## 机器人检测与应对:摘要
2025年10月底,Aaron MacSween发现针对其网站的恶意机器人活动。问题源于一个错误部署、被注释掉的JavaScript文件标签。尽管在标准HTML中不起作用,但机器人反复请求此文件,暴露了它们不成熟的解析方法——很可能是在抓取内容用于LLM训练。
这些机器人复杂程度不一,有些模仿浏览器用户代理,而另一些则使用默认设置。MacSween概述了几种应对措施,在公开披露与帮助机器人改进的风险之间取得平衡。他提倡识别和利用机器人的独特行为,因为它们与人类用户不同。
建议的应对措施包括使用`fail2ban`等工具进行IP过滤,向资源密集型机器人提供“解压缩炸弹”(zip炸弹),以及“数据投毒”——微妙地破坏数据以破坏LLM训练。他强调了最近的研究表明,影响LLM只需要少量的被投毒样本。最后,他建议部署对用户隐藏但对机器人有吸引力的“诱饵”链接,并在访问时触发应对措施。
MacSween鼓励更广泛地参与这些“破坏”行动,认为这是对大型科技公司剥削性数据收集行为的合理反抗。
每日HackerNews RSS
## 欧洲拥抱数字主权:奥地利率先垂范 奥地利经济部已完成向Nextcloud的迁移,这是一个在奥地利境内托管的开源云平台,标志着在“数字主权”方面迈出了重要一步——对数据的更大控制权以及减少对美国大型科技公司的依赖。这一仅用四个月时间完成的举措,反映了欧洲日益增长的趋势,该趋势源于对数据安全、隐私(GDPR合规性)和潜在监控的担忧。 从微软365等专有服务转向,得益于EuroStack倡议等举措,该倡议旨在推广欧洲制造的技术。尽管美国政府表达了担忧,但欧洲各国政府——包括丹麦、德国和法国——正在积极寻求替代方案,并取得了不同程度的成功。 奥地利实施的首要任务是与现有工具(如Outlook)的无缝集成,以确保用户接受度。然而,奥地利司法部用LibreOffice替换Office的艰难过渡,凸显了在进行此类迁移时,需要仔细规划和IT支持。经济部的成功表明,采用主权云解决方案对于公共部门来说*是*切实可行且高效的。
亚马逊首席执行官安迪·贾西将公司最近裁员 14,000 名员工的决定归因于公司文化弱化,而非财务压力或人工智能的兴起。尽管销售额同比增长 13%,达到 1800 亿美元,贾西表示,快速扩张导致了不必要的管理层级和员工所有权被稀释。 他旨在通过消除这些层级和提高敏捷性来恢复亚马逊的“创业”心态。虽然公司承认人工智能可能带来未来的效率提升,但贾西坚持认为,裁员的主要目的是简化运营并赋能员工。裁员是在经历了显著增长之后做出的,员工人数在 2021 年达到峰值 160 万人,反映了公司希望更高效运营的愿望。财报发布后,亚马逊股价在盘后交易中上涨了 13%。
Bootstrap
错误 403
禁止访问...走开
这个黑客新闻的讨论围绕着软盘和复古计算。用户分享了早期计算体验的回忆,特别是关于软盘上的“CH”/“HD”标签——由于标签方向经常被误读。
对话延伸到软驱技术细节:IBM驱动器可以无需翻转即可读取双面,而Apple II驱动器需要手动翻转,为了双面使用需要进行修改。用户讨论了不同类型软盘的寿命(5.25" vs. 3.5"),其中带有保护套的5.25"软盘通常能保存最好。
该帖子还涉及数据保存,推荐使用“greaseweazle”等工具来读取旧磁盘。人们表达了继续使用复古技术的需求,同时也为旧介质上存在的写保护开关等功能的消失感到遗憾,并提出了使用具有写保护功能的SD卡等解决方案。
[由 jzb 于 2025 年 10 月 31 日发布] Ubuntu Foundations 团队成员 Michael Hudson-Doyle 宣布为 Ubuntu 25.10 引入一种“架构变体”:通过修改 dpkg、apt 和 Launchpad,我们能够为不同的 x86-64 架构级别构建软件包的多个版本,这意味着我们可以拥有专门针对 x86-64-v3 的软件包。因此,我们很高兴地宣布,在 Ubuntu 25.10 中,一些软件包可以选择以针对更现代的 x86-64-v3 架构级别的优化形式提供。有关选择加入 x86-64-v3 软件包的详细信息,请参阅公告。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
