每日HackerNews RSS

## Cal.diy:一个社区驱动的日程安排平台 Cal.diy 是 Cal.com 的完全开源分支,专为自托管和希望完全控制其日程安排基础设施的个人设计。它适用于个人、非生产环境的使用,需要高级的服务器管理、数据库管理和安全方面的技术知识。**与 Cal.com 不同,Cal.diy 移除了所有企业/商业功能**(如 Teams、SSO 和高级分析),并采用 100% MIT 许可 – 没有“开放核心”限制。 **要运行 Cal.diy,您需要 Node.js (>=18.x)、PostgreSQL (>=13.x) 和 Yarn。** 安装涉及克隆仓库,使用安全密钥(NEXTAUTH_SECRET, CALENDSO_ENCRYPTION_KEY)配置 `.env` 文件,以及设置数据库。Docker 和 Docker Compose 也支持,以便更轻松地部署。 虽然 Cal.diy 提供了灵活性,但它没有托管/管理的版本 – 您需要负责所有的维护和安全。该项目欢迎社区贡献(参见 `CONTRIBUTING.md`),但这些贡献与 Cal.com 平台是分开的。详细的文档,包括设置指南和集成说明(Google Calendar、Zoom 等),可在仓库中找到。

## Cal.com 战略转变推出 “Cal.diy” Cal.com 发布了其日程安排软件的开源社区版 “Cal.diy”,但此举引发了争议。Cal.com 最初宣传本地部署开源具有安全优势,但现在*不建议*将 Cal.diy 用于生产环境,理由是法律责任。 这种转变导致了“诱饵和转换”的指责,用户指出之前的博客文章提倡开源安全性。一些人推测,这种变化是由商业问题或其托管服务中潜在的未公开安全漏洞驱动的。另一些人认为,这是为了限制志愿者贡献并控制未来的开发。 这场讨论凸显了开源许可的复杂性以及公司重新评估其承诺的可能性。用户正在探索替代方案,如 cal.rs 和 cal.diy 分支,一些人对公司将开源作为增长策略,然后在限制访问的做法表示沮丧。这一事件强调了真正由社区拥有的项目的重要性,以及依赖公司支持的开源计划的潜在陷阱。

框架公司于2026年4月进行的测试,使用配备英特尔®酷睿™Ultra X7 358H处理器、英特尔®Arc™B390显卡、2.8K触摸屏、32GB内存和1TB存储的Framework Laptop 13 Pro进行测试。显示亮度设置为250尼特,显示刷新率设置为60Hz,扬声器音量为30%,禁用Dolby Atmos®,并启用无线功能。电池续航时间通过在Windows 11的最佳电源效率模式下,在Netflix应用程序中流式传输Netflix 4K内容进行测试。电池续航时间因使用情况和配置而异。

Meta正在在美国员工的电脑上部署新的追踪软件,用于收集数据以训练人工智能模型。该软件将监控鼠标移动、点击、键盘敲击,并在与工作相关的应用程序内定期截屏,以提高人工智能自主执行任务的能力——特别是下拉菜单选择和键盘快捷键使用等领域。 根据内部备忘录,收集的数据*不会*用于员工绩效评估。Meta强调,其目的仅仅是通过提供真实世界的使用案例来增强其人工智能代理。据报道,已经采取了安全措施来保护敏感信息。 这项由Meta SuperIntelligence Labs团队主导的举措,旨在利用员工的工作流程来完善人工智能模型,并构建更强大的人工智能助手,以完成日常任务。

《大英百科全书》第十一版 文章贡献者 主题 辅助 《大英百科全书》第十一版 · 1910–1911 ∼◆∼ 完全可搜索、交叉引用和注释。

## britannica11.org:复活的1911年百科全书 一位开发者将1911年版《大英百科全书》重建为一个简洁、结构化且易于浏览的网站([https://britannica11.org/](https://britannica11.org/))。该项目重构了原始版本中约37,000篇文章,保留了原始格式、交叉引用以及指向扫描页面的链接。 用户可以搜索全文、按章节浏览以及访问贡献者信息。该网站旨在复制使用原始百科全书的体验,同时提供现代化的可用性。 讨论中,用户表达了对该项目的赞赏,提出了改进建议(例如并排文本和图像视图),并对潜在的大批量数据访问以用于研究和培训表示兴趣。开发者正在积极寻求关于搜索质量、导航和结构准确性的反馈。 许多用户也注意到1911年版本的独特视角和语气,反映了第一次世界大战前的乐观主义。

