2025-03-21 Hacker News Top Stories

1. FOSS 基础设施受到人工智能公司的攻击 (FOSS infrastructure is under attack by AI companies)

https://thelibre.news/foss-infrastructure-is-under-attack-by-ai-companies/

这篇文章讨论了人工智能公司对自由开源软件（FOSS）基础设施的攻击，特别是通过爬虫程序的方式造成的困扰。文章提到，SourceHut 和 KDE 的 GitLab 基础设施都遭到了类似的攻击，导致开发者无法访问 GitLab。

HN 评论 555 comments | 作者：todsacerdoti | 11 hours ago

• • 人工智能公司的行为正在破坏开源基础设施和互联网秩序
• • 人工智能公司的行为是对知识产权和劳动权的威胁
• • 人工智能公司的行为可能会导致失业和社会不稳定
• • 人工智能公司的行为是资本主义制度的体现，追求利润而忽视社会责任
• • 人工智能公司的行为可能会导致知识产权法的改革和重构

2. Claude 网页助手现在可以搜索互联网 (Claude can now search the web)

https://www.anthropic.com/news/web-search

Claude 网页助手现在可以搜索互联网，提供更及时和相关的回应。通过网页搜索，Claude 可以访问最新的事件和信息，提高其在需要最新数据的任务中的准确性。

HN 评论 344 comments | 作者：meetpateltech | 7 hours ago

• • 大多数人在工作中表现平平，人类也可能不擅长自己的工作。
• • 许多工作可能是没有意义的，但这并不意味着从事这些工作的人没有价值。
• • 现代经济可能是基于“无意义”的消费和广告，导致资源浪费和环境问题。
• • 人们可能需要重新思考自己的生活方式和经济模式，以实现更可持续的发展。
• • 即使在专业领域，人们的技能水平也存在很大差异，达到顶级水平非常困难。

3. GitHub Actions 的痛点 (The Pain That Is GitHub Actions)

https://www.feldera.com/blog/the-pain-that-is-github-actions

这篇文章主要讲述了作者在使用 GitHub Actions 进行持续集成（CI）时遇到的各种问题和困扰，包括设置复杂性、安全性问题和与 Docker 的兼容性问题。

HN 评论 430 comments | 作者：qianli_cs | 20 hours ago

• • 应该尽量将 CI 逻辑写在自己的代码中，并且让管道可以在本地开发机器上运行，以便于测试和调试。
• • 应该避免使用 YAML，并且不应该将自己绑定在某些新兴的 CI 工具上。
• • 使用强大的本地构建工具，如 Nix 和 Bazel，可以提供很好的本地复现性和可靠性。
• • 下一代 CI 系统应该能够与本地工具深度集成，并提供更好的可视化和调试功能。
• • CI 工具的设置和维护需要工程师的参与和投入，不能仅仅依赖工具本身。

4. 前端开发的困境 (The Frontend Treadmill)

https://polotek.net/posts/the-frontend-treadmill/

这篇文章讨论了前端开发领域的一个普遍现象，即许多前端团队认为重写前端代码会带来更好的结果。作者认为，这种想法是错误的，前端框架的选择并不是决定产品成功与否的关键因素。

HN 评论

• • 前端开发领域过度拥抱破坏性更新和弃用，导致开发者难以跟上更新的步伐。
• • 前端领域的影响者和教程创作者推动着新技术的发展，但也导致了旧技术的快速弃用。
• • 视频教程在前端开发中很受欢迎，但有些人认为视频教程不如文字教程有效。
• • 视频教程可以提供动态的示例和调试过程，但也可能被用来娱乐而不是真正的学习。
• • 有些人认为视频教程更适合初学者，而经验丰富的开发者更喜欢文字教程。