Ubuntu 引入架构变体 (lwn.net)
135 分,WhyNotHugo 1 天前 | 隐藏 | 过去 | 收藏 | 1 条评论
dang 1 天前 [–]
评论已移动至 https://news.ycombinator.com/item?id=45758392,其中包含原始来源。回复
考虑申请 YC 2026 冬季批次!申请截止至 11 月 10 日
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
## 卡카오トーク改版,从全民QA中获得的教训 最近卡카오トーク的大规模改版,暴露了用户便利与IT业界观点冲突的“全民QA”。用户以“方便就用”为标准进行判断,而业界则需要分析决策背景和学习点。短视频功能引入失败,是因为与卡카오トーク的沟通目的不符,并且只赋予特定用户内容权限,被批评为重蹈覆辙。 广告收益扩大战略,也被分析为未考虑经济衰退情况的轻率判断。此次改版背景中,有对AI技术兴起带来的危机感,以及作为“技术企业”的形象转型意图,但由于缺乏用户沟通和单方面的更新方式,反而引起了反弹。 特别是,对Toss出身的CPO的无端指责,阻碍了建设性的讨论,是一种暴力的文化,并且在未确认内部信息真伪的情况下盲目相信的态度也应警惕。卡카오トーク应该通过此次事件,认识到以用户为中心的路线图公开、逐步更新、积极沟通的重要性。这不仅仅是卡카오的问题,而是整个IT业界都应引以为戒的重要教训。
## MiniZinc 实现轮班人员排班:摘要
本文详细介绍了使用 MiniZinc 约束编程语言构建一个现实的轮班人员排班 (RWS) 模型。RWS 旨在为工人创建公平的每周排班表,让他们轮换不同的班次(日班、晚班、夜班、休息),以满足预计的需求。
该模型从基本数据开始——员工和每天的班次需求——并逐步添加约束以反映现实世界的规则:连续休假天数、最大连续工作天数、周末休息以及夜班限制。这些约束使用 MiniZinc 的功能实现,例如 `global_cardinality` 用于班次计数,以及正则表达式用于模式匹配。
作者使用各种求解器(Gecode、OR-Tools、Chuffed、HiGHS、Huub)在不同员工数量下对模型的性能进行基准测试。结果表明,OR-Tools CP-SAT 通常在较大实例中表现最佳,而 Gecode 对于较简单的问题效率更高。在这种情况下,使用搜索注释(优先分配周末/夜班)并未带来改进。
文章强调了模型开发的迭代性质以及数据驱动的求解器选择的重要性。虽然该模型简化了许多现实世界的复杂性(例如不同的班次时间和员工偏好),但它为解决更复杂的人员排班挑战提供了坚实的基础。
这个Hacker News讨论围绕使用MiniZinc,一种约束编程语言,进行员工排班。 初始帖子链接到一个展示该应用的工程项目。
一个关键点是,虽然MiniZinc非常适合原型设计和基准测试,但它缺乏强大的I/O能力和库,使得处理生产级别的复杂问题具有挑战性。 评论者建议使用Google的OR-Tools和Timefold(前身为Optaplanner)等替代方案,它们提供更好的求解器和更广泛的功能。 一位用户强调了使用Timefold进行运营计划和拍卖竞标所节省的巨额成本(100亿+美元预算,节省10%以上)。
原始作者(mzl),一位Gecode开发者,使用MiniZinc进行初始建模和基准测试,并可能将其部署到生产环境中用于大型、批量导向的任务。 对于较小、交互式系统,他们更喜欢直接在求解器API中重新实现模型或构建自定义解决方案。
