1. 领英身份认证:3分钟换来“隐私裸奔”,连你犹豫都记录! (I verified my LinkedIn identity. Here’s what I handed over)
近日,一篇关于LinkedIn身份验证过程的深度调查揭示了用户在获取蓝色认证徽章时实际提交的个人信息之多。用户为了获得“真实身份”的认证,通过扫描护照并自拍,仅需三分钟便获得了徽章。然而,深入阅读隐私政策后发现,这一过程并非直接与LinkedIn进行,而是通过一家名为Persona的公司。Persona作为LinkedIn的第三方服务商,收集了用户的全名、护照信息(包括双面照片及芯片中的数字信息)、自拍照片、面部几何特征、国民身份证号、国籍、性别、出生日期、年龄、电子邮件、电话号码、邮政地址、IP地址、设备信息、操作系统版本、语言以及地理位置推断信息。
更令人担忧的是,Persona还记录了用户的犹豫和复制粘贴行为,并提取了用户的行为生物识别数据,这些信息被用于加强身份验证。
原文链接:https://thelocalstack.eu/posts/linkedin-identity-verification-privacy/
论坛讨论链接:https://news.ycombinator.com/item?id=47098245
社区上围绕LinkedIn身份验证及其隐私政策展开了热烈讨论。一位用户分享了Persona(提供身份验证服务的公司)CEO在LinkedIn上的回应,称其处理的个人数据绝不用于AI训练,仅用于身份确认;生物识别数据会立即删除,其他个人数据则在30天内自动删除,并列出了八个子处理方。该用户认为,法律文件可能措辞宽泛,但实际操作可能没那么糟糕,CEO的澄清有助于提高透明度。
然而,多位讨论者对此表示强烈质疑。有用户指出,CEO的口头承诺如果未能体现在法律文件和条款中,则毫无意义,并警告应对此类声明持保留态度。另有用户直言不讳地表示,不应信任任何公司高管,因为他们往往被激励去说谎、欺骗,并认为这种行为是对创新和基本道德的破坏,导致系统筛选出缺乏职业道德的人。还有讨论者强调,如果CEO的说法属实,就应该将其明确写入服务条款或隐私政策,因为高管在公开场合撒谎却几乎不受惩罚。最后,有用户质疑CEO在社交媒体上的言论是否具有法律约束力,能否作为指控的依据。
2. 穿越千年,英语你还认识几个字? (How far back in time can you understand English?)
语言学家科林·戈里设计了一项独特的语言实验,他创作了一篇虚构的博客文章,讲述一位博主前往名为“伍尔弗利特”的沿海小镇的经历。这篇博客文章的特别之处在于,其语言风格并非一成不变,而是随着内容的推进,逐渐从现代英语演变为数百年前的古英语形式,包括乔治时代、伊丽莎白时代乃至中世纪的英语。文章的拼写、语法、词汇和语气都在不断变化,从最初轻松的旅行日志风格,逐渐转变为古老的日记或编年史笔调,使得现代读者在阅读后期内容时,会感到如同阅读外语般难以理解。戈里指出,尽管故事本身是虚构的,但其中所呈现的语言演变却是基于真实的语言学知识构建的。这项实验旨在生动地展现英语在一千年间的巨大变迁,并揭示了现代人理解古代文本所面临的挑战。通过这篇独特的博文,戈里向读者展示了语言演变的深度与复杂性。
原文链接:https://www.deadlanguagesociety.com/p/how-far-back-in-time-understand-english
论坛讨论链接:https://news.ycombinator.com/item?id=47061614
社区成员们围绕“能理解多大程度上古的英语”展开讨论。有人指出,语言的口语形式和书写形式是不同的,口语的语音和可理解性变化可能很大,但书写形式不一定能反映这些变化。
讨论中,多位成员分享了亲身经历,说明即使是现代英语,不同地区或口音之间也可能存在沟通障碍。有人提到,在英国不同地区旅行,会遇到听不懂当地人的情况,甚至有人认为某些美国英语口音比现代英国标准口音更接近莎士比亚时代的英语。
此外,有评论者分享了自己需要为使用不同英语口音的人进行翻译的经历,认为某些口音在元音发音上可能朝着相反的方向演变。有人还提到了在学校学习乔叟(Chaucer)时期英语的经历,并分享了关于听懂不同口音英语的视频链接,以佐证口音和古英语对理解的挑战。
3. Lean 4:告别AI“幻觉”,用严谨证明铸就智能新优势 (Lean 4: How the theorem prover works and why it’s the new competitive edge in AI)
大型语言模型虽然展现出惊人能力,但在金融、医疗和自动驾驶等高风险领域,其固有的不可预测性和“幻觉”(即自信地输出错误信息)是不可接受的。为此,开源编程语言和交互式定理证明器Lean4正成为为人工智能系统注入严谨性和确定性的关键工具。Lean4通过利用形式化验证,有望使人工智能更安全、更可靠且功能确定。Lean4既是一种编程语言,也是一个证明助手,专为形式化验证而设计。在Lean4中,每一个定理或程序都必须通过其可信内核的严格类型检查,结果非对即错,不留任何模糊空间,从而“显著提高”任何形式化内容的可靠性。这意味着Lean4提供了一个数学上保证正确性的框架,而非仅仅依靠概率。与现代人工智能系统基于复杂神经网络的概率性行为不同,Lean4的证明或程序在给定相同输入时,每次都会产生相同的验证结果,这展现了其确定性和透明度(每个推理步骤都可审计),成为解决人工智能不可预测性的有效方案。
论坛讨论链接:https://news.ycombinator.com/item?id=47047027
在关于Lean 4作为AI新竞争优势的社区讨论中,一位评论者(upghost)分享了使用AI辅助TLA+进行形式化规范的经验。他指出,AI常证明一些琐碎或与实际问题无关的内容,而非真正需要验证的核心问题。他对此表示担忧,认为AI自信呈现的“证明”可能未能涵盖所有预期的保障,尤其在人类难以穷尽所有可能性的分布式系统中,这种“证明”与实际需求之间的差距是AI辅助证明工具面临的关键挑战。
另一位评论者(oggy)回应称,为实际系统找到“正确”的规范确实极其困难,通常难以形式化所有相关属性。他指出,尽管可能无法完全压缩所有复杂性,但仍可提炼出少数“明显正确”的关键属性。他强调这需要巨大的投入,有时为形式化一个属性可能耗费数周,但考虑到潜在的昂贵错误以及系统维护的简化,这种努力是值得的。
一位非数学背景的评论者(awesomeMilou)则好奇地询问,oggy所说的“卡住数周”具体意味着什么,以及在这段时间里通常会进行哪些工作,以更好地理解高级数学实践。
4. 告别AI内容农场:这份uBlock黑名单,只为真人创作与安全信息 (AI uBlock Blacklist)
一名开发者创建了一个名为“AI uBlock Origin Blacklist”的个人黑名单,旨在帮助用户屏蔽由人工智能生成内容的网站。该黑名单的创建者表示,许多AI生成内容的网站提供的信息缺乏价值,内容平庸,并且充斥着广告和联盟链接,其主要目的是通过搜索引擎优化(SEO)来盈利。他认为,当用户在线搜索信息时,他们期望获得的是由真人撰写的、包含经验、观点、创意和更丰富信息的答案,而AI生成的内容则缺乏这些特质。此外,AI生成内容还存在潜在的危险,因为内容农场生成的文章未经人工审核,可能包含不准确甚至危险的建议,例如错误的电路操作、执行危险的电脑命令或混合有毒化学品。因此,该黑名单致力于阻止这些不可靠且未经审查的内容。目前,该列表中的条目是手动添加的,因为作者认为自动化工具难以准确识别AI生成的内容。
原文链接:https://github.com/alvi-se/ai-ublock-blacklist
论坛讨论链接:https://news.ycombinator.com/item?id=47098582
该讨论围绕一个名为“AI uBlock Blacklist”的GitHub项目展开,该项目旨在创建一个针对AI生成内容的广告拦截列表。
一位用户对该项目维护者“有问必答”(NAQ)部分中“我的网站上了黑名单,去你的吧”的态度表示担忧,认为这种处理方式不利于公开黑名单的维护。
另一位用户则辩护称,维护这样一个列表非常困难,因为需要应对大量来自SEO推广者关于其内容并非AI生成的虚假声明。他认为“先拉黑,后问问题”是更有效率的做法,并鼓励用户自行修改不合理的规则。
还有用户指出,在讨论区内普遍存在屏蔽国家和IP段的情况下,对有人创建此列表感到并不意外,认为这是网络不受信任的体现,“检查你的广告拦截器”已成为新的“检查你的垃圾邮件文件夹”。
有评论者担忧该列表若被广泛使用,可能因维护者的懒惰或权力滥用而错误地屏蔽正常网站,从而产生巨大影响。
一位用户分享了个人经历,其网站被Pi-hole上的一个非AI相关列表错误屏蔽,尽管提出了申诉,至今仍未被解除,原因不明。
对此,有人建议向Adguard等维护更积极的列表的平台报告问题,并推荐Adguard作为Pi-hole的替代品。
