1. Google违背通知承诺,把用户数据直接交给了ICE (Google broke its promise to me – now ICE has my data)
EFF 披露,Google 在收到 ICE 的行政传票后,未像过去近十年承诺的那样提前通知用户,而是先把数据交出,再事后发邮件告知。事件当事人是一名曾短暂参加支持巴勒斯坦抗议活动的国际学生,他离开美国后仍在日内瓦收到 Google 通知,才得知自己的账号数据已被交给美国国土安全部门。EFF 已向加州和纽约州总检察长投诉,指控 Google 存在误导性商业行为。文章的核心不只是单个案件,而是平台对“会提前通知用户、除非法律禁止”的长期承诺是否仍可信,以及这种数据交付机制会如何扩大移民执法对言论与个人安全的寒蝉效应。
原文链接:https://www.eff.org/deeplinks/2026/04/google-broke-its-promise-me-now-ice-has-my-data
论坛讨论链接:https://news.ycombinator.com/item?id=47782570
讨论主要围绕两层分歧展开:一层是法律边界,许多人强调在美国境内的非公民也应受第一修正案保护,不能用移民执法去变相惩罚政治表达;另一层是平台责任,有人指出行政传票常附带保密要求,Google 未必总能提前通知,但也有人认为这恰恰说明用户不该把“平台会保护我”当成默认前提。整体气氛非常警惕。
2. Cal.com宣布转向闭源:理由是AI时代的安全风险 (Cal.com is going closed source)
Cal.com 宣布在坚持开源五年后改为闭源,公开给出的理由是 AI 正在显著降低漏洞发现和利用门槛,继续把完整生产代码公开,会让攻击者更容易系统性扫描并威胁用户数据。团队表示这不是轻松决定,但他们判断在当前安全环境下,必须优先保护真实客户与生产系统。同时,他们会把一个 MIT 授权的社区版本以 Cal.diy 的形式保留下来,供爱好者和自托管用户继续使用。文章反映的是一类越来越常见的创业公司心态变化:当 AI 安全工具商业化后,开源不再只意味着社区协作,也意味着更高频、更自动化的攻击暴露面。
原文链接:https://cal.com/blog/cal-com-goes-closed-source-why
论坛讨论链接:https://news.ycombinator.com/item?id=47780456
HN 讨论几乎一边倒地质疑这个理由。很多人引用前一天那篇“网络安全更像算力/代币竞赛”的文章反驳,认为 AI 时代开源反而更重要,因为审计预算可以被社区共享,闭源只会把安全验证私有化。也有人猜测真正原因可能是商业模式、授权控制或企业销售,而不是官方声明里的“为了安全”。整体对这次叙事并不买账。
3. Stop Flock:一套“车辆指纹”系统如何把城市变成无感追踪网 (Stop Flock)
Stop Flock 是一个反对 Flock Safety 监控网络的站点,系统性梳理了这家公司如何把传统车牌识别升级成“车辆指纹”平台。除了车牌,系统还会分析颜色、车型、车顶架、刮痕、轮毂,甚至贴纸位置,并通过“Convoy Analysis”等功能推断车辆之间的长期关联和共同轨迹。站点强调,这些数据可以跨地区、跨机构在警务网络中被检索,往往无需搜查令,形成一套记录普通人日常移动、关系和路线习惯的基础设施。文中还列举了记者开车穿越弗吉尼亚时被数十个摄像头捕获,以及警方滥用系统跟踪前伴侣等案例,试图说明这不是抽象风险,而是已经发生的现实。
论坛讨论链接:https://news.ycombinator.com/item?id=47772012
评论区虽然普遍反感监控扩张,但也有人提醒,单纯反对技术并不能解释地方政府为何不断采购这类系统。一个常见观点是,很多城市缺少可信、贴近社区的传统警务能力,于是会把秩序焦虑转移到“看起来更高效”的技术方案上。反方则指出,警务预算并不低,问题是资源配置和激励机制,而不是摄像头数量不够。
4. Anna’s Archive在Spotify盗版案中败诉,被判赔3.22亿美元 (Anna’s Archive loses $322M Spotify piracy case without a fight)
TorrentFreak 报道,Anna’s Archive 在一起涉及 Spotify 录音文件的版权诉讼中未出庭应诉,纽约南区法院因此作出缺席判决,按原告请求全额判赔 3.22 亿美元。判赔结构包括 major labels 针对约 50 首作品按法定最高额计算的侵权赔偿,以及 Spotify 基于 DMCA 规避条款对约 12 万个音乐文件提出的额外索赔。文章指出,这个数字已经被原告描述为“极其保守”,如果按全部外泄文件数量计算,理论金额还会更高。案件对 Anna’s Archive 的象征性打击很大,也让原本带有“数字保存/公共知识”辩护色彩的项目,背上了更明显的商业版权风险。
