启用 JavaScript 和 Cookie 以继续。
每日HackerNews RSS
## Trevally.io:丢失数据的冒险解决方案?
一位开发者在Hacker News上介绍了Trevally.io,一个旨在备份公司电子邮件联系人、消息和附件的平台——即使在离职后。开发者在多次经历因裁员而导致与工作电子邮件账户相关联的个人数据丢失后创建了它。该平台旨在解决在失去工作账户访问权限时数据无法访问的问题,即使是从前同事的同步账户中也能恢复。
然而,该帖子引发了重大担忧。许多评论者强调了潜在的法律和安全问题,警告可能违反保密协议、违反公司政策以及触发数据丢失防护系统。许多人指出,将公司数据上传到第三方服务可能会导致被解雇或起诉。
开发者承认了法律问题,并澄清最初的意图是解决来自*任何*电子邮件的个人数据丢失问题,而不仅仅是工作账户。虽然一些用户提出了合法的用例,但绝大多数的回应强调了将工作账户与未经授权的外部平台同步相关的风险。该创作者正在寻求5名beta测试者的反馈。
客户端挑战:您的浏览器已禁用 JavaScript。请启用 JavaScript 以继续。网站的必要部分无法加载。这可能是由于浏览器扩展、网络问题或浏览器设置造成的。请检查您的连接,禁用任何广告拦截器,或尝试使用不同的浏览器。
麻省理工学院推出一种新型超声设备,声称可以加速大气水收集,可能为干旱地区提供清洁水源解决方案。然而,Hacker News上的讨论显示出对该声明的怀疑,评论员指出新闻稿中缺乏具体的实验数据。
担忧集中在热力学所决定的基本能量需求上——效率提升可能有限。虽然文章表明该技术即使在沙漠条件下(如撒哈拉沙漠的25%平均湿度)也能工作,但一个关键的限制仍然存在:空气中必须存在*一些*水分。
评论员还指出,该技术更有可能改进除湿器,而不是仅仅关注大规模沙漠收集,甚至开玩笑地设想未来可能出现的空气湿度权利争端。实际研究论文已在*Nature*上发表。
启用 JavaScript 和 Cookie 以继续。
## PostgreSQL 中的查找表与枚举:讨论
一篇 Hacker News 的讨论探讨了在 PostgreSQL 数据库中表示一组固定值的方法——使用查找表或枚举类型。初步测试显示,两种方法存储大小出乎意料地相似(约 338MB-392MB),尽管人们普遍认为枚举更节省空间。这归因于 PostgreSQL 的行对齐填充,可能抵消了查找表中使用的较小数据类型(如 `smallint`)的优势。
对话主要倾向于查找表,因为它们更灵活。当需要关联元数据(标签、描述等)或值需要更改时,枚举会变得有问题。查找表允许更轻松的维护,并在值演化时避免代码更改。
一些评论者强调了最小化连接的重要性,建议将查找值用作主键。另一些人指出,枚举可用于验证并在 Prisma 等工具中生成类型。最终,选择取决于具体的用例,可维护性通常比细微的性能差异更重要。有些人建议在应用程序逻辑中使用静态配置文件来处理验证,以完全避免数据库开销。
索福克勒斯的《俄狄浦斯王》,一部创作于2500多年前的悲剧,讲述了俄狄浦斯的故事:一位国王在不知情的情况下应验了一个可怕的预言。他无意中杀死了自己的父亲并娶了自己的母亲,直到他自己不懈地调查前任国王的谋杀案才发现了真相。 这部戏剧以一种独特的方式呈现了这个众所周知的神话,将其作为一部戏剧性的“是谁干的”故事,在一天之内展开,俄狄浦斯试图找出凶手——最终发现凶手就是他自己。 这种自我发现的故事在小说中非常罕见。作者指出,只有少数可比的例子,如《搏击俱乐部》和《天使之心》,突出了这部戏剧的原创性。 除了情节之外,作者还提出了一种引人入胜的解释:运用“自恋创作者剃刀”的概念,即所有创作作品本质上都关于创作行为本身。 因此,《俄狄浦斯王》不仅仅*关于*命运或悲剧,而是关于寻求意义的*过程*本身。 这部戏剧暗示,任何寻求理解的最终结果都是与自我、解释者的对峙,无休止地围绕意义的问题打转。