最后,有人猜测网站被屏蔽可能是因为被黑客攻击并托管了恶意软件,这种攻击方式很难被网站所有者察觉。
5. 差一错误终结者:TigerBeetle的命名法革命 (Index, Count, Offset, Size)
在计算机科学领域,为事物命名一直是一个棘手的问题,而一种创新的命名约定正在帮助解决这一难题,尤其是在处理索引和计数时可能出现的“差一错误”。开发者常常因为代码中的笔误或对变量作用域的误解而引入低级错误,即使是强类型语言也难以完全规避。类型系统虽然能有效防止意外的错误,但其证明代码行为正确性的能力存在局限,有时过于冗长的类型检查反而会影响代码的可读性。
对于索引和与之相关的“差一错误”,传统的类型系统似乎难以有效渗透。虽然可以通过一些模式(如使用“新类型”或将索引与特定数组绑定)来增强安全性,但这些方法在实际应用中效果有限。当需要计算索引时,确保其在数组边界内并记住最大有效索引比数组长度小一这一点至关重要。
一家名为TigerBeetle的公司提出了一种有效的命名约定,以减少与索引和计数相关的错误。
原文链接:https://tigerbeetle.com/blog/2026-02-16-index-count-offset-size/
论坛讨论链接:https://news.ycombinator.com/item?id=47058584
社区成员对编程中“长度”、“计数”、“偏移量”和“大小”等概念的区分进行了热烈讨论。有观点认为,明确区分“计数”(元素的数量)和“大小”(字节数)对于避免因混淆而导致的调试错误至关重要,尤其是在序列化代码中。这种区分能显著提高代码的可读性和可维护性。
此外,一种“大端命名法”(例如 source_index 而非 index_source)的命名约定也引起了关注。这种命名方式能使相关变量在字母排序时靠拢,从而便于使用 grep 等工具进行搜索,并提升 IDE 自动补全的效果。这种命名约定在代码审查中尤其有价值,审阅者可以更直观地识别出字节数量和元素数量之间的潜在不匹配。
也有其他参与者提出,与其依赖命名约定,不如使用独立的、具有类型安全性的数据类型来强制编译器在编译时捕获这些不匹配问题。同时,有人引用了一篇关于“让错误代码难以编写”的经典文章,强调了编码规范的重要性。还有人认为这种命名方式更应被视为“英文命名法”,因为其在英语环境中更符合阅读习惯。
6. 重塑互联网起源:CERN复原1989年首款浏览器 (CERN rebuilt the original browser from 1989 (2019))
1990年12月,欧洲核子研究组织(CERN)在日内瓦郊外的一台NeXT电脑上开发了名为WorldWideWeb的应用程序,这款程序被公认为当今全球互联网(或称“万维网”)的先驱,奠定了大部分现代网络概念和技术的基础。为纪念WorldWideWeb开发三十周年,一群开发人员和设计师于2019年2月在CERN齐聚一堂,共同致力于在现代浏览器中重建这款原始浏览器,旨在让世界各地的用户有机会亲身体验这项变革性技术的简朴起源和早期形态。该项目得到了美国驻日内瓦代表团通过CERN与社会基金会的鼎力支持。现在,用户可以轻松启动重建的WorldWideWeb浏览器,通过简单的操作,例如在侧边菜单中选择“Document”并输入统一资源定位符来打开网页,并体验需要双击链接等早期交互模式,重新感受万维网的原始浏览体验。
原文链接:https://worldwideweb.cern.ch
论坛讨论链接:https://news.ycombinator.com/item?id=47095429
社区中,用户们围绕CERN重建1989年原始浏览器的消息,回顾了互联网早期发展与个人经历。
用户gerdesj回忆,1992年他调查“万维网”时,通过telnet连接CERN,发现其与Gopher和WAIS相似,当时浏览器简陋,图形功能匮乏。hackingonempty指出,NeXT电脑体验虽不同,但他最初认为万维网因自由文档、有限导航和图像支持,且缺乏网页制作规范,潜力不明显,并自嘲曾错判趋势。
hinkley分享了自己屡次“迟到”技术革命的经历。他曾对朋友作为Mosaic开发者展示的文本图片功能不解,直到后来才领悟万维网的深远影响,并理解了“与其优秀不如幸运”的感悟。
FpUser认同错过机遇的感受,如早期未投资比特币,但他心态随和。dist-epoch总结道,这并非运气不佳,而是缺乏远见,因他们身处正确时机和地点,却未能洞察其价值。
