该文提倡使用卧式冷冻柜(或作为冰箱使用的冷冻柜)作为比传统冰箱更节能的选择。作者自己的卧式冷冻柜每天仅消耗0.1千瓦时,运行成本约为每年5美元,这归功于冷空气自然保留的特性。他们认为,当前冰箱的设计*违背*了自然冷却原理,导致能源浪费和食物保鲜能力下降。
作者在过去20年里一直在推广这个想法,促使制造商提供带有可调节温度控制的卧式冷冻柜,适合用作冰箱。他们现在建议直接购买这些冷冻柜,而不是他们之前提供的改装套件。
目前,他们使用两台CHiQ混合逆变器冷冻柜,每天消耗0.18-0.4千瓦时,提供更大的灵活性,并且至关重要的是,降低了峰值电力需求——这对于离网系统非常有益。作者强调,仅仅采用更高效的制冷技术就能显著减少温室气体排放,并质疑为什么低效型号仍然存在。
每日HackerNews RSS
启用 JavaScript 和 Cookie 以继续。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
沙箱:万无一失的边界 vs. 无限制的愚蠢 (2025) (acm.org)
26 分,由 antlai 1 天前发布 | 隐藏 | 过去 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
您的浏览器似乎禁用了 Javascript。请点击此处了解如何启用 Javascript。如有任何问题,请通过 [email protected] 与我们联系。
## 古巴-美国关系与禁运讨论
这次黑客新闻的讨论围绕古巴拒绝美国提供的柴油燃料,引发了关于美国禁运以及该岛屿持续困境的争论。许多评论者同意古巴人民正在遭受苦难,但对根本原因存在分歧。
一些人认为古巴的问题主要归咎于其共产主义政府和缺乏民主选举,并指出古巴已经实行了67年的共产主义统治。另一些人则认为美国的禁运,包括《赫尔姆斯-伯顿法案》——该法案阻碍与古巴的外国贸易——是一个主要因素,甚至巩固了现有政权的权力。一位评论员提供了大量数据,显示古巴确实与其他国家进行贸易,但质疑利润的去向。
反驳意见强调了禁运对关键进口商品(如医疗技术)的限制,尽管法律允许,并指出在卡斯特罗之前,美国曾支持压迫性的古巴独裁政权。将古巴与越南进行比较,越南是一个与美国贸易量巨大的共产主义国家,表明禁运对古巴的破坏性是独特的。 讨论还涉及潜在的未来情景,包括吞并以及对过去行为的问责。
## Trivy 供应链攻击总结 (2026年3月) 2026年3月19日,一名恶意行为者利用先前泄露的凭据发起针对Trivy漏洞扫描器及其相关GitHub Actions的供应链攻击。攻击者发布了恶意Trivy v0.69.4版本,劫持了`aquasecurity/trivy-action`中的76个标签中的77个,并将`aquasecurity/setup-trivy`中的所有7个标签替换为包含窃取信息的恶意提交。 根本原因是在二月底不完整的凭据轮换,导致攻击者在轮换窗口期间保留了访问权限。该恶意软件会从GitHub Actions runner环境中窃取密钥(SSH密钥、云凭据等),对其进行加密,并尝试将其泄露。如果泄露失败,它将在受害者的GitHub帐户上创建一个公共仓库来存储被盗数据。 **受影响版本:** Trivy v0.69.4,`trivy-action`(所有标签,最高至0.34.2),以及`setup-trivy`(v0.2.0 – v0.2.6)。 **缓解措施:** 更新至Trivy v0.69.2或v0.69.3,`trivy-action` v0.35.0,或`setup-trivy` v0.2.6。**至关重要的是,轮换所有可能泄露的密钥,并使用完整的commit SHA哈希值固定GitHub Actions**,以防止未来劫持标签。使用提供的sigstore签名验证安装。
## Trivy 供应链攻击 - 摘要
Trivy,一款流行的漏洞扫描器,最近再次遭受供应链攻击,源于先前未充分解决的安全事件。 这不是 Trivy 代码本身的妥协,而是直接攻击 Aqua Security 控制下的 Trivy 组件。
攻击涉及将恶意入口点注入到受影响的标签中,可能使攻击者能够访问凭证和 CI/CD 管道。 虽然哈希固定可以减轻一些风险,但它不是一个完整的解决方案,因为操作仍然可以拉取可变依赖项。
该事件凸显了信任安全工具的固有风险,这些工具通常以高权限运行。 讨论的重点是改进凭证管理(原子轮换)、在事件发生后进行更严格的风险重新评估,以及将固定点定位到特定的 commit SHA 而不是可变标签的重要性。 此次攻击导致进一步的妥协,包括传播到 npm 包,这表明问题的严重性和持续性。
