HN Daily Reading · 每日阅读

HN 每日深度阅读 · 2026-05-09

本期主线是"叙事"与"现实"的反复对账:Cloudflare 用 agentic AI 包装大规模裁员遭内部戳穿,波兰晋级 G20 的光环被本地视角解构为外资分支经济,Canvas 在期末周以"计划维护"搪塞勒索入侵,连 Cliff Stoll 也得亲自辟谣。

2026.05.09 20 篇摘录

共 20 篇 · 约 11,243 字 · 约 28 分钟读完

1. Cloudflare 宣布裁员约 20%,AI 叙事遭员工质疑

Cloudflare 宣布裁员约 1100 人,占员工总数约 20%。CEO Matthew Prince 在公开信中将此举包装为”为 agentic AI 时代重新架构公司”,并提到公司内部 AI 使用量在过去三个月增长超过 600%,员工每日运行数千次 AI agent 会话。离职补偿方案相对慷慨:基本工资支付至 2026 年底、医保延续至年底、股权 vesting 延至 8 月 15 日,未满一年 cliff 的员工也按比例 vest。

HN 评论的核心反应是对”AI 叙事”的强烈不信任。一条高赞评论指出讽刺对照:2025 年 9 月 Cloudflare 刚宣布”1111 实习生计划”以”建设未来”,半年后就以同样的”建设未来”口号裁掉 1100 人。多位自称内部员工的评论者表示,团队正处于招聘扩张状态、产品利润率高达 95%,被裁的多是”让事情运转起来的人”,瓶颈从来不是写代码,因此不相信裁员真的源于 AI 效率提升。

更广泛的讨论将这类裁员称为”Canary moments”——公司在盈利增长的同时以 AI 名义削减人力以提升短期利润,而非利用富余产能投入研发或偿还技术债。多名评论者认为,CEO 们若直接承认”过度招聘、业绩未达预期”会赢得更多尊重,而当前用模糊的 AI 措辞包装财务决策的做法已经无人买账。也有英语爱好者批评公告中”agentic AI era""supercharge value”这类表达空洞而回避真实原因。HN 上同时出现了被裁员工现场寻找工作机会的帖子。


2. 波兰跻身全球 20 大经济体

美联社报道,波兰已正式进入全球 20 大经济体行列。文章回顾了这个曾经的苏联卫星国从 1990 年代”休克疗法”起步,借助加入北约和欧盟的目标,实现了长达三十多年的稳定高增长,避免了典型的繁荣-崩溃周期,被视为转型经济体的范例。

HN 讨论呈现出多个角度。第一种声音强调波兰决策得当,是其他国家应学习的榜样,并推荐了 Marcin Piatkowski 的《Europe’s Growth Champion》一书。第二种声音来自一位居住在波兰的评论者,认为标题具有误导性:波兰的”经济”在很大程度上是西欧和美国企业利用受过良好教育、成本仅为柏林 40% 的工程师在当地建立的分支机构,几乎没有具备全球竞争力的本土公司,剥离外资部门后只是中等水平经济体,并依赖欧盟结构性基金。

第三种视角则提供了反例:多位欧美工程师注意到自己购买的无刷电机、触觉反馈电机、机器人手臂组件、无人机零件越来越多来自波兰,认为波兰已经悄然进入高端制造供应链。一位加拿大评论者表达了羡慕,反思本国在尖端制造方面的退化。

关于欧盟资金的讨论较为热烈:波兰是 2014–2020 年欧盟资金最大受益国,但有人指出”许多国家都拿到了类似转移支付却没能复利成长,关键是波兰用这些钱做了什么”。其他评论涉及波兰冬季严重的燃煤空气污染、城乡发展差距、海外侨民回流带来的技能与资本,以及波兰作为旅游目的地的吸引力。


3. Cliff Stoll 本人辟谣:关于我去世的传闻略有夸大

《The Cuckoo’s Egg》作者、著名天文学家与早期网络安全人物 Cliff Stoll 在 HN 上亲自发帖,借马克·吐温的名言风格澄清网上关于他已去世的传闻并不属实。整个帖子本身极短,但评论区形成了一场温馨的致敬集会。

HN 评论几乎清一色是粉丝向 Cliff 表达谢意与喜爱。许多人讲述《The Cuckoo’s Egg》如何影响了他们的人生轨迹:一位比利时读者回忆 12 岁时英语老师专门去英文书店买这本书送给他,既启蒙了他的 IT 兴趣也提升了英语水平。还有人分享 2024 年曾拜访 Cliff 本人、参观他存放克莱因瓶的爬行空间仓库的经历。

讨论中也带出了一个更广泛的现象:AI 生成的虚假讣告正在困扰许多在世的公众人物。有评论提到 Dave Barry 也被迫多次声明自己仍然在世(“被 AI 谋杀”),并感叹这种澄清本身令人疲惫。一位评论者半开玩笑地表示要去更新 Cliff 的维基百科页面注明”死亡状态存在争议”,另一位则戏称希望 Cliff 在真正去世时能再来发帖以提供”权威来源”。整个帖子呈现出 HN 罕见的纯粹温情氛围,是社区对一位早期互联网英雄的集体致意。


