📰 Hacker News Top 10 - 2026-03-16
📋 今日热门文章
以下是过去 24 小时 Hacker News 上最热门的 10 篇文章,附带中文摘要和精彩评论翻译。
1. $96 3D 打印火箭:使用 5 美元传感器在空中重新计算轨迹
得分: 374 | 评论: 336
这是一个爱好者项目,展示了如何使用廉价零件和 3D 打印技术制造一枚能够在空中重新计算飞行轨迹的火箭。整个造价仅 96 美元,其中制导系统使用了一个 5 美元的传感器。
精彩评论:
我记得 1995 年我们的机器人学讲师讲过一个轶事:西方努力制造最贵最好的技术,而另一方没有这种条件,只能依靠创造力。他描述了冷战时期他们得到的一枚俄罗斯导弹,原本以为是热导导弹,但完全找不到控制和制导电路,只有一个 LDR(光敏电阻)连接到一个线圈来移动尾翼,仅此而已。整个制导系统成本可能几美元,相比之下我们当时最便宜的制导系统也要几十万。关键在于,如果有光照,尾翼向一个方向移动;没有光,就向相反方向移动。由于导弹本身不稳定,绕推力轴旋转,它会不断探索方向,当它看到亮光就会向锥体中心调整。这样它就能”探索天空”并锁定它能看到的最亮物体——希望是飞机的排气口,完全不需要”大脑”就能自动追踪移动目标。
消费电子和军品级能力之间的差距一直在缩小,这是一个非常明显的例子。几年前,这需要一个比整个项目还贵的 IMU。民主化一方面让爱好者可以做很酷的东西,但另一方面从扩散角度看也确实令人担忧。
工程方面确实令人印象深刻,但在 GitHub 上命名为 MANPADS(便携式防空导弹)肯定会引来你不想要的关注。撇开 ITAR 不谈,有趣的部分是用 5 美元传感器实现空中轨迹重新计算,这正是军事制导系统花费数千美元解决的基本问题。
2. Spotify AI DJ 令人震惊的愚蠢
得分: 347 | 评论: 289
Charles Petzold(《编码:隐匿在计算机软硬件背后的语言》作者)批评 Spotify 的 AI DJ 功能完全不懂古典音乐,无法完整播放整张专辑,总是打乱曲目顺序,破坏了音乐的整体性。
精彩评论:
这很奇怪,作者明明是懂技术的人。这和 AI 无关,作者主要指出的是 Spotify 本来就不适合古典音乐。这是产品问题,Spotify DJ 本质上就是”带点语音插播的随机播放”。可能就有非 AI 代码明确阻止它从头到尾播放整张专辑。况且,AI 不是万能的,不能因为这个 beta 功能不适合我就说 AI 没用。
我同意 Spotify DJ 很糟糕,但这篇文章的表达方式也很奇怪,把各种观点混在一起都归到 AI 名下,一半文字都是在列举特定古典作品。
AI DJ 给我的感觉就像是 AI 写餐馆点评。理论上可能,但我根本不在乎机器怎么想,我关心的是人——最好是专家——的想法。DJ 混音的魅力在于 DJ 个人的选曲品味、对音乐的解读、混音的方式,这就是为什么人们喜欢 DJ。匿名 AI 选择优化过的歌单完全违背了这个目的。
策划(Curation)才是未来,那些有深度和广度知识能做好策划的人需求会越来越高。人文触摸将成为卖点,吸引懂行的人。
3. 内核级反作弊是如何工作的
得分: 340 | 评论: 292
深入解释了现代游戏内核级反作弊技术的工作原理,包括它如何挂钩系统调用、读取内存、检测作弊工具。
精彩评论:
