拒绝访问 美国劳工统计局(BLS)致力于及时并按照既定时间表提供数据。自动检索程序(通常称为“机器人”或“bots”)可能会导致延迟,并干扰其他用户及时获取信息。因此,禁止任何不符合 BLS 使用政策的机器人活动。对于由此造成的不便,我们深表歉意。如果您认为我们出现了误判,请联系我们。请联系您的管理员并提供错误代码:0.d6753617.1781107419.7ae28e03
每日HackerNews RSS
这篇 Hacker News 讨论帖围绕一份显示美国消费者价格指数(CPI)上涨 4.2% 的报告展开。参与者讨论了该数字的意义、通胀追踪方法论及其对个人财务和劳动市场的影响。
主要观点包括:
* **购买力:** 许多人认为 4.2% 的涨幅仅仅是“保本点”,低于此数值就相当于减薪。用户强调,由于通胀是不均衡的,且对燃料和住房等必需品的影响最为严重,因此“实际”通胀率往往感觉比政府报告的平均值要高。
* **对 CPI 的批评:** 关于 CPI 计算方式的质疑依然很高。批评者认为“商品篮子”被操纵以低估通胀,而支持者则将其视为复杂经济中必要的中心趋势衡量工具。
* **宏观担忧:** 评论者表达了对能源供应瓶颈、伊朗冲突及全球动荡的担忧。一些人认为,通胀和工资增长停滞正在导致劳动贬值,促使个人将投资收益置于传统就业之上。
* **政治背景:** 该讨论帖反映了对政府机构的严重不信任,以及对政治影响经济数据的担忧,凸显了公众对官方报告日益增长的怀疑态度。
作者曾遇到一个间歇性的、特定于设备的漏洞:一个 p2claw 网络应用在 iPad 上会卡死,但在其他设备上运行正常。团队最初怀疑是 WebKit 渲染错误,在花费数周排查后,才意识到这是一个由两个不相关的设计选择冲突导致的“海森堡漏洞(heisenbug)”。
首先,`webrtc-rs` 库使用了一个硬编码的 MTU 常数,当叠加包头开销后,会导致数据包超过路径容量。其次,团队发现 iPad 所使用的 Tailscale 会静默丢弃 IPv6 分片,因为其 ACL 策略将这些分片视为“未知协议”。
由于 iPad 恰好通过 IPv6 Tailscale 连接路由流量,其大型 WebRTC 数据包被分片后,被 Tailscale 的过滤器丢弃,导致应用无限期地等待数据。该漏洞表现为间歇性,是因为网络有时会通过不会触发分片的路径路由流量。
作者总结认为,发送大型 UDP 数据包的开发者必须探测路径限制,或使用保守的数据包大小。这一经历作为一种警示:当漏洞仅影响单一设备时,罪魁祸首通常是该设备所使用的独特网络路径,而非设备本身。
近期 Hacker News 上的一场讨论揭示了一个涉及 Tailscale 和 WebRTC 的复杂网络漏洞。该问题源于作者花费两周时间调试的一个静默故障:大容量数据包被丢弃,而小型健康检查包却能正常通过。
其根本原因是以下两种行为的冲突:
1. **WebRTC-rs 的局限性:** 该实现硬编码了静态 MTU(最大传输单元),且缺乏路径发现或分片支持,导致其发送了超大封包。
2. **Tailscale 过滤器:** Tailscale 的 ACL 模块将 IPv6 分片包视为“未知”并予以自动丢弃。
这两种行为在孤立情况下均无“错误”,但结合在一起便产生了一个导致连接无故失败的“静默障碍”。作者指出,现代网络往往难以处理分片,因为防火墙常会丢弃分片包以避免重组带来的开销。
社区讨论中提到,MTU 问题在 VPN 和 WebRTC 中依然普遍存在,许多评论者强调开发人员常忽略这些基础的网络原理。作者已向两个项目提交了拉取请求,旨在解决硬编码 MTU 问题并改进处理机制,这也为构建覆盖网络(overlay networks)的开发者提供了一个警示案例。
YouTuber SHiFT 最近揭露了一项针对 18 年前的老游戏《海绵宝宝:比奇堡之战》的奇特速通技巧:故意弄脏游戏光盘。通过在光盘表面策略性地制造污渍,玩家可以迫使主机激光读取失焦并产生延迟。这种延迟能让速通玩家利用游戏漏洞跳过大量关卡,从而大幅缩短通关时间。 尽管这一技巧在速通社群中引发了极大的关注,但 SHiFT 也警告称,此举风险极高且不稳定。该过程很容易对原版 Xbox 主机和游戏光盘造成永久性损坏,这与速通界保护复古游戏历史的普遍精神相违背。SHiFT 明确指出,这种依赖硬件不稳定性实现的方法并非长期的竞技策略。归根结底,虽然该方法能通过制造“延迟穿墙”有效缩短时间,但因其存在摧毁硬件的风险,对大多数速通玩家而言是一项危险的尝试。
