hacker_news_top_comments_2025-09-09

Hacker News 高赞评论 - 2025-09-09

1. DDerTyp在”NPM debug和chalk软件包遭入侵”中的新评论

这种恶意软件最隐蔽的一个特性——目前尚未得到足够关注——在于它选择替换钱包地址的方式。它并非简单地从列表中随机挑选一个地址。

实际上,它会计算原始合法地址与其列表中每个地址之间的莱文斯坦距离(编辑距离),然后选择视觉上与原始地址最相似的黑客地址。

这种直接编码实现的社会工程学手段非常高明,专门针对用户仅核对地址首尾几位字符就确认交易的安全习惯。

我们已完成对有效载荷的完全去混淆处理,并重点分析了这个功能模块。详细分析已发布在此处:https://jdstaerk.substack.com/p/we-just-found-malicious-code...

请大家保持警惕!

作者: DDerTyp | 发布于: 2025-09-08 16:16

2. 新评论来自junon,关于”NPM debug和chalk软件包遭入侵”

大家好,是的,我的账号被黑了。非常抱歉,实在太尴尬了。

详细信息:

受影响包(目前已知):

这看起来像是一次针对性攻击。

我会在评论可编辑期限内持续更新信息。

更新(中欧夏令时9月8日17:50):
Chalk已重新发布,其他包仍处于被劫持状态。
NPM尚未回复我。我的NPM账号完全无法访问,密码重置系统失效。目前除了等待别无他法。

钓鱼邮件来自npmjs.help的支持邮箱。
初看很逼真。不是找借口,但这周特别漫长,早晨又手忙脚乱,只想尽快处理待办事项。错误在于直接点击了邮件链接而非像往常一样手动访问网站(因为当时在用手机)。

仅NPM受到影响。后续更新会发布在上述/debug-js链接中。

再次致歉。

作者: junon | 发布于: 2025-09-08 15:49

3. lionturtle在”尼泊尔反政府抗议致14人丧生”中的新评论

这绝对不仅仅是社交媒体被封禁的问题,主要是年轻人抗议腐败的政府和不公现象。社交媒体禁令只是压制言论自由的一个因素,但关键时间点在于——当时所有人都在曝光那些富裕政客的商业关系网和家族,他们过着奢靡生活,世代世袭选举席位,并将官僚体系玩弄于股掌之间。

几小时前我就在现场。这是阶级斗争,但注定会被扭曲成”小孩们刷不了脸书就在闹脾气”。

作者: lionturtle | 发布于: 2025-09-08 11:52

4. Doohickey-d 在”MacBook屏幕铰链角度传感器揭秘”中的新评论

盖板角度传感器与主板是序列号绑定的:若未执行校准程序,您既无法单独更换传感器也无法更换主板。此项校准必须由苹果授权服务商完成,不过在欧洲(以及苹果提供自助维修零件的其他地区),您可以从苹果官方购买传感器,更换后连接互联网即可完成校准——但前提是该传感器必须购自苹果官方。

这意味着硬件本身具备校准能力,但苹果只是不愿慷慨地赋予用户在自有设备中安装回收件或第三方传感器的权利。

(原文链接:https://www.ifixit.com/Answers/View/759262/Torn+Lid+angle+se...)

作者: Doohickey-d | 发布于: 2025-09-07 20:28

5. 用户isThereClarity在《私有网络地址192.168.*.*的起源是什么?(2009)》中的新评论

RFC1918合著者Daniel Karrenberg于2017年10月6日在NANOG邮件列表中这样说道:

针对Jay R. Ashworth在2017年10月5日07:40的提问:

是否有人能提供权威来源说明为何选择

10/8
172.16/12 以及
192.168/16

这些范围写入RFC?…

RFC解释了为何我们分别从”A/B/C类”中各选一个范围:虽然CIDR已被规范但尚未广泛实施。当时仍有大量设备采用”有类”寻址。

据我回忆,具体范围的选择依据如下:

10/8:ARPANET刚停用。我们中有人提议此段,Jon认为这是对”历史”地址块的良好再利用。我们也怀疑”10网段”可能在部分场景中被硬编码,因此将其重用于私有地址空间而非AS间路由,或许能让这种愚蠢设计的影响局限在本地。

172.16/12:B类地址空间中最低未分配的/12段。

192.168/16:C类192/8块中最低未分配的/16段。

总结:IANA的分配方式与处理其他用途时一致。作为IAN负责人,除非有充分理由需要创新,Jon始终保持着高度一致性。

Daniel(RFC1918合著者)