## LLM驱动的Hacker News用户画像 软件开发者Simon Willison一直在尝试使用大型语言模型(LLM)来创建基于用户公开Hacker News评论的、令人惊讶的准确画像。他利用Algolia API访问评论历史,并将1000条评论输入Claude Opus 4.6,并使用提示语“分析此用户”。 生成的画像非常详细,能够识别职业角色(例如他自己作为Django/Datasette的创建者),核心信念(将AI视为开发者*增强*工具,而非替代品),工作方式(基于iPhone的、使用代理的编码),甚至个人兴趣。LLM准确地总结了他对“代理工程”的倡导、对提示注入的安全担忧,以及对AI炒作的细致看法。 Willison指出,即使使用公开数据,这个过程也感觉具有侵入性。他主要将其用于评估潜在在线辩论伙伴的诚意。虽然承认容易获取个人见解令人不安,但他认为Hacker News仍然是一个负责任管理的平台。这个实验突出了LLM从数字足迹中综合分析全面画像的强大能力——以及潜在的不适感。
这个项目始于好奇:Logitech MX Vertical鼠标的内部闪存是否可以用于数据存储?该鼠标使用Logitech的HID++协议进行通信,提供33个功能,其中一些已记录,一些是逆向工程得到的。作者旨在利用一个非易失性存储功能,最终确定DPI寄存器是唯一可行的选择。 尝试写入其他寄存器,例如设备名称或专用存储槽,被macOS的IOHIDManager阻止,或者直接被鼠标忽略。然而,DPI寄存器接受任何16位值,无需验证,允许在计算机之间传输2字节的持久数据。 虽然客观上毫无用处——2字节的存储空间微乎其微——但该项目的价值在于调查本身。作者深入了解了HID++功能、macOS的HID设备管理以及硬件通信逆向工程的复杂性。代码已在GitHub上提供,供任何想要尝试在Logitech鼠标中存储数据的人使用。
一篇博客文章详细描述了一名用户成功地将2字节的数据存储在罗技鼠标*内部*,这引发了Hacker News上的争论。作者timwehrle将此过程描述为一次学习练习,重点不在于存储的少量数据。
然而,一些评论员怀疑这篇文章是在AI的帮助下撰写的,理由是文风不一致和“LLMisms”(大型语言模型的特征)。作者澄清说,他的写作风格天生就比较冗长,尤其是英语不是他的母语,并且承认在收到初步反馈后编辑了文章。
尽管存在对AI的担忧,但其他人称赞了这篇文章的独创性和与调试令人沮丧的无声系统错误的 relatable 经验。这场讨论凸显了人们对AI生成内容的日益怀疑,以及对可证明的人工努力的偏好,即使写作不够完美。最终,这篇文章与一些人产生了共鸣,认为这是一个有趣但不太实用的技术挑战。
## 时间与现实:摘要
电影《降临》与现代物理学汇聚于一个令人费解的概念:我们对时间的感知可能存在根本性的缺陷。影片描绘了一种能够同时理解所有时间的 alien 语言,这反映了物理学家提出的“区块宇宙”理论。该模型将时间设想为一个静态的四维区块,其中包含所有时刻——过去、现在和未来——都同等存在,而非流动的河流。
我们对不断前进的“现在”的体验,实际上是一种幻觉,是我们有限视角的产物。时间之箭,因果关系的感觉,源于宇宙最初的低熵(秩序)以及我们无法感知完整的、对称的现实。
然而,替代理论挑战了区块宇宙,认为时间根本不存在。一些人提出一个由冻结的“现在”构成的宇宙,而另一些人则设想一个不断变化的事件网络,时间是一种视角,由我们过滤现实的方式创造。最终,我们对时间流逝的感知可能只是我们头脑的构建,而非宇宙本身固有的属性。
这个黑客新闻的讨论围绕着“区块宇宙”理论,正如《Nautilus》一篇文章所呈现的。该理论认为,时间中的所有时刻——过去、现在和未来——都平等且同时存在,而不是时间线性流逝。
一位评论者分享说,他小时候就独立地构思了一个类似的想法,暗示了人类可能天生就对超越我们感知的现实有理解。其他人觉得这个概念令人解放,特别是对于那些已经质疑自由意志的人来说,强调知道未来并不会减损体验它的过程。
讨论还涉及了这个想法的虚构表现,提到了电影《降临》和库尔特·冯内古特的《第五屠宰场》,其中角色体验时间是非线性的。整体基调是一种智力上的好奇心和对区块宇宙模型具有挑战性但可能令人解放的含义的欣赏。
👍 1人点赞 👎 1人踩 😄 1人笑 🎉 1人欢呼 😕 1人困惑 ❤️ 1人爱心 🚀 1人火箭 👀 1人眼睛。 你现在无法执行该操作。
首页 博客 教程 导师计划 关于 我们 新闻通讯 工具 路线图 联系我们 隐私政策 服务条款 返回博客 由 Darko Tomic 热门文章 最新文章 网站地图 博客首页
我们的织布机设计符合人们自然的学习方式:通过实践。顶部的横杆会在你转动旋钮时自动分离经纱。因此,平纹织物,例如挂毯,轻而易举。但它不止于此——这些横杆也能制作出类似四轴织布机的图案。无需多个技术步骤、按压杠杆或解读图纸。它直接而直观:只需在每行之间转动横杆即可构建图案。5个横杆中的每一个都能创造出不同的织物结构,并具有无限的变化,即使是初学者也能立即探索复杂的设计。只需通过实践。对编织感兴趣,但还没有准备好投入时间和空间来使用更大的设备?Boss是一个强大、易于使用的创作工具。而且它只有两部分!已经是织布工了?可以取样和织片,构思想法,实验和玩耍。热爱纤维、色彩、图案、设计?我们也是!这就是我们制作Boss的原因。
## Boomloom:模拟编织与创意思考
“boomloom”是一种新颖的手动编织设备,最近获得了Core77设计奖。它被描述为“编织的模拟计算机”,通过旋转的图案棒简化了关键的提花过程——对于高效的图案创作至关重要。这让编织者可以专注于纱线的选择和设计。
Hacker News上的讨论强调了它的快速设置和激发创意思考的潜力。用户指出,这种触觉过程可以促进“深入的心理过程”,类似于微型绘画等活动。一些人受到启发,计划3D打印组件,而另一些人则探索模块化设计可能性,例如创建可互换的图案盘。
然而,详细分析表明,通过3D打印的模块化零件复制boomloom的简单性将非常复杂,并且可能侵犯现有专利。这种织布机本身的价格为80-140美元(框架)和20美元(梳子),促使一些人放弃购买。最终,boomloom被呈现为一种既能用于工艺制作,又能刺激创意思考的独特工具。