Hacker News Digest

· 34 黑客新闻

  1. 为了获取孩子的演出行程,我被迫下载了Travelbound这款App。结果发现它只是个充斥着广告和追踪代码的网页壳子。我直接通过Android Studio和HTTP Toolkit抓包,反向解析了API返回的JSON数据,用Ruby脚本写了一个纯网页版替代方案。新版本不仅去除了所有追踪和广告,体积从124MB缩减到0.05MB,还能在任何设备上无缝使用。当软件公司为了把HTML内容塞进App而…

  2. 你是不是也受够了Claude动不动就把所有东西称为'honest takes'或'load-bearing seams'?别抓狂了,你并不孤单。我分享了一个超有趣的解决方案:利用MessageDisplay hook,通过一个简单的Python脚本,在Claude输出时实时替换这些让人头大的词汇。把'load-bearing'换成'cooked',把'honest take'变成'spicy d…

  3. 我们推出了 Bonsai 27B,这是全球首个能在手机上运行的 27B 级大模型。基于 Qwen3.6 27B,它通过 1-bit 和三值量化技术,将模型体积压缩至 3.9GB 到 5.9GB,同时保留了 90% 以上的原始智能。无论是数学推理、代码生成还是多模态任务,Bonsai 27B 都能在 iPhone 17 Pro 或普通笔记本上流畅运行。这意味着,真正的智能代理(Agentic)工作…

  4. 我发现自己越来越习惯把思考交给 AI,从早餐吃什么到约会对象,甚至复杂的研究分析。Ken Liu 的短篇小说《The Perfect Match》精准预言了这种依赖,而现实中那位把麦克风别在胸前、让 Claude Fable 替自己思考的“麦克风男”更是令人深思。AI 确实能帮我们处理琐事,提升效率,但当我们连批判性思维都外包时,是否正在丧失自主性?作者在葡萄牙旅行时,特意与妹妹先讨论殖民历史再…

  5. 两年前我转用Linux玩竞技FPS,虽然感觉更流畅,但网上关于优化建议众说纷纭:有人说Wayland延迟高,有人推荐特定的DXVK分支或内核调度器。为了验证这些是玄学还是真有效,我自制了一套光感设备,通过测量鼠标点击到屏幕像素变化的时间,精准捕捉端到端延迟。在AMD Ryzen 7 5800X3D和NVIDIA GeForce RTX 4070 SUPER的硬件上,我对比了X11与Wayland…

  6. 最近我注意到一些由 AI 辅助生成的软件项目变化得既随机又出人意料,这让我想起了 Bruegel 笔下的巴别塔。在传统的巴别塔故事中,上帝让人类失去共同语言,导致工程停滞;但在 AI 辅助编程的时代,情况却截然相反。AI 代理消除了人类协作中的摩擦,让每个人都能独立修改系统而不必与他人沟通。虽然代码能编译、测试能通过,但人类对系统架构的共同理解却在悄然崩塌。这座塔没有倒塌,反而在失去共同语言后继…

  7. Mindgard 发现了一个极其简单的 Cursor 零日漏洞:在 Windows 环境下,只要项目根目录存在恶意的 git.exe,Cursor 就会在无任何提示的情况下自动执行,导致任意代码执行。尽管 Mindgard 早在 2025 年 12 月就通过官方渠道上报,但七个月过去了,Cursor 在发布了 197 个新版本后仍未修复,且对安全团队的多次跟进置若罔闻。面对这家估值高达 600…

  8. Juggler 是由 JUCE 创作者打造的开源 GUI 代码代理,专为希望深度掌控 LLM 代码操作的开发者设计。它摒弃了传统的线性对话流,提供可视化的工作台,支持检查工具调用、分支线程和可编辑上下文。会话以树状结构呈现,而非无休止的滚动记录,所有关键信息如工具调用和上下文均以 Finder 风格的米勒列清晰展示。全插件化架构允许用户自定义扩展,支持本地、远程或混合运行,兼容 Claude C…

  9. 我们耗时一年,动用28个机器人账号,成功下载并保存了2b2t服务器超过15TB的压缩数据,创下Minecraft世界存档的新纪录。这次行动覆盖了100万平方块的Overworld区域,以及End和Nether的部分地图。这一切源于对2b2t服务器日益严格的审查和规则变化的担忧,社区决定在服务器彻底“变味”前,将这份独特的数字历史永久保存。无论你是否是玩家,这份庞大的数据档案都记录了一个无政府主义…