我来给大家简化一下:它们其实不工作。现代作弊使用 hypervisor 或者 compromise hyper-v,因为 hyper-v 保护自己,所以自然也保护了作弊。另一个越来越流行的方式是 BIOS 补丁,大多数主板永远不支持 boot guard,直接刷 BIOS 一直可行。最流行的还是 DMA。尽管 Vanguard 和其他反作弊在对抗常见方法,作弊还是存在。每次反作弊升一级,作弊也跟着升一级。最终,最弱的链接总会被利用,不管你的反作弊多复杂。真正让作弊开发者害怕的是 AI,主要是在《守望先锋》里,现在几乎不可能作弊了,它只用用户态反作弊!它严重依赖 spoofing 检测和游戏玩法分析,包括社区举报。它不是检测作弊,而是检测作弊者,然后从用户态收集尽可能多的系统信息!当然你可以说你可以利用必须经过用户态这点,一直待在内核里,但硬件 attestation 让这越来越难。未来是用户态反作弊 + 游戏玩法分析,放弃内核级反作弊。
每一种措施都增加了攻击成本(制作作弊的成本),结果就是不是每个人都负担得起,所以反作弊是有效的。它们不需要成为万能药,就像你不会说你不需要手机密码一样。
在 kernel 里瞎搞基本上绕过了整个操作系统的安全和稳定性模型。这不是理论,人们已经通过有漏洞的反作弊软件被 root 了,游戏通过恶意调用内核,让反作弊帮助获得 root 访问。即使良性情况下,因为一些内核 API 被错误拦截和覆盖,也经常导致奇怪的故障和蓝屏。正确的做法是从启动就建立信任根,使用操作系统的沙箱特性。每种理性的安全方法都依赖于把坏人挡在外面,而不是减轻他们进来后的破坏。
我很想看到一个现代竞技游戏有可选反作弊,启用后你只能排入其他也启用反作弊玩家的匹配池。不启用的就是社区管理,反反作弊玩家提倡的那样。可惜,基本上只有 Valve 能做到,但我不认为他们会觉得值得投入这么多资源。
4. 机架式水培种植
得分: 328 | 评论: 95
作者在标准服务器机架上搭建了一个水培种植系统,把 IT 基础设施改造用来种菜,非常有意思的 DIY 项目。
精彩评论:
你提到因为环境原因才用服务器机架。如果我要做水培,我会卖掉服务器机架(能卖个好价钱),买更便宜的托盘架。首先,你更容易规划、采摘、换灯等等。服务器机架你不经常需要碰它,但水培你需要经常互动。不过看起来真的很棒。大约 5 年前,我和一个气候研究科学家朋友一起,在荷兰桶、塔式气培、机架安装红灯设置下,尝试让菠菜产生维生素 B12(只有肉类中有,素食者容易缺乏),培育超级菠菜。
关上门(就像这个服务器机架)如果安装了风扇,就能控制空气循环,如果设计好流道效果还不错。比如在地下室操作,还可以减少热量流失。
我也尝试过几种室内种植方式,分享一下经验给感兴趣的人。我喜欢室内种植因为全年都可以,环境干净稳定,没有动物虫子。随着时间推移,我倾向于低维护水培。土壤种植需要泥土,更脏也更麻烦,还可能藏虫子。我试过垂直窗户农场,看起来很棒,但根容易长到管子里,而且不容易取出一株植物维护。小型 NFT(营养液膜技术)盒子效果很好,只需要很少材料作为基质,容易维护。如果种植同一种植物超过一年,根会长很多,可能系统就不够水流了,至少需要修剪和重新种植。我现在尝试深水培,不需要材料,只有水,根浸泡在里面,所以没有 NFT 的那些问题,但也有自己的问题,气泵可能很吵!不管怎样,我的大多数植物都在被动水培系统里,Kratky 方法有点类似。我基本上把花盆里的土壤换成了陶粒,控制浇水,每 2-3 天浇一次。需要陶粒作为基质,所以前期多点工作,但不需要电,用小/中花盆更便携。颗粒可以重复使用(至少大部分)。我还加了一根短管监测水位,如果需要清洗花盆可以维护。关于施肥,我很少精确测量,我买了几个泵瓶,测量好一推多少毫升,在瓶子上写下每升需要几下。我现在都凭眼睛看水的颜色,我知道该是什么样子。哦,对了,长得好适合多次收获的植物(不是生菜):辣椒、小番茄、黄瓜,我还在尝试小草莓。
5. 机器学习可视化入门(2015)
得分: 305 | 评论: 29
这篇 2015 年的经典文章至今仍然被 HN 社区热推,它用交互式可视化方式非常直观地讲解了机器学习的基本概念。
精彩评论:
我是 R2D3 的创作者之一,今天醒来看到这个真有趣!欢迎在这里或者 Bluesky 提问。
