HN Daily Reading · 每日阅读

HN 每日深度阅读 · 2026-05-04

本期围绕性价比与可控性回归展开:DeepSeek 用低价开源逼近前沿,奔驰重拾实体按键,微软质量叙事遭用户质疑;Haskell 与 TUI 的讨论也都指向同一件事——技术越复杂,越需要便宜、稳定、可理解的基础设施。

2026.05.04 20 篇摘录

共 20 篇 · 约 11,982 字 · 约 30 分钟读完

1. DeepSeek V4 发布:接近前沿,但价格仅为零头

中国 AI 实验室 DeepSeek 发布了 V4 系列的两款预览模型:DeepSeek-V4-Pro 与 DeepSeek-V4-Flash,均为 100 万 token 上下文的 MoE 架构,采用 MIT 许可。Pro 总参数 1.6 万亿、激活 49B,Flash 总参数 284B、激活 13B。Pro 因此成为目前最大的开源权重模型,超过 Kimi K2.6(1.1T)和 GLM-5.1(754B),是 V3.2 的两倍多。

价格是这次发布的核心亮点。Flash 输入 $0.14/百万 token、输出 $0.28;Pro 输入 $1.74、输出 $3.48。Flash 比 GPT-5.4 Nano 还便宜,Pro 则是大型前沿模型中最便宜的,远低于 Gemini 3.1 Pro、GPT-5.4 和 Claude Sonnet 4.6。DeepSeek 在论文中解释了低价的来源:在 100 万 token 长上下文场景下,V4-Pro 的单 token FLOPs 仅为 V3.2 的 27%,KV 缓存仅为 10%;Flash 进一步压缩到 10% 与 7%。DeepSeek 自评 V4-Pro-Max 在标准推理基准上略胜 GPT-5.2 与 Gemini 3.0 Pro,但仍落后 GPT-5.4 与 Gemini 3.1 Pro 约 3-6 个月。

HN 讨论中,多位用户报告了实际使用体验。一位开发者用 V4-Pro 对一个 TypeScript 代码库做了两轮深度分析,总成本仅 0.09 美元,相比之下 Claude Opus 历史上同类任务可能花费 9 至 13 美元;另有用户提到官方 API 在长会话中缓存命中率超过 99%,进一步降低成本。也有评论指出价格对比并不完全公平:V4-Pro 与 K2.6 在推理类基准上消耗的 token 量是 GPT-5.5 的数倍(190M vs 45M),某些病态场景下总成本可能与前沿模型持平。还有评论强调 DeepSeek 在敏感任务(如逆向工程)上更愿意配合,而 GPT 与 Claude 经常拒绝。也有用户对中国模型在数据训练隐私方面的态度提出担忧,认为社区对此双重标准明显。一条轶事提到,用户要求”无剧透”介绍《Taskmaster》第八季,模型仍透露了选手 Paul Sinha 患帕金森病的事实并赢家身份。


2. 奔驰宣布回归实体按键

澳大利亚汽车媒体 Drive 报道,梅赛德斯-奔驰承诺在即将推出的车型内饰中重新引入实体按键,回应用户对全触屏交互的不满。过去几年厂商普遍以触屏取代物理控制,但这种设计在驾驶中影响了肌肉记忆和操作安全性,引发广泛批评。

HN 讨论从多个角度分析了这一转向。许多评论怀疑这并非奔驰真正”幡然醒悟”,而是被外部因素推动:中国从明年起要求关键控件必须配备物理按键,而欧洲 NCAP 安全评级也开始将触屏过度化纳入扣分项。换言之,这更像是合规驱动而非用户体验觉醒。也有人指出大众、马自达过去都曾宣布”实体按键回归”,但豪华车并未真正改变方向,担心这是又一次空头承诺。

技术讨论方面,多位评论者提出”控制(controls)“与”设置(settings)“应当区分对待:设置项在触屏上层级清晰、易于浏览;而音量、空调、巡航等需要肌肉记忆与盲操的控制必须配实体旋钮或按键。另有用户列出对触屏按钮的设计要求:固定位置(尤其返回键)、单一功能而非多模式循环、点击区域要大于图标、点击与滑动区域需分离。函数式编程的类比被引用:状态是万恶之源,按一下永远做同一件事的按钮才符合驾驶场景。

也有评论赞扬 Jony Ive 为法拉利设计的数字-模拟混合仪表,以及起亚 EV6 保留方向盘实体按键的做法。一些评论者反思:如果厂商有用户调研,为何当初还会全面转向触屏?答案被归结为成本节省、对中国市场跟风(屏幕越多越好卖)以及内部决策机制的失灵。


3. 微软自述 Windows 质量改进进展,HN 用户并不买账

微软在 Windows Insider 博客中总结过去两个月的”质量改进”:将 Insider 项目精简为 Experimental 与 Beta 两个通道,Beta 通道终止受控特性灰度(CFR);Windows Update 整合 OS、.NET 和驱动更新为单一月度重启,并改进 Power 菜单,让”重启”和”关机”始终可见而无需先安装更新;在 Snipping Tool 与 Photos 中移除”Ask Copilot”按钮,记事本中将 Copilot 图标改为更明确的”Writing Tools”标签;改进文件资源管理器的响应速度和稳定性;让 Widgets 和 Discover Feed 默认更”安静”,减少打扰;并在内存占用方面做优化。

