由于一次灾难性的安全故障,欧洲各地近百万份护照和驾驶执照在公共互联网上泄露了数月之久。这些属于 Nefos 用户和各类大麻俱乐部成员的证件,被存储在没有加密、密码或身份验证保护的网页服务器上。任何拥有直接链接的人都可以访问这些敏感的身份证明文件。 与泄露的密码不同,身份证明文件无法轻易重置。此次泄露带来了长期性的身份盗用、欺诈和账户被劫持风险,犯罪分子可能会在未来多年内利用这些被盗数据。 安全研究员 Sammy Azdoufal 发现了这一漏洞。此事凸显了一个令人不安的趋势:企业在收集海量敏感数据用于“年龄验证”的同时,却将基本的安全实践视为可选项。该事件反映了数据管理方面的系统性失败,“配置错误”导致了近百万公民的隐私信息被公之于众。虽然涉事服务器现已下线,但泄露的具体时间窗口仍不清楚,这使得受害者几乎没有补救措施,并面临着长期且持续的被侵害风险。
每日HackerNews RSS
一起重大数据泄露事件导致一百万人的个人信息曝光,其中包括护照扫描件和驾驶执照。这些敏感文件被不加防护地存放在公共服务器上,该服务器属于为欧洲大麻零售商提供年龄和会员验证服务的平台“PuffPal”。
此事件在 Hacker News 上引发了关于数据留存做法的激烈讨论。用户们对于公司在初步验证过程结束后仍长期存储高价值身份文件的行为表示愤怒。许多人认为,这种做法违反了《通用数据保护条例》(GDPR)中的“存储限制”原则,因为保留此类敏感数据会造成不必要的、高风险的安全隐患。
评论者呼吁对未能保护用户数据的组织实施更严格的监管和惩处,并指出第三方服务机构无限期留存数据的现状是不可持续的。尽管有人建议采用零知识证明等技术方案,但讨论的焦点依然在于:用户被迫为了简单的单次年龄核验而交出永久性身份凭证,这令公众感到非常不满。
Robert X. Cringely 对行业内普遍持有的观点提出了挑战。该观点由 Anthropic 的 Dario Amodei 推广,认为增加算力的“规模化”最终将解决人工智能的幻觉问题。Cringely 认为,这种“规模化假说”为科技巨头提供了一张便捷的“通行证”,使他们能够为数十亿美元的巨额投资正名,同时推迟解决人工智能可靠性这一根本性技术挑战。 为了证明规模化并非唯一的出路,Cringely 引用了他自己的公司 2Brains, Inc. 的案例。该公司通过架构设计——使用普通处理器和验证系统——而非暴力计算,解决了幻觉问题。 他的批评指出,在规模化上投入万亿美元的赌注是有缺陷的。要么规模化无法完全根除幻觉,这意味着行业正在将巨额资金浪费在无效的策略上;要么它最终会通过巨额支出实现本可以通过更优秀、更高效的设计就能完成的目标。Cringely 最终指出,该行业被一种“便捷的教条”所蒙蔽,这种教条崇尚花钱而非工程创新。随着这些巨额投资的账单陆续到期,他警告说,“更多算力等于更高智能”的假设,可能会成为该领域历史上最昂贵的误判。
这篇 Hacker News 的讨论批评了“可以通过外部事实核查系统彻底解决大语言模型(LLM)‘幻觉’问题”这一前提。
一位评论者指出,将 LLM 的错误称为“幻觉”具有误导性;它们仅仅是模型达到当前规模极限后的结果。他认为,扩大规模能带来更好的推理能力和细微差别,并提出进一步扩展规模,或将大模型蒸馏为小模型,是未来唯一可行的路径。另一位参与者则提到,一些学术研究表明,由于近似误差的存在,幻觉是与生俱来的,完全消除是不可能的。
相反,其他人认为将幻觉视为无法逾越的障碍已属过时。他们建议企业应将 LLM 视为非确定性工具,通过实施安全防护措施而非苛求完美来加以利用。最后,讨论还触及了对规模化的过度关注究竟是低效的“暴力破解”策略,还是在安全评估等专业任务中实现高级超人类能力所必需的条件。归根结底,这场辩论凸显了在试图“修复” LLM 输出与接受其概率本质以换取创造力和推理潜力之间的矛盾。
暗空照明 Dark Sky Lighting
4 小时前
以下是内容摘要: 琥珀色且对夜空友好的照明方案,为目前社区普遍安装的刺眼白色 LED 灯提供了一种经济、高效且实用的替代选择。光污染正日益严重,但我们可以通过倡导更合理的照明政策来重拾星空。 正如社会曾共同努力限制公共场所吸烟一样,现在我们也必须齐心协力,敦促当地官员选择琥珀色照明,而非造成光污染的白色 LED 灯。作者鼓励读者立即采取行动,联系城镇政府并利用所提供的资源(包括信件样本和指南)来协助减少光污染。为了获得更多启发,作者建议观看斯里拉姆·穆拉利(Sriram Murali)执导的纪录片《拯救黑暗》(*Saving the Dark*)预告片。通过共同发声,我们可以在有害照明被永久安装之前,守护好我们的夜空。
