Soda · Photos 奇鸟行状录
A quiet archive · Est. 2026 · JUN 06, 2026
HN Daily Reading · 每日阅读

HN 每日深度阅读 · 2026-06-03

本期议题集中在"自动化系统正在悄悄替用户做决定、也替用户承担风险":Instagram 客服 AI 几句话就能交出账号,Gmail 把生成式助手强行塞进收件箱逼走老用户,各国以保护儿童为名推行的年龄验证实为身份验证、为管控互联网铺路。

2026.06.03 20 篇摘录
← 返回每日阅读列表

共 20 篇 · 约 12,642 字 · 约 32 分钟读完

1. Instagram 账户接管漏洞:客服 AI 被几句话骗走密码

安全研究者 0xsid 披露了一个近期在 Instagram 上被大量利用的”低门槛”账户接管手法,并称其为自己见过的”最不严肃”的漏洞之一。攻击者只需知道目标的用户名,通过 VPN 或代理伪装到目标所在城市的 IP,然后向 Meta 的客服 AI 声称账户被盗,并请求把验证码发送到攻击者控制的任意邮箱。系统据称不会校验该邮箱是否曾与账户关联,AI 会照办;攻击者拿到验证码后回填,便获得密码重置链接,整个流程相当于”零认证”的密码重置。

文章指出,2FA 在这一流程中被完全绕过,因为系统把它当作账户所有者发起的高权限恢复操作,原有会话被吊销、密码被改,且不向原邮箱、手机或推送发出任何通知。被劫账户的邮箱和手机号已被替换,原主人无法走正常找回流程,只能继续与同一个 AI 客服反复理论。即便 AI 偶尔索取自拍视频核验身份,用公开照片做 AI 动画生成据称也能蒙混过关。Telegram 黑市上出现了明码标价的接管服务,包括 Obama White House、美国太空军总士官长账户等都被波及,短账号在二级市场可值数十万至数百万美元。Meta 据称目前已进行修补,但该方法可能已存在数周乃至数月。

HN 评论焦点集中在几方面:一是客服环节长期是大公司安全链上最薄弱的一环,人工客服一样会被社工绕过 2FA,把同样的权限交给 LLM 只是把问题放大;二是讨论”AI 代理安全”的正确框架应是审视其可调用的工具,假设攻击者可通过对话获得工具全部能力——本案中 AI 被授予向任意邮箱发送验证码、修改账户绑定信息的写权限本身即设计失误;三是不少用户分享了自己或亲友账户被盗、申诉无门、Quest 头显变砖、广告额度被刷爆的经历,质疑 Meta 既无人工升级通道也缺乏改进动力;四是有评论指出该漏洞似乎尚未完全修补,疑似还存在通过修改区域设置等绕过方式。

2. Mullvad:社交媒体年龄验证是自由互联网终结的开始

VPN 服务商 Mullvad 撰文批评全球范围内推行的”社交媒体年龄验证”政策。文章列举了 2025–2026 年间在澳大利亚、印尼、巴西、丹麦、葡萄牙、马来西亚、法国、德国、西班牙、土耳其、希腊、波兰、加拿大、荷兰等国以及欧盟层面正在推进或已通过的相关立法,认为这一全球趋势打着”保护儿童”的旗号,实质是为政府全面控制互联网铺路。

Mullvad 的核心论点是:大型社交平台的商业模式本就建立在精细识别用户身份和年龄之上,平台早已知道哪些用户是儿童,因此立法者完全可以直接要求平台屏蔽未成年人,而无需让全体网民向平台或第三方提交身份证件。当前主流的”年龄验证”在实现上其实是”身份验证”——除零知识证明等少数方案外,用户访问受规制网站都需向平台或可关联其行为的第三方表明身份。其后果包括:匿名浏览和匿名发言被剥夺,对当局的批评可能被追溯,公民活动空间收窄,并产生显著的寒蝉效应。文章还提到 2025 年秋季 Discord 被攻破、7 万用户的身份证件外泄,凸显此类系统的集中化风险;并引述英国据称每日 30 人因网络言论被捕的数据。Mullvad 呼吁回到点对点、去中心化的互联网。

HN 讨论呈现明显分歧。一派认为”柜台后摆放”机制对酒精、毒品等已属常识,社会对未成年人接触社交媒体设限并不离奇,关键在防止滑坡而非全盘否定;另一派则认同 Mullvad,认为儿童保护只是幌子,真正目标是终结匿名互联网,而万维网早已被广告与监控吞噬。多位家长评论倾向于”家长端控制”路径:苹果家长控制、内容分级、设备级时间管理已较成熟,应强化父母工具而非把验证义务推给所有用户和网站。一条被广泛讨论的建议是设立专门的成人/社交 TLD,让路由器和 ISP 提供一键封禁选项,从而无需收集任何身份信息。也有评论澄清加州 AB 1043 只要求 OS 在账户设置时收集年龄分桶信息,并非身份验证,方向相对克制。

3. 用了 16 年后离开 Gmail:被 AI 写作助手”逼走”的用户

作者 JP 在博客中讲述了自己离开使用 16 年的 Gmail 账户的原因:Google 在网页版 Gmail 中越来越激进地塞入生成式 AI 功能。打开邮件就被自动生成的摘要占据视野,回复框里预先填好了 AI 草稿,“帮我写”按钮通过彩色动画抢夺注意力,输入框下方提示”按 / 调用帮我写”,写到一半又冒出”Tab 改进”——暗示用户写得不够好。

