2025-07-15

38 篇热帖

1. LLM Inevitabilism (tomrenner.com)

Have you ever argued with someone who is seriously good at debating? I have. It sucks. You’re constantly thrown off-balance, responding to a point you didn’t expect to. You find yourself defending the weak edges of your argument, while the main thrust gets left behind in the back-and-forth, and you end up losing momentum, confidence, and ultimately, the argument. One of my close friends won international debate competitions for fun while we were at university (he’s now a successful criminal barrister), and he told me that the only trick in the book, once you boil it all down, is to make sure the conversation is framed in your terms. Once that happens, it’s all over bar the shouting.

2. Oakland cops gave ICE license plate data; SFPD also illegally shared with feds (sfstandard.com)

SF and Oakland police appear to have repeatedly broken state law by sharing data from license plate cameras with federal agencies.

3. Data brokers are selling flight information to CBP and ICE (www.eff.org)

For many years, data brokers have existed in the shadows, exploiting gaps in privacy laws to harvest our information—all for their own profit. They sell our precise movements without our knowledge or meaningful consent to a variety of private and state actors, including law enforcement agencies....

5. Show HN: Shoggoth Mini – A soft tentacle robot powered by GPT-4o and RL (www.matthieulc.com)

Matthieu Le Cauchois's website

6. Cognition (Devin AI) to Acquire Windsurf (cognition.ai)

Cognition has signed a definitive agreement to acquire Windsurf, the agentic IDE.

7. Dog Walk: Blender Studio's official game project (blenderstudio.itch.io)

Play as a big adorable dog and explore a hand-crafted winter forest with a little kid in tow.

8. Blender 4.5 LTS (www.blender.org)

With 2 years of updates, full Vulkan support, and quality-of-life improvements, Blender 4.5 LTS is every Blenderhead’s best friend.

9. NIST ion clock sets new record for most accurate clock (www.nist.gov)

This new result contributes to the international effort to define the second with a much greater level of accuracy than before, enabling new scientific and technological advances.

10. Japanese grandparents create life-size Totoro with bus stop for grandkids (2020) (mymodernmet.com)

Two grandparents in Japan created a replcica of Studio Ghibli's Totoro at a bus stop for their grandchildren. Now it draws in tourists who want a photo.

11. The new literalism plaguing today’s movies (www.newyorker.com)

Buzzy films from “Anora” to “The Substance” are undone by a relentless signposting of meaning and intent. Namwali Serpell writes.

12. Cloudflare starts blocking pirate sites for UK users (torrentfreak.com)

Cloudflare has become the first intermediary to join the UK's pirate site blocking program. It's a shift that may surprise VPN users too.

13. Apple's MLX adding CUDA support (github.com)

MLX: An array framework for Apple silicon. Contribute to ml-explore/mlx development by creating an account on GitHub.

14. LIGO detects most massive black hole merger to date (www.caltech.edu)

Gravitational waves from massive black holes challenge current astrophysical models

15. Context Rot: How increasing input tokens impacts LLM performance (research.trychroma.com)

Large Language Models (LLMs) are typically presumed to process context uniformly—that is, the model should handle the 10,000th token just as reliably as the 100th. However, in practice, this assumption does not hold. We observe that model performance varies significantly as input length changes, even on simple tasks.

In this report, we evaluate 18 LLMs, including the state-of-the-art GPT-4.1, Claude 4, Gemini 2.5, and Qwen3 models. Our results reveal that models do not use their context uniformly; instead, their performance grows increasingly unreliable as input length grows.

18. Show HN: We made our own inference engine for Apple Silicon (github.com)

A high-performance inference engine for AI models. Contribute to trymirai/uzu development by creating an account on GitHub.

