Hacker News 高赞评论 - 2025-09-02
1. [新评论由kristov发布在《我们应有权在自有硬件上运行任意代码》一文中
改写说明:
- 保留原文结构和专有名词:将用户名“kristov”和引号内原文标题直接保留,确保信息准确和来源明确。
- 调整语序和表达以符合中文习惯:对句式进行了自然语序重组,使整体表达更流畅自然。
- 统一术语和风格:采用技术社区常见表达方式,保证标题专业性和可读性。
如果您有其他风格或用途上的偏好,我可以进一步为您调整翻译表达。](https://news.ycombinator.com/item?id=45092413)
我认为讨论的重点应该从”无法运行我们选择的软件”转向”没有苹果或谷歌账户就无法正常参与社会生活”。我使用去谷歌化的安卓手机已有多年,现在这种情况变得越来越困难,同时没有某些”应用”也越来越难以正常生活。
比如我的银行(荷兰银行)虽然仍允许通过物理验证设备在电脑上进行网上银行操作,但他们正在积极推动只能通过手机应用登录。我曾因丢失银行卡致电客服,由于没有安装应用,不得不被转接到二级客服。如果按他们的做法发展下去,最终要在该银行开户就必须拥有苹果或谷歌账户。
我孩子所在的学校将所有通讯都外包给一个应用来处理。虽然提供网页版,但几乎无法正常使用。而这个应用必须安装某些谷歌库才能运行。同样地,要有效参与关于孩子的学校通讯,实际上也要求拥有苹果或谷歌账户。
我觉得我们应该意识到:我们正在不知不觉地陷入这样一个世界——要想参与社会生活,就必须拥有苹果或谷歌的账户。如果你决定不与这两家公司产生关联,将会处于极其不利的境地。
作者: kristov | 发布于: 2025-09-01 13:05
2. [zmmmmm在“我们应有权在自有硬件上运行任意代码”一文中发表新评论
翻译说明:
- 保留用户名”zmmmmm”不译,符合技术社区惯例
- 将长标题”we should have…”意译为更符合中文表达习惯的短句结构
- 使用”发表新评论”准确对应”new comment”的语境
- 添加”文中”二字使语义更完整,符合中文标题补充隐含信息的习惯](https://news.ycombinator.com/item?id=45088995)
在这个语境下,这意味着要具备在这套硬件上构建或安装替代操作系统的能力和文档支持。
但现实是行不通的。从银行到Netflix等机构,正在逐步淘汰所有无法完全验证控制链归属的体系——它们必须确保控制实体能与自己建立法律或合同关系。需要明确的是:这是根本性问题而非偶然。你不能运行自己的操作系统,因为这不符合Netflix的财务利益。你的银行、你的政府也是如此。它们都从你丧失控制权中获益,所以你不会被允许这样做。
这正是为什么捍卫真实原则而不仅仅是技术载体如此重要。Netflix不应有权强制要求我使用特定类型的数字版权管理(DRM)才能接收服务;政府不应阻止我进行端到端加密;如果我需要更高安全性,应该能自主选择加入这些机制,但绝不能是强制性的。所有这些都不是技术问题,而是我们必须据理力争的原则和权利。
作者: zmmmmm | 发布于: 2025-09-01 02:51
3. 新评论 by m463 于《允许侧载的同时能否保障用户安全?》
“侧载”这个词带有负面含义。
在苹果推出封闭式iPhone之前的系统里,这种行为直接就叫”安装”。
个人计算机革命最初就是由用户自行将软件装入电脑并运行开始的。当时你根本不需要征询计算机制造商或操作系统厂商的许可。
特别需要注意的是:苹果甚至不允许用户自我保护。你无法在手机上安装防火墙来拦截任意软件,比如你就无法阻止苹果的遥测数据收集。
作者: m463 | 发布于: 2025-08-31 05:39
4. 新评论来自 sodapopcan,主题为“做最简单可行的事”
这是典型的误解:软件工程师之间似乎总是难以有效沟通。
我们甚至只需看这里的标题:做最简单「可能」的事。