作者表态自己并非反对 AI 写作助手,问题在于这些功能不是可选项,而是反复打断、未经请求就替用户总结邮件、起草回复,传递出”用户没能力读写自己的邮件、收件人不值得用户花时间”的潜台词。部分功能可以关闭,但有些关闭项会牵连禁用诸如自动分类等长期存在的有用功能,他认为这是有意为之,目的是抬高 LLM 功能的使用指标。最终他迁移到 Fastmail,绑定自己的域名,并在考虑是否导入旧数据。

HN 上不少人有共鸣。Chrome 在用户已停用许久的设备上仍弹出 Windows 通知推销 AI 功能;Windows 更新流程塞满推广弹窗;JetBrains YouTrack 在提交 Bug 时建议修改句长和措辞,让一位用户的文字”被改造得像 LLM 写的”。多位评论者指出,AI 写邮件这一用例在母语者群体中尤其令人费解:既然要花精力向 LLM 描述邮件意图,不如直接写。另有评论提及 Gmail 垃圾邮件过滤近年明显退化,连针对 Google 的集体诉讼通知邮件都被误判进垃圾箱;部分用户已迁至 iCloud 自定义域名邮箱或 Fastmail、Proton。还有人把这种主动违背用户意图的软件直接称作”恶意软件”,认为正名很重要,否则用户不会意识到该停用。也有少数用户表示因当初拒绝了 Gemini 集成弹窗,目前并未在 Gmail 中遇到这些提示。

4. Adafruit 收到 Flux.ai 律师函,被迫暂停博客更新

开源硬件公司 Adafruit 发布简短声明,称于 2026 年 5 月 22 日深夜收到 Fenwick & West 律所合伙人、前 FBI 办公室主任 Jonathan F. Lenzner 代表 AI PCB 设计工具厂商 Flux.AI(Defy Gravity, Inc.)发出的律师函。函件要求 Adafruit 不要发布一篇据称包含针对 Flux 知识产权、商业进展和用户规模的”虚假且可能构成诽谤”陈述的文章,并援引《计算机欺诈与滥用法》(CFAA)提出主张。Adafruit 回应称所访问的信息均是 Flux 自身系统因服务器配置错误而公开暴露的内容,相关报道属于公共安全利益事项,是按照负责任披露惯例进行的;尽管”强烈反对”律师函的主张,公司仍决定暂时停止博客更新以评估应对方式。Adafruit 创始人 ladyada 在 HN 上现身,表示已联系 Flux.ai 创始人兼 CEO Matthias Wagner,希望共同解决并为社区树立范例,甚至提议在播客上对谈。

HN 评论几乎一边倒地不利于 Flux.ai。多位试用过该工具的电气工程师表示产品质量糟糕:几十到上百美元的 token 消耗后仍难以在原理图上正确放置几个元件,自动布线和放置都不实用;Reddit 上也有大量关于其计费方式的投诉。社区还讨论到该公司近期获得 Bain 等机构投资,推测 Adafruit 原本可能在准备一篇评测或调查报道,向 Flux 求证时触发了对方的恐慌反应。多条高票评论指出,律师函的实际效果完全相反——本来不知道 Flux 的人因此知道了,并打算避而远之;也有人指出一条更宏观的含义:当研究者发现配置漏洞,除非只与厂商私下沟通并祈祷得到回应,否则就可能挨告,这对负责任披露文化是负面信号。还有评论提及 AI EDA 领域整体良莠不齐,某些营销话术连”电容隔直通交”这样的基础知识都讲错。

5. 为什么选择 Janet:一门小众 Lisp 的实用主义推介

Ian Henry 撰文推介自己近几年用于业余项目的小型 Lisp 方言 Janet,并撰写了免费在线书《Janet for Mortals》。文章从多个角度阐释 Janet 的吸引力。

简洁性:Janet 是带一等函数、单一标识符命名空间和词法块作用域的命令式语言,核心只有 do、def、var、set、if、while、break、fn 八条指令,其余高层控制流由宏构建;标准库一页可容;运行语义类似 JavaScript 但有值类型且去掉了诸多”wat”。可分发性:Janet 程序可静态编译为原生可执行文件,编译路径是先把 Janet 自身编译为字节码,再嵌入到一个启动 Janet 运行时的 .c 文件中由系统 C 编译器编译,“Hello World”二进制不到 1MB,包含完整运行时、GC 和字节码编译器。文本处理:Janet 用解析表达式文法(PEG)取代正则,可处理多行文本、HTML、JSON 乃至二进制格式。子进程 DSL:第三方库 sh 允许用近似 shell 的语法直接写管道和重定向,让 Janet 成为 Bash 在中等规模脚本上的合理替代。可嵌入性:运行时是一个小型 C 库,可嵌入到网站,作者用它做了 bauble.studio 和 toodle.studio 两个可编程艺术工具。Janet 还提供可变与不可变集合两套类型、值语义的不可变向量;宏不”卫生”但支持 unquote 字面函数实现引用透明;编译期可执行任意副作用,并把包括闭包、生成器状态在内的完整程序状态序列化为快照,运行时再恢复。