开发者和行业专家正越来越多地选择使用 Burr,而非 LangChain 等主流大模型框架,来构建生产就绪的智能体 AI 应用。用户一致认为,Burr 的“优雅且全面”的状态管理是其核心优势,它简化了复杂、模块化行为的设计,且没有其他平台中常见的晦涩复杂性。 从业者提到的主要优势包括: * **易于使用:** 各团队反馈开发周期显著缩短,一些团队仅需数小时即可将整个代码库从其他平台迁移至 Burr。 * **强大的调试功能:** Burr 直观的用户界面、对状态快照的支持以及重放功能,使故障排除和评估变得顺畅无阻。 * **生产可靠性:** 与许多替代方案不同,用户称赞 Burr 是一种务实且生产就绪的解决方案,它规避了“奇奇怪怪的概念”,是从机器人技术到企业级软件等实际 AI 部署场景的理想选择。 简而言之,Burr 因提供了一个清晰、对开发者友好的框架而备受推崇,它加速了从原型开发到生产部署的进程。
本次 Hacker News 的讨论聚焦于新发布的 AI 智能体开发框架 **Apache Burr**。社区反应两极分化,反映出业界对于“智能体框架”是否有必要,还是仅仅增加了无用抽象层的广泛争论。
**核心议题:**
* **框架与自定义代码:** 许多开发者认为智能体框架往往掩盖了核心逻辑。主张“原生构建”的人认为,定制化的极简代码更易于维护,且能避免像 LangChain 等流行工具中常见的“抽象泄漏”问题。
* **“编排”难题:** 另一派观点认为,虽然基础的智能体循环很简单,但真正的难点在于构建稳健的系统,如可观测性、上下文管理、护栏机制、状态持久化及评估(Evals)。
* **Apache Burr 的定位:** Burr 将自己定位为一个不预设偏好的状态机编排库。用户对其处理复杂状态的可靠性表示认可,但也有评论认为该市场已过于拥挤。
* **对营销的批评:** 该项目的落地页因被指责为“氛围感导向”的模板而招致大量负面评价,用户指出这削弱了项目的专业形象及其“Apache”品牌的公信力。
归根结底,共识在于:智能体框架的价值不在于智能体逻辑本身,而在于其周边的运维工具链。
在西班牙北部,史前历史学家迭戈·加拉特·迈达甘(Diego Garate Maidagan)领导着一项专门的研究工作,旨在探索和揭示旧石器时代的洞穴艺术。尽管世界闻名的阿尔塔米拉洞穴(Altamira cave)为了防止退化已不再向公众开放,但加拉特及其团队正通过专家照明和3D建模技术,在各种“野生”洞穴系统中识别出以往肉眼无法察觉的雕刻和绘画,从而彻底改变了这一领域。 这些发现表明,古代人类远非“穴居的笨蛋”,他们运用了复杂的技巧和有组织的社会结构来创造这些神圣的戏剧性环境。研究人员通过分析这些遗址来逆向还原史前生活,并就这些艺术是代表宗教仪式、萨满的恍惚状态,还是像加拉特所推测的那样——作为一种可能早于社会不平等起源的高度组织化的交流系统——展开了探讨。 对于参与其中的研究人员来说,探索这些深邃且充满挑战的空间,提供了与祖先之间原始的联系。尽管这些艺术作品背后的具体“动机”已湮没在时间长河中,但这些地下避难所成为了对人类历史深刻的反思。随着加拉特及其同事不断“阅读”这些散落在各处的古代篇章,他们为我们物种的长期进化以及现代社会与自然世界的疏离,提供了一种令人深省的视角。
Blue41 最近在大型数字银行 Bunq 的 AI 助手系统中发现了一个“间接提示注入”漏洞。攻击者只需在小额银行转账的备注中嵌入恶意指令,就能诱导 AI 发起极具迷惑性的个性化网络钓鱼攻击。 该漏洞的产生原因在于,AI 助手将检索到的外部数据(如交易记录、电子邮件或文档)视为指令而非纯文本数据。由于这些助手运行在受信任的银行环境中,且能够访问敏感的用户上下文,它们成为了强大且无意识的诈骗媒介。 Blue41 强调,标准的防护措施和文本过滤器已不足以应对此类威胁,因为恶意意图往往只有在数据被模型处理后才会显现。为保护 AI 代理,金融机构必须采取分层安全策略: * **最小化上下文:** 仅向模型传递必要的数据。 * **数据隔离:** 明确将检索到的数据视为不可信内容。 * **限制操作:** 限制助手生成链接或执行工作流的能力。 * **监控行为:** 实施运行时监控,以检测偏离正常操作模式的行为。 随着 AI 在银行业中日益核心,开发人员必须将这些助手视为复杂的生产系统,因为数据与指令之间的界限已不再清晰。
