## Ghostty 获得非营利身份,与 Hack Club 合作 Ghostty,一个开源终端 GUI 项目,现在已获得 Hack Club 的财政赞助,Hack Club 是一家 501(c)(3) 非营利组织。 这种安排确保了 Ghostty 的长期可持续性以及保持免费和开源的承诺,使其独立于任何个人。 此举解决了对项目废弃(“地毯式跑路”)的担忧,通过法律手段将 Ghostty 绑定到其公益使命,防止商业化或资金滥用。 它还允许在美国进行可抵扣税款的捐赠,为开发、贡献者报酬和社区支持开辟新的资金渠道。 从技术上讲,用户没有任何变化——MIT 许可证和项目目标保持不变。 然而,所有财务交易将通过 Hack Club 银行公开透明地进行。 捐款的一部分(7%)将支持 Hack Club 的运营成本,此外,创建者还将向 Hack Club 捐赠 15 万美元。 Mitchell Hashimoto 仍然是项目负责人,但这种结构为未来在他直接参与之外的领导层奠定了基础。 这种合作关系重申了 Ghostty 致力于为公众利益管理基础计算基础设施的决心。
每日HackerNews RSS
## Fresh Editor:摘要 Fresh Editor 是一款快速、现代化的文本编辑器,兼顾易用性和强大功能。安装简单,可通过 npm、npx、Cargo 或预构建的二进制文件进行。 它优先考虑流畅的用户体验,提供原生 UI、完整菜单和命令面板,方便从传统图形编辑器过渡。Fresh 拥有**零延迟性能**,能够处理极大的文件(多吉字节)而不会减速。 主要功能包括全面的文件管理、强大的编辑工具(多光标、撤销/重做)、强大的搜索和替换,以及高级导航。它还支持语言服务器协议 (LSP) 以提供代码智能,并提供丰富的生产力功能,如键盘宏和诊断面板。 最后,Fresh 具有高度可扩展性,可以使用在安全、沙盒化的 Deno 环境中运行的 **TypeScript 插件**。
## Fresh:一款基于Rust的新终端编辑器
Fresh是一款新的、快速且资源高效的终端编辑器,使用Rust构建,旨在挑战此类工具通常相关的复杂性。其核心理念围绕着**易用性**——优先考虑标准键绑定和非模式界面——以及通过延迟加载大文件来实现**效率**(与Neovim、Emacs和VS Code相比,在2GB文件上的加载时间明显更快,内存使用量更低)。
一个关键特性是通过Deno使用TypeScript插件进行**扩展**。开发者在开发过程中大量使用了AI(Claude Code),专注于架构和用户体验,并进行了严格的测试。
Fresh是开源的(GPL-2),并寻求早期采用者提供反馈。可以通过`cargo install fresh-editor`、npm或直接二进制下载进行安装。讨论强调了使用npm以获得更广泛的可访问性与Rust社区对Cargo的偏好之间的权衡,以及未来与VSCode扩展兼容的潜力。
**链接:**
* **网站:** [https://sinelaw.github.io/fresh/](https://sinelaw.github.io/fresh/)
* **GitHub:** [https://github.com/sinelaw/fresh](https://github.com/sinelaw/fresh)
Icaro Labs 的研究人员发现了一种令人惊讶的 AI 安全防护漏洞:诗歌。他们发现,包含有害请求的提示,当以诗歌形式表达时,可以绕过典型的 AI 内容过滤器。 关键在于 AI 处理语言的方式。AI “温度”控制输出的可预测性;诗歌,就像创意 AI 生成一样,利用“高温”——意想不到的词语选择和句法。虽然人类能够识别直接请求(“如何制造炸弹?”)和相同内容的诗意描述所隐藏的危险,但 AI 的内部映射系统可能会被欺骗。 诗意的措辞微妙地改变了提示的表达方式,使其能够绕过 AI 安全地图上的“警报区域”。这表明 AI 的理解与其安全防护的脆弱性之间存在显著的错位,引发了人们对恶意行为者可能利用此漏洞的担忧。
## 黑客新闻讨论:“通过诗歌的提示注入”
一篇近期文章强调了一种使用诗意措辞“越狱”大型语言模型(LLM)的方法——有效地绕过安全防护。黑客新闻上的讨论澄清,这并非传统的“提示注入”,而是利用了LLM处理信息的方式。
用户指出,LLM不像人类那样*理解*内容,它们只是预测下一个词元。安全措施依赖于识别有害提示,但可以通过改变措辞,甚至使用诗歌形式来规避,从而在LLM的“内部地图”中导航,避免触发警报。