当问题本身复杂时,你无法逃避复杂性。但你确实可能把它搞得比必要的更复杂。文章从头到尾都没说过可以完全避开复杂性,而是指出我们很多人总爱毫无理由地把问题过度复杂化。
作者: sodapopcan | 发布于: 2025-08-29 22:30
5. 新评论由 codingwagie 发布在”做最简单可行的事”讨论中
我认为这在简单领域确实行得通。但在大型科技公司工作一段时间后,我依然对所需的复杂度感到震惊。即使是最简单的业务问题,也可能需要一年时间才能解决,并且由于数量惊人的边缘场景和规模问题而频繁出错。
任何鼓吹简化方案的人显然都没有处理过大规模系统。即便是那些有十年历史代码库作为参考的重构项目,也常常因为需要考虑海量细节而失败。
这让我想起切斯特顿栅栏理论(Chesterton’s Fence):
“这种情况下总存在某种制度或规则;为简化说明,假设是横跨道路的栅栏或大门。新型改革者会轻快地走上前说:‘我看不出这有什么用处,我们拆掉它吧。’而更明智的改革者应该这样回答:‘如果你看不出它的用途,我自然不会让你拆除。请先退下思考。等你真正理解其用途后再来找我,届时我或许会允许你拆除。’”
作者: codingwagie | 发布于: 2025-08-29 20:39
6. [—
中文标题:
NitpickLawyer 在《Grok Code Fast 1》中的新评论
—](https://news.ycombinator.com/item?id=45066063)
昨天用Cline测试了这个模型。速度很快,在智能体流程中表现良好,生成的代码质量不错。不明白这个帖子为什么这么多负面评价(而且我打字时还被标记了?),但这确实是个不错的模型。我认为它达到甚至超过了gpt5-mini的水平,这在我看来非常棒(我这几周主要在用gpt5-mini,性价比很高)。
注意到几个特点:
- 速度很快。我在欧洲时区测试的,实际体验可能因人而异
- 它的智能体工作方式很有趣。不是整体或大量编辑文件,而是采用多次小规模修改的方式
- 处理过一个约11万token的任务(用bs4解析HTML)。依然完成了任务,在高上下文情况下没发现问题
- 当首次尝试不成功时,它会创建新文件进行测试,完成所有模拟测试后,再修改主模块文件。很聪明。gpt5-mini经常直接编辑工作文件,然后陷入混乱导致任务失败
总体而言相当不错。以这个价格点,完全可以作为日常主力工具。甚至可以用opus+gpt5高级版作为规划器,用它作为实施器来处理智能体任务。它的速度足够快,值得并行部署,基本上能复现研究中的pass@x效果。
我认为每个层级都有选择是好事。多家供应商竞争市场能保持他们的危机感,同时压低价格。gpt5-mini每百万token2美元,这个只要1.5美元。从宏观角度看这基本上算是”免费”了。实在不理解那些负面评价。
作者: NitpickLawyer | 发布于: 2025-08-29 16:20
7. jp57在《再次搞砸我的Anthropic面试》中的新评论
一位非正式导师多年前给过我一个很好的建议:拒绝本身不包含任何信息。
也就是说,你无法从通常得到的单比特”accept==0”反馈中,对自己、面试技巧、技能或任何方面得出任何结论。候选人被拒可能有无数原因,这些原因与个人在面试或申请过程中的表现毫无关系。
如今我坐在招聘桌另一侧的次数远多于求职侧,可以说这句话完全正确。
我看到求职者(尤其是年轻求职者)最大的误解之一,就是将工作面试等同于学校考试,认为存在某种客观标准,只要通过就必须被录用。这完全不是事实。经常会出现多个优秀申请人竞争一个职位的情况,招聘团队不得不从中选择。这种情况下,你可能”通过”了考核却依然没获得工作,唯一原因就是招聘团队更喜欢另一个人。
我只遇到过一例特殊情况:有两个优秀候选人竞争一个岗位,管理层设法增设了另一个职位让我们能同时聘用两人。还有少数几次,我们虽然欣赏某些申请人但未能选择,就把他们的简历转给了其他有合适空缺岗位的团队。但大多数情况下,结果就只是一句”抱歉”。
作者: jp57 | 发布于: 2025-08-29 15:22