7. OAuth:告别密码,安全授权的终极解方 (What Is OAuth?)
OAuth,一个旨在解决委托授权核心问题的标准,其核心理念自19年前首次提出至今仍保持不变,尽管规范细节有所增多。其诞生源于2006年末,当时Twitter希望支持OpenID 1.0以避免成为中心化的在线身份持有者,但很快发现OpenID 1.0无法同时满足桌面客户端和网页登录在无密码场景下的需求,尤其是在移动应用程序尚未普及但即将兴起的背景下。彼时,众多“Web 2.0”网站(如Flickr、亚马逊云服务、Delicious等)都需要一种方式,让第三方应用程序在不直接获取用户主密码的情况下访问其账户,但当时现有的解决方案普遍不安全且高度定制化。为了解决这一普遍存在的痛点,并避免Twitter重复构建专有授权系统,OAuth应运而生,旨在提供一个统一的委托授权标准。OAuth的核心功能非常简洁:它标准化了两个关键步骤。
原文链接:https://leaflet.pub/p/did:plc:3vdrgzr2zybocs45yfhcr6ur/3mfd2oxx5v22b
论坛讨论链接:https://news.ycombinator.com/item?id=47096520
社区中关于OAuth的讨论主要围绕OAuth 2.0的设计与缺陷展开。前OAuth 1.0作者及OAuth 2.0早期编辑埃兰·哈默因认为IETF专注于企业用例,无法实现简洁,而辞职并撤回其姓名。他严厉批评OAuth 2.0变得“更复杂、更难互操作、用处更少、更不完整,最重要的是,更不安全”。哈默指出,OAuth 2.0在架构上解除了令牌与客户端的绑定,移除了协议层面的签名和加密,并引入了过期令牌机制以弥补无法撤销的缺陷,同时使授权处理更为复杂。他认为规范中许多内容被模糊处理或未限定,为咨询服务和集成解决方案创造了商机。
电子邮件客户端Pegasus Mail的作者大卫·哈里斯也批评OAuth 2.0是“一团糟”,开发者需要为每个服务(如Gmail、微软邮件服务)编写定制模块并单独注册。然而,在密码学工程界,部分观点认为移除OAuth 2.0中“奇怪的尝试性加密”是积极的,因为它使得协议回归到依赖同源策略和TLS(传输层安全协议)来保障安全,而非内部复杂的加密机制。这反映了社区内对OAuth 2.0设计理念的不同解读和评价。
8. AI助手:广告公司的“新马甲” (Every company building your AI assistant is now an ad company)
随着OpenAI正式开启广告业务并进军硬件领域,AI助手的演进正步入一个充满矛盾的新阶段。为了实现真正“预判需求”的智能,新一代硬件——如OpenAI与Jony Ive联手打造的无屏幕设备——必须摆脱“唤醒词”的束缚,实现全天候的音频与视觉捕捉。这意味着AI将深入最私密的家庭场景,记录下从医疗讨论到情感宣泄的所有瞬间。
然而,核心危机在于结构性矛盾:目前领跑的AI巨头大多由广告驱动。尽管企业承诺隐私保护,但历史证明“政策只是口信,架构才是保证”。一旦海量生活实况接入云端,在商业利益诱导下,隐私防线极易崩溃。
好消息是,技术天平正在向“边缘侧”倾斜。得益于模型压缩与高性能芯片的飞跃,如今无需联网,本地硬件已足以处理复杂的语音交互与语义记忆。对于追求极致科技体验与生活安全感的读者来说,真正的未来AI不应依赖云端承诺,而应在物理架构上实现“全知全能,却绝不外传”。
原文链接:https://juno-labs.com/blogs/every-company-building-your-ai-assistant-is-an-ad-company
论坛讨论链接:https://news.ycombinator.com/item?id=47092203
社区成员们就AI助手公司转向广告模式以及数据隐私问题展开了激烈讨论。有评论者对一家正在推广“始终在线、始终监听”AI设备的公司提出质疑,认为其产品侵犯用户隐私,并担忧数据被窃取或用于不当目的。
另有评论者指出,法律体系的绝对性使得任何存在的信息都可能被强制访问,除非采取抵抗解密的加密方式,否则信息的唯一隐私保障在于信息本身不被创建。尽管如此,有观点认为,相较于公司数据中心,在家本地处理数据更为安全,并介绍了最小化原始数据存储时间、精细化记忆提取以及硬件加密等保护措施。
