📰 Hacker News Top 10 - 2026-05-20
今日热门文章 Top 10
以下是 Hacker News 过去 24 小时最热门的 10 篇文章:
1. 【我加入了 Anthropic】(I’ve joined Anthropic)
链接: https://twitter.com/karpathy/status/2056753169888334312
得分: 1118 | 评论数: 464
AI 领域传奇人物 Andrej Karpathy 宣布加入 Anthropic,将在预训练团队工作。这一消息在科技界引起了巨大反响。
精彩评论:
Karpathy 将在本周加入 Anthropic 的预训练团队,该团队负责大规模训练运行,这赋予了 Claude 核心知识和能力。
具体来看,他似乎计划将 autoresearch 项目的想法扩展到一个更大的递归训练改进工作中。
这对 Anthropic 来说是个很好的品牌举措。Karpathy 在 ML 群体中备受尊敬。
他是一位出色的教育家,在采访中看起来是个真正的好人。我希望他能继续从事教学工作,尽管他可能签署了大量的保密协议,这可能会使这项工作变得有些困难。
有趣的是,他在最近的一次采访中预示了这一点。他说他可能会与不断发展的方法脱节,如果任何前沿实验室愿意接纳他,他会感兴趣。
2. 【五分钟回顾大语言模型的过去六个月】(The last six months in LLMs in five minutes)
链接: https://simonwillison.net/2026/May/19/5-minute-llms/
得分: 728 | 评论数: 556
Simon Willison 总结了过去六个月大语言模型领域的重大进展,包括编码代理的大幅改进、”鹈鹕骑自行车”测试、思维模式、Gemini 3.5 Flash 等。
精彩评论:
很多人在这里说这是一个荒谬的指标,但似乎没有人记得,这是大约 3 年前微软在最初的 GPT 报告(”人工智能通用智能的火花:GPT-4 的早期实验”)中引入的。此后不久,它被一群助推器账户鹦鹉学舌,成为每个无知的 AI 炒作贩子用来”测试”模型的东西。100% 的营销,0% 的科学。
我自己在生成式 AI 出现时的非正式测试是”一张老人骑自行车过河的照片”。我刚刚用标准模型在 chatgpt 上运行了它。它显示老人在一辆旧自行车上,自行车在 slackline 上,slackline 延伸到河上,背景是一个中世纪村庄。关键是,这个提示有一个微妙的歧义——“老人是怎么过河的?”我的感觉是,大多数人会很快想象一座有道路的传统桥梁通向河流,而河流背景位于足够发达以允许桥梁通过的区域。
我想知道”拐点”有多少是真实的,有多少是营销。我确信模型变得更好了,但即使现在,当我尝试用最新模型” vibe code “一个游戏时,它们确实很挣扎。它们确实能让一些基本的东西启动并运行,但它远不是一个完全成熟的应用程序。
悖论——即使系统在核心能力方面开始出现边际收益递减,你也可以获得多个拐点,我认为这是由于”阈值交叉”,其中某些东西”变得足够好以用于特定目的”——它只是解锁了能力。
“编码代理变得非常好”。自 2025 年 11 月以来,也就是所谓的”拐点”,我仍然在想,对谁来说编码代理变得”非常好”。我观察到的是,它们在工具调用和回答有关大型代码库的问题方面变得更好,特别是如果问题有一个模糊的模式要搜索,它们对此非常有用!但是生成生产代码,即使有大量的指导和保姆?绝对不是,根据我的经验,还差得远。
3. 【Apple 推出新的辅助功能】(Apple unveils new accessibility features)
链接: https://www.apple.com/newsroom/2026/05/apple-unveils-new-accessibility-features-and-updates-with-apple-intelligence/
得分: 573 | 评论数: 289
Apple 宣布了一系列新的辅助功能,利用 Apple Intelligence 为有认知、视觉、听觉和行动障碍的用户提供个性化支持。
精彩评论:
Apple 喜欢通过偷偷摸摸地将新技术放入相对平凡的地方来在公众视野中进行隐形测试,因此通过辅助功能推出代理 AI 非常符合品牌。