(原始存档链接:https://web.archive.org/web/20190308152212/https://mailman.nanog.org/pipermail/nanog/2017-October/092636.html)

作者: isThereClarity | 发布于: 2025-09-07 12:10

6. Aurornis 在 “996” 话题中发表新评论

当创始人在职位描述中写上996或在推特上宣扬996文化时,这其实是个很有用的避坑信号。

唯一能让我考虑这种疯狂作息的情况,只有当我自己是手握大量股权的创始人,且面临一个千载难逢、需要通过短期996来把握的机遇时。

至于普通员工?绝对不行。想要员工付出超常的工作时间,就必须提供超常的报酬。如果年薪给到几百万美元,我可以考虑干一阵子(虽然这不适合所有人)。但如果薪资水平和其他公司差不多?绝对不可能接受996。

根据我的观察,实行996的团队实际上并没有更高产出。他们只是工作时间诡异,在周末稍微干点活装样子,其余大量时间都在办公室摸鱼——毕竟人总是待在办公室里。

作者: Aurornis | 发布于: 2025-09-06 14:29

7. aeon_ai在”Anthropic同意支付15亿美元和解图书作者诉讼”中的新评论

需要明确一点——这与模型训练本身无关。

在合理使用评估中关键要明白:训练行为本身属于合理使用,但问题出在_对书籍的盗版行为_上,这正是Anthropic在获取训练数据时”不小心”越界的地方。

购买二手书、进行扫描后用于训练是没问题的。

《彩虹尽头》这本书在很多方面都具有前瞻性。

作者: aeon_ai | 发布于: 2025-09-05 20:46

8. 新评论来自bee_rider,发布于”Show HN: 技术债务缠身”

你以为这只是上半场。等后来才会意识到,其实需要完全不同的结构来写这本书。你会尝试重构整个体系,但部分固执的原始读者坚持使用原版索引。为了向后兼容,你只能把新结构硬塞进页边空白处(这样他们就能保住珍贵的索引了)。

这就是文本债。

作者: bee_rider | 发布于: 2025-09-05 04:17

9. agwa 在《如果 OpenDocument 采用 SQLite 会怎样?》中的新评论

如果你打算将SQLite用作应用程序文件格式,应该注意以下几点:

  1. 启用secure_delete编译指示(https://antonz.org/sqlite-secure-delete/),这样当用户删除数据时,信息才会被真正擦除。否则当用户共享应用文件时,接收方可能恢复发送方认为已删除的数据。

  2. 启用「不受信任的SQLite数据库文件」章节中描述的安全选项(https://www.sqlite.org/security.html#untrusted_sqlite_database_files),以提升打开来源不可信文件时的安全性。没人希望打开邮件附件时被攻击。

  3. 需要注意SQLite开发团队认为这种使用场景属于小众需求(他们声称「现实世界中很少应用会打开来源不可信的SQLite数据库文件」)。尽管应用文件格式确实需要接受模糊测试,但他们似乎对用户对SQLite进行模糊测试的行为感到不满(https://www.sqlite.org/cves.html)。

在其推广使用SQLite作为应用文件格式的营销页面上,这些关键信息只字未提。

作者: agwa | 发布于: 2025-09-05 01:06

10. raincole 在「Stripe 推出 L1 区块链:Tempo」中的新评论

使用传统数据库/协议实现的共享账本会更快、更简单、更透明。

稳定币不是技术,而是借口——一个让机构能以银行方式运作,却不受银行监管约束、不使用银行基础设施的借口。就像爱彼迎并非技术创新,而是规避酒店牌照要求从事酒店业务的借口。

因此将其与技术范畴的数据库相比较是毫无意义的。

这种借口能奏效吗?银行业是强监管领域,成功率可能低于爱彼迎,但这最终取决于立法者的态度。

作者: raincole | 发布于: 2025-09-04 20:54

11. dperfect 在《Stripe 推出 L1 区块链:Tempo》中的新评论

听起来很棒,但每次看到这种论点,我都会忍不住深入研究稳定币的实际运作机制。而每次都得出了相同的结论:它们始终依赖于对链外预言机或托管方的信任。既然如此,用传统数据库/协议实现的共享账本反而会更快速、更简单、更透明。

比特币(可能还有少数其他币)是区块链少数真正有意义的应用场景之一。区块链为货币服务,货币也为区块链服务。区块链的存在是为了在无需信任任何链外实体的情况下达成共识,但区块链依赖的计算基础设施需要现实世界的成本支撑。比特币的稀缺性以及参与挖矿获得的( arguably-fictitious )奖励,正是激励现实世界中的人们为区块链运行贡献必要资源的原因。

