2025-12-04

21 篇热帖

Ghostty is now non-profit 788 points | 156 comments | by vrnvu

Ghostty 成为非营利项目,获得 Hack Club 财政赞助

Ghostty 项目现在已获得 Hack Club 的财政赞助,Hack Club 是一个注册的 501(c)(3) 非营利组织。 财政赞助是一种法律和财务安排,允许认可的非营利组织将其免税身份扩展到与自身使命相符的项目。 这意味着 Ghostty 可以作为一个慈善项目运作,而 Hack Club 将负责合规、捐款、会计和治理监督。

主要变化和意义:

  • 非营利地位: Ghostty 已经正式成为非营利项目,明确表明了其致力于保持项目免费和开源的承诺。
  • 可持续发展: 这种结构为 Ghostty 的可持续发展奠定了基础,无需依赖项目创始人 Mitchell Hashimoto 的个人参与。
  • 法律保障: 非营利地位提供了重要的法律保障,确保项目使命不会被悄然改变,资金不会被挪用,也无法被出售或用于商业目的。
  • 接受捐款: Ghostty 现在可以接受美国境内的免税捐款。
  • 财务透明: 所有财务交易将公开透明,可以在 Hack Club Bank 的 Ghostty 页面 (https://hcb.hackclub.com/ghostty) 查看。
  • 知识产权: Ghostty 相关的名称、标记和知识产权已转移到 Hack Club,但版权仍由个人贡献者在现有许可证结构下持有。
  • 项目领导: Mitchell Hashimoto 仍然是项目负责人,拥有最终决策权。

技术层面没有变化:

Ghostty 的技术目标、许可证(MIT)以及对 Ghostty GUI 和 libghostty 的开发工作将保持不变。

资金分配:

  • 捐款的 7% 将用于支付 Hack Club 的管理费用,以支持其更广泛的使命,即赋能对技术和编码感兴趣的年轻人。
  • Mitchell Hashimoto 的家人将直接向 Hack Club 捐赠 150,000 美元(而非直接捐赠给 Ghostty)。

如何支持 Ghostty:

项目创始人鼓励大家捐款支持 Ghostty 的持续开发,并强调捐款将用于公共利益目标。捐款可以在美国享受免税优惠。

联系方式:

如果您有兴趣了解更多关于支持 Ghostty 的信息,请通过 [[email protected]](/cdn-cgi/l/email-protection#127f527f7b66717a777e7e7a3c717d7f) 发送电子邮件。

Everyone in Seattle hates AI 594 points | 559 comments | by mips_avatar

总结:西雅图科技从业者对AI的态度及背后的文化困境

这篇文章讲述了作者在西雅图推广其AI地图项目Wanderfugl时遇到的困境,并揭示了西雅图大型科技公司(尤其是微软和亚马逊)中普遍存在的负面AI态度背后的文化问题。

核心内容:

  • 负面反馈: 作者发现,在西雅图的工程师们对Wanderfugl的反馈普遍消极,甚至带有敌意,这与他们在其他城市(如巴厘岛、东京、巴黎、旧金山)的积极反响形成鲜明对比。
  • 文化根源: 这种负面态度并非源于对Wanderfugl本身的批评,而是源于工程师们对公司内部AI政策和工具的强烈不满。
  • 裁员与Copilot 365: 微软因未能有效利用Copilot 365而裁员,导致工程师们对AI产生了深深的抵触情绪。强制使用Copilot系列工具,即便这些工具表现不佳,也加剧了这种负面情绪。
  • AI等级制度: 公司内部形成了AI团队和非AI团队的等级制度,非AI团队的工程师面临薪资停滞、股票奖励减少和绩效评估下降等问题。
  • 自我限制的信念: 这种文化导致工程师们产生“AI无用”和“自己不具备AI能力”的自我限制性信念。
  • 恶性循环: 工程师不尝试创新,公司不授权他们尝试,糟糕的产品进一步强化了AI失败的观念,最终形成一个恶性循环。
  • 西雅图与旧金山的对比: 作者指出,虽然西雅图拥有优秀的科技人才,但与旧金山相比,其创新氛围明显不足,因为西雅图的工程师们已经失去了改变世界的信念。

总结:

文章指出,西雅图大型科技公司内部的文化转变,以及对AI政策的强制执行,导致了工程师们对AI的普遍抵触情绪。这种负面情绪不仅损害了工程师的职业发展,也阻碍了创新和新产品的开发。作者呼吁打破这种恶性循环,重新唤起工程师们对创新的热情和信心。

总结:西雅图科技从业者对AI的态度及背后的文化困境 (中文)

这篇文章讲述了作者在西雅图推广其AI地图项目Wanderfugl时遇到的困境,并揭示了西雅图大型科技公司(尤其是微软和亚马逊)中普遍存在的负面AI态度背后的文化问题。

核心内容:

  • 负面反馈: 作者发现,在西雅图的工程师们对Wanderfugl的反馈普遍消极,甚至带有敌意,这与他们在其他城市(如巴厘岛、东京、巴黎、旧金山)的积极反响形成鲜明对比。
  • 文化根源: 这种负面态度并非源于对Wanderfugl本身的批评,而是源于工程师们对公司内部AI政策和工具的强烈不满。
  • 裁员与Copilot 365: 微软因未能有效利用Copilot 365而裁员,导致工程师们对AI产生了深深的抵触情绪。强制使用Copilot系列工具,即便这些工具表现不佳,也加剧了这种负面情绪。
  • AI等级制度: 公司内部形成了AI团队和非AI团队的等级制度,非AI团队的工程师面临薪资停滞、股票奖励减少和绩效评估下降等问题。
  • 自我限制的信念: 这种文化导致工程师们产生“AI无用”和“自己不具备AI能力”的自我限制性信念。
  • 恶性循环: 工程师不尝试创新,公司不授权他们尝试,糟糕的产品进一步强化了AI失败的观念,最终形成一个恶性循环。
  • 西雅图与旧金山的对比: 作者指出,虽然西雅图拥有优秀的科技人才,但与旧金山相比,其创新氛围明显不足,因为西雅图的工程师们已经失去了改变世界的信念。

总结:

文章指出,西雅图大型科技公司内部的文化转变,以及对AI政策的强制执行,导致了工程师们对AI的普遍抵触情绪。这种负面情绪不仅损害了工程师的职业发展,也阻碍了创新和新产品的开发。作者呼吁打破这种恶性循环,重新唤起工程师们对创新的热情和

Reverse engineering a $1B Legal AI tool exposed 100k+ confidential files 506 points | 164 comments | by bearsyankees

Filevine 数据安全漏洞披露报告总结 (Filevine Data Security Vulnerability Disclosure Summary)

以下是对提供的 Filevine 安全漏洞披露报告的总结:

漏洞发现与披露时间线 (Timeline of Vulnerability Discovery and Disclosure):

  • 2025年10月27日: 发现漏洞,作者立即通过邮件联系 Filevine 安全团队。
  • 2025年11月4日: Filevine 安全团队确认收到报告并承诺尽快修复。
  • 2025年11月20日: 作者跟进确认修复进度,并告知将发布技术博客。
  • 2025年11月21日: Filevine 确认问题已解决,并感谢作者的负责任披露。
  • 2025年12月3日: 发布博客。

漏洞描述 (Vulnerability Description):

作者发现 Filevine 存在一个严重的安全漏洞,允许未经授权访问 Margolis 律师事务所的 Box 文件系统。漏洞的发现过程如下:

  1. 子域名枚举 (Subdomain Enumeration): 作者使用子域名枚举技术发现了一个名为 margolis.filevine.com 的子域名,该域名显示加载页面,但未发出任何 Fetch/XHR 请求。
  2. JavaScript 代码分析 (JavaScript Code Analysis): 通过分析 JavaScript 文件,作者发现了一个 /prod/recommend 端点,该端点用于推荐内容,并使用了未定义的 BOX_SERVICE 变量。
  3. 端点测试 (Endpoint Testing): 经过进一步分析,作者确定了 BOX_SERVICE 的值为 [dxxxxxx9.execute-api.us-west-2.amazonaws.com/prod]。通过构造简单的 JSON payload ({"projectName":"Very sensitive Project"}) 并发送到该端点,作者成功获取了响应。
  4. Box Token 发现 (Box Token Discovery): 响应中包含一个 boxToken,作者通过查阅 Box API 文档发现该 Token 实际上是一个具有最高权限的 Box 文件系统管理员 Token,可以访问 Margolis 律师事务所的整个 Box 文件系统。
  5. 漏洞验证 (Vulnerability Verification): 通过搜索关键词 “confidential” 并在 Box 文件系统中返回了近 10 万个结果,作者确认了该 Token 的权限范围。

漏洞影响 (Impact of the Vulnerability):

该漏洞允许攻击者提取 Margolis 律师事务所使用的所有文件,包括受 HIPAA 等法律标准保护的机密文件、内部备忘录、工资单以及受法院命令保护的文件。潜在影响包括:

  • 数据泄露,涉及数百万敏感文件。
  • 违反法律法规,例如 HIPAA。
  • 对律师事务所和客户造成严重的声誉和经济损失。

Filevine 的响应 (Filevine's Response):

Filevine 团队对漏洞披露表现出积极、专业和重视的态度,快速响应并及时修复了该问题。

总结 (Conclusion):

该事件提醒所有法律科技公司,在追求人工智能应用的同时,必须高度重视数据安全,确保数据得到充分保护。作者强调,企业在将敏感数据交给第三方公司时,务必谨慎评估其安全措施。

补充说明 (Additional Notes):

  • 作者确认受影响的律师事务所并非 Margolis PLLC。
  • 此事件在 Hacker News 上引起了广泛关注。
MinIO is now in maintenance-mode 413 points | 239 comments | by hajtom

MinIO 项目维护模式声明

该项目目前处于维护模式,不再接受新的更改。

主要内容:

  • 维护模式: 项目进入维护模式,仅进行维护性更新。
  • 不接受新功能: 不会接受新的功能、增强或拉取请求。
  • 安全修复: 关键安全修复可能根据具体情况进行评估。
  • 问题和拉取请求: 现有问题和拉取请求将不会得到积极审查。
  • 社区支持: 社区支持将以尽力而为的方式通过 Slack 提供。
  • 企业支持: 对于企业支持和持续维护的版本,请参阅 MinIO AIStor

其他信息:

RCE Vulnerability in React and Next.js 406 points | 128 comments | by rayhaanj

React 和 Next.js 漏洞安全提示总结 (CVE-2025-55182)

核心问题: 存在一个安全漏洞影响 React 19.0.0, 19.1.0, 19.1.1, 和 19.2.0 版本,以及使用这些 React 包的框架,包括 Next.js 15.x 和 16.x 版本 (使用 App Router)。 该漏洞已在 CVE 数据库中记录为 CVE-2025-55182

受影响的 React 包:

  • react-server-dom-parcel
  • react-server-dom-turbopack
  • react-server-dom-webpack

修复版本:

  • React: 19.0.1, 19.1.2, 19.2.1
  • Next.js: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7

实验 Canary 版本:

  • 受影响的实验 Canary 版本从 14.3.0-canary.77 开始。 建议用户将 Canary 版本降级到 14.x 稳定版本或 14.3.0-canary.76。

重要建议:

  • Next.js 用户: 所有使用稳定版 15.x 或 16.x Next.js 的用户应立即升级到已修复的稳定版本。
Micron Announces Exit from Crucial Consumer Business 368 points | 178 comments | by simlevesque

美克科技退出 Crucial 消费业务,聚焦数据中心增长 (Micron Technology Exits Crucial Consumer Business, Focusing on Data Center Growth)

摘要:

2025年12月3日,美克科技(Micron Technology, Inc.,纳斯达克代码:MU)宣布将退出 Crucial 消费业务,包括在全球主要零售商、电商平台和经销商处停止销售 Crucial 品牌消费产品。此举将持续至2026年2月(财政季度Q2结束)。

主要内容:

  • 退出消费业务: 美克科技决定停止 Crucial 消费产品的销售,将资源集中于更快增长的企业和商业领域。
  • 过渡期: 美克科技将继续通过消费渠道发货 Crucial 产品至2026年2月底。
  • 持续支持: 公司将与合作伙伴和客户密切合作完成过渡,并继续提供 Crucial 产品的保修服务和技术支持。
  • 企业业务不受影响: 美克科技将继续向全球商业渠道客户销售美克科技品牌(Micron-branded)的企业产品。
  • 战略调整: 此决策是美克科技持续业务组合转型的一部分,旨在与内存和存储领域的有利且盈利的增长方向保持一致。
  • 员工安置: 美克科技将通过内部职位调动,尽可能减少因业务调整对员工的影响。
  • 原因: AI 驱动的数据中心需求激增,促使美克科技做出此决策,以便更好地支持其战略客户。
  • Crucial 品牌价值: 美克科技感谢 Crucial 品牌在过去29年中,因其技术领先、质量和可靠性而受到消费者的认可。

关于美克科技:

美克科技是创新型内存和存储解决方案的行业领导者,致力于改变世界利用信息的方式,从而丰富每个人的生活。公司专注于客户、技术领先和卓越的生产运营,提供高性能 DRAM、NAND 和 NOR 内存和存储产品组合。

免责声明:

新闻稿中包含前瞻性陈述,例如关于产品供应和支持、增长和盈利能力领域以及劳动力再部署的陈述。这些前瞻性陈述受到多种风险和不确定性的影响,可能导致实际结果与预期存在重大差异。

中文翻译说明:

  • 力求准确传达原文信息,避免加入个人观点。
  • 用简洁的语言表达,符合字数限制。
  • 使用了Markdown格式进行排版,方便阅读。
  • 保留了关键术语的英文原文,方便理解。
Steam Deck lead reveals Valve is funding ARM compatibility of Windows games 291 points | 13 comments | by OsrsNeedsf2P

Valve 秘密推进 ARM 平台 Windows 游戏兼容性

Valve 公司在过去十多年里一直致力于将 Windows 游戏带到 Linux 平台。随着 Steam Deck 的巨大成功以及即将推出的 Steam Machine,这一目标几乎已经实现。现在,Valve 正在秘密推动 Windows 游戏在 ARM 设备上的运行。

核心内容:

  • Fex 项目: Valve 已经秘密资助了一个名为 Fex 的开源项目近十年,旨在将 Windows 游戏带到 ARM 平台。Fex 是一个兼容性层,类似于 Proton,但针对 ARM 架构。
  • 目标: 降低用户对游戏兼容性的担忧,让 Windows 游戏能够运行在更广泛的设备上,包括低功耗笔记本电脑、平板电脑,甚至手机。
  • ARM 优势: ARM 芯片在低功耗环境下比其他架构(如 x86)更高效,可以提供更好的性能和更长的电池续航。
  • SteamOS on ARM: Valve 正在开发基于 ARM 的 SteamOS,它将与现有的 x86 SteamOS 共享相同的核心组件,包括 Arch Linux 基础、更新程序和技术。ARM 版本的 SteamOS 将使用 ARM 版本的 Proton,并包含 Fex 模拟器。
  • 选择权: Valve 致力于为玩家提供选择,允许他们在非 Windows 平台上畅玩 Windows 游戏。
  • 现有挑战: 兼容性问题仍然存在,尤其是现代多人游戏,由于反作弊机制的限制,通常无法通过兼容性层运行。Valve 期望未来能够解决这些问题。
  • 市场趋势: Steam Deck 的成功以及 Bazzite 的快速普及表明,玩家对摆脱 Windows 平台的意愿越来越强烈,尤其是在掌机领域。

总结:

Valve 通过 Fex 项目和 ARM 版本的 SteamOS,致力于扩展 PC 游戏的适用范围,让玩家能够更自由地选择设备和平台。虽然目前仍存在一些挑战,但 Valve 正在积极努力克服这些障碍,为 PC 游戏生态系统带来更多可能性。 这将为 ARM 芯片提供了更广阔的应用前景,并为玩家提供了更多选择。

Elites could shape mass preferences as AI reduces persuasion costs 243 points | 247 comments | by 50kIters

论文摘要总结:AI驱动的说服技术与民主社会极化

这篇论文探讨了人工智能驱动的说服技术对民主社会极化影响的问题。核心观点是,随着AI技术的发展,精英阶层可以更低成本、更精准地塑造公众舆论,使得公众偏好本身成为了可以被精心设计的对象。

主要内容:

  • 背景: 在民主制度下,重大政策决策通常需要多数或共识,因此精英需要获得大众支持。传统上,精英通过教育和大众媒体等有限手段影响舆论,但AI驱动的说服技术大大降低了成本并提高了精准度。

  • 模型: 论文建立了一个动态模型,模拟精英阶层如何选择调整政策偏好的分布,同时考虑说服成本和多数规则约束。

  • 单精英情景: 在单精英统治下,最优策略往往会引导社会走向更加两极分化的舆论格局,即存在“极化拉力”(polarization pull)。技术进步会加速这种趋势。

  • 双精英情景: 当两个对立的精英轮流执政时,相同的技术还会激励他们将社会停留在“半锁定”(semi-lock)区域,即意见更加一致,竞争对手难以改变。因此,AI技术的进步可能既会加剧,也可能缓解极化,具体取决于环境。

  • 结论: 论文认为,更廉价的说服技术将极化重新定义为治理的战略工具,而非单纯的社会副产品,这对于民主制度的稳定具有重要意义。随着AI能力的提升,需要关注其对民主社会的影响。

关键词: 民主、极化、精英、AI、说服技术、政策偏好、多数规则。

相关领域: 一般经济学、人工智能、计算机与社会。

Uncloud - Tool for deploying containerised apps across servers without k8s 184 points | 83 comments | by rgun

Uncloud:无需 Kubernetes 的生产级 Docker Compose 部署

Uncloud 是一个开源项目,旨在帮助用户将 Docker Compose 应用部署到生产环境,实现零停机部署、自动 HTTPS 和跨机器扩展,而无需使用 Kubernetes。

核心理念:

Uncloud 提供类似于 Heroku 或 Fly.io 的便捷部署体验,同时保持对基础设施的完全控制。其设计目标是简单、强大且易于维护。

主要功能和特点:

  • 灵活的部署环境: 可以在任何 Linux 机器上运行应用,包括云虚拟机、专用服务器、裸机等。
  • 自动 HTTPS: 通过内置的 Caddy 反向代理实现零配置的自动 HTTPS。
  • 负载均衡: 在不同机器上的容器副本之间分配流量,提升可靠性和性能。
  • 服务发现: 通过内置的 DNS 自动跟踪网络上的服务,容器可以通过服务名称访问任何服务。
  • 基础设施即代码 (IaC): 使用熟悉的 Docker Compose 文件定义整个应用栈,无需学习新的配置格式。
  • 零停机部署: 支持滚动更新,实现零停机部署。
  • 跨机器扩展: 可以将应用副本扩展到不同的机器上。
  • 无需中心控制平面: 采用完全去中心化的架构,每个机器维护一个同步的集群状态,即使部分机器离线,集群也能继续运行。
  • 安全私有网络: 使用 WireGuard 网格网络实现机器之间的安全通信,容器获得唯一的 IP 地址,可以直接跨机器通信。
  • 低维护成本: 无需管理控制平面或法定人数,自动 HTTPS,服务自动发现。
  • 无厂商锁定: 可以自由混合云提供商和自己的硬件,优化成本和性能,而无需更改部署或管理方式。

工作流程:

  1. 机器初始化: 使用 uc machine init 命令初始化机器。
  2. 应用部署: 使用 uc run 命令部署应用,指定域名和镜像,即可实现自动 HTTPS。例如:uc run --name my-app -p app.example.com:8000/https app-image:latest
  3. 扩展应用: 使用 uc scale 命令扩展应用副本数量。例如:uc scale my-app 2
  4. 添加机器: 使用 uc machine add 命令添加更多机器。

核心技术:

  • Docker Compose: 应用定义和管理的基础。
  • WireGuard: 构建安全私有网络的底层技术。
  • Caddy: 提供自动 HTTPS 功能的反向代理。
  • Peer-to-Peer Communication: 实现去中心化集群状态同步。

参与方式:

Uncloud 是一个开源项目,欢迎参与贡献。可以通过查看 GitHub issues 或加入 Discord 服务器来参与开发。

总结:

Uncloud 提供了一种简单、灵活且强大的方式来将 Docker Compose 应用部署到生产环境,无需 Kubernetes 的复杂性,同时保持对基础设施的完全控制。

It’s time to free JavaScript 176 points | 67 comments | by pavelai

JavaScript 商标归公的呼吁:总结

本文呼吁 Oracle 将 JavaScript 商标归还公众领域,认为 Oracle 对该商标的持有造成了广泛的混淆和干扰。

主要观点:

  • JavaScript 的广泛使用与 Oracle 的商标持有脱节: JavaScript 已经成为一个通用术语,被无数个人和公司使用,与 Oracle 的任何产品无关。
  • 商标遗弃: 根据美国法律,如果商标未被使用或已成为通用名称,则会被视为遗弃。JavaScript 满足这两个条件。
    • 未被使用 (Nonuse): Oracle 从未真正推出过名为 JavaScript 的产品。尽管在过去 Netscape Navigator 支持 JavaScript,但该浏览器影响力已消退,JavaScript 已经发展成为一个独立的编程语言。
    • 成为通用名称 (Genericization): JavaScript 的标准规范被称为 ECMAScript,表明该名称已经开始失去其商标意义。开发者社区也因为害怕 Oracle 的法律挑战,不得不避免使用 JavaScript 名称,例如 JSConf。
  • Oracle 的行为: Oracle 缺乏对 JavaScript 商标的积极保护,甚至允许其被广泛使用,进一步支持了商标遗弃的观点。
  • 历史背景: JavaScript 商标最初由 Netscape 和 Sun Microsystems 共同持有,后来 Oracle 通过收购 Sun Microsystems 获得了该商标,但从未对其进行有效利用。

关键细节:

  • 商标持有者: Oracle America, Inc. (美国商标序列号:75026640,美国注册号:2416017)
  • ECMAScript: JavaScript 标准规范的名称,由于 Sun (现 Oracle) 不愿放弃 JavaScript 商标,ECMA International 采用了 ECMAScript 作为官方名称。
  • TC39: ECMA International 成立的技术指导委员会,负责发布 JavaScript 规范 (ECMA-262)。
  • Oracle 的相关产品: 虽然 Oracle 提供了使用 JavaScript 的 GraalVM 和 JavaScript Extension Toolkit (JET),但这些并不能构成对商标的有效使用。

呼吁:

文章呼吁 Oracle 主动将 JavaScript 商标归还公众领域。如果 Oracle 不采取行动,作者将向美国专利商标局 (USPTO) 提交商标取消申请。同时,文章也呼吁读者支持该倡议,并寻求法律援助。

PGlite – Embeddable Postgres 171 points | 44 comments | by dsego

PGlite 嵌入式 Postgres 简介

PGlite 是一款可以在 WASM 中本地运行完整 Postgres 数据库的工具,并提供实时同步和反应式功能。

核心特点:

  • 轻量级: PGlite 的 WASM 构建体积小于 3MB (Gzipped)。
  • 可扩展性: 具有动态扩展加载机制,支持 pgvector 等扩展。
  • 反应式: 内置数据加载、同步和实时查询功能。

体验方式:

  • database.build: 可以通过 database.build 使用 AI 创建和发布基于 PGlite 的 Postgres 数据库(由 Supabase 提供支持)。
  • 在线演示: 可以在浏览器中直接体验完整的 PGlite Postgres 实例,包括 pgvector 扩展。
  • 游乐场: 可以通过 游乐场 尝试更多扩展。

项目地址: https://github.com/electric-sql/pglite

快速开始: https://database.build/docs/

Lie groups are crucial to some of the most fundamental theories in physics 146 points | 50 comments | by ibobev

莱群:数学与物理学的强大工具 (Lái Qún: Shùxué yǔ Wùlǐ Xué de Qiángdà Gōngjù - Lie Groups: A Powerful Tool for Mathematics and Physics)

本文介绍了莱群的概念、历史、结构以及其在数学和物理学中的重要作用。

什么是莱群? (Shénme shì Lái Qún? - What are Lie Groups?)