前阵子我作为一个视力正常的人注册了 Be My Eyes。我没有接到我希望的那么多电话,但我很高兴能帮助少数我能帮助的人。一个电话是阅读收到的邮件的信封,另一个是阅读药瓶,然后有两个有趣的家伙坐在大舒适的椅子上,拿着麦片盒购物袋,想知道什么是什么。我记得有一个人真的不喜欢某一种麦片。
我仍然安装了 Be My Eyes 应用程序,但一年多没有接到电话了——我认为这证明了 AI 视觉模型变得多么强大。我发现 AI 工作得足够好,让视力障碍者可以解决他们所有的问题,这很酷。
Apple 真正需要做对的一件事是语音转文本转录。他们在很多方面都掌握了辅助功能,但感觉他们在正确转录语音方面落后了十年。至少有五年了。
这看起来像是 LLM 的一个真正有用的应用。我希望更多公司专注于如何帮助人类,而不是取代我们或以生产力的名义尽可能地压榨我们。
4. 【我建立了一个几乎包含你能想到的所有操作系统的虚拟博物馆】(I’ve built a virtual museum with nearly every operating system you can think of)
链接: https://virtualosmuseum.org/
得分: 542 | 评论数: 125
一个令人印象深刻的复古操作系统博物馆,展示了从早期 Unix 到现代操作系统的各种系统。
精彩评论:
令人印象深刻的策展工作。一点评论:画廊中的至少一些例子似乎是”最后、最伟大”的版本,这实际上不一定是最伟大的,绝对不是最有趣的。
我发现像这样的项目有趣的是,有多少操作系统的”感觉”在模拟中没有存活下来。视觉层可以很好地通过,但实际上定义体验的东西——键盘点击延迟、时期硬件的特定鼠标加速曲线、CRT 扫描线赋予 System 7 字体与锐利 LCD 完全不同的纹理、Atari ST 或早期 Mac 对话框的可听见点击声——这些都没有被保存下来。
虽然我们正在讨论晦涩的操作系统,还有其他人能记得一个晦涩的 Unix,其中 uid 0 被称为”avatar”而不是 root 吗?这是我年轻时的那些奇怪记忆之一,我成年后无法证实。
5. 【Gemini 3.5 Flash】(Gemini 3.5 Flash)
链接: https://blog.google/innovation-and-ai/models-and-research/gemini-models/gemini-3-5/
得分: 496 | 评论数: 384
Google 发布了 Gemini 3.5 Flash,这是其最新的大语言模型,带来了显著的性能改进,但价格也大幅上涨。
精彩评论:
那只鹈鹕很棒:自行车不是很好,它忘记了踏板和后轮之间的横杆,并且奇怪地缠绕了其他杆。太贵了——那只鹈鹕花了 13 美分。
那只鹈鹕看起来像是在迈阿密参加加密货币会议。
这完美地说明了我在 LLM 进展中注意到的一件事。让它们改进像这样的 svg,它永远不会修复缺失的横梁或断开的肢体,它只是添加更多东西。在这个例子中,它们显然有了很大的改进,它包含了荒谬数量的细节,但它们仍然错误地获得了框架的基本形状。这很奇怪。这种模式随处可见,用网页试试,它会添加更多按钮之类的东西。
每百万输入/输出代币:Gemini 2.5 flash:$0.30/$2.50;Gemini 3.0 flash 预览版:$0.50/$3.00;Gemini 3.5 flash:$1.50/$9.00。有趣的定价方向。我认为我们从未见过同一大小模型的下一个版本价格上涨 3 倍。
我有 Google AI Pro 计划,用 3.5 flash 尝试了 antigravity,但它在两个提示中就用完了我所有的配额。如果这不是一个错误,那么它真的无法使用。
6. 【Show HN: 草莓的高斯溅射】(Show HN: Gaussian Splat of a Strawberry)
链接: https://superspl.at/scene/84df8849
得分: 460 | 评论数: 183
一个展示草莓 3D 高斯溅射模型的精彩演示,展示了这种渲染技术的惊人细节和真实感。
精彩评论:
我在 2011 年构建了 PlayCanvas 来驱动视频游戏。现在是 2026 年,它正在驱动草莓。
这真是一个时间杀手…最终来到了这里:美丽!
我读了维基百科,但我仍然不太知道我在看什么。我的猜测是从大量详细图片重建的 3D 模型?