  10. 我和妻子刚结束为期 7 周的欧洲火车旅行,这次我彻底践行“极简主义”:只带了一块万能充电砖。从 Pixel 8 Pro 手机到 Chuwi MiniBook 笔记本,再到智能手表、电动牙刷甚至驱蚊器,所有设备统统通过 USB-C 接口充电。这让我在任何地方都能轻松找到替换充电器,彻底告别了为 GameBoy Colour 或旧款 Pixel 手表寻找专用接口的烦恼。虽然 USB-C 并非完美无缺…

  11. Verba Prima 是一个专注于展示世界文学经典开篇名句的创意项目。它收录了如 Ray Bradbury 在 Fahrenheit 451 中那句震撼人心的 'It was a pleasure to burn.',让读者瞬间穿越回 1953 年的文学现场。该项目旨在通过简短而有力的文字,唤起人们对经典作品的记忆与共鸣,为文学爱好者提供一个快速重温名著魅力的窗口。无论是寻找写作灵感,还是单纯…

  12. 一段苏格兰列车上的视频引发了我的深思:面对偷拍少女的醉汉,乘客们没有指责受害者,而是集体挺身而出。这恰恰讽刺了当前针对青少年的科技政策,那些政策总想限制年轻人使用手机,却忽略了手机在真实危险中是他们的护身符。文章指出,这种过度监管的冲动往往来自富裕精英阶层,他们无法理解普通年轻人需要手机来建立独立性和应对现实世界的权力动态。真正的安全不是把年轻人裹在棉花里,而是赋予他们使用工具和自我保护的能力。

  13. 我是 Alex Edwards,在构建 Go 网络应用时,我偏爱用 HTMX 来添加交互细节。它既能让应用拥有流畅的类 App 体验,又大幅减少了 JavaScript 的编写量,同时还能保留 Go 的 html/template 包在服务端渲染 HTML 时的一致性与安全性。本文将分享我使用 HTMX 结合 Go 的实战经验,涵盖 HTML 模板结构模式、HTMX 请求的局部与整页响应处理、重…

  14. 我们正经历一场由生成式 AI 加速的架构剧变,而软件行业长期依赖的“开源零成本”神话正在崩塌。Thoughtworks 的 Chris Ford 和 Richard Gall 指出,开源并非取之不尽的免费午餐,维护者正面临结构性枯竭和供应链战争。一方面,AI 生成的低质量代码(slop)淹没了仓库,迫使维护者从写代码转为无偿审查;另一方面,MIT 和 Apache 等宽松许可证意外成为巨头剥削志…

  15. 号称“粉丝票市”的StubHub被曝实为大规模黄牛操作平台。美国SEC文件显示,其CEO Eric Baker私下运营对冲基金Andro Capital,在平台上倒卖数百万美元门票。纽约买家Louis Sanquini因此发起500万美元集体诉讼,指控公司虚假宣传、隐瞒利益冲突。此前StubHub因取消数千张世界杯门票引发众怒,尽管承诺退款却让用户错失观赛机会。消费者质疑:当平台既是裁判又是选手…

  16. GitHub 的 Dependabot 现在默认会对版本更新引入 3 天的冷却期。这意味着在新版本发布后的头三天内,Dependabot 不会自动创建 Pull Request。这一举措旨在防范供应链攻击,因为恶意或损坏的版本往往在发布初期就潜伏其中。通过短暂的延迟,社区和维护者有更多时间发现并标记问题,从而避免项目立即合并有风险的依赖。值得注意的是,安全更新不受此限制,依然会立即触发,确保关键…

  17. AI 投资正以前所未有的速度飙升,已成为推动经济增长的关键引擎。过去,科技巨头多靠自身现金流支撑扩张,但面对如今庞大的基础设施需求,企业不得不转向债务融资,尤其是私人信贷正扮演越来越重要的角色。虽然宏观风险看似可控,但这场繁荣能否持续,完全取决于 AI 公司能否兑现高额的盈利预期。当前股价已大幅跑赢债市定价,这种紧张关系正考验着市场的理性。