莱群是一种特殊的群,它将群论、几何学和线性代数相结合。群论研究满足特定规则的元素集合和操作,例如加法或乘法。许多群可以被视为形状的对称性——能够保持形状不变的变换。莱群的特点是它具有连续对称性,并且可以被可视化为光滑的、连续的形状,称为流形(manifold)。例如,飞盘旋转的群SO(2)可以表示为平面上的一个圆,而球体旋转的群SO(3)则是一个复杂的、生活在九维空间中的三维形状。

莱群的历史 (Lái Qún de Lìshǐ - The History of Lie Groups)

挪威数学家索普斯·马里·莱(Sophus Lie)在19世纪70年代早期创立了莱群。他最初试图使用群论来研究微分方程,虽然此方向没有取得预期效果,但他发现他所研究的群本身就具有重要的价值。莱在巴黎期间经历了一场误会,被错误地指控为间谍并被监禁,但此后他继续专注于数学研究。

莱群的结构与特性 (Lái Qún de Jiégòu yǔ Tèxìng - Structure and Properties of Lie Groups)

莱群的关键特性在于其流形的性质。这意味着在足够小的区域内,莱群的曲线会消失,可以近似为直线——即切线(tangent line)。这条切线构成了莱群的李代数(Lie algebra),它是一个线性代数结构。李代数简化了对原群的计算,并允许比较不同的群。

莱群在物理学中的应用 (Lái Qún zài Wùlǐ Xué zhōng de Yìngyòng - Applications of Lie Groups in Physics)

自然界充满了莱群所能捕捉到的连续对称性,使得它们在物理学中不可或缺。例如,引力只取决于两个物体之间的距离,这体现了SO(3)对称性。物理学的基本力,包括引力、电磁力和原子核力,都由莱群对称性定义。通过使用莱群,科学家可以解释物质的基本谜题,例如质子与中子总是配对,以及原子的能量以离散量存在。

艾米·诺特(Emmy Noether)在1918年证明了莱群也蕴含着物理学中一些最基本的守恒定律。她表明,对于每个由莱群描述的物理系统中的对称性,都存在相应的守恒定律。例如,物理定律在时间上保持不变(时间平移对称性),意味着宇宙的能量必须守恒。

总结 (Zǒngjié - Summary)

莱群是数学和物理学中一个强大的工具,它将群论、几何学和线性代数相结合,捕捉自然界中的对称性,并为理解物理现象和数学结构提供了深刻的见解。莱群及其李代数之间的交互作用是数学研究的重要方面,并且在现代物理学中发挥着关键作用。

Show HN: I built a dashboard to compare mortgage rates across 120 credit unions 138 points | 46 comments | by mhashemi

房屋贷款利率对比仪表盘:精简总结

本文介绍了FinFam建立的一款每日更新的房屋贷款利率对比仪表盘,旨在帮助美国消费者找到更优惠的贷款利率,并节省资金。

核心问题: 为什么大型银行和信用社提供的同一房屋贷款产品,利率却可能相差很大?

主要发现:

  • 利率差异的根源: 利率差异主要源于广告和营销成本。大型银行拥有庞大的营销部门,而非营利性的信用社则没有。美国政府对抵押贷款有标准化要求,因此贷款产品本身通常相同。
  • 信用社的优势: 信用社是会员所有制的非营利机构,专注于服务会员,而非追求股东利润最大化,因此能够提供更具竞争力的利率。

仪表盘的功能与数据来源:

  • 数据收集: 从约120家信用社的网站上每日收集利率数据。
  • 基准数据: 使用圣路易斯联邦储备银行(FRED)提供的30年期固定利率基准数据进行比较。
  • 数据筛选: 仪表盘默认隐藏约12家利率数据,这些数据可能是异常值或超专业产品。用户可以选择显示这些异常值。
  • 数据更新: 仪表盘提供最佳利率 (Best Rate),良好利率 (Good Rate) 和中位数利率 (Median Rate) 数据,并与全国平均水平进行对比。

仪表盘的局限性与后续步骤:

  • 仅供参考: 仪表盘上的利率仅供参考,并非贷款承诺。实际利率取决于个人信用评分、首付比例、房屋类型和是否购买点数等因素。
  • 下一步行动: 使用仪表盘提供的利率信息,联系多家贷款机构获取个性化报价。
  • 隐私保护: 建议在提交信用调查之前,通过optoutprescreen.com 保护个人隐私。
  • 其他资源: 提供关于是否应再融资抵押贷款或投资股市、租房与买房计算器等交互式指南。

联系方式:

  • 问题或反馈:[email protected]
  • 希望添加的信用社:只要信用社有公开的利率页面和明确的资格要求,欢迎提交。

免责声明: 利率信息仅供参考,不构成利率锁定承诺。FinFam不与任何机构有隶属关系,不收取任何推荐费用,也不提供任何保证。

Unreal Tournament 2004 is back 132 points | 48 comments | by keithoffer

OldUnreal 宣布复兴 Unreal Tournament 2004 (UT2004)

OldUnreal 团队在 Discord 上宣布,他们正在进行一项名为“复兴 UT2004”的社区驱动项目,旨在让经典游戏 Unreal Tournament 2004 (UT2004) 重新焕发活力,并使其更容易访问和游玩。该项目获得了 Epic Games 的授权支持,并新增了一些团队成员。

主要内容:

  • 游戏发布方式: OldUnreal 将发布一个安装程序,该程序下载原始 UT2004 游戏光盘镜像,安装游戏,并应用补丁。
  • 补丁更新: 团队将发布一系列补丁,以实现以下目标:
    • 兼容 Windows Vista 及更高版本、Linux x86-64 和 aarch64 (如 Raspberry Pi)、以及 macOS 10.9 及更高版本。
    • 修复游戏中的 bug。
    • 提升游戏体验,例如增加生活质量方面的改进。
  • 免费提供: UT2004 将免费提供下载。
  • 支持平台与特性:
    • 原生支持 64 位 Intel 和 ARM/Apple CPU 的 Linux 和 macOS 系统。
    • 支持在 Raspberry Pi 4 或 5 上运行游戏或服务器(帧速率较低)。
    • Linux 和 macOS 版本包含功能齐全的 UnrealScript 编译器 (UCC make) 和纹理压缩支持。
    • Linux 和 macOS 版本使用 SDL3 代替 SDL1。
    • Windows 64 位客户端的 D3D9Drv 和全屏支持已完全实现。
    • 修复了编辑器中的一些崩溃问题,恢复了一些损坏的功能,并解决了编辑器在点击视口时卡顿的问题。

