请启用 JavaScript 并禁用任何广告拦截器。
每日HackerNews RSS
## 美国铜盗窃激增
最近在Hacker News上的讨论强调了美国日益严重的问题:猖獗的铜盗窃。 窃贼正在袭击基础设施,如电线,导致基本服务中断——包括911电话、互联网和电力——并造成重大损失。
有人分享了个人经历,被盗铜线在警方协助下被追回,但很难获得赔偿。 讨论表明,问题并非仅限于绝望,虽然一些窃贼受到毒瘾(特别是冰毒)的驱使,但另一些窃贼则使用更有组织的工具和方法。
评论者们讨论了解决方案,从提高惩罚(甚至对买家处以死刑)到加强执法以及预防措施,如诱捕行动。 还有关于系统性问题的讨论,一些人认为解决贫困和毒瘾是关键,而另一些人则指出现有法律的执行力度下降。 这个问题并非美国独有,但许多人认为这里的盗窃规模和胆大程度明显更高。
## LiveLinkFace ARKit 接收器:Blender 中的实时面部动画
LiveLinkFace ARKit 接收器是一个 Blender 插件,可以使用 iPhone 的 ARKit 面部跟踪数据实现实时面部动画。它连接了 Live Link Face 应用程序(iPhone)和 Blender,自动将您的表情应用于 3D 模型中的形状键。
安装很简单:在 Blender 中下载并激活该插件,然后在 Live Link Face 应用程序中输入您的电脑 IP 地址。该插件会自动检测兼容的形状键(使用 Apple 的标准 52 个名称,非常适合 Perfect Sync 模型),并将您的面部动作镜像到 Blender 角色上。
故障排除提示包括验证网络连接和形状键命名。该工具非常适合艺术家、动画师和开发者,可以直接在 Blender 中测试面部绑定和动画,提供了一种有趣且直观的方式来使创作栩栩如生。它以 GPL-3.0 许可发布,鼓励社区贡献和改进。
## Blender面部动画讨论
一个Hacker News讨论围绕着一个新的Blender工具,该工具利用iPhone的面部追踪能力进行动画制作。虽然被赞扬为向前迈出的重要一步,但用户很快指出它依赖于苹果的ARKit和iPhone的TrueDepth摄像头(用于FaceID),限制了其可访问性。
许多评论者希望有一个基于网络摄像头的解决方案,可能利用DIY深度图或现有的开源替代方案,如Kalidoface,后者*确实*提供网络摄像头追踪。澄清该工具只是从iPhone的操作系统接收面部激活值,而不是自行执行计算机视觉——许多现有插件已经提供此功能。
改进建议包括在Blender内直接录制/拍摄管理,以及将其集成为核心功能而不是插件。几位用户提到现有的具有类似功能的插件,包括一个付费版本提供直接录制到Blender的功能。一个关键点是,由于该工具依赖于外部硬件,将其合并到Blender中存在困难。
## Landlock:一种新的Linux沙箱方法 Landlock 是一个 Linux 内核 API(自 5.13 版本起可用),它提供了一种比传统方法(如 SELinux 或 AppArmor)更简单、更方便开发者使用的应用程序沙箱方法。 与这些系统不同,Landlock 允许应用程序通过明确定义它们需要的资源——并拒绝所有其他访问——来*自行沙箱化*。 它通过创建运行时策略来实现,这些策略包括“处理的访问”(如文件读/写或网络绑定)和“访问授权”(针对这些访问的特定允许列表)。 这些策略是分层的,这意味着可以通过后续层收紧限制,但不能放宽限制。 Landlock 不需要特权,不需要管理员干预,并具有向后/向前兼容性。 它非常适合资源需求可预测的应用程序,如 Web 服务器或文档查看器,通过限制受损进程的潜在损害来增强安全性。 虽然 Landlock 并非一个完整的解决方案,但它填补了 Linux 安全性中的一个关键空白,提供了一种实施“默认拒绝”安全模型的可行方法,并可能为 Linux 桌面上的类似 Android 的权限系统铺平道路。 开发者可以轻松集成它,并且有 Rust、Go 和 Haskell 等语言的绑定可用。
## Landlock:一种新的 Linux 安全特性 - 摘要
这次 Hacker News 的讨论围绕 Landlock,这是一种在 5.13 内核中引入的 Linux 安全模块 (LSM),它提供了一种新的应用程序沙箱化方法。与容器或 SELinux 等传统方法不同,Landlock 侧重于允许*开发者*将限制构建到他们的应用程序*中*,从而在代码层面限制对资源的访问。