4. Canvas 在 ShinyHunters 勒索威胁后恢复上线,正值美国期末考试周

学习管理平台 Canvas 经历了一次大规模宕机,起因是收到了自称来自 ShinyHunters 黑客组织的勒索信息。该组织声称其数据泄露站点包含 9000 所学校、约 2.75 亿学生的数据,威胁要公开。Canvas 目前已重新上线,但官方沟通被广泛批评为含糊不清,仅以”计划维护”或”全国性关闭”等措辞应对,未对入侵规模和数据状态给出实质细节。

事件影响巨大,因为正值美国大学期末考试和评分高峰期。HN 上多名教授和学生现身说法:一位 CS 教授描述学校只能要求学生改用邮件提交作业,暗示校方对系统恢复时间没有信心;斯坦福学生提到艺术史课改用 Google Drive 提交论文、每周测验暂停;MIT 也受波及,而 MIT 此前刚从自研系统迁移到 Canvas,被评论者视为讽刺的”build vs buy”案例。

讨论焦点集中在几个方向。一是对集中式 SaaS LMS 的批判:许多教师本就反感 Canvas,但因 ADA 无障碍合规被强制要求把所有材料放在该平台,连引用个人网站上的 PDF 都被禁止,单点故障风险被放大。二是关于勒索软件政策的辩论,有评论主张支付赎金应被立法禁止,并对攻击者按受害系统等级量刑(如攻击医院致死应判终身监禁),同时企业也应对未达行业安全标准承担责任。三是技术层面的好奇:评论者疑惑攻击者如何在不被发现的情况下导出涉及上亿学生的庞大数据集,怀疑是长期潜伏的逐步窃取。也有人将此事比作”美国报税截止日 4 月 14 日 TurboTax 计划维护”,质疑选择此时点的服务方信誉。


5. Linux 内核连环漏洞之际,作者建议暂缓安装新软件

Xe Iaso 发布了一篇极短博文,指出在 copy.fail 漏洞披露之后,Linux 又出现了多个新的本地提权漏洞(如”Copy Fail 2”和”Dirty Frag”)。作者认为,鉴于供应链攻击通过 NPM 等渠道结合这些本地提权漏洞可能造成严重后果,除了发行版的内核安全更新之外,建议在大约一周内暂停安装新软件。

HN 讨论对这一建议反应分歧明显。支持方认为,包生态系统的庞大攻击面早已是定时炸弹,警告者长期被便利性的支持者压制,如今正在迎来”find out”阶段。反对方则指出该建议在多个层面站不住脚:这些漏洞均为本地提权,需要攻击者已有立足点,并不会让攻击者获得原本无法访问的环境;真正的供应链攻击主要通过凭据窃取与社会工程,与 LPE 漏洞关系不大;“等一周再装”也无效,因为攻击者完全可以让恶意载荷潜伏更长时间,最近就有恶意包潜伏一个月以上的案例,且 typosquatting 等攻击类型不受时间影响。

讨论延伸出几个建设性方向。一是采用类似 cooldowns.dev 的”延迟安装”策略,只安装发布数天以上的包版本,借助安全扫描公司和早期采用者作为缓冲;多起近期高调攻击都在一天内被发现回滚,这种延迟即可避开。二是有 FreeBSD 用户称赞其安全团队对补丁的协调发布机制,与 Linux 各发行版各自为战形成对比。三是强调隔离架构:将 pip、npm、uv 等不可信工具放入容器或 VM 运行(如 Docker、Kata Containers),最终走向 userspace 全部容器化。还有评论指出即便不利用内核漏洞,简单的 PATH 劫持就能伪造 sudo 提示窃取密码,安全模型本质上依赖对发行版维护者的信任。


6. Google Cloud Fraud Defense 被指为换皮的 WEI 设备认证方案

Private Captcha 团队的博文指出,Google 在 2026 年 5 月发布的”Google Cloud Fraud Defense - reCAPTCHA 的下一代演进”,本质上是 2023 年被标准组织否决的 Web Environment Integrity(WEI)方案的重新包装。新方案要求用户用手机扫描 QR 码以证明”人类身份”,但合格设备被限定为”安装了 Google Play Services 的现代 Android 设备,或现代 iPhone/iPad”。文章认为这种设备认证机制把对开放网络的”硬件准入权”集中到 Google 和 Apple 手中,正是当年 EFF 称为”Chrome 给网络加 DRM”和 Mozilla 反对的同一逻辑。文章还分析了几个问题:QR 码会被绕过(拍屏即可);约 30 美元的合规 Android 设备就能批量伪造;隐私需求最强烈的用户(去 Google 化设备、自定义 ROM、Linux 手机、旧设备)会被排除;Firefox for Android 不在支持列表中。

