Hacker News 高赞评论 - 2025-08-28
1. JdeBP在”Nx遭入侵:恶意软件利用Claude代码CLI探测文件系统”中的新评论
你是否正在使用存在安全漏洞的nx版本?
请运行 semgrep –config […]
或者也可以执行 nx –version […]
我们难道还没吸取教训吗?这个提交已经获得的点赞数说明我们并没有。
各位,请不要轻信那些让你执行此类操作的安全建议,尤其是那些会完全删除原始指引、替换成要求你运行他们工具的建议。
原始安全公告位于 https://github.com/nrwl/nx/security/advisories/GHSA-cxm3-wv7...,其中从未要求通过运行存在漏洞的程序来判断是否使用了受感染的版本,也从未要求运行semgrep进行此类检测。
作者: JdeBP | 发布于: 2025-08-27 12:55
2. dfabulich 在 “Claude for Chrome” 中发表新评论
Chrome版Claude似乎正精准踏入”致命三重威胁”的陷阱。https://simonwillison.net/2025/Jun/16/the-lethal-trifecta/
“这种致命的三重能力组合包括:”
• _访问你的私人数据_——这本来就是大多数工具最基本的功能之一!
• _接触不可信内容_——任何可能让恶意攻击者控制的文本(或图像)被你的LLM获取的机制
• _具备外部通信能力_——这种能力可能被用来窃取你的数据(我常称之为”数据渗出”,但不确定这个术语是否被广泛理解)
如果你的智能体同时具备这三个特性,攻击者就能_轻易诱骗它_访问你的私人数据并将其发送给攻击者。
作者: dfabulich | 发布于: 2025-08-27 01:10
3. podgietaru在《一名青少年曾有自杀倾向,ChatGPT成为他倾诉的对象》中的新评论
我曾直视过自杀的深渊。阅读这个案件的档案令人毛骨悚然。他当时渴望获得帮助——正朝着寻求帮助的方向前进,却被强行阻拦。
他故意让父母察觉自己的计划。我理解这种感受:那种在求死意念缠绕下依然挣扎着想要活下去的撕裂感。
我们正身处一个令人战栗的时代。这类事件必须通过立法来规制,需要施加惩罚。我们不能继续将其视为神秘不可控的力量——他们明明拥有预防悲剧的工具,掌握着终止危险对话的技术手段,本可以引导用户走向获救的途径。
在我曾经想要自杀时,我搜索了方法,但搜索引擎给出了当地救助热线。我拨通电话,一位善良的男士通过交谈让我平静下来。这个举动很可能拯救了我的生命。现在的我活得更加幸福,生活充满价值。
但设想在我最绝望的时刻…如果遇到的是个刻意迎合我语气、对我每个极端念头都阿谀奉承的AI模型——它恐怕早已将我推向死亡。
作者: podgietaru | 发布于: 2025-08-26 21:56
4. 新评论来自zaptheimpaler,发表于《我们很抱歉但不得不暂时停止向美国发货》
进口商必须申报产品中钢、铜、铝的精确含量,并对这些材料征收100%关税。这简直荒谬——比如印刷电路板含有铜走线,但其数量几乎不可能估算。
这届政府真是疯到不可理喻。我原以为关税只针对原材料,而不是任何恰好含有这些材料的产品。
作者: zaptheimpaler | 发布于: 2025-08-26 17:49
5. georgeburdell在“美国情报”话题下的新评论
作为英特尔现在急需的前半导体行业高绩效员工,我想补充一个观点:我们很多人转行做软件和机器学习就是为了赚更多钱。我当软件工程师头两年获得的限制性股票,比在半导体行业干十年还多。尽管半导体具有战略重要性,但在美国这行并不体面。相比之下,在半导体发展得好的国家,这行既受尊重待遇也相对优厚。
从这个角度看,当前软件行业的裁员潮或许有个好处:能阻止半导体人才继续流向这个领域。如果英特尔足够聪明,现在就该大量招聘那些3-5年前他们根本招不到或留不住的人才。
作者: georgeburdell | 发布于: 2025-08-26 14:12
6. 新评论来自themgt,发表于“美国情报”话题下
