📰 Hacker News Top 10 - 2026-05-16
今日热门文章概览
以下是 2026 年 5 月 16 日 Hacker News 上最热门的 10 篇文章,涵盖开源项目、AI 应用、网络安全、科技政策等多个领域。
1. 【Project Gutenberg 持续变得更好】(Project Gutenberg – keeps getting better)
🔗 https://www.gutenberg.org/
⭐ 得分: 666 | 💬 评论: 165 | 👤 作者: JSeiko
Project Gutenberg(古登堡计划)是一个提供免费电子书的经典项目,最近网站进行了大量改进。来自项目的程序员证实,他们在过去几个月中大大改善了用户体验,未来还有更多改进计划。
重要评论摘录:
“当我想到 Project Gutenberg 时,我记得原来那种粗暴的非设计风格。现在的网站已经被非常有品味地更新了,但在关闭样式的情况下看起来仍然非常易于访问。干得好!”
“Project Gutenberg 始于 1971 年!当时 Michael Hart 获得了 Xerox Sigma V 大型机的操作员权限,他相信总有一天公众能够使用计算机,并决定免费提供文学作品。”
“我为父亲做过的最好的事情就是给他买了一个 Kindle 和接入点,教他如何使用 Project Gutenberg 来获取书籍。他热爱那些古老的著作。当他去世时,他正在阅读 1931 年的《犹太人的传说》。”
“从意大利访问 gutenberg.org 会显示一个非常官方的页面,写着’警方通知。该网站已被司法扣押’,并引用了罗马法庭的刑事案件编号。”
2. 【我相信现在整个公司都处于 AI 精神病状态】(I believe there are entire companies right now under AI psychosis)
🔗 Twitter 链接
⭐ 得分: 615 | 💬 评论: 283 | 👤 作者: reasonableklout
这篇关于 AI 滥用的推文引发了激烈讨论。Mitchell Hashimoto(Vagrant、Packer、Terraform 的创造者)指出,许多公司正在将决策和思考外包给 AI,而不是真正地使用 AI 作为工具。
重要评论摘录:
“我认为 AI 救援咨询将成为高价值咨询的重要模式,类似于专家进来处理安全漏洞或进行数据恢复。纯 AI 编写的系统会扩展到人类无法理解的复杂程度,缺陷关闭率会下降,而每个缺陷的 token 消耗会增加。”
“我的一个非技术朋友通过与 Claude 一起’vibe coding’为医院赢得了一个库存管理解决方案的合同。他们给了他 IT 部门服务器的访问权限,但他完全不知道如何部署,而且应用程序还有一些奇怪的数据和状态问题。”
“Mitchellh 本人证实:我大量使用 AI,而且我比以前任何时候都更享受编程。你的描述非常准确。”
“这让我想起 Rich Hickey 的《Simple Made Easy》。甚至在 LLM 生成整个程序之前,复杂的框架就允许开发者快速编写程序的初始版本,但代价是难以理解、难以调试和修改。”
3. 【Mullvad 出口 IP 意外地具有识别性】(Mullvad exit IPs are surprisingly identifying)
🔗 博客文章
⭐ 得分: 559 | 💬 评论: 354 | 👤 作者: RGBCube
研究人员发现 Mullvad VPN 的出口 IP 分配机制存在隐私问题:基于 WireGuard 密钥确定性分配 IP,这意味着即使用户连接到不同的服务器,也可能通过 IP 位置相关性被识别。Mullvad 的联合 CEO 已经回应并表示正在测试修复。
重要评论摘录:
“我在 Mullvad 工作(联合 CEO,联合创始人)。所描述行为的某些方面是我们预期的,有些则不是。原因与博客文章中描述的不完全一样。至于缓解措施,我们已经在我们的部分基础设施上测试意外行为的补丁。”
“令人惊讶的是,每次连接到服务器时,你获得的出口 IP 不是随机的,而是基于你的 WireGuard 密钥确定性选择的。密钥每 1 到 30 天轮换一次(除非你使用第三方客户端,这种情况下它永远不会轮换)。”
“例如,想象一下你是论坛的版主,你怀疑一个新面孔实际上是你前一天封禁的用户的马甲。你检查 IP 日志,尽管使用了不同的 Mullvad 服务器,但两个账户解析出的浮点数范围重叠。这给了你超过 99% 的几率认为他们是同一个人。”
“VPN 的目的不包括相对于用户访问的网站对用户进行匿名化,所以 Mullvad 不强制唯一出口 IP 不应该太令人惊讶。想要匿名的用户应该使用 Tor 这样的网络。”
4. 【像 Windows XP 桌面一样探索维基百科】(Explore Wikipedia Like a Windows XP Desktop)
🔗 https://explorer.samismith.com/
⭐ 得分: 479 | 💬 评论: 111 | 👤 作者: smusamashah
这个创意项目将维基百科的内容以经典 Windows XP 桌面文件管理器的风格呈现,带来怀旧而新颖的浏览体验。
重要评论摘录:
“这真的令人印象深刻。这正是我想象 Windows 95 中原始 Microsoft Network 的样子。就好像数据突然摆脱了在程序中显示的束缚。数据不只是一个网页,或者一个显示其内部数据库的程序。Microsoft Network 让它看起来就像数据就在那里,你可以点击它并拖动它!”