其他讨论点包括在通用求解器中捕获特定领域细微差别的困难,以及即使拥有可证明的成本节约解决方案,在劳动力管理市场获得认可的挑战。 最后一条评论指出,在排班中考虑“人生事件”和社会因素的重要性,超越了纯粹的技术优化。
## Nix 疑难:理解固定输出派生
最近对 Nix 包管理的一次探索揭示了关于固定输出派生 (FOD) 的一种令人惊讶的行为。作者遇到一个问题,尽管 Ruby 二进制文件存在,Nix 却无法找到 Ruby 安装的派生文件 (`.drv`)。这导致深入研究 Nix 如何处理派生和二进制缓存。
问题的核心在于 FOD——其输出仅由 `$out` 的内容决定,而非派生本身。对 FOD 定义的更改(超出 `$out` 之外)会创建 *新的* `.drv` 文件,但可能导致 *相同的* 输出路径。这意味着 Nix 缓存可能会将新的派生链接到现有的输出,从而造成混淆。
进一步的实验表明,多个派生甚至可以映射到相同的输出,并且从派生中删除输入并不一定会改变最终的输出路径。派生与输出之间这种“1:N”的关系凸显了 Nix 内部复杂的交互,并强调了完全理解其底层机制的挑战。作者得出结论,掌握 Nix 需要应对这些意外行为,并愿意不断完善自己的心理模型。
## Nix 派生 & 存储路径讨论总结
这次黑客新闻讨论围绕着 Nix(一个强大的包管理器)的持续改进,具体解决“派生器”(构建派生的标识符)和存储路径的问题。核心问题是派生器并非唯一,导致缓存构建与本地评估不匹配时产生混淆,尤其是在固定输出派生时。
提出的解决方案涉及一个“构建追踪”功能,以更好地跟踪溯源,可能取代当前的派生器系统。这将允许精确识别存储路径的来源并改进 SBOM 生成。 争论的焦点在于*在哪里*存储 flake 特定的元数据——本地以保证用户一致性,还是存储在构建追踪本身中。
一个关键点是希望摆脱完全依赖存储路径*名称*,提倡将它们视为不透明的能力,而不是具有语义意义的标识符。一些人建议限制对 `/nix/store` 目录的访问以强制执行此操作,但提出了关于调试的担忧。最终目标是建立一个更强大、更可靠的系统来管理和理解 Nix 构建。
## 电子护照:安全概述
现代护照是复杂的设备,包含嵌入式芯片,存储个人数据并具有强大的安全功能。这些电子护照,通过“芯片内”标志可识别,利用密码学技术防止伪造、复制和未经授权的数据访问。数据以文件系统形式组织,并具有访问控制,遵循国际民航组织(ICAO)制定的标准。
早期的电子护照依赖于“基本访问控制”(BAC)——一种由于依赖于易于猜测的机器可读区(MRZ)数据而容易受到攻击的系统。 后来的增强功能,如带有“芯片认证”(CA)和“终端认证”(TA)的“主动认证”(AA)和“扩展访问控制”(EAC),通过增加密钥交换和终端验证来提高安全性。最新的标准 PACE 解决了 BAC 的弱点,将 MRZ 用作密码,而不是密钥推导来源。
尽管取得了这些进展,漏洞仍然存在。 护照的使用寿命长意味着遗留系统仍然存在,并且威胁模型超出了芯片安全,还包括来自检查系统以及通过 MRZ 进行潜在跟踪的风险。 零知识证明等新兴技术提供了隐私优势,但需要仔细实施,以避免重新引入依赖较弱身份验证方法等漏洞。 最终,保护电子护照需要持续的警惕和对不断演变的威胁形势的全面了解。
## 电子护照:摘要
一则Hacker News讨论围绕着电子护照背后的密码学展开,起因是trailofbits.com的一篇文章。虽然电子护照提供了便利性和更高的防伪安全性,但也引发了对潜在漏洞的担忧。
用户指出现实问题,例如有效护照中的芯片故障,以及华盛顿州增强型身份证等证件技术长期未变,这引发了对硬件可靠性和过时系统的质疑。一个关键的安全问题是,泄露的终端私钥可能危及生物识别数据。 建议的缓解措施包括使用带时间戳的证书,但这需要准确的内部时钟。
讨论还涉及电子护照的更广泛影响,质疑它们是否真的能解决除了监控和控制之外的问题。一些人认为它们主要加快了边境控制的速度并且更难伪造,而另一些人则强调了政府滥用的可能性。最终,该讨论强调了在数字身份识别背景下,安全、便利和隐私之间的权衡。