大量半透明斑点合成以产生草莓的外观。没有网格或模型。草莓的视觉表面可以由物理上相距很远的斑点组成,而不是在表面看起来的位置。这就是为什么它们被称为辐射场,它们模拟光而不是几何。
令人惊讶的是,这在我的 iPhone 12 mini 上完美流畅地运行。能够四处走动并仍然有不错的分辨率,这确实是一个非常酷的场景。
7. 【特斯拉锂精炼厂每天排放 231,000 加仑污染废水】(Tesla’s lithium refinery discharges 231,000 gallons of polluted wastewater a day)
链接: https://www.autonocion.com/us/tesla-lithium-refinery-texas/
得分: 409 | 评论数: 197
特斯拉位于德克萨斯州的锂精炼厂被发现每天排放大量污染废水,引发了环境担忧。
精彩评论:
该许可证是德克萨斯州污染物排放消除系统授权,称为 TPDES,允许每天排放多达 231,000 加仑的处理废水到一条无名沟渠,该沟渠流入 Petronila 溪,从那里流入 Baffin 湾,这是南德克萨斯州历史悠久的咸水钓鱼目的地。好的,听起来特斯拉获得了必要的法律规定。
就个人而言,我发现所有这些”他们是否获得必要的批准”的讨论都是无关紧要的。对于企业来说,这些是繁文缛节、浪费时间和不必要的官僚主义。对于居民和公民来说,什么许可证被批准或不被批准并不重要,但如果我们容忍由此产生的污染成本,无论它是否在法律上获得批准。
显然,排放”黑暗和浑浊”的污染水是不好的。但实验室报告中的一些数字看起来并没有那么糟糕:六价铬为 0.0104 毫克/升,刚好高于实验室的报告限值 0.01 毫克/升。六价铬被美国国家毒理学计划列为已知的人类致癌物。这是 Erin Brockovich 案件围绕的物质。砷为 0.0025 毫克/升。这低于联邦饮用水标准 0.01 毫克/升,但存在。
DOGE 明确将削弱 EPA 作为首要任务,这可能就是为什么排水工人正在做出这些发现,而不是检查员。现在,几乎任何与 Musk 有关的公司都应该受到更多的审查。问题是,任何进行这种审查的人都可能面临恐吓和”法律战”。
8. 【CISA 管理员在 GitHub 上泄露 AWS GovCloud 密钥】(CISA Admin Leaked AWS GovCloud Keys on GitHub)
链接: https://krebsonsecurity.com/2026/05/cisa-admin-leaked-aws-govcloud-keys-on-github/
得分: 379 | 评论数: 157
美国网络安全和基础设施安全局(CISA)的一名高级管理员在 GitHub 上公开了高度敏感的 AWS GovCloud 凭证。
精彩评论:
显然泄露凭证本身就很疯狂,考虑到它是(CISA 的承包商),但在收到通知时不回应?疯狂疯狂。但等等!它不知何故变得更糟:”AWS-Workspace-Firefox-Passwords.csv”——列出了数十个内部 CISA 系统的明文用户名和密码。虽然我理解并同情 CISA 正在被削弱的事实,但一个带有弱密码的 passwords.csv 是不可原谅的无能。密码管理器不需要太多预算。到处都很尴尬。
你要找的词是”严重疏忽”
我认为人们没有意识到的一件事是,通过在你的仓库中有一个 .env 或磁盘上的机密(但没有签入),将大量机密传递给 OpenAI 和 Anthropic 或你的 OpenRouter。你的 LLM 会愉快地读取整个文件,将其运送到未来版本的 ChatGPT 的训练数据中,并且不会提出任何标志,因为公平地说,检查是否所有环境变量都已设置,或者你是否为应用程序设置了数据库密码是可以的。
这比人们意识到的更被低估。泄漏向量通常不是”提交机密”——而是”代理在回答时读取 .env,逐字包含值,并且该提示+完成最终出现在训练数据或其他人的缓存命中中。”
2026 年,将政府凭证存储在仓库中并且没有扫描器来标记它应该被调查。我高度怀疑任何以专业身份这样做的人。如果我在外国情报机构工作并看到这一点,我首先会认为这是一个蜜罐,而且是一个缺乏想象力的蜜罐,因为它太缺乏微妙之处了。
9. 【OpenBSD 7.9】(OpenBSD 7.9)
链接: https://www.openbsd.org/79.html
得分: 362 | 评论数: 264
OpenBSD 7.9 发布,这是这个以安全性著称的操作系统的第 60 个版本,带来了许多改进和新功能。
精彩评论:
有趣的是看到 OpenBSD 继续获得硬件支持。我一直在一个小型家用服务器上运行它用于 DNS/DHCP,稳定性非常出色。多年的审计工作真正展现出来。
随着在其他操作系统中不断发现的所有安全问题——随着 AI 的发展,这只会加速——现在是时候每个人都考虑 OpenBSD 了。他们长达数十年的安全重点是首屈一指的。我们已经从 Ubuntu/Debian 完全转换为 OpenBSD。没有回头路。
我最近尝试了 OpenBSD,发现它的行为与其他操作系统非常不同。相同的代码在 Linux/FreeBSD/Windows 上运行,但在 OpenBSD 上多线程性能很差,异步套接字在高速发送几秒钟后停止工作。我不是说 OpenBSD 有任何问题,它只是不同。
对我们中的一些人来说,大新闻是 Exim 已从 ports 中删除。这是一篇关于从 Exim 过渡到 OpenSMTPD 的好文章。
我不得不承认,我并不完全相信在 cpu 上有慢核有什么好处(大/小架构)。你不希望你的任务被安排在它们上面。即使对于后台任务,让它们更快完成以获得更少的功率不是更好吗?更不用说如果它们有不同的功能了。当一个想要使用 cpu 功能 X(avx512?)的进程被安排在没有 X 的 cpu 上时会发生什么?