常见问题解答:

  • 兼容性: OldUnreal 补丁与最新官方版本基本兼容。 补丁客户端可以与未补丁客户端一起玩,反之亦然。 大部分模组应该可以继续正常运行,但一些版本检查模组(例如 AntiTCC)可能需要更新。
  • AntiTCC: Wormbo 已经授权 OldUnreal 团队更新 AntiTCC,但目前仍在开发中。
  • 服务器兼容性: 为了确保玩家在使用新版本时能够连接到服务器,服务器管理员可能需要重新安装官方 3369.3 版本的特定文件。 团队正在寻找无需重新安装该版本的替代解决方案。
  • 安装方式: Windows 平台可以轻松应用补丁。 其他平台可能需要手动操作,建议从头开始按照团队提供的说明安装游戏。

未来计划:

  • 解决新版本中的一些问题和未完成的功能。
  • 尽快发布预览安装程序和补丁。
  • 持续进行生活质量改进和编辑器修复。
  • 计划在未来两月内发布公开测试版本。

参与方式:

  • 未来需要招募测试人员,请关注 OldUnreal Discord 服务器获取信息。

团队成员:

主要开发人员包括 Buggie, Marco/Dots, Deaod, Metallicafan212, Piglet, CacoFFF, AnthraX, Smirftsch。 此外,Wormbo, Shambler, 和 Ryan C. Gordon (icculus) 也对补丁做出了贡献。

联系方式:

请将所有支持请求或问题发送给 OldUnreal Discord 服务器。

Discord: https://discord.gg/thURucxzs6

Critical RCE Vulnerabilities in React and Next.js 131 points | 72 comments | by gonepivoting

React Server Components (RSC) 漏洞总结:CVE-2025-55182 和 CVE-2025-66478

本文总结了React Server Components (RSC) "Flight" 协议中的关键漏洞:CVE-2025-55182 (React)CVE-2025-66478 (Next.js)。这些漏洞允许未经身份验证的远程代码执行 (RCE)。

核心要点:

  • 漏洞概述: 这两个漏洞都源于React Server Components (RSC) "Flight" 协议中不安全的序列化处理。攻击者可以通过构造恶意的HTTP请求,利用此漏洞在服务器上执行任意代码。
  • 默认配置易受攻击: 使用 create-next-app 创建的标准 Next.js 应用,在默认生产配置下即可被利用,无需任何代码修改。
  • 高可靠性: 研究表明,该漏洞的利用率接近100%。
  • 影响范围: 影响 React 19 生态系统以及使用 RSC "Flight" 协议的框架,特别是 Next.js。
  • Wiz 数据: Wiz 的数据显示,39% 的云环境包含易受 CVE-2025-55182 和/或 CVE-2025-66478 影响的实例。其中,69% 的环境存在 Next.js,61% 的 Next.js 环境运行公开应用,意味着 44% 的云环境有公开暴露的 Next.js 实例。
  • 立即修复: 强烈建议立即应用补丁。

技术细节:

漏洞存在于 react-server 包中,该包由 React Server Components (RSC) 使用。具体来说,是在处理 RSC "Flight" 协议时,服务器未能正确验证 RSC payload 的结构,导致攻击者可以控制服务器端执行逻辑,从而执行特权 JavaScript 代码。

受影响的产品及修复版本:

受影响产品 修复版本
react-server-dom*:19.0.0, 19.1.0, 19.1.1, 19.2.0 19.0.1, 19.1.2, 19.2.1
Next.js: 14.3.0-canary, 15.x, 和 16.x (App Router) 14.3.0-canary.88, 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7

其他包含 react-server 实现的框架或库也可能受到影响,例如:

  • Next.js
  • Vite RSC plugin
  • Parcel RSC plugin
  • React Router RSC preview
  • RedwoodSDK
  • Waku

安全团队应对措施:

  1. 升级: 立即将 React 和相关依赖项升级到修复版本。 这是唯一有效的缓解措施。
  2. 检查其他框架: 如果使用其他 RSC 框架(如 Redwood、Waku 等),请检查其官方渠道,了解关于 bundled react-server 版本的信息并及时更新。
  3. 利用 Wiz 工具: Wiz 客户可以使用预构建查询和 Wiz 威胁中心中的公告来搜索环境中易受攻击的实例。

重要提示: 为了维护生态系统的安全,目前尚未公开具体的利用细节。 本文旨在帮助安全团队优先修复漏洞并了解风险。

8086 Microcode Browser 126 points | 1 comments | by zdw

8086 微码浏览器:探索经典 CPU 的内部运作

本文介绍了作者基于对 Intel 8086 芯片的深入研究和微码分析,创建的一个在线 8086 微码浏览器。该浏览器旨在帮助用户理解 8086 芯片的内部运作机制,揭示其隐藏在汇编层下的微妙行为。

核心内容:

  • 项目背景: 作者在开发 486Tang 项目后,为了更深入地理解 8086 芯片,研究了 Andrew Jenner 在 2020 年提取并反汇编的 8086 微码。
  • 在线浏览器: 作者将研究笔记整理成一个交互式在线浏览器,网址为 https://nand2mario.github.io/8086%5Fmicrocode.html。该浏览器能够解码 8086 微码中的每一个 21 位的微指令,并以可读的字段形式呈现。
  • 关键功能:
    • 字段解释: 鼠标悬停在任何字段上,都会显示一个工具提示,解释该字段的作用。
    • 跳转目标: 所有跳转目标都是可点击的,方便追踪程序流程。8086 微码包含大量的间接跳转、调用和短分支。
    • 按指令浏览: 用户可以选择大约 300 个已记录的 8086 指令,浏览器将直接跳转到该指令对应的微码入口点。
  • 8086 微码的有趣细节:
    1. 寄存器 ID 的上下文依赖性: 不同的上下文,同一个寄存器 ID 可能代表不同的物理寄存器,例如 10100 在作为源寄存器时代表 SIGMA (ALU 结果),作为目标寄存器时代表 tmpaL (临时 ALU 寄存器低 8 位)。
    2. N 和 R 寄存器相同: 内部 SI 寄存器被命名为 IJ,内部命名极不一致,反映了芯片的演化设计过程。
    3. IP (PC) 不指向下一条指令: IP 寄存器指向下一个预取地址,微码使用 CORR 微指令将 IP 回退到下一条指令的边界,以处理分支和中断。
    4. 算术指令的微码重用: 几乎所有的算术指令都共享 4 个微指令 (008–00B)。 核心的算术运算由一个名为 XI 的微指令完成,其行为取决于操作码或 ModRM 位。这种高度的重用体现了 1978 年 Intel 的精巧设计。

总而言之,这个在线 8086 微码浏览器为研究人员、爱好者和对计算机架构感兴趣的人提供了一个深入了解 8086 芯片内部运作的宝贵工具。

Acme, a brief history of one of the protocols which has changed the Internet 125 points | 67 comments | by coffee--

ACME 协议:根源、标准化与演进挑战

这篇文章探讨了 ACME 协议的起源、构想、标准化、生态系统关系以及面临的演进挑战。作者采访了 Aaron Gable、Sarah Gran、Jacob Hoffman-Andrews 和 J.C. Jones 等关键人物,深入了解了 ACME 协议的发展历程。

互联网与网络协议:开放标准是成功的关键

1990 年代,互联网的兴起推动了计算领域的革命,实现了 "网络即计算机" 的愿景。互联网打破了地域限制,促进了人与人之间的无界交流与协作。这种乌托邦式的交流得益于开放和标准化的协议,虽然存在着垄断和隔离主义的诱惑,但开放标准最终胜出,推动了互联网的蓬勃发展。在 IP、TCP、UDP 和 DNS 等协议的基础上,HTTP 和 HTML 构成了互联网的首选通信平台。

加密的局限与 Let’s Encrypt 的诞生

早期互联网对安全保护不够重视,2015 年,只有约 40% 的网站使用加密。爱德华·斯诺登的揭露暴露了数据安全风险,促使人们关注加密的重要性。J.C. Jones 认为,获取和管理服务器证书是普及 TLS 加密的 主要障碍。为了解决这个问题,Mozilla、EFF、Akamai、Cisco 和密歇根大学等合作伙伴共同创立了 Let’s Encrypt,一个免费的自动化证书颁发机构。

ACME 协议:自动化核心

Let’s Encrypt 采用 ACME (Automated Certificate Management Environment) 协议实现自动化,无需人工干预即可颁发证书。ACME 协议允许客户端软件向兼容的证书颁发机构证明其对域名的控制权,通过 HTTP、DNS 或 TLS 挑战来验证。

ACME 的起源与标准化

ACME 协议并非 Let’s Encrypt 设计的初始组成部分,而是由 Alex Halderman 和 Peter Eckersley 领导的团队与 Mozilla 团队的合作成果。2019 年,ACME 协议通过 IETF 标准化,成为 RFC 8555。标准化的过程带来了许多好处,包括社区对协议的参与和改进,以及对安全漏洞的快速发现和修复。

ACME 的演进与挑战

虽然 ACME 协议已标准化,但它仍在不断演进。例如,ARI (ACME Renewal Information) 扩展允许证书颁发机构建议续订时间,有助于提高安全性。然而,客户端更新和配置的挑战依然存在,需要持续的社区支持和合作。近期,Fastly 也贡献了 dns-account-01 挑战,进一步完善了 ACME 协议。

未来展望

ACME 协议的未来充满潜力。除了 TLS 服务器证书,ACME 协议还可以用于设备身份验证等其他场景。 协议正朝着标准化 profile 选择方向发展,并探索使用“pubkey”标识符来证明密钥所有权。 随着社区的不断创新和合作,ACME 协议将继续推动互联网安全的发展。

总之,ACME 协议和 Let’s Encrypt 的成功,展示了开放和标准化的协议在推动互联网安全发展中的重要作用,也激励着更多人参与到开源社区中,共同建设一个更加安全、开放的互联网。

Launch HN: Phind 3 (YC S22) – Every answer is a mini-app 118 points | 87 comments | by rushingcreek

Phind 3 发布:AI 答案引擎,打造个性化互动体验

摘要:

Phind 团队发布了 Phind 3 (https://www.phind.com),这是一个全新的 AI 答案引擎,其核心特点是能够即时生成完整的“迷你应用”来回答和可视化用户问题,提供互动式的体验。

核心功能与特点:

  • 动态迷你应用: Phind 3 不仅仅是美化答案,更重要的是通过交互式小部件(widgets)实现全新的功能。用户可以通过调整这些小部件,动态更新页面内容,触发新的功能。例如,查询公寓信息时,可以自定义筛选条件和地图视图;查询食谱时,可以实时调整调料和烹饪方法。
  • 实时工具生成: 与 Phind 2 和 ChatGPT 等平台不同,Phind 3 能够实时创建工具和部件,无需依赖预定义的、僵化的部件。
  • 开发者友好: Phind 3 能够针对开发者的问题提供可视化解决方案,例如,动态可视化快速排序算法。
  • 创意可视化: 用户可以要求 Phind 3 生成各种 3D 模拟,例如 Minecraft 或过山车。
  • “个人互联网”概念: Phind 3 旨在打造个性化的互联网体验,结合 AI 的定制化能力和互联网的互动性,摆脱纯文本 AI 对话的局限。
  • 技术细节:
    • Phind 3 能够创建并消费自定义模式的工具。
    • 改进了智能搜索能力,并引入了深度研究模式,以获取难以访问的信息。
    • 采用了全新的自定义 Phind 模型:
      • Phind Fast: 基于 GLM-4.5-Air,速度可达每秒 300 个 token。
      • Phind Large: 基于 GLM 4.6,速度可达每秒 200 个 token。
    • 这两个模型在内部迷你应用生成基准测试中,代码生成错误率比 GPT-5.1-Codex (high) 低 70% 以上。
    • 使用定制的 Eagle3 head 加速推理。

