每日HackerNews RSS

芬兰已正式终止其拥有150年历史的模拟固定电话服务,继爱沙尼亚、荷兰和挪威之后,完成了向现代化数字基础设施的转型。 这一转变标志着传统铜线技术的彻底淘汰。随着移动电话的兴起以及光纤网络在速度和可靠性上的优势,铜线技术已基本过时。芬兰最后一家支持铜线网络的主要电信运营商Elisa公司,通过其首席执行官与芬兰通信局局长之间的一通纪念性电话,为这一里程碑时刻画上了句号。 尽管模拟时代在全国范围内实际上已经终结,但仍有少数由地方运营商服务的用户将暂时保留固定电话使用权。此举进一步巩固了芬兰对推进数字互联的承诺,也反映了全球范围内以光纤技术取代物理铜线基础设施的趋势,光纤技术能够同时处理高速互联网和语音流量。

为继续操作,请确认您是人类(而非垃圾信息机器人)。vimeo.com 需要在继续前检查您连接的安全性。

抱歉。

一位安全研究人员在 YouTube 的“Ask Studio”AI 助手功能中发现了一个“提示词注入”漏洞。攻击者只需留下包含隐藏指令的评论,就能强迫 AI 在其官方摘要中显示恶意信息或欺骗性链接。 该漏洞之所以危险,是因为创作者无需直接与攻击者互动。他们只需与 YouTube 自身的界面交互,就会触发 AI 自动处理这些恶意评论。由于 AI 将注入的内容作为其权威输出呈现,创作者往往会对其盲目信任。研究人员演示了攻击者如何通过诱导创作者点击 AI 生成的恶意链接,从而窃取私密视频的标题。 尽管研究人员报告了该缺陷,但 Google 拒绝将其归类为安全漏洞,声称这需要“社会工程学”手段。研究人员对此表示异议,指出该漏洞利用的是用户对 Google 产品本身的信任,而非攻击者。他们敦促 Google 将用户生成的内容视为不可信数据,并在 AI 内部强制执行严格的边界,以防止未来再次被利用。在此之前,建议创作者在与 AI 生成的摘要交互时保持谨慎。

最近的一篇文章指出 YouTube 的“Ask Studio”人工智能功能存在漏洞,恶意攻击者可以通过在视频评论中使用提示词注入(prompt injection)来窃取私密视频标题。攻击者只需在评论中嵌入指令,诱导人工智能生成恶意链接;创作者一旦点击该链接,其私密视频的元数据就会被发送到外部服务器。 Hacker News 社区的讨论集中在三个主要议题: * **工程与“劣质软件”(Slop)之争:** 评论者讨论了软件开发是否能被称为“工程”。许多人认为,与土木或机械工程相比,软件开发缺乏专业执照、问责制和“安全第一”的文化,这导致了为了满足公司绩效评估(GRAD)而“掩盖漏洞”的系统性倾向。 * **提示词注入的本质:** 专家们就提示词注入是否可修复展开了辩论。一些人认为这是大语言模型(LLM)无法彻底根除的根本缺陷;另一些人则建议采取技术缓解措施,例如严格区分用户生成数据与指令,或限制人工智能对私人账户数据的访问权限。 * **机构的冷漠:** 批评人士对谷歌在收到漏洞报告后表现出的不以为然感到沮丧。许多人认为,科技行业为了利润而忽视安全漏洞的倾向是一种“腐烂”,需要监管干预以确保公共安全和数据保护。

唐纳德·特朗普拒绝续签《美墨加协定》(USMCA),造成了严重的经济不确定性,威胁到北美供应链的稳定性。尽管有些人认为这只是暂时的政治策略,但专家指出,北美自由贸易协定(NAFTA)和《美墨加协定》这类贸易协定的真正价值,在于其为企业提供的长期可预测性。 北美汽车工业的一体化程度尤为深厚,零部件在组装过程中会多次跨越国境。行业领袖强调,这些区域性供应链对于全球竞争力和产品价格优势至关重要;试图拆解这些供应链很可能会导致产品成本上升且创新能力下降。 经济学家保罗·克鲁格曼(Paul Krugman)及其他分析师认为,北美内部的贸易争端主要是由政治言论而非经济现实驱动的。他们指出,美国与其邻国有着深度的相互依赖关系,这些邻国同时也是美国最大的出口市场。虽然对于中国产品通过“后门”进口的担忧是合理的,但专家认为将加拿大和墨西哥视为竞争对手是一个错误。与其追求保护主义壁垒,重点应放在维持区域稳定,并建立一个统一、具有竞争力的阵线,以应对全球经济挑战。

