启用 JavaScript 和 Cookie 以继续。
每日HackerNews RSS
OpenAI Frontier
2 天前
启用 JavaScript 和 Cookie 以继续。
``` %PDF-1.5 %文档开始 1 0 obj > 流 xÚmUMoâ0½çWx•ÚÅNÈW… œ„H¶ Zí•&¦‹TàÐ ¿~3Ú®ö z¿™yóœ87?ž×Ûö¯nÝkõâNýehܤü¹=77Uß\®;?:׺vÜ==¨ç¡oÖî¬nËUµêöç;O^uÍû¥u#ëÿ¤Â½í»O ú¨Û û=Ù˜‰a³?¿û kLy 6FÑæ/7œö}÷ ̽ÖÚ–][öH`´öØ2 ãš™$`¤TY'`”(ZqŠÇÁ¼BJÅŒ )KÒÌŒ%553 ```
一篇最新的论文探讨了改进“解嵌套”复杂数据库查询的方法——将嵌套查询转换为更高效、更扁平的结构。Hacker News上的讨论集中在如何实际实现该算法。
虽然该算法在DuckDB中实现,但用户质疑SQLite是否会采用该技术,并指出SQLite的重点并非分析型工作负载。一个关键的挑战是如何将生成的非树形查询计划适配到为传统树形结构设计的现有数据库执行器。
评论者指出,该研究在这些计划如何与更广泛的查询优化流程集成方面缺乏细节,特别是关于连接构建和重写规则。据报道,HyPer和Postgres等现有系统可以处理这个问题,可能通过诸如公共表表达式(CTE)之类的技术,后者充当优化屏障。核心问题在于弥合代数表示和执行模型之间的差距。
## 公司即代码:对程序化组织的呼吁 作者观察到一种讽刺:虽然软件公司依赖高度数字化的系统进行运营,但其核心组织结构——政策、流程和层级——却主要以手动方式记录和管理。这种脱节导致了显著的效率低下,尤其是在 ISO 27001 等合规审计期间,消耗了宝贵的工程时间。 核心理念是“公司即代码”——对整个组织进行程序化、版本控制的呈现,借鉴基础设施即代码的成功经验。这份“公司清单”将定义人、政策和系统之间的关系,从而实现自动合规监控、政策变更的影响分析以及简化的组织设计。 现有的工具(人力资源信息系统、GRC)不足之处在于它们专注于孤立的数据点。作者设想一种领域特定语言 (DSL),以声明方式定义组织实体及其关系,利用图数据库和 API 集成来实现动态、互联的模型。代码系统之外,用户友好的界面对于更广泛的采用至关重要。 虽然存在挑战——组织复杂性和对合适抽象水平的需求——但潜在的好处是巨大的:减少审计负担、改善决策以及从被动合规转向主动治理。作者认为这是可行的,并邀请大家讨论构建这样的系统。
## 公司即代码:摘要
这次Hacker News讨论围绕着将公司的结构、政策和流程表示为“代码”——一种机器可读、版本控制的系统——而不是依赖传统的文档和碎片化信息。核心概念是创建一个动态的、数字化的组织表示,可以进行查询、测试和自动验证。
虽然许多人看到了提高透明度、自动化和合规性的潜力,但评论者也提出了重大挑战。一个关键点是,公司本质上是*人类*系统,严格的代码化可能会扼杀必要的灵活性,并忽略关键的未书面动态。 几位评论员指出,LDAP、ERP甚至GitLab的公开手册等现有系统已经解决了这方面的一些问题。
讨论强调了在人身上强制执行“代码”的难度,抵制这种透明度的权力动态(因为它降低了专业知识和控制的价值),以及现实世界运营的固有混乱性。最终,“公司即代码”的可行性可能取决于利用人工智能来弥合正式规则和工作实际完成方式之间的差距。
## OpenClaw 与新兴代理生态系统安全风险
近期事件表明,OpenClaw 等人工智能代理框架蓬勃发展的生态系统中存在关键安全漏洞。这些代理由于可以直接访问系统并拥有“长期记忆”而功能强大,但它们容易通过技能分发系统被利用。技能通常是包含指令的简单 markdown 文件,实际上是安装程序——能够执行命令和下载恶意载荷。