HN 评论几乎一致地表达了不满与不信任。一条高赞评论描述了被微软账户锁出本机的经历:登录提示离线并要求”上一个密码”,但本地无法重置由微软账户绑定的密码,最终只能通过恢复控制台添加新管理员。许多人认为微软的根本问题不是 UI 细节,而是激励错位——产品团队被要求推动微软服务的使用率,导致用户被强行绑定账户、被推送广告、被注入 AI 功能。多位评论者指出,“恢复关机/重启菜单”这种改进只是回到了 Windows XP 22 年前就有的状态。

有人推测微软高层是因看到迁移数据上升才出来”洗白”,但商业战略(广告、数据变现、AI)并未真正调整,只在表面修补声誉。还有评论批评 Windows 11 是”会议上没人敢直言”的产物,现已成为客户不被尊重的典型案例,连企业用户也开始厌倦。多位用户表示已迁移到 Linux 或决心不再回到 Windows,理由包括强制微软账户、系统内置广告、文件复制缓慢、UI 范式混乱以及 AI 深度嵌入。一条尖锐评论总结:“你们承认最近的改动都是垃圾——那当初为什么要做?“


4. Mercury 的两百万行 Haskell 生产工程实践

Haskell 官方博客邀请 Mercury 工程师 Ian Duncan 分享在金融科技公司用 Haskell 构建大规模生产系统的经验。Mercury 为超过 30 万家企业提供银行服务,2025 年处理交易量 2480 亿美元,年化收入 6.5 亿美元,目前正在向 OCC 申请国家银行牌照,工程团队约 1500 人,代码库约 200 万行 Haskell,且大多数工程师入职前从未写过 Haskell。

文章核心论点是:Haskell 的价值不只是类型系统能消除某类 bug,更在于它能把”机构性知识”编码进 API 中,使其在原作者离开后依然存活。在以 2 倍年增速扩张的公司里,半数同事永远只有不到一年经验,因此可读性、防误用 API 和优雅降级比”优雅”更重要。作者引入韧性工程概念——可靠性不是没有失败,而是系统吸收变化的能力。把类型系统视为”运营辅助”而非纯粹的正确性证明,是这种视角的核心。文章描述了 Mercury 如何利用类型把危险操作藏到狭窄边界后、让安全路径成为最简单的路径,并经历了 SVB 危机期间 5 天涌入 20 亿美元存款这类极端场景的考验。

HN 评论反响较为正面但也有保留。一些评论强调,类似 User -> LoggedInUser -> AccessControlledLoggedInUser 这种用类型阶梯防止鉴权 bug 的模式在 Rust 和 TypeScript 中也行得通,并被严重低估。也有 Haskell 老兵承认,即便专写了三年 Haskell,他在 Rust 中的生产力仍是双倍——Haskell 中陷阱多,代码可能近乎只读,工具链常与 Nix 紧耦合,语言扩展遍地,Cabal 配置体验不佳。Mercury 的成功被部分归功于 Haskell,但更多人认为是其整体工程文化与早期领导层的高水平所致。也有评论警告 Haskell 的”双刃剑”:诱惑是把所有业务规则建模为类型,结果代码库本身变成业务规范,每次政策变化都引发大规模重构。


5. 为什么 TUI 又火起来了

研究者 Alcides Fonseca 在博客中分析终端用户界面(TUI)回潮的原因。他从 DHH 的 Omarchy 发行版谈起:其界面由 TUI、Web 应用和不太协调的 GNOME 原生应用三类构成。原生 GUI 在三大平台都陷入困境:Windows 自 Petzold 时代后再无连贯的 GUI 战略,从 MFC、COM、ActiveX 到 WPF、Silverlight、WinUI、MAUI 不断失败;Linux 因 GTK 与 Qt 并存以及发行版碎片化导致厂商干脆放弃原生开发,转向 Electron;macOS 也在 Tahoe 版本中违背自家人机界面规范,菜单加图标、窗口缩放困难、忽视 Fitts 定律。Electron 应用虽然降低了内存占用,但视觉一致性差、键盘工作流缺失。Google 的 Fuchsia/Flutter UI 半途而废,Zed 用 Rust 自研 GPUI 也面临系统集成难题。

在这种背景下,TUI 凭借速度快、易自动化、跨平台、可远程使用的特性填补了空白。Claude 与 Codex 等 AI 编码工具在命令行上大获成功是直接推动力。

HN 讨论分歧明显。一种观点带有自嘲:TUI 让”vibe coding”的用户在按 15 次 continue 时仍能假装是黑客。反对者表示宁愿用 Web 界面——TUI 强迫人安装特殊字体、调整终端配置、猜导航快捷键,而且无法与密码管理器、文本扩展工具良好集成。也有观点直指 Claude Code 才是真正推动 TUI 流行的核心因素,其他都是噪声。SSH 远程交付应用的能力被多次提及为 TUI 独特优势:无需本地安装、天然支持远程,“是对那些靠平台不兼容锁定用户的 OS 厂商的中指”。也有用户在质疑:明明显示器早已不局限于字符网格,为什么还要回到这种伪 GUI?真正缺的是一个跨平台、流式、轻量的 UI 系统。还有人指出当前 TUI 框架严重依赖 NPM 生态,安全性堪忧。


