## C协议问题
作者认为C的真正问题不在于其技术缺陷(未定义行为、整数问题),而在于它作为一种*协议*的普遍影响,这种协议决定了所有编程语言如何与操作系统和其他语言交互。由于C成为了通用语言,像Rust和Swift这样的新语言不得不实现复杂的外部函数接口(FFI)来“说C”——即使它们更愿意避免这样做。
这种对C的依赖造成了兼容性问题的噩梦。与操作系统API交互需要处理定义不明确的C头文件和ABI,即使在clang和gcc等主要编译器之间也存在不一致。解析C语言以其难度而闻名,并且具有不同ABI的平台/编译器组合数量(目标三元组)非常庞大。
作者用`intmax_t`等例子来说明,即使是对C类型看似微小的更改,也可能由于广泛存在的、通常未记录的假设而破坏现有软件。虽然存在前向兼容性技术,但它们很复杂,并且不能保证无缝集成。最终,C的统治地位意味着语言被其遗留问题所困扰,阻碍了创新并创造了一个脆弱的生态系统。作者得出结论,C的成功可能具有讽刺意味,因为它阻止了自身的改进,因为任何重大更改都有可能破坏它所建立的协议。
每日HackerNews RSS
一位游戏玩家在调查烦人的弹出窗口时,发现AMD的AutoUpdate软件存在严重的安全性漏洞。 软件反编译显示,它通过**HTTP**而非HTTPS下载更新,尽管更新列表本身使用了HTTPS网址。 这使得用户容易受到“中间人”(MITM)攻击,恶意行为者可以替换合法更新为恶意软件。
关键在于,AutoUpdate软件**缺乏证书验证**,这意味着它会在未检查其真实性的情况下立即执行任何下载的文件。 研究人员向AMD报告了此远程代码执行(RCE)漏洞,但被认为“超出范围”且未得到解决。 由于缺乏回应而感到沮丧,研究人员公开披露了此漏洞,强调了对AMD用户的潜在风险。 时间线显示,漏洞发现于2026年1月,报告和拒绝于2月,并在之后不久公开披露。
## AMD AutoUpdate 漏洞与响应问题
一位安全研究人员发现AMD的AutoUpdate软件存在一个严重漏洞:它使用未加密的HTTP进行更新,使用户容易受到中间人(MITM)攻击,恶意代码可能被注入。这意味着同一网络上的攻击者,甚至被攻陷的ISP,都可能安装恶意软件。
尽管漏洞严重,AMD却以“超出范围”为由驳回了该报告,并且似乎没有修复计划。这一决定引发了愤怒,评论员认为风险——包括潜在的国家级利用——超过了修复成本。
讨论的重点是AMD的优先级,质疑为什么像启用HTTPS这样简单的修复措施没有被实施。许多人强调了一个更广泛的问题:硬件厂商通常将上市速度置于安全之上,这与开源社区更注重安全的方法不同。虽然该漏洞主要影响Windows用户,但人们对整体系统安全的影响以及潜在的广泛利用表示担忧。
## 期望测试:一种更快、更愉悦的测试方式 Jane Street 使用“期望测试”,这是一种测试模式,提供类似于 REPL 或 Jupyter notebook 的快速反馈。这种方法也被称为“快照”测试(受 Rust 的 `expect-test` 和 Javascript 的 Jest 等工具启发),与传统的基于断言的测试有很大不同。你不是*定义*期望的输出,而是让代码*展示*它产生的结果,然后将结果“接受”为测试。 传统的测试通常需要预先计算期望值,这是一个繁琐且容易出错的过程。期望测试通过最初呈现一个空白期望 (`[%expect {||}]`) 来绕过这一点。运行测试会将此块填充为实际输出。然后,差异会突出显示需要更改以通过测试的部分,可以通过按键绑定接受这些更改,直接修改测试文件。 这种工作流程可以显著加快开发速度,尤其是在复杂场景下。它鼓励探索,充当活的文档,并将回归检测简化为简单的差异。虽然显式断言仍然很有价值,但期望测试可以减轻认知负担,并通过最大限度地减少前期决策来鼓励更广泛的覆盖范围。它们已成为 Jane Street 测试策略的核心,补充了基于属性的测试,并为手动编写的断言提供了强大的替代方案。
## 黑客新闻讨论:快乐测试与快照测试
最近一篇来自 Jane Street 的关于一种新型测试方法的文章引发了黑客新闻上的讨论。核心思想是使用一个测试框架(“expect”),该框架最初没有预期的输出。代码运行,框架会呈现一个差异,显示实际输出,允许开发者*接受*这作为新的期望值——本质上是将当前行为“提升”为测试。