这真是杰作!每次我介绍机器学习都会用这个可探索解释。这里收集了一些类似的文章:https://p.migdal.pl/interactive-machine-learning-list/
这篇 2015 年的文章,无论技术还是概念都领先于时代。
这正是大多数 LLM 解释器所缺少的那种可视化参考。你要么得到一万字的论文,要么得到一条推文长度的过度简化,没有中间地带。
6. Chrome DevTools MCP
得分: 268 | 评论: 128
Google Chrome 团队发布了 Chrome DevTools MCP(Model Context Protocol)服务器,允许 AI 代理人直接与浏览器交互,调试浏览器会话。
精彩评论:
我用 Playwright 拦截所有请求和响应,让 Claude Code 导航到网站,点击交互所有元素和输入,同时记录每次交互相关的所有请求响应。然后它会创建一个详细的强类型 API,使用底层 API 与任何网站交互。是的,我知道这可能违反了大多数网站的服务条款,但这样做不需要加载千兆字节的广告、图片、标记来完成任务。
当 Anthropic 和 OpenAI 这么做的时候,HN 都喜欢这个想法;当 Zuckerberg 这么做来训练他的 LLM 和下载版权材料时,这就是人类的诅咒。太双标了。
MCP 已经死了?那我们应该用哪个 CLI 工具来告诉 Chrome 打开页面,点击打开按钮,读取点击后控制台出现的内容?MCP 会永久牺牲你的上下文窗口?那 CLI 的 skill 就免费吗?
在大型企业环境中,MCP 真的很有用,认证、RBAC、速率限制、滥用检测、集中管理/更新/运维这些都是开发部署工作流很大一部分。在这些情况下,你不能不重新大量改造和增加运营安全复杂性就直接使用技能和 CLI 工具。MCP 在这里真的很有用,允许集中工程和运维团队以符合组织整体态势、政策和基础设施的方式管理他们的服务。
顺便说一下,离题警告:prompt injection 一步之后,某人就拥有了你所有一切的无限访问,这太可怕了。
7. Office.eu 启动,成为欧洲主权办公平台
得分: 250 | 评论: 131
欧洲推出了自称主权办公平台 Office.eu,基于 Nextcloud 构建,声称是欧洲对微软 Office 的替代选择。
精彩评论:
这只是 Nextcloud 换品牌,域名很让人困惑。它声称”核心是 100% 开源”,但上游项目已经提供了源代码,除此之外没有提供新的源代码,而且将来也不太可能有。这是一个共享办公空间出来的一人项目,没有过往记录或认证。我不是说从头开始重新品牌 Nextcloud 保持闭源开发不对,只要你诚实,但这个倡议不诚实。如果你在找 Nextcloud 主机,这里有一长串合作伙伴,他们合同义务要求每个用户都要回馈 Nextcloud。https://nextcloud.com/partners/
我赞赏这种尝试,欧洲需要更多项目尝试和美国竞争对手竞争。但我善意提醒,如果你的整个宣传就是”我们是大胆独立的欧洲替代方案,让你摆脱美国既有玩家的霸权”,也许你不要把产品命名得和你要替代的产品完全一样好吗?他们就叫它”Office”。
从 Office.eu 主页 FAQ 看:Office EU 是欧洲生产力套件,包含文件、邮件、日历、文档和通话,构建在 Nextcloud Hub 之上。它把文件、通话、群件和办公整合到一个平台。所以基本上就是 Nextcloud 换了logo。总的来说,多一个托管商对 Nextcloud 是好事,但我对一个全新品牌会有点警惕。
