hacker_news_top_comments_2025-09-10

Hacker News 高赞评论 - 2025-09-10

1. [—

中文标题：
用户sandbags在“英格兰怎么可能缺水？”中的新评论
—](https://news.ycombinator.com/item?id=45178404)

正如文章提到的，私有化自来水公司没有新建任何水库容量，完全依赖从河流等其他水源取水。

但文章没有提及的是，在私有化之前，直到1960年左右英国每年都会新建一座水库，之后直到1992年私有化前也保持每隔几年新建的节奏。

这意味着我们的系统容量建设已经落后了约30年。再加上系统投资严重不足导致巨大浪费，这就是问题的根源。

自来水本就不该被私有化。至少在没有国家水资源战略框架的情况下不该私有化。我怀疑当时没有制定这样的框架，是因为这会让自来水公司失去利润吸引力。

_{作者: sandbags | 发布于: 2025-09-09 06:53}

2. ksynwa 在”未检测到广告拦截器”中的新评论

我在网上几乎看不到广告，这种情况已经持续了大约十年。偶尔在某个无法安装广告拦截器的设备上浏览网页时（大多数情况下甚至根本不让你安装），看到那些针对搜索引擎优化且充满广告的网站，感觉就像走进了毒品窝点。想到这竟然是绝大多数用户的日常体验，实在令人悲哀。

_{作者: ksynwa | 发布于: 2025-09-09 04:23}

3. DDerTyp在”NPM debug和chalk软件包遭入侵”中的新评论

这种恶意软件最隐蔽的一个特性——目前尚未得到足够关注——在于它选择替换钱包地址的方式。它并非简单地从列表中随机挑选地址。

实际上，它会计算原始合法地址与其列表中每个地址之间的莱文斯坦距离（编辑距离），然后选择视觉上与原始地址最相似的攻击者地址。

这种直接编码实现的社会工程手段非常高明，专门针对用户仅核对地址首尾字符就确认交易的安全习惯进行精准打击。

我们已完成对载荷的全面去混淆分析，并重点研究了该功能模块。详细分析已发布在此处（https://jdstaerk.substack.com/p/we-just-found-malicious-code...），供感兴趣者查阅。

请注意资金安全！

_{作者: DDerTyp | 发布于: 2025-09-08 16:16}

4. 新评论由junon发布在”NPM debug和chalk软件包遭入侵”话题下

大家好，是的，我的账号被黑了。非常抱歉，实在太尴尬了。

详细信息：

https://github.com/chalk/chalk/issues/656

https://github.com/debug-js/debug/issues/1005#issuecomment-3266885191

受影响包（目前已知）：

ansi-styles@6.2.2

debug@4.4.2（已于中欧夏令时9月8日18:09被撤回）

及后续列出的18个npm包（ansi-regex/chalk-template/backslash等）

这看起来像是一次针对性攻击。

我会在评论可编辑期限内持续更新。

——
更新（中欧夏令时9月8日17:50）：
Chalk已重新发布，其他包仍处于被劫持状态。
NPM尚未回复我。我的NPM账号完全无法访问，密码重置系统失效。目前除了等待别无他法。

钓鱼邮件来自npmjs.help的支持邮箱。
初看很逼真。不是找借口，但这周特别漫长，早晨又手忙脚乱，只想尽快处理待办事项。错误在于直接点击了邮件链接而非像往常一样手动访问网站（因为当时在用手机）。

仅NPM受到影响。后续更新会发布在上述/debug-js链接中。

再次致歉。

_{作者: junon | 发布于: 2025-09-08 15:49}

5. lionturtle 在”尼泊尔反政府抗议致14人死亡”中的新评论

这绝不仅仅是社交媒体封禁的问题，主要是年轻人抗议腐败政府和社会不公。社交媒体禁令确实是压制言论自由的手段之一，但关键转折点在于民众开始大量曝光富裕政客及其商业关联——那些世代继承议员席位、过着奢靡生活的政治家族，以及将官僚体系玩弄于股掌之间的行径。