HN 评论补充了若干侧面。优点方面:启动极快(脚本约 1.4ms)、sandbox 能不可逆地禁用特定系统能力、Playdate 等小设备上也能跑、可替代 sh/python/awk 写中等长度系统脚本。批评和遗憾方面:包管理和版本管理薄弱,库生态稀少(如缺乏高级 HTTP 路由);多位评论者指出文章中”setq is def”一句不准确,应为”setq is set”;有读者认为《Janet for Mortals》对真正的”mortals”并不友好;对方括号在 lambda 和控制流中的使用与 Clojure 一样存在审美阻力。也有人将 Janet 与 Tcl 比较,认为两者在小巧、可嵌入、适合 DSL 上有相似定位。多条评论提到与 Janet 同作者更早的 Fennel(编译为 Lua、可嵌入 Lua 宿主)。还有评论感慨这种围绕新语言的深入讨论”有一种 AI 之前互联网的味道”。

6. 西雅图监控基础设施徒步导览

Coveillance 项目发布了一份西雅图市中心监控基础设施徒步导览,原型源自 2019 年与华盛顿州 ACLU 合作的 Tech Equity Coalition 工作坊,并以 zine 形式在 2020 年的 CtrlZ.AI zine 展和 HOT MESS 数字展中出现。导览覆盖约 1.3 英里路线,针对每种监控技术按地址、外观、功能、技术原理、社会意义、讨论问题与参考资料七个维度展开”野外识别指南”。

涵盖的设施包括:街头监控摄像头(杆、屋顶、ATM 旁等),强调其可远程控制、画面可入网共享给私人或警方;Amazon Go 无人便利店,通过顶置摄像头追踪顾客动线,将线下购买与 Amazon 线上数据合并;自动车牌识别器(ALPR),西雅图交通局有至少 99 台固定式用于估算行驶时间、警局有 19 辆配备车载 ALPR 用于停车与执法,警方数据保留期最长 90 天;还有 Wi-Fi 探测包追踪、智能城市传感器等。文章也提示了文中部分信息未经专业事实核查。

HN 讨论分歧明显。一类观点对监控扩张表达强烈担忧,认为美国正在背离”自由之地”叙事,政府与大企业合作建立监控网络,并以 Flock 摄像头为例担忧未来政权或滥用其追踪记者;另一类观点则强调当下西雅图治安问题严重——评论中有人讲述自己车辆被盗,即便嫌疑人被截停时车内带有身份文件、武器和工作证、社区目击者俱全,检方仍因”陪审团习惯了必须有视频证据”而拒绝起诉,故认为愿意为破案能力让渡部分隐私。技术层面,多条评论指出文中部分内容已过时或不准确:现代设备普遍启用 MAC 地址随机化,Wi-Fi 探测包不再广播过往网络列表(PNL);对摄像头类型、ALPR 与交通摄像头的区分也有不够严谨之处。还有读者批评文章使用”凝视的种类""编码看的方式”等艺术学院式的后现代术语,认为用平实语言会更易于普通读者理解;也有评论觉得整份清单相对于标题反而显得温和。

7. 为什么应该更喜爱 systemd 定时器

作者撰文系统介绍 systemd timer,并主张在 2026 年的 Linux 环境下,它应该取代传统 cron 成为定时任务的默认选择。文章先指出 cron 的几个长期痛点:$PATH 行为不一致导致脚本执行难以预测;stdout/stderr 常被送入本地邮件系统这种”黑洞”;执行历史不易查询;调度语法对人类阅读不友好。

随后给出实操示例:在 /etc/systemd/system/ 下放置同名的 .service 与 .timer 单元,timer 通过 OnCalendar= 设定触发时间,并通过 [Install] WantedBy=timers.target 实现开机自启。作者强调几条常被忽视的细节:ExecStart= 默认不走 shell,因此管道、重定向无法直接使用;环境变量并不继承,$PATH 极其简洁,需用 /usr/bin/env 或绝对路径保障可执行性;可以通过 ExecCondition= 表达条件执行,让 journal 输出更具语义;通过 OnFailure= 与 Restart= 处理失败与重试。文章还推荐 systemd-analyze 校验时间表达式和 systemctl list-timers 总览所有定时任务。系统启动后 timer 也能容忍主机当时未开机、随后立即补执行,便于备份等场景。

HN 评论整体偏向认同。对作者关于 cron 的批评,一些老用户提出反驳:crontab 顶部注释通常已经写明字段含义,PATH 可在 crontab 里直接设置,并不比各类 shell rc 文件更难预测。但更多评论分享了迁移到 timer 的好处:与 journalctl 集成便于排查日志、可像普通服务一样手动启动用于调试、便于通过现有 systemd 监控发出失败告警、与 Podman Quadlet 等组合管理容器化任务很自然。NixOS 用户称在该发行版中 timer 是一等公民,相较 macOS 的 launchd 体验更佳。有用户分享用 timer 每周打印一张狗的照片以防 Canon 喷头干涸的趣事,也有人用它做 borg 备份、btrfs scrub、restic 备份循环。对 timer 的常见抱怨是必须拆成两份文件、start 与 enable 语义有别、相比单行 crontab 显得繁琐。

8. 微软发布小型代码模型 MAI-Code-1-Flash

微软 AI 团队发布了面向代码任务的小型模型 MAI-Code-1-Flash,这是其新一批 MAI 系列模型之一,同期还推出了 MAI-Thinking-1、MAI-Image-2.5、MAI-Transcribe-1.5 等。根据模型卡披露,MAI-Code-1-Flash 是一个 137B 总参数、约 5B 激活参数的 MoE 架构模型,主要对标 Anthropic 的 Claude Haiku 一类的小型快速模型,定位于低成本、高频次的编码场景。微软在博客中将其包装为面向真实工程任务的高效模型,并展示了 SWE-bench 等基准上的成绩。

