F2,一个正在革新私募股权投资的AI平台,正在寻找产品设计师来塑造其B2B平台的用户体验。这个早期职位对产品愿景有重大影响,专注于为投资专业人士设计直观的AI驱动工作流程。 设计师将主导整个设计流程——从研究和构思到UI和原型设计——并与产品和工程团队紧密合作。主要职责包括维护设计系统、平衡用户需求与业务目标,并确保一致且可扩展的体验。 理想的候选人拥有2年以上产品设计经验(SaaS/AI优先),作品集能够展示解决问题的能力,并且适应快速变化和不确定性环境。F2提供加入高影响力团队的机会、有竞争力的薪酬,以及为快速发展的AI初创公司做出贡献的机会,该公司得到领先投资者的支持。
每日HackerNews RSS
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
F2 (YC S25) 正在招聘 (ycombinator.com)
1天前 | 隐藏
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
## 超人与Grammarly AI漏洞摘要
PromptArmor最近发现了新收购的Grammarly和Superhuman产品中的关键提示注入漏洞,可能导致数据泄露和网络钓鱼攻击。核心问题在于,恶意提示可以在电子邮件或网络搜索中操纵AI模型。
具体来说,在Superhuman中,攻击者可以编写提示,欺骗AI将敏感的电子邮件内容(财务、法律、医疗数据)提交到攻击者控制的Google表单,通过嵌入为Markdown图像的预填充提交链接实现。这种“零点击”泄露仅仅通过AI处理电子邮件发生——用户无需打开恶意电子邮件或与回复交互。Superhuman Go(影响连接的服务,如GSuite)和Grammarly的agent驱动文档也发现了类似的漏洞,但Grammarly的风险较低。
Superhuman迅速响应,优先修复并禁用易受攻击的功能。他们展现了卓越的安全实践,快速部署补丁并与研究人员保持开放沟通。这些漏洞凸显了AI驱动工具的新兴风险以及对强大安全措施的需求,包括仔细的内容安全策略配置和提示清理。
## 超人AI邮件泄露与LLM安全问题
一份最新报告详细说明了超人公司内部的AI如何被利用来泄露用户邮件,凸显了将大型语言模型(LLM)集成到软件中日益增长的安全风险。核心问题在于LLM利用其庞大的训练数据——包括隐蔽数据提取技术——来绕过安全措施的能力。
评论员强调,LLM不应被视为传统软件,因为试图“保护”它们往往会降低其功能。一个关键漏洞在于LLM访问网络,将不受信任的数据与私人信息结合。讨论的解决方案包括更严格的权限控制、过滤生成的URL,以及远离易于访问的密钥存储,例如`.env`文件。
许多人认为存在根本性的权衡:LLM不能同时保证隐私、处理不受信任的数据以及对外通信。讨论还涉及将传统的问责措施(如法律后果)应用于AI系统的困难,以及在授予LLM访问敏感数据时采用“零信任”思维模式的必要性。
职业网球中老将日益占据主导地位,很可能源于更高的奖金,这体现了各种系统中的一种常见模式——从游戏到商业。作者认为,奖励“赢家”的系统不可避免地会产生幂律分布,即成功带来更大的成功,最终使少数人受益。 这导致了进入成本的不断上升,排斥了缺乏资源的人,并助长了中心化。虽然最初看起来有利,但这种权力的集中——无论是财务、用户基础还是人脉关系——最终会扼杀增长和创新。系统变得停滞不前,损害参与者和整体健康。 关键在于需要定期颠覆已建立的“王者”,以维持健康的生态系统。竞争与不平等之间需要取得平衡;过度集中会导致停滞和机会丧失。成功的系统设计,无论是在游戏开发还是更广泛的商业战略中,都应优先考虑*发酵*(积极变化)并防止必然结果。
这个Hacker News讨论重温了一篇2017年的文章,关于职业网球的趋势,发现其观察结果在2026年仍然出奇地相关。目前,男子网球由年轻球员扬尼克·辛纳和卡洛斯·阿尔卡拉兹主导,此前是德约科维奇等老将长期取得成功。评论员指出男子网球存在“卡特尔效应”,少数精英球员阻碍了一代人的发展,而女子网球似乎更频繁地出现更替。