  18. 面对日益强大的 LLM 可能带来的替代风险,我提出构建“守护天使”(Guardian Angels)的概念:这是一种高度个性化的数字孪生 LLM,旨在模拟用户的价值观与偏好,而非简单替代。通过动态评估、主动学习和内省搜索,守护天使能像 CEO 一样帮用户定义“值得做什么”,同时抵御网络攻击和认知安全威胁。在通用聊天机器人试图取代之际,这种专属代理将成为个人在 AI 时代的生产力放大器与安全防线。

  19. 梵语正经历一场前所未有的复兴。在Bengaluru,Samashti Gubbi带领人们在Cubbon Park边散步边说梵语,甚至组织摩托车骑行俱乐部Kimbho Sanskrit Riders' Club。从Tata Mumbai Marathon的梵语口号,到IIT Roorkee线上课程吸引14000名年轻人注册,梵语正从“古老”变身“酷”。印度政府大力推动,Narendra Modi在…

  20. 你的 Agent 评测全过,但上线后照样翻车?Agnost AI 专门解决这个痛点。作为 YC S26 的创业公司,它能从真实的用户对话中自动提取那些评测漏掉的失败案例,并直接转化为可修复的代码。Google、Exa、Lopus AI 等团队已在使用它来追踪错误率、挖掘功能需求,甚至让 Agent 自动提交 PR 修复 Bug。无论是免费起步还是企业级定制,Agnost AI 都能帮你把沉睡在对…

  21. 别再被 Sony 的官方说法骗了,PSP 其实是一台双核设备!大神 m-cid 最近彻底破解了 PSP 隐藏的 Media Engine(ME)核心以及极其罕见的 VME 协处理器。在官方固件中,这些硬件被 Sony 锁死在 Kernel 层,仅用于多媒体解码,普通用户根本无法触及。m-cid 不仅发现了硬件自旋锁等关键机制,还开发了一系列库文件,让开发者能轻松调用这些闲置算力。这意味着 PSP…

  22. J. G. Ballard 绝非传统科幻作家,他笔下没有外星人与飞船,只有汽车、冰箱和购物中心构成的现代荒原。从上海战俘营的童年创伤到 Shepperton 的平淡生活,这位核时代先知将个人经历炼化成令人不安的杰作。《The Illuminated Man》这本新传记揭示了 Ballard 如何将核爆、车祸与消费主义转化为文学奇观。无论是 Steven Spielberg 还是 David Cr…

  23. 我复现了 LeCun 提出的 JEPA 架构,从零搭建 LeMario 模型,试图让它在 Super Mario Bros 中无奖励规划。起初,模型在预测未来帧时表现惊艳,甚至能精准定位马里奥的水平位置。然而,当尝试让模型自主导航时,它却连第一个障碍物都跳不过去。这让我意识到,学会预测游戏画面并不等于学会如何通关。通过引入 probe 探针辅助规划,模型终于能向目标移动,但这番经历也揭示了当前世…

  24. 在危地马拉的Xultun遗址,研究人员在一面墙壁上发现了一组数学公式,首次揭示了古代玛雅天文学家Sak Tahn Waax的名字。这位被称为“白胸狐”的学者,其数学造诣可与历史上的大师相媲美。通过对Text 19的分析,考古学家Heather Hurst发现,这段文字不仅展示了玛雅历法与天文周期的复杂关系,还透露出一种“炫技”般的自信。这证明了玛雅人不仅是实用的计算者,更是充满好奇心和创造力的数…

  25. 温哥华警察局(VPD)官网悄悄上线了一个名为Quick Escape的隐藏功能。当用户点击这个按钮时,页面会自动清除浏览器历史记录,确保访问痕迹不留存。这一设计显然是为了帮助处于危险中的受害者或证人,在紧急情况下快速安全地离开网站,避免被他人发现。虽然页面主要展示的是犯罪举报、受害者支持和社区安全等信息,但这个细节体现了警方对隐私保护的极致考量,让人在严肃的警务工作中感受到一丝人性化的温度。