虽然有些人质疑测试可能已经正确的代码的价值,但许多人强调了它在**回归预防**方面的实用性,尤其是在缺乏正式规范的机器学习等领域。这种方法通常被称为**快照测试**,在重构或修改现有代码时很有价值。
一些评论员指出在各种语言(Swift、Scala、F#)和工具(如 `swift-snapshot-testing` 和 `mdx`)中已经存在的实现。讨论还涉及了**基于属性的测试**的优势以及**LLM** 在自动化测试创建中的作用。最终,大家的观点倾向于这种测试风格对于遗留代码和提高测试效率特别有帮助,但同时也提醒要谨慎对待盲目接受生成的输出。
## 从副项目到Kickstarter:推出Kanjideck
本文详细介绍了Kanjideck(一款日语汉字学习工具)从个人学习辅助工具到全面Kickstarter活动的历程。它始于对现有汉字学习资源的不满——特别是它们对无用的助记符的依赖——以及对基于词源学习的渴望。作者最初创建了一个数字Anki卡组,然后原型化了一个实体卡片系统,最终产生了通过Kickstarter进行更广泛发行的雄心。
这个过程包括浏览制造(使用MakePlayingCards.com)、包装的3D设计,以及关键的是,由于Kickstarter的国家限制,通过Stripe Atlas建立公司。会计由自我管理的纯文本会计系统处理。定价和设定现实的Kickstarter目标证明是复杂的,需要详细的电子表格来核算制造成本、增值税和运费。
营销证明具有挑战性,社交媒体和付费广告收效甚微。倦怠感开始出现,直到作者寻求家人的帮助——一位艺术家负责视频制作和社交媒体,以及电子邮件营销方面的协助。Kanjideck于1月27日推出,虽然面临Kickstarter中断和电子邮件传递问题等最初的障碍,但活动正在稳步推进。作者强调了寻求帮助的价值,并承认即使达到筹资目标,仍有大量工作要做。
这个Hacker News讨论围绕着一位独立开发者(“romes”)发布的一个副项目——设计精美的汉字卡片KanjiDeck,目前通过Kickstarter众筹。初始帖子链接到发布流程的详细介绍。
评论者们对自我推广的挑战感同身受。许多人分享了无效付费广告和耗时的社交媒体营销的经历。一位用户发现一篇技术博客文章比免费赠品带来了更多的流量。
一个关键的收获是,意识到单人运营时时间和资源的有限性,突显了获得帮助的价值。其他人赞扬了这个项目的创业精神和对产品发布过程的真实描绘。讨论还涉及了讲故事在销售中的重要性以及收集用户反馈。Kickstarter众筹活动的链接也被要求并提供了。
动画结
Animated Knots
2 天前
免责声明:任何涉及绳索的活动都可能存在危险。生命可能面临风险,包括您自己的。我们已尽力确保这些描述的准确性。然而,许多关键因素无法控制,包括:材料的选择;绳索的年龄、尺寸和状况;以及这些描述的遵循程度。对于因使用本材料而发生的事故,我们不承担任何责任。
## 动画结:广受欢迎的结绳资源
AnimatedKnots.com 是一个备受好评的网站,提供清晰的、基于照片的各种结绳方法指导。用户称赞其务实的做法,认为精选的照片比纯粹的3D动画模型更能帮助实际*学习*系结。虽然有些人希望有更多种类的结,但该网站因其简洁性和详细的图像而备受推崇。
讨论中提到了几个补充资源:“Knots 3D”应用程序(可在Android和iOS上使用)提供移动友好的分类体验,而全面的“艾希利结绳大全”仍然是一本经典参考书。许多评论者分享了他们使用该网站进行童子军、荒野求生,甚至系鞋带等日常任务的个人经历——并推荐伊恩结技术。