一场由一篇关于戏剧《俄狄浦斯》的链接引发的 Hacker News 讨论,集中在艺术和解读的元本质上。最初的帖子认为《俄狄浦斯》本质上是关于理解的*过程*本身。
一位评论者分享了对学术文学理论的沮丧,认为还原论的论点——例如所有艺术都是关于创作艺术,或所有文本都是可以互换的——最终毫无帮助。这促使他们放弃学术界,转而从事更具体的编程问题解决。
另一位用户推荐了弗雷德·阿勒的著作《索福克勒斯的《俄狄浦斯》:证据与自我说服》,该书认为该剧的调查是有缺陷的,但观众接受了它,因为他们事先了解了这个神话。这场对话突出了解读经典作品的复杂性以及过度理论化方法的潜在陷阱。
## 欧盟令人惊讶的高效立法机器 尽管欧盟结构复杂,存在大量否决权——代表不同的国家利益和政治派别——但其立法速度始终远超美国国会。在2019-2024年间,欧盟通过了约13,000项法案,而美国通过的法律和决议约为3,500项。这并非由于流程简化,而是源于独特的激励结构。 关键在于,*每个*参与者——委员会、议会和理事会——都受益于*制定*立法,而不是阻止它。委员会缺乏显著的预算权力,通过新法律来扩大其影响力。议员和公务员通过通过立法来推进职业生涯。 “三方会谈”——机构之间的私下谈判——促进了这一点,委员会通过起草权微妙地引导结果。议会内部的委员会,受到意识形态的驱动, wields 拥有不成比例的权力,经常向全体会议提出不可谈判的协议。轮值担任理事会主席国也会优先快速达成协议,以展示其成功。 结果是产生大量的立法,通常存在技术缺陷和矛盾,缺乏充分的影响评估或反馈机制。虽然看似矛盾,但欧盟的生产力源于一个在正式投票*之前*制造共识的体系,确保了“更多的法律”的持续流动。
NeurIPS 2025 授予了七篇开创性论文,表彰了机器学习领域的进展。四篇论文获得了“最佳论文”奖,包括一篇来自数据集与基准测试赛道,另三篇被评为“优胜奖”。获奖研究探讨了扩散模型理论、自监督强化学习、大型语言模型(LLM)中的注意力机制和在线学习等主题。 一篇引人注目的论文介绍了 **Infinity-Chat**,一个用于评估LLM多样性的庞大数据集和分类法,揭示了“人工蜂群思维”效应——生成内容趋于同质化的趋势。其他获奖研究表明,门控机制可以提高LLM性能,增加网络深度可以提升自监督强化学习,并发现了防止扩散模型记忆的隐式动态正则化。 优胜奖论文研究了RLVR在增强LLM推理方面的局限性(发现它并不能创造*新的*推理能力),展示了跨导在线学习的突破,具有更严格的错误界限,并将神经缩放定律与表征叠加联系起来——即LLM表示的特征比维度更多。这些奖项突出了会议多样化且具有影响力的研究,推动了机器学习的理论理解和实际应用的前沿。
## 黑客新闻讨论:NeurIPS 2025 论文奖
最近的黑客新闻讨论涉及 NeurIPS 2025 最佳论文奖。一篇名为“强化学习是否真的激励了 LLM 中超越基础模型的推理能力”的论文因其清晰度和相关性而备受赞誉。
讨论延伸到 LLM 中推理的本质,一位评论员质疑,如果给予足够的尝试次数,随机数生成器是否可能由于 top-p 采样中的偏差而胜过当前模型。其他人反驳说,这存在实际限制,并强调强化学习能够“磨砺”现有的推理路径,而不是创造新的路径——尽管承认缺乏明确的证据。
对话还涉及人工智能中创造力与正确性的价值,随机采样代表着无限的创造力,而强化学习模型则倾向于正确性。多位用户分享了获奖论文之外可能具有创新性的论文链接,强调了嵌套学习领域的工作以及物理学家进入人工智能/机器学习领域的贡献。最后,用户询问了会议演讲的录像。
启用 JavaScript 和 Cookie 以继续。
我可以使用… 现代网络技术浏览器支持表 由@Fyrd创建和维护,设计由@Lensco完成。支持数据贡献来自GitHub社区。使用份额统计数据来自StatCounter GlobalStats,2025年10月。位置检测由ipinfo.io提供。浏览器测试通过以下方式进行:
本报告详细介绍了与英国审查机构Ofcom持续的冲突,涉及其试图将规章强加于美国公司——特别是4chan——和公民的行为。Ofcom发函声称有权审查美国境内的美国行为,作者对此斥责为“在法律上文不对题”。
这引发了强烈回应,强调了GRANITE法案可能通过,该法案受Ofcom过度管辖的启发,旨在保护美国公司免受外国审查要求。作者回顾了与英国官员的先前互动,并坚决表示4chan将不遵守Ofcom的“年龄验证”规则,理由是受到美国宪法第一修正案的保护。
核心论点是Ofcom是一个审查机构,而非执法机构,因此缺乏管辖权。作者对GRANITE法案能够通过表示乐观,认为这将保护由美国主导的互联网未来,并防止进一步的外国干涉。
## Ofcom 扩大管辖范围及美国的回应 - 摘要
英国监管机构 Ofcom 向一家美国网站(4chan)发送法律通知的案例引发了关于管辖权扩张和审查制度的争论。Ofcom 正在域外执行英国法律,甚至针对在英国没有业务的实体,为未来可能的执法(例如通过 ISP 屏蔽内容)创建“纸质追踪”。
这种情况与过去的争议(如金·多特康案)相呼应,引发了人们对政府试图超越国界执行法律的担忧。虽然 Ofcom 目前无权直接逮捕或罚款英国境外的人员,但这些信函作为未来潜在行动的通知,如果个人前往与英国有执法协议的国家,或者如果美国法律环境发生变化,则可能采取行动。
许多评论员质疑 Ofcom 方法的合法性和有效性,将其描述为类似于审查制度的监管过度。然而,一些人认为这些信函是为在国内争取更大的执法权而采取的战略举措。这促使采取行动,包括拟议的“花岗岩法案”,旨在保护美国实体免受此类外国法律压力,并引发了关于美国通过外交和经济手段做出更强有力回应的讨论。
Lyra Rebane 详细描述了一种名为“SVG 点击劫持”的新型攻击技术,它将传统的点击劫持提升到超越简单按钮点击的复杂交互式攻击和数据泄露层面。这是由于令人惊讶的发现,SVG 滤镜——设计用于视觉效果——可以在 iframe 中跨域应用。 该技术的核心利用了诸如 `feDisplacementMap` 和 `feColorMatrix` 之类的 SVG 滤镜来操纵像素数据,从而创建伪造的验证码、隐藏文本,甚至读取像素颜色等效果。这使得攻击者能够在 SVG *内部* 构建逻辑门,从而实现对用户输入做出反应并动态改变界面的响应式攻击。 Rebane 通过示例展示了这一点,包括针对 Google Docs 的多步骤攻击(获得 3133.70 美元的赏金)以及完全在 SVG 滤镜中构建的二维码生成器,用于数据泄露。该技术绕过了许多传统的安全措施,例如 CSP,为复杂的攻击开辟了新的途径。这一发现代表了一种新的攻击面和独特的 Web 安全利用方法,源于将 CSS 和 SVG 视为可编程语言。
## 现代 SVG 点击劫持攻击:摘要
最近 Hacker News 的讨论强调了一种新型的点击劫持攻击,利用了现代 SVG 和 CSS 特性。与依赖 iframe 的传统点击劫持不同,这种方法即使没有 iframe 也能工作,可能利用具有严格内容安全策略 (CSP) 或 HTML 注入点的网站中的漏洞。
核心问题在于 SVG 滤镜和 CSS 属性的强大和灵活性,允许攻击者创建隐藏的 UI 元素并操纵用户交互。虽然使用 `X-Frame-Options` 标头或 CSP 的 `frame-ancestors` 指令来防止框架嵌入仍然重要,但这并非一个完整的解决方案。
研究人员演示了对 Google Docs 的成功攻击,引发了对即使是大型平台安全性的担忧。虽然有些人认为点击劫持是一种低风险威胁,因为漏洞赏金计划中收到的报告大多是垃圾邮件,但另一些人认为其潜在影响不应低估,特别是随着 CSS 和 SVG 功能的扩展。缓解策略包括强大的输入验证、仔细的 CSP 配置和持续的安全审计。该讨论还涉及类似攻击的历史背景以及网络安全日益复杂的问题。