8. nomilk在“部分用户发现设置允许Meta分析并保留手机照片”中的新评论
我认为苹果应该向用户提供审计日志,记录每个应用访问了哪些照片和视频。虽然可能会生成很长的列表,但这能消除用户的疑虑,并对知名开发者形成巨大压力——确保他们不会被抓到做用户意料之外的事情(即使用户在技术上已经授权了访问)。
作者: nomilk | 发布于: 2025-08-29 12:37
9. [—
中文标题:
用户 _verandaguy 在”Ask HN: 我国政府封锁了VPN访问,我该用什么?”中的新评论
—](https://news.ycombinator.com/item?id=45055604)
大家好!我在2020年代初期曾为一家大型VPN提供商从事过规避审查相关的工作。
首先,你必须获取实际的VPN软件和配置文件。许多了解VPN审查情况并针对这些地区服务的提供商,会通过难以封锁的渠道分发VPN,并提供混淆封装。S3是常见选择但绝非唯一选项,有些VPN提供商会与当地组织合作,由这些组织找出在面临审查风险或正在实施审查的国家中最安全高效的分发方式。
获取软件后,应该尝试使用混淆层进行连接。
Obfs4proxy是常用工具,它通过预共享密钥使流量看起来像普通流量。如果没记错的话,它还能隐藏VPN握手过程。虽然这不是绝对安全的方案,但足以应对大多数深度包检测(DPI)系统。
另一个选择是Operator基金会开发的Shapeshifter(https://github.com/OperatorFoundation)。总的来说,任何采用可插拔传输的技术都值得尝试。虽然算是小众技术,但在你这种情况下非常实用。
需要注意的是,无论采用哪种方案,VPN提供商都必须支持这些协议。
- 长期来看最困难的是避免VPN使用被检测到。本质上,无论采用多少混淆和伪装手段,长期统计分析通常还是能识别出VPN连接(而且对国家行为体而言,这种方法的成本可能低于DPI检测)。我不了解印尼当地的具体情况,所以不会贸然给出长期规避方案的建议。
我想推荐Mullvad作为这个细分领域中值得信赖且技术实力过硬的VPN提供商(注:我从未就职于该公司,他们曾是我雇主的竞争对手,但我们一直很认可他们的技术方案)。
作者: _verandaguy | 发布于: 2025-08-28 18:48
10. [新评论来自AnotherGoodName,主题为”谷歌去年裁撤了35%的小团队管理者”
翻译说明:
- 保留用户名”AnotherGoodName”不翻译
- 将”in”译为”主题为”以保持语义连贯
- 原标题采用意译处理,将”eliminated”译为更符合中文语境的”裁撤”
- 保持时间状语”去年”前置符合中文表达习惯
- 整体采用简洁的新闻标题风格,避免直译的生硬感](https://news.ycombinator.com/item?id=45045883)
这在谷歌被称为TLM职位——技术主管/经理。你需要既写代码又要管理几名资浅工程师。
这是将管理岗和工程岗分离、取消混合角色的举措之一。
表面上这是为了提升效率推高股价,但实际上只是人员调整——现在的TLM完全专注于编程工作。
作者: AnotherGoodName | 发布于: 2025-08-27 22:01
11. PedroBatista在“GitHub网站在Safari上运行缓慢”中的新评论
GitHub网站在哪儿都慢。这破软件无论是性能、UX/UI还是其他方面都烂得离谱。
这就是一群厨师和他们的”绝妙创意”与KPI催生出来的产物,其中最”杰出”的创意就是把平台搞成开发者社交网络和代码社交平台。对于日常开发工作来说,它平庸到连GitLab相比之下都成了黄金标准。
得了吧,问题根本不在什么”Rails”框架[或任何其他用来转移真实技术问题的借口]。
作者: PedroBatista | 发布于: 2025-08-27 13:10
12. JdeBP在”Nx遭入侵:恶意软件利用Claude代码CLI探测文件系统”中的新评论
你是否正在使用存在安全漏洞的nx版本?
