经验带来识别系统内问题和解决方案的能力——看到别人忽略的“磨损电缆”。然而,主动提供未被要求的建议往往徒劳无功,并非因为建议不准确,而是由于时机、政治或相互冲突的优先级。 这种认识导向一项关键的生存技能:知道*何时*保持沉默。持续消耗精力于未被请求的改进会耗尽有限的资源,并且可能被负面看待。作者强调,被视为麻烦制造者和被珍视为顾问的区别在于,你的意见是否被主动*征求*。 最终,自保和有效资源管理决定,最好将精力保留在人们希望改变并且你被授权做出贡献的情况下,而不是“对虚空吠叫”。
每日HackerNews RSS
停止说话
Stop Talking
2 天前
## Hacker News 讨论总结:何时停止发言
一篇提倡沉默的文章——“如果没人提问或追责改变,就停止发言”——引发了 Hacker News 的讨论,揭示了一场细致的辩论。虽然最初的文章建议避免不必要的沟通,但评论者们大多反对完全保持沉默。
许多人强调沟通的*方式*和*场所*的重要性。有效的沟通需要确定合适的受众,清晰地阐述理由(需求、问题或机会),并准备好用解决方案来支持。几位用户强调了提供有价值的意见却因组织 misalignment 或缺乏资源而被忽视的沮丧感。
一个反复出现的主题是区分仅仅表达观点和推动实际改变。一些评论员建议专注于主动解决问题——实施小修复或“预先构建”想法——而不是仅仅指出缺陷。另一些人则警告不要过度批评,尤其是在不重视发表意见的环境中。
讨论还涉及了人工智能生成内容的兴起以及遇到低质量、人工智能撰写的帖子冒充原创思想的烦恼。最终,共识倾向于战略性的沟通和行动,而不是完全的沉默。
## Filevine 漏洞披露 - 摘要
2025年10月,一位安全研究人员发现Filevine存在一个严重漏洞,Filevine是一家快速发展的、估值超过十亿美元的法律科技平台。通过子域名枚举,发现了一个未受保护的演示环境(“margolis.filevine.com”)。对该网站的JavaScript的调查显示,存在一个无需身份验证的API端点,查询该端点会返回律师事务所Box文件系统的完整权限管理令牌。
该令牌授予访问律师事务所Box帐户中*所有*机密数据的权限——包括客户文件、内部文件以及受HIPAA和法院命令保护的敏感信息。研究人员立即停止测试,并于2025年10月27日负责任地向Filevine披露了该问题。
Filevine的安全团队及时且专业地响应,并于2025年11月21日确认已修复该漏洞。在协调披露之后,于2025年12月3日发布了一篇详细描述该漏洞的技术博客文章。此案例强调了处理高度敏感数据的AI驱动法律工具采用健全安全实践的重要性。
启用 JavaScript 和 Cookie 以继续。
## React 安全漏洞 - 紧急更新 React Server Components 中发现了一个严重的安全漏洞(CVE-2025-55182,CVSS 10.0),允许**未经身份验证的远程代码执行**。此漏洞影响 React 的 19.0、19.1.0、19.1.1 和 19.2.0 版本。 **需要立即采取行动:** 升级到 React 19.0.1、19.1.2 或 19.2.1 版本。 此漏洞影响使用 React Server Components 的应用程序,即使您没有直接实现 Server Function 端点。**受影响的框架和打包工具包括:** Next.js、React Router、Waku、Parcel、Vite 和 Redwood SDK。每个框架的具体升级说明详见完整公告。 虽然一些托管服务提供商已实施了临时缓解措施,但**依赖这些措施是不够的** – 升级至关重要。该漏洞源于 React 解码发送到 Server Function 端点的负载方式中的缺陷,允许攻击者通过精心构造的 HTTP 请求在服务器上执行代码。 该问题由 Lachlan Davidson 于 2025 年 11 月 29 日报告,并于 2025 年 12 月 3 日发布了修复程序。如果您的应用程序不使用服务器或支持 React Server Components 的框架,则不受影响。
React 服务器组件 (RSC) 发现了一个严重的安全漏洞,可能允许未经身份验证的攻击者在服务器上执行远程代码。该问题源于恶意 HTTP 请求在反序列化期间针对服务器函数端点。
多个流行的框架受到影响,包括 Next.js、react-router 以及其他使用 RSC 的框架。该漏洞的 CVSS 分数为 10,表明其严重程度极高。