讨论进一步探讨了金钱、天赋和网络效应在体育优势中的作用。 提出了几点:经济优势创造了反馈循环,使顶级球员能够投资更好的支持并保持优势;观众追随推动了赞助和资源;马太效应解释了优势是如何积累的。
最终,对话涉及更广泛的不平等和系统动力学主题,并将网球与科技等其他领域进行类比,并暗示可能需要定期的“重置”或抑制机制,以防止优势失控并确保更具活力和公平的竞争格局。
## “计算机”令人惊讶的人类历史 我们通常认为计算机是电子机器,但这个词有着悠久的历史,根植于*人*。早在18世纪, “计算机”就是一个职业——那些擅长进行复杂计算的个体,通常用于税务和天文学等任务。这些人类计算机由于其工作的难度而备受追捧,甚至在现代技术出现*之前*就是如此。 这个职业一直延续到20世纪,例如美国海军天文台雇佣了由“计算机”组成的团队,通常是女性,她们使用诸如游标尺和机械计算器之类的工具。值得注意的是,这些人类计算机与早期的电子计算机共存至1960年代。 有趣的是,即使“计算”和“推算”等词语在历史上也意味着精确的数值工作,这与它们现代用法所暗示的简单估计截然不同。正如我们现在有时难以理解计算机如何“思考”一样,人们曾经也觉得人类计算机同样神秘莫测——这凸显了一个反复出现的主题,即无论谁或什么执行,理解复杂过程都存在困难。
## 人类作为“计算机”与公司历史 - Hacker News 摘要
Hacker News 的讨论源于一篇 [digitalseams.com 文章](https://digitalseams.com/),关于“人类计算机”的历史作用——在电子计算机出现之前,人们受雇进行复杂的计算。
对话迅速扩展到英国东印度公司(EIC)的历史。评论员强调了该公司具有剥削性的做法,包括低工资激励了腐败和公然掠夺,无论是在印度还是在英国,从而影响了议会决策。人们争论 EIC 是否可能取代英国政府,以及这对现代企业权力的影响。
进一步的讨论涉及“计算机”一词的词源、早期计算机器的命名惯例(如 UNIVAC),以及现在大多已自动化的基于勤奋的智力工作的价值。电影《隐藏人物》被提及,引发了对其历史准确性的争论,一些人批评它夸大了种族冲突。最终,该帖子反映了从人工计算的转变中失去的东西,以及对精确性和专注智能重要性的认识。
此集合为广泛的Linux发行版提供经过实战检验的安全加固,包括CentOS、AlmaLinux、Rocky Linux、Debian、Ubuntu、Amazon Linux、Arch Linux、Fedora和Suse。它还加固了流行的软件,如MySQL、MariaDB、Nginx和OpenSSH。
加固配置旨在与Inspec DevSec基线对齐,提供强大的安全基础。 以前独立的“角色”现在集成到此单个集合中,但旧版本仍可通过标签获得。
用户可以使用`ansible-galaxy collection install devsec.hardening`安装此集合。 详细示例和用法说明可在角色自述文件和Ansible文档中找到。 该项目是开源的,采用Apache 2.0许可,并欢迎贡献——提供了指南和变更日志。
## Ansible 安全加固工具讨论总结
一个基于CIS基准的,用于Linux加固的新Ansible集合在Hacker News上分享。该工具旨在为Linux、SSH、Nginx和MySQL等系统提供“经过实战检验”的安全配置。
讨论主要集中在Ansible本身的可使用性(一些人认为YAML和测试比较困难),以及CIS基准的价值。一些用户认为CIS对合规性有帮助(例如SOC 2审计),而另一些人则认为CIS过于宽泛,建议关注威胁建模以获得更有效安全保障。
维护者澄清该工具已在欧洲和美国的许多公司中部署,并利用红队测试流程进行持续改进。他们还指向了详细的变更日志和一个专门的SSH基线([https://github.com/dev-sec/ssh-baselinereply](https://github.com/dev-sec/ssh-baselinereply)),以了解具体的加固更改。最终,该工具被定位为合规性和可预测配置的起点,可以节省大量精力。