10. 【Mini Shai-Hulud 再次出击:314 个 npm 包被入侵】(Mini Shai-Hulud Strikes Again: 314 npm Packages Compromised)
链接: https://safedep.io/mini-shai-hulud-strikes-again-314-npm-packages-compromised/
得分: 360 | 评论数: 275
大规模 npm 供应链攻击影响了 314 个包,被称为”Mini Shai-Hulud”行动,再次暴露了 JavaScript 生态系统的脆弱性。
精彩评论:
在这一点上,生命周期脚本应该在 NPM 中默认禁用。这是一个便利功能,提供内置的任意代码执行(即使对于临时依赖项),并且这些广泛的 NPM 蠕虫式攻击中的每一个都是通过它传播的,因为默认设置。此外,为一个命令启用它不应该自动允许所有临时依赖项运行生命周期脚本,应该要求明确标记每个依赖项,以将其限制在绝对必要的地方。绝大多数 NPM 包不依赖这些脚本,如果你还没有,你应该全局禁用它们。
“没有办法防止这种情况”,只有这种包管理器会定期发生这种情况。
在某种程度上,是不是最好直接关闭 Dependabot 并冻结所有 NPM 包(次要/补丁版本以及所有),而不是不断更新?特别是对于前端包,有意义的安全修复似乎比供应链攻击更不可能。
强制执行”陈化”期,例如不要让任何拉取拉取新于 30 天的版本。也许有一个例外,用于解决已知 CVE 的版本。
这个列表不完整——至少还有一个包(nx-console VS 代码扩展;220 万次下载)昨天被这个蠕虫入侵:如果有适当资格/联系的人正在阅读这篇文章,也值得遵循这个依赖链,以防有更多。
📊 今日趋势总结
今天的 Hacker News 头条呈现出几个明显的趋势:
AI 领域人才流动与巨头竞争:Andrej Karpathy 加入 Anthropic 成为今日最大新闻,凸显了 AI 巨头之间人才争夺的激烈程度。这也反映了 Anthropic 在 AI 领域的崛起势头。
LLM 技术持续快速演进:从 Simon Willison 的六个月 LLM 总结到 Gemini 3.5 Flash 的发布,大语言模型技术正在以前所未有的速度发展。然而,价格上涨和配额问题也引发了对可持续性的担忧。
安全问题依然严峻:从 CISA 管理员泄露凭证到 npm 供应链攻击,安全问题在各个层面持续存在。这也使得 OpenBSD 这样以安全为核心的操作系统受到更多关注。
环境保护与工业发展的平衡:特斯拉锂精炼厂的废水排放问题引发了对环境影响的讨论,反映了在推动清洁能源转型过程中需要解决的环境挑战。
科技向善的积极案例:Apple 的辅助功能展示了技术如何真正帮助有需要的人,而虚拟操作系统博物馆则展示了技术爱好者对历史的热情。
今天的讨论涵盖了 AI 进展、安全挑战、环境问题、技术历史等多个方面,展现了科技社区的广度和深度。
关于 Hacker News
Hacker News 是一个专注于计算机科学和创业的社交新闻网站,由 Y Combinator 创建和运营。它是技术社区中最具影响力的讨论平台之一,用户可以提交链接或文本帖子,并对其进行投票和评论。
Hacker News 的独特之处在于其高质量的讨论和评论,经常有行业专家和创始人参与讨论。网站的排名算法考虑了投票数、评论数和时间等因素,确保热门且有价值的内容能够获得更多曝光。
每天,Hacker News 都会涌现出大量关于技术、创业、科学、安全等领域的精彩讨论,是技术从业者获取行业动态和深度见解的重要来源。