抱歉。

按非主键(如 `created_at`)进行分区通常会造成“抽象泄漏”。由于数据库要求分区键必须包含在每个唯一约束中,你被迫修改主键(例如 `PRIMARY KEY(id, created_at)`),这会降低点查询性能并使应用查询变得复杂。开发人员最终不得不为每个查询都“附加”不必要的日期过滤条件,以强制触发分区修剪,从而将存储决策变成了一种强制性且易出错的应用契约。 建议按**主键**进行分区。由于主键已存在于大多数查询中,你无需修改应用代码即可获得自动分区修剪。 如何管理增长和保留策略: 1. **使用后台服务**处理 DDL,例如将 `MAXVALUE` 的全量分区拆分为新的有界范围。 2. **按需与时间对齐**:如果需要基于时间的保留策略,请使用该服务查询对应特定日期的 ID 边界。这既能保持模式整洁,又能实现相同的保留目标。 3. **自动化**:构建一个小服务来处理库存、边界选择和保留删除。 这种方法将主键作为事实的唯一来源,避免了因使用次优分区键而带来的“性能税”。

这场 Hacker News 讨论聚焦于数据库分区的挑战,重点探讨了主键设计与性能之间的权衡。 争论的核心在于 PostgreSQL 和 MySQL 要求分区键必须包含在唯一约束中。参与者讨论了使用单调递增的自增 ID 作为分区键,是否为保持唯一性同时确保性能的有效策略。 评论者还探讨了以下内容: * **架构权衡:** 在分区时,使用不可变 ID 与基于业务逻辑的键(如时间戳)之间的取舍。 * **OLTP 与 OLAP:** 一些用户建议,如果对不断增长的 OLTP 表进行分区过于复杂,将数据卸载到列式分析数据库(如 ClickHouse 或 kdb+)可能更高效。然而,批评者指出,这些系统往往难以应对标准 OLTP 工作负载所需的“点查询”。 * **最佳实践:** 参与者推荐在分布式环境中使用 Snowflake ID 或 UUIDv7 等替代方案,并强调虽然分区有助于扩展,但需要仔细规划,以避免在记录检索过程中出现性能下降。

**Windows CE Dreamcast Community Edition** 是一个旨在将世嘉 Dreamcast 主机内隐藏的、精简版 Windows CE 2.12 运行时转换为功能完备、支持多任务处理的桌面环境的项目。 主要功能包括: * **DCWin 桌面:** 一个由 Dreamcast 的 PVR2/Direct3D 硬件驱动的窗口化外壳,具备任务栏、开始菜单以及窗口管理(移动、调整大小、最小化/最大化)功能。 * **内置应用程序:** 包含资源管理器、任务管理器、计算器、时钟以及各种系统测试工具。 * **独立的构建系统:** 该项目包含了必要的 SH-4 PE 编译器和 CE 镜像工具链。通过一次 CMake 调用即可完成从源码编译到生成可引导 `.gdi` 文件的所有流程,无需额外的 SDK 或 CD 密钥。 * **网络功能(开发中):** 具备一个通用链接垫片(`mppp.dll`),旨在通过传统的拨号协议栈实现以太网连接(支持宽带适配器或通过 SPI 连接的 W5500 模块)。 该项目使用世嘉原厂 "Dragon" SDK 二进制文件作为核心内核,而外壳、驱动程序和网络垫片均为自行开发。它能够生成兼容 GDEMU、MODE 等硬件解决方案或物理光盘的引导镜像。

抱歉。

请启用 JavaScript 并关闭所有广告拦截器

抱歉。

**Curveball** 是一款基于 Rust 开发的工具,专为开源游戏《Neverball》生成复杂的 3D 形状而设计。虽然《Neverball》内置了原生的曲线生成器(`curve.c`),但其功能仅限于圆形弧线。Curveball 通过一种独特的“挤出(extrusion)”抽象概念,让用户能够创建复杂的几何体,从而扩展了这一功能。 在《Neverball》中,3D 对象(画笔)必须是凸多面体,并由半空间的交集定义。手动生成这些对象容易出错,因此 Curveball 使用凸包算法(`chull`)实现了自动化流程。该工具的核心在于定义 2D 轮廓并沿路径进行挤出。通过利用 Frenet 标架来处理旋转和方向,Curveball 可以根据用户定义的简单轮廓和路径,生成种类繁多的形状。 除了标准的挤出功能外,该工具还支持“Curve Classic”、“Curve Slope”和“Rayto”等专用几何类型,以满足各种地图制作需求。Curveball 提供网页版和桌面下载版,为《Neverball》关卡设计师提供了一种强大且灵活的解决方案,助力构建更复杂、更具创意的游戏环境。