此 Hacker News 讨论帖探讨了“暗空照明”(savingourstars.org)这一倡议。尽管该网站旨在推广减少光污染在环保与美学方面的益处,但用户对其糟糕的使用体验表示不满。
评论者指出,该网站的布局难以浏览,需要过度滚动才能看到核心信息,有人将其比作内容臃肿的食谱博客。讨论还涉及了照明的实用性;一位用户指出,历史上的琥珀色路灯实际上在减少光污染方面非常有效,而另一位用户则提到这种照明可能会引发睡意。
讨论最后,网站管理员更新了链接,使其直接指向文章的描述部分;与此同时,其他人也批评了一些网页设计上的小问题,例如糟糕的 Cookie 同意弹窗实现以及生硬的文本排版。总的来说,社区支持“暗空友好型照明”这一概念,但对其在线呈现信息的方式持批判态度。
本文对苹果神经网络引擎(ANE)进行了全面的逆向工程技术分析。ANE 是集成在苹果 A 系列和 M 系列芯片中的矩阵加速器。研究涵盖了从 A11/M1 到 A18/M5 的硬件代际演进,详细介绍了 ANE 的架构,包括其数据通路、权重压缩技术、固件、内核驱动程序及指令协议。 通过结合硬件直接测量(主要针对 M1 和 M5 芯片)以及对私有运行时和编译器的静态分析,作者确定了该引擎的性能边界与运行特性。本指南明确指出,虽然 ANE 通常仅限于苹果的 Core ML 框架使用,但从用户空间直接访问该硬件是可行的。不过,作者提醒这种底层方法未经官方文档支持,且对版本高度敏感;它仅适用于研究和基准测试,不应用于生产软件。总之,这项工作为理解驱动苹果自研芯片机器学习加速的专有机制提供了透明的视角。
```Hacker News 新闻 | 过往 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
Apple Neural Engine:架构、编程与性能 (arxiv.org)
53 点,由 Jimmc414 发布于 5 小时前 | 隐藏 | 过往 | 收藏 | 2 条评论 | 帮助
carbocation 9 分钟前 [–]
这看起来很像是 AI 写的。
回复
dkdcdev 7 分钟前 | 父评论 [–]
为什么?
回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:```
Carson Gross 反思了他与人工智能之间矛盾的关系,并以其项目 *hyperscript* 最近的一次错误修复为例,说明了 AI 的两面性。 尽管 Claude 在定位解析回归(parsing regression)的根本原因和生成全面测试用例方面表现出色,但在提供架构合理的解决方案时却显得力不从心。AI 最初的建议往往是“投机取巧”的,引入了不必要的技术债务。Gross 避免了“魔法师的学徒”式的问题(即开发者在不理解系统的情况下盲目依赖 AI),他利用自己对 *hyperscript* 的深厚理解,引导 AI 转向解析器中更简洁、现有的机制。 Gross 总结道,AI 是一个强大的力量倍增器,尤其是对于那些在记忆力或精力方面可能遇到瓶颈的资深开发者而言。然而,他警告称,过度依赖 AI 可能导致“智力迟钝”。高效开发的关键在于保持“人在回路”的方法:利用 AI 进行繁重的调查和测试工作,同时保留必要的专业知识,以要求并验证优雅的解决方案。他认为,开发者必须充当监督 AI 的“魔法师”,而不是为了快速修复而牺牲系统完整性的被动“学徒”。
这篇 Hacker News 上的讨论聚焦于《htmx》作者撰写的一篇文章,探讨了使用 AI(特别是 Claude)进行编程任务的优势与局限。
评论中的核心观点包括:
* **设计局限性:** 批评者认为,尽管大语言模型(LLM)擅长处理样板代码和分析,但它们缺乏“世界模型”,难以进行高层架构思考。这种急于采用次优方案的倾向,可能会导致严重的长期技术债务。
* **测试的重要性:** 评论者建议,如果模型在实现代码前能更好地进行规划并编写稳健、智能的测试,或许能缓解其设计失误的问题。
* **认知影响:** 关于过度依赖 AI 是否会削弱人类智力,各方仍存在争议。一些人认为大脑具有可塑性,将 AI 作为工具更多是关于效率,而非技能退化。
* **网站批评:** 用户指出了一个讽刺之处:新的《htmx》网站使用了复杂的 JavaScript 生态系统(Astro),这与其极简、优先考虑 HTML 的初衷相悖。作者解释称这是团队主导的一次实验,并强调尽管 AI 可能让复杂的架构更易于管理,但核心网络标准的简洁性依然至关重要。
身份 许可人名称:拥有并发布许可作品的个人或实体。 版权年份: 司法管辖区(第 8.1 节): 准据法:选择常见司法管辖区…… 美国特拉华州(广泛的商业先例) 美国佛罗里达州 新加坡(亚太地区) 爱沙尼亚(欧盟) 英格兰和威尔士 自定义…… 自定义准据法文本: 审判地(法院):拥有专属管辖权的城市及州/国家。 通知(第 8.7 节)——可选: 法律通知联系地址(可选): 单独发布在您的网站或 README 文件中;默认不嵌入在许可证正文中。 发布元数据——用于页眉和声明: 版本号: 首次公开发布日期: 变更日期:自动设置为该日期后的四年。 许可证 URL(可选): 分级表 URL(可选):
关于“ACL 1.0”(一种针对人工智能时代的新型“源代码可用”许可证),Hacker News 上的讨论凸显了开发者社区的深度质疑。
虽然一些人赞赏创作者诚实地将该许可证标记为“源代码可用”而非“开源”,但批评者认为该模式存在根本性缺陷。一个主要争议点在于,此类许可证无法有效限制人工智能训练:如果训练在法律上被视为合理使用,则该许可证毫无意义;如果它构成侵权,该许可证也无法解决根本的法律冲突。
评论者还指出,该许可证创造了一种“两头不讨好”的局面。自由软件倡导者拒绝它,因为它本质上仍是私有的;企业也不太可能采用它,因为它无法提供任何竞争优势。此外,怀疑论者认为,软件的价值正日益与产品架构挂钩,而非源代码,而人工智能现在可以轻易复制架构。归根结底,舆论共识认为,试图通过许可来控制人工智能的使用是一种徒劳的方法,既无法满足私有软件开发者的需求,也无法得到开源社区的认可。
这份草稿反对在 CSS 中列出详尽且仅限本地字体的做法。由于网络、安全或用户自定义偏好等原因,Web 字体可能会加载失败,因此作者提倡采用“通用优先”的方法。 主要建议包括: * **简化字体栈:** 停止枚举数十种本地字体(如 Helvetica 或 Arial)。通用字体族(`sans-serif`、`serif`、`monospace`)通常会自动解析为高质量的系统默认字体。 * **优先使用通用等宽字体:** 始终包含 `monospace` 关键字,但需注意一个旧版浏览器的 Bug,即 `font-family: monospace` 可能会导致文字缩小。解决方法是使用 `font-family: monospace, monospace`(或添加一个占位字体)。 * **避免使用 UI 字体:** 作者认为 `system-ui` 和 `ui-*` 属性在很大程度上是误导性的,认为它们是为简短的界面文本而非长篇内容设计的,且已被开发者广泛滥用。 最终,作者建议 Web 开发者应更多地信任浏览器默认设置,避免使用臃肿且不可靠的字体栈,转而采用简洁、语义化的声明。
这个 Hacker News 讨论帖探讨了网页字体实现的复杂性。对话的核心是一篇博客文章,该文章建议使用通用字体族(等宽、衬线或无衬线字体),以确保在不同用户环境中获得一致的渲染效果。
评论者们就性能与用户体验之间的权衡展开了辩论。尽管开发者常被建议推迟加载或内嵌字体以提高页面加载速度指标,但有用户指出,字体在页面加载期间切换所导致的“布局偏移”令人沮丧。多位参与者表示,比起异步加载带来的技术优势,他们更倾向于优先保证稳定的视觉体验。此外,讨论还涉及了现代工具,有用户建议利用大语言模型生成代码,使自定义的视觉规格与用户的本地系统字体相匹配。
上游连接错误或在标头发送前断开/重置。重置原因:远程连接失败,传输失败原因:延迟连接错误:连接被拒绝。
全新顶级域名 (TLD) **.self** (onmy.cloud) 的推出在 Hacker News 上引发了热烈讨论。该项目专为支持和简化自托管(self-hosting)而设计,旨在为家庭实验室(homelab)提供基础设施,包括集成邮件服务器和简化的域名管理。