这个项目看起来就像重新品牌的 Nextcloud,不如法国政府开发的 La Suite numérique 和法国公司 XWiki 开发的 CryptPad 更有趣。https://lasuite.numerique.gouv.fr/ https://cryptpad.org/
8. 49MB 的网页
得分: 227 | 评论: 141
作者审计了新闻网站的页面大小,发现现代新闻网页竟然达到了 49MB,其中大部分体积来自广告、追踪脚本和自动播放视频。
精彩评论:
我们的开发者曾经打开一个网站就用了大约 750MB。他们提交工单说服务器慢,我们去检查。结果就是视频列表每一个视频都预加载了一部分。为什么网站卡得要死,办公室到数据中心直接有光纤还这样。我们真不应该给网页开发者超过 128kbit 的连接速度,带宽越多他们就越能制造 nonsense。
给那些不知道的人提个醒:基于 Chromium/Firefox 的浏览器开发者工具里有 Network 标签,你可以调低带宽来模拟慢速 3G 或 4G 连接。结合 CPU 节流,可以很好地检验你的网站在更普通设置下表现如何。
我做过实验打开 nytimes.com,关掉广告拦截器,Firefox 显示传输了 44.47MB。其中 36.30MB 是 mp4 视频。这些视频是新闻内容(不是广告)。所以总的来说,这就是网页的兴登堡号。但 80% 的标题带宽都是视频,这本来就是网站内容,所以可以说视频太多是编辑问题,不是工程问题。
这些日子《纽约时报》就是在比谁更烂。我甚至懒得绕过广告,因为页面膨胀和其他烦人问题。有难度的网站,那些被防火墙挡着或者兆字节级 JavaScript 膨胀,我直接去别的地方,不加载 JavaScript 就能打开页面。我不会把冒犯网站的标题剪下来粘贴到搜索引擎找另一个网站,通常几十个网站都有这个故事,因为联合发布,你选的替代网站甚至有相同的文字和图片。我的默认浏览就是 JavaScript 默认关闭,很少需要启用它(点一下就行)。我在安卓手机和 PC 上都看不到广告,包括 YouTube。禁用 JavaScript 几乎干掉所有广告,它们直接消失,逃掉的再用其他方法捕获。总之,广告可选。(YouTube 没有 JS 不能用,所以直接用 NewPipe 或 PipePipe 绕过广告。禁用 JavaScript 也让页面快得瞎眼,所有不必要的垃圾都不加载。而且,没有 JavaScript 网站更难侵犯你的隐私卖你的数据。我会有罪恶感吗?一点也不。如果这些网站公平竞争那另当别论,但它们行为不端就该这么对待。
9. vibe 编码原型到可用产品之间的 100 小时差距
得分: 224 | 评论: 301
作者分享了使用 LLM vibe 编码(AI 辅助快速编码)从原型到可用产品的实际经验,发现虽然原型很快就能做好,但打磨成产品还要花 100 小时。
精彩评论:
我在金融科技(银行、对冲基金、初创公司)和加密(L1 公链)做 DevOps/SRE 快 20 年了。我对 vibe 编码 vs 生产代码的看法:
- vibe 编码肯定能让你比 LLM 之前快 10 倍得到 PoC/MVP
- 部分原因是它擅长我不擅长的东西(比如前端设计)
- 但之后我需要进去仔细检查性能、正确性、信息流、安全等等
- LLM 让这更容易,但改进幅度降到大约 2-3 倍,因为有很多来回 + 我需要读代码确认等等(是的,另一个 LLM 可以做一些,但需要正确设置)
- 如果有脚本程序确定性检查输出,来回会更快
- 测试工作需要几个小时,不管是人还是 LLM 跑,它仍然是瓶颈(这仍然是瓶颈)
所以总的来说,这就是为什么我们对 vibe 编码有效性有截然不同的报道。如果你从来没建过数据管道,LLM 几分钟就能生成一个,你觉得这是魔法。但如果你花了数年调试复杂的交易或合规数据管道,你会认识到 LLM 帮你省了一些时间,但不是 10 倍。