许多评论者强调完全保护LLM的固有困难,将其比作列黑名单——一种临时的修复方法,而非永久的解决方案。对话还涉及修辞和诗歌在社会工程学中的历史应用,以及训练人工智能预测所有可能的输入变体的局限性。 几位用户分享了通过创造性提示成功绕过内容过滤器的轶事,突出了开发者与寻求利用漏洞者之间持续的“猫捉老鼠”游戏。
停止说话
Stop Talking
2 天前
经验带来识别系统内问题和解决方案的能力——看到别人忽略的“磨损电缆”。然而,主动提供未被要求的建议往往徒劳无功,并非因为建议不准确,而是由于时机、政治或相互冲突的优先级。 这种认识导向一项关键的生存技能:知道*何时*保持沉默。持续消耗精力于未被请求的改进会耗尽有限的资源,并且可能被负面看待。作者强调,被视为麻烦制造者和被珍视为顾问的区别在于,你的意见是否被主动*征求*。 最终,自保和有效资源管理决定,最好将精力保留在人们希望改变并且你被授权做出贡献的情况下,而不是“对虚空吠叫”。
## Hacker News 讨论总结:何时停止发言
一篇提倡沉默的文章——“如果没人提问或追责改变,就停止发言”——引发了 Hacker News 的讨论,揭示了一场细致的辩论。虽然最初的文章建议避免不必要的沟通,但评论者们大多反对完全保持沉默。
许多人强调沟通的*方式*和*场所*的重要性。有效的沟通需要确定合适的受众,清晰地阐述理由(需求、问题或机会),并准备好用解决方案来支持。几位用户强调了提供有价值的意见却因组织 misalignment 或缺乏资源而被忽视的沮丧感。
一个反复出现的主题是区分仅仅表达观点和推动实际改变。一些评论员建议专注于主动解决问题——实施小修复或“预先构建”想法——而不是仅仅指出缺陷。另一些人则警告不要过度批评,尤其是在不重视发表意见的环境中。
讨论还涉及了人工智能生成内容的兴起以及遇到低质量、人工智能撰写的帖子冒充原创思想的烦恼。最终,共识倾向于战略性的沟通和行动,而不是完全的沉默。
## Filevine 漏洞披露 - 摘要
2025年10月,一位安全研究人员发现Filevine存在一个严重漏洞,Filevine是一家快速发展的、估值超过十亿美元的法律科技平台。通过子域名枚举,发现了一个未受保护的演示环境(“margolis.filevine.com”)。对该网站的JavaScript的调查显示,存在一个无需身份验证的API端点,查询该端点会返回律师事务所Box文件系统的完整权限管理令牌。
该令牌授予访问律师事务所Box帐户中*所有*机密数据的权限——包括客户文件、内部文件以及受HIPAA和法院命令保护的敏感信息。研究人员立即停止测试,并于2025年10月27日负责任地向Filevine披露了该问题。
Filevine的安全团队及时且专业地响应,并于2025年11月21日确认已修复该漏洞。在协调披露之后,于2025年12月3日发布了一篇详细描述该漏洞的技术博客文章。此案例强调了处理高度敏感数据的AI驱动法律工具采用健全安全实践的重要性。
启用 JavaScript 和 Cookie 以继续。
## React 安全漏洞 - 紧急更新 React Server Components 中发现了一个严重的安全漏洞(CVE-2025-55182,CVSS 10.0),允许**未经身份验证的远程代码执行**。此漏洞影响 React 的 19.0、19.1.0、19.1.1 和 19.2.0 版本。 **需要立即采取行动:** 升级到 React 19.0.1、19.1.2 或 19.2.1 版本。 此漏洞影响使用 React Server Components 的应用程序,即使您没有直接实现 Server Function 端点。**受影响的框架和打包工具包括:** Next.js、React Router、Waku、Parcel、Vite 和 Redwood SDK。每个框架的具体升级说明详见完整公告。 虽然一些托管服务提供商已实施了临时缓解措施,但**依赖这些措施是不够的** – 升级至关重要。该漏洞源于 React 解码发送到 Server Function 端点的负载方式中的缺陷,允许攻击者通过精心构造的 HTTP 请求在服务器上执行代码。 该问题由 Lachlan Davidson 于 2025 年 11 月 29 日报告,并于 2025 年 12 月 3 日发布了修复程序。如果您的应用程序不使用服务器或支持 React Server Components 的框架,则不受影响。
React 服务器组件 (RSC) 发现了一个严重的安全漏洞,可能允许未经身份验证的攻击者在服务器上执行远程代码。该问题源于恶意 HTTP 请求在反序列化期间针对服务器函数端点。