HN 讨论分为几条主线。一类评论认为 Google 此举延续了从 AMP、Manifest V3、FLOC 到 Android 源码限制的一系列对开放互联网的侵蚀,呼吁迁离 Chrome。另一类则指出文章存在简化论证:Google 不太可能用单一 attestation 结果决定通过,更可能引入设备类型、批次、行为模式等因素综合评分,因此 30 美元手机批量化攻击未必长期有效;同时文章作者本身在销售 PoW 方案,立场并非中立,而 PoW 也并非完美——老旧设备的用户体验差,专用 ASIC 又能让攻击者绕过。第三类讨论涉及现实困境:CAPTCHA 已被机器解得比人快,IP 黑名单失效,行为指纹被监管打压,YouTube 的广告欺诈问题表明现有手段不足,剩下的可行选项要么是身份认证要么是远程认证,开放、匿名的网络可能正在结构性消亡。也有人质疑 iPhone 用户如何参与该体系,以及网站运营者是自愿接入还是被默认替换 reCAPTCHA。


7. 新加坡对校园霸凌男生引入鞭刑

《卫报》报道,新加坡将对在学校实施霸凌的男生引入鞭刑作为惩戒措施。该国学校体系本就保留有限的体罚传统,这次政策是将其适用范围扩展至霸凌情境,且明确仅适用于男生。

HN 讨论高度分裂且热烈。反对者主要从几个角度提出担忧。其一是反向激励:施暴者可能对受害者施加更隐蔽、更残忍的报复,因此可能加剧而非缓解霸凌循环。其二是权力滥用风险:赋予教师对学生的体罚权力本身可能被滥用,且会向所有孩子传递”暴力是解决问题的合法手段”的信号。其三是性别歧视问题:多名评论者质疑为何只对男生适用,女生同样会霸凌,按性别区别对待在很多国家会被违宪审查推翻。其四是认定环节存在漏洞:尤其涉及网络霸凌时,“指控霸凌”本身可能成为操纵学校权威惩罚他人的新型霸凌工具。

也有支持或中立声音。有评论引述称体罚负面效应的学术证据质量较低;还有亲历者表示自己上学时挨过几次鞭子,认为对部分孩子有威慑作用,但对真正愤怒的问题少年无效。一位评论者分享个人经验,称真正有效的威慑是高度个性化的针对性惩罚(如取消校队资格),但这要求小班、教师投入和理解每个学生的情境,多数学校并不具备这些条件。讨论还延伸到美国得州中学体罚回潮的现状,以及对新加坡治理模式整体应否被更多研究的争论——有评论者认为新加坡从贫穷起步走向富裕的经验值得被严肃借鉴,反对者则指出独特的城邦规模与威权治理难以被复制。


8. 美国政府公布首批 UAP 文件与视频

美国国防部(在文中以”Department of War”出现)通过名为 PURSUE(Presidential Unsealing and Reporting System for UAP Encounters)的页面公开了首批不明空中现象(UAP)资料,包含视频、目击报告以及一份结构化的 CSV 数据集。据国会议员 Luna 的说法,这只是后续数周内多批释出的第一批。页面采用科幻风格设计,并附有 FBI 的合成草图等素材,例如 2023 年 9 月一份描述”椭球形青铜色金属物体”从亮光中出现又瞬间消失的目击合成图。

HN 上的讨论以高度怀疑为主基调。技术性最强的一条评论指出,公开的影像中相当一部分可识别为气球、鸟类或导弹的红外图像——例如一段是导弹在视场中快速飞过留下的运动模糊条纹,另一段是红外强光源造成的星状衍射伪影。评论者描述了一种典型机制:军方人员录下未识别物体后将其归档为”unknown”,随后被人挖出片段并以”惊人 UAP 证据”的形式传播;DoD 内部似乎存在一批热衷于在内部文件服务器中翻找此类素材的人。

多位评论者推荐 Mick West 的 YouTube 频道,认为他对”Gimbal”等著名 UFO 视频的逐帧分析、3D 重建和对照实验代表了严肃、克制、基于证据的分析范式。还有评论将本次发布解读为政治层面的”dead cat strategy”——在其他议题陷入僵局时抛出吸引注意力的话题,并预测临近选举前还会有更多类似释出。也有人指出,这种叙事正在被有组织地在 4chan 和主流社交平台上推动,与早年的反疫苗、化学尾迹社群被政治化的路径相似。亦有评论者欣赏页面排版(使用 Berkeley Mono Trial 字体)和 CSV 数据集本身对开放数据分析的价值。


9. Ask HN:一次真实的 UUIDv4 碰撞

一名开发者在 HN 发帖,描述其系统中出现了实际的 UUIDv4 碰撞,引发了关于 UUIDv4 安全前提与实践陷阱的大量讨论。理论上 128 位随机 UUID 在自然条件下碰撞概率极低(有评论引用了 Pro Git 中关于 SHA-1 的著名类比,强调”自然碰撞比团队全员当晚被狼袭击还罕见”),但前提是高质量熵源。