## 从简单的网页到现代的复杂性与更简单的路径 网页最初由简单的静态HTML页面组成。随着时间的推移,交互性通过表单和JavaScript增加,最初保持着直接的结构:HTML、CSS、JavaScript、服务器和数据库。然而,AJAX和单页面应用(SPAs)的引入——使用React、Vue和Angular等框架构建——极大地增加了复杂性。现代Web开发现在需要大量的工具(Webpack、Vite、TypeScript)来*转换*开发者友好的源代码为浏览器兼容的JavaScript,这通常与最终的运行时状态相去甚远。 这种复杂性源于弥合现代源代码与浏览器原生理解之间的差距。当前的生态系统堪比巴别塔,要求开发者掌握众多技术。 一种潜在的解决方案建议回归服务器渲染HTML,利用HTMX进行动态更新,并使用HTML Web Components构建可重用的UI元素。这种方法最大限度地减少JavaScript,简化工具,并更紧密地与浏览器基础保持一致。虽然需要改变思维方式,但它提供了诸如改进SEO、性能、可测试性以及更易于管理的开发流程等好处。这种更简单的替代方案旨在减少构建过程和工具开销,通过拥抱浏览器的原生能力,使Web开发再次变得高效。

## 现代前端开发的复杂性:总结 最近在Hacker News上进行了一场关于现代前端开发日益复杂的讨论。许多开发者对浏览器原生支持的基本UI元素不足表示沮丧——例如,轮播图和工具提示需要大量的自定义JavaScript,而不是简单的HTML标签。Open UI等倡议旨在解决这个问题,但进展缓慢。 这场辩论凸显了追求全面的浏览器API与对灵活性的需求之间的紧张关系。一些人认为标准化的组件可以简化开发,而另一些人则认为巨大的潜在变化使得标准化不切实际。 像HTMX这样的替代方案,强调服务器端渲染和最少的JavaScript,也被提出,但人们对其可扩展性和对复杂应用程序的适用性表示怀疑。核心问题似乎是,网页应用程序开始被视为两个独立的实体(前端和后端),导致了开销增加。最终,这场讨论表明人们渴望更简单、更高效的Web开发,但也承认了在简单性和现代Web应用程序的需求之间取得平衡的挑战。

## 未开发的潜力:创新的奶酪组合 奶酪世界仍然蕴藏着令人兴奋的可能性,源于对牛奶和技术组合的探索。许多“空白”并非源于化学限制,而是传统、地理或物流的限制。 一些有前景的想法包括**牦牛奶格鲁耶尔奶酪**,利用牦牛奶的丰富性结合瑞士技术,以及**白霉类水牛奶马苏里拉奶酪**,创造出极其浓郁的三重奶油奶酪。结合传统,**蓟花凝乳水牛奶托尔塔**可以产生一种风味浓郁、可舀取的奶酪。同样,**白霉类牦牛奶奶酪**有望带来一种独特浓郁的四重奶油体验。 除此之外,**用布包裹的绵羊切达奶酪**可以提供更致密、更结晶的切达奶酪,而**烟熏骆驼奶酪**可能可以克服骆驼奶酪具有挑战性的风味特征。最后,尽管存在物流障碍,**驯鹿奶硬奶酪**由于其牛奶的极高脂肪含量,可能成为你能想象到的最浓郁的硬奶酪。这些例子表明,大胆的奶酪制造商可以解锁真正的新颖美味的创作。

