我们的系统检测到您的网络存在异常流量活动。请完成此 reCAPTCHA 以证明您正在发起请求,而不是机器人。如果您在查看或完成此挑战时遇到问题,此页面可能会有所帮助。如果您继续遇到问题,您可以联系 JSTOR 支持。阻止引用:#684013db-14dc-11f1-b6b5-1e3a17abfa40VID:#IP:47.245.80.60日期和时间:2026年2月28日 星期六 19:33:49 GMTJavascript 已禁用 返回 JSTOR
每日HackerNews RSS
一个黑客新闻的讨论围绕着1967年的论文《英国海岸线有多长?》以及由此产生的“海岸线悖论”。核心思想是,海岸线的测量长度完全取决于所使用的测量尺度——单位越小,海岸线看起来就越长,因为它捕捉了更多复杂的细节。
用户指出这并非*无限*长度,而是*无界*的;通过使用更小的“标尺”可以始终实现更精确的测量。这个概念延伸到GPS跟踪,其中采样频率会影响距离计算。
对话也涉及相关话题,包括漫长海岸线对安全造成的实际影响(历史上走私,目前是寻求庇护者抵达),以及由于改进的卫星船舶跟踪而减少的海岸警卫站。讨论强调了看似简单的几何问题如何揭示复杂的数学原理。
维尔纳·赫尔佐格的新书《真理的未来》试图阐述他长期以来的信念,即“狂喜的真理”——一种通过想象甚至虚构而非事实准确性来获得的、对世界的诗意和直觉理解。这个概念定义了他数十年的电影创作,例如他70年代与聋盲女性合作的电影,展现了他大胆且常常带有剥削色彩的捕捉极端人类体验的方式。
然而,这本书在很大程度上令人失望。它并非对这一概念的深入探讨,更像是对之前作品中观点的重新包装,缺乏连贯性和新的见解。赫尔佐格似乎不愿完全定义这种捉摸不定的“狂喜的真理”,或许是担心分析会削弱它的力量。
在深度伪造和广泛虚假信息盛行的时代,这本书的相关性受到质疑,模糊了艺术许可和故意欺骗之间的界限。虽然赫尔佐格区分了他的作品——专注于超越和叙事——与操纵性宣传,但界限变得越来越模糊。最终,这本书暗示赫尔佐格更关注“寻找”真理的过程,而不是真理本身,这反映了他自己具有远见卓识、常常注定失败的主人公的旅程。
这个Hacker News讨论围绕着维尔纳·赫尔佐格和他的新书,探讨真理的概念。用户推荐赫尔佐格亲自朗读的有声书版本,称赞他独特的嗓音。 许多评论者分享了有声书的获取途径,包括Libby(通过图书馆卡)和Libro.fm(无DRM)。
对话也延伸到赫尔佐格的电影推荐,例如《深渊》、《寂静与黑暗之地》和《费茨卡拉尔多》,以及他与埃罗尔·莫里斯之间著名的“吃鞋”赌注。
一个关键的争论点在于赫尔佐格的真实性。一些人钦佩他独特的视角和“生命髓质”的方法,而另一些人则批评他是一个自我神话化和自命不凡的人物,夸大他的经历。 一位用户表示,在听了赫尔佐格的观点后,他被劝退了阅读这本书,引发了关于即使他的见解可能挑战既定思想,是否仍然有价值的讨论。 最终,这个帖子展示了对赫尔佐格的作品和人格的欣赏与怀疑并存。
2020年初,在大学毕业后开始第一份工作后感到空虚,作者意外地在担任青少年篮球教练的志愿活动中找到了目标。他被推到了六名初中生球队的教练岗位,发现了一种意想不到的热情。 这段经历远非一个肤浅的“领导职位”;它极具吸引力,需要投入的准备和与球员及其家庭建立真诚的联系。他在这份工作中茁壮成长,专注于技能发展,更重要的是,培养孩子们的自信——一个赛季以几乎不败的战绩结束。 执教经历让他重获活力,提高了他在生活各个方面的自信和表现。然而,这个赛季因新冠疫情的爆发而中断。反思自己的幸福,他意识到它源于对与孩子们一起工作的热爱,工作的实在性,以及执教所提供的控制权和责任感。他将这种满足感与科技行业日益增长的焦虑形成对比,质疑对可扩展产品的追求,并希望未来能够更加重视有意义的、与现实世界相关的参与。