5. 荷兰议会：是时候放弃美国科技转向本土选项了 (Dutch Parliament: Time to ditch US tech for homegrown options)

https://www.theregister.com/2025/03/19/dutch_parliament_us_tech/

荷兰议会通过八项动议，敦促政府放弃使用美国科技公司的产品和服务，转而使用本土替代方案。这些动议是在荷兰众议院讨论政府数据被转移到海外的担忧时提出和通过的。

HN 评论 265 comments | 作者：rippeltippel | 12 hours ago

• • 数据主权是未来十年的真正趋势，而不是量子计算或人工智能
• • 全球化导致产品质量下降和当地小企业的衰落
• • 全球化使得贫穷国家的人民摆脱了贫困，但也导致了西方国家的中产阶级缩小
• • 依赖外国技术和资源会使一个国家容易受到他国的影响和控制
• • 俄罗斯的侵略行为是由于其自身的扩张主义政策，而不是由于经济因素

6. 三维场景生成技术 (Bolt3D: Generating 3D Scenes in Seconds)

https://szymanowiczs.github.io/bolt3d

Bolt3D是一种可以在几秒钟内生成3D场景的算法。它可以接受一个或多个输入图像，并生成多视图的Splatter图像。然后，使用高斯头来回归Splatter图像，并将多个Splatter图像中的3D高斯函数结合起来形成3D场景。

HN 评论 48 comments | 作者：jasondavies | 1 day ago

• • 人工智能生成3D场景的技术还不够成熟，存在许多问题，如精度不高、计算资源消耗大等。
• • 学术界应该被允许尝试新的技术和方法，即使它们没有立即的商业价值。
• • 生成的3D场景在某些角度下可能看起来很好，但在其他角度下可能会出现问题，如缺乏细节、形状变形等。
• • 这种技术可能对某些特定领域有用，如游戏资产创建、建筑设计等，但需要进一步改进和完善。
• • 生成的3D场景可能不适合用于需要高精度和交互性的应用，如游戏、模拟等。

7. macOS 的安全漏洞 (CVE-2024-54471: Leaking Passwords (and More!) on macOS)

https://wts.dev/posts/password-leak/

本文讨论了一个名为 CVE-2024-54471 的漏洞，该漏洞已在 Apple 的安全更新中被修复，包括 macOS Sequoia 15.1、macOS Sonoma 14.7.1 和 macOS Ventura 13.7.1。文章首先介绍了操作系统中的内核概念，特别是 macOS 使用的 XNU 内核。

HN 评论 41 comments | 作者：nmgycombinator | 7 hours ago

• • macOS 的安全问题可能是由于其代码年代久远，来自 80 年代的 NeXTSTEP，里面可能包含了很多当今安全标准下不合格的代码。
• • 有些人回忆起了过去类似的安全漏洞，例如 Sun 3/60 的登录绕过漏洞，Linux 的安全漏洞等。
• • macOS 的 NetAuthAgent 代码可能很旧，可能多年没有更新，导致了安全问题的存在。
• • 有人提到了使用其他 FTP 客户端来避免 NetAuthAgent 的安全问题。
• • 某些设备，如 DOCSIS 线缆调制解调器，也存在类似的安全漏洞。

8. AI 代理的工作原理 (LLM Agents Are Simply Graph – Tutorial for Dummies)

https://zacharyhuang.substack.com/p/llm-agent-internal-as-a-graph-tutorial

这篇文章解释了 AI 代理的基本工作原理，将其比喻为一个简单的图，通过节点和边的结构来实现决策和执行任务的过程。文章提供了一个简单的示例，构建一个可以搜索网络并回答问题的 AI 助手，并解释了每个节点的具体实现。

HN 评论 77 comments | 作者：zh2408 | 1 day ago

• • 行业中对“agent”的定义存在两种不同的理解，一种是指 LLM 和工具通过预定义的代码路径进行编排，另一种是指 LLM 动态地控制自己的流程和工具使用。
• • Anthropic 的“agent”定义与大多数企业软件公司的理解不同，后者更倾向于将其称为“workflow”。
• • 现实世界中的“agent”例子还比较原始，主要是像 Deep Research 这样的应用。
• • Anthropic 的“workflow”定义不够准确，现代的 workflow 系统可以支持完全动态的逻辑。
• • AI 特定的 workflow 引擎存在一些问题，如不够稳健、容易崩溃、不能恢复、可见性和分布性不佳等。