讨论中最被认同的解释是:UUIDv4 的安全性完全依赖底层 PRNG 的熵质量,而这一假设常被硬件缺陷、软件 bug 或开发者对”高质量熵”理解不足所打破。检测熵源是否损坏代价高昂,因此通常只有发生碰撞时才被发现,这也是许多高可靠性场景明确禁用 UUIDv4 的原因。具体的常见成因包括:虚拟机或 fork 后状态重复导致的种子相同、沙箱环境中 RNG 库回退到不安全实现、以及客户端生成 UUID 时遭遇确定性 RNG。

最被反复提及的具体场景是 Googlebot:uuid 库已在文档中明确警告,Googlebot 等爬虫执行 JavaScript 时使用确定性”随机数”,导致 crypto.getRandomValues() 在其环境下可重复,从而生成重复 UUID。官方 GitHub issue #546 记录了相关测试,库作者建议前端生成 UUID 的应用应做好碰撞处理或对 Googlebot 禁用写操作。

讨论中还有几个广为流传的轶事,例如某 200 人规模初创公司曾设有一支三人团队维护一个”UUID 生成微服务”,每次生成后都要查数据库去重再插入返回。也有评论以多世界诠释调侃,“必然存在一个分支宇宙里所有 UUID 都相同”。整体共识是:把 UUIDv4 当作绝对唯一标识使用是工程上的脆弱假设,尤其在客户端环境中。


10. Google 让 reCAPTCHA 在去 Google 化 Android 上失效

Google 将新一代 reCAPTCHA 与 Android 上的 Google Play Services 绑定:当 reCAPTCHA 触发可疑判定时,会放弃旧的图像谜题,转而要求扫描二维码完成验证,而该流程要求后台运行 Play Services 25.41.30 或更高版本。GrapheneOS 等去 Google 化系统因缺少 Play Services 将直接验证失败。该机制属于 Google 在 4 月 23 日 Cloud Next 上发布的 Google Cloud Fraud Defense 体系,被定位为应对自主 AI agent 与传统机器人的”信任平台”。Internet Archive 显示相关支持页早在 2025 年 10 月就已列出 Play Services 依赖,意味着该依赖已悄然铺设至少七个月。

HN 评论的技术解读集中在远程证明(remote attestation)。一条高赞分析指出,新版 reCAPTCHA 本质类似 TPM/Secure Enclave 的远程证明链:设备烧录的 EK 派生出由 Google 服务器签发的 AIK,再由 AIK 签出 attestation。由于不使用盲签名,Google 服务器若记录 EK→AIK 映射,就能将 attestation 追溯到具体设备;伪造证明的服务一旦出现,会被 Google 列入黑名单。

社区情绪以反对为主。许多评论者强调拒绝任何由 Google 控制的硬件证明,认为这将把网络访问与 KYC 强绑定——因为绝大多数 SIM 卡和能注册 Play Store 账号的手机号都已经实名。已有评论者反映 archive.is(背靠 Cloudflare)开始要求二维码验证。多人指出 Google 本可采用 Apple 推动的 Private Access Tokens,以更隐私友好的方式实现设备证明,却选择了绑定自家服务的路径。还有解读认为这是为即将到来的自主 AI agent 市场提前”踢梯子”——将竞争对手的 agent 挡在 Cloudflare、Amazon、Microsoft 等防护墙之外,同时为自家 agent 保留通道。多位评论者呼吁监管以反垄断介入。


11. Meshtastic 入门介绍

Meshtastic 是一个基于廉价 LoRa 无线电模块构建的离网长距离通信平台,100% 社区驱动、开源。它利用 LoRa 这一在大多数地区无需牌照即可使用的频段,让设备相互转发消息形成 mesh 网络,从而在没有可靠基础设施的环境下实现远距离收发文本消息。特性包括去中心化(无需专用路由器)、加密通信、可选 GPS 定位、电池续航良好;当前的地面距离记录为 331 公里。设备可与单一手机配对,但每台设备同一时间只支持一个用户连接。

HN 讨论呈现出两条主线。第一条是社区生态对比:很多评论者认为 Meshtastic 已逐渐显出局限——节点多但大多只是发送遥测数据,“鬼城”感强、链路弱,少有真实对话;而新兴的 Meshcore 引入了静态层(固定中继器)与动态层(移动伙伴)的分层结构,可缓存路由路径、节省带宽,已经出现跨州的网络和实际对话,被多人推荐为自然的进阶选择。讨论中提到近月气氛正在从 Meshtastic 转向 Meshcore,相关项目还包括 Reticulum。