6. 伦敦出现据信为 Banksy 的新雕像:被国旗蒙住眼睛的西装男子

《Smithsonian》杂志报道,伦敦中心区出现一座被认为是 Banksy 作品的新雕像:一位身着西装的男子被国旗蒙住眼睛,看似自信地走向悬崖边缘。作品材料初步看似为模制玻璃钢。

HN 评论围绕作品的象征意义、Banksy 风格的演变与其匿名身份展开。多位评论者认为雕像不仅在表达”被国旗蒙蔽”,更突出”自信地走向虚空”——“裹着国旗”作为成语极具讽刺力,针对那种对自己出生地(一个并非由自己选择、与自己无关的地方)抱有过度骄傲与虚荣的心态。但也有观点认为这件作品的意涵过于直白,比 Banksy 以往作品更”表面化”,缺乏耐人寻味的层次。

讨论中出现一个反思:英国长期产出反对某些机构的艺术作品,但被讽刺的机构反而更糟。乔治·奥威尔写下对极权与监控的警示,英国监控反而越来越严密;电影《这就是英格兰》直白展示英格兰民族主义青年的悲剧,二十年后该国民族主义者比战后任何时期都多。Banksy 是否会步上同样的命运?

另一些评论关注其匿名性——“Banksy 身份未知”被认为是媒体维持的神话,他实际上是建制内人士,得到当权者的”配合”。还有人讨论作品摆放位置,认为 Pall Mall 路尽头的圆环更适合放置雕像。一条切题的评论引用了 Hakim Bey 的《T.A.Z.》:“盛装出席,留下假名,化身传奇。诗意恐怖主义违法,但别被抓——艺术作为犯罪,犯罪作为艺术。“


7. 哈佛实验:OpenAI o1 急诊诊断准确率 67%,分诊医生为 50–55%

《卫报》报道,哈佛一项研究让 OpenAI 的 o1 模型与人类急诊分诊医生在相同的标准化电子健康记录上做诊断对比,结果 o1 正确诊断了 67% 的病例,医生正确率为 50%–55%。研究发表于《Science》(2026 年 4 月 30 日)。

HN 讨论以质疑为主。最高赞评论引用了一篇近期论文,指出在某 X 光片诊断基准中,AI 在”完全没看到 X 光片”的情况下也能击败放射科医生——这暴露了医学 AI 基准容易因数据泄漏或任务定义不当而被高估。本次研究中,医生被要求执行一个并不属于其日常实践的任务:仅凭文本记录做诊断。真实临床中,医生会通过患者口述、家属交流、肢体观察、查体等多种渠道收集信息,而病史采集本身就是一项专业技能。把这些信息抽离后只保留结构化文本,等同于让医生在不擅长、未受训的格式上比赛模式识别——LLM 自然占优,尤其当案例可能存在于训练语料中。

也有评论指出,这类病例本身是医学生的”学习题”,而非医生的标准考核。另有人强调诊断质量取决于上游信息采集,而 LLM 没有承担获取信息的责任。一些更乐观的评论认为,能在文本基础上达到这一水平已属惊人,对 AI 持过度敌意没有道理;并提出 AI 在初筛、汇总海量数据方面有真实价值,但应作为辅助而非替代——如果 AI 漏掉了什么,医生可能不再深查;反之亦然,问责归属问题尚未解决。还有评论提到,研究未公布医生与 o1 的诊断耗时差异,这是评估实用性的关键指标。也有人将话题延伸到兽医领域,认为本地兽医价格差距可达一个数量级,AI 辅助诊断与竞价撮合或有可观空间。


8. 三十年与 Phish 同行的程序员:当代码工作不再适配音乐节奏

作者 Christopher Meiklejohn 自 15 岁起便以”听 Phish 乐队的音乐写代码”作为自己唯一的生活方式,三十年里几乎从未间断。从 1998 年的第一份职业编程工作,到博林克利音乐学院的开发岗位,再到耗时十年完成的博士论文,Phish 长篇即兴演奏的延展节奏与他从事的分布式系统、后端服务等需要长时间沉浸式专注的工作高度契合:曲子动辄半小时以上,作品在缓慢展开中给予回报,正好匹配那种需要把大量上下文持续装在脑中的深度工作形态。他坦言,音乐与编程之间的条件反射已经完全融合,没有 Phish 他几乎无法进入心流。

文章的转折出现在 2026 年初。作者表示自己已经基本不再亲自写代码,而是变成在管理 AI 智能体——开会话、提问、改向、切换到另一个会话、检查合并、审查产出、再发回修改。一天的工作变成了一个不断被打断的任务队列,每隔几分钟就要切换上下文。他承认这或许是更高杠杆的”工程”,是未来,但工作形态已经根本改变:以一段连续注意力为单位的 Phish 长篇即兴,正在与碎片化、跳跃式的新工作节奏脱节。一首曲子才放三分钟,他已经切换了四次上下文,音乐与工作不再同频共振。