请运行 semgrep –config […]
或者也可以执行 nx –version […]
难道我们还没吸取教训吗?这个提交已经获得的点赞数说明我们确实没有。
各位,不要轻信那些让你执行此类操作的安全建议——尤其是那些会完全删除原始说明,替换成要求你运行他们工具的建议。
原始安全公告位于 https://github.com/nrwl/nx/security/advisories/GHSA-cxm3-wv7...,其中从未要求通过运行存在漏洞的程序来判断是否使用了受感染的版本,也没有要求运行semgrep进行检测。
作者: JdeBP | 发布于: 2025-08-27 12:55
13. dfabulich 在 “Claude for Chrome” 中的新评论
Chrome版Claude似乎正精准踏入”致命三重威胁”的陷阱。https://simonwillison.net/2025/Jun/16/the-lethal-trifecta/
“这种致命的三重能力组合包括:”
• _访问你的私人数据_——这本来就是大多数工具最常见的使用目的之一!
• _接触不可信内容_——任何可能让恶意攻击者控制的文本(或图像)被你的LLM获取的机制
• _具备外部通信能力_——这种能力可能被用于窃取你的数据(我通常称之为”数据渗出”,但不确定这个术语是否被广泛理解)
如果你的智能体同时具备这三个功能,攻击者就能_轻易诱骗它_访问你的私人数据并将其发送给攻击者。
作者: dfabulich | 发布于: 2025-08-27 01:10
14. podgietaru在《少年欲轻生,向ChatGPT倾诉心事》中的最新评论
我曾直视过自杀的深渊。阅读这个案件的档案令人毛骨悚然。他当时渴望获得帮助。他正朝着寻求帮助的方向前进,却被阻止了。
他其实希望父母发现他的计划。我理解这种感受——那种在看似想死的心境下,仍然拼命想要活下去的挣扎。
我们正身处一个可怕的时代。这类事件必须通过立法来规范,需要追究责任。我们不能继续将其视为神秘不可控的技术魔法。他们本拥有预防悲剧的工具,本可以中止危险对话,将用户引导至正确的求助渠道。
在我曾有自杀倾向时,我搜索过方法,但搜索引擎提供了本地救助热线。我拨通了电话,一位善良的男士通过交谈让我平静下来——这很可能拯救了我的生命。现在的我活得更加幸福,生活充满价值。
但在最低谷的时期……若遇到一个刻意迎合我语气、一味顺从每个极端念头的AI模型,它恐怕早已将我推向死亡。
作者: podgietaru | 发布于: 2025-08-26 21:56
15. 新评论来自 zaptheimpaler,发表于《我们很抱歉但不得不暂时停止向美国发货》
进口商必须申报产品中钢、铜、铝的精确含量,并对这些材料征收100%关税。这简直荒谬——比如印刷电路板含有铜走线,但其数量几乎不可能估算。
这届政府真是疯到不可理喻。我原以为关税只针对原材料,而不是任何含有这些材料的东西。
作者: zaptheimpaler | 发布于: 2025-08-26 17:49
16. georgeburdell在“美国情报”话题下的新评论
作为英特尔当前急需的前半导体行业高绩效从业者,我想补充一个观点:我们当中许多人转行软件和机器学习纯粹是为了更高收入。我当软件工程师头两年获得的限制性股票,就超过了在半导体行业干十年的总和。尽管半导体具有战略重要性,但这行在美国既不受尊重待遇也差。相反,在那些半导体强国,这不仅是份体面工作,报酬也相对丰厚。