比特币获得的任何现实价值都是次要的,且仅仅源于两个事实:(1) 挖矿基础设施存在成本;(2) 理解这个系统的人已经意识到,与法币、稳定币或其他上千种加密产品不同,比特币完全不依赖可能操纵它的链外可信实体。

你相信稳定币发行方会持有足额法币储备来支撑币值?那还不如直接信任银行——但既然说到这儿,请记住银行本不需要花好几天处理交易,它们完全能处理得和区块链一样快(实际上更快)。不过我想大多数银行会以监管要求为由解释延迟,或许他们确实有道理。

所以稳定币究竟想实现什么?规避监管?实现银行自己不愿意做的事情?

作者: dperfect | 发布于: 2025-09-04 20:18

12. pc在”Stripe推出L1区块链Tempo”中的新评论

Hacker News上有许多加密货币怀疑论者(我们自己过去十年间也对其支付功能感到失望),因此或许值得分享过去几年改变我们看法的情况:我们开始注意到许多实体企业正在稳定币中找到实用价值。例如,SpaceX正在使用Stripe收购的稳定币协调平台Bridge管理长尾市场资金。另一家大客户DolarApp正在为拉丁美洲用户提供银行服务。我们目前正在Stripe仪表板中添加稳定币功能,首位用户是一家阿根廷自行车进口商,他们发现与供应商的交易原本非常困难。

关键点在于:这些企业使用加密货币并非因为”它是加密货币”或追求投机收益。它们在进行真实的金融活动,并且发现通过稳定币的加密方案比原有方式更便捷/快速/高效。

作者: pc | 发布于: 2025-09-04 17:08

13. [中文标题:

bawolff在”维基百科屹立不倒,而互联网其他部分分崩离析”中的新评论](https://news.ycombinator.com/item?id=45129304)

最近有个趋势,人们总说维基百科是互联网上最后的好东西。

我同意它很棒,我在维基媒体相关事物上花费了过多时间。

但我认为这些文章将维基百科过度神化存在隐患。它并不完美,既非绝对中立也非完全可靠,存在缺陷。

维基百科真正可贵之处在于它始终处于持续完善的过程中,人们每天都在努力让它变得更好。我们不应忽视现状:目标尚未达成,也永远无法真正”达成”。但值得期待的是,我们每天都在离理想更近一点——正是这种持续进步的特质造就了维基百科的伟大。

作者: bawolff | 发布于: 2025-09-04 16:49

14. advael 在《AI正在摧毁年轻人就业机会的证据》一文中的新评论

关于2022年软件工程师岗位减少的原因,我的解释很简单(虽然我不是经济量化分析师,也不知道该如何精确验证这个因素,但分析师们显然忽略了这点):2017年通过的税法案取消了某项税收激励政策,该政策原定于2022年生效,目的是让这场大规模减税在账面上保持”税收中性”。被取消的正是”研发支出”的税收抵扣优惠。这意味着到了2022年,企业雇佣研发相关人员的实际成本大幅上升——包括那些并非业务日常运营直接必需的开发人员(说实话,反正企业之前可能也都把他们算进研发人员了)以及多数类型的科研人员。这首先冲击研发投入比例更高的大型企业,完全合乎逻辑。

至于客服岗位,我的解释是:企业根本不在乎客服质量。自动语音系统、权限受限的外包呼叫中心、漏洞百出的网站——几十年来这些一直在折磨用户,但企业从未试图通过提升服务质量来竞争。用”AI计划”为借口裁撤客服部门是讨好投资者的廉价手段,因为即便服务质量下降,既没有市场机制也没有监管力量能有效惩罚这种行为。指望企业停止破坏客服体系都不现实,更别说改善服务了。

作者: advael | 发布于: 2025-09-03 23:53

15. 新评论:用户 some-guy 在《“垃圾软件在哪?为何AI编程的宣称站不住脚”》一文中发表观点

如果这个话题不是如此性命攸关,这些说法本无关紧要。各地科技领袖都陷入FOMO(错失恐惧症),坚信竞争对手正在获得他们错失的巨大收益。这驱使他们将公司重新标榜为”AI优先企业”,用新发现的生产力说辞为裁员正名,并以”AI已根本改变价值等式”为由压低开发者薪资。

这目前是我最大的困扰。我工作中试图解决的各类问题都需要周密规划和执行,而AI对此毫无助益。我的经理告诉我,由于我们是”AI优先公司”,最新项目的交付时间被压缩至原计划的20%。目前高管和产品经理中的集体狂热简直荒谬,我从未见过这般景象。