HN 评论区围绕这种失落感展开了广泛讨论。一些人感同身受,认为完整的 agent 编码不像辅助补全那样能进入心流,反而像是不停为一个”动作快但常犯错的初级员工”擦屁股,整天处于损害控制中。也有评论者指出”被迫使用 LLM”并非铁律,可以选择何时何地用它,或在业余时间为 OpenBSD 等开源项目贡献代码、找回手写代码的乐趣。另一些人则从积极角度回应:仍把这视为工程,只是关注点从写代码转向接口设计、测试和大局观;还有人推荐 grindcore 这类歌曲极短的音乐适配频繁打断的新工作节奏。文章特别打动了一部分”从小就知道自己想做什么”的工程师群体,他们认为作者准确描述了那种没有迷茫期、一生坚定一件事的人生体验。


9. Denuvo 在所有曾保护的单机游戏中均被绕过,2K 据称以强制 14 天联网检查反击

据 Tom’s Hardware 报道,臭名昭著的 DRM 方案 Denuvo 已在其曾保护的所有单机游戏中被破解或绕过。具体而言,2025 年末由 MKDev 团体与 DenuvOwO 推出了一种基于虚拟化管理程序的绕过方案(HVB),通过安装内核级驱动来拦截并响应 Denuvo 的检查。严格来说,这并非传统意义上的”破解”,而是一种 ring-1 层面的 hypervisor 绕过手段,对盗版用途已足够。作为反应,2K Games 与 Denuvo 据报道开始在游戏中引入强制每 14 天联网检查的新机制。

HN 评论区对此话题反响热烈。一条高赞评论以苏联时代工厂”装配-拆解循环”的都市传说类比当下的 DRM 现状:GTA 5 单机版被盗版已逾十年、毫无内容更新,但官方仍在 Steam 上加入新 DRM,导致 Steam Deck 休眠后频繁掉出游戏、离线时无法启动——没有产出任何有价值的东西。许多评论者表示已转向 GOG 平台,主张”买即拥有”的无 DRM 立场,“如果购买不等于拥有,那盗版也不算偷”。

技术层面,评论指出当前的绕过方案需要启用测试签名、禁用 Hyper-V(连带影响 WSL),存在一定使用门槛和安全风险,部分用户表示会用单独的电脑运行。也有评论质疑 Denuvo 给游戏带来的性能与稳定性损失是否值得,并担忧此次大面积失守是否会促使发行商减少 PC 平台发行或推迟发布。还有人提到 Denuvo 背后的人物正是当年 SafeDisc、SecuROM 等历史 DRM 方案的同一人,并讽刺许多反 Denuvo 的玩家其实仍在玩 Battlefield 这类带内核级反作弊(被视为间谍软件)的游戏。


10. 嵌入式 Rust 还是 C?工业微控制器项目对比研究

这是一篇 arXiv 论文(arXiv:2604.25679),由 STMicroelectronics、都灵理工、柏林自由大学和 Inria 的研究者合作完成。研究采用并行开发的方式:两支团队在数月时间内分别用 C 和 Rust 实现同一套 IoT 工业传感器节点的功能,然后从开发过程、迭代努力、最终产物等方面进行比较。

论文的核心结论是:在内存占用和执行速度方面,没有充分理由仅凭这两项指标偏向 C 而非 Rust 用于微控制器固件开发。此外,基于 Rust 的 Ariel OS 提供了一个高效且可移植的系统运行时,其占用空间甚至小于该领域传统使用的最先进的裸机 C 技术栈。作者由此得出结论:在该领域,Rust 今天已经是固件开发的合理选择。

HN 评论区讨论较为分化。一位长期从事嵌入式开发的爱好者大力支持 Rust,认为其优势不在内存安全,而是整体语言与工具链更优——枚举、命名空间、无头文件、cargo run --release 开箱即用,相比 C 项目常见的链接错误、依赖混乱要清爽得多;他特别赞赏 cortex-m crate、defmt、probe-rs 和 PAC 项目的生态。另一些评论者则指出该研究存在方法学问题:仅用一次实验得出结论;Rust 团队有 Ariel OS 开发者直接支持,而 C 团队只用 ST HAL,对比并不公平;Figure 12 中 Rust 固件在项目末期获得超过 1/3 的性能提升很可能来自 OS 团队的优化。还有评论质疑论文中 C 版 JSON 解析器必须使用 malloc 的设定不合理——既然命令语法已知,完全可以写出无内存分配的 C 解析器。在高完整性、关键任务领域,有从业者指出他们仍选择 Ada/SPARK2014,因为 Rust 缺乏稳定语言规范和形式化验证工具的成熟积累,但承认 2026 年 1 月生效的内存安全软件强制要求会推动 Rust 进一步发展。论文作者之一也在 HN 现身回答问题。


11. 《合金装备 2》源代码在 4chan 泄露

据 TheGamer 报道,《合金装备 2》(Metal Gear Solid 2)的源代码在 4chan 上遭到泄露。从评论中可以推断,泄露版本是 HD 版本对应的 Vita/360 移植版源码,而非原始 PS2 版本——这让代码在现代环境下的可用性大大提高,因为 PS2 时代的开发环境被一位评论者形容为某种”数字斯德哥尔摩综合症”。媒体将此形容为游戏保存史上的重要里程碑。