关于曲线生成工具“Curveball”的一场 Hacker News 讨论,引发了人们对经典开源游戏《Neverball》的怀旧之情。用户们回味了这款常被拿来与《超级猴子球》相提并论的障碍赛游戏,并指出它依然是一款可以通过浏览器或原生应用游玩的、充满趣味且考验技巧的作品。 关于该项目代码的技术讨论则呈现两极分化。一些评论者称赞该工具的实用性,而另一些人则批评开发者选择 Rust 语言,认为相较于 C++,这导致了不必要的臃肿。讨论串中还出现了一场关于术语的迂腐争论,用户们在争论该工具的输出究竟应归类为“样条曲线”还是“分段圆弧曲线”。尽管存在技术层面的批评,但普遍共识依然是,《Neverball》本身是一款备受喜爱且经久不衰的游戏。

作者认为,对象关系映射器(ORM)往往会加剧性能和架构问题,特别是“属性蔓延”和过度对象膨胀。 随着数据库表增长到包含数百个属性,ORM(通常默认获取整个实体)的表现就像 `SELECT *` 查询一样,迫使系统浪费资源将庞大的行数据转换为对象。外键的“有害”使用进一步加剧了这一问题,可能引发非预期的深层关联查询,从而严重拖累性能。 作者指出,虽然可以通过复杂的投影和精细的配置来缓解这些问题,但这些“修复”方案需要开发者对底层 SQL 有深刻的理解。最终,作者认为由于 ORM 并未真正实现数据库抽象,开发者直接使用 SQL 会更好。这样不仅绕过了代码到查询的转换开销,还省去了学习 ORM 数据映射机制(这些机制往往晦涩难懂)的必要。

Hacker News 上关于 ORM(对象关系映射)的长期争论,核心在于它们究竟是有用的工具,还是会阻碍性能的“渗漏抽象”。 **“反 ORM”观点:** 批评者认为,ORM 促使开发者将数据库仅仅视为对象存储,而非关系型系统。通过隐藏 SQL,ORM 往往会导致低效查询(如 N+1 问题),并掩盖了数据库引擎的强大功能。他们认为,由于开发者最终仍需了解 SQL 来解决复杂的性能问题,使用 ORM 反而增加了不必要的复杂性,并“束缚”了数据模型。 **“支持 ORM”观点:** 支持者认为,对于占应用程序逻辑大部分的 CRUD(增删改查)操作而言,ORM 是至关重要的生产力工具。他们认为 ORM 提供了标准化的类型安全,处理了繁琐的样板代码,并起到了领域建模的“强制引导”作用。支持者强调,现代高质量的 ORM 提供了“逃生舱”,允许开发者在必要时编写原始 SQL,同时又不失对象填充和迁移管理带来的生产力优势。 **结论:** 大多数参与者达成了务实的中间立场:将 ORM 用于标准 CRUD 任务以节省时间,但不要在复杂且对性能要求极高的查询中依赖它们。

### 摘要:“隐形”恶意软件威胁 一位开发者最近在其 `tailwind.config.js` 文件中发现了一个隐蔽的后门,该位置通常很少被开发者审计。这种恶意软件与朝鲜关联组织“Void Dokkaebi”有关,它通过多层混淆技术隐藏了一个与 TRON 区块链进行通信的命令与控制(C2)信标。 尽管使用了 Malwarebytes 和 macOS 内置保护等标准安全工具,但恶意代码仍未被检测到。感染扩散到了同一 VSCode 工作区内的多个仓库,攻击者甚至重写了本地 Git 历史记录以掩盖痕迹。作者在生产环境中发现了不明进程的运行证据,且提交日志中出现了自己从未编写过的代码。 **给开发者的主要建议:** * **审计配置文件:** `tailwind.config.js`、`next.config.js` 和 `vite.config.js` 等文件不应包含复杂的逻辑、`eval`、`atob` 或大型混淆字符串。 * **监控进程:** 使用 `ps aux | grep node` 频繁检查是否存在不明的 Node 进程。 * **假设完全受损:** 如果发现可疑代码,请立即轮换所有 API 密钥、SSH 密钥和环境变量机密。 * **检查日志:** 使用 `git reflog` 查看本地历史记录与远程提交之间是否存在差异。

对不起。

更多

联系我们 contact @ memedata.com