## 美国寡头技术封建主义的兴起 本文认为美国正朝着21世纪形式的法西斯主义漂移,这种法西斯主义并非由公开的政治运动驱动,而是由一个强大的精英阶层——由亿万富翁、安全官员和政治运作人员组成的“威权国际”所推动。新自由主义政策已经集中了财富和权力,使得这个精英阶层可以凌驾于问责之上,而大型科技平台则充当新封建庄园,提取数据并实现监控。 这个体系并非阴谋,而是一种结构性转变。民主制度的衰落,加上经济停滞和生态危机,为威权解决方案创造了沃土。精英们没有投资于公平的转型,而是投资于边境安全、大规模拘留和准军事警察国家,以管理日益增长的社会动荡和“剩余”人口。 精英的逍遥法外,通过法律保护和“旋转门”职业生涯得到加强,确保了对非法行为没有后果。虽然选举仍在继续,但实际权力掌握在未当选的官员手中。这种趋势是由利益的融合推动的:寻求利润的寡头、控制数字基础设施的技术巨头以及优先考虑控制的安全机构。计划中的拘留设施扩张和积极的警务策略预示着危险的升级,有可能转变为类似于集中营的制度,这种制度不仅用于移民控制,还用于压制国内异议。这代表了工业文明一个令人信服且令人担忧的终局。
## 内容安全策略 (CSP) – 摘要
本文深入探讨内容安全策略 (CSP),这是一种浏览器安全机制,旨在通过控制资源来源来缓解跨站脚本攻击 (XSS)。本质上,CSP 充当“门卫”,定义浏览器允许从哪些来源加载脚本、样式和其他资源。
正确的 CSP 配置出乎意料地复杂。它依赖于像 `script-src` 和 `default-src` 这样的指令来定义允许的来源,并使用 `'self'`、`'none'`、`'unsafe-inline'` 和通配符等特殊关键字提供不同级别的限制。
常见的错误配置包括危险地包含 `'unsafe-inline'`(允许所有内联脚本)、缺少 `base-uri` 指令(为 HTML 注入敞开大门)、过于宽松的通配符(如 `https:` 和子域通配符)以及忽略 `object-src` 指令(为通过 `<object>` 标签进行利用留下空间)。
本文提供了一种在渗透测试期间分析 CSP 的实用方法:快速检查 `'unsafe-inline'`、`'unsafe-eval'` 和通配符,然后验证是否缺少指令。像 Google 的 CSP Evaluator 这样的工具可以自动化此过程。最终,由于其复杂性和安全与功能之间的微妙平衡,CSP 通常包含漏洞。
黑客新闻新 | 过去 | 评论 | 提问 | 展示 | 工作 | 提交登录
针对渗透测试人员的CSP:理解基础知识 (kayssel.com)
15 分,zdw 1 天前 | 隐藏 | 过去 | 收藏 | 3 条评论 帮助
noelwelsh 1 天前 | 下一个 [–]
提示:定义你的缩写!这并不是关于约束满足编程、顺序通信编程或云服务提供商。回复
tengwar 1 天前 | 父级 | 下一个 [–]
是的。当我点击链接时,我以为是顺序通信进程。显然不是,但直到文章的2/3处才找到可能的扩展。回复
throwa356262 1 天前 | 父级 | 上一个 | 下一个 [–]
CSP=内容安全策略
如果你不了解XSS,这可能不会有太大帮助。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
这篇报道指控人工智能行业内部存在着深度的、玩弄权术的行为,中心人物是OpenAI的Sam Altman和Anthropic的Dario Amodei。尽管公开支持Amodei,Altman同时与美国政府谈判了一项与Anthropic相似的协议,最终导致Anthropic被不公平地定性为“供应链风险”。 作者认为这并非关于安全或条款,而是关于影响力。Altman在公开支持Amodei *之前* 秘密推进了这项交易,并且在一位前OpenAI领导人向特朗普的政治行动委员会捐款后不久。 虽然承认Anthropic自身也存在不足,作者谴责这一决定是“寡头政治”的明显例子——政治关系和捐款胜过市场力量——以及对制度的潜在腐败,剥夺了Anthropic公平竞争的机会。这暗示着一种令人不安的、远离真正资本主义的转变。