第二条是使用体验与硬件建议。多位长期用户分享了用 Heltec v2、Heltec v4 等板子配合小型太阳能板部署常驻节点的经验,并提到 Meshtastic 让他们顺势考取了业余无线电(HAM)执照,因为本地社区高度重叠。也有人晒出费城地区的实时拓扑地图,可看到节点之间 24 小时内可听到对方的连线。也有评论指出现实中的采用率仍然很低——一座两百多万人口的城市可能只有不到十名活跃用户,因此目前更像早期互联网的小众高信号社区,“没人想变现你的注意力”。对没有即时通信需求的人,也有评论者建议把 LoRa 模块用于 IoT 遥测、串口桥或无人机控制等用途。


12. Mozilla 用 Claude Mythos Preview 加固 Firefox 的幕后

Mozilla 在 Hacks 博客上详细介绍了如何借助 Claude Mythos Preview 等 AI 模型,在 Firefox 中发现并修复了数量空前的潜在安全漏洞。文章指出,仅仅几个月前,AI 生成的安全报告还以”看似合理但实为噪声”的 slop 为主,给维护者带来不对称负担;但模型能力的跃升加上 Mozilla 在”harness”(提示编排、扩展、级联与噪声过滤)上的工程改进,使局面发生了质变。

为佐证能力,Mozilla 提前公开了部分通常会延迟披露的 Bugzilla 报告样本,覆盖多个浏览器子系统:包括 JIT 优化错误导致 WebAssembly GC 结构未初始化的伪对象原语;潜伏 15 年的 <legend> 元素 bug,需在递归深度、expando 属性与循环回收之间精心编排触发;通过 IPC 竞态在父进程操纵 IndexedDB 引用计数实现沙箱逃逸;裸 NaN 跨 IPC 边界伪装成 tagged JS 对象指针;潜伏 20 年的 XSLT key() 重入 bug;通过 rowspan=0 追加超 65535 行溢出 16 位布局位域的极小测试用例等。其中相当一部分属于沙箱逃逸类,需配合内容进程的初始漏洞才能形成完整利用链——而这类漏洞历来难以被 fuzzing 覆盖,AI 分析提供了更全面的视角。文章也强调”模型没找到的”同样有价值:例如此前 Mozilla 冻结父进程原型链的架构性加固,在日志中可见多次被模型尝试又被挡下。

HN 讨论分歧明显。一派强调用词严谨:模型找到的是”bug”而非已被 PoC 验证的”vulnerability”,应以 271 个有效 bug 而非 271 个漏洞来宣传,本身已足够令人印象深刻。另一派则认为,相比两周前 Mozilla 偏向公关的早期博文,本次公开 Bugzilla 链接显著增强了可信度,“有真东西”。也有人观察到样本几乎全部集中在 C++ 代码(约占 Firefox 25%),并以此对比 Zig 社区拒绝处理 LLM 生成的 bug 报告的态度。还有讨论延伸到静态分析工具的未来,以及对个人开发者直接调用商业 LLM 做大规模安全扫描可能很快被服务商封禁的担忧。


13. Mojo 1.0 Beta 发布

Chris Lattner 主导的 Mojo 语言发布了 1.0 Beta 版本。Mojo 定位为面向 ML 与高性能计算、Python 友好语法的新语言,特点包括类似 Rust 的所有权模型、比 Zig 更强大的 comptime、丰富的类型系统、一流的 SIMD 支持,以及不同于 Rust/Zig 单纯包裹 LLVM 的编译路径。Modular 已承诺在 2026 年秋季开源 Mojo。

HN 讨论中的正面评价主要来自实际写过 Mojo 的用户,他们认为语言整体设计扎实、性能突出,期待开源后的发展。也有 ML 从业者欢迎”在同一种语言里混写 GPU 与 CPU 代码”的前景。但批评和疑虑同样集中。第一类是与 Python 兼容性的落差:不少人最初以为 Mojo 能直接运行现有 Python 代码,但实际它只能与 Python 互调,自身不能跑既有 Python,而且基础体验仍不平滑——有评论者花一小时才搞清字符串字节与码点的表示差异,文档与实现还存在矛盾,部分早期 Tensor 内置功能也被弃用。

第二类是市场窗口的疑问。NVIDIA 已推出新一代 CUDA 工具,包括基于类似 MLIR 编译栈的 CuTile(Python 与即将到来的 C++)以及 CUDA Tile IR,让开发者可直接用 Python 写 CUDA kernel,AMD 和 Intel 也在跟进类似路线;Julia 在同类用途上更成熟。多位评论者担心 Mojo 错过了最佳时间窗口,尤其是在 LLM 已能较轻松地把 Python 原型移植到 C++/Rust 的当下。第三类是定位讨论:网站突出”AI native”被部分评论者视为空洞营销;也有人希望 Mojo 走函数式而非面向对象路线,以更契合 ML 中函数管线和自动微分的范式。少量评论表达了将 Mojo 用于游戏开发的兴趣。