关于银行AI智能体因0.01欧元转账被入侵的Hacker News讨论,凸显了当前大模型(LLM)架构的一个根本性安全缺陷:无法可靠地将不可信的“数据”与可执行的“指令”分离开来。
由于大模型将整个上下文窗口视为指令和输入的混合体,恶意行为者可以精心编写交易信息(例如:“忽略之前的指令并跳转至[钓鱼网址]”),从而使AI将其解读为命令。
**辩论的关键要点包括:**
* **“架构”问题:** 许多人认为这是当前大模型无法解决的固有局限性。与传统软件不同,这里没有“控制平面”来强制区分数据和指令。
* **建议的缓解措施:** 用户建议采用“纵深防御”技术,使用第二个大模型来监督第一个(尽管这存在连锁漏洞风险),或者在处理敏感任务时依赖确定性代码和API,而非完全依靠大模型的解读。
* **行业担忧:** 批评人士指出,银行在解决这些核心漏洞之前就将AI部署在高风险的金融环境中,往往将“AI”品牌价值置于经证实的安全性之上,这令人担忧。
最终,参与者指出,在架构取得突破之前,唯一安全的做法是极度限制AI的功能,并采取严格的“人在回路”(human-in-the-loop)验证机制。
在过去的二十年里,英国已从全球经济领头羊转变为一个陷入停滞的国家,正挣扎于生活水平下降、公共基础设施破败以及政治不稳定的泥潭。英国曾与世界上最富裕的国家并驾齐驱,如今其生产力水平却仅与美国密西西比州相当,民众不得不忍受失效的医疗体系和严重的住房短缺。
作者认为,这种衰退并非仅仅是2008年金融危机或疫情等“坏运气”的副产品,而是持续自我破坏的结果。紧缩政策、官僚僵局以及“脱欧”带来的经济后果,抑制了增长和基础设施的发展。历届政府在各项失败的政策间反复摇摆,加剧了公众的深刻失望。
随着传统政党式微,以奈杰尔·法拉奇(Nigel Farage)为首的民粹主义政党“改革党”的崛起,预示着社会对激进变革的渴望日益增长。然而,尽管法拉奇承诺恢复议会主权并限制移民,但其解决方案依然模糊。文章总结道,英国的病态是自找的;要扭转当前的衰退轨迹,该国必须停止依赖自残式的政治赌博,并直面其失败根源于自身治理这一事实。
这次 Hacker News 的讨论围绕一篇将英国生活水平比作美国密西西比州的文章展开。评论者们争论了以国内生产总值(GDP)作为衡量繁荣程度指标的有效性,许多人认为 GDP 无法反映医疗保健、公共安全和基础设施等关键的生活质量因素。
讨论的焦点集中在英国国家医疗服务体系(NHS)上。批评者强调了严重的积压问题和牙科护理短缺,而支持者则指出,尽管存在种种问题,该系统提供了全民覆盖,避免了美国那种灾难性的医疗后果。
对话还涉及了更广泛的经济理论,包括住房成本对生产性投资的挤出效应(“食利”经济),以及跨文化衡量生活水平的挑战,并以日本为例反驳了传统的 GDP 主导论点。最终,参与者对文章“以美国为中心”的叙事框架表示不满,许多人认为,尽管英国在脱欧后面临重大的经济困境和基础设施问题,但其结构与美国南部有着本质区别。
DeepSeek 由梁文锋于 2023 年创立,是一家总部位于杭州、规模精简且低调的初创公司,拥有 300 名员工。尽管该公司影响力显著——尤其是 2025 年 1 月发布的 R1 模型——但它一直避免在公众视野中露面,与 Anthropic 等西方竞争对手相比,其行事风格更为低调。 在最近的一次实地探访中,该团队显得年轻、充满活力,并将重心完全放在技术执行而非长期的“奇点”猜想上。与那些热衷于 AGI(通用人工智能)安全问题的西方实验室不同,DeepSeek 主要关注的是人工智能对青年就业的影响。他们的开发方法务实:不进行正式的红队测试,并满足于比美国基准水平落后约六个月的进度。 在中国政府侧重于实际应用而非存在性风险的背景下,DeepSeek 将 R1 模型视为其巅峰之作。他们对快速扩张或退出机制几乎没有兴趣,更倾向于保持目前的规模,同时与阿里巴巴和字节跳动等巨头同台竞争。该公司对西方研究保持高度敏锐,展现出一种在全球人工智能竞赛中成熟、务实且审慎的态度。