原文链接:https://torrentfreak.com/annas-archive-loses-322-million-spotify-piracy-case-without-a-fight/
论坛讨论链接:https://news.ycombinator.com/item?id=47776035
很多评论都在批评 Anna’s Archive 把音乐文件泄露和图书档案项目绑在一起,认为这是战略上的严重失误。支持者原本愿意为“知识保存”辩护,但对把 Spotify 曲库也卷进来并不认同,觉得这既没有额外公共利益,也平白扩大了法律风险。也有人借机回顾旧帖,提醒“想保护档案事业,就别把最脆弱的边界主动踩穿”。
5. 网络安全现在更像“工作量证明”:谁先花更多token找出漏洞 (Cybersecurity looks like proof of work now)
文章借 Anthropic Mythos 与 AI Safety Institute 的评估结果提出一个尖锐观点:在 AI 辅助攻防时代,安全正越来越像一种“工作量证明”竞赛。AISI 给多款模型分配高达 1 亿 token 的预算,让它们完成一套估计需要人类 20 小时的 32 步企业内网攻击流程,结果 Mythos 成为唯一在部分尝试中成功通关的模型。作者据此推演出一种新经济学:要防住攻击,防守方必须愿意投入比攻击者更多的 token 和预算去提前发现漏洞,而且暂时还看不到明显的收益递减。这篇文章的重点不是赞叹单个模型,而是指出未来安全投入可能会被重新定义为“持续用计算预算买审计能力”。
原文链接:https://www.dbreunig.com/2026/04/14/cybersecurity-is-proof-of-work-now.html
论坛讨论链接:https://news.ycombinator.com/item?id=47769089
最有代表性的反驳来自 antirez,他认为“工作量证明”类比抓住了成本上升,却忽略了智能上限。对真实漏洞来说,并不是无限增加采样就一定能找到结果,模型能力本身才是决定因素,低水平模型即使跑无穷次也可能永远想不到关键推理链。也有人折中地说,虽然不完全像哈希碰撞,但在更宏观层面它依然会演变成“更多钱、更多算力的人更占优”。
6. 修掉Enlightenment E16一个20年老Bug:根源竟是牛顿法实现有误 (Fixing a 20-year-old bug in Enlightenment E16)
作者记录了一次非常“老派”的调 bug 之旅:自己每天仍在使用 1997 年诞生的 Enlightenment E16 窗口管理器,却在打开某个 PDF 时把整个桌面稳定卡死。通过 gdb 挂到现场进程后,她发现调用链反复停在 imlib2 的字体缓存相关逻辑,再一路往上追,最终将问题定位到一个可追溯到 2006 年的极罕见 bug。更妙的是,这个显示层面的死锁/卡死根因并不在字体本身,而牵扯到一段错误的牛顿迭代实现。文章既有调试细节,也有老代码库技术债、复现实验和验证修复过程,读起来很像一篇完整的工程考古实录。
原文链接:https://iczelia.net/posts/e16-20-year-old-bug/
论坛讨论链接:https://news.ycombinator.com/item?id=47774789
评论区一边感叹作者年纪轻轻却在认真维护上古桌面环境,一边笑称“可稳定复现的 bug 才是最幸福的 bug”,因为这意味着你终于拥有了测试样本。也有人借机回忆 E16 当年的地位,讨论如今什么才算“轻量级桌面”。整体上大家对这种带完整复现链条的调试文章评价很高。
7. Wacli:一个基于WhatsApp Web协议的命令行客户端 (Wacli – WhatsApp CLI)
Wacli 是一个构建在 whatsmeow 之上的 WhatsApp CLI,目标是提供本地消息同步、离线搜索、消息发送以及联系人和群组管理等能力。项目支持 QR 认证、持续同步、历史回填、媒体下载与文件发送,并把默认存储做在本地目录中。最新版本补充了 reaction/reply 文本展示、发送文件时自定义显示名,以及设备标签和平台名的环境变量覆盖。它的定位很明确:不是官方 API,也不试图包装成企业消息平台,而是为个人或开发者提供一套偏黑客风格的 WhatsApp 命令行工作流。