除了实用性之外,该讨论还涉及了令人惊讶的结绳魅力,将其与人类创造力、历史技能,甚至代码和编织的基本原理联系起来。该网站被誉为专注于小众技能的高质量、无广告资源的罕见典范。
古巴因持续停电和与美国紧张关系加剧而陷入困境。
Cubans rendered powerless as outages persist and tensions with US escalate
2 天前
古巴圣克鲁斯德尔诺特镇,拥有一个大型热电厂,却面临着日益严重的危机,尽管它在生产能源。最近美国的行动,包括扰乱委内瑞拉的石油运输并威胁关税,加剧了现有的短缺,导致每日停电,并依赖于昂贵且稀缺的资源,如煤炭和木柴。
居民们难以负担基本生活必需品,一些人甚至开始拆解房屋来获取燃料。 这种情况因物价飞涨和政府缺乏关于替代石油来源的透明度而加剧,尽管与俄罗斯进行了谈判,墨西哥也承诺提供援助。
尽管当地壁画反映出坚韧的精神,许多人担心情况会变得更糟。 日常生活越来越困难,迫使人们在烹饪、照明甚至卫生方面进行即兴创作。 虽然有些人找到了应对的小方法——提前庆祝,在社区中寻找快乐——但总体前景黯淡,许多人质疑在古巴经济状况恶化的情况下,他们将如何生存。
## 古巴危机与可再生能源讨论
近期一篇美联社新闻报道详细描述了古巴持续停电和不断升级的紧张局势,引发了黑客新闻的讨论。 这种情况凸显了依赖有限能源的脆弱性,以及可再生能源(特别是太阳能和电池储能)在稳定方面的潜力——即使在充满挑战的政治和经济环境下。
评论者们争论了转型到可再生能源的可行性和成本效益,一些人指出土地利用的影响(可能用太阳能板取代玉米地),以及面板生产所需的能源/资源投入。 另一些人强调了去中心化可再生能源电网的韧性,比集中式发电厂更难破坏。
对话还涉及了美古关系的复杂历史,一些人将古巴的经济困境归咎于美国的禁运,而另一些人则认为危机源于内部管理不善和社会主义政策。 许多用户分享了他们对古巴当前困境的个人经历和见解,并注意到人口外流和生活质量下降。 最终,该讨论强调了能源安全、政治因素和经济发展之间的相互关联性。
## 恐龙的手:驳斥“兔子手”
最近关于恐龙肢体姿势的讨论强调了一个常见的误解:恐龙被描绘成手掌向内,像“兔子”一样。这个姿势需要显著的前臂旋转(旋前),人类由于桡骨和尺骨的独特形状以及通过环状韧带的连接而可以做到。
然而,这种程度的旋前并非普遍存在。例如,大象的前肢是永久旋前的,而蜥脚类恐龙(如*Dreadnoughtus*)完全缺乏旋前能力,导致脚趾朝外。VanBuren和Bonnan的研究证实,*没有*任何恐龙物种具备达到“兔子手”姿势所需的全部旋前范围。
经常被描绘成手掌向内(如在*侏罗纪公园*中)的兽脚类恐龙,实际上具有限制旋转的角状桡骨。虽然完全伸展手臂时可以进行一些旋前,但这并非其典型姿势。有趣的是,鸟类祖先——驰龙类动物具有高度灵活的腕部,但*不能*旋转前臂——这解释了为什么鸟类不会将翅膀平放在地面上。
一个黑客新闻的讨论围绕着一篇古生物学文章,质疑了人们对恐龙的常见描绘——“兔子手”(手掌朝下)。核心问题是这种姿势是否解剖学上准确。
几位评论者推荐了YouTube系列节目“你的恐龙是错的”,作为易于理解的古生物学解释。争论的中心在于理解自然的肢体位置;人类觉得手掌朝下很别扭,自然状态下手掌会朝内。一位用户澄清“兔子手”指的是人们模仿兔子时摆出的姿势。
讨论深入到“旋前”(pronation)和“旋后”(supination)这些技术术语,以及它们在人类和动物解剖学中的应用,认为文章对这些术语的使用令人困惑。对于兔子是否*能*够旋前它们的手,也存在分歧。最终,这场对话突出了重建恐龙解剖结构的复杂性,以及挑战根深蒂固的视觉假设的重要性。相关图片和视频链接被分享以说明这些观点。
OpenClaw:当AI代理获得完全系统访问权限时。安全噩梦?
OpenClaw: When AI Agents Get Full System Access. Security nightmare?