目标:

Phind 3 旨在开启“按需软件”的新时代,提供比纯文本 AI 对话或预制网页更具个性化的体验,如同 1984 年 Mac 引入图形用户界面一样,带来 AI 交互的新纪元。

招聘:

Phind 团队正在招聘,欢迎感兴趣的人士联系。

Phind 3 发布:AI 答案引擎,打造个性化互动体验 (中文)

摘要:

Phind 团队正式发布 Phind 3 (https://www.phind.com),这是一个全新的 AI 答案引擎,其核心优势在于能够即时构建完整的“迷你应用”,以互动的方式回答并可视化用户提出的问题。

核心功能与特点:

  • 动态迷你应用: Phind 3 不仅仅是让答案更美观,更重要的是通过交互式的小部件(widgets)实现全新的功能。用户可以调整这些部件,实时更新页面内容并触发新的功能。 例如,搜索公寓信息时,可以自定义筛选条件和地图视图;搜索食谱时,可以实时调整调料和烹饪方法。
  • 实时工具生成: 与 Phind 2 和 ChatGPT 等平台不同,Phind 3 能够实时创建工具和部件,摆脱了对预定义、僵化部件的依赖。
  • 开发者友好: Phind 3 能够针对开发者的问题,提供可视化的解决方案,比如动态演示快速排序算法。
  • 创意可视化: 用户可以要求 Phind 3 生成各种 3D 模拟,例如 Minecraft 或者过山车。
  • “个人互联网”概念: Phind 3 致力于打造个性化的互联网体验,结合 AI 的定制能力和互联网的互动性,打破纯文本 AI 对话的限制。
  • 技术细节:
    • Phind 3 能够创建并消费自定义模式的工具。
    • 显著提升了智能搜索能力,并引入了深度研究模式,以获取难以触及的信息。
    • 采用了全新的 Phind 自定义模型:
      • Phind Fast: 基于 GLM-4.5-Air,速度可达每秒 300 个 token。
      • Phind Large: 基于 GLM 4.6,速度可达每秒 200 个 token。
    • 这两个模型在内部迷你应用生成基准测试
Why WinQuake exists and how it works 108 points | 12 comments | by wicket

WinQuake 分析:存在意义与工作原理 (WinQuake 分析:存在意义与工作原理)

本文分析了 id Software 开发的 winquake.exe 的目的和工作机制,并对比了 Quake 的不同版本,解释了 winquake.exe 存在的必要性。

Quake 二进制文件的历史

最初的 Quake 使用 quake.exe,支持 DOS 和 Windows 95。随后,vquake.exe 引入了 Vérité 1000 硬件加速,而 glquake.exe 则泛化了硬件加速,支持任何提供 OpenGL 驱动的厂商。为了实现互联网死亡竞赛,id Software 还发布了 QuakeWorld 服务器和客户端 (qwsv.exeqwcl.exe)。 winquake.exe 的目的则相对不明确。

quake.exe 性能问题

在 Pentium MMX 233MHz 机器上测试表明,从 Windows 95 运行 quake.exe 的帧速率比从 DOS 运行的慢约 25%。这是因为 Windows 95 在虚拟化 DOS 应用时会产生开销。此外,quake.exe 通过 Mpath 将 DOS 盒子与 Win32 DLL 连接,访问 Windows 95 的 TCP/IP 堆栈,而 winquake.exe 作为 Win32 应用程序,可以保证直接访问 winsock.dll。 最后,id Software 希望 Quake 能够在 Windows NT 上运行,但由于 DJGPP 的 DPMI 客户端与 NT 虚拟 DOS 机器 (NTVDM) 不兼容,最终未能实现。

winquake.exe 的工作方式

winquake.exe 提供了多种运行模式,通过 wq.bat 脚本进行配置。这些模式包括:wq max (所有功能开启,兼容性不佳), wq fast (最大速度,兼容性不佳), wq fastvid (最大视频速度,音效可能较慢), wq fastsnd (最大音效速度,视频可能较慢), wq safe (运行稳定性高,速度可能较慢), wq verysafe (几乎肯定运行,速度较慢,无音效)。 测试结果表明,winquake.exe 的帧速率可以达到 quake.exe 在 DOS 下运行的 94% 左右,任务成功完成。

winquake.exe 的后端

winquake.exe 使用三种后端:输入控制、音频和视频。

  • 输入控制: 使用 DirectInput (DirectX) 或 Windows API (winuser.h)。 DirectInput 提供更流畅的运动,但可能需要 DirectX 支持。
  • 音频: 使用 DirectSound (DirectX) 或 Windows MultiMedia API (winmm.h)。 DirectSound 延迟更低,但会占用更多 CPU 资源,导致帧速率降低。
  • 视频: 使用 GDI、VGA、VESA、Accelerated VESA 或 DirectDraw。

视频后端详解

  • DIB 模式: 使用 GDI 渲染到设备无关位图 (DIB),再由 GDI 传递给显卡。这是最安全、也是最慢的渲染方式,但可以实现窗口化模式。
  • DirectDraw: 比 GDI 更快,但依赖于 DirectX 的安装和驱动程序的稳定性。
  • WinDirect: SciTech 的技术,允许应用程序绕过 GDI/DirectDraw,直接访问硬件。MGL (SciTech 的 MegaGraph Graphics Library) 使用 WinDirect 来处理不同的视频系统,例如 VBEAF、VBE2、DirectDraw 和 Standard VGA。 MGL 曾经被许多游戏使用,包括 WinQuake、Hexen II 和 Grand Theft Auto。

总结

winquake.exe 通过使用 DirectDraw 或 WinDirect,找到了快速渲染路径,并提供了灵活的音频后端选择,从而在 Windows 95 上实现了与 DOS 版本的 Quake 相当的性能。 即使在 Windows 11 上,winquake.exe 仍然可以运行,充分体现了 Microsoft 对向后兼容性的重视。