幸运的是,Next.js 已经发布了 15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7 和 16.0.7 版本中的修复程序。强烈建议受影响框架的用户立即更新。此次发现凸显了 React 新特性中持续存在的安全问题,促使一些开发者考虑使用 HTMX 等替代方案。更多讨论和详细信息可以在 Hacker News 和相关帖子中找到。
Rocketable 正在构建软件公司的未来——完全自主的企业,完全由人工智能驱动。他们收购盈利的 SaaS 公司,并系统性地用人工智能代理取代人工角色(工程、支持、运营),目标是实现零人工干预。 核心挑战在于构建一个能够跨越多样化技术栈和业务领域的平台。初期阶段专注于自动化客户支持,然后扩展到自我调试、功能创建,并最终实现超人性能。Rocketable 优先考虑生产就绪的系统,而非研究,需要具备扩展分布式架构(TypeScript/Python、Kubernetes、云基础设施)的强大工程背景。 他们正在寻找一位架构师来领导这项工作,这个人必须相信完全自动化是不可避免的,并且有动力去应对前所未有的挑战。这不仅仅是渐进式改进,而是为新一代人工智能驱动的企业构建基础架构。在 650 万美元的种子资金支持下,Rocketable 提供了一个高杠杆的机会来塑造工作的未来。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
Rocketable (YC W25) 正在招聘一名创始工程师来自动化软件公司 (ycombinator.com)
1 天前 | 隐藏
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
近十年以来,Valve一直在秘密资助“Fex”项目,该项目旨在将Windows游戏带到基于ARM的设备上。Steam Deck负责人Pierre-Loup Griffais透露,该举措是对他们成功的Linux兼容层Proton的补充,并扩展了PC游戏超越传统x86架构的可能性。 Valve认为ARM在较低功耗下提供更高的效率,为超便携式笔记本电脑、平板电脑甚至手机运行更广泛的游戏打开了大门。他们正在开发ARM版本的SteamOS,利用专门的Proton构建和Fex模拟器来翻译Windows游戏。 目标是降低用户门槛并提供选择,潜在地使游戏在Linux上运行*更好*,因为系统开销降低。虽然仍然存在挑战——特别是多人游戏中的反作弊系统——但Valve的工作正在促进一个不断增长的Windows替代生态系统,这从SteamOS和Bazzite等发行版的受欢迎程度可以看出。最终目标是扩大PC游戏市场,并赋予玩家更多的硬件选择。
一场关于Hacker News的讨论围绕着一篇关于Valve为Windows游戏资助ARM兼容性的帖子,最初由The Verge报道。原始帖子被标记为重复,引发了用户的提问。
一位版主(tomhow)解释了标记的原因,指出最初的Hacker News提交发生在24小时前,尽管由于网站处理重新提交的方式,看起来更新。他们还澄清了Hacker News的指南优先考虑提交到*原始*报道来源——在本例中为The Verge——以奖励原创新闻。
用户指出The Verge的文章有一个动态付费墙,可能会根据阅读频率限制访问,但也有一些用户报告没有问题。分享了已存档版本的链接以绕过潜在的付费墙。最终,对话导致评论被转移到Hacker News上更早的原始提交。
## VA及其他地区的Oracle EHR问题 (Hacker News 摘要)
一篇《华盛顿邮报》文章,重点介绍了Oracle电子健康记录 (EHR) 系统在退伍军人事务部 (VA) 实施中出现的严重错误,引发了Hacker News上的讨论。用户分享了他们在医疗IT领域遇到的经验和见解。
一个关键主题是医院内部诚实报告错误的困难,人们担心追责、政治运作和自我保护会凌驾于患者安全之上。瑞典Oracle EHR项目失败也暴露出类似的问题。
许多评论员指出Oracle在ERP和EHR实施方面存在诸多问题,质疑为什么组织在多次失败后仍然选择他们。人们对缺乏竞争以及裙带资本主义对政府合同的影响表示担忧。
讨论还涉及了更换VA的VistA等遗留系统的困难,虽然VistA系统老旧,但运行良好。一些用户提倡复制成功的系统,而不是从头开始构建,但指出采购流程常常阻碍这种方法。最终,共识对医疗IT描绘了一幅黯淡的图景,缺乏改进的动力,并对患者福祉构成重大风险。