## 黑客新闻讨论:“奶酪元素周期表” 一个名为“奶酪元素周期表”(cheesemap.netlify.app)的新网站在黑客新闻上引发了争论。一些用户认为它是一个有趣且有用的资源,但许多人对它的准确性和来源表示怀疑。 主要担忧是强烈怀疑该网站很大程度上是由人工智能生成的,缺乏明确的来源或作者。几位评论员指出,表格和描述中都存在人工智能生成内容的明显迹象。这引发了关于信任人工智能生成内容的讨论,以及普遍认为如果没有可验证的信息,该网站的价值会降低。 尽管存在这些担忧,一些人还是为该网站辩护,认为它的娱乐价值超过了缺乏严格研究。其他人则指出了不准确之处,例如包含马奶酪或错误分类奶酪类型。讨论还涉及了人工智能生成网站的美学趋势以及“氛围投票”取代真正努力的潜力。 最终,这场对话揭示了人们对在线人工智能生成内容的日益关注,有时甚至是厌恶,以及对经过充分研究和精心制作的资源的持续欣赏。

## ctx:Claude & Codex 的本地上下文管理 **ctx** 是一款本地优先的工具,用于管理与 Claude 和 Codex 的对话,提供持久上下文、分支和搜索等功能——所有这些都不需要 API 密钥。它将数据存储在本地 SQLite 数据库和文件中,从而实现离线访问和完全控制。 **主要特点:** * **持久上下文:** 无缝恢复或分支对话,保留确切的聊天记录。 * **安全分支:** 从现有对话创建新的工作流,而不会影响原始对话。 * **索引搜索:** 快速找到已保存工作流和会话中的相关上下文。 * **上下文整理:** 钉住、排除或删除已保存的条目,以优化未来的模型输入。 * **本地优先:** 完全在本地运行,使用 SQLite 和文件——无需云依赖。 **入门:** 克隆仓库 ([https://github.com/dchu917/ctx.git](https://github.com/dchu917/ctx.git)) 并运行 `./setup.sh`。 使用 `/ctx start`、`/ctx resume` 和 `/ctx branch` (Claude) 或 `ctx start`、`ctx resume`、`ctx branch` (Codex) 等命令管理工作流。 网页界面 (`ctx web --open`) 允许详细查看和编辑上下文。 **使用场景:** 非常适合希望在多个会话中保持一致的上下文、试验不同的对话分支以及高效检索过去交互的开发者。

对不起。

## 近期攻击链的 SIEM 检测 本指南概述了针对 Google Workspace 及相关系统的近期攻击链的检测策略,重点关注 OAuth 应用程序被攻陷以及随后的凭证滥用。 **关键检测领域:** * **OAuth 异常:** 警报与已知恶意 OAuth 客户端(Context.ai)相关的活动、过于宽松的应用程序授权以及来自意外 IP 范围的令牌使用情况。 * **横向移动:** 监控异常的 SSO/SAML 身份验证、可疑的电子邮件/Drive 活动(凭证收集)、不寻常的 OAuth 连接工具访问以及 Google Workspace 内的权限提升尝试。 * **环境变量访问:** 检测 Vercel 等平台中不寻常的环境变量访问模式,尤其来自用户帐户或不一致的来源。 * **下游凭证滥用:** 查询访问日志(AWS CloudTrail、GCP/Azure 审计日志、SaaS 提供商仪表板),以查找来自未知 IP 或在非活动期间使用的受损凭证。 * **泄露通知:** 优先处理并调查来自 GitHub、AWS 和 SaaS 提供商等平台的泄露凭证通知,作为潜在的入侵指标。 组织应将这些模式转换为 SIEM 规则(Sigma、Splunk、KQL 等),根据其特定的日志源验证字段名称,并建立正常活动的基线。 对这些指标进行主动监控和快速响应对于减轻此攻击链的影响至关重要。