公告发布后随即遇到了技术阻碍,由于流量过大,网站短暂宕机(即所谓的“HN 死亡之拥”)。社区反应褒贬不一:一些用户对创建创意子域名的潜力感到兴奋,但另一些人则持怀疑态度。批评者质疑为此目的使用新的通用顶级域名(gTLD)的必要性,并指出与 Gmail 和 Outlook 等大型服务商进行邮件送达的难度。
从更广泛的层面来看,此次讨论触及了人们对当前互联网命名空间的普遍不满。一些参与者批评 ICANN 对顶级域名的管理是一种“敛财行为”,并主张根命名空间应该完全开放,而不是被碎片化。尽管存在质疑,但项目创建者强调,他们的目标是为自托管社区提供公共利益基础设施。
人工智能的下一个前沿不仅在于模型本身,而在于“路由器”——即人工智能推理的控制平面。现代路由器不再仅仅充当简单的中转站,而是正在演变为“微智能体”的执行运行时,将单一的 API 调用转化为复杂的协同工作。
**vLLM 语义路由器**将这种逻辑转移到了开放服务层。它在保持与 OpenAI 兼容的稳定 API 的同时,在内部管理着复杂的“执行配方”。根据请求的不同,路由器可以触发多种算法,例如:**置信度**(通过顺序升级以提高成本效率)、**评分**(通过并行集成以提升质量)、**ReMoM**(通过综合推理来扩展思维广度)或**工作流**(受限的代理步骤)。
通过在服务层托管这些模式,路由器可以管理预算、错误策略和输出契约,从而确保向最终用户隐藏复杂性。这种基础设施层面的方法使开发者能够将“模型”视为一个由协作团队支撑的通用界面,而非静态的检查点。归根结底,人工智能的下一个时代将由能够智能编排不同模型(无论是边缘端还是云端,开源还是闭源)的路由器来定义,以提供卓越的性能和可靠性。
Hacker News
最新 | 往期 | 评论 | 提问 | 展示 | 招聘 | 提交
登录
Micro-Agent:通过模型 API 内部协作击败前沿模型 (vllm.ai)
11 分,由 matt_d 发布于 2 小时前 | 隐藏 | 往期 | 收藏 | 讨论 | 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
DomainTools 的分析显示,`.garden` 顶级域名(TLD)中的可疑活动激增。注册量从 2025 年的约 2,500 个猛增至 2026 年的超过 147,000 个,平均风险评分也从 55 分显著跃升至 84 分。 这种下滑主要归因于特定的基础设施提供商。使用 **AliDNS** 域名服务器的域名显示出极高的风险评分(平均为 87 分),而 AliDNS 与 **Dominet** 等注册商的组合则达到了极端的风险水平(高达 94 分)。相比之下,由 Cloudflare 或 Namecheap 等提供商管理的域名则保持了较低且低于平均水平的风险评分。 由于 `.garden` 域名缺乏合法的商业用途且恶意活动泛滥,强烈建议安全专业人员屏蔽整个 `.garden` 顶级域名。各组织也应考虑屏蔽或严格过滤与高风险基础设施(特别是 AliDNS 域名服务器和特定的高风险注册商)相关的流量,以降低潜在威胁。
```Hacker News
最新 | 过往 | 评论 | 提问 | 展示 | 招聘 | 提交
登录
.garden 顶级域名沦为恶意温床 (ifin.network)
9 分,发布者:speckx,1 小时前 | 隐藏 | 过往 | 收藏 | 2 条评论
sikozu 13 分钟前 | 下一条 [–]
我以前根本不知道还有 .garden 这个顶级域名。刚去 Porkbun 查了一下,发现注册费才 1.54 美元,确实很便宜。难怪会被滥用。只要顶级域名够便宜,坏人肯定会批量买入。
回复
OutOfHere 7 分钟前 | 上一条 [–]
仅仅因为一个顶级域名价格便宜且被坏人注册了一些域名,就将其定性为“坏的”,这很荒谬。这是一种典型的刻板印象。过滤机制应该比这更智能。同一个顶级域名下也有很多优质域名。
回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 加入 YC | 联系
搜索: ```