“谈论数据与程序分离总是让我想起微软在空间文件系统(意味着一个文件夹是一个窗口,它们记住自己的位置)、单文档界面(一种 UI 范式)和 COM(一种跨进程通信系统)方面做得多么好。”
“作为曾经尝试使用这种据称是分层分类进行数据组织的人,不幸的是它一点也不优秀。它相当随意、不一致、极其不完整,而且经常是循环的。”
“大滚动条!有边框的窗口!真是一种解脱!这已经成为一种被遗忘的艺术:我们现在如此关注内容,以至于忘记了人们想要使用鼠标滚动,使用鼠标调整窗口大小。”
5. 【Bun Rust 重写:”代码库未能通过基本的 miri 检查,允许安全 Rust 中出现未定义行为”】(Bun Rust rewrite: “codebase fails basic miri checks, allows for UB in safe rust”)
🔗 GitHub Issue
⭐ 得分: 351 | 💬 评论: 242 | 👤 作者: ndiddy
Bun 项目正在将代码从 Zig 重写为 Rust,但这个过程引发了关于 AI 辅助重写质量的争议。发现代码中存在未定义行为(UB)问题。
重要评论摘录:
“我不明白的是,如果他们要将 Zig 翻译成不安全的 Rust,为什么不直接构建一个翻译工具呢?你可以一对一地映射语言结构,在代码库中硬编码模式,就像一个朋友说的’说实话,他们本可以直接将 zig translate-c 连接到 c2rust’。”
“你见过 c2rust 输出的东西吗?太可怕了。它依赖于一个函数库,用不安全的 Rust 模拟不安全的 C 指针语义。几年前,当我在努力解决 OpenJPEG(一种 JPEG 2000 解码器)中的 bug 时,有人尝试将其通过 c2rust 运行。转换后的不安全 rust 在 C 代码崩溃的同一地方崩溃了。它是兼容的,但不安全。”
“最初我对 Bun 感兴趣是因为它是用 Zig 编写的。我对 Zig 感兴趣是因为我尊重 Andrew Kelley 的决策,他的品味与我自己的相符。但被 Anthropic 收购后,这种行为正是我不尊重的决策类型。”
“这个问题具有误导性。问题不在于 miri 会捕获的未定义行为的存在。问题在于暴露一个允许安全代码中出现未定义行为的 API——而 miri 只有在你编写证明这一点的测试时才会捕获它。在从不安全语言移植代码的初始阶段发生这种情况并不是完全不合理的。”
6. 【我们正在取消我们的漏洞赏金计划】(We are retiring our bug bounty program)
🔗 Turso 博客
⭐ 得分: 344 | 💬 评论: 272 | 👤 作者: tjek
Turso.tech 宣布取消他们的漏洞赏金计划,原因是大量 AI 生成的垃圾 PR 淹没了项目。这些 PR 往往是由 AI 自动生成的,没有实际价值,浪费了维护者的大量时间。
重要评论摘录:
“这证明了瓶颈不在于编写代码,而在于阅读和理解代码。我们团队中都有过那种’高效’的工程师,他们会编写巨大的 PR,包含大量的重构,无论是否有必要。这种’高效’工程师的净效应总是团队速度变得极其缓慢。”
“几乎每个软件开发组织都至少有一个将战术编程发挥到极致的开发者:战术龙卷风。战术龙卷风是一位多产的程序员,他编写代码的速度比其他人快得多,但工作方式完全是战术性的。在实现快速功能方面,没有人比战术龙卷风更快。在一些组织中,管理层将战术龙卷风视为英雄。然而,战术龙卷风留下了破坏的痕迹。”
“是时候提到这个出色的作为机器人蜜罐的仓库了:https://github.com/UnsafeLabs/Bounty-Hunters“
“关闭这个项目是完全合理的。但是,还有另一种选择:让提交者支付象征性的费用,如果发现真正的 bug 则退还。”
7. 【美国司法部要求苹果和谷歌揭露超过 10 万汽车改装应用用户】(U.S. DOJ demands Apple and Google unmask over 100k users of car-tinkering app)
🔗 MacDailyNews
⭐ 得分: 333 | 💬 评论: 224 | 👤 作者: tencentshill
美国司法部在排放打击行动中要求苹果和谷歌提供 EZ Lynk 汽车改装应用超过 10 万名用户的身份信息,引发了关于隐私和政府过度干预的激烈辩论。
重要评论摘录:
“政府表示需要这些信息来识别和采访能够证明这些工具实际使用方式的证人。既然你还没有这些信息,也没有人愿意作为证人帮助你,为什么还要开始这整件事呢?”