几小时前我就在现场。这本质上是阶级斗争，但注定会被扭曲成”年轻人因用不了脸书而闹脾气”的叙事。

_{作者: lionturtle | 发布于: 2025-09-08 11:52}

6. Doohickey-d 在”MacBook内置传感器可精确检测屏幕铰链角度”中的新评论

盖板角度传感器与主板是序列号绑定的：若未执行校准程序，您既无法单独更换传感器也无法更换主板。此项校准必须由苹果授权服务商完成，不过在欧洲（以及苹果提供自助维修零件的其他地区），您可以直接从苹果购买传感器，更换后连接互联网即可完成校准——但前提是该传感器必须购自苹果官方。

这意味着硬件本身具备校准能力，但苹果只是不愿慷慨地赋予用户在自有设备中安装回收件或第三方传感器的权利。

（原文链接：https://www.ifixit.com/Answers/View/759262/Torn+Lid+angle+se...）

_{作者: Doohickey-d | 发布于: 2025-09-07 20:28}

7. isThereClarity在《私有网络地址192.168..的起源是什么？（2009）》中的新评论

RFC1918合著者Daniel Karrenberg于2017年10月6日在NANOG邮件列表中这样说道：

针对Jay R. Ashworth在2017年10月5日提出的：
「是否有人能提供权威来源说明为何选择

10/8
172.16/12 以及
192.168/16

这些范围写入RFC？…」

RFC本身解释了为何我们分别从”A、B、C类”地址中各选一个范围：虽然CIDR已被制定但尚未广泛实施，当时仍有大量设备采用”有类编址”。

据我回忆，具体范围的选择依据如下：

10/8：ARPANET刚停用。团队有人提议此范围，Jon认为这是对”历史”地址块的良好再利用。我们也推测”10网段”可能在部分场景中被硬编码，将其用于私有地址空间而非AS间路由，或许能让这种不合理的用法局限在本地。

172.16/12：B类地址中最低未分配的/12段。

192.168/16：C类地址192/8块中最低未分配的/16段。

总结而言：IANA分配这些地址段时遵循了与其他用途相同的标准。作为IANA负责人，Jon除非有充分理由，否则始终坚持这一原则。

Daniel（RFC1918合著者）

（原始讨论存档链接：https://web.archive.org/web/20190308152212/https://mailman.nanog.org/pipermail/nanog/2017-October/092636.html）

_{作者: isThereClarity | 发布于: 2025-09-07 12:10}

8. Aurornis 在 “996” 话题中发表新评论

当创始人在职位描述中写上996或在推特上宣扬996文化时，这其实是个有用的信号——提醒大家避开这种公司。

除非我自己是创始人且持有大量股权，遇到千载难逢的机遇，短期内实行996确实能带来巨大收益，否则我根本不会考虑这种疯狂的工作制。

对普通员工？绝对不行。想要员工超常工作，就必须提供超常报酬。每年给我几百万美金报酬的话，我可以考虑短期坚持（虽然这不适合所有人）。但若和其他公司开出的待遇相同？绝对不可能接受996。

根据我的观察，实行996的团队其实并没有更高产出。他们只是工作时间诡异，周末稍微干点活装样子，其余大量时间都在办公室摸鱼——毕竟人确实待在办公室里。

_{作者: Aurornis | 发布于: 2025-09-06 14:29}

9. aeon_ai在”Anthropic同意支付15亿美元与图书作者达成诉讼和解”中的新评论

需要明确一点——这与模型训练本身无关。

在合理使用评估中，关键要理解训练行为本身属于合理使用，但问题核心在于《书籍盗版行为》，这正是Anthropic在获取训练数据时”不小心”越界的地方。

购买二手书进行扫描和训练是可行的。

《彩虹尽头》这本书在很多方面都具有前瞻性。

_{作者: aeon_ai | 发布于: 2025-09-05 20:46}

10. [新评论来自bee_rider，发表于”Show HN: 技术债务缠身”