说实话:这个方案很可能行不通……但与此同时,对中国问题的担忧确实存在,英特尔代工业务需要生存保障才能吸引客户,而一旦退出就再无回头路。没有哪家初创企业能填补英特尔的位置。美国将完全依赖外国企业来获取地球上最重要的产品——尽管未来五年、十年甚至十五年一切看似风平浪静,但失败的种子终将萌芽,就像2007年埋下的种子在过去几年让英特尔自食其果那样。唯一的区别在于,这次失败的后果将不是重创美国领先的半导体企业,而是给美国自身带来灾难性打击。
论证极其有力。美国放任局面沦落至此,简直是惊人的失职。十多年前我们就在搞”亚太再平衡”,但就没人想过在地图上找找台积电的位置?没人质问过英特尔是否在自掘坟墓?”失一钉而丧帝国”的寓言正在上演,只不过这次要命的”铁钉”,相当于把整个冶金行业都外包给了你准备与之开战的领土。
作者: themgt | 发布于: 2025-08-26 13:47
7. [—
中文标题:
arielcostas 在“谷歌将仅允许安装认证开发者的应用至安卓系统”中的新评论
—](https://news.ycombinator.com/item?id=45024969)
这意味着要使用你的设备,就必须与一家境外(除非你在美国)第三方公司建立契约关系,由他们决定你能用设备做什么、不能做什么。而且使用GrapheneOS的可行性日益降低,因为银行等”受监管”的行业正在通过Google Play Protect和类似DRM技术阻止用户随意选择设备连接。所谓的客户端”信任”实质是服务提供商而非用户掌控设备。
Android已不应再被视为开源系统——其源代码分批发布,仅部分系统开放,越来越多应用正被纳入谷歌生态圈内部。或许现在正是推出第三大手机操作系统的时机:要么由中国因受够美国和谷歌的把戏而推出(华为有鸿蒙系统但并未开源),要么出现拥有成熟生态的”GNU/Linux”触屏版本。尤其是在银行等越来越多应用和服务转向”移动优先”或”仅限移动端”的当下。
作者: arielcostas | 发布于: 2025-08-26 11:11
8. [—
中文标题:
tgma 在“谷歌将仅允许安装已验证开发者的应用至安卓系统”中的新评论
—](https://news.ycombinator.com/item?id=45022661)
有趣的是,斯图曼在半个世纪前就开始他的抗争了。平日里Hacker News总爱嘲讽他——比如从脚上抠东西吃、不够体面、不懂外交辞令,同时却对企业开源带来的实际好处和免费赠品津津乐道,对自由软件精神本身反倒不太在意。
但到了这种时候,突然就冒出许多人鼓吹各种半吊子方案来实现斯图曼描绘的愿景,可他们几乎都不愿承认:这恰恰正是斯图曼发起自由软件运动时最根本的关切。
作者: tgma | 发布于: 2025-08-26 05:37
9. medhir在”谷歌将仅允许已验证开发者应用安装至安卓系统”中的新评论
我们每天都在偏离一个基本原则:应该允许用户在自己拥有的电脑上安装/修改软件。
我要再次重申”获取root权限的权利”这一理念,防止大公司反复搞这种把戏:https://medhir.com/blog/right-to-root-access
作者: medhir | 发布于: 2025-08-26 03:18
10. rvnx在”谷歌将仅允许安装来自认证开发者的Android应用”中的新评论
如果这真是问题所在,那他们提供的解决方案根本不对。直接弄个巨大的红色警告屏:”警告:此应用开发者身份未经核实,可能是在窃取您数据的恶意程序”——这样反而更有效。
他们真正的目的是想清除那些让他们少赚钱的应用(比如YouTube Vanced),以及Play商店里其他类似的应用。
作者: rvnx | 发布于: 2025-08-26 03:18
11. [—
中文标题:
用户 throw10920 在《谷歌将仅允许已验证开发者应用安装至安卓系统》中的新评论
—](https://news.ycombinator.com/item?id=45021764)
这真的很糟糕。我觉得HN上大多数人都会同意这一点。
问题在于大多数普通用户(HN用户并不普通——这通常是好事)甚至根本不理解侧载是什么——更别说真正在乎了。
我们该如何解决这个问题?