9. 加拿大最大 AI 黑客马拉松漏洞利用 (How I accepted myself into Canada's largest AI hackathon)

https://fastcall.dev/posts/genai-genesis-firebase/

这篇文章讲述了作者如何发现并利用一个漏洞，成功地将自己接受到加拿大最大的 AI 黑客马拉松中。作者利用 pyrebase 库和 firebase API，测试网站的安全性，发现了一个有趣的设计选择，即网站在更新应用状态时，会将整个应用对象设置为新的状态。作者成功地将自己的应用状态更新为“已接受”，从而实现了自己的目标。

HN 评论 78 comments | 作者：fastcall | 18 hours ago

• • 现在的黑客马拉松已经变得过于正式和商业化，失去了最初的趣味和创造力
• • 评审过程中，评委对申请者的热情和兴趣的评价可能并不公正和客观
• • 有些人认为，黑客马拉松已经变成了企业获取廉价劳动力和想法的途径
• • 评委在黑客马拉松中的角色可能被用来作为获取 O-1 签证的依据，但这种做法可能并不符合签证政策的初衷
• • O-1 签证对持有者配偶的工作权利限制较大，可能会对一些人造成困难

10. CSS 间隙装饰：一种新的绘制分隔线的方法 (Minding the gaps: A new way to draw separators in CSS)

https://blogs.windows.com/msedgedev/2025/03/19/minding-the-gaps-a-new-way-to-draw-separators-in-css/

本文讨论了在网页中使用 CSS 绘制分隔线的新方法。传统的方法包括使用边框或伪元素，但这些方法都有局限性。作者提出了 CSS 间隙装饰的新方案，扩展了现有的 column-rule 属性，允许在网格和 flexbox 布局中绘制分隔线。

HN 评论 87 comments | 作者：SigmundurM | 16 hours ago

• • 新的 CSS 伪元素可以用来绘制分隔符，例如 :gap，可以设置背景颜色、内边距等样式。
• • 使用 :gap 伪元素可以实现更灵活的分隔符样式，例如可以设置不同的颜色、背景图案等。
• • column-rule 和 row-rule 的命名来源于印刷术语，表示页面布局中的分隔线。
• • 使用正确的术语可以避免混淆，尽管有些人可能不熟悉这些术语。
• • 在 CSS 中，术语的选择应该遵循内部的一致性和逻辑性，而不是为了迎合大众的认知。

完整摘要请点击 “阅读原文” 👇👇👇

Hacker News 精彩评论及翻译

The Frontend Treadmill

https://news.ycombinator.com/item?id=43422368

I have recently been doing some upgrades to the build system for our FE code to swap out yarn for pnpm. I’m normally a backend engineer, but I’ve spent plenty of time in the JS mines.

The most frustrating thing about dipping in to the FE is that it seems like literally everything is deprecated. Oh, you used the apollo CLI in 2022? Bam, deprecated, go learn how to use graphql-client or whatever, which has a totally different configuration and doesn’t support all the same options. Okay, so we just keep the old one and disable the node engine check in pnpm that makes it complain. Want to do a patch upgrade to some dependency? Hope you weren’t relying on any of its type signatures! Pin that as well, with a todo in the codebase hoping someone will update the signatures.

Finally get things running, watch the stream of hundreds of deprecation warnings fly by during the install. Eventually it builds, and I get the hell out of there.

It’s just nuts to me the degree to which FE development as a whole seems to embrace the breaking change, the deprecation, etc. I’ve been working on a large rust project for nearly four years and in that time there have been a few minor breaking changes in or of third party libraries, but only one major breaking change that required significant changes to our application. Meanwhile in JS it seems like you can’t go more than six months without having to rewrite something. It’s bananas.