14. 大卫·阿滕伯勒爵士百岁诞辰

BBC 报道,英国国王查尔斯三世与王后卡米拉带头向博物学家与广播人大卫·阿滕伯勒爵士致以百岁生日祝福。皇室在 Instagram 分享了多张照片,其中一张是 1958 年阿滕伯勒在 BBC《Zoo Quest》节目中向年幼的查尔斯王子和安妮公主介绍凤头鹦鹉 Cocky 的画面。皇家阿尔伯特音乐厅举行了 90 分钟特别音乐会,由 Kirsty Young 主持,BBC Concert Orchestra 演奏《Planet Earth II》《Frozen Planet II》等代表作配乐,Michael Palin、Steve Backshall、Chris Packham 等嘉宾出席。威廉王子在 Earthshot Prize 视频中致谢,哈里王子在 Time.com 撰文称其为”世俗圣人”,认为他系统性地打破了”气候问题发生在别处”的认知。Hans Zimmer、Ian McKellen、David Beckham、Joanna Lumley 等也送上祝福。阿滕伯勒生于 1926 年,1952 年加入 BBC。

HN 评论几乎一致表达敬意。多位伦敦本地用户分享个人轶事:他住在里士满山,曾被问及最想居住何处时回答”我已经住在那里了”;当地的 The Open Book 书店长期备有他签名的书,近年因高龄改为请助手送签名藏书票上门。一条被多人提及的趣闻来自 Tom Scott 的 Lateral 播客:网球之所以为黄色,是因为传统白球在电视转播中难以看清,时任 BBC 的阿滕伯勒建议改用黄色球。多名评论者回忆童年观看《Blue Planet》《Seas of Life》对其走入科学与工程领域的潜移默化影响,认为这种缓慢的文化推动难以量化但极其深远。也有评论盛赞他的解说嗓音,并感慨”他从事这一切时世界还更大”。还有人略带玩笑地表示,最近看到他的视频时一度怀疑是 AI 合成,得知本人健在十分欣慰,并建议 HN 在这种值得庆祝的时刻挂一道”绿色横幅”,作为黑色致哀横幅的对立面。


15. 《木偶奇遇记》原著比记忆中更怪诞

文章重读了卡洛·科洛迪 1881 年开始连载的《木偶奇遇记》原著,指出它与迪士尼版本相去甚远。最初的连载在第 15 章就结束:狐狸和猫将匹诺曹吊死在大橡树上,作者收钱收工。是意大利儿童读者写信恳求才让科洛迪在五个月后续写,并引入了那位最初被描绘成”蓝发死亡少女”形象的蓝仙女让木偶复活。

文章列举了被多数改编版本删去的暗黑情节:会说话的蟋蟀在第 4 章被匹诺曹用锤子砸死并钉在墙上;第 7 章匹诺曹把脚搁在火盆上睡觉,醒来时双脚已烧没;玩耍国里的男孩们变成驴子被卖到马戏团,匹诺曹作为驴子摔断腿后被买家绑上石头扔进海里淹死,目的是剥皮做鼓。叙述语气冷静近乎警察笔录。

作者解释这种风格源于科洛迪的身份:他本是讽刺作家,办过被审查关闭的讽刺报纸,五十多岁才因新意大利国家需要学校读本而转向儿童文学。书中的残酷其实是对当时泛滥的说教式儿童读物的戏仿。

文章还梳理了该书在语言史上的意义。1861 年意大利统一时,仅约 2.5% 的人口讲标准意大利语,国家选择以托斯卡纳语为基础。科洛迪用清晰的中等语域佛罗伦萨托斯卡纳语写作,这本书进入小学课本后帮助几代意大利人学会了”自己的”语言。到 1951 年,会讲标准意大利语的人口比例升至约 87%。

HN 评论中,许多人认为这种”怪诞”恰恰符合 19 世纪儿童文学的常态:那时的孩子很早就要面对死亡、贫困和劳作,民间故事本就充满任意的不公与残酷,过度保护反而是 20 世纪后半叶的现象。也有评论指出文章对”政府选择托斯卡纳语”的描述过于简化,实际上是文学传统加上曼佐尼的语言整理工作共同促成。还有人推荐 Roberto Benigni 主演的较忠于原著的真人电影,并提到《Lies of P》游戏借鉴了原作的黑暗基调。


16. Web Design Museum 收录 Cartoon Network Flash 游戏档案

Web Design Museum 推出了 Cartoon Network Flash 游戏专题展览,收录了围绕《飞天小女警》《德克斯特实验室》《武士杰克》《飞天小女警》《Ed, Edd n Eddy》《少年骇客》《Scooby-Doo》《Codename: Kids Next Door》等热门动画系列制作的浏览器小游戏。展品涵盖 2001 年至 Flash 技术终结前的多个年份,每个条目附有截图预览,呈现了 Cartoon Network 官网在 Flash 黄金时代为儿童提供的互动内容生态。

展览属于该博物馆 Flash 游戏系列的一部分,相邻还有 Ben 10、Happy Tree Friends、Mario、Nickelodeon、SpongeBob 等专题,整体试图保存 2000 年代浏览器游戏文化。

