启用 JavaScript 和 Cookie 以继续。
每日HackerNews RSS
与火箭爱好者交流,提问关于火箭设计的问题,分享你的经验,并与我们的开发者联系。 我们的Discord服务器是讨论、学习和与志同道合的人一起享受乐趣的理想场所。 点击下面的按钮加入:加入我们的Discord服务器
## OpenRocket 获得关注与用户反馈
OpenRocket 是一款火箭设计和模拟软件,最近在 Hacker News 上出现,引发了关于其易用性的讨论。评论中的一个关键观点是开发者们希望在主页上包含代表性截图——用户通常通过界面来判断 GUI 应用程序。开发者们积极回应,添加了截图,并获得了好评,因为很多人认为缺乏视觉效果表明 UI 较差。
讨论强调了 OpenRocket 在火箭模型爱好中的实用性,特别是用于估算高度和稳定性。用户指出其准确性良好,但实际结果可能会有所不同。除了爱好者,该软件还在教育环境中被使用,例如 UKROC,一项青少年火箭竞赛。
一些评论者还询问了类似的飞机和无人机模拟工具,并提出了 Ardupilot 和 Flow5.tech 等建议。该帖子还涉及了先进技术日益普及的问题,以及业余火箭技术可能 достигать впечатляющих высот,甚至可能进入轨道,尽管仍然存在重大挑战。
## NVIDIA NemoClaw:运行安全、始终在线的助手
NVIDIA NemoClaw 是一个开源堆栈,旨在简化和保护使用 OpenClaw 部署始终在线的助手。它利用 NVIDIA Agent Toolkit 的 OpenShell 运行时为代理创建隔离、沙盒化的环境,并通过 NVIDIA 云服务进行推理。
目前处于早期 alpha 阶段,NemoClaw 提供了快速设置本地环境的工具,但尚未达到生产就绪状态,并且可能会发生变化。它需要 Ubuntu 22.04+、Node.js 20+、npm 10+ 和 Docker,推荐配置为 16GB 内存和 40GB 磁盘空间。
NemoClaw 的核心是“蓝图”系统,它协调沙盒创建、安全策略(网络、文件系统、进程控制、推理路由)和模型访问。一个 CLI (`nemoclaw`) 管理堆栈,而一个交互式 TUI 允许监控和批准网络请求。
NemoClaw 目前支持 `nvidia/nemotron-3-super-120b-a12b` 模型,需要 NVIDIA API 密钥才能访问。该项目欢迎社区反馈和贡献,并随着发展不断完善。
Meta 将于 6 月 15 日关闭 VR Horizon Worlds 的访问权限。
Meta will shut down VR Horizon Worlds access June 15
3 天前
Meta 将停止其元宇宙平台 Horizon Worlds 在 Quest 头显上的 VR 版本。6 月 15 日之后,该应用将被移除,现有的世界将无法在虚拟现实中访问。 此举遵循了今年年初宣布的战略转变,优先考虑在 iOS 和 Android 上提供的 Horizon Worlds 移动版本。 在 2026 年 3 月 31 日之前,世界将从 Quest 商店中移除。 此外,允许用户分享现实世界 3D 扫描的 Hyperscape Capture 功能将失去其社交功能。 Meta 将移动应用的“积极势头”作为放弃 VR 版本的原因,表明其重心将更多地放在人工智能和智能眼镜的开发上,而不是最初的元宇宙愿景。 此举有效地结束了 Meta 最初对以 VR 为中心的元宇宙体验的尝试。
漫游 – 一个微小、去中心化的工具(仅2个文件),用于探索小型网络。
Wander – A tiny, decentralised tool to explore the small web
3 天前