HN 评论区呈现出几个有意思的角度。有玩家半开玩笑表示,也许借助源代码终于能搞清楚游戏最后约两小时剧情到底发生了什么。也有人讽刺道:科乐美在把 MGS2 推向市场这件事上倒是有 25 年的领先优势。一位评论者指出 Minecraft Legacy Console Edition 最近也在 4chan 泄露(GitHub 上有 MCLCE/MinecraftConsoles 仓库),但 HN 与主流媒体几乎没有报道,颇为反常。还有对游戏保存伦理的争议:有人认为既然能被泄露说明本来就在被保存,但媒体公开赞美这种版权侵权行为仍属不妥。

一条引发讨论的评论提出疑问:这真的是泄露的原始源代码,还是用 AI 智能体从机器码反编译重建出的”伪源码”?该评论者表示自己最近一直在用 agent 做反编译实验,可以让 AI 反编译任何游戏并以接近原始源码的形式重新结构化、确保可编译,并以自己制作的《铁血联盟 3》和 News Tower 在线存档编辑器作为案例佐证。这一观察暗示,在 LLM 工具普及后,源代码”泄露”事件的真伪判断可能变得更加复杂。


12. 为一个人打造的桌面:用 AI 协助重写所有日用工具

作者 Geir Isene 描述了他用几周时间在 Claude Code 协助下,把自己电脑上几乎所有常用软件都换成自研工具的经历。他构建了两套体系:底层 CHasm 是纯 x86_64 汇编(不依赖 libc)实现的图形与输入层,上面运行一个名为 crust 的小型 TUI 库;应用层 Fe₂O₃ 用 Rust 编写。具体替换包括:i3-wm 换成 tile,i3bar+conky 换成 strip+asmites,i3lock 换成 bolt,kitty 换成 glass,zsh 换成 bare,less 换成 show;应用层把 vim 换成 scribe,ranger/RTFM 换成 pointer,mutt+newsbeuter 换成 kastrup,Google/MS 日历换成 tock。剩下仍在使用的只有 WeeChat 和 Firefox。

最让作者感慨的是替换 vim:他自 2001 年起使用 vim 25 年,几乎所有文字工作都经它完成,肌肉记忆深到在浏览器输入框里也会不自觉敲 :w。但 scribe 在 5 月 1 日凌晨开工,到 5 月 3 日下午就已替代 vim——72 小时重塑了 25 年的肌肉记忆。scribe 保留 vim 的模态编辑,去掉他从未用过的 90% 功能,加入软换行、Limelight 风格的专注阅读、prompt 内置 AI、HyperList 编辑及加密、跨会话持久化寄存器等他个人需要的特性。

作者强调这不是关于 AI 或 Rust 的故事,而是想说”为一个人打造完整桌面环境”如今已不再是十年级的英雄式工程,而是周末级别的工作量。他也明确表示软件不为他人设计,请勿使用。

HN 评论区出现了”极端个人化软件”(Extremely Personal Software)的概念讨论,许多评论者认为 2026 年起为 1–10 人编写的软件总量将超越以往任何一年,且大量将”隐藏”在个人电脑里。一位 Ruby 爱好者分享了类似经历,用纯 Ruby 实现了自己的 wm、shell、终端、编辑器、文件管理器,包括字体渲染和 X11 绑定。技术性建议中,有人提醒 X11 屏锁工具实现可靠性很难,推荐参考多进程架构的 XSecureLock。也有人对成本好奇:Claude Code 并不便宜,更像雇了高时薪的机器人承包商。还有评论质疑用汇编而非更适合 LLM 静态分析的语言是否明智,以及为什么博文配图用 AI 生成的笔记本图片而非实际截图。也有评论指出这种”高度可定制 + 全部自己写”的理念早已是 Emacs 用户的日常。


13. BYOMesh:双频 LoRa 开发板宣称带宽提升 100 倍

开发者 nullagent 与 dataparty 团队发布了一款名为 BYOMesh 的 LoRa 开发板,宣称是目前世界上最小、最强大的 LoRa 伴侣开发套件。其特点是在同一块小尺寸 PCB 上同时集成两颗芯片:经典的 SX1276 覆盖 mesh 爱好者熟知的 sub-1GHz ISM 频段,以及 SX1281 提供 2.4GHz 的高速 LoRa 通信。作者认为 2.4GHz LoRa 的最激动人心之处在于:可以在不必跨越到 WiFi、Aredn 或 WiFi HaLow(这些都意味着功耗、复杂度或牌照上的较大跃升)的前提下构建高带宽长距链路。他设想在如太平洋西北地区高山之间的 MeshCore 骨干链路中添加 2.4GHz,可使总带宽提升至原来的 100 倍。

HN 评论区出现大量技术质疑。最高赞评论指出”100 倍带宽”宣称需要严格论证,并强调当前流行的 mesh 协议(MeshCore 与 Meshtastic)在美国实际上并不完全合规于 FCC 法规——靠违规获得的 100 倍带宽与合法的 100 倍带宽是两回事,并附上 MeshCore 仓库中讨论该问题的 issue。多位评论者从物理层面提出疑问:LoRa 的核心吸引力是远距离传输,而 2.4GHz 与消费级 WiFi 同频,自由空间路径损耗(FSPL)远高于 868/915MHz,穿透性也差,因此在长链路场景下 2.4GHz LoRa 的实际优势存疑。一位评论者直接对比数据率:即便是 2.4GHz LoRa 也只有约 30 KB/s,而 WiFi HaLow 可达约 40 MB/s——LoRa 仍只在距离上有优势。