HN 评论充满怀旧情绪。多位用户回忆童年在家用电话线时代下载这些游戏离线游玩的体验,提到 Cartoon Network 之外,ESPN、Miniclip、Mofunzone 等站点当年也有大量免费 Flash 游戏,包括屋顶滑板、BMX 自由式等作品。一位曾参与 CN 游戏开发的评论者表示自己做过的项目尚未被收录,希望档案继续扩充。

不少人惋惜电视网络和媒体公司不再提供免费在线游戏,如今 Cartoon Network 官网直接重定向到 YouTube 频道,互联网上”专门为儿童设计的场所”正在消失,一切都被推向大平台。多条评论推荐 Flashpoint Archive 作为更全面的 Flash 游戏保存项目,Internet Archive 上也有部分收藏。还有人特别点名怀念《Teen Titans Battle Blitz》、Cartoon Orbit 上的 gToons(已有社区复刻 gtoons.app)、龙珠 Z 回合制游戏、飞天小女警篮球游戏,以及万圣节 trick-or-treating 迷宫游戏等具体作品。


17. 苹果与英特尔达成初步代工合作意向

据《华尔街日报》报道并由路透社转引,苹果与英特尔已就芯片制造达成一项初步协议。报道细节有限,未明确具体涉及哪类芯片、采用哪个工艺节点,也未说明合作规模。报道同时提到,自去年美国政府通过与 CEO 陈立武(Lip-Bu Tan)的协议成为英特尔最大股东以来,政府在促成这次谈判中扮演了重要角色。一位官员表示”我们在帮英特尔拉生意”,称此举并非因为持股,而是因为英特尔是美国主要半导体生产商。

HN 讨论普遍将此视为对各方均有利的安排。评论者认为苹果以严苛标准能倒逼英特尔代工业务(IFS)提升水平,自身也获得对 TSMC 之外的供应链多元化;美国本土供应链得到加强;而 TSMC 在中短期内不会受到实质冲击,因为苹果不太可能将主力 iPhone SoC 交给英特尔生产。多位评论者推测,这可能只是某款配套芯片(如电源管理芯片)或较老工艺节点的次级供应安排,而非核心 A/M 系列。

也有评论指出,苹果习惯于在供应链中占据主导地位,但面对产能紧张、议价能力对等的 TSMC 已无优势,与英特尔合作可让其重新掌握谈判话语权。一些人强调要区分英特尔作为代工厂(为苹果设计的芯片代工)和英特尔作为 CPU 设计者(在产品中使用英特尔芯片)两种含义,多数判断属前者。

部分评论看好英特尔在 chiplet 封装(Foveros、EMIB、未来的 Z-Angle,以及 2028 年实现 12 倍 reticle 尺寸的路线图)方面的领先地位,认为这是吸引苹果的真实技术理由。但也有人对政府推动业务的描述感到不适,担心市场逻辑被政治力量取代。还有评论调侃文章信息量极少,更像是定向放风。


18. 公共长椅正在城市中悄然消失

文章以纽约 Moynihan 火车大厅为切入点:这座壮丽的车站几乎没有座位,旅客只能站立或坐在地上、靠着行李。作者观察到这并非个例——华盛顿 Union Station、Grand Central 的下层餐饮区都将座椅替换为只能站立的桌子或仅供消费者使用的咖啡椅。费城、芝加哥、阿纳海姆、纽约的公共交通系统,西雅图 Pike Place Market 入口、旧金山 Tenderloin 街区、Nashville 的大道、Janesville 的小型滨河公园等地,都在过去十年中悄悄移除了大量长椅,有些被替换为只能倚靠的金属支架,有些则彻底消失。虽然没有确切统计,但累计涉及数百处。

作者将长椅视为城市公共生活的微缩缩影:办公室职员可以午休、老人可以休息,但青少年的喧闹、滑板少年的磨损、流浪者用纸袋包酒喝,让长椅同时成为不同群体争夺空间的场所。Moynihan 开放后,多位民选官员联名要求增加座位,但因无权监管 Amtrak 和 MTA 而毫无效果。文章认为,移除长椅意味着城市放弃了定义”公民理想”的工作,公共空间变得功利而冷漠。

HN 讨论分歧明显。一派认为这是社会选择的结果:既然不愿强制收治精神病患者、不愿拘留公开吸毒者,就只能以牺牲公共便利为代价。另一派则将矛头指向住房政策——纽约曾经廉价的合租”宿舍式”住房被以各种理由禁止,房价上涨直接推高了无家可归人口。也有人提到伦敦同样在出现充满分隔扶手、尖刺等”敌意建筑”的长椅。

不少评论扩展讨论:公共厕所比公共长椅更稀缺,美国公共基础设施整体退化,与日韩中台形成对比;公共垃圾桶同样在消失。一条高赞评论用”反社会行为的范畴定义”反驳文化解读:当一种使用方式普及后会让公共设施失去功能,问题就难以仅归因于权力关系。还有评论引申到 LLM 对程序员就业的影响,类比”敌意设计”的逻辑。