HN 评论的反应整体偏冷。多名评论者指出基准成绩并不亮眼:MAI-Code-1-Flash 在 SWE-bench Pro 上约 51%,与体积更小的 Qwen3.6-35B-A3B(约 49.5%)几乎持平,而对标的 Haiku 本身就被认为不是强模型,因此”打赢 Haiku”说服力有限。也有人怀疑该模型可能在 SWE-bench 评测集上进行过训练。

更广泛的讨论集中在小模型的实际定位上:一部分开发者认为重度编码任务仍然倾向使用 Opus、GPT-5.5、DeepSeek 等更强模型,小模型在复杂任务中往往”浪费昂贵的人力时间”;另一部分人则认为小模型在日常轻量任务、子任务委派、计划-执行分工等场景下仍有空间,微软选择将其作为”复杂编码”卖点反而不合时宜。

另一个引发吐槽的话题是 microsoft.ai 站点的设计语言,被认为明显在模仿 Anthropic 的视觉风格,缺少微软自身的设计识别度,并存在自实现窗口滚动等体验问题。此外,正值 GitHub Copilot 将计费模式从按请求改为按 token 配额、引发用户大量不满之际,部分评论者将 MAI 品牌解读为微软在 Copilot 品牌受损后试图重新整合 AI 产品线的举措。

9. 微软发布 Windows 版 Coreutils:基于 Rust uutils 的官方打包

微软在 GitHub 上发布了官方维护的 Windows 版 Coreutils,基于 Rust 生态的 uutils/coreutils、findutils 和 grep,打包成单个 multi-call 二进制文件,通过 winget 安装。目标是让 Linux、macOS、WSL、容器与 Windows 之间的命令、参数和管道行为保持一致,使现有脚本无需翻译即可迁移。项目目前处于预览阶段,要求 PowerShell 7.4 及以上版本。

由于不少命令名与 CMD/PowerShell 内置命令冲突,README 列出了详细的冲突表:cat、cp、ls、rm、mv、pwd 等在 CMD 下可正常使用,但在 PowerShell 下会与内置别名冲突;dir、more、paste、whoami、kill、timeout 等则因冲突或缺少 POSIX 概念(如信号)未予提供。文档还说明了 Windows 特有的注意事项,包括 CRLF 行尾、用 NUL 替代 /dev/null、路径分隔符兼容、ACL 替代 POSIX 权限位,以及创建符号链接需开发者模式等。chmod、chown、id、who、stty 等纯 POSIX 概念命令被有意舍弃。

HN 讨论反应相当热烈但也颇为复杂。许多人欢迎微软官方下场维护这套工具,认为这比 Cygwin、MSYS2、Git Bash、GnuWin32、busybox-w32 更具长期可靠性;但也有人对冲突解决方案不满,认为依赖 PATH 顺序和别名表”自己猜”并不令人安心。命令取舍逻辑被质疑:dir 因冲突不发布、但 echo 和 rmdir 又照发,sort 居然不算冲突;findutils 的 find 与 Windows 自带 find.exe 显然冲突却未被标注,而后者本质上是 findstr 风格的文本查找工具,与 GNU find 功能完全不同。

另一类讨论扩展到 Windows 作为开发平台的方向:有人希望微软干脆原生支持 zsh、放弃 CRLF 和反斜杠路径;也有人猜测此举的真正动力是让 AI 编码 agent 在 Windows 上更顺畅地执行 shell 命令。还有评论希望补齐 head、tail、tr、uniq、cut 等日志分析常用工具。

10. Anthropic 扩大 Project Glasswing:用 Claude Mythos 扫描关键基础设施代码

Anthropic 宣布扩大 Project Glasswing 计划,将原本约 50 家合作伙伴的内测群体扩展到约 150 家新机构,覆盖 15 个以上国家,新增电力、水务、医疗、通信、硬件等关键基础设施行业,以及大量开源软件维护方。合作伙伴使用尚未公开发布的 Claude Mythos Preview 模型扫描自身代码库,迄今已发现超过 1 万个高危或严重漏洞。Anthropic 表示,这些目标的共同点是一旦遭攻击都可能影响 1 亿人以上。

文章传递的核心叙事是:在未来 6–12 个月内,将出现多个具备 Mythos 级别网络能力的模型,部分厂商可能在缺乏滥用防护的情况下发布,因此防御方必须先行武装起来。Anthropic 将自身角色定位为两方面:一是通过 Claude Security 产品和内部工具向可信安全团队赋能;二是把支持重心从”发现漏洞”逐步转向”披露、修补和部署”,包括用模型生成补丁、做发布前检查、渗透测试、自动威胁响应,以及将遗留代码库重写为内存安全语言。公司称 Mythos 的公开发布需要更强的安全护栏,目前所有厂商都尚未具备。

HN 评论以怀疑为主。一位实际使用过该工具的转述者指出,扫描结果”噪声远多于价值”,产生了大量误报和与生产环境无关的告警,反而让高管将每个告警都当作”全员停工修复”的紧急事件处理,造成组织混乱;评论者认为周边的安全扫描框架本身比模型更有价值,并不需要超大模型。不少人将整件事解读为营销策略:Anthropic 借安全名义维持私有发布,一方面掩饰算力供给不足,另一方面塑造”Mythos 极度危险”的稀缺叙事以拉抬企业付费意愿;也有人怀疑 GPT-5.5-Cyber 已达到甚至超过 Mythos 水平。还有评论从地缘和隐私角度质疑:让一家曾承接美国国防合同的公司接触其他国家关键基础设施源码,等于将 IP 暴露在潜在的情报审视之下。另有读者从更宏观角度担忧:即便代码漏洞被全面修补,下一代模型在社会工程上的能力仍足以攻破任何系统。