此外,有评论者建议允许用户自行设定原始数据存储时长,并设置“死亡开关”功能,以增强用户对自身数据的控制权。整体而言,讨论聚焦于AI技术发展与个人隐私保护之间的矛盾,以及如何在技术层面和法律层面寻求平衡。
9. Cord:AI代理的动态协作之树 (Cord: Coordinating Trees of AI Agents)
近期,一款名为Cord的创新人工智能代理协调框架引起了业界的广泛关注。与现有框架不同,Cord允许人工智能代理根据任务需求动态构建和调整工作流程,而非依赖开发者预先设定的静态结构。当前的多代理框架,如LangGraph、CrewAI、AutoGen和OpenAI Swarm,虽然在协调方面各有侧重,但普遍存在一个共同的限制:开发者需要提前定义代理之间的交互模式、任务依赖关系或代理角色,这种硬编码的方式在面对复杂且不可预测的任务时显得僵化。Cord的独特之处在于,它将复杂任务的分解和协调过程交由AI代理自身在运行时完成,使其能够根据实际情况创建任务树,并智能地处理任务间的依赖关系和并行执行。例如,在评估API从REST迁移到GraphQL的建议任务中,Cord能够自动识别出需要进行API审计和GraphQL研究两个并行子任务,并根据审计结果提出具体问题,最终生成定制化的迁移建议。
原文链接:https://www.june.kim/cord
论坛讨论链接:https://news.ycombinator.com/item?id=47096466
在社区讨论中,一位用户对一篇关于AI代理协调的博文提出了尖锐的批评,认为其内容由AI生成,且缺乏原创性。该用户指出,博文中描述的“spawn”和“fork”概念,以及AI模型对工具的运用,并非新颖之处,而是现有技术的重新包装。他强调,AI生成内容给读者带来了不成比例的负担,并质疑作者是否真正理解了技术内容。
作者回应承认了标签上的不足,并解释了“spawn”和“fork”的工具描述,但坚持认为新颖之处在于树状结构的生成。他表示,如果剔除非关键部分,会使博文更清晰。
批评者对作者的解释表示感谢,但也指出“急于发布”并非充分理由,并希望作者能发布更深入的、包含实验观察和自我批判的原创内容,尤其是在研究层面。作者则表示乐意为此撰写更详尽的文章。
10. Acme天气:直面不确定,揭示多重未来 (Acme Weather)
Acme Weather的创始人亚当·格罗斯曼宣布推出这款新应用,回顾了十五年前启动Dark Sky天气应用的历程。该应用历经多次迭代和重大重新设计,最终被苹果公司收购,其核心预测功能被整合到苹果天气中。尽管在苹果的工作经历愉快,但团队发现市面上众多天气应用在处理预测不确定性方面仍有不足,且怀念作为小型初创公司的日子,这促使他们再次创业。Acme Weather的核心理念是直面天气预报固有的不确定性。传统天气应用通常只提供一个“最佳猜测”,让用户难以判断预测的可靠性和其他可能发生的情况。Acme Weather则摒弃了预报总是准确的假设,通过引入“备选未来预测”功能来解决这一痛点。该功能利用数值天气预报模型、卫星数据、地面观测站和雷达数据等多种来源生成自研预报,并在此基础上补充一系列备选预测线,以展现多种可能的未来天气结果。
原文链接:https://acmeweather.com/blog/introducing-acme-weather
论坛讨论链接:https://news.ycombinator.com/item?id=47098296
社区成员讨论了Acme Weather这款新推出的天气应用。一些用户推荐了其他优秀的天气应用,如zoom.earth和earth.nullschool.net,并提及了它们的开发者。
关于Acme Weather本身,多位用户指出该应用目前仅在美国和加拿大可用,这与展示欧洲天气状况的示例图片不符,并对App Store未明确标注可用区域表示不满。
价格方面,25美元/年的订阅费用引起了广泛质疑。用户认为市场上已有许多免费且准确的天气信息来源(如Google),Acme Weather的雷达视图和概率预测不足以支撑如此高的价格。有人将其与已停止服务的Dark Sky应用类比,讨论了其盈利模式和市场需求。
此外,用户还提到了“订阅疲劳”现象,表示已订阅过多服务,难以再接受新的年度订阅。尽管有人对Acme Weather自研的预测模型表示兴趣,但总体而言,用户对其定价和全球可用性持保留态度。有评论认为,天气预报的本地化特性使得全球通用的天气应用难以成功,并以澳大利亚和美国市场的Apple Weather为例说明了这一点。