最近发现 ClawHub 上一个下载量最高的“Twitter”技能是一个恶意软件传播工具,将恶意代码伪装成必要的依赖项。这凸显了一场利用技能作为分发渠道和社交工程攻击“先决条件”的蓄意活动,导致信息窃取恶意软件感染。
这种风险不仅限于 OpenClaw;开放的代理技能格式正在变得越来越普遍,从而扩大了潜在的攻击面。仅依赖模型上下文协议 (MCP) 等功能的安全是不够的,因为恶意技能可以绕过这些控制。
**关键要点:**
* **请勿在公司设备上使用 OpenClaw 或类似代理。**
* **如果受到威胁,请立即联系您的安全团队并轮换凭据。**
* **技能注册表必须被视为应用商店,并进行强大的扫描和溯源检查。**
* **代理框架需要默认拒绝执行、沙盒和持续权限强制执行。**
代理的未来取决于构建一个强大的信任层——技能可验证、执行受调解、权限精细且可审计的层。
美国中央情报局(CIA)在其公开了近50年后停止了其受欢迎的在线资源《世界概况》。该书最初在二战期间开发,旨在标准化情报信息,它提供关于世界各国免费、定期更新的数据,并被记者、学者和公众广泛使用。 中央情报局没有说明停止出版的具体原因,只是表示该书已“停止更新”,并鼓励继续探索世界。然而,此次关闭与特朗普政府削减政府项目和通过自愿离职及计划裁员减少中央情报局人员的努力相符。 《世界概况》的数字版于1990年代推出,在学年期间尤其受欢迎,提供易于访问的公共领域数据。它的删除代表着失去了一个有价值、值得信赖的全球信息来源。
## Simply Scheme: 摘要 《Simply Scheme》是一本使用Scheme编程语言的计算机科学入门教材。它强调“符号编程”方法,侧重于操作符号而非数字,旨在建立核心概念的坚实基础。 本书引导读者学习列表、句子、高阶过程、递归和抽象。它强调通过“小人们”和“结果替换”等模型理解程序*如何*工作,并结合Pig Latin和阶乘等实用示例。 主要主题包括定义过程、利用特殊形式(如`if`和`let`)以及掌握递归模式(Every、Keep、Accumulate)。 后续章节探讨抽象数据类型、解析以及处理结构化列表。本书最终以构建更大的应用程序——井字游戏、数据库和简单的电子表格为高潮,展示了如何将所学原理应用于现实世界的问题。 《Simply Scheme》还涵盖了文件、向量和调试技术等基本工具,同时也承认纯函数式编程的局限性。它专为自学而设计,包含大量的练习和解答。
## 简单Scheme与计算机科学教育中的函数式编程
一则黑客新闻讨论围绕“简单Scheme:计算机科学导论”(1999)展开,以及Scheme和Racket等函数式编程语言在入门计算机科学课程中的衰落。许多大学,包括麻省理工学院和加州大学伯克利分校,已经转向Python、Java或C++。
虽然格林内尔学院和布朗大学等一些机构仍然优先在早期教授函数式编程,但其他一些机构,如东北大学,尽管有学生和教职人员的反对,最近已经放弃了它。一个主要担忧是为学生准备“现实世界”的编码,C++通常因其在大学课程中的可转移性而被选择。
评论者争论函数式编程的学习曲线是内在的还是仅仅由于不熟悉,并指出lambda演算在历史上的先于图灵机。有一种观点认为,早期接触函数式概念可以培养更好的设计技能和对数据流的理解,而这些技能可能会在从面向对象或命令式范式开始时丧失。人工智能编码工具的兴起也引发了关于入门语言选择未来的问题。“简单Scheme”的全文可以在网上找到。
由于提供的文本是PDF文件中的二进制流数据,其中包含大量非文本字符,直接翻译成可读的中文没有意义。 这些字符看起来像是压缩或加密后的数据,或者是一些程序指令。 如果需要翻译PDF文件中的实际文本内容,请提供PDF文件的文本内容,而不是二进制流。
## 社会保障局数据泄露
一份最新报告详细说明了涉及社会保障局(SSA)及其“DOGE”团队的一起重大数据泄露事件——该团队负责数据分析。一名举报人透露,2025年,DOGE成员未经授权将SSA整个“NUMIDENT”数据库上传到不安全的服务器。