原文链接:https://github.com/steipete/wacli
论坛讨论链接:https://news.ycombinator.com/item?id=47775628
讨论的核心不是功能,而是风险边界。做过相关业务的人直言,基于 WhatsApp Web 协议的自动化很容易踩到 Meta 的风控线,发得太快或像 SaaS 批量操作就可能被封。相对温和的意见则认为,只要把它当个人工具、行为像真人而不是营销系统,风险仍可控。大家基本同意一点:建立在别人消费级平台上的自动化,始终带着政策不确定性。
8. 想写编译器?先读这两篇论文,不必一上来就啃“龙书” (Want to write a compiler? Just read these two papers (2008))
这篇 2008 年旧文的核心观点很直白:很多编译器教材并不差,但对初学者来说范围过大、理论过重,容易让人学了一堆自动机和文法细节,却离“真的写出一个编译器”更远。作者因此推荐从两份更短、更具构建感的材料入手,尤其推崇 Jack Crenshaw 的《Let’s Build a Compiler!》,因为它把编译器降回一个可以动手实现的工程问题,而不是抽象理论迷宫。文章也指出 Crenshaw 系列的局限,比如几乎没有 AST,这时就需要第二篇材料来补上内部表示这一层。整体是一篇典型的“去神话化”写作:编译器并非不可碰,只是很多入口把门槛抬得过高。
原文链接:https://prog21.dadgum.com/30.html
论坛讨论链接:https://news.ycombinator.com/item?id=47776796
评论区刚好复现了这场老争论:有人认为“龙书”第二章本身就是完整入门,问题不在书,而在读者预期;也有很多人说自己正是被它吓退,直到遇到更偏实现、能一步步搭出工作系统的资料才真正入门。顺带还冒出不少经典补充书单,比如 Wirth 的小书和各种老 HN 汇总帖。
9. 好睡眠、好学习、好生活:一篇老长文重新讨论睡眠与认知 (Good sleep, good learning, good life (2012))
这篇来自 2012 年、后续又更新过的长文试图把睡眠研究和学习、创造力联系起来,系统梳理睡眠的重要性、昼夜节律与睡眠稳态两大机制,以及“自由运行睡眠”等实践建议。作者强调,睡眠不是效率附属品,而是记忆巩固、神经代谢清理和长期认知表现的基础条件;如果长期忽视生理节律,很多学习与精神状态问题都会被放大。文章篇幅极长,带有明显的“个人研究汇编”色彩,但它吸引 HN 的原因很直白:每个重度脑力劳动者都知道睡眠重要,却很少真正围绕它来设计生活方式。
原文链接:https://super-memory.com/articles/sleep.htm
论坛讨论链接:https://news.ycombinator.com/item?id=47776557
评论里最受关注的一类反馈不是实验数据,而是人生经验:有人认为睡眠、自律和专注往往受更深层的心理状态影响,如果一个人对生活没有方向感,再多健康建议也很难持续执行;也有人提醒不少人可能混有 ADHD 或其他精神健康因素,不能把睡眠问题简单归结成“意志力不足”。这让讨论从生理学自然延伸到了情绪与生活结构。
10. 《上帝睡在矿物中》:一组矿物标本照片意外击中了HN (God sleeps in the minerals)
这篇文章本身几乎没有传统意义上的“正文”,更像一则公开笔记:作者在洛杉矶自然历史博物馆的 Unearthed: Raw Beauty 展览中拍下多张矿物标本照片,只留下题为“God sleeps in the minerals”的一句诗性标题,邀请读者自行观看。这种极简发布原本更像博客边角料,却因为照片本身的视觉冲击和标题的神秘感,被推上了 HN。它也提醒人一件事:并非所有热门内容都需要密集论述,有时只是一组足够好的标本图像与一句好标题,就能唤起观众对自然尺度、时间感和物质之美的直接反应。
原文链接:https://wchambliss.wordpress.com/2026/03/03/god-sleeps-in-the-minerals/
论坛讨论链接:https://news.ycombinator.com/item?id=47778475
讨论大体分成两类:一类是真正的矿物爱好者,聊矿物俱乐部、野外采集、公共土地与私人矿区的差异,以及普通 rockhounding 爱好者为什么很难接触到博物馆级标本;另一类则被标题和宗教表述吸引,夹杂少量困惑与冒犯式留言。总体上,真正留下来的有价值评论还是围绕矿物收藏与地质兴趣展开。