20. Trying Guix: A Nixer's impressions (tazj.in)

尝试 Guix:一位 Nix 用户的印象

本文是一位资深 Nix 用户(曾使用多年、编写过解释器)首次尝试 Guix System 的周末体验记录。目标是将其使用特殊 x86_64 CPU 的笔记本设置为标准桌面环境,但最终未能完全成功。以下是观察到的关键差异和要点。

核心架构差异

作者发现,尽管 Guix 底层复用了 Nix 守护进程的核心概念(存储、派生、替代品等),但上层架构截然不同,不能简单地将 Guix 视为“带 Lisp 语法的 Nix”。

  • Nix 模型:nix-daemon、Nix CLI 和 Nix 代码相对独立。CLI 本身不了解 nixpkgs,通过代码 import 不同版本的 nixpkgs 提交来获取包集合。用户可以在语言层面自由混合多个 nixpkgs 版本
  • Guix 模型:guix-daemon 与 guix CLI+配置文件 紧密耦合。Guix CLI 运行在一个预构建好的、固定了所有频道包和模块的 Scheme 环境中。要更改 Guix 版本(即更新其单体仓库),必须通过 guix pull 命令重建整个 Guix CLI
  • 关键影响
    1. 版本切换繁琐:无法像 Nix 那样轻松在代码中导入另一个 Guix 提交。必须先重建 Guix,再重建用户配置,这是一个两步过程。
    2. 初始化缓慢guix pull 在慢速硬件上非常耗时(测试中长达30-50分钟),导致初始体验不佳。误操作可能触发缓存失效(如因使用 nonguix 导致内核重新编译),进一步拖慢过程。

Nonguix 与政治背景

Guix 作为 GNU 项目,严格遵循自由软件原则,不提供大多数现代硬件所需的专有固件。因此,绝大多数用户依赖第三方仓库 nonguix 来添加这些必要组件(如无线网卡驱动)。作者为获得网络连接也必须使用 nonguix,这增加了配置复杂性。

文档与入门

  • 优势:Guix 的社区文化更专注,其文档质量远超 Nix。文档结构清晰,以 info 格式提供,且 Scheme 代码如同其他 Scheme 代码一样得到充分文档化。
  • 挑战
    1. 良好的文档要求使用者预先掌握 Scheme,这比 Nix 语言更复杂。
    2. 由于 nonguix 的存在,入门指南分散,没有集成了非自由固件的最新 ISO 镜像,增加了新手入门的难度。

性能表现

在测试的低性能笔记本(CPU 性能类似旧 Intel Atom)上,Guix 感觉比 Nix 慢一个数量级

  • 一次 guix pull 操作耗时极长。
  • 即使构建完成,后续的配置评估、检查替代品等步骤也较慢。
  • 作者推测这可能与 Guix 的评估模型或 Guile 解释器的性能优化不足有关,但具体原因未知。

其他观察

  • 配置管理工具缺失:作者感觉缺少类似 nixos-generate-config 的便捷工具来生成硬件配置,需要自行猜测并配置缺失项。
  • 配置文件与包管理倾向:Guix 倾向于将包直接安装到用户或系统配置文件中(如直接安装 Emacs 包),而非像 Nix 那样通过 emacs.withPackages 构建包含特定包的独立环境。作者不确定 Guix 是否有等效方案,认为这可能让实验性尝试更困难。
  • 初始化系统:Guix 使用基于 Scheme 的 Shepherd 而非 systemd,作者对此表示欢迎,认为 Shepherd 文档优秀且设计直观。

总结

尽管因硬件支持、缓慢的 guix pull 和迭代流程受阻而未能完全实现桌面目标,作者对 Guix 仍持开放态度。吸引点在于 Lisp/Scheme 语法感觉更内聚的生态系统。作者计划后续继续尝试,首要目标是复现其 NixOS 桌面配置,并找到更高效的迭代方式。

21. DOGE Denizen Marko Elez Leaked API Key for xAI (krebsonsecurity.com)

事件概述
2025年7月13日,美国政府效率部门(DOGE)雇员马克洛·埃莱兹(Marko Elez)在GitHub提交代码时,意外泄露了马斯克旗下人工智能公司xAI的私有API密钥。该密钥可访问xAI超过50个大语言模型(LLMs),其中包括名为“grok-4-0709”的最新模型。