此仓库提供针对 New World Mac OS Toolbox 镜像(1.2+ 版本)的补丁,以启用在较新硬件上启动较旧的系统版本,如 System 7.x。 随着时间的推移,关键接口(程序间通信、声音、通讯、事件管理器、图片/文本/图标工具)被从 Toolbox 中移除。这些补丁恢复了这些功能。 包含的脚本会根据 Toolbox 镜像中现有的陷阱自动应用正确的补丁集。 此外,还提供了一个针对 `ProcessMgrSupport.pef` 的特定补丁,解决了 TBXI 版本之间初始化更改的问题,并需要使用 Retro68 进行重建以支持较旧的系统。 进一步的补丁解决了与 Mac OS 9 中引入的文件控制块的兼容性问题,允许较旧的系统运行,但可能存在不稳定情况。 建议以 TBXI v10.2.1 作为基础,并提供特定的偏移量补丁。 虽然这些补丁允许启动较旧的系统,但由于不兼容的扩展或控制面板(例如 System 7.x 中的日期和时间面板),可能会发生崩溃。 不能保证完全稳定的系统,但这提供了一种在更现代的配置上运行经典 Mac OS 的途径。
```
Hacker News新版 | 过去 | 评论 | 提问 | 展示 | 工作 | 提交登录
Universal-tbxi-patchset:Mac OS 新世界 ROM 补丁集,用于启动 System 7.5 (github.com/wack0)
36 分,classichasclass 1 天前 | 隐藏 | 过去 | 收藏 | 2 评论
yjftsjthsd-h 1 天前 | 下一个 [–]
> 补丁脚本是用 PHP 编写的,只需在与你的 vasmm68k_mot 构建相同的目录下运行 php patch.php "path/to/Mac OS ROM.hqx.src"。它是 100% 有效的,但我总是忘记 PHP 是一种通用脚本语言:) 我假设它是一个补丁脚本,而不是 patch(1),因为它似乎正在交互式地查看 ROM 以找到要修改的正确内容?回复
dddddaviddddd 1 天前 | 上一个 [–]
我认为这是现在允许你在像 Mac Mini G4 这样新的机器上运行 System 7 的工作的一部分,这在 https://news.ycombinator.com/item?id=46084956 中有更广泛的讨论。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
```
某些 React 包(版本 19.0.0、19.1.0、19.1.1 和 19.2.0)以及使用这些包的框架(包括使用 App Router 的 Next.js 15.x 和 16.x)受到一个漏洞的影响。该问题在上游被追踪为 CVE-2025-55182。 修复版本: React: 19.0.1, 19.1.2, 19.2.1 Next.js: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7 该漏洞还影响了从 14.3.0-canary.77 开始的实验性 Canary 版本。任何 14.3 Canary 构建的用户应降级到 14.x 稳定版本或 14.3.0-canary.76。所有使用稳定版 15.x 或 16.x Next.js 版本的用户应立即升级到已修复的稳定版本。 受影响的 React 包是: react-server-dom-parcel react-server-dom-turbopack react-server-dom-webpack
## AI 数据中心:不会重蹈电信业崩溃覆辙 将当前 AI 数据中心繁荣与 2000 年代的电信业崩溃进行比较具有误导性。虽然两者都涉及大规模基础设施支出和泡沫担忧,但仔细分析数据会发现根本性的差异。 电信业崩溃源于对需求的灾难性误判(高估了 4 倍),并伴随着光纤技术的*指数级*提升,导致大量已建基础设施未被使用——95% 处于“暗纤”状态。然而,AI 面临的是每瓦 GPU 性能提升*放缓*,以及由向 AI 代理转变推动的潜在*加速*需求。 与迅速过时的光纤不同,由于效率提升递减,今天的 GPU 能够更长时间地保持价值。虽然短期内的修正是可能的——可能由代理采用速度放缓、金融不稳定或意外的效率突破触发——即使是过度建设的 AI 基础设施也不会变得无用。它只是会被利用更长的时间。 核心风险不在于建设*过多*,而在于*时机*。预测的代理采用率与实际采用率之间的错配可能导致暂时性产能过剩。然而,这与为从未实现的需求而建设,同时技术又使基础设施过时的情况截然不同,就像电信业发生的那样。AI 繁荣似乎是由真实且不断增长的需求推动的,这使得重蹈电信业崩溃覆辙的可能性不大。