11. Seth Godin:停止把它毁掉

Seth Godin 的这篇短文借用音响制造商 Paul McGowan 的一句话——“音乐性不是给放大器添加的功能,而是当你不再破坏它时所剩下的东西”——展开了一系列同构的命题:顾客的喜悦不是项目里加上的,而是你不去毁掉它时留下的;好奇心不是完整教育的产物,而是教育系统没有摧毁它时本来就在的;工作满足感不是老板创造的,而是老板没有毁掉的;品牌信任不是广告投放出来的,而是市场部没有把它败光的。文章极短,但围绕”默认值是正向的,破坏才是行为”这一反向视角。

HN 上的讨论扩展性很强。有评论者用 Windows 11 文件资源管理器作为典型例子,吐槽多余的标签页、被截断的路径显示、被搞坏的地址栏,认为”改进”在持续摧毁原本好用的东西。另一位长期参与企业咨询的评论者把这一思路套到组织行为上,提出”赋能”其实是个伪命题——员工本来就有动力做事,真正的问题是高层造成的”去赋能”,因此应聚焦于如何阻止去赋能,而非如何赋能,这一视角往往让管理层不适。

代码与系统设计层面也被引用:很多人认为提升性能与可靠性的常见错误做法是堆叠缓存、重试、多线程、GPU,而真正有效的方式是”少做事”——如果某个 API 不稳定就直接修好它,而不是再加一层缓存和重试。还有评论者提到一句育儿格言”不要试图让一个本来就开心的婴儿更开心”,认为这同样适用于不停优化已经够好的工具的工程文化,背后是 Buffett、Taleb 所说的”行动偏好”——人需要靠”做点什么”来证明自己挣得了薪水。一位市场从业者补充说,当前 LLM 正在加速”一次性兑现信任”的现象:多年靠真实见解积累影响力的人,一旦改用 AI 生成内容,短期数据尚可,长期信任则迅速塌方。

12. 《Squillions》:洗钱如何赢得了这场战争

John Lanchester 在 London Review of Books 上评述 Oliver Bullough 的《Everybody Loves Our Dollars》和 Cottrell/Files 的《How to Launder Money》两本书,核心问题是:在现金使用比例急剧下降的同时,为什么各大主要货币的流通钞票总值反而不断暴涨?英国 2009 年还有 58% 交易使用现金,如今只剩 9%;但人均流通现金达 1300 英镑,实际持有仅约七分之一。美国流通中的美元现金从 2005 年 7590 亿增至如今约 2.4 万亿,其中 80% 是 100 美元面额;欧元区一半以上价值集中在大额钞票;瑞士 90% 的现金价值存在于面值约合 943 英镑的 1000 瑞郎钞票中。

文章给出的答案——也是被各机构有意回避的答案——是:这些消失的现金主要服务于跨境犯罪和洗钱。Financial Action Task Force 估计每年用于洗钱的实物现金运输规模在数千亿美元级别,IMF 前总裁 Camdessus 给出的洗钱规模为全球 GDP 的 2%–5%(即 2–5 万亿美元,相当于俄罗斯到德国之间的经济体量)。中央银行因享有铸币税而对此缺乏好奇心。FATF、KYC、SAR、CTR、PEP 等监管体系庞大,却被作者比作”在路灯下找钥匙的醉汉”:它们只能看到官方金融系统内部的转账,而真正的洗钱大多发生在路灯照不到的地方——大额现金、黄金,以及作者明确点名的加密货币。

HN 讨论分歧明显。一派支持现金,认为现金即主权、避免支付中间商抽成、并不等于逃税;另一派则更进一步质疑反洗钱法本身——认为转账行为不应是犯罪,源头的非法活动才是问题,AML 体系实际上把执法困难转嫁为对普通人的大规模监控,与要求破解端到端加密的逻辑同源。也有评论者指出文章逻辑跳跃:100 美元钞票占比高未必意味着用于犯罪,更可能是拉美等地区长期囤积美元的避险行为,类似黄金。多人惊讶文章几乎未涉及加密货币这一当代主要洗钱通道。还有读者分享瑞士使用 1000 瑞郎钞付房租、买家具习以为常,与英国通过取消大额钞票来增强监控的做法形成对照;意大利评论者则提到当地 1000 欧元以上现金提取会触发警方介入,但小商户普遍以”不开发票打折”绕开 23% 增值税。

13. 三种赚钱方式

Jason Zweig 在这篇 2018 年的短文中转述了父亲传给他的三句话格言:“谋生有三种方式:1) 对想被骗的人说谎,你会发财;2) 对想要真相的人讲真话,你能糊口;3) 对想被骗的人讲真话,你会破产。其余皆为注脚。“末句”其余皆为注脚”被指出是对希勒尔长老解经名言的呼应。

HN 上对这条极简金句的讨论相当热烈,几乎成了一场关于职业生涯与诚实成本的集体反思。一位前开发者回忆与商业合伙人合作时,常坐在会议室里听对方向客户承诺自己根本不确定能否实现的功能,但收入远高于单干时期。有评论者补充了一个 2×2 矩阵:对他人说谎且对自己说谎可能极富也可能极穷;对他人说谎但对自己诚实是操纵者,物质富裕但道德破产;对他人和自己都诚实意味着正直但勉强糊口;对他人诚实却自欺则容易被系统利用。还有人指出原文遗漏了”对想要真相的人说谎”这一象限——大概也不会有好下场。