2 天前
## OpenClaw:强大的AI助手,显著的安全风险 OpenClaw,一款新的开源AI代理(前身为Moltbot/Clawdbot),因其能够通过WhatsApp和Telegram等平台直接访问和控制用户电脑,从而主动协助用户而备受关注。与典型的AI不同,OpenClaw *有效* – 用户报告称设置和控制起来很快,可以处理电子邮件和文件管理等任务,甚至可以自主学习新技能。其自托管特性和广泛的集成(100多个)增加了其吸引力。 然而,这种强大功能伴随着**严重的安全隐患**。OpenClaw的完全系统访问使其极易受到“提示注入”攻击,恶意指令嵌入在看似无害的通信中,可以劫持代理并危及您的系统 – 可能导致数据盗窃、勒索软件安装或企业间谍活动。 作者强烈建议仅在**完全隔离的沙盒环境**(如虚拟机或Docker容器)中运行OpenClaw,并严格限制网络访问和权限。 避免将其连接到敏感数据或系统。 虽然OpenClaw很有前景,但其当前的安全漏洞需要极度谨慎。 优先考虑安全性,并在考虑实际使用之前等待改进的安全措施。
## 存在缺陷的埃普斯坦档案发布隐藏了潜在证据
司法部最近发布的埃普斯坦档案存在诸多错误,从错误地删除姓名和图像到技术故障导致大量数据损坏。最初的问题包括暴露的登录凭据和不正确转换的文件编码。然而,更深入的调查显示了一个可能更严重的问题:嵌入在电子邮件中的二进制附件被忽略了,由于疏忽而未被审查。
具体来说,一封看似无害的电子邮件(EFTA00400459)包含76页base64编码的数据,代表一份PDF邀请函。尽管司法部的OCR尝试将这些数据数字化存在大量错误——由于难以阅读的Courier New字体和JPEG压缩伪影而加剧——但重建原始PDF的可能性仍然存在。
尽管使用了各种OCR工具和解压缩方法,但恢复文件仍然具有挑战性。作者详细描述了一个令人沮丧的过程,涉及图像转换、字符识别和PDF修复工具,所有这些都受到发布数据质量差的影响。作者向技术社区发起了挑战,要求重建PDF并识别其他可能恢复的附件,并暗示司法部的搜索功能也存在缺陷。完整的数据集和中间文件已在线提供以供调查。
## 恢复已编辑的埃普斯坦PDF:黑客新闻摘要
黑客新闻讨论集中在从最近发布的、部分编辑的与杰弗里·埃普斯坦相关的文件中重建未编辑的PDF上。问题源于编辑过程中的错误,特别是PDF文件内字符编码不一致(具体是'1'和'l')。
用户正在探索各种修复这些错误的方法。一些人建议利用像Claude Opus 4.5这样的AI工具,而另一些人则建议为使用的特定字体训练OCR软件,如Tesseract。一个关键策略涉及解码二进制PDF并系统地测试字符排列,可能利用像AFL这样的工具进行模糊测试。
对话还强调了使用PDF的挑战,建议政府考虑更安全、开源的文档格式。人们对未编辑内容的敏感性(儿童色情)以及参与泄露者可能面临的法律后果表示担忧。实用的建议包括使用`pdfimages`和`mutool`等工具进行更快的图像提取,甚至有人建议手动转录作为一种令人惊讶的有效解决方案。
## 阿西莫夫对奥威尔《一九八四》的评论
1980年,艾萨克·阿西莫夫应《田野报业集团》的要求,不情愿地重读了乔治·奥威尔的《一九八四》,带着好奇心迎接那个标题年份。他发现这部小说仍然很有力量,并质疑有多少读者真正理解了它的警告。
阿西莫夫详细介绍了奥威尔的背景——一位放弃阶级去体验贫困并拥抱社会主义的英国绅士,最终在西班牙内战中战斗后成为坚定的反共产主义者。这段个人经历推动了《一九八四》的创作,将其描绘成一个反映斯大林主义俄罗斯的极权世界,旨在作为一个警示故事。
然而,阿西莫夫批评了这部小说的预见性。他认为它更像是一面反映20世纪40年代焦虑的镜子,而不是科幻小说,是将1949年的伦敦地理上移植到类似苏联的莫斯科。他认为小说中的技术(双向电视)不切实际,而社会预测——特别是关于女性和技术进步的预测——已经过时。
虽然奥威尔准确地预见了类似于美国、苏联和中国的三方世界秩序,但阿西莫夫认为这部小说持久的影响源于它对“大政府”的描绘,而不是一个现实的预测。最终,阿西莫夫得出结论,《一九八四》是奥威尔与斯大林主义个人恩怨的产物,关注其准确性会分散人们对解决真正不断演变的威胁的注意力。
这次黑客新闻的讨论围绕着艾萨克·阿西莫夫1980年对乔治·奥威尔的《1984》的评论。许多评论者不同意阿西莫夫的评估,认为这部小说今天仍然非常具有现实意义。
阿西莫夫被批评将《1984》误解为主要的反斯大林主义作品,而不是对任何政权都适用的关于极权主义的更广泛的警告。 几个人指出奥威尔对监控的描述即使*没有*现代技术也很准确,并举例说明,如东德的施塔西和当前的政治操纵。
评论员还质疑阿西莫夫认为奥威尔未能预见合理未来的说法,认为科幻小说不是关于预测,而是探索思想的后果。 还有人强调阿西莫夫可能嫉妒奥威尔的文化影响力。 讨论涉及监控、宣传、不受约束的权力带来的危险以及奥威尔的警告在日益受到技术和政治两极化影响的世界中的持久相关性。 许多人认为阿西莫夫过于关注1980年代的具体情况,而未能把握小说更深层、永恒的信息。