用户讨论了将 Landlock 与 `bwrap` 等工具结合使用,以沙箱化游戏和 npm 项目,强调了它的潜力,但也承认当前存在挑战,例如缺乏官方 C 库。一个关键特性是,一旦设置了限制,即使是 root 用户也无法移除,从而增强了安全性。
对话探讨了 Landlock 与现有安全措施的配合作用——它被视为“纵深防御”层,而不是容器的替代品。虽然它对开发者将安全性嵌入代码中很有用,但不太适合沙箱化未经修改的不可信应用程序。 许多用户指出了现有的工具和示例,例如 `landrun` 和 `sydbox`,展示了实际应用。
关于按住版权联系我们创作者广告开发者条款隐私政策和安全性YouTube的工作原理测试新功能© 2025 Google LLC
一个黑客新闻帖子突出显示了乔·阿姆斯特朗对艾伦·凯在2016年的一次视频访谈。讨论的中心是凯对早期计算的愿景——不是个人电脑,而是通过国家计算中心访问的实用工具,就像电力或电话一样。
凯认为需要一个“常识”界面,从而产生了他“建议接收者”的概念——一个能够回答问题*并且*与用户输入进行推理的代理。
评论员指出,讽刺的是,由阿姆斯特朗创建的Erlang,可能比Smalltalk的后续版本更好地体现了凯的“主动独立单元”模型,尽管阿姆斯特朗在Erlang开发期间并不知道凯的工作。他反而受到了Prolog和CSP的影响。 帖子还链接到之前黑客新闻关于该主题的讨论。
狒狒:具有自动演化和无标签二进制编解码器的建模数据
Baboon: Data Modeling with Automatic Evolutions and tagless binary codecs
2 天前
狒狒是一种数据建模语言(DML)和编译器,专注于创建健壮且可演化的数据模式。它采用声明式方法,为JSON和自定义二进制格式(UEBA)生成代码(目前为C#和Scala),并自动推导编解码器。
主要特性包括基于集合的继承、命名空间、集合和基本类型。编译器设计为多阶段DAG转换,以实现可维护性,并优先进行代码去重以减小二进制文件的大小。
虽然功能强大,但狒狒目前存在一些限制:名义继承基于特征(trait),泛型支持仅限于内置集合,并且不支持诸如注释和新类型等功能(但未来改进的可能性已记录在案)。
用户负责处理“外部类型”(非狒狒定义的类型)并确保正确的编解码器连接。该项目使用mudyla进行构建编排,并提供用于格式化、构建、测试和创建分发包的命令。
## 狒狒:自动化数据建模与演化
狒狒是一个旨在简化数据结构管理和版本控制的工具。它允许开发者定义数据模型,然后自动生成实现,包括不同版本之间的转换。 这旨在减少手动工作并防止数据迁移期间的错误。
目前支持 Scala 和 C#,TypeScript 和 Python 后端正在开发中,狒狒专注于推导这些转换——甚至强制开发者定义那些无法自动生成的转换。 虽然它不是像 Smithy 这样的 RPC 工具,但它擅长于建模数据结构并处理它们随时间的变化。
Hacker News 上的用户指出,最初的 README 在其目的方面缺乏清晰度,导致了最初的误解。 创建者澄清它*不是*一种新的编程语言,而是一种专门用于自动化演化代码的数据建模语言。 同时也提供了一个指向展示语言特性的文档的链接。
欧盟提出的“聊天控制”提案,正式名称为打击儿童性虐待法规,尽管面临公众和政府的强烈反对,仍在悄然推进。最初旨在扫描私人消息以查找儿童性虐待内容,但该计划因隐私问题和对普遍监控的担忧而遭到抵制。 一个修改后的版本“聊天控制2.0”取消了强制扫描,但仍然鼓励平台进行“自愿”的大规模扫描,并引入强制年龄验证系统——实际上禁止了匿名通信。批评人士,包括网络安全学者,警告说,人工智能驱动的“诱导”检测不可靠,会导致误报和广泛监控。 人们还担心该提案会削弱加密,可能产生可被恶意行为者利用的漏洞,并且可能将监控范围扩展到欧盟境外。反对者认为,大规模监控对于打击儿童剥削无效,并侵犯了基本权利,主张在司法监督下进行有针对性的监控,并保留加密。该提案存在“功能蔓延”的风险,即为儿童保护而设计的工具被重新用于更广泛的、潜在的压制性监控——这种模式在其他国家已经出现。欧盟即将进行最终投票,引发了对永久监控基础设施的担忧。
## 欧洲“聊天控制”辩论:摘要
一项拟议的欧盟法律,被称为“聊天控制”,因隐私问题引发争议。该法律旨在检测和删除在线非法内容,包括儿童性虐待材料,但将要求供应商扫描用户通信——甚至加密通信。
批评者认为,这代表了对监控的重大扩展,与之前被宣告无效的2006年数据保留指令相似。担忧集中在专制政权滥用的可能性、缺乏透明度(扫描在用户不知情的情况下进行)以及可能被标记内容的广泛范围。