另一类引申是关于”被告知想听的话”的普遍人性:多数人想要确认自己的既有信念,无论它真假,这也是回音室和算法分发盛行的基础。一位市场研究行业的从业者分享,他当初入行是听信”商界唯一被付钱讲真话的地方”,多年后才意识到客户其实也想被告诉好听的,不愿配合者难以成功。一位 BigCo 老员工则讲了反向的故事:他在面试讨论中坦言”大家来上班说到底是为钱”,结果第二天被高层约谈,对方提醒他不要再说这种话——尽管这是显而易见的事实。另一位评论者讲述了亲眼看着新任 CTO 向全公司编造功能能力的经历,把它称为”金钱-政治”的残酷教育。也有人从母亲那里得到类似的智慧:“为你知道的事情拿钱,比为你做的事情拿钱更好”,并认为甜蜜点在于”用所知去做事”。

14. KDE Plasma 准备发布最后一个支持 X11 的版本

KDE 开发者 David Edmundson 宣布,Plasma 即将到来的 6.7 将是最后一个包含 X11 会话的版本,五个月后发布的 6.8 将彻底移除 Plasma X11 会话,登录界面只剩 Wayland 选项,Plasma Shell、系统设置和设备配置中的 X11 特定代码路径也会被清理。XWayland 仍然保留,X11 应用程序可以继续运行;KDE 应用程序在其他桌面环境下使用 X11 也不受影响;SDDM 仍可登录其他桌面环境的 X11 会话。

KDE 内部数据表明 Plasma 6.6 用户中 Wayland 使用率已超 95%,几乎没有人在 X11 上开发或测试 Plasma;如果把仍停留在 Plasma 5.27 的用户算进去,总体 Wayland 比例约为 76%。作者认为单一代码路径将释放性能优化、内存优化和新特性空间。

HN 讨论非常分裂。最具分量的反对声音来自无障碍领域:一篇被多次引用的文章指出 Linux 在从 X11 迁移到 Wayland 的过程中,辅助技术出现明显倒退,典型代表是语音输入系统 Talon——在 Windows、macOS、X11 上都能工作,唯独 Wayland 不行;由于相关协议推进缓慢,依赖此类工具的残障用户可能不得不长期停留在 X11 或 i3 等环境中。

另一类批评聚焦于功能缺口。社区维护的”Plasma/Wayland 已知重大问题”列表仍包括:无法保存和恢复原生 Wayland 窗口位置、全屏宽高比矫正缺失、无 ICC 文件时无法调整 gamma 或颜色、无 headless RDP、非 Qt 应用无全局菜单等。具体使用场景中,有用户抱怨 Chrome 的画中画窗口因 Wayland 不允许窗口置顶而无法保持在前;依赖 OBS、x11vnc、xdotool、wmctrl 以及全局热键的工作流在 Wayland 下仍需大量变通。

工程策略层面也遭质疑。有评论者认为”禁用功能”和”删除代码”同时进行不是稳妥做法,更合理的方式是先在 UI 中隐藏选项、但保留通过环境变量启用的后门,确认无重大回归再清理代码。也有评论者肯定 KDE 在推动 Wayland 协议方面贡献突出,并指出 KDE 的 Wayland 体验已经比 X11 更顺滑,但希望博客能给出更具体的”未来新特性”示例,而不仅是抽象承诺。

15. Show HN: Eyeball — 用鼠标比拼”目测精度”的小游戏

Eyeball 是一款极简的网页小游戏,玩家需要用鼠标或触控板在一条线段上点击,尽可能精确地分割出指定比例(如 37%、62% 等),结果以百分比误差反馈。作者明确提示该游戏面向精确点击设计,手指触屏的精度难以参与竞争。

游戏界面只有一条线、两端标记和目标比例数字,没有计分系统外的复杂元素,玩家间通过”分享得分”页面互相比较成绩。许多 HN 用户晒出 0.2% 甚至 0.06% 的误差成绩,并互相挑战。

HN 评论区将其与 Matthias Wandel 多年前在 woodgears.ca 上的经典 eyeball 训练页面对比,后者覆盖角平分、寻找质心、规则化形状等多种几何属性的目测,而此项目目前仅做线段分割,相对单一。有评论者建议加入”训练模式”:自动重复出错题目,或循环 5 道直到全部命中目标误差范围内,以加快学习速度。

也有讨论指出 UI 上的细节问题:数字颜色比端点标记更亮,且数字朝内排布,使得视觉焦点被数字之间的间距吸引,反而干扰了对端点真实位置的判断;接近 50%、10%、5% 这类整数位置感觉容易,而靠近 90%、95% 时人眼准确度其实相当,差异主要出在”先估出大致百分比”这一步。

另有评论吐槽分享链接只指向首页而非具体挑战,错失了让朋友挑战相同题目的玩法;还有人感叹这种”也许 AI 一小时就能 vibe code 出来”的简单作品能登上前排,反映出 HN 对简洁、可即时上手、带社交比拼属性产品的天然偏爱。一些评论者注意到该帖出现了不少新注册账号留言,推测”分享分数”页面对账号创建有可观引流效应。

