Homebrew 6.0.0 已发布,带来了重大的安全性、性能和功能升级。 **主要亮点:** * **Tap 信任机制:** 一项新的安全机制要求用户明确信任第三方 Tap。这可以防止未经授权的 Ruby 代码执行,显著增强了 Homebrew 防御供应链攻击的能力。 * **内部 JSON API:** 更快、更高效的 JSON API 现已成为默认设置,减少了网络流量并加快了 `brew update` 的速度。 * **Linux 沙盒:** Linux 上的构建和安装阶段现已通过 Bubblewrap 进行沙盒化,安全性与 macOS 看齐。 * **`brew bundle` 改进:** 现在默认支持并行安装 Formula,扩展了清理支持,并初步集成了 Windows `winget`。 * **安装步骤框架:** 一种新的 DSL 允许在不执行 Ruby 代码的情况下处理常见的安装后任务(如文件准备),从而提高了性能和可审计性。 * **整体性能:** 启动时间和 `brew leaves` 等常用命令的速度更快,整体优化减少了 Ruby 库的开销。 * **兼容性:** 增加了对 macOS 27 (Golden Gate) 的初步支持。 此次发布是在 “brew-rs” Rust 实验结束后推出的,项目重心重新回到基于 Ruby 的性能优化上。作为由志愿者运营的项目,Homebrew 继续寻求社区捐款以支持其基础设施。
每日HackerNews RSS
Homebrew 6.0.0 已正式发布,此次更新为这款流行的软件包管理器带来了几项关键改进:
* **安全与性能:** 引入了全新的仓库(tap)信任安全机制,并采用了更快、更精简的内部 JSON API。
* **Linux 支持:** 该版本包含适用于 Linux 的沙盒功能,并持续受到不可变 Linux 发行版用户的青睐,成为其首选的软件包管理器。
* **用户体验优化:** 项目组根据用户反馈优化了默认设置,并对 `brew bundle` 进行了多项功能增强。
* **兼容性:** 新增了对 macOS 27 (Golden Gate) 的初步支持。
此次发布在 Hacker News 上引发了开发者社区的热烈讨论。许多用户称赞 Homebrew 使用便捷、在 macOS 和 Linux 上体验一致,并将其视为新系统必备的“首装”工具;与此同时,也有人对其滚动更新模式带来的利弊展开了辩论。
批评意见主要集中在固定特定软件包版本较为困难,以及对“过度激进”的更新策略表示担忧。对于追求更精细开发环境控制的用户,**mise**、**Nix** 和 **MacPorts** 等替代工具被频繁提及。总体而言,该项目依然是 macOS 开发体验中的基石。
请启用 JavaScript 和 Cookie 以继续。
Omniglot 是一个致力于研究语言和书写系统的综合性在线资源平台。该网站由西蒙·艾格(Simon Ager)创办,提供了有关各种文字(包括字母表、辅音音素文字、音节文字和人造语言)的详细信息,以及详尽的语言学习指南。
该平台是一个庞大的语言数据存储库,其多语言内容涵盖了基本短语、数字、习语,乃至歌曲、故事以及绕口令、动物叫声等文化趣闻。除了参考资料外,Omniglot 还提供实用的语言学习技巧、学习资料推荐,以及各类教育服务和应用程序的链接。
该网站定期更新条目和博客内容,为语言学家、学生及语言爱好者提供服务。通过益智游戏、图库和社区驱动的内容等附加功能,Omniglot 成为了一个探索全球人类交流多样性的多功能门户。
最近的一则 Hacker News 帖子重点介绍了 **Omniglot.com**,这是一个致力于全球书写系统的老牌在线百科全书。自 1998 年上线以来,该网站一直是一个综合性资源库,记录了各种自然语言和人造语言,并提供了说明性例句。
讨论触及了语言表现力与系统复杂性之间的关系。参与者探讨了不同的书写系统如何带来独特的交流细微差别——例如,日语有助于产生视觉双关语,而拉丁字母则更多地依赖斜体或粗体等排版变化来传达含义。发帖者分享该链接的初衷,正是为了反驳关于世界各地书写系统运作方式的常见误解。
Zed 团队正在超越传统的基于 Git 的工作流,他们认为“拉取请求”(pull request)文化导致了代码与产生代码的对话之间产生了脱节。Zed 意识到现代软件开发正日益受到与 AI 智能体持续对话的驱动,因此推出了 **DeltaDB**,这是一个旨在保持代码与对话统一的新型版本控制系统。 与依赖离散快照的 Git 不同,DeltaDB 将代码记录为细粒度、可寻址的“增量”(deltas)流。通过将对话直接锚定在这些操作上,DeltaDB 确保了代码演进时上下文不会丢失。这使得开发人员和智能体能够在同一个工作树内实时协作,从而消除了对事后评审流程的需要。借助 DeltaDB,对话本身成为了事实的主要来源,使团队能够追踪每一次编辑背后的逻辑,并无缝加入正在进行的工作,而无需等待提交(commit)或推送(push)。 Zed 计划在未来几周内发布 DeltaDB 的测试版本,旨在用流畅的、集成智能体的开发体验取代被迫的协作瓶颈。目前可通过其网站上的候补名单获取早期访问权限。
Zed 编辑器提出的通过“DeltaDB”追踪软件开发过程(即捕获每次按键和提交之间的所有中间编辑记录)的方案,在 Hacker News 上引发了激烈争论。
支持者认为,传统的 Git 工作流和合并请求(Pull Requests)已显过时,无法记录代码背后的“对话”和思考过程。他们认为,随着人工智能代理(AI agents)编写软件的比例日益增加,这种持久且细粒度的历史记录对于审计、模型训练以及在以代理为主的远程协作环境中进行改进至关重要。
然而,许多开发者对此表示强烈反对,称其为“侵入性监控”。批评者强调,中间工作的“混乱过程”——包括失败的尝试、个人想法和临时错误——并不适合公开或纳入版本控制。他们认为,工程师的薪酬源于最终交付的成果,而非对其认知过程的文档化记录。此外,人们还对功能臃肿、潜在的安全风险(如意外泄露 API 密钥)以及同事或 AI 工具审查每一个细微编辑所带来的“不适感”表示担忧。
归根结底,这场讨论凸显了深刻的分歧:一方寻求一种适用于 AI 驱动工程、数据驱动的新范式;而另一方则优先考虑隐私、提交记录的整洁度,以及工具应保持非侵入性的原则。
下议院和国会议员没有义务发布或提交请愿书,也不对其中包含的信息背书或承担责任。请愿书只有在正式提交给下议院后,才能享有议会特权。 政府答复在提交后会尽快以原始格式在线发布;但在业务繁忙期间可能会出现延迟。下议院不对这些政府答复的内容或格式负责。如果您需要无障碍版本的文件,下议院将协助您联系枢密院办公室。如有无障碍方面的咨询,请发送电子邮件至 [email protected]。
一份反对加拿大C-22法案的请愿书正在Hacker News上获得关注。批评者称该法案是对隐私的重大威胁,认为它强制要求在无嫌疑的情况下进行大规模元数据保留,并设置了可能迫使服务商建立加密后门的要求,这可能导致注重隐私的服务退出加拿大市场。
相关讨论凸显了人们对加拿大当前科技状况和治理方式的深层不满。许多评论者认为,加拿大科技行业发展滞后并非因为缺乏人才,而是由于国内资本匮乏、投资文化趋于保守以及对资源开采的过度依赖。
辩论还涉及政治气候,用户们争论该法案究竟是针对外国影响和虚假信息的必要安全措施,还是政府权力过度扩张和无能的表现。一些人指出,尽管该法案面临反对,但它属于两党在监控立法方面的一种普遍趋势。随着法案进入公共安全和国家安全常务委员会审议,批评者敦促公民联系所属选区的国会议员,并指出在夏季休会前阻止该法案的立法窗口期正在关闭。
Anthropic公司已就其暗中限制新款“Mythos级”人工智能模型Claude Fable 5一事致歉。该公司此前通过隐蔽的安全护栏,对被怀疑进行“模型蒸馏”(即利用该模型训练竞争系统)的用户降低了响应质量。 此举引发了研究人员的强烈不满,他们认为这些隐形限制阻碍了对模型性能的合理评估。此前,当Fable模型怀疑用户进行“蒸馏”时,会私下篡改答案;Anthropic曾对此辩称,这是为了保护其知识产权免受竞争对手侵害。 对此,Anthropic决定改变策略。今后,被安全系统标记的查询将不再被秘密降级,用户会收到明确通知,且请求将被自动导向Claude Opus 4.8模型。Anthropic承认,虽然设置隐形保护措施的初衷是为了在减少误报的同时加快部署,但缺乏透明度是一个错误。该公司承诺未来将提高安全措施的透明度,即便这些措施会导致更频繁的请求拒绝。
Anthropic 最近因在其 Claude Fable 模型中实施“隐形”护栏而遭到强烈抵制。用户发现,如果输入内容涉及“前沿”人工智能研究或网络安全主题,系统会秘密修改提示词,或悄悄将请求降级为能力较弱的 Opus 模型。
批评者认为,这种行为构成了欺骗性和反竞争的“蓄意破坏”,旨在以安全为幌子保护 Anthropic 的商业利益和市场领先地位。许多开发者对此感到被背叛,他们指出自己支付的是高端服务费用,而该服务却主动阻碍了他们进行合法研究、代码开发或安全测试的能力。尽管 Anthropic 将这些措施描述为防止“蒸馏攻击”和防范两用风险(如生物武器)的必要手段,但社区普遍将其视为家长式的企业越权行为,以及监管俘获的明显迹象。
Anthropic 此后已道歉,并承诺将这些护栏明确化而非隐形化。然而,这场争议让许多用户开始质疑该公司的诚信,并加剧了人们对专有前沿模型的不信任感,进而转向对开放权重替代方案的关注,因为这些方案能为专业工作流提供更高的透明度和可预测性。
1.5万美元的AI账单:你那20美元的订阅费不过是幻觉 [视频] The $15,000 AI Bill. Your $20 Subscription is a DELUSION [video]
2 天前
关于 新闻 版权 联系我们 创作者 广告 开发者 条款 隐私 政策与安全 YouTube 的运作方式 测试新功能 © 2026 Google LLC
这段 Hacker News 讨论聚焦于一段广为流传的视频,该视频声称每月 20 美元的 AI 订阅费是一场“幻觉”,因为等量的 API 使用成本每年约为 15,000 美元。
评论者大多将这一前提斥为“智力垃圾”,并提出了三个主要反驳观点:
1. **成本基准具有误导性:** 批评者指出,API 定价包含了显著的利润空间,并非视频所宣称的“原始计算成本”。
2. **补贴未经证实:** 虽然许多人认为 AI 实验室目前为了获取市场份额正在亏损运营(即“风投剧本”),但目前并无公开的财务证据表明订阅价格在结构上低于实际推理成本。
3. **技术通缩:** 与受限于人力和燃油的优步(Uber)等服务不同,AI 推理成本(硬件和效率)呈下降趋势。
参与者指出,重度“超级用户”确实可能得到了补贴,但这在订阅模式中是常态。许多人认为,即使前沿实验室提高了价格,本地开源模型的存在——其能力差距正在迅速缩小——也充当了防止垄断定价的天然制衡,从而避免了视频创作者所担心的长期“被坑”局面。
尽管联邦政府致力于重振煤炭工业,但太阳能发电已达到历史性里程碑,在五月份超越煤炭,成为美国第三大电力来源。Ember、太阳能工业协会(SEIA)和伍德麦肯兹(Wood Mackenzie)的数据证实,太阳能占全国电力供应的 12.8%,而煤炭则降至 12.2%。 过去五年中,太阳能一直是新增发电量的主导来源,今年第一季度新增容量中,太阳能和电池储能占比高达 91%。专家将这一增长归因于市场力量和对更佳投资回报的追求;尽管特朗普政府的政策偏向化石燃料,但这些因素仍在持续推动可再生能源的扩张。 虽然白宫坚持认为其举措已成功支持了煤炭工业并加强了国家安全,但分析人士认为,太阳能的上升轨迹不可避免。随着人工智能和制造业发展带动电力需求增长,太阳能在美国能源结构中的作用预计将持续扩大,专家预测其最终将在年度总量上超过煤炭。
此次讨论的核心在于美国太阳能发电量首次超过煤炭这一里程碑事件。与会者普遍认为,这种转变是由经济现实而非政治指令驱动的。
**讨论要点:**
* **经济驱动力:** 太阳能的快速普及归因于其作为化石燃料的替代品,不仅更便宜、更可靠,而且更清洁。许多评论指出,由于市场激励和环保偏好的推动,燃煤电厂因转向天然气、风能和太阳能而逐渐退役,导致煤炭发电量萎缩。
* **政策作用:** 尽管一些参与者批评政府对太阳能组件征收关税,但另一些人认为,随着太阳能技术和储能成本的急剧下降,这些障碍已显得微不足道。
* **基础设施与储能:** 辩论的很大一部分集中在电网稳定性和“基荷”问题上。尽管持怀疑态度的人认为储能和输电基础设施仍是主要的、未解决的瓶颈,但另一些人指出,锂电池和钠离子电池技术的快速规模化证明,储能不再是推迟可再生能源部署的有效借口。
* **监管阻碍:** 许多评论者对公用事业公司和那些偏袒集中式传统系统、排斥分布式家庭太阳能的“邻避”(NIMBY)法规表示不满。
Emacs 提供了四个状态栏(mode-line、header-line、tab-bar 和 tab-line),但它们存在功能不一致和各种人为限制的问题,例如在不同栏目中对齐方式受限、不支持多行显示以及图标渲染困难等。 为了统一这些体验,作者开发了 `svg-line` 扩展包。该包利用 Emacs 原生的 SVG 渲染支持,创建出一致且高度可定制的状态栏。虽然这种方法最初被视为一种“黑客手段”,但事实证明它非常稳健,能够实现多行布局并在所有四个栏目中支持图标显示。无论你是使用全部四个状态栏,还是仅依赖 mode-line,`svg-line` 都为你提供了一种灵活、统一且具有原生质感的动态信息显示方案。
抱歉。
一位安全研究员在 AMD 的自动更新(AutoUpdate)软件中发现了一个严重的远程代码执行(RCE)漏洞,该漏洞源于软件在下载时使用不安全的 HTTP 链接,且缺乏签名验证。这一缺陷允许攻击者实施中间人(MITM)攻击,并在用户系统上执行任意代码。
尽管 AMD 起初以“超出范围”为由拒绝了该漏洞赏金计划的报告,但在事件在 Hacker News 上曝光后,AMD 改变了态度。AMD 要求研究员删除博客文章并同意延长披露期限。整个过程进展缓慢,AMD 花费了 124 天才完成修复。
讽刺的是,研究员发现该漏洞最初在功能上是无法被利用的,因为另一个无关且预先存在的 Bug 会导致更新程序在进行域名重定向时崩溃。此外,尽管 AMD 声称新补丁使用了签名验证,但研究员发现其仅实施了安全性极低的 CRC-32 校验。最终,尽管该漏洞潜在影响巨大,研究员并未获得任何奖金。建议用户卸载 AMD 的自动更新工具,并直接从官方网站手动下载软件。
一位研究人员在 AMD 的旧版驱动更新实用程序中发现了一个远程代码执行(RCE)漏洞,该程序通过未加密的 HTTP 进行通信。当研究人员通过 AMD 的漏洞赏金计划提交报告时,公司以“中间人(MITM)攻击不在条款涵盖范围内”为由拒绝了该漏洞。
研究人员随后公开披露了调查结果,引发了对 AMD 软件质量和安全实践的广泛批评。Hacker News 上的讨论指出,尽管 AMD 最终用 HTTPS 版本替换了该实用程序,但其实现方式——即仅依赖简单的 CRC-32 校验而非加密签名——仍不足以防止复杂的篡改攻击。
此事件引发了关于漏洞赏金计划有效性的广泛讨论。一些人认为,大公司利用这些计划来减少支出或忽视“范围外”的漏洞,而非优先考虑安全性。许多用户对 AMD 长期以来软件质量不佳的声誉表示不满,并指出此类漏洞确实存在重大风险。在问题引起公众关注后,研究人员最终获得了 AMD 的确认。但社区仍在呼吁建立更稳健的验证标准,并要求改善对安全研究人员的对待方式。