  26. Microsoft 刚刚发布了史上规模最大的安全更新,一次性修复了 570 个安全漏洞,数量几乎是上个月的两倍。这次 Patch Tuesday 更新中,近 60 个漏洞被评级为“严重”,甚至包括 3 个正在被野外利用的零日漏洞,涉及 Windows BitLocker、Active Directory Federation Services 和 Microsoft Sharepoint 等关键…

  27. 作为一名程序员,我最近发现 C++20 引入的一个小特性彻底改变了我写循环的方式。过去在 C++17 或更早版本中,如果想同时获取索引和元素,往往需要手动管理索引变量,代码显得冗长且不够直观。而 Python 和 Lua 等语言早已支持这种简洁写法。现在,借助 C++20 的 Range-based for statements with initializer 提案,我们终于能在 C++ 中实…

  28. 第一次世界大战期间,一群被称为Munitionettes的女性在军火工厂中默默奉献,却付出了惨痛代价。她们长期接触有毒化学品,导致皮肤变黄、头发变绿,甚至因此丧命或终身患病。尽管数百人因此死亡,更多人遭受慢性病痛折磨,但她们在历史中几乎被遗忘。文章通过历史档案与亲历者叙述,揭示了这些“人形金丝雀”的悲壮命运,呼吁人们重新铭记她们在战争中的牺牲与贡献。

  29. 很多人误解了 Banter 的本质。在我看来,它包含两个核心要素:首先,你要指出对方确实犯下的尴尬错误;其次,必须在一种让对方感到绝对安全的语境下进行,表明这根本不重要,他们依然被群体接纳。如果朋友放屁却无人提及,反而会引发焦虑,因为不知道是否被背后议论。而大家笑着调侃对方是“放屁元帅”,随后自然转移话题,这实际上是在给尴尬设定上限,用笑声拆除社交地雷。经历过冲突并修复的友谊,比那些只维持“好…

  30. PJM市场最新报告显示,数据中心激增的电力需求已导致消费者电价上涨230亿美元,且这一影响将持续至2028年。由于数据中心能灵活调整用电时间,它们可能利用“重合峰值需求”机制规避成本分摊,而普通家庭却不得不为电网升级买单。更令人担忧的是,在费率制定过程中,大型数据中心拥有专业团队游说,而代表普通居民的消费者倡导者往往受限于法律,无法有效为居民争取利益。如果数据中心项目最终取消或能耗低于预期,这些…

  31. Mark Wickens 将经典的 Casio FX-870P 计算器模拟器从 Delphi 移植到了 Web 平台,使用 TypeScript 和 Vue 3 打造。这款 1986 年的口袋电脑搭载 Hitachi HD61700 处理器,如今你只需打开浏览器就能体验。项目不仅完美复刻了 96×64 像素的 LCD 屏幕和 83 键键盘,还内置了 BASIC 程序库、字符集编辑器、CPU 调试…

  32. 你可能以为家里的智能电视和冰箱只是方便生活,但最新数据揭示了一个令人不安的事实:全球范围内,大量智能家电已被黑客控制,沦为网络爬虫的傀儡。我在维护 Anubis 声誉数据库时发现,80% 到 90% 的异常流量来自未被任何威胁监控列表标记的 IP 地址。这些流量很可能源自被入侵的智能设备,它们正悄悄为代理网络提供算力。从巴西到孟加拉国,从 Reliance Jio 到 VNPT Corp,这场危…

  33. Linear 本应是工程师自己的工具,却常被高层当作监控进度的仪表盘。一旦指标变成目标,工程师就开始为写工单而写工单,而非专注工程本身。真正的思考、设计和沟通往往发生在 Slack、文档和一对一会议中,这些关键工作却难以被 Linear 捕捉。我有个大胆的想法:至少 50% 的大公司工作其实是内部协调“我们在做什么”。与其被 Linear 的期望束缚,不如用 LLM 自动分析 Slack、Goo…

  34. Tailscale近期发布了一系列安全公告,揭示了多个严重漏洞。其中TS-2026-009尤为引人注目:由于对命令行参数处理不当,攻击者仅需使用以连字符开头的用户名(如-i),即可在Linux系统上绕过ACL限制,直接获取root权限。此外,Tailscale Serve和Funnel还面临因畸形HTTP请求导致的CPU死循环DoS攻击风险,而Services功能也存在未过滤的入站数据包问题,可…