技术细节方面,有人质疑硬件层面的带宽提升从何而来,因为 LoRa 收发器有硬件限制,包括 255 字节的缓冲区,并好奇为什么新项目仍选用 SX1276 而非 SX1262。还有评论提到 LoRa mesh 已被用于乌克兰的无人机蜂群通信。也有人怀疑作者是否混淆了”带宽”的两个含义(频段宽度 vs 数据传输速率)。另有评论指出这一应用方向其实可能已被 DECT NR+ 这样的免订阅 5G 技术覆盖。


14. “通过隐蔽实现安全”并不坏:作为附加层的合理价值

博客作者反驳了网络上常见的”security through obscurity is bad”口号。他在某论坛看到一位用户询问是否值得对网站 JavaScript 做混淆以阻止抓取机器人,下方一条高赞回复简单粗暴地写下”通过隐蔽实现安全是坏的”。作者认为这只是在重复一句被误用的格言。其核心论点是:单纯依赖隐蔽是坏的(Kerckhoffs 原则),但作为附加层的隐蔽是好的,应被视作纵深防御的一环。

作者用”门口钥匙”类比:把钥匙留在锁里最糟,藏在门垫下次之,藏在花盆里更难找——尽管最佳做法是交给可信家人,但隐蔽能提高攻击者的时间成本,使其更可能放弃转向其他目标。他列举了几个亲历案例:2015 年他运营的 WordPress 博客所用的某插件存在 SQL 注入漏洞,攻击者用通用脚本针对默认 wp_users 表名扫库,但他将表前缀改成了随机字符串,因此攻击在”表不存在”的错误中失败,他逃过一劫。第二个例子是 Valve 曾意外在 macOS 版 CS:GO 更新中包含未剥离的调试符号,瞬间让作弊开发者获得大量内部信息,Valve 很快重新发布剥离版本——这正说明厂商重视隐蔽作为附加层的价值。第三个例子是恶意软件分析中常见的代码混淆同样依赖隐蔽来增加分析成本。

HN 评论区围绕这个老话题展开了相当深入的讨论。一种流行类比来自军事术语:security 是 cover(实质防护,能挡子弹),obscurity 是 concealment(隐蔽,让敌人不知道往哪开枪),两者互补但不可互替。多位评论者指出真正的价值在于经济学:安全本质是把成本不对称地施加给攻击者,只要某个隐蔽措施能显著提升攻击者成本而对防御者和用户成本提升较小,就值得做。许多人提到把 SSH 移到非标准端口、端口敲门等做法能大幅减少日志噪音、降低告警疲劳和 Splunk 等 SIEM 的存储成本,使针对性攻击更易被识别。

反对声音也很有力。一位评论者警告这种论证可以被滥用来正当化无穷无尽的”安全垃圾”,最终被人们误当成真正的安全。比如 Pidgin 曾用硬编码字符串加密密码,结果用户开始随意分享配置文件。隐蔽层并非零成本,可能复杂化调试、引入危险依赖、绑定特定厂商、削弱计算自由(如 Secure Boot)。还有人精确指出原文对 Kerckhoffs 原则的描述并不准确——该原则强调”假定攻击者已知系统所有信息(除密钥外)来设计系统”,而非简单的”不要只靠隐蔽”。在大型组织中,隐蔽层还可能让一部分人误以为已有充分防护而忽视基础安全建设。


15. 探访西南航空总部:从乘务员训练到飞行模拟器

作者 Katherine Michel 受邀参加了西南航空(Southwest Airlines)总部的一次粉丝参观活动,并以图文形式记录下整天的行程。总部位于达拉斯的 LEAD Center(领导力、教育与机组培训中心)是全美 13 个乘务员培训设施之一。乘务员除了学习常规客舱服务外,还要训练海上和陆上撤离、应急工具使用、灭火以及自卫;他们每年都要回来参加根据真实事件更新的复训。文章提到一个有趣的细节:乘务员并不需要游泳很好,因为救生衣会承担其职责。

在飞行员培训区,作者了解到飞行员必须能够单手在 8 秒内戴上氧气面罩,另一只手保持操控;他们可以留小胡子但不能留大胡子,否则面罩无法形成密封——这被 HN 评论认为解释了”飞行员小胡子”这一刻板印象的来源。该设施拥有 23 台造价 100 万美元的固定模拟器,以及 26 台造价 1420 万美元的全动 CAE 737 系列模拟器,可模拟包括 ETOPs 跨洋飞行和各种紧急情况在内的任何航线。整栋建筑被加固以抵御 F3 级龙卷风,网络指挥中心周围墙体厚达 12 英寸混凝土。

下午行程包括网络运营中心(NOC)、TechOps 机库、创始人 Herb Kelleher 与 Colleen Barrett 保留下来的办公室,以及”倾听中心”。文章还顺带提及西南航空只有 6% 的飞行员是女性,与行业平均水平相当。