作者: some-guy | 发布于: 2025-09-03 22:07

16. jelder 在“空客 B612 驾驶舱字体”中的新评论

实际效果参见:https://fonts.google.com/specimen/B612

作者: jelder | 发布于: 2025-09-03 15:07

17. goalieca在《MIT研究:人工智能使用重塑大脑结构,引发认知能力下降》中的新评论

说个亲身经历:读研时我认识一位很尊敬的博士生,他每读一篇论文都会尝试把代码实现出来。这事我得花几个月,但他几天就能搞定。他告诉我这纯粹靠练习,练得越多就越熟练。他不仅编码速度快,后来分析论文也越来越快,特别擅长融合不同观点、判断方案的可行性,还培养出了惊人的直觉。

如今我自己也算资深人士,虽然不怎么写代码了,但发现亲手折腾新代码、钻研新想法确实非常有价值。我觉得那些只会说”调调提示词就完事”的人,其实错过了真正的学习机会。

作者: goalieca | 发布于: 2025-09-03 13:57

18. ot 在《%CPU 利用率是个谎言》中的新评论

利用率并非谎言,而是对明确定义量的度量——问题在于人们试图通过它推演容量模型时的假设,这才导致现实与预期产生偏差。

超线程(SMT)和睿频(时钟缩放)只是引发非线性的部分变量。还存在大量跨核心共享的资源会随负载增加而”耗尽”,例如内存带宽、互连带宽、处理器缓存等。某些瓶颈甚至可能来自软件层面(如自旋锁),这些都会对利用率产生非线性影响。

更重要的是,大多数CPU利用率指标采用极长的窗口进行平均计算(从数秒到一分钟),但对延迟敏感型服务器性能真正关键的时间尺度是数十到数百毫秒。以多秒为单位的平均值无法区分突发流量与平稳流量,而后者往往具备更强的扩展潜力。

遗憾的是,原文提出的方法也并不精确,因为它依赖于两个本质上不稳定的概念:

通过基准测试确定服务器在出现错误或不可接受延迟前的工作负载

这种测量存在极大噪声,因为需要检测服务器开始不稳定的临界点。即便使用最简单的排队论模型,接近饱和区的导数也会急剧发散,任何非确定性噪声都会被极度放大。

报告服务器当前实际工作量

“工作量”很少存在稳定定义:是用每秒请求数(RPS)吗?但请求成本在一天内都会波动。是用指令数吗?同样存在问题,每时钟周期指令数(IPC)也会变化。

最终,负载测试方法得到的置信区间,可能与通过利用率测量构建经验模型获得的区间同样宽泛——前提是你能正确测量利用率。

作者: ot | 发布于: 2025-09-03 00:49

19. 新评论 by supernova87a 于《谷歌可保留Chrome浏览器但被禁止签订独家合约》

顺便说个让我特别恼火的现象:最近这么多涉及公共利益的法庭案件报道中,记者们似乎从来不肯在文章里直接附上判决书的在线PDF链接(好在下面有位热心网友帮我们贴出来了:https://storage.courtlistener.com/recap/gov.uscourts.dcd.223...)。

这明明举手之劳(他们写报道时肯定用过判决书PDF),为什么媒体总觉得链接原始材料这么麻烦?比起通过记者转述,我更愿意直接阅读可能长达数十页的完整判决书。感觉他们就像在扮演信息守门人的角色,而且当得还挺蹩脚。

事实上我认为这应该成为新闻行业的标准做法——报道法院判决必须附带PDF文件。

除此之外,我很好奇法官是基于什么理由判定这种特定数据共享方案能解决问题。难道现在任何公司只要自称是竞争对手,就能获取谷歌的海量数据?虽然我不太熟悉反垄断判例,但想了解法官会在多大程度上具体规定数据共享的细节(数据类型、时间范围、匿名化处理等),或者指派特别主管?为什么这个决定权在法官而不是FTC或其他机构?

作者: supernova87a | 发布于: 2025-09-02 21:30

20. fidotron在”谷歌可保留Chrome浏览器但被禁止签订排他性合同”中的新评论

这对谷歌来说是一场惊人的胜利,他们肯定对此欣喜若狂。

他们基本上获得了想要的一切(将所有业务保留在体系内),还在搜索协议谈判中获得了优势地位——现在可以以”目前无法实现”为由拒绝某些要求。

实在不明白法官为何如此关注人工智能崛起这个因素。这本质上就是个反竞争的决定。

作者: fidotron | 发布于: 2025-09-02 21:05