“如果有地方可以举报,我很乐意举报我身边每一辆冒黑烟的卡车。见鬼,我见过一辆卡车在警车周围冒黑烟,显然,什么也没发生。这只是伪装成’保护环境’的粗暴隐私侵犯。”
“他们可能有大量的数据和来自非法使用该产品的证人的证词。你可以在网上找到数百个帖子,告诉人们如何使用他们的产品来禁用排放控制。检察官想要证明的是 EZ Lynk ‘故意’支持这种行为。”
“它将从传唤这些信息来对付那些修改汽车做’坏’事的人开始。但一旦他们有了先例,我预测它很快就会被汽车制造商用来对付那些修改汽车,比如说,禁用 GPS 跟踪的人。”
8. 【Pixel 10 的 0-click 漏洞利用链】(A 0-click exploit chain for the Pixel 10)
🔗 Project Zero 博客
⭐ 得分: 324 | 💬 评论: 146 | 👤 作者: happyhardcore
Google 的 Project Zero 团队披露了 Pixel 10 的一个 0-click 漏洞利用链。值得注意的是,Google 在 90 天内修复了这个驱动程序 bug,这是他们有史以来最快的修复记录之一。
重要评论摘录:
“我点击了 Pixel 9 bug/漏洞利用的链接,看到了这个:’在过去几年中,手机中添加了几个 AI 驱动的功能,允许用户更好地搜索和理解他们的消息。这一变化的一个影响是 0-click 攻击面增加,因为高效分析通常要求在用户打开消息之前对消息媒体进行解码。’我们还没有吸取教训吗?不要在我没有要求的情况下阅读和处理我的短信!”
“值得注意的是,这是我报告的 Android 驱动程序 bug 第一次在供应商首次了解漏洞后的 90 天内被修补。这让我对 Google 感觉好一点,但也让我对 Android 的其他部分有点害怕。我想知道 Apple 的响应时间是多少?”
“我之前向 Apple 报告过安全 bug。那是几年前的事了,但我记得花了大约 6 个月才修补(我来回花了几个月来获得更可靠的 POC)。也许从我提交 100% 可复现的 POC 算起是 2 个月。”
“半相关:已发布的漏洞利用率最近是否有所上升,还是仅仅因为 AI 作为安全工具(进攻或防御)的炒作所以它更频繁地出现在新闻中?感觉每隔一天就有新的东西——linux、windows、mobile、每个人都在使用的各种常见工具,列表还在继续。”
9. 【被迫增加 AI 使用的亚马逊员工正在编造任务】(Amazon workers under pressure to up their AI usage are making up tasks)
🔗 Fast Company
⭐ 得分: 302 | 💬 评论: 328 | 👤 作者: hackernj
亚马逊员工面临着增加 AI 使用的压力,导致他们为了达到 token 使用指标而编造不必要的任务。这一现象在整个科技行业都有报道。
重要评论摘录:
“不仅仅是亚马逊,感觉所有的大科技公司(和一些小公司)都同时疯了。想象一下,如果你的 CEO 某天醒来告诉公司:’我们需要鼓励差旅支出。请尽可能多地预订商务旅行,尽可能多地花钱。坐头等舱去我们的卫星办公室!坐豪华轿车而不是优步!在高级餐厅吃饭!确保你一直在旅行。事实上,我们将把差旅支出作为你年度绩效评估的一部分:如果你在商务旅行上花的钱不够,你会得到低分!’”