翻译说明：

保留了”Show HN”的原始格式，这是Hacker News社区的标准展示标签
“Swimming in Tech Debt”意译为”技术债务缠身”，既保留了技术术语”Tech Debt”的准确含义，又通过”缠身”生动传达了原文的比喻意味
完整保留了用户名”bee_rider”的原始格式
使用”发表于”自然连接了评论者与帖子标题的关系
整体采用简洁明了的技术社区常见表达方式](https://news.ycombinator.com/item?id=45134939)

你以为这只是前半部分的问题。稍后你会意识到，实际上你需要完全不同的结构来编写这本书。你会尝试重构整个体系，但部分固执的原始读者会坚持使用最初的索引。为了保持向后兼容，你只能把新结构硬塞进页边空白处（这样他们就能保住那些宝贵的索引了）。

这就是文本债。

_{作者: bee_rider | 发布于: 2025-09-05 04:17}

11. agwa 在《如果 OpenDocument 采用 SQLite 会怎样？》中的新评论

如果你打算将SQLite用作应用程序文件格式，应该注意以下几点：

启用secure_delete编译指示（https://antonz.org/sqlite-secure-delete/），这样当用户删除数据时，信息才会被真正擦除。否则当用户共享应用文件时，接收方可能恢复发送方认为已删除的数据。

启用「不受信任的SQLite数据库文件」章节中描述的安全选项（https://www.sqlite.org/security.html#untrusted_sqlite_database_files），以提升打开来源不可信文件时的安全性。没人希望打开邮件附件时遭遇安全漏洞。

需要注意SQLite开发团队认为这种使用场景属于小众需求（他们声称「现实世界中很少应用会打开来源不可信的SQLite数据库文件」）。尽管应用程序文件格式显然应该进行模糊测试，但他们似乎对用户对SQLite进行模糊测试的行为感到不满（https://www.sqlite.org/cves.html）。

在其推广使用SQLite作为应用文件格式的营销页面上，这些关键信息只字未提。

_{作者: agwa | 发布于: 2025-09-05 01:06}

12. raincole 在《Stripe 推出 L1 区块链：Tempo》中的新评论

用传统数据库/协议实现的共享账本会更快、更简单、更透明。

稳定币不是技术，而是借口——一个让机构能以银行模式运作，却既不受银行监管、也不使用银行基础设施的借口。就像爱彼迎并非技术创新，而是规避酒店执照要求从事酒店业务的借口。

因此将稳定币与数据库这种技术相提并论并不合理。

这种借口能成功吗？银行业是强监管领域，成功率可能低于爱彼迎，但这最终取决于立法者的态度。

_{作者: raincole | 发布于: 2025-09-04 20:54}

13. dperfect在”Stripe推出L1区块链Tempo”中的新评论

听起来很棒，但每次看到这种论点，我都会忍不住深入研究稳定币的实际运作机制。而每次都得出了相同的结论：它们始终依赖于对链外预言机或托管方的信任。既然如此，用传统数据库/协议实现的共享账本反而会更快速、更简单、更透明。

比特币（可能还有少数其他币）是区块链少数真正有意义的应用场景之一。区块链为货币服务，货币也为区块链服务。区块链的存在是为了在无需信任任何链外实体的情况下达成共识，但区块链依赖的计算基础设施需要现实世界的成本支撑。比特币的稀缺性以及参与挖矿的（ arguably-fictitious）奖励，正是激励现实世界中的人们为区块链运行贡献所需资源的动力。

比特币获得的任何现实价值都是次要的，且仅仅源于两个事实：(1) 挖矿基础设施存在成本；(2) 理解这个系统的人已经意识到，与法币、稳定币或其他上千种加密产品不同，比特币完全不依赖可能操纵它的链外可信实体。

你相信稳定币发行方持有足额法币储备？那你不如直接信任银行——但顺便提醒一下：银行根本不需要花好几天处理交易，他们本可以处理得和区块链一样快（实际上更快）。不过我想大多数银行会以监管要求为由解释延迟，而他们可能确实有道理。