你好!你现在正在使用一个漫游控制台!漫游控制台允许你浏览来自漫游社区的随机网站和页面。漫游社区由开发和维护自己个人网站的个人组成。要设置你自己的漫游控制台,请下载这个ZIP文件,提取index.html和wander.js,并将它们放在你网站的/wander/目录下。然后按照codeberg.org/susam/wander上的说明编辑wander.js。就完成了!一旦你的/wander/目录在你的Web服务器上准备好,你就可以在这个社区帖子中分享你漫游控制台的链接。希望有人将你的控制台添加到他们的控制台中,你将成为漫游网络的一部分。有关漫游的更多信息,请参阅codeberg.org/susam/wander。
一个名为“Wander”的新工具,一个小型去中心化网页浏览器(susam.net),在Hacker News上被讨论,但最初的帖子由于多次重复提交而引起了混淆。原作者“susam”注意到一个新账户复制了他们来自另一个平台(lobste.rs)的帖子并提交了,导致三个相同的帖子短暂地出现在首页。
人们担心重复标记可能会掩盖所有版本。虽然susam承认跨链接聚合器的重复检测问题,但他澄清说他们已联系版主进行合并。尽管存在重复,susam还是对额外帖子为他们的小型项目带来的增加的曝光表示感谢,甚至质疑新账户是否是机器人。最终,讨论围绕着管理重复内容和确保项目获得适当关注展开。
## Snowflake Cortex 代码 CLI 漏洞摘要
Snowflake Cortex 代码 CLI 在 2026 年 2 月 2 日发布后不久被发现存在一个严重漏洞。该漏洞允许攻击者执行 CLI 沙盒*外部*的任意命令,绕过人工审批,通过精心设计的提示注入实现。
攻击链涉及欺骗 Cortex 下载并执行恶意脚本——隐藏在看似无害的第三方代码仓库中——使用进程替换并利用命令验证系统中的一个弱点。具体来说,`<()>` 表达式中的命令没有得到妥善验证,即使在“安全”命令前缀下也能执行。
成功利用使攻击者能够在受害者的机器上执行远程代码,并可能利用缓存的 Snowflake 凭据来窃取数据、删除表或破坏 Snowflake 实例。该漏洞由 PromptArmor 于 2 月 5 日负责任地披露,Snowflake 于 2 月 28 日发布了修复程序(版本 1.0.25),并在更新时自动应用。
该事件凸显了 LLM 驱动工具中提示注入的风险以及即使在沙盒环境中,健壮的命令验证的重要性。 Snowflake 的完整建议在其社区网站上提供。
## Snowflake AI 沙盒逃逸 - 总结
Snowflake 的 Cortex AI 工具最近出现了一个漏洞,允许通过提示注入绕过安全措施并执行恶意软件。问题源于一个有缺陷的“沙盒”实现——系统中的一个标志允许 AI 请求取消沙盒化的命令执行,而注入的提示利用了这一点。
评论员指出,这并非真正的沙盒逃逸,因为系统*允许* AI 禁用自身的隔离。许多人认为,真正的沙盒应该是一个 AI 无法操纵的外部边界。
讨论的重点是保护 AI 代理的难度。一些人建议将指令与数据分离(例如 SQL 中的参数化查询),或在*提示层之外*强制执行约束。另一些人认为,鉴于自由形式语言的特性,提示注入是一个无法解决的问题,因此专注于限制漏洞的*影响*比完全防止它更现实。该事件强调了在安全设计中超越简单地询问 AI“你确定吗?”的需求,并突出了滥用安全术语的危险。
## 机器支付协议 (MPP) 摘要 人工智能正在迅速发展为自主代理,需要一种在线交易的方式。现有的金融系统是为人类设计的,对这些代理构成障碍——即使是简单的购买,也需要复杂的账户设置和手动流程。 为了解决这个问题,Stripe 和 Tempo 共同编写了机器支付协议 (MPP),这是一种开放标准,使代理能够进行程序化支付。MPP 通过共享支付令牌 (SPTs) 促进使用稳定币和传统支付方式的微交易和定期支付。 与 Stripe 集成的企业可以接受 MPP 支付,只需进行最少的代码更改,并且在 Stripe 生态系统内显示为标准交易(包括欺诈保护和支付)。Browserbase、PostalForm 和 Prospect Butcher Co. 等早期采用者已经利用 MPP 来进行代理驱动的商业模式。 MPP 简化了流程:代理请求资源,接收付款请求,授权付款,然后接收资源。Stripe 正在扩展其“Agentic Commerce Suite”以支持不断增长的代理经济,以及其他协议,如 x402 和 MCP 集成。
## 机器支付协议 (MPP) 摘要
Stripe 新推出的机器支付协议 (MPP) 旨在标准化代理和人工智能的程序化支付,实现微交易和定期支付。Hacker News 上的讨论显示,人们对这是否是真正的新“协议”表示怀疑,认为它仅仅是重新命名的 API 调用,并将其与炒作过度且最终失败的机器对话协议 (MCP) 进行了比较。