## 自动驾驶出租车竞赛:愿景 vs. 传感器融合 自动驾驶出租车的未来正在像德克萨斯州奥斯汀这样的城市中塑造,Waymo和特斯拉的自动驾驶出租车已经在街道上行驶。这些车辆代表了截然不同的自动驾驶技术方法:Waymo利用全面的“传感器融合”方法,使用激光雷达、雷达和摄像头构建周围环境的详细3D地图,而特斯拉则倡导仅依靠摄像头和强大人工智能的“仅视觉”系统。 这场争论源于历史性的转变。早期的自动驾驶系统倾向于使用传感器融合以确保安全和冗余。然而,特斯拉在2016年提出了挑战,认为足够的计算能力和摄像头可以复制人类的驾驶能力——并且成本更低。 虽然特斯拉最初在其车辆中移除了雷达,但它悄悄地重新引入了雷达,这表明可能正在向传感器融合方法靠拢。两家公司现在都在大力投资人工智能并简化他们的系统。关键区别现在不是*使用*哪些传感器,而是系统*有多安全*。 最近的安全数据表明,Waymo的传感器融合方法目前优于特斯拉的方法,脱离和事故明显更少。最终,这场竞赛的胜者不会仅仅由技术决定,而是由社会对安全标准的接受程度决定——我们将满足于*与*人类驾驶员一样安全,还是要求*更好*?答案将决定自动驾驶出租车的部署速度和规模,并重塑交通的未来。
## 恶魔城:一场跨国热潮
1986年,卡普空(Capcom)的《恶魔城》取得了一项罕见成就:同时在日本和英国的销量排行榜上名列前茅。通过日本杂志《Famitsu》(1986年创刊)的销售数据,可以探究这一成功的背后原因。虽然任天堂的Famicom/NES主导了美国市场,但英国的游戏市场当时主要以电脑游戏为主——收入是主机游戏的六倍。
尽管存在这种差异,《恶魔城》仍然在双方玩家中引起共鸣。游戏的开发,源于藤原 Tokuro 对具有挑战性和视觉吸引力的游戏玩法的追求,将街机动作与一丝可爱元素相结合。英国公司Elite Systems迅速获得了移植权,在卡普空Famicom版本发布的同时,甚至在游戏登陆美国NES之前,就发布了Commodore 64和ZX Spectrum的版本。
这些移植版本虽然受到硬件限制的影响,但仍然很受欢迎,展示了全球游戏场景的互联互通,尽管存在区域差异。《恶魔城》的成功表明街机游戏作为共同点,影响了家用主机和电脑游戏,并对游戏设计和叙事模式留下了持久的影响。
## Ghosts'n Goblins 与街机游戏的难度 – Hacker News 讨论
一篇关于《恶魔城》的文章引发了 Hacker News 的讨论,深入探讨了 80 年代街机游戏臭名昭著的高难度。虽然这通常被认为是最大化投币收入,但有人认为难度源于技术娴熟玩家对挑战的需求——需要在休闲玩家和忠实玩家之间取得平衡,以保持他们的参与度。
评论者回忆了街机体验,指出少数优秀玩家可以激励其他人投入更多。对话强调了那个时代有限的游戏机制,导致游戏标题之间存在相似之处(射击游戏、平台游戏等),这是由于硬件限制造成的。
讨论还涉及了《恶魔城》臭名昭著的“幻觉”结局——要求玩家 *两次* 通关游戏——以及像《恶魔城:夜曲》这样的游戏的探索方面。最后,该帖子探讨了 NES 在欧洲不同地区的受欢迎程度,将其在英国的成功与其来自 Spectrum 和 C64 等家用电脑的竞争进行了对比。
## Rivet Actors:无服务器状态化工作负载 Rivet Actors 是一种新的无服务器基础组件,专为构建状态化应用程序而设计。每个 actor 作为一个独立的、可扩展的单元,内置状态管理、存储(SQLite/JSON)、WebSockets、工作流和调度功能——无需复杂的后端基础设施。 Actors 提供即时读写速度,具有内存状态和持久化存储,并且可以从零扩展到数百万,高效处理突发工作负载。它们非常适合 AI 代理(具有持久化内存)、协作文档、聊天应用程序,甚至每个租户的数据库等用例。 Rivet 提供灵活的部署方式:使用 Rust 二进制文件或 Docker 自行托管,或利用其完全托管的全球边缘网络,与 Vercel 和 AWS 等现有云提供商集成。