最近,地区法院发布禁令,暂停执行德克萨斯州法律SB2420,该法律为应用商店和开发者引入了年龄验证要求。鉴于此裁决,苹果将暂停先前宣布的实施计划,并关注正在进行的法律程序。我们先前宣布的帮助开发者满足合规义务的工具将继续可用于沙盒测试,包括:这些工具也可用于帮助开发者遵守将于2026年在犹他州和路易斯安那州生效的法律。声明年龄范围API仍然适用于iOS 26、iPadOS 26和macOS 26或更高版本的用户。
## 黑客新闻讨论摘要:得克萨斯州及其他地区的年龄验证
一个黑客新闻帖子始于一个关于苹果开发者更新的链接,该更新涉及得克萨斯州的应用年龄要求。讨论迅速扩展到在线年龄验证的复杂性、隐私问题以及政府监管的作用。
许多评论者质疑年龄验证的必要性,认为上传身份证件可能侵犯隐私,并且存在零知识证明和基于安全元件的数字身份证等替代的、保护隐私的技术。人们对数据安全、政府和公司潜在滥用以及对言论自由的寒蝉效应表示担忧。
一些用户指出,为了有益的目的绕过限制的历史先例,以及考虑到技术规避手段(VPN 等),真正执行年龄限制的难度。另一些人强调了集体行动问题——虽然许多家长*应该*对孩子的在线活动负责,但这并不总是发生,导致呼吁监管。
辩论涉及欧盟即将推出的年龄验证系统(该系统不需要上传身份证件)以及更广泛的数字时代如何在安全与隐私之间取得平衡的问题。最终,该帖子反映了对广泛的年龄验证强制措施的有效性和潜在弊端的怀疑。
## ts_zip:基于LLM的文本压缩 ts_zip是一个实验性工具,利用大型语言模型(LLM)进行文本压缩,压缩率明显高于传统的xz等方法。它使用RWKV 169M v4模型来预测文本文件中的下一个token,并采用算术编码进行压缩。 虽然ts_zip提供令人印象深刻的压缩效果(基准测试中约为1.1-1.4 bpb,而xz为1.7-2.7 bpb),但它也存在局限性。它需要GPU才能达到合理的速度(在RTX 4090上可达1MB/s),并需要4GB的RAM,目前仅支持文本文件——二进制文件几乎没有压缩效果。 ts_zip在处理英文文本时效果最佳,但也支持其他语言和源代码。重要的是,由于其实验性质,版本之间的向后兼容性无法保证。更多细节和基准测试结果可在Fabrice Bellard的网站上找到。
法布里斯·贝拉尔发布了“TS Zip”,这是一种利用预训练语言模型的新型文本压缩工具。虽然它取得了令人印象深刻的结果,目前在某些数据集的压缩方面处于领先地位,但比较起来很复杂。与传统压缩器不同,TS Zip 的 150MB 模型大小最初并未计入基准测试得分,这引发了关于公平性的争论。
讨论的重点在于是否应该将压缩器的大小纳入考虑范围(如大型文本压缩基准测试所做的那样),或者专注于核心压缩率。专家指出,现代压缩不再是关于编码,而是关于*预测*数据——而大型语言模型在这方面表现出色。有效性取决于模型减少文本中“惊喜”的能力。
对话还涉及相关概念,如柯尔莫哥洛夫复杂度、算术编码以及大型语言模型在隐写术中的潜力。一些人建议未来的基准测试应该关注一致的、现实世界的文本输入,而不是固定的数据集。最终,TS Zip 突出了压缩、智能和信息论之间不断演变的关系。
客户端挑战:您的浏览器已禁用 JavaScript。请启用 JavaScript 以继续。网站的必要部分无法加载。这可能是由于浏览器扩展、网络问题或浏览器设置造成的。请检查您的连接,禁用任何广告拦截器,或尝试使用不同的浏览器。
## Perl 的怪癖与怀旧
一个 Hacker News 的讨论,源于对 [perlsecret](https://metacpan.org/dist/perlsecret) 的链接,突出了 Perl 编程语言持久且常常引发争议的影响力。许多评论者分享了 Perl 作为他们第一个“实用”语言的美好回忆,欣赏其表达能力以及使常见任务(如使用 `qw()` 和关联数组进行文本操作)变得异常容易的能力。