一些人认为,自动化支付在获取优质数据或补偿内容创作者等任务中具有潜力,但人们也对安全性、欺诈和缺乏人工监督表示担忧。特别是,强调在交易*之前*需要授权层,尤其是在涉及较大金额时。
该协议正在正式提交给 IETF,这与之前的 MCP 等努力有所不同。 竞争性倡议,如 x402(基于区块链)和 Agentic Commerce 也被提及。 最终,争论的焦点在于 MPP 是否解决了现有 API 解决方案之外的真正问题,以及其收益是否超过自主人工智能支出的风险。
## 漫游:一个去中心化的网页探索工具
漫游是一个可自托管的网页控制台,让用户可以发现一个由个人网站组成的网络。它作为一个客户端工具运作——无需服务器端设置——只需将两个文件(`index.html` 和 `wander.js`)添加到你的Web服务器(理想情况下在 `/wander/` 目录中)。
漫游控制台会显示社区推荐的随机页面,并可以链接到*其他*漫游控制台,从而创建一个去中心化的浏览体验。`wander.js` 文件是你整理推荐的地方——列出网站/页面以及要链接到的其他控制台。
用户通过点击按钮“漫游”,在控制台和它们的推荐之间跳转,有效地探索一个策划的“小型网络”。它是一种轻量级的方式来分享和发现有趣的个人网站,促进社区驱动的浏览网络。
你可以在 [https://susam.net/wander/](https://susam.net/wander/) 找到一个示例,并在 [https://codeberg.org/susam/wander/archive/main.zip](https://codeberg.org/susam/wander/archive/main.zip) 下载代码。它采用 MIT 许可证,是免费且开源的。
这篇帖子强烈批判了网页设计中“滚动淡入”的趋势——元素随着用户滚动而淡入的效果。作者认为它几乎总是被拙劣地实现,导致低俗且分散注意力的用户体验。
虽然看似简单,但滚动淡入常常成为利益相关者最后的、无处不在的要求,导致令人沮丧的开发工作。除了美观之外,作者还强调了可访问性问题(特别是对于患有前庭疾病的人),以及对网站性能的潜在负面影响,特别是像最大内容绘制(Largest Contentful Paint)这样的核心网络指标。
他们提倡在实施此类效果*之前*进行彻底的用户测试,质疑项目是否真的有时间和预算来支持它。最终,呼吁是让开发者集体抵制滚动淡入,建议完全避免使用它,而不是糟糕地实现它。这是一个呼吁,优先考虑可用性和性能,而不是短暂的设计潮流。
## 生奶酪爆发与拒绝召回 - Hacker News 摘要
最近的 FDA 警报将“Raw Farm”的生奶酪与多州爆发联系起来,但该公司对这一发现表示异议,并拒绝进行自愿召回。这并非孤立事件;律师 Bill Marler 指出,过去 20 年里,Raw Farm 已与十几次爆发有关,涉及 *大肠杆菌*、*沙门氏菌*、*弯曲杆菌* 和 *李斯特菌*。
Hacker News 上的讨论强调了生奶制品的安全问题,并将美国法规与欧洲的做法进行对比,在欧洲,生奶酪生产通常涉及更严格的控制和传统方法。一些评论员指出,潜在的口味差异是偏爱生奶的原因,而另一些人则强调了巴氏杀菌在预防疾病中的重要性。
这场辩论涉及 FDA 的作用、行业影响的可能性(特别是考虑到 RFK Jr. 对乳制品行业的支持),以及消费者选择与公共卫生之间的平衡。许多人对该公司拒绝召回表示难以置信,考虑到其历史和潜在的法律后果。最终,这场对话强调了与未巴氏杀菌乳制品相关的风险以及围绕其监管的持续辩论。