HN 讨论中,许多人分享了类似的幕后参观体验:有人参观过华盛顿州偏远地区的烟跳员(Smokejumper)基地,看到他们打包降落伞和协调空投;有人游览星巴克总部,惊讶地发现那里有大量房间专门用于全天候品尝咖啡以保证一致性;还有人参观昆塔斯航空(Qantas)的发动机车间和 A380 维护现场。共同感慨在于:哪怕看似平庸的快餐咖啡或廉价航空,背后都需要庞大的人力与系统支撑;航空运营被认为是地球上最复杂、最有趣的工程问题之一。


16. Chromium Drift:追踪各大基于 Chromium 浏览器的版本滞后情况

Chromium Drift 是一个简单的看板式网页,用于追踪各主流基于 Chromium 的浏览器相对 Chrome Stable 主线版本的滞后程度。当前数据显示,Chrome、Brave、Opera、Edge、Arc、Dia 以及 OpenAI 的 ChatGPT Atlas 浏览器都跟上了 147 版本;Vivaldi 落后一个主版本(146),而 Perplexity 的 Comet 浏览器落后两个主版本(145)。版本号通过多种方式获取,包括公开 API、Sparkle appcast 以及从 Linux .deb 或 macOS DMG 二进制文件中提取。

项目的立论是:当浏览器搭载较旧的 Chromium 版本时,用户会暴露在已知且已修补的安全漏洞下;这些修复在 Chromium 源码中是公开的,攻击者会主动利用滞后浏览器中尚未发布的修复。

HN 讨论对该项目褒贬参半。支持者希望扩展到 Electron 应用生态,列出有多少桌面应用搭载了带未修复漏洞的 Chromium 运行时;也有人建议加入 Helium、Samsung Internet(市场份额约 10%,目前停留在 136 版本)等浏览器。批评意见集中在几个方面:仅追踪主版本号忽略了小版本中的安全修复;缺少长期滞后时间的纵向追踪难以得出有意义结论;Chromium 主版本现在每两周发布一次,“落后一版”可能只意味着几天的差距;红绿配色对色盲用户不友好。

为 Vivaldi 辩护的评论指出,Vivaldi 实际处于 Extended Stable 周期,并会在主版本更新前发布增量安全补丁,所以并非真的”不安全”。还有人提出反向疑问:能否将”落后”视为稳定性优势(除关键 CVE 外)?以及厂商是否仍在向后移植安全修复。也有 Firefox 用户在评论区”路过留名”。


17. 研究称咖啡的健康益处可能与核受体 NR4A1 通路有关

得克萨斯农工大学兽医学与生物医学院(VMBS)的一项新研究,发表在《Nutrients》期刊上,为咖啡长期被观察到的健康益处提供了一个潜在的生物学机制解释。研究团队由 Stephen Safe 教授领导,发现咖啡中的多种化合物会激活体内一种名为 NR4A1 的核受体,该受体在衰老、应激反应和疾病中扮演重要角色。

NR4A1 属于核受体家族,能够响应身体应激和组织损伤来调节基因活性。Safe 此前的研究将其描述为”营养感受器”。该受体参与炎症、代谢和组织修复等多种生物过程,与癌症、神经退行性疾病和代谢紊乱等年龄相关疾病密切相关。研究人员发现,咖啡中的多羟基与多酚类化合物(特别是咖啡酸)能与 NR4A1 结合并影响其活性;当从细胞中移除 NR4A1 后,这些保护作用就消失了。

值得注意的是,虽然咖啡因是咖啡中含量最高的单一成分,但研究表明它可能并不是健康效应的主要驱动因素。Safe 指出:“咖啡因能与受体结合,但在我们的模型中作用不大。多羟基和多酚类化合物活性强得多。“这一点也解释了为什么大型流行病学研究中常规咖啡和无咖啡因咖啡都呈现出相似的健康关联。研究主要是机理性的,并未在人体中证明因果关系。

HN 讨论中,一位评论者详细介绍了咖啡因影响免疫系统的两种相反机制:一是阻断 A2A 受体(免疫激活),二是抑制磷酸二酯酶导致 cAMP 累积(免疫抑制),并指出在膳食剂量下前者可能占主导。多名喝无咖啡因咖啡的用户表示这项研究为他们”正名”。也有人好奇无咖啡因咖啡是否仍含有这些活性化合物,以及该机制是否同样适用于含相似化合物的巴拉圭茶(yerba mate)。


18. DIY 自制毛发电解脱毛仪

作者 scd31 详细记录了自己 DIY 一台毛发电解脱毛仪的过程。文章首先介绍了脱毛方式的层级:剃须、蜡脱、脱毛器属于临时性方案;激光属于”永久性减少”而非真正去除;FDA 认可的唯一永久脱毛方法是电解脱毛。电解脱毛主要分三种:直流电(galvanic,通过电解在毛囊中产生氢氧化钠杀死毛囊)、热解(thermolysis,通过 RF 电流局部加热)和混合式(blend,专业场景最常见)。作者选择了直流电方案,因其更易实现,文献信息更充分,RF 方案则容易造成烧伤或疤痕。

直流电方案的核心计量单位是”碱量”(LU),1 mA 持续 1 秒产生 10 LU。根据 2001 年医学教科书《电解脱毛的原理与实践》,不同毛发类型所需 LU 范围从 10(细软无色毳毛)到 60(极深的终毛)不等。最大电流由疼痛耐受度决定,电流低可以靠延长时间补偿。