虽然支持者认为这是反情报和防止战争的必要步骤,但另一些人认为这是一种不成比例的回应,可能对那些会避开受监控平台的精明行为者无效。一个关键的症结在于年龄验证的纳入,许多人担心这会进一步侵蚀隐私。
该法律最近通过了一个关键关卡,但面临潜在的法律挑战,特别是关于其与欧盟基本权利宪章和GDPR的兼容性。一些人认为,它可能会受到点对点加密消息服务的兴起而削弱。这场辩论凸显了欧盟内部安全与公民自由之间持续存在的紧张关系。
## “自力更生”神话的塑造
“自力更生”的概念并非一直以来都是自豪的来源——历史上,社会结构偏爱贵族和精神权威。 价值观念的转变经历了两次革命。 美国革命挑战了精英出身,而19世纪的工业化则将财富提升为衡量成功的标准。
安德鲁·杰克逊成为了这个新理想的典范。 尽管受益于遗产和人脉等优势,但精心构建的叙事将他描绘成一个从逆境中崛起的边疆英雄。 故事讲述者,尤其是在1828年的竞选期间,强调了他的韧性,并淡化了他的特权,与既定的精英阶层形成对比。
最初,“自力更生”是一个有争议的术语,既被用来赞扬,也用来谴责。 然而,它越来越成为一种强大的政治工具,从道德判断转变为对担任公职资格的认证。 到了19世纪末,随着工业财富的兴起,“自力更生”的神话也扩展到包括阿斯托等富有的巨头,尽管最初它庆祝的是公共服务,而不是单纯的财富。 因此,“自力更生”个人的故事是一个构建的叙事,与雄心、政治权力和美国成功定义的演变息息相关。
## 黑客新闻讨论: “自力更生”的神话
一篇historynewsnetwork.org的文章引发了黑客新闻对“自力更生”概念的讨论。核心争论在于个人成功应归因于个人努力,还是外部因素,例如特权、运气和社会支持。
许多评论者同意,没有人能在真空中取得成功,承认固有优势和外部环境的重要性。然而,他们认为成功并非*完全*由这些因素决定,指出许多拥有相似优势的人未能取得成功。
讨论涉及哲学根源,引用了古希腊思想,将成就分为内在美德和外在运气——两者都是必要的但不充分的。 几位参与者强调了“先天与后天”的相互作用,以及相互联系的作用,一些人将历史财富积累与剥削性做法(如奴隶制和土地掠夺)联系起来。
最终,对话质疑我们如何赋予成功“功劳”,以及当前的社会框架是否准确地反映了个人能动性和系统性影响的复杂相互作用。 一些人认为,仅仅将成功归功于个人会延续有害的意识形态,并掩盖系统性不平等。
## PostHog 安全事件总结
11月24日,PostHog 经历了一次重大的安全漏洞,涉及恶意软件包发布到 npm。一种自我复制的蠕虫,Shai-Hulud 2.0,被用于破坏 Javascript SDK(posthog-node、posthog-js 等 – 完整列表见原始报告)。该蠕虫利用 `preinstall` 脚本扫描并窃取凭据,然后使用这些凭据进一步传播攻击。
PostHog 在 UTC 时间上午 9:30 之前识别并删除了恶意软件包,并开始撤销受损的凭据。攻击源于通过恶意拉取请求针对工作流文件(auto-assign-reviewers.yaml)获取的被盗 GitHub 个人访问令牌 (PAT),该文件用于自动分配审查者。对 GitHub `pull_request_target` 触发器的误解允许攻击者在受信任的 CI 环境中执行任意代码。
PostHog 已经采取措施减轻损害,包括收紧发布工作流程、加强 PR 审查流程、切换到 pnpm 10 以及改进密钥管理。他们强调固定依赖项到已知良好版本以及利用包管理器中的 `minimumReleaseAge` 等功能的重要性。此事件凸显了 CI/CD 安全的复杂性以及在整个软件供应链中实施健全安全实践的必要性。
## PostHog 安全事件:沙伊-胡鲁德攻击总结
PostHog 在 2025 年 11 月经历了一次安全漏洞,被称为“沙伊-胡鲁德”攻击,源于一个配置错误的 GitHub Actions 工作流。该漏洞通过一个修改脚本的拉取请求引入,允许攻击者窃取机密信息——具体来说,是一个具有广泛仓库写入权限的机器人 GitHub 个人访问令牌。
根本原因在于使用了 `pull_request_target`,这是一个被认为不安全的 GitHub Actions 触发器,因为它在拉取请求的目标仓库的上下文中运行工作流,可能执行不受信任的代码。虽然静态分析工具标记了该漏洞,但最初被认为是误报。
该事件凸显了机器人令牌过度权限的危险性以及安全配置 GitHub Actions 的复杂性。Hacker News 帖子中的讨论也指出了对 GitHub Actions 设计的更广泛担忧,包括工作流权限、配置管理以及默认情况下实现强大的安全性所面临的困难。 许多评论者建议采取诸如限制访问、使用短寿命令牌和隔离生产分支等策略。该事件还引发了对 PostHog 网站可用性和设计的批评。