16. Muxcard:真正信用卡尺寸(含厚度)的 DIY 电脑

Muxcard 是开发者 krauseler 公开的开源硬件项目:一台基于 ESP32-C3、配备电子墨水屏和 NFC 的”计算机”,关键卖点是其长宽和厚度都达到了真实信用卡的规格,而非常见的”约等于信用卡大小”。作者表示此前类似的智能卡形态原型大多在厚度上明显超标,他经过数月迭代,为了削减每一密耳厚度反复打磨,最终造出第一台可工作的原型机。

作者列举了潜在用途:装载二维码、NFC 钥匙、登机牌、票券的极简钱包;类似 Flipper Zero 的渗透测试与安全研究工具;智能家居控制面板;离线密码管理、2FA 或加密货币钱包;以及”过目难忘”的电子名片。项目目前在 GitHub 公开,作者同时建了官网与社交账号收集发布通知,计划近期推向更广用户。

HN 评论中,普遍的第一反应是”以为又是一个名不副实的’信用卡尺寸’,结果作者真做到了”,反响相当正面。一位评论者指出隐藏的亮点是作者在家中自制了柔性 PCB,这在 DIY 项目中并不常见。也有现实层面的担忧:装进钱包后放在裤袋里挤压,锂电池被持续受力的风险不容忽视,轻则鼓包重则起火,希望作者考虑结构保护或选用更安全的电池方案。Prologium 等公司在柔性陶瓷基底上沉积薄膜固态电池的进展被提及,作为未来此类超薄设备更安全的供电方向。

衍生讨论包括:M5Stack 刚在 Kickstarter 上线的 Cardputer Zero 已达标,DEF CON 徽章圈早有类似形态作品,以及”信用卡大小的可启动 Linux 名片光盘”在 2000 年代初的流行历史。也有评论调侃道:芯片信用卡本身就已经是一台完整的小电脑了;以及不可避免的”它能运行 DOOM 吗”问题——作者本人现身回复,称这个梗已经被开成 GitHub issue。

17. 特朗普签署缩水版 AI 行政令,AI 行业再获让步

Politico 报道,特朗普在反复推迟与改稿数周后,悄然签署了一份针对人工智能的行政令,主旨是应对 AI 带来的潜在网络安全威胁,但相比原先版本大幅缩水。最终文本要求部分 AI 公司在新模型公开发布前 30 天,自愿提交给政府评审,让联邦机构有时间评估其可能对金融、国家安全和敏感计算机系统造成的威胁;而早前草案要求的是最长 90 天的提前自愿评审,被部分 AI 业内人士认为过于繁重。

5 月 21 日原本安排了签字仪式,邀请了一批科技高管出席,但特朗普在仪式前数小时突然搁置原版,理由是担心其”妨碍美国与中国争夺 AI 主导地位”。前 AI 事务负责人 David Sacks 在签字前向其进言。新版本中”美国优先的网络安全”和”全球 AI 主导地位”成为官方措辞,行政令未走特朗普一贯的高调宣传路线,而是低调签署。

HN 讨论对该行政令实际内容评价偏负面。有人逐条解读后认为,多数章节流于空话:要求加强网络安全、提议建立可供开发者自愿对标的模型网络安全基准、要求优先起诉网络犯罪等,缺乏实质性约束。多位评论者质疑”30 天评审”的可操作性:评估方法不公开、目标不明确,若真有可量化的评估方法,为何不直接将基准公开。

更引发警惕的,是评论者勾勒出的”门正在缓缓关上”叙事链:先要求企业自愿提交评审,再以”开源模型/中国模型不走审批”为由制造对比,最后以”安全和金融风险”名义推动强制限制——被部分人视为 OpenAI 等头部公司一直在游说推进的监管捕获路径。也有评论提到该行政令并非法律,企业是否真会自愿配合存疑,并联想到 Anthropic 估值反超 OpenAI、临近 IPO 的时间点。整体氛围倾向于:相比原 90 天版本,30 天已属”幸而被砍”,但条款的模糊性给后续扩权留下了空间。

18. 微软发布 MAI-Thinking-1:自研推理模型亮相

微软 AI 部门发布了首款带有推理能力的自研模型 MAI-Thinking-1,定位企业级应用。官方资料显示,该模型采用稀疏 Mixture-of-Experts 架构,约 1T 总参数、35B 激活参数,支持 256k token 的长上下文窗口。微软同时还推出了 MAI-Code-1-Flash、MAI-Image-2.5、MAI-Transcribe-1.5 等多个垂直模型,组成自家模型家族,标志着其逐步降低对 OpenAI 模型依赖、走向独立的策略落地。

官方博客强调两大亮点:一是推理能力,二是训练数据的”干净”。微软声明 MAI-Thinking-1 使用经过筛选并妥善获得授权的数据训练,预训练阶段排除了 AI 生成的内容,理由是这关系到模型质量、来源可追溯性和可控性——只有了解训练数据的构成,才能真正理解模型行为并加以改进。

HN 讨论中,“干净数据”声明被视为对竞争对手用合成数据训练做法的隐晦喊话,评论者好奇这种坚持能在 scaling law 上走多远。基准成绩则被普遍认为不够亮眼:在公布的对比表中,MAI-Thinking-1 的水平大致相当于 DeepSeek V3.2,但参数规模高出约 50%;输给了体量更小的 GLM-5.1,以及尺寸接近的 Kimi K2.6。256k 的上下文窗口在当下也算不上前沿,多家竞品已迈向 1M。