多个流行的框架受到影响,包括 Next.js、react-router 以及其他使用 RSC 的框架。该漏洞的 CVSS 分数为 10,表明其严重程度极高。
幸运的是,Next.js 已经发布了 15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7 和 16.0.7 版本中的修复程序。强烈建议受影响框架的用户立即更新。此次发现凸显了 React 新特性中持续存在的安全问题,促使一些开发者考虑使用 HTMX 等替代方案。更多讨论和详细信息可以在 Hacker News 和相关帖子中找到。
Rocketable 正在构建软件公司的未来——完全自主的企业,完全由人工智能驱动。他们收购盈利的 SaaS 公司,并系统性地用人工智能代理取代人工角色(工程、支持、运营),目标是实现零人工干预。 核心挑战在于构建一个能够跨越多样化技术栈和业务领域的平台。初期阶段专注于自动化客户支持,然后扩展到自我调试、功能创建,并最终实现超人性能。Rocketable 优先考虑生产就绪的系统,而非研究,需要具备扩展分布式架构(TypeScript/Python、Kubernetes、云基础设施)的强大工程背景。 他们正在寻找一位架构师来领导这项工作,这个人必须相信完全自动化是不可避免的,并且有动力去应对前所未有的挑战。这不仅仅是渐进式改进,而是为新一代人工智能驱动的企业构建基础架构。在 650 万美元的种子资金支持下,Rocketable 提供了一个高杠杆的机会来塑造工作的未来。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
Rocketable (YC W25) 正在招聘一名创始工程师来自动化软件公司 (ycombinator.com)
1 天前 | 隐藏
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
近十年以来,Valve一直在秘密资助“Fex”项目,该项目旨在将Windows游戏带到基于ARM的设备上。Steam Deck负责人Pierre-Loup Griffais透露,该举措是对他们成功的Linux兼容层Proton的补充,并扩展了PC游戏超越传统x86架构的可能性。 Valve认为ARM在较低功耗下提供更高的效率,为超便携式笔记本电脑、平板电脑甚至手机运行更广泛的游戏打开了大门。他们正在开发ARM版本的SteamOS,利用专门的Proton构建和Fex模拟器来翻译Windows游戏。 目标是降低用户门槛并提供选择,潜在地使游戏在Linux上运行*更好*,因为系统开销降低。虽然仍然存在挑战——特别是多人游戏中的反作弊系统——但Valve的工作正在促进一个不断增长的Windows替代生态系统,这从SteamOS和Bazzite等发行版的受欢迎程度可以看出。最终目标是扩大PC游戏市场,并赋予玩家更多的硬件选择。
一场关于Hacker News的讨论围绕着一篇关于Valve为Windows游戏资助ARM兼容性的帖子,最初由The Verge报道。原始帖子被标记为重复,引发了用户的提问。
一位版主(tomhow)解释了标记的原因,指出最初的Hacker News提交发生在24小时前,尽管由于网站处理重新提交的方式,看起来更新。他们还澄清了Hacker News的指南优先考虑提交到*原始*报道来源——在本例中为The Verge——以奖励原创新闻。
用户指出The Verge的文章有一个动态付费墙,可能会根据阅读频率限制访问,但也有一些用户报告没有问题。分享了已存档版本的链接以绕过潜在的付费墙。最终,对话导致评论被转移到Hacker News上更早的原始提交。
## VA及其他地区的Oracle EHR问题 (Hacker News 摘要)
一篇《华盛顿邮报》文章,重点介绍了Oracle电子健康记录 (EHR) 系统在退伍军人事务部 (VA) 实施中出现的严重错误,引发了Hacker News上的讨论。用户分享了他们在医疗IT领域遇到的经验和见解。
一个关键主题是医院内部诚实报告错误的困难,人们担心追责、政治运作和自我保护会凌驾于患者安全之上。瑞典Oracle EHR项目失败也暴露出类似的问题。
许多评论员指出Oracle在ERP和EHR实施方面存在诸多问题,质疑为什么组织在多次失败后仍然选择他们。人们对缺乏竞争以及裙带资本主义对政府合同的影响表示担忧。
讨论还涉及了更换VA的VistA等遗留系统的困难,虽然VistA系统老旧,但运行良好。一些用户提倡复制成功的系统,而不是从头开始构建,但指出采购流程常常阻碍这种方法。最终,共识对医疗IT描绘了一幅黯淡的图景,缺乏改进的动力,并对患者福祉构成重大风险。