泄露影响与发现

  • 安全公司GitGuardian检测到泄露并发出警报。
  • 安全顾问菲利普·卡图雷利指出,该密钥目前仍有效且未被吊销,存在未授权访问风险。
  • 泄露事件发生在xAI与美国国防部签订高达2亿美元合同(使用Grok系统)后不久,而Grok此前曾因生成反犹太主义内容引发争议。

埃莱兹背景与争议

  • 埃莱兹现年25岁,曾供职于马斯克多家公司,加入DOGE后相继获得美国社会保障局、财政部、司法部、国土安全部等敏感数据库的访问权限。
  • 2025年,他曾因被《华尔街日报》曝出涉及种族主义与优生学的社交媒体言论而辞职,后经副总统J.D.万斯和特朗普支持被马斯克重新聘用。
  • 此前在财政部工作期间,他曾因违反规定通过未加密电子邮件发送个人信息遭调查。

安全文化质疑

  • 这是DOGE员工第二次泄露xAI API密钥(2025年5月曾有一名DOGE员工泄露SpaceX、特斯拉等内部LLMs的密钥)。
  • 安全专家批评,此类反复暴露反映出更深层次的安全疏忽和“ broken security culture”,质疑DOGE人员处理敏感政府信息的能力。
  • 文章强调,若开发者无法保护基础API密钥,其在封闭环境下处理更敏感政府数据的安全性令人担忧。
22. Anthropic, Google, OpenAI and XAI Granted Up to $200M from Defense Department (www.cnbc.com)

The DoD's Chief Digital and Artificial Intelligence Office said the awards will help the agency accelerate its adoption of AI solutions.

24. Code highlighting extension for Cursor AI used for $500k theft (securelist.com)

Kaspersky GReAT experts uncover malicious extensions for Cursor AI that download the Quasar backdoor and a crypto stealer.

26. Protecting My Attention at the Dopamine Carnival (www.amirsharif.com)

What the hell is going on with our brains? It seems like the algorithms have already taken over and the scientific literature is catching up with

27. Encrypting files with passkeys and age (words.filippo.io)

Encrypting files with passkeys, using the WebAuthn prf extension and the TypeScript age implementation.

29. When Sigterm Does Nothing: A Postgres Mystery (clickhouse.com)

本文描述了在PostgreSQL热备实例上创建逻辑复制槽时遇到的一个严重Bug:进程无法通过常规信号(如SIGINT、SIGTERM)终止,导致查询长时间运行并可能引发WAL堆积,威胁数据库稳定性。ClickPipes团队在调查后定位到根本原因是PostgreSQL内核中XactLockTableWait函数的缺陷,并提交了修复补丁,最终被社区接受并反向移植。

问题现象

  • 在PostgreSQL热备实例(只读副本)上执行pg_create_logical_replication_slot创建逻辑复制槽时,查询耗时远超预期(通常需几秒,却持续数小时)。
  • 尝试通过pg_cancel_backendpg_terminate_backend(发送SIGINT/SIGTERM信号)终止该进程均无效,导致进程处于“不可杀死”状态。
  • 被创建的复制槽标记为“活跃”,无法删除,会持续保留WAL日志,存在存储耗尽风险。临时解决方法是重启整个PostgreSQL实例,会造成服务中断。

调查过程

  • 初步诊断:通过pg_stat_activity视图观察到进程状态为active且无wait_event,表明PostgreSQL认为进程未在等待任何资源。
  • 关键线索:使用strace工具追踪后端进程,发现系统调用仅为nanosleep,表明进程陷入一个持续1毫秒的睡眠循环。
  • 根本原因定位:团队追踪到PostgreSQL内核中用于等待事务结束的函数XactLockTableWait。该函数在主实例上通过高效获取事务锁来等待,但在热备实例上存在缺陷:
    1. 热备实例无法直接获取主实例的事务锁,只能通过轮询KnownAssignedXids(基于WAL记录维护的运行中事务列表)来判断事务是否结束。
    2. 原实现中,当检测到事务仍在进行时,函数会进入一个包含pg_usleep(1000L)(睡眠1毫秒)的循环。
    3. 此循环未包含CHECK_FOR_INTERRUPTS()宏调用,导致进程无法响应取消或终止信号,成为“不可杀死”的进程。
    4. 同时,该循环也未报告适当的等待事件,使得管理员难以通过系统视图诊断问题。

