看起来这里的“原生 vs. 模拟”指的是“arm64 二进制文件 vs. x86 二进制文件,两者都在 Windows 上运行”。因此,如果暴雪已经不支持 aarch64,那么 OP 所做的比较将是不可能的。
vbezhenar 17 分钟前 | 父评论 | 上一个 [–]
他们支持 arm64
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
这段文字探讨了约翰·厄普代克个人生活和写作的复杂性。他的信件展现了他对不忠行为坦率、近乎临床的态度,这与他小说中对有缺陷人物(如兔子安格斯特姆)的同情性刻画形成对比,这些人物也在与类似的弱点作斗争。他承认自己深深依赖他的情人,与她在一起的幸福程度与分离时的痛苦程度成正比。 厄普代克是一位一丝不苟、敬业的作家,并将这种彻底性延伸到为《纽约客》撰写的书评中,经常拒绝他无法全身心投入的项目。尽管他专注于细致的观察,特别是对美国生活,但他 largely 避免了政治评论,更喜欢专注于个人经历的复杂性和周围环境的美学品质。最终,这段文字暗示了厄普代克理性的超脱与他个人关系的感情重量之间的张力。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
约翰·厄普代克把一切都写下来了 (newrepublic.com)
3点 由 samclemens 1小时前 | 隐藏 | 过去 | 收藏 | 讨论
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
现在可用v0.2.1。 立即从您的网址中删除分析参数、推荐和跟踪器。 点击前保护您的隐私。 ?utm_source=facebook&s=123 清理
## PasteClean:一个URL清理工具
一位Hacker News的开发者分享了**PasteClean**,这是一个桌面应用程序,旨在自动移除复制到剪贴板的URL中的追踪参数(例如`utm_source`、`fbclid`)。该应用使用Electron、React和TypeScript构建,还提供链接解缩短功能,以便在粘贴前显示最终目的地。
核心功能是免费的,而付费的“Pro”许可证则解锁批量清理等功能,并支持进一步开发。
然而,一位评论者很快提出了担忧,声称GitHub仓库包含误导性信息——声称开源状态并提供损坏的构建说明——暗示可能存在欺骗行为。 这引发了关于项目透明度和代码质量的争论。
启用 JavaScript 和 Cookie 以继续。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
SoundCloud 确认数据泄露,成员数据被盗,VPN访问中断 (bleepingcomputer.com)
11 分,由 technonerd 发表于 19 分钟前 | 隐藏 | 过去 | 收藏 | 讨论
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索: