在西班牙北部,史前历史学家迭戈·加拉特·迈达甘(Diego Garate Maidagan)领导着一项专门的研究工作,旨在探索和揭示旧石器时代的洞穴艺术。尽管世界闻名的阿尔塔米拉洞穴(Altamira cave)为了防止退化已不再向公众开放,但加拉特及其团队正通过专家照明和3D建模技术,在各种“野生”洞穴系统中识别出以往肉眼无法察觉的雕刻和绘画,从而彻底改变了这一领域。 这些发现表明,古代人类远非“穴居的笨蛋”,他们运用了复杂的技巧和有组织的社会结构来创造这些神圣的戏剧性环境。研究人员通过分析这些遗址来逆向还原史前生活,并就这些艺术是代表宗教仪式、萨满的恍惚状态,还是像加拉特所推测的那样——作为一种可能早于社会不平等起源的高度组织化的交流系统——展开了探讨。 对于参与其中的研究人员来说,探索这些深邃且充满挑战的空间,提供了与祖先之间原始的联系。尽管这些艺术作品背后的具体“动机”已湮没在时间长河中,但这些地下避难所成为了对人类历史深刻的反思。随着加拉特及其同事不断“阅读”这些散落在各处的古代篇章,他们为我们物种的长期进化以及现代社会与自然世界的疏离,提供了一种令人深省的视角。
每日HackerNews RSS
Blue41 最近在大型数字银行 Bunq 的 AI 助手系统中发现了一个“间接提示注入”漏洞。攻击者只需在小额银行转账的备注中嵌入恶意指令,就能诱导 AI 发起极具迷惑性的个性化网络钓鱼攻击。 该漏洞的产生原因在于,AI 助手将检索到的外部数据(如交易记录、电子邮件或文档)视为指令而非纯文本数据。由于这些助手运行在受信任的银行环境中,且能够访问敏感的用户上下文,它们成为了强大且无意识的诈骗媒介。 Blue41 强调,标准的防护措施和文本过滤器已不足以应对此类威胁,因为恶意意图往往只有在数据被模型处理后才会显现。为保护 AI 代理,金融机构必须采取分层安全策略: * **最小化上下文:** 仅向模型传递必要的数据。 * **数据隔离:** 明确将检索到的数据视为不可信内容。 * **限制操作:** 限制助手生成链接或执行工作流的能力。 * **监控行为:** 实施运行时监控,以检测偏离正常操作模式的行为。 随着 AI 在银行业中日益核心,开发人员必须将这些助手视为复杂的生产系统,因为数据与指令之间的界限已不再清晰。
关于银行AI智能体因0.01欧元转账被入侵的Hacker News讨论,凸显了当前大模型(LLM)架构的一个根本性安全缺陷:无法可靠地将不可信的“数据”与可执行的“指令”分离开来。
由于大模型将整个上下文窗口视为指令和输入的混合体,恶意行为者可以精心编写交易信息(例如:“忽略之前的指令并跳转至[钓鱼网址]”),从而使AI将其解读为命令。
**辩论的关键要点包括:**
* **“架构”问题:** 许多人认为这是当前大模型无法解决的固有局限性。与传统软件不同,这里没有“控制平面”来强制区分数据和指令。
* **建议的缓解措施:** 用户建议采用“纵深防御”技术,使用第二个大模型来监督第一个(尽管这存在连锁漏洞风险),或者在处理敏感任务时依赖确定性代码和API,而非完全依靠大模型的解读。
* **行业担忧:** 批评人士指出,银行在解决这些核心漏洞之前就将AI部署在高风险的金融环境中,往往将“AI”品牌价值置于经证实的安全性之上,这令人担忧。
最终,参与者指出,在架构取得突破之前,唯一安全的做法是极度限制AI的功能,并采取严格的“人在回路”(human-in-the-loop)验证机制。
在过去的二十年里,英国已从全球经济领头羊转变为一个陷入停滞的国家,正挣扎于生活水平下降、公共基础设施破败以及政治不稳定的泥潭。英国曾与世界上最富裕的国家并驾齐驱,如今其生产力水平却仅与美国密西西比州相当,民众不得不忍受失效的医疗体系和严重的住房短缺。
作者认为,这种衰退并非仅仅是2008年金融危机或疫情等“坏运气”的副产品,而是持续自我破坏的结果。紧缩政策、官僚僵局以及“脱欧”带来的经济后果,抑制了增长和基础设施的发展。历届政府在各项失败的政策间反复摇摆,加剧了公众的深刻失望。
随着传统政党式微,以奈杰尔·法拉奇(Nigel Farage)为首的民粹主义政党“改革党”的崛起,预示着社会对激进变革的渴望日益增长。然而,尽管法拉奇承诺恢复议会主权并限制移民,但其解决方案依然模糊。文章总结道,英国的病态是自找的;要扭转当前的衰退轨迹,该国必须停止依赖自残式的政治赌博,并直面其失败根源于自身治理这一事实。
这次 Hacker News 的讨论围绕一篇将英国生活水平比作美国密西西比州的文章展开。评论者们争论了以国内生产总值(GDP)作为衡量繁荣程度指标的有效性,许多人认为 GDP 无法反映医疗保健、公共安全和基础设施等关键的生活质量因素。
讨论的焦点集中在英国国家医疗服务体系(NHS)上。批评者强调了严重的积压问题和牙科护理短缺,而支持者则指出,尽管存在种种问题,该系统提供了全民覆盖,避免了美国那种灾难性的医疗后果。
对话还涉及了更广泛的经济理论,包括住房成本对生产性投资的挤出效应(“食利”经济),以及跨文化衡量生活水平的挑战,并以日本为例反驳了传统的 GDP 主导论点。最终,参与者对文章“以美国为中心”的叙事框架表示不满,许多人认为,尽管英国在脱欧后面临重大的经济困境和基础设施问题,但其结构与美国南部有着本质区别。
DeepSeek 由梁文锋于 2023 年创立,是一家总部位于杭州、规模精简且低调的初创公司,拥有 300 名员工。尽管该公司影响力显著——尤其是 2025 年 1 月发布的 R1 模型——但它一直避免在公众视野中露面,与 Anthropic 等西方竞争对手相比,其行事风格更为低调。 在最近的一次实地探访中,该团队显得年轻、充满活力,并将重心完全放在技术执行而非长期的“奇点”猜想上。与那些热衷于 AGI(通用人工智能)安全问题的西方实验室不同,DeepSeek 主要关注的是人工智能对青年就业的影响。他们的开发方法务实:不进行正式的红队测试,并满足于比美国基准水平落后约六个月的进度。 在中国政府侧重于实际应用而非存在性风险的背景下,DeepSeek 将 R1 模型视为其巅峰之作。他们对快速扩张或退出机制几乎没有兴趣,更倾向于保持目前的规模,同时与阿里巴巴和字节跳动等巨头同台竞争。该公司对西方研究保持高度敏锐,展现出一种在全球人工智能竞赛中成熟、务实且审慎的态度。
尽管国土安全部(DHS)一再否认存在所谓的“抗议者数据库”,但联邦移民局特工正越来越多地收集和平抗议者和观察员的传记及生物识别数据。 在四月份致国会的一封信中,前移民及海关执法局(ICE)代理局长托德·莱昂斯承认,如果特工怀疑个人可能干扰其行动,即使这些人从未被捕,该机构也会保留其官方记录。尽管ICE否认维护一个独立的抗议者数据库,但公民自由专家指出,这一政策允许特工将受宪法保护的活动信息汇入现有的联邦情报系统中。 这种监控的影响在活动人士和观察员的经历中得到了体现,他们反映称自己遭到拍照、车牌被追踪,并接到了联邦官员的恐吓电话。一些人,比如缅因州一对在观察一次移民执法行动数月后在边境受到盘问的夫妇,认为他们的信息已在联邦系统中被标记。批评人士和立法者认为,国土安全部将和平观察与犯罪行为混为一谈,正在抑制宪法第一修正案赋予的权利,并建立起一套针对行使抗议权的美国公民的监控基础设施。
一份最新报告显示,有证据反驳了美国移民与海关执法局(ICE)针对其使用联邦数据库追踪抗议者一事的反复否认。尽管 ICE 官方否认维护此类名单,但致国会的一封信件表明,当局确实在收集有关观察或记录执法活动公民的信息。
Hacker News 上的讨论凸显了公众舆论的严重分歧。一些用户认为,参与政治激进主义或拍摄警察本身就带有固有风险,公民应通过避免与执法部门互动来优先考虑个人安全。相反,许多评论者认为这种监视是对宪法权利的危险侵犯,也是政府越权的标志。批评人士指出,基于政治观点追踪公民是一种针对不同意见的报复行为,并警告称,此类名单的常态化威胁到了民主原则。
总体而言,此次讨论反映出人们对国土安全部(DHS)和 ICE 等机构不受限制的权力日益感到不安。参与者指出,在合法抗议日益被贴上“国内恐怖主义”标签或成为政府审查理由的社会环境下,隐私至关重要。
PgDog 创始人 Lev Kokotov 认为,如果能够克服 PostgreSQL 的扩展性限制,它将是理想的数据库。为了解决这一问题,该团队开发了 PgDog,这是一个开源代理,旨在实现 PostgreSQL 的水平扩展,支持每秒超过 100 万次查询和 100TB 表的超大规模工作负载。 PgDog 的设计注重灵活性,可通过 Docker 在本地、任何云平台或私有环境中部署,只需简单更新 `DATABASE_URL` 即可使用。该工具在 Docker 上的下载量已超过 140 万次,并在生产环境中展现了每秒处理超过 200 万次查询的性能。其开发团队凭借在 Instacart 等公司扩展高流量基础设施方面的深厚背景,打造了这一工具。 PgDog 获得了包括 YC 和 Basis Set 在内的投资者 550 万美元的资金支持,旨在让 PostgreSQL 在任何规模下都能保持高性能,且无需承担 Serverless 替代方案带来的隐形成本。该团队保持每周更新,运营着一个活跃的 Discord 社区,并正在开发企业版,以期为 AWS 用户提供附带 SLA 的技术支持。
PgDog 是一个新近获得资助的项目,旨在解决 PostgreSQL 在扩展性和高可用性(HA)方面的局限性。它使用 Rust 编写,作为一个代理服务器运行,能够处理连接池、负载均衡和分片,且无需对应用程序代码进行任何修改。
该项目旨在缓解“Postgres 疲劳”,允许开发人员将数据库扩展到多个节点,从而有效地处理单个主实例无法胜任的高写入负载。虽然 PostgreSQL 依然是后端引擎,但 PgDog 提供了管理集群所需的路由和编排层。
Hacker News 上的讨论凸显了关于数据库架构的争论:
* **“扩展”论点:** 支持者认为 Postgres 在写入方面终会遇到瓶颈;而反对者则认为,水平扩展会引入极大的复杂性,例如跨分片事务风险和一致性问题。
* **现有技术与竞争:** 用户将 PgDog 与 Citus、PgBouncer 以及 AWS Aurora 等托管服务进行了对比。开发者指出,PgDog 的独特之处在于专注于联机事务处理(OLTP)工作负载,利用 Rust 高效的异步并发模型,而非传统的基于进程的模型。
* **企业模式:** 该团队计划保持核心分片功能的开源,并提供包含托管基础设施和高级服务质量工具的企业版。
在为一家公用事业公司构建复杂的 React 应用程序两次失败后(导致性能低下、功能损坏以及高跳出率),一位开发者采取了不同的方法:构建一个“HTML 优先”的解决方案。 通过优先考虑可访问性和韧性,该开发者使用 Astro 创建了一个表单驱动的应用程序,即使在没有 JavaScript 的情况下也能完美运行。该架构利用了标准表单提交和后端会话持久化,确保使用低端设备或网络环境较差的用户也能完成申请,而不会丢失数据。为了提升用户体验,开发者构建了一个 1KB 的轻量级 Web 组件,用于增强而非替代浏览器原生的验证功能。 结果是变革性的:用户完成率在一夜之间翻了一番,覆盖到了此前因浏览器无法处理繁重的 JavaScript 实现而无法被分析工具捕捉到的用户群体。 这一案例为软件行业提供了一个至关重要的教训:通过为“最低公分母”(如连接较弱的旧设备)进行设计,你所创建的软件将更具包容性、稳健性,并能为所有人提供服务。走出网页开发的“蛮荒时代”,需要优先考虑长期的可访问性和可靠性,而非不必要的复杂性。
此次讨论围绕文章《构建“HTML 优先”网站使我们的用户量一夜翻倍》展开,凸显了开发者群体对业界普遍过度依赖 React 等重型 JavaScript 框架来完成简单任务的日益不满。
**核心主题:**
* **过度工程:** 许多贡献者认为,现代的“React 优先”文化导致了网站臃肿、运行缓慢且缺乏无障碍支持。当开发者习惯性地为简单表单构建复杂的单页应用(SPA)时,往往会无意中排斥使用旧设备、流量受限或依赖辅助技术的用户。
* **“HTML 优先”的复兴:** 支持者认为,原生的 HTML、CSS 以及轻量级工具(如 Astro 或 HTMX)不仅足够,且在许多应用场景中表现更优。这些方法依赖于浏览器原生行为,在无需承担庞大 JavaScript 包“代价”的同时,提升了无障碍性和性能。
* **技能鸿沟与利益驱动:** 辩论还触及了初级开发者基础知识匮乏的问题,他们往往只接受过现代框架的训练。参与者还指出,商业激励机制(如咨询公司的合同)往往倾向于复杂而非简单,因为复杂的代码更难维护,从而需要持续的付费支持。
* **人为成本:** 讨论强调,网页开发不仅关乎代码,更关乎用户同理心,即确保重要的服务对每一个人(无论其使用何种设备)而言都能保持正常功能。
作者对设计糟糕的无线键盘(尤其是用于媒体个人电脑的键盘)表示不满。主要痛点在于某款键盘将 F4 键重新设定为“睡眠”按钮。由于该键盘的“功能锁定”设置在更换电池或重启电源后经常失效,用户在尝试使用 Alt+F4 命令时,往往会误触发系统休眠,导致繁琐且恼人的重启过程。
作者将此与 WASD Code 和 Keychron K10 等设计出色的键盘进行了对比,这些键盘将媒体功能作为次要的、低影响的功能处理。这些型号允许永久性的功能锁定设置,即使在断电后也能保存,从而确保键盘运行可靠。作者认为,“正确”的键盘设计应优先考虑传统按键功能,提供易于切换的模式,并始终如一地保持设置。归根结底,这篇文章强调了欠考虑的硬件设计(将“睡眠”等破坏性命令置于标准按键上)是如何在日常用户体验中制造出不必要的麻烦。
这篇 Hacker News 讨论凸显了用户对于“Fn”键和不佳键盘布局(尤其是在笔记本电脑上)的普遍不满。许多用户表示,非标准的按键位置、专用导航键(Home、End、PageUp/Down)的缺失,以及功能键行为的不一致,都令人感到烦躁。
资深用户间的共识是放弃“现成”键盘,转而使用可编程的机械键盘。参与者提倡使用 QMK 或 ZMK 等自定义固件,这允许用户重新映射每一个按键、利用层级功能,并将修饰键移动到更符合人体工程学的拇指位置。几位用户指出,一旦习惯了小型、正交或分体式键盘,他们就会觉得传统布局既费脑又低效。
其他争议点还包括“自然滚动”的辩论,以及按键位置设置不当带来的困扰——例如放置在媒体控制键附近的睡眠键。归根结底,该讨论反映了一个小众但热情的社区共识:制造商优先考虑的是节省空间的噱头,而专业用户则更看重控制力、一致性,以及自定义输入设备以规避默认硬件设计局限性的能力。
本系列旨在架起一座桥梁,帮助读者从理解 Rust 异步模型的内部机制,过渡到利用 Tokio 开发实际应用。JavaScript 通过隐藏的事件循环来管理异步,而 Rust 则有意地保持“懒惰”:异步函数返回的 `Future` 在被显式轮询之前不会执行任何操作。
作者认为,不亲手构建异步引擎,就无法真正掌握 Rust 的异步编程。本系列将异步拆解为三个核心组件:
* **Future:** 一个表示尚未完成工作的状态机。
* **Polling(轮询):** 通过“触发” Future 来检查其能否继续运行,或是必须返回 `Pending` 并等待。
* **Waker:** 一种通知执行器在可以取得进展时重新进行轮询的机制。
通过实现这些组件,以及 `oneshot` 通道和基础的 `block_on` 运行器,作者揭开了 `Pin`、`Context` 和线程挂起(thread parking)等概念的神秘面纱。这种实践性的学习方式确保了读者在最终使用 Tokio 等高级库时,能够深刻理解其底层运作原理。本系列优先强调深度理解而非捷径,助力开发者从单纯的“使用”异步编程转向精通其实现细节。
请启用 JavaScript 和 cookies 以继续。
最近一篇 Hacker News 上的帖子展示了一段日本 9300 个火车站(1872–2026 年)的动态可视化效果,引发了热烈讨论。尽管用户称赞其美观,但话题很快转向了“人工智能生成”网页设计日益凸显的现象。
许多评论者指出,该项目的特定审美——米色背景、特定的字体选择以及极简主义方框——是 Claude 生成代码的标志性特征。一些人认为这种风格很漂亮,但另一些人则批评它是一种缺乏个性的、重复的“默认”外观。技术用户指出,该网站存在性能问题和崩溃现象,主要是因为过度使用了浏览器 History API。
除了用户界面,讨论还深入探讨了日本铁路的历史和现状。用户就私有化的影响、农村人口减少的原因,以及 20 世纪 20 年代和 30 年代日本铁路迅速扩张背后的物流历史进行了辩论。几位参与者提出了改进可视化效果的建议,包括添加车站关闭情况、客流量和地理背景等数据。最终,这个帖子既展示了现代快速原型工具的成果,也引发了关于人工智能驱动的开发如何重塑网络视觉景观的讨论。