Okay, rant over.

mplanchard

我最近一直在升级我们前端代码的构建系统，主要是要把yarn换成pnpm。我通常是一个后端工程师，但是我在JS领域也花了不少时间。

让我感到沮丧的是，每当我涉足前端开发时，感觉一切都已过时。如果你在2022年使用了Apollo CLI？好了，它已经被废弃了，去学习如何使用graphql-client吧，它的配置完全不同，而且不支持所有相同的选项。好吧，我们就保留旧的，然后在pnpm中禁用节点引擎检查，这样它就不会抱怨了。想要升级某个依赖项的补丁版本？希望你没有依赖它的任何类型签名！也要固定它，并在代码库中加上todo，希望有人会更新签名。

终于搞定一切，观看安装过程中成百上千个弃用警告流飞而过。最后终于构建完成了，我赶紧离开那里。

在我看来，前端开发领域整体上似乎非常拥抱破坏性改动、弃用等，真是让我百思不得其解。我已经在一个大型的Rust项目上工作近四年了，这段时间内只有几次第三方库的轻微破坏性改动，只有一次需要对我们的应用程序进行重大改变的破坏性改动。而在JS领域，似乎你无法在六个月内不需要重写某些东西。这简直是疯了。

好了，发牢骚结束了。

FOSS infrastructure is under attack by AI companie...

https://news.ycombinator.com/item?id=43422645

Yep -- our story here: https://about.readthedocs.com/blog/2024/07/ai-crawlers-abuse/ (quoted in the OP) -- everyone I know has a similar story who is running large internet infrastructure -- this post does a great job of rounding a bunch of them up in 1 place.

I called it when I wrote it, they are just burning their goodwill to the ground.

I will note that one of the main startups in the space worked with us directly, refunded our costs, and fixed the bug in their crawler. Facebook never replied to our emails, the link in their User Agent led to a 404 -- an engineer at the company saw our post and reached out, giving me the right email -- which I then emailed 3x and never got a reply.

ericholscher

是的，我们的故事在这里：https://about.readthedocs.com/blog/2024/07/ai-crawlers-abuse/ （正如原帖中提到的），我认识的每个人在运行大型互联网基础设施时，都有类似的故事——这篇帖子做得很好，总结了大量这样的故事放在一个地方。

我早就说过，当时我写下了这些，他们就在把自己的好感度烧成灰烬。

我需要指出，在这个领域的主要初创公司之一与我们直接合作，退还了我们的费用，并修复了他们爬虫中的漏洞。Facebook 从来没有回复过我们的电子邮件，他们的 User Agent 中的链接导致了 404 错误——该公司的一名工程师看到我们的帖子并主动联系，给我提供了正确的电子邮件地址——然后我给这个地址发了三次电子邮件，却从未得到任何回复。

The Pain That Is GitHub Actions

https://news.ycombinator.com/item?id=43420361

Already see people saying GitLab is better: yes it is, but it also sucks in different ways.

After years of dealing with this (first Jenkins, then GitLab, then GitHub), my takeaway is:

• • Write as much CI logic as possible in your own code. Does not really matter what you use (shell scripts, make, just, doit, mage, whatever) as long as it is proper, maintainable code.
• • Invest time that your pipelines can run locally on a developer machine as well (as much as possible at least), otherwise testing/debugging pipelines becomes a nightmare.
• • Avoid YAML as much as possible, period.
• • Don't bind yourself to some fancy new VC-financed thing that will solve CI once and for all but needs to get monetized eventually (see: earthly, dagger, etc.)
• • Always use your own runners, on-premise if possible

deng

已经有人说GitLab更好：是的，它确实更好，但它也以不同的方式存在问题。

经过多年的处理（首先是Jenkins，然后是GitLab，最后是GitHub），我的总结是：

• • 尽可能多地在自己的代码中编写CI逻辑。使用什么工具不重要（shell脚本、make、just、doit、mage等），只要是适当的、可维护的代码就行。

*投入时间确保你的pipeline可以在开发者机器上本地运行（尽可能地），否则测试和调试pipeline将变成噩梦。

• • 尽可能避免使用YAML，没错，就是这样。
• • 不要绑定自己到一些花哨的新东西上，它可能会用来解决CI的问题，但最终需要被货币化（例如：earthly、dagger等）。
• • 总是使用自己的runner，尽可能在内部部署。