影响者帖子夸大了 LLM 能力和现实之间差距很大。影响者和趋势追随者试图在这个新前沿划定自己的主张,想要找工作或咨询,就会夸大。如果你想要真实信息,忽略他们就好。这些夸大的帖子也导致很多人错过真正发生的进步。他们看到这些明显错误的夸大,认为相反一定正确,LLM 没有任何好处,这创造了一股 LLM 否定者浪潮,认为这只是一时潮流,几年后就会消失。他们数量在减少,但每个 LLM 线程在 HN 都会吸引一些人。
每个人都说 80/20,但这低估了情况。最后的 20% 不只是难,它难是因为前 80% 走了捷径。如果代理人早点走了捷径,下一步不知道这是捷径,它只是建立在你交给它的东西上,然后下一步也一样。所以到了第 80 小时,你坐在那里想要修复一个看起来是 UI bug 的问题,你会发现真正的问题在三层之前。100 小时就是你不这么做需要付出的代价。
10. 一种非常优雅的 TCP 打洞算法
得分: 205 | 评论: 89
文章介绍了一种简洁优雅的 TCP 打洞算法,利用 NAT 设备的端口保持特性,实现了简单高效的 P2P 连接。
精彩评论:
所谓优雅建立在一个非常大胆的假设上:NAT 设备保持出站连接的源端口。即使在一半典型部署案例中都不是这样。
我的互联网提供商甚至不维护 IP 地址。他们有一组出口路由,似乎是轮询路由。基本上每个新连接都可以来自池中的任何地址。我不得不让他们停止这个,因为它把工作中的 VPN 解决方案绊倒了,解释成 MIM 攻击。我一打电话他们就禁用了,所以大多数情况下它还能用,但不是对所有人。说到这个,现在不早就应该是 IPv6 的时代了,我们为什么还要做这种烂事,直接寻址设备就像 90 年代初那样。
作者自己也承认这个警告:”许多家庭路由器试图在外部映射中保持源端口。这个特性称为’equal delta mapping’——它不是在所有路由器上都能用,但我们的算法为了简单牺牲了覆盖范围。”
我真希望有标准化方法来做这个。某种明确(或者至少隐式但明确)的指示器告诉所有防火墙,接下来几秒需要从给定主机/端口建立连接。基本上就是一个轻量级的带内端口映射协议。它早就该成为官方建议促进 TCP 打洞了,但我猜现在太晚了,防火墙行为几十年已经演变成不同方向了。
标准做法就是 IPv6。实现它可能比那些 RFC 中任何一个都更容易。
在 AI 让确定性计算机变得越来越模糊的时代,读到用确定性逻辑解决实际问题的优雅解决方案真的很欣赏。
我们仍然生活在确定性计算机时代。只是软件变得模糊了。(说到这里:根本没有 AI)
📊 趋势总结
今天的热门话题反映了 Hacker News 社区几个有趣的关注点:
**DIY 与创造力:96 美元 3D 打印火箭和机架式水培都展示了爱好者用现代工具做有意思项目的创造力,技术不一定都要大公司来做。
**AI 与产品设计:Spotify AI DJ 的批评和 vibe 编码的经验教训都在讨论 AI 辅助产品开发的实际限制——原型很快,打磨仍然需要时间和专业知识。
**隐私与主权:欧洲推出自己的办公平台,讨论反作弊的安全问题,都反映了对技术主权和隐私保护的持续关注。
**Web 膨胀问题:49MB 网页这个话题再次引发了对现代网页过度膨胀、广告追踪太多的讨论,很多人分享了关闭 JavaScript 提升体验的经验。
**AI 代理与工具:Chrome DevTools MCP 发布引发了关于 MCP vs CLI 直连的讨论,社区对不同架构有不同看法。
关于 Hacker News
Hacker News 是 Y Combinator 运营的技术社区,聚焦于计算机科学、创业、技术话题讨论。这里每日产出很多高质量的技术讨论和有趣的项目分享。
本文是每日自动抓取翻译的 Hacker News 过去 24 小时热门文章 Top 10。