“我认识一些人被告知要在工作中更多地使用 AI,所以他们创建了一些代理来只是消耗 token,最终使用的 token 是第二高员工的 10 倍。伙计本以为会被骂,但却获得了荣誉,并被要求给其他员工做一个简短的演讲,告诉他们如何才能取得和他一样的成功。”
“我在 FAANG 工作(不是亚马逊),我经常听到这个,无论是内部还是公开的。除了,从来没有从任何重要的人(领导层)那里正式听到过。它总是从一个谣言和/或某人(内部)创建一个仪表板/指标开始,然后从那里开始爆炸。我甚至听到领导层宣称这不是他们想要的,你最好不要浪费那些昂贵的 token。”
“这就是为什么我们要砍伐森林来建造新的数据中心?甚至不是为了’真正的’生产力提升,而只是为了使用 token。”
“很遗憾 AI 现在有了普遍的基本工作计划,但人类仍然没有。公司付钱让 AI 挖洞,这样其他 AI 就可以把它们填上。”
10. 【加利福尼亚法案将要求在线游戏关闭时提供补丁或退款】(California bill would require patches or refunds when online games shut down)
🔗 Ars Technica
⭐ 得分: 256 | 💬 评论: 144 | 👤 作者: Lihh27
加利福尼亚州的一项法案要求在线游戏运营商在关闭游戏前 60 天通知用户,并在关闭后提供替代版本、补丁、更新或退款。该法案已通过关键障碍。
重要评论摘录:
“这个问题的公平解决方案似乎是,如果你要停止支持在线游戏,就开源服务器代码。这样,如果社区愿意,他们有机会运行自己的服务器。我也非常支持如果在线游戏要关闭,需要提前 60 天通知。”
“当我在一家大型上市科技公司担任高级主管时,有一个产品我们决定停止,我们认为开源会很好。不知何故,我最终负责管理这个过程,并震惊地发现在一家数十亿美元的上市公司中,这个过程是多么复杂、耗时和昂贵,而不是我和朋友写的一些代码。”
“它不需要是开源的,你只需要提供服务器二进制文件供下载。这是直到 2010 年左右的标准。人们能够自己托管专用服务器。”
“我发现游戏行业的这句话有趣而令人沮丧:’消费者获得访问和使用游戏的许可,而不是对基础作品的不受限制的所有权权益’。游戏行业能否通过将游戏完全转移到订阅模式,没有预购来规避这项立法?”
今日趋势总结
🔹 AI 滥用与批判
本周的 Hacker News 充满了对 AI 滥用的批判:从公司强迫员工消耗 token 达到指标,到 AI 生成的代码质量问题,再到整个行业陷入”AI 精神病”的担忧。社区普遍认为 AI 应该是工具,而不是替代人类思考的替代品,更不应该成为 KPI 指标。
🔹 网络隐私与安全
Mullvad VPN 的 IP 指纹识别问题、Pixel 10 的 0-click 漏洞、美国司法部要求揭露 VPN 用户信息——这些文章都指向一个共同的主题:数字时代的隐私保护面临巨大挑战。VPN 并非完全匿名,AI 功能增加了攻击面,政府监控也在不断加强。
🔹 开源与文化遗产
Project Gutenberg 的持续改进让人们重温了互联网早期的理想主义精神——免费、开放地共享人类文化遗产。与此同时,加利福尼亚关于游戏保存的法案也引发了关于数字资产所有权的讨论,消费者到底是”拥有”还是”租用”他们购买的数字内容?
🔹 监管与消费者保护
从汽车排放控制到在线游戏保存,政府监管正在越来越多地介入技术领域。社区对此态度分歧:有人认为这是必要的消费者保护,有人担心会带来意想不到的后果,甚至加速订阅模式的普及,让永久授权成为历史。
关于 Hacker News
Hacker News 是由 Y Combinator 运营的科技新闻社区,成立于 2007 年。这里聚集了全球的程序员、创业者、投资者和技术爱好者,讨论内容涵盖编程、创业、科学、设计等多个领域。每天的 Top 10 文章反映了全球科技社区最关注的话题和趋势。
本文所有链接均指向原始来源,内容基于 Hacker News 公开数据整理。如果你对某篇文章感兴趣,建议直接访问原文参与讨论。