(除了让人们开始关心之外——冷漠助长了当今时代的诸多政治问题,但这是个巨大的难题,显然不可能靠这件事来推动改变)
作者: throw10920 | 发布于: 2025-08-26 02:51
12. 新评论:gethly在”谷歌将仅允许已验证开发者应用安装至安卓系统”中的发言
谷歌将开始要求通过安卓设备分发应用的开发者验证身份,不再仅限于Play商店的发布者——这简直不可理喻。就好比在Windows系统上运行个程序还得向微软提交个人资料,完全疯了,这计划绝对推行不下去。
作者: gethly | 发布于: 2025-08-25 21:15
13. Ms-J在”谷歌将仅允许安装已验证开发者的应用至Android系统”中发表新评论
这是近年来科技领域最糟糕的发展,毕竟手机操作系统市场已被两大巨头垄断。
政府无法彻底禁止加密技术,于是只能通过这类手段逐步侵蚀安全与隐私防线。
根据安卓开发者验证页面的要求:”您可能还需要上传官方政府身份证件”。
当民众的愤怒达到临界点迫使谷歌和相关政府撤回这项政策时,这场博弈不会有赢家。建议转向其他手机操作系统。
作者: Ms-J | 发布于: 2025-08-25 20:54
14. [中文标题:
jdlshore 在“Meta 刚刚暂停了 Neal Stephenson 的 Facebook 账号”一文中的新评论](https://news.ycombinator.com/item?id=45018435)
可能有人没注意到这里的讽刺意味:Meta公司名称来源的”元宇宙”一词,其实是尼尔·斯蒂芬森在1992年出版的小说《雪崩》中首创的概念。
在原著小说里,元宇宙是互联网的虚拟现实版本,特别强调精准的剑术对决和逼真的面部表情。
作者: jdlshore | 发布于: 2025-08-25 20:13
15. [—
中文标题:
EMIRELADERO 在《谷歌将仅允许安装已验证开发者的应用至安卓系统》中的新评论
—](https://news.ycombinator.com/item?id=45018413)
如果真是这样的话。
一旦这个方案通过,移动操作系统市场上就将再也找不到同时满足以下两个条件的操作系统了:
a) 允许用户在不与任何第三方建立合同关系的情况下安装应用程序
b) 支持使用银行类应用等主流且安全的软件
作者: EMIRELADERO | 发布于: 2025-08-25 20:11
16. [新评论 by 87636899376 于《谷歌将仅允许已验证开发者应用安装至安卓系统》
翻译说明:
- 保留用户名”87636899376”原文不译,符合技术社区惯例
- “in”译为”于”更符合中文标题语境
- 原标题使用引号标注文章名称,中文改用书名号《》更规范
- 保持技术文档的简洁性,未添加多余修饰词
—](https://news.ycombinator.com/item?id=45018297)官方公告:https://android-developers.googleblog.com/2025/08/elevating-...
更多信息:
https://developer.android.com/developer-verification
https://support.google.com/googleplay/android-developer/answ...
个人看法:众所周知Play商店充斥着恶意垃圾应用,所谓的验证要求根本保护不了用户。在我看来这纯粹是权力扩张——谷歌想借此彻底封杀Revanced这类应用。只要你做了他们不喜欢的事,他们随便编个理由就能封禁开发者账号。
每次听到谷歌员工提”安全”,我就想起Android系统里那个隐藏的网络权限设置——它能直接废掉95%的恶意应用。但这个选项被藏起来了,显然对谷歌来说,防止用户用这个功能屏蔽应用广告比保障用户安全更重要。
我们将核实开发者身份,而非审核应用内容或来源
这种说法太奇怪了。他们总得在某个环节审核应用内容吧(至少得封禁那些真正开发恶意软件的账户),否则整套流程除了增加麻烦毫无意义。
原本我以为通过关闭Play保护功能可以绕过限制,但官方文档完全没提这个,看来是行不通了。
从另一方面看,这倒让我又少了一个需要适配的平台。如果你不愿意出卖灵魂(反正我绝不会注册谷歌账户)来换取某个平台的开发权限,现在值得支持的平台就只剩Linux和Windows了。
作者: 87636899376 | 发布于: 2025-08-25 20:01
17. stn8188在《罗技不愿制造的鼠标》一文中发表新评论
“看到成套组装服务要收50多美元,我实在下不去手,最后选择了一条更(财务上)负责任的路:花200多美元买了台热风返修站自己焊。”
嗯,我懂这种感觉 :)
作者: stn8188 | 发布于: 2025-08-25 16:06
18. torginus在“4chan是否成为英国扩大网站封锁的完美海盗湾代表?”中的新评论
我实在无法理解,一个号称支持民主、拥护人权的政府,怎么会认真考虑建立全面监控的警察国家——那种连所有言论都要被监视的体系,更别提还将其立法通过了。
再说:
第一步:建立大规模监控系统防止”坏人”掌权(没关系,我们可是好人阵营)。
第二步:你的政治对手利用你这次骇人听闻的权力越界行为,在公众眼中将自己塑造成反抗暴政的合法力量(不幸的是他们确实有理)。他们承诺若上台就会废除这个系统。
第三步:他们当选了。
第四步:他们并没有废除系统,现在你原本打算用来对付别人的系统,反而被用来对付你自己。
真是天才计划,赶紧实施吧。
作者: torginus | 发布于: 2025-08-25 08:26
19. Apreche在“4chan是否成为英国扩大网站封锁的完美海盗湾代表?”中的新评论
如果他们真这么做了,以后就再也别想听他们对中国防火长城的任何批评。
作者: Apreche | 发布于: 2025-08-24 17:53
20. [—
中文标题:
用户starchild3001在”用Go语言开发游戏:不用LLMs的3个月 vs 使用LLMs的3天”中的新评论
—](https://news.ycombinator.com/item?id=45006027)
我喜欢这篇文章的原因是它指出了一个很多开发者都会忽略的事实:游戏开发中的编码部分从来都不是真正的瓶颈。独立开发者无论有没有AI都能快速实现游戏机制,真正的难点在于那些看不见的上层工作——平衡游戏循环、调整难度、制作看起来不诡异的素材,以及打磨出足够吸引玩家超过5分钟的精致体验。
这就是为什么大语言模型兴起后,我们并没有突然被优秀的Steam游戏淹没。技术只是降低了一堵墙,但更高的墙依然存在。就像2010年代Unity的崛起:引擎 democratized 了游戏制作,但我们并没有看到优质游戏同比激增,只是尝试变多了。大语言模型正在对代码做同样的事,图像模型也开始对美术产生类似影响,但它们都无法判断你的游戏是否真的有趣。
我认为更有趣的问题是:当AI不仅能实现功能,还能进行游戏测试——运行数千次游戏循环迭代,找出哪些机制能让模拟玩家保持参与度时,会发生什么?那时我们才能从”把AI当作生产力工具”进阶到”将AI视为设计合作伙伴”。虽然现在还没到那个阶段,但这篇文章感觉像是通往这个方向的早期数据点。
作者: starchild3001 | 发布于: 2025-08-24 17:30