评论者还注意到官方对比对象主要是 Claude Opus 4.6 和 GPT-5.4,回避了与开源中国模型的正面比拼;“在更大模型面前推理开销更小”这种近乎同义反复的措辞,被解读为暗示主要对标对象其实是参数量更大的模型。也有讽刺评论调侃微软官网”劫持滚动条”的体验设计;另有人指出此次至少不会有”刷榜”(benchmaxing)的指责,因为成绩本身并不出众。整体而言,社区将此次发布视为微软”OAI 分流”叙事的关键一步,但模型本身在前沿竞争中尚未展现明显优势。

19. Lumafield 用 CT 扫描透视 BYD:垂直整合下的电动车细节

工业 CT 扫描公司 Lumafield 的”每月一扫”栏目这次选取了在美国买不到的 BYD 电动车若干零部件,通过 CT 三维成像展示其内部结构。文章配合一系列扫描图和图解,讲述 BYD 零部件的工艺特点与设计选择,包括车钥匙的机械备份结构、棱柱形电芯等。文章一个被反复强调的论点是:上一次有汽车公司像 BYD 这样从原材料到整车做到如此程度的垂直整合,还要追溯到早期的福特;如今 BYD 的体系一路打通到锂矿和港口。引用的数据是 BYD 与特斯拉自产零部件比例都在 75% 左右,而福特仅约 25%;产销规模上 BYD 约 460 万辆、福特约 440 万辆、特斯拉约 160 万辆。

HN 讨论中,一位 BYD 车主指出文章对钥匙机构的描述有误:机械备份钥匙并非铰链折叠结构,而是通过顶部一个小卡扣解锁后整体抽出,CT 中看似铰链的圆形构造可能只是塑料/金属焊接工艺的副产物。也有评论者失望地指出,本次扫描的棱柱形电芯虽然采用了与 Blade 电池相同的化学体系,但并非真正的 Blade 电芯,没能展示 BYD 最具标志性的电池技术。

技术层面,多位评论者把焦点引向 BYD 的 E-axle(电驱桥):将电机、差速器、半轴和轮毂集成在一个单元里,加上电控盒和电池,就构成完整动力总成。这极大简化了车辆结构,也让 BYD 不再需要传统意义上的”发动机厂”——这正是底特律老牌车企难以模仿之处,因为它们在发动机工厂上有巨额沉没投资,且坚持把电动车做成”改装版燃油车”。相比之下,特斯拉走的是高性能多电机路线,并不追求成本极致,BYD 主流走量车型则用磷酸铁锂加 E-axle 做出”足够好”的家用车。

也有质疑声音认为,这篇内容更像是 Lumafield 为 CT 扫描业务做的隐性广告,对普通读者教育价值有限——真正会做这种竞品拆解分析的,是各大车企自己的工程团队。许多人推荐 Munro Live 的拆解视频作为更系统的对照素材。还有评论意味深长地总结:BYD 车足够好,以至于美国不得不通过关税与政策事实上将其拒之门外。

20. FidoNet:1993 年技术综述与一代 BBS 玩家的集体记忆

这篇 1993 年由 Randy Bush 撰写的论文系统介绍了 FidoNet:一个基于普通拨号电话网络、用 modem 进行点对点和存储转发邮件传输的全球性 WAN。它诞生于 1984 年,鼎盛时期拥有超过两万个公开节点,最初基于 MS-DOS,后被移植到 UNIX、Apple //、Mac、CP/M、MVS、Tandy CoCo 等众多平台。

由于网络运营几乎完全由个人自费承担,“最小化电话占线时间”是协议设计的核心驱动力。最初的传输基于 xmodem(128 字节包、无窗口 ACK/NAK),保留为最低标准;实际广泛使用的是基于 zmodem 的流式、仅出错时 NAK 的高效协议,与 uucp 的 G 协议或 SMTP/NNTP 形成有趣对比。地址格式为 zone:net/node[.point],对应大陆、城市、节点、可选的”点用户”,全球节点列表每周通过 nodediff 自顶向下分发。城市内节点直连,跨城市经”inbound host”汇集,跨大洲走 zonegate;1991 年起还开创性地通过 RIPE、EUnet 提供的 IP 隧道在欧美之间转发,为运营者节省了大量国际话费。FidoNet 与 uucp/Internet 之间通过 fidonet.org 域名实现网关互通,地址形如 [email protected]

HN 评论充满了浓厚的怀旧氛围。多位老用户报出自己当年的节点号,从美国、土耳其的 HitNet(Fido 克隆,“8:103/119”形式地址),到津巴布韦”5:7211/1.27”——后者回忆 1990 年代初在津巴布韦糟糕的电话线路上以 2400bps 用 zmodem 和海外亲人通信,认为 FidoNet 比之后到来的互联网更具革命性,并由此自学协议、踏上 Linux 之路(朋友从南非寄来 21 张装着 SLS Linux 和内核 0.99 的软盘)。

不少评论者提到 FidoNet 的入网门槛:必须自己配置好软件、证明已准备就绪才能获得节点号,没有手把手指导,这种”硬门槛”反而培养出高质量、紧密团结的社区。有人感慨当年 ISDN 上拉取压缩 mail 包的速度,主观体验竟比今天 1Gbit 连接上的 IMAP 还要快。也有人推荐 2005 年纪录片《BBS: The Documentary》以及仍在活跃的 fsxNet 等”alt 网”,提醒后来者:在互联网普及之前,论坛、邮件、盗版传播、大规模多人游戏等许多被视为”互联网原生”的形态,其实早已在 BBS 与 FidoNet 上成熟运转。