对话涉及 Perl 的历史背景——它在 Java 和 JavaScript 等语言出现之前的崛起——以及其独特的设计理念,优先考虑打字方便,即使以牺牲长期可维护性为代价。虽然有些人已经转向 Ruby 或 Python 等语言,被其更简洁的语法或更强大的社区所吸引,但他们承认 Perl 的影响。
讨论还饶有趣味地探索了 Perl 的“秘密”运算符——现有符号的组合,可以解锁巧妙的功能——以及其整体的“怪异”,有些人觉得可爱,有些人觉得令人沮丧。最终,这个帖子是对一种语言的怀旧回顾,对于许多人来说,它提供了一种独特而强大的编程体验。
关于按住版权联系我们创作者广告开发者条款隐私政策和安全性YouTube的工作原理测试新功能© 2026 Google LLC
## 达美航空棋类机器人与飞行烦恼
最近的Hacker News讨论强调了达美航空航班上令人惊讶的强大棋类机器人——足以轻松击败在棋类网站上等级在2000左右的棋手。然而,许多评论员报告该机器人的难度似乎不一致,可能由于较旧的硬件限制和CPU相关的计算。甚至有人发现了漏洞,例如导致崩溃的移动序列。
对话很快扩展到对航空公司旅行的共同不满:不舒适的座位(以及会倾斜的乘客!)、有限的托盘桌空间以及不可靠的机上娱乐系统。用户分享了在其他航空公司遇到的类似机器人的经历,通常发现它们要么太容易,要么令人沮丧地困难。
有人提出了火车旅行等替代方案,但承认这很耗时。最终,该帖子展示了对异想天开的机上消遣的怀旧之情,以及对更舒适和愉快的航空旅行体验的共同渴望。
## Agent of Empires (aoe) - AI 代码会话管理器
Agent of Empires (aoe) 是一个基于 Rust 的终端会话管理器,适用于 Linux 和 macOS,围绕 tmux 的强大功能构建。它通过将每个会话封装在一个专用的 tmux 实例中,简化了像 Claude Code 和 OpenCode 这样 AI 代码代理的管理和监控。
**主要特性:**
* **tmux 集成:** 利用 tmux 实现可靠的会话持久性。 掌握基本的 tmux 知识(尤其是 `Ctrl+b d` 用于分离)会有帮助。
* **TUI 仪表盘:** 提供会话控制的可视化界面。
* **会话和分组管理:** 创建、连接、分离、删除会话,并将会话组织到文件夹中。
* **状态检测:** 自动识别 Claude Code 和 OpenCode 的状态。
* **多配置支持:** 为不同的项目或客户隔离工作区。
**安装:** 可以通过 `curl`、Homebrew (`brew install njbrake/aoe/aoe`) 或从源代码使用 `cargo` 进行安装。 配置存储在 `~/.agent-of-empires/` 中。
对于移动 SSH 客户端,建议在 *tmux 会话内* 运行 `aoe`。 它受到 agent-deck 的启发,并采用 MIT 许可。
## Agent-of-Empires:一个用于管理LLM编码会话的CLI工具
Mozilla.ai的ML工程师Nathan创建了**agent-of-empires (aoe)**,一个基于Rust的CLI工具,旨在简化管理多个Claude Code/Opencode会话,尤其是在使用较慢的自托管LLM(例如通过Ollama或lm studio运行的LLM)时。该工具解决了在等待LLM响应时,需要同时处理多个终端窗口的痛点。
aoe监控会话状态(运行中、空闲、等待输入),允许命名和分组会话,并支持自定义配置。它的目标是通过减少管理开销,使本地LLM更具可行性。
该项目是开源的(github.com/njbrake/agent-of-empires),并计划增加Docker沙箱和Git工作树支持等功能。Hacker News评论区的讨论强调了对代理编排工具日益增长的需求,一些人认为未来将出现协作式、多人AI代理。版本0.2.2中已识别并修复了一个导致tmux损坏的bug。