## Nano PDF:AI驱动的PDF编辑工具
Nano PDF是一个命令行工具,允许你使用自然语言提示编辑PDF幻灯片,利用Google的Gemini 3 Pro图像模型(“Nano Banana”)。它支持快速、无损编辑——通过OCR保留可搜索文本层——并且支持编辑现有页面和添加新的、与你的演示文稿风格匹配的AI生成幻灯片。
主要功能包括:多页编辑,并行处理以提高速度;可配置分辨率(4K/2K/1K)以平衡质量和成本;以及提供风格参考以保持视觉一致性。你可以使用`--use-context`控制上下文使用,并使用`--disable-google-search`禁用Google搜索。
**要求:**付费的Google Gemini API密钥(免费套餐不支持),Python 3.10+,Poppler和Tesseract OCR。
**示例:**
* `nano-pdf edit my_deck.pdf 2 "将标题更改为‘Q3 Results’"`
* `nano-pdf add my_deck.pdf 0 "标题幻灯片,内容为‘Q3 2025 Review’"`
更多细节和安装说明可在项目的GitHub仓库中找到。
## Nano PDF:基于AI的命令行PDF编辑工具
GavCo 创建了“Nano PDF”,这是一款利用 Gemini 3 Pro (Nano Banana) 通过命令行编辑PDF的工具。该工具将PDF页面转换为图像,使用AI模型根据用户指令进行编辑(例如更新图表或添加幻灯片),然后使用修改后的图像重建PDF。
主要功能包括并行编辑、风格一致的幻灯片添加以及内置Google搜索以获取当前数据。虽然可以用于任何PDF,但它最适合快速编辑演示文稿。该工具保留可选择的文本层。
讨论中提到,由于图像转换导致文件大小增加、缺乏标准化的PDF编辑以及重复编辑可能导致质量损失等问题。用户对潜在的应用感到兴奋,例如自动PDF注释和纠正错误,一位用户确认在最近添加示例输出的更新后,已成功将其与文本转语音应用程序一起使用。该项目可在GitHub上找到:[https://github.com/gavrielc/Nano-PDF](https://github.com/gavrielc/Nano-PDF)。
## 费曼技巧:总结 费曼技巧,也称为积分符号下的求导或莱布尼茨积分法则,是一种强大的求积技术,由理查德·费曼推广,尽管其起源于莱布尼茨。它涉及在积分中引入一个参数,关于该参数求导,然后计算由此产生的、通常更简单的积分。费曼尤其受益于此技巧,他从微积分课本中学到它,并发现它使他能够解决其他人使用标准方法难以解决的积分。 核心原理是,如果 *f(x,t)* 及其偏导数是连续的,那么 *f(x,t)* 对 *t* 的积分的导数是 *f(x,t)* 关于 *t* 的偏导数的积分。 虽然没有单一公式来确定 *何时* 应用此技巧,但有几种启发式方法可以提供帮助。这些包括:参数化以简化积分项在求导后的形式,尽可能利用有理函数,在参数化之前清理积分,甚至使用多个参数或级联该技巧本身。 该技术并不总是直接的,并且经常需要创造力和练习。它在大学中没有被广泛教授,使其成为一种比较晦涩但非常有效的工具,用于解决具有挑战性的积分。除了基本应用之外,该技巧还可以扩展到不定积分,与幂级数展开式结合使用,甚至可以用来 *生成* 新的积分。
## 费曼积分技巧:总结
最近 Hacker News 的讨论集中在解决积分的“费曼技巧”上,该技巧在博客文章 ([zackyzz.github.io](https://zackyzz.github.io)) 中有详细介绍。该技术涉及引入参数并在积分符号下求导,为传统的替代方法(如换元法)提供了一种替代方案。
对话强调了数学教育中常见的挫败感:侧重于记忆算法,而不是培养真正的理解和直觉。许多评论者表示,在不知道应用*哪种*技术的情况下,常常感到迷茫,经常诉诸于试错。一些人将其与 Risch 算法联系起来,这是一种更通用的求原函数的方法。
几位参与者强调了“综合”的重要性——将学习的工具应用于新问题——这是一种直到研究生阶段才经常被忽视的技能。另一些人指出,理解方法*为什么*有效,而不是仅仅机械地执行它,以及利用像 3Blue1Brown 这样的资源来建立直觉的价值。最终,讨论强调,掌握积分不仅仅是知道技巧,而是培养灵活的解决问题方法和对基本概念的深刻理解。