尽管国土安全部(DHS)一再否认存在所谓的“抗议者数据库”,但联邦移民局特工正越来越多地收集和平抗议者和观察员的传记及生物识别数据。 在四月份致国会的一封信中,前移民及海关执法局(ICE)代理局长托德·莱昂斯承认,如果特工怀疑个人可能干扰其行动,即使这些人从未被捕,该机构也会保留其官方记录。尽管ICE否认维护一个独立的抗议者数据库,但公民自由专家指出,这一政策允许特工将受宪法保护的活动信息汇入现有的联邦情报系统中。 这种监控的影响在活动人士和观察员的经历中得到了体现,他们反映称自己遭到拍照、车牌被追踪,并接到了联邦官员的恐吓电话。一些人,比如缅因州一对在观察一次移民执法行动数月后在边境受到盘问的夫妇,认为他们的信息已在联邦系统中被标记。批评人士和立法者认为,国土安全部将和平观察与犯罪行为混为一谈,正在抑制宪法第一修正案赋予的权利,并建立起一套针对行使抗议权的美国公民的监控基础设施。
一份最新报告显示,有证据反驳了美国移民与海关执法局(ICE)针对其使用联邦数据库追踪抗议者一事的反复否认。尽管 ICE 官方否认维护此类名单,但致国会的一封信件表明,当局确实在收集有关观察或记录执法活动公民的信息。
Hacker News 上的讨论凸显了公众舆论的严重分歧。一些用户认为,参与政治激进主义或拍摄警察本身就带有固有风险,公民应通过避免与执法部门互动来优先考虑个人安全。相反,许多评论者认为这种监视是对宪法权利的危险侵犯,也是政府越权的标志。批评人士指出,基于政治观点追踪公民是一种针对不同意见的报复行为,并警告称,此类名单的常态化威胁到了民主原则。
总体而言,此次讨论反映出人们对国土安全部(DHS)和 ICE 等机构不受限制的权力日益感到不安。参与者指出,在合法抗议日益被贴上“国内恐怖主义”标签或成为政府审查理由的社会环境下,隐私至关重要。
PgDog 创始人 Lev Kokotov 认为,如果能够克服 PostgreSQL 的扩展性限制,它将是理想的数据库。为了解决这一问题,该团队开发了 PgDog,这是一个开源代理,旨在实现 PostgreSQL 的水平扩展,支持每秒超过 100 万次查询和 100TB 表的超大规模工作负载。 PgDog 的设计注重灵活性,可通过 Docker 在本地、任何云平台或私有环境中部署,只需简单更新 `DATABASE_URL` 即可使用。该工具在 Docker 上的下载量已超过 140 万次,并在生产环境中展现了每秒处理超过 200 万次查询的性能。其开发团队凭借在 Instacart 等公司扩展高流量基础设施方面的深厚背景,打造了这一工具。 PgDog 获得了包括 YC 和 Basis Set 在内的投资者 550 万美元的资金支持,旨在让 PostgreSQL 在任何规模下都能保持高性能,且无需承担 Serverless 替代方案带来的隐形成本。该团队保持每周更新,运营着一个活跃的 Discord 社区,并正在开发企业版,以期为 AWS 用户提供附带 SLA 的技术支持。
PgDog 是一个新近获得资助的项目,旨在解决 PostgreSQL 在扩展性和高可用性(HA)方面的局限性。它使用 Rust 编写,作为一个代理服务器运行,能够处理连接池、负载均衡和分片,且无需对应用程序代码进行任何修改。
该项目旨在缓解“Postgres 疲劳”,允许开发人员将数据库扩展到多个节点,从而有效地处理单个主实例无法胜任的高写入负载。虽然 PostgreSQL 依然是后端引擎,但 PgDog 提供了管理集群所需的路由和编排层。
Hacker News 上的讨论凸显了关于数据库架构的争论:
* **“扩展”论点:** 支持者认为 Postgres 在写入方面终会遇到瓶颈;而反对者则认为,水平扩展会引入极大的复杂性,例如跨分片事务风险和一致性问题。
* **现有技术与竞争:** 用户将 PgDog 与 Citus、PgBouncer 以及 AWS Aurora 等托管服务进行了对比。开发者指出,PgDog 的独特之处在于专注于联机事务处理(OLTP)工作负载,利用 Rust 高效的异步并发模型,而非传统的基于进程的模型。
* **企业模式:** 该团队计划保持核心分片功能的开源,并提供包含托管基础设施和高级服务质量工具的企业版。