19. ClojureScript 引入 async/await 支持

ClojureScript 1.12.145 版本发布,最显著的变化是新增了对 JavaScript async/await 的原生支持。在最近转向 ECMAScript 2016 目标后,团队选择性增强了互操作能力:用 ^:async 元数据标注函数,编译器即会生成对应的 JavaScript async 函数,函数体内可以使用 await 等待 Promise 解析。该特性同样适用于 deftest 测试。

发布说明指出,在最近一次 Clojure 社区调查中,async 函数支持位居 ClojureScript JavaScript 互操作增强需求的首位。此次改动让开发者在与现代浏览器 API 和主流 JS 库交互时,无需再依赖 Promesa 等第三方库提供的宏。本次版本由社区成员 Michiel Borkent(borkdude)贡献,他同时也是该 HN 帖子的发布者。

HN 评论中有用户回顾历史:长期以来反对加入 async/await 的理由主要有两点——一是改动需要深入修改 CLJS 编译器(shadow-cljs 作者 thheller 曾尝试后认为不可行),二是 Promesa 等库的宏已能提供类似便利;此外还有人主张应继续使用 core.async 的 CSP 模型,认为表达式导向的语言与 async/await 不太契合。borkdude 此前在 Clojurians Slack 表示自己并不认为不可行,最终亲自实现了它,社区表达了感激。

不少评论者对 Clojure/ClojureScript 在社交媒体上重新活跃感到意外,猜测与 agentic coding(AI 辅助编程)有关——有人推测无类型检查、保留字少、s-expression 结构清晰可能让 LLM 处理 Clojure 代码更顺畅。也有人提到 Jank(Clojure 的原生 LLVM 实现)的进展同样令人兴奋。

讨论中存在一种声音质疑:core.async 的 channel 模型本意正是把异步推到 channel 抽象之下,引入 JS 风格的 async 关键字未必是升级。但更多评论将其视为长期缺失功能的补完,是 ClojureScript 生态的重大进步。也有人感慨从 JavaScript 引入 async/await 至今已过去十年。还有人追问普通 Clojure(JVM 端)是否会有等价物。


20. AI 正在打破两种漏洞披露文化

文章以最近披露的 Copy Fail 漏洞为例,讨论 AI 加速对漏洞披露生态的冲击。研究者 Hyunwoo Kim 发现 Copy Fail 修复不充分后,按照 Linux 网络栈的惯例:将安全影响私下告知封闭的 Linux 安全工程师列表,同时把修复以”看似普通”的方式静默合入主线,形成事实上的短期禁运。但很快有人注意到这次提交、识别出安全含义并公开发布,禁运随即被迫终止。

作者借此对比两种主流披露文化:一种是”协调披露”(coordinated disclosure),私下通知厂商并给予约 90 天窗口期再公开;另一种是 Linux 圈尤其网络栈偏好的”bug 就是 bug”文化,主张快速修复、不刻意标记、依赖大量提交噪声掩盖安全修复。后者的隐蔽性正在被 AI 摧毁——逐 commit 用 LLM 评估其安全相关性已变得廉价高效,信噪比的提升让审查提交记录更具吸引力。

90 天禁运同样面临压力。本案中,Kim 报告漏洞仅 9 小时后,另一位研究者 Kuan-Ting Chen 就独立发现了相同问题。AI 辅助的扫描使”独立发现窗口”急剧缩短,长禁运反而制造虚假的非紧迫感、限制能参与修复的人手。作者倾向于采用极短禁运,并预期未来还需更短,幸而 AI 同样能加速防御方。文末他用 Gemini 3.1 Pro、ChatGPT-Thinking 5.5、Claude Opus 4.7 对该补丁做了简易测试,三者在拿到完整 commit 时都立刻识别为安全修复。

HN 讨论中,有评论指出这并非全新问题——从 BinDiff 时代起,“补丁即漏洞披露”就已是逆向工程入门常识,AI 只是消除了门槛、把这种能力大众化。一条高赞评论强调当下的网络战背景:美、欧、中东、以色列、俄罗斯均在持续遭受网络攻击,Ubuntu、GitHub、Let’s Encrypt 等主要服务都曾连日宕机,零日攻击从罕见变为常态,AI 让攻击侧产能远超防御侧。

也有评论认为短禁运并不能真正帮助多数组织——能在数小时内打补丁的本就有能力,多数下游仍需数天到数周。多位评论者主张推进自动化的补丁与发布流水线,将报告到可测试补丁的周期压缩到 1 小时级别,并在整个开源供应链(内核→发行版→产品)中标准化。一条评论预测:“不久将不存在安全的开源漏洞披露方式,集中式 SaaS 在安全上将获得显著优势。“还有人引用 Tony Hoare 关于”显然没有 bug”与”没有显然的 bug”的区分,认为在 LLM 时代尤其适用。