解决方案与社区合作

  • 提交补丁:作者向PostgreSQL邮件列表提交了一个简单补丁,在睡眠语句前添加CHECK_FOR_INTERRUPTS(),使进程能够响应中断信号。补丁迅速被审查并接受,并反向移植到所有受支持的PostgreSQL主要版本中。
  • 后续改进:社区成员进一步提交了补丁以添加新的等待事件,并讨论了改进热备实例等待事务完成机制的方法,预计在PostgreSQL 19中集成。

总结与启示

此问题展示了成熟系统中,看似完善的代码(如XactLockTableWait)在特定场景(热备实例)下可能产生的意外行为。ClickPipes团队通过深入的内核代码分析,不仅解决了自身的生产问题,也为PostgreSQL社区做出了贡献。文章强调了开源协作在排查和修复此类深层问题上的价值,并肯定了PostgreSQL社区高效响应和维护代码质量的工作。

30. Voxtral – Frontier open source speech understanding models (mistral.ai)

The most powerful AI platform for enterprises. Customize, fine-tune, and deploy AI assistants, autonomous agents, and multimodal AI with open models.

31. A little-known Microsoft program could expose the Defense Department to hackers (www.propublica.org)

The Pentagon bans foreign citizens from accessing highly sensitive data, but Microsoft bypasses this by using engineers in China and elsewhere to remotely instruct American “escorts” who may lack expertise to identify malicious code.

32. A Rust shaped hole (mnvr.in)

Without writing a single line of Rust, why I feel it might be right

33. Inspect ANSI control codes and escape sequences (ansi.tools)

View and inspect ANSI escape sequences in the browser. See a visual rendering and a detailed breakdown of all control codes.

34. The IRS Is Building a System to Share Taxpayers' Data with ICE (www.propublica.org)

ProPublica has obtained the blueprint for the Trump administration’s unprecedented plan to turn over IRS records to Homeland Security in order to speed up the agency’s mass deportation efforts.

35. Inside the box: Everything I did with an Arduino starter kit (lopespm.com)

Diving into Elegoo Arduino Uno R3 Starter Kit, the most complete Arduino kit

36. What caused the 'baby boom'? What would it take to have another? (www.derekthompson.org)

Governments worldwide are trying to increase fertility with cash. But the most famous birthrate "boom" had a lot to do with science and technology, as well.

38. Extending That XOR Trick to Billions of Rows (nochlin.com)

本文探讨了如何将经典的 XOR 技巧扩展至海量数据场景,用于高效查找大型集合之间的差异。传统 XOR 技巧适用于查找一到两个缺失元素,但无法处理更复杂的情况。本文提出,利用可逆布隆过滤器可以解决此问题,其空间复杂度仅取决于两个集合之间差异的大小,与集合总量无关。

核心思路始于通过哈希函数对集合进行分区,使每个分区内的差异尽可能小,以便应用 XOR 技巧。然而,简单的分区无法保证总是有效。为此,文章引入了对称差集的概念(仅存在于一个集合中的元素),并增加了一个基于哈希的额外累加器来检测 XOR 结果是否可靠。

最终,文章将这种思想正式化为可逆布隆过滤器。IBF 是一种概率数据结构,其每个单元格包含三个累加器:元素值的 XOR 聚合(idSum)、元素哈希值的 XOR 聚合(hashSum)以及元素计数(count)。其主要操作包括:

  1. 编码:将一个集合插入 IBF。
  2. 相减:两个 IBF 相减,相同元素自动抵消,结果仅保留对称差集的信息。
  3. 解码:通过迭代“剥离”纯单元格(计数为 ±1 且哈希一致)来恢复差异中的具体元素。

通过正确的参数设置(通常单元格数大于预期差异大小的1.22倍),IBF 能够以极高的概率成功恢复完整的对称差集。文章最后指出,IBF 是解决集合协调问题的现代方案之一,特别适用于需要高效比较大型数据集的场景,例如数据库同步或大规模分布式系统。作者还提供了一个 Python 示例实现供参考。