它是开源的(Apache 2.0),并支持 Hono、Elysia 和 tRPC 等流行框架,提供 JavaScript、React 和 Next.js 的客户端。
## Rivet Actors 与 SQLite:现代应用的去中心化数据库
Rivet Actors 是 Cloudflare Durable Objects 的开源替代方案,现在支持 SQLite 存储。其核心思想是**为每个 actor(代表代理、租户、用户或文档)提供独立的 SQLite 数据库。** 这提供了可扩展性——潜在的数百万个数据库——而无需传统水平扩展方法的缺点,例如 Cassandra 或 DynamoDB 中僵化的模式。
主要优势包括强大的隔离性(非常适合多租户 SaaS 和协作文档)、计算和状态共置带来的性能提升以及简化的安全性。它特别适合需要每个代理的消息历史记录和状态管理的 AI 代理。
与替代方案相比,Rivet 提供了一种开源、与供应商无关的方法。与 Turso 不同,读取是本地且快速的。虽然 D1 和 Litestream 等工具管理*一个* SQLite 数据库,但 Rivet 管理*多个*隔离的数据库。在底层,SQLite 在进程内运行,写入通过 FoundationDB 或 Postgres 持久化。
该项目还支持实时功能(WebSockets)并与 React 集成。 计划中的查询引擎可能会利用 DuckDB 进行跨数据库查询。
[https://github.com/rivet-dev/rivet](https://github.com/rivet-dev/rivet)
## 验证规格驱动开发 (VSDD) – 摘要 VSDD 是一种新颖的软件工程方法,将规格驱动开发 (SDD)、测试驱动开发 (TDD) 和验证驱动开发 (VDD) 结合到一个 AI 编排的流程中。它优先考虑一个严格、可追溯的过程,其中规格定义了软件 *做什么*,测试强制执行 *如何构建*,而对抗性验证确保 *不会遗漏任何内容*。 该过程涉及一名人类架构师监督 AI “构建者”和“对抗者”代理,并通过 Chainlink 进行跟踪以确保完全的责任追溯。第一阶段侧重于“规格提炼”,在编码 *之前* 创建严密无缝的规格,包括可证明的属性和将可验证的核心逻辑与外部效应分隔开的“纯度边界”。第二阶段实施严格的 TDD 循环 (红→绿→重构),由 AI 构建者引导。第三阶段将代码置于 AI 对抗者的严格审查之下,识别规格、测试和实现中的缺陷。第四和第五阶段整合反馈并执行形式化验证,而第六阶段确认“收敛”——当规格、测试、实现和证明都能经受住对抗性审查时。 VSDD 强调“规格至上”,验证优先的架构和无情的否定态度以消除“漏洞”。它专为需要高正确性、长期可维护性和强大安全性的项目而设计,利用 AI 来增强而非取代人类的战略决策。最终,VSDD 旨在创建具有可证明存在理由和可靠保证的代码。
## AI 驱动的规范驱动开发:摘要
这次 Hacker News 的讨论围绕“验证的规范驱动开发”(VSDD),这是一种随着 AI 辅助编码兴起而逐渐流行的流程。其核心思想是优先*明确*系统应该做什么,*然后再*编写代码,利用 AI 根据这些规范生成和测试代码。
一些评论者质疑其可行性——认为它假定先验知识,不适用于需要快速迭代的探索性 AI 开发。但也有人支持它。一个关键点是,由于代码生成成本降低,专注于完善的规范变得更有价值。
这场辩论凸显了“感觉编码”(快速原型设计)和正式规范之间的紧张关系,许多人建议采取混合方法。几位参与者强调了人工监督的重要性,指出 AI 生成的代码可能混乱,需要仔细审查。一些人提倡使用 AI *生成*现有代码的规范,从而辅助迭代改进。
最终,讨论表明 VSDD 并非关于严格的前期规划,而是关于将规范用作动态演化的工件,以指导 AI 开发并控制复杂系统。