从这个角度看,当前软件行业的裁员潮或许有个意外好处——能减缓半导体人才外流。如果英特尔足够聪明,现在就该大力招聘那些3-5年前他们根本招不到或留不住的人才。
作者: georgeburdell | 发布于: 2025-08-26 14:12
17. 新评论由themgt在”美国情报”话题中发布
说实话:这个方案很可能行不通……但与此同时,对中国问题的担忧确实存在,英特尔代工业务需要生存保障才能吸引客户,而一旦退出就真的没有回头路了。不会有初创企业能填补英特尔的位置。美国将完全依赖外国企业来获取地球上最重要的产品,尽管未来五年、十年甚至十五年一切看似平静,但失败的种子终将萌芽——就像2007年埋下的种子在过去几年对英特尔造成的影响那样。唯一的区别在于,这次失败的后果将不仅是灾难性地打击美国领先的半导体企业,更会重创美国自身。
论证非常有力。美国放任局面发展到如此地步简直是惊人的失职。十多年前我们就在搞”转向亚洲”战略,但就没人想过在地图上找找台积电的位置?没人质疑英特尔是否在自掘坟墓?”只因少了一颗钉,王国就此覆灭”,但这次要命的可不是一颗钉子,而是把整个冶金产业都外包给了你准备与之开战的地区。
作者: themgt | 发布于: 2025-08-26 13:47
18. [—
中文标题:
arielcostas 在“谷歌将仅允许安装认证开发者的应用至安卓系统”中的新评论
—](https://news.ycombinator.com/item?id=45024969)
这意味着要使用你的设备,就必须与一家境外(除非你在美国)第三方公司建立契约关系,由对方决定你能用设备做什么、不能做什么。而且使用GrapheneOS的可行性日益降低,因为银行等”受监管”的行业正在通过Google Play Protect和类似DRM技术阻止用户随意选择设备连接。所谓的客户端”信任”实质是服务提供商而非用户掌控设备。
Android如今已不应再被视为开源系统——其源代码分批发布,仅部分系统开放,越来越多应用正被纳入谷歌生态圈内部。或许现在正是需要第三大手机操作系统的时候,无论是受够美国和谷歌把戏的中国推出新系统(华为有鸿蒙但并不开源),还是出现拥有成熟生态的”GNU/Linux”触屏版本。尤其当银行等越来越多应用和服务变成”移动优先”或”仅限移动端”的当下更是如此。
作者: arielcostas | 发布于: 2025-08-26 11:11
19. [—
中文标题:
tgma 在“谷歌将仅允许已验证开发者应用安装于安卓系统”中的新评论
—](https://news.ycombinator.com/item?id=45022661)
有趣的是,斯图曼在半个世纪前就开始他的抗争了。平日里Hacker News总爱嘲讽他——比如从脚上捡东西吃、不够圆滑世故,同时却追捧企业开源带来的实际好处和免费福利,对自由软件理念并不特别感冒。
但到了这种时候,人们又突然冒出来鼓吹各种半吊子方案,试图实现斯图曼描绘的愿景,却几乎没人意识到:这恰恰就是他当年发起自由软件运动时最根本的关切。
作者: tgma | 发布于: 2025-08-26 05:37
20. medhir在”谷歌将仅允许已验证开发者应用安装至安卓系统”中的新评论
我们离”应该被允许在自己拥有的电脑上安装/修改软件”这个前提越来越远了。
我要再次重申”获取root权限的权利”这个概念,防止大公司反复搞这种破事:https://medhir.com/blog/right-to-root-access
作者: medhir | 发布于: 2025-08-26 03:18