文件列出了多项违规行为,包括在据称已撤销访问权限后访问受限数据、与外部DOGE顾问共享数据、超出授权的数据访问范围以及从事党派相关的选举工作。数据还使用未经批准的第三方服务器(Cloudflare)进行传输,受损信息的完整程度尚不清楚。
评论员对继续依赖社会安全号码(SSN)进行身份验证表示担忧,并提倡使用欧盟采用的PKI证书和国家身份证等更安全的系统。许多人担心,尽管发生了泄露事件,但情况不会有太大改变,并强调过去数据失败缺乏问责制,建议可能需要采取法律行动。该事件引发了人们对SSA内部数据安全措施以及身份盗窃和欺诈可能性的质疑。
为数百家医疗保健企业提供支持。 构建医疗保健营销的未来。 在Freshpaint,我们帮助医疗保健公司在不损害患者隐私的前提下实现增长。我们的平台使您能够在保持HIPAA合规性的同时使用现代分析和营销工具。在幕后,我们正在解决复杂的数据问题,以便医疗保健营销人员可以快速行动,覆盖更多人群,并扩大医疗服务范围。 我们是一个高成长、高情商的团队,行动迅速,对结果负责,并将客户放在首位。如果您充满好奇心、积极进取并热衷于产生影响,您将在这里茁壮成长。 加入我们,共同构建驱动下一代医疗保健的数据基础设施。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
Freshpaint (YC S19) 正在招聘高级软件工程师,数据 (freshpaint.io)
1天前 | 隐藏
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
破碎的心
A Broken Heart
2 天前
## 心形表情符号导致100倍减速
最近一个Web应用仪表盘的性能下降,最初被认为是React的问题,结果却是一个奇怪的Safari错误,由单个心形表情符号(❤️)触发。在与编码助手(Claude)的初步调查没有发现React相关问题后,深入研究Safari的性能时间线显示,布局期间CPU使用率达到94%——具体来说,每次布局耗时1600毫秒,比预期慢约100倍。
在Claude的帮助下,二分查找迅速确定表情符号是罪魁祸首。问题源于使用Google的Noto Color Emoji字体,该字体依赖于COLRv1。Safari为此字体回退到SVG渲染,导致极端的布局延迟。
在Claude的帮助下创建了一个最小的重现案例,证实了该错误,并向Safari团队提交了报告,他们确定了CoreSVG中的问题。解决方法?在Apple平台上,在字体列表中优先使用“Apple Color Emoji”,直到发布修复程序。
这次经历凸显了编码助手的强大功能——以及潜在的陷阱,它极大地加速了调试,但也引入了一个复杂的字体解决方案,最初导致了问题。
## 黑客新闻讨论:破碎的心 & AI 调试
一篇最近发表在 allenpike.com 上的文章详细描述了一个 React 应用中 emoji 渲染意外缓慢导致性能问题。根本原因追溯到使用 Google Font (Noto Color Emoji) 以实现一致的 emoji 显示,这导致通过 SVG 备用方案渲染心形 emoji 时延迟了 1400 毫秒。
讨论对在调试中使用 AI 代理的反应不一。一些人认为作者使用代理来创建最小的重现案例很有帮助,尤其是在耗时任务方面。另一些人则表示对详细描述 AI 代理的使用感到厌倦,或者指出使用 `git bisect` 等传统调试方法的价值。
一个关键的收获是,看似简单的解决方案(例如使用 emoji 字体)可能会引入意想不到的复杂性和性能问题。 许多评论员强调了在考虑开发者效率的同时,考虑程序效率的重要性,并质疑在代码和日志中过度使用 emoji。这篇文章引发了关于 AI 作为一种强大但潜在危险工具的作用的争论,它被比作电锯——在熟练的人手中很有用,但否则有风险。