## Vercel 漏洞总结 Vercel 近期发生的一起漏洞源于一个被攻陷的 OAuth 应用 – Context.ai,该应用与 Vercel 员工的 Google Workspace 账户关联。攻击者通过恶意软件(Lumma Stealer)获取访问权限,并在数月内利用此权限枚举客户的环境变量。 核心问题在于 OAuth 访问和环境变量处理方面的安全措施不足。具体而言,Vercel 之前缺乏环境变量的“敏感”标记,导致它们以明文形式暴露。虽然现在已实施此标记,但这并未完全解决问题,因为变量在构建过程中仍然可访问。 讨论的重点是需要更好的密钥管理实践,包括使用安全金库、限制 OAuth 范围以及实施短寿命凭证。人们对依赖第三方 OAuth 提供商以及类似平台中可能存在的广泛漏洞表示担忧。该事件还引发了关于人工智能在加速攻击中的作用,以及设计系统时假定提供方被攻陷的重要性。

Trellis 是一个由人工智能驱动的平台,旨在简化医疗账单和报销流程,加速患者获得救命药物的机会。Trellis 起源于斯坦福人工智能实验室,并获得知名投资者的支持,它能够自动化关键的就诊前任务,例如文件接收、事前授权和申诉——处理全美50个州数十亿美元的治疗费用。 本质上,Trellis 就像医疗账单领域的“Stripe”,利用人工智能代理理解医疗数据,应对复杂的保险规则,并提供准确的成本估算。这使得治疗时间减少了90%以上,并提高了医疗服务提供者和制药公司的批准/报销率。 Trellis 发展迅速(近期收入增长了10倍),正在寻找工程师来构建和部署这些“代理型”人工智能系统,重点是全栈开发、机器学习/自然语言处理以及强大的生产基础设施。他们提供一个具有高影响力的职位,直接与客户互动,并在世界一流的团队中承担责任。

黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录 Trellis AI (YC W24) 正在招聘工程师来构建自我改进的智能体 (ycombinator.com) 7小时前 | 隐藏 考虑申请YC 2026年夏季项目!申请截止至5月4日 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系 搜索:

## 压缩与扩展时代 数字世界依赖于压缩——减少文件大小以高效地在有限带宽上传输数据。从丢弃不可听声音的MP3到简化图像的JPG,压缩用实用性换取数据保真度。然而,这个过程*总是*会改变数据,留下微妙的“伪影”——可检测的缺陷,揭示文件的历史和操作。这些伪影不仅仅是缺陷;它们是数字调查中的法医线索,甚至激发了故障艺术等艺术运动。 现在,我们正进入一个由人工智能驱动的*扩展*时代。大型语言模型(LLM)本质上是互联网的“模糊JPEG”,以有损方式压缩海量数据集。问题不在于压缩,而在于*解压缩*——人工智能试图从这些不完整的数据中重建和推断。这导致了“扩展伪影”——含糊的语言、过于详细的解释以及事实错误(例如人工智能生成的六指手)。 这些伪影变得越来越普遍,可以检测到在人工智能生成的文本和代码中,并构成风险,因为人工智能生成的内容会反馈到训练数据中,从而产生失控的反馈循环和信息同质化。识别和理解这些扩展伪影对于驾驭人工智能驱动的内容不断变化的格局至关重要。

一个Hacker News讨论强调了Mike Caulfield最近关于提示大型语言模型(LLM)以不同风格写作的文章(链接:[https://mikecaulfield.substack.com/p/a-300-word-prompt-that-...](https://mikecaulfield.substack.com/p/a-300-word-prompt-that-...) & [https://mikecaulfield.substack.com/p/introducing-jamesian-a-...](https://mikecaulfield.substack.com/p/introducing-jamesian-a-...))。Caulfield探讨了为什么LLM经常产生具有“并列结构”的写作——独立的、相邻的想法缺乏连接性短语——将解释留给读者。 一位评论者认为这些内容引人深思,但质疑这些风格特征是否是LLM权重固有的“压缩伪影”。他们提出这可能是“解压缩伪影”,暗示我们尚未充分探索提示技术,以将权重*扩展*到期望的形式并克服这些限制。讨论的中心在于通过改进提示来控制LLM输出,而不是将风格怪癖视为不可避免的。

更多

联系我们 contact @ memedata.com