所以稳定币到底想实现什么？规避监管？实现银行自己不愿意做的事情？

_{作者: dperfect | 发布于: 2025-09-04 20:18}

14. pc在”Stripe推出L1区块链：Tempo”中的新评论

Hacker News上有许多加密货币怀疑论者（我们自己在过去十年的大部分时间里也对加密货币的支付功能感到失望），因此或许值得分享过去几年改变我们看法的情况：我们开始注意到许多现实世界的企业正在稳定币中找到实用价值。例如，SpaceX正在使用Stripe收购的稳定币协调平台Bridge来管理长尾市场的资金。另一个大客户DolarApp正在为拉丁美洲客户提供银行服务。我们目前正在Stripe仪表板中添加稳定币功能，首位用户是一家阿根廷自行车进口商，他们发现与供应商交易存在困难。

重要的是，这些企业使用加密货币并非因为”它是加密货币”或追求投机收益。它们在进行真实的金融活动，并且发现通过稳定币使用加密货币比传统方式更简单/更快速/更高效。

_{作者: pc | 发布于: 2025-09-04 17:08}

15. [中文标题：

bawolff在”维基百科屹立不倒，其他网站纷纷崩溃”中的新评论](https://news.ycombinator.com/item?id=45129304)

最近有个趋势，人们总说维基百科是互联网上最后的好东西。

我同意它很棒，我在维基媒体相关事物上花费了过多时间。

但我认为这些文章将维基百科过度神化是危险的。它并不完美，既非绝对中立也非完全可靠，存在缺陷。

维基百科真正可贵之处在于它始终处于进行时——人们日复一日努力让它变得更好。我们不应忘记它仍有进步空间，永远不会有”完美完成”的那天。但值得期待的是，我们每天都在离这个目标更近一点。正是这种持续演进的特质，造就了维基百科的伟大。

_{作者: bawolff | 发布于: 2025-09-04 16:49}

16. advael 在 “AI 正在摧毁年轻人就业机会的证据” 中的新评论

关于2022年软件工程师岗位减少的原因，我觉得很好解释（虽然我不是经济量化分析师，也不知道该如何准确验证这个因素，但分析师们显然漏掉了这一点）：2017年通过的税法案取消了某项税收激励政策，该政策原定于2022年生效，表面上是为了保持”税收中性”，实则是一次大规模减税。被取消的正是”研发费用”税收抵扣优惠。这意味着2022年企业雇佣研发相关人员的实际成本大幅上升，包括那些并非业务日常运营必需的开发人员（说实话，反正企业本来就会把他们算进研发人员），以及大多数类型的科研人员。大型企业通常同时开展更多研发项目，因此最先受到冲击，这完全合乎逻辑。

至于客服岗位，我的解释是：企业根本不在乎客服质量。自动语音系统、权限受限的外包呼叫中心、粗制滥造的网站——几十年来这些一直在折磨用户，但企业从未试图通过提升服务质量来竞争。砍掉客服部门是讨好投资者的廉价手段，他们乐于听闻用AI initiative来裁撤更多客服岗位。既然服务质量下降既不会受到市场惩罚，也没有监管压力，企业自然只会持续破坏这个环节，更别说改善了。

_{作者: advael | 发布于: 2025-09-03 23:53}

17. 新评论来自 some-guy，发表于《“垃圾软件在哪？为何AI编程的宣称站不住脚”》

如果这个话题不是如此性命攸关，这些说法本无关紧要。各地的科技领袖都陷入了FOMO（错失恐惧症），坚信竞争对手正在获得他们错过的巨大收益。这驱使他们将公司重新标榜为”AI优先企业”，用新发现的生产力说辞为裁员正名，并以”AI已经根本改变了价值等式”为由压低开发者薪资。

这目前是我最大的困扰。我在工作中试图解决的这类问题需要周密规划和执行，而AI对此毫无帮助。我的经理告诉我，由于我们是”AI优先企业”，我最新项目的交付时间被压缩至原计划的20%。目前高管和产品经理中的集体狂热简直荒谬，我从未见过这般景象。