第一版原型极其粗糙:作者将一根针(朋友 Olivia 从自己的电解项目中赠送)通过电位器连到汽车电池上,使用电流表监测,另一端电极用一个易拉罐——握紧或松开就能调节电阻和电流。靠默数秒数估算 LU 值。尽管装置看起来不安全,但成功从手臂上拔出了毛囊,且体验比预想中疼痛小,作者将其与激光脱毛进行了主观比较。后续作者改进了针头夹持装置,朝实用化方向迭代。

HN 评论里既有大量技术问题(硬件成本、不同部位疼痛差异、与商业设备对比、是否会有合适深度的反馈感觉),也有大量与跨性别群体相关的讨论。多位评论者指出,专业电解脱毛费用动辄数千甚至数万美元,对许多 M2F 跨性别人士而言是巨大的经济负担,而 DIY 路线具有显著意义。还有人开玩笑地讨论是否可以将针装在 5 轴 CNC 上自动定位毛囊。整体上社区对这项业余但严谨的工程项目给予了高度赞赏。


19. 脑成像研究揭示三种 ADHD 亚型

《华盛顿邮报》报道了一项基于脑成像的研究,研究者通过聚类分析在 ADHD 患者中识别出三种”生物分型”。该研究由四川大学华西医院与澳大利亚 Monash 大学 Turner Institute for Brain and Mental Health 的神经成像专家 Pan 等人合作完成。研究人员表示令人惊讶的是:在聚类过程中没有使用任何临床信息,但浮现出的三种生物型却很好地映射到了临床上已识别的 ADHD 表现形式。

报道中一个核心议题是情绪失调。一些医生和研究人员多年来主张情绪失调并非 ADHD 的边缘症状,而是核心却被忽视的部分;但该症状并未出现在 DSM 等正式诊断标准中。临床医生因此无法清晰归类——他们看到的儿童究竟是严重焦虑、自闭谱系障碍,还是 ADHD 本身需要被更广义地定义?Cincinnati 大学精神病学和儿科教授 Melissa DelBello 指出,脑成像虽有前景,但目前在临床中广泛应用仍不现实,因为成本高昂且在个体水平上还不够精确。

HN 讨论非常活跃。一种主流观点认为 ADHD 的命名本身就不准确,“执行功能障碍”才是更贴切的描述——一位评论者描述自己会列清单帮助记忆任务,但坐下来就是无法启动这些待办,再多注意力技巧也克服不了。另一类讨论质疑精神病学整体的认识论基础,称精神科医生像是”用地铁图导览巴黎地下墓穴的游客”。也有人从演化生物学角度重提”猎人–采集者”假说,认为 ADHD 特质在狩猎场景中是优势,文明社会则将其视为”失调”。还有评论指出文章未明确说明研究者所基于的论文,并讨论了 DSM 滞后于研究、ADHD 与平衡 / 运动控制问题的高共病率、以及 RSD(拒绝敏感性烦躁)等情绪相关症状对 guanfacine 等药物的反应。


20. Show HN:用 ONNX Runtime Web 在浏览器中跑苹果 SHARP 模型

开发者 bring-shrubbery 发布了一个 Web playground 项目 ml-sharp-web,把苹果发布的 ml-sharp 模型移植到浏览器中运行,用于从单张图片生成高斯泼溅(Gaussian Splats)3D 场景。项目通过 ONNX Runtime Web 加载约 2.4 GB 的 ONNX 模型,在 WebGPU 上完成推理;据作者介绍在较新的 Mac 上推理只需几秒钟。需要注意的是 SHARP 发布的权重仅限研究用途(受苹果模型许可限制,与代码许可分开)。

HN 讨论涵盖了多个层面。在技术体验方面,多位评论者反馈了实际运行情况:在 Chrome 上约 9 秒完成推理;Firefox/Linux 用户报告无法运行;显存不足 4 GiB 的设备会出现 out-of-memory 崩溃。在模型局限方面,有评论指出仅靠单张照片输入意味着模型必须”脑补”大量未见信息——例如把海报照片处理为伪 3D 场景;如果允许两张以上的输入,许多此类问题就可缓解。

围绕格式与生态,有评论惊叹于 ONNX 文件大小(按 32 位浮点折算约 6.44 亿参数),并介绍了自己用 ONNX 进行传统 ML(树模型、回归)的 JVM 编译器项目。也有人介绍了类似的浏览器端 AI 影像项目(intabai.dev),并提到 ONNX Web 仍有缺陷,例如 WebGPU 下 Conv3D 算子需要补丁;他们对 Apache TVM 等替代方案抱有期待。还有人提到自己用 SHARP 写了一个本地图片文件夹的 VR 准体三维浏览器,体验”令人着迷”。

在相关图像转 splat 模型的对比方面,评论者列举了 WorldLabs 的 Marble 模型与腾讯混元团队最新开源的 HyWorld 2.0,并认为 HyWorld 在质量上接近 SOTA。对苹果”仅限研究用途”的许可,社区中存在务实派观点,认为在主要厂商互相蒸馏对方模型的当下,许可条款的实际约束力有限。