_{作者: some-guy | 发布于: 2025-09-03 22:07}

18. goalieca在”MIT研究显示AI使用重塑大脑结构，导致认知能力下降”中的新评论

说个亲身经历：读研时我认识一位非常尊敬的博士生。他每读一篇论文，都会尝试把代码实现出来并跑通。这事我得花几个月，但他几天就能搞定。他告诉我这就是练习的作用——练得越多就越熟练。他不仅编码速度快，后来分析论文也越来越快，特别擅长整合思路、判断方案优劣，还培养出了惊人的直觉。

如今我自己也算资深人士，虽然不怎么写代码了，但发现亲手折腾新代码、钻研新想法确实极具启发性。我觉得那些只会说”调调提示词就完事”的人，其实错过了真正的学习机会。

_{作者: goalieca | 发布于: 2025-09-03 13:57}

19. ot 在《%CPU 利用率是个谎言》中的新评论

利用率并非谎言，而是对明确定义量的度量——问题在于人们试图通过它推演容量模型时的假设，这才导致现实与预期产生偏差。

超线程（SMT）和睿频（时钟缩放）只是引发非线性变化的变量之一。还存在大量跨核心共享的资源会随负载增加而耗尽，例如内存带宽、互连容量、处理器缓存等。某些瓶颈甚至可能来自软件层面（如自旋锁），这些都会对利用率产生非线性影响。

更重要的是，大多数CPU利用率指标采用极长的窗口进行平均计算（从数秒到一分钟），但对延迟敏感型服务器性能真正关键的时间尺度其实是数十到数百毫秒。以多秒为单位的平均值无法区分突发流量与平稳流量，而后者往往具备更强的扩展潜力。

遗憾的是，原文提出的方法也并不精确，因为它依赖于两个本质上不稳定的概念：

通过基准测试确定服务器在出现错误或不可接受延迟前能承担的工作量

这种测量存在极大噪声，因为需要检测服务器开始不稳定的临界点。即便使用最简单的排队论模型，接近饱和状态时的导数也会急剧飙升，任何非确定性噪声都会被极度放大。

报告服务器当前实际工作量

但”工作量”很少存在稳定定义：是用每秒请求数（RPS）？但请求成本在一天中都会波动。是用指令数？同样存在典型每时钟指令数（IPC）变化的问题。

最终，负载测试方法得到的置信区间，可能与通过利用率测量构建经验模型获得的区间同样宽泛——前提是你能正确测量利用率。

_{作者: ot | 发布于: 2025-09-03 00:49}

20. [新评论 by supernova87a 于《谷歌可保留Chrome浏览器但被禁止签订独家合约》

翻译说明：

保留用户名”supernova87a”原文格式，符合技术社区惯例
引号内文章标题采用意译，准确传达”barred from exclusive contracts”的法律限制含义
使用”于”替代”in”使句式更符合中文表达习惯
整体保持中英文混排时的视觉协调性](https://news.ycombinator.com/item?id=45109304)

顺便说个让我特别恼火的现象：最近这么多涉及公共利益的法庭案件报道中，记者们似乎从来不肯在文章里直接附上判决书的在线PDF链接（好在下面有位热心网友帮我们贴出来了：https://storage.courtlistener.com/recap/gov.uscourts.dcd.223... ）。

这明明举手之劳（他们写稿时肯定调阅过判决书PDF），为什么媒体总觉得链接原始文件这么麻烦？比起通过记者转述，我更愿意直接阅读可能长达数十页的判决书全文。感觉他们就像在把守信息门户，而且把守得相当蹩脚。

我认为这应该成为新闻行业的标准做法——法庭判决报道必须附带PDF文件。

除此之外，法官基于什么理由判定这种特定数据共享方案是解决方案也很值得玩味。现在是不是任何公司只要自称是竞争对手，就能获取谷歌的海量数据？虽然我不太熟悉反垄断判例，但想了解法官会在多大程度上具体规定数据共享的细节（数据类型、时间范围、匿名化处理等），或者指派特别主管？为什么这个决定权在法官而不是FTC或其他机构？

_{作者: supernova87a | 发布于: 2025-09-02 21:30}