HN Hot Posts

Claude AI recovers an 11 yrs old BTC wallet holding 400k USD

332 points • 4 days ago • Article Link

一位比特币交易者在丢失钱包访问权限 11 年后，在 Anthropic 的 Claude AI 帮助下，成功找回了约 40 万美元的加密货币。这位在 X 上名为 cprkrn 的用户在"吸食大麻"后更改了钱包密码，随后忘记了密码，导致 5 个 BTC 无法访问。十多年来多次尝试破解均告失败后，用户将整个大学时期的电脑文件上传给 Claude，作为最后一搏。

一位比特币交易者在丢失钱包访问权限 11 年后，在 Anthropic 的 Claude AI 帮助下，成功找回了约 40 万美元的加密货币。这位在 X 上名为 cprkrn 的用户在"吸食大麻"后更改了钱包密码，随后忘记了密码，导致 5 个 BTC 无法访问。十多年来多次尝试破解均告失败后，用户将整个大学时期的电脑文件上传给 Claude，作为最后一搏。

突破来自 Claude 在这些数据中发现的一份 2019 年 12 月的旧备份钱包文件。 AI 还识别出密码配置中的一个关键错误，该错误一直阻碍着使用开源比特币钱包恢复工具 btcrecover 的尝试。在修复该问题并找到早于密码更改的旧钱包文件后，Claude 成功运行 btcrecover 解密出私钥，使用户能够将这 5 个"丢失"的 BTC 转回当前钱包。

这一事件既展示了 AI 在加密货币恢复中的潜力，也提醒了其局限：Claude 并非凭空猜出密码，而是解决了一个长期阻碍恢复的技术问题。该故事也与其他著名的加密货币丢失案例形成对比，例如有人因法院裁定不允许他搜寻被丢弃笔记本的 Welsh landfill 而失去了价值 7.8 亿美元的比特币。此次成功找回还强调了妥善备份的重要性以及加密货币钱包安全性多年来的演变。

174 comments • Comments Link

一位开发者在审计公司最初拒绝其申请后，借助 Claude 成功识别出 8,000 美元的研发税收抵免；Claude 引用了正确的 IRS 法规，并通过优化 AWS 成本每月节省 250 美元，从而使 AI 订阅在经济上变得划算。

模型正在迅速改进，目前参数量在 100–200 亿的模型，其表现已经超越了据称拥有 1.8 万亿参数的 GPT-4（2023 年版本），这表明大多数用户很快就能从可负担的本地运行模型中获得足够能力，而无需依赖昂贵的订阅服务。

美国税制常被批评为被刻意复杂化，会惩罚那些无力请专业人士的人；对于被迫雇佣昂贵外部公司来做分析的小公司来说，研发税收抵免的流程尤其繁重。

Claude Code 在数据恢复任务中也证明了其价值，例如从损坏的 SD 卡中提取自定义格式的图片，以及从崩溃的浏览器中提取内部数据，挽救了数小时的工作成果。

一位顾问使用 Claude 来理解一个没有源代码管理、没有测试、包含数十个命名混乱文件夹的遗留 Windows 应用，这在理解代码库方面节省了数天的工作量。

关于比特币钱包恢复的报道得到了澄清：Claude 并未破解加密或通过暴力破解密码，而是找到了一个主人没有想到要搜索的备份钱包文件，这更多是人类疏忽而非 AI 的超常能力。

人们对 AI 伦理和访问权限表达了担忧，随着模型越来越多地拒绝取证类任务，如何表述请求变得至关重要以避免触发安全限制，于是本地模型在无需限制的场景中变得越来越有价值。

钱包恢复涉及一个密钥派生函数，多年前暴力破解的计算成本非常高，但随着摩尔定律的发展，成本下降，使得在现代硬件上此类攻击变得可行，甚至较小的本地 AI 模型也能参与其中。

几位评论者分享了丢失比特币财富的经历，包括挖矿收益不抵电费、丢弃含有钱包的硬盘，或在每枚 80 美元时卖掉，总体共识是很多人无论如何都会提前套现。

专业数据恢复公司仍凭借昂贵的硬件工具和"雇佣我们不会被解雇"的服务保障保持优势，尽管 AI 让一些恢复技术对普通开发者更易获取。

讨论揭示了实际应用 AI 所带来的显著财务回报模式，从税收优化到成本节省，通常能够多次覆盖订阅费用。人们普遍认为模型效率在快速提升，较小的模型正逐渐接近更大前代模型的能力，这可能会使访问更为民主化。比特币钱包恢复的故事引发了最多争论，很多人澄清 AI 的贡献主要是系统性地搜寻文件，而非在密码学上取得突破，这突出了 AI 成功往往依赖人类与 AI 的协作，而非纯粹的 AI 能力。关于 AI 限制和请求表述日益重要的伦理担忧成为次要话题，用户指出在某些合法但敏感的任务中，本地模型可能变得必要。

Meta's New Reality: Record High Profits. Record Low Morale

180 points • 4 days ago • Article Link

来自 WIRED 的文章《 Meta 的新现实：创纪录的利润，创纪录的低落士气》描绘了 Meta 在大规模裁员前夕的内部氛围。计划于 5 月 20 日进行的裁员预计将削减约 10% 的员工。尽管公司创下了历史性的财务业绩，但员工士气却被描述为处于历史低点。对十多名现任和前任员工的采访显示，组织内普遍存在不满情绪。一位 Instagram 员工说："每个人都很不开心，老实说，唯独高管例外。"

来自 WIRED 的文章《 Meta 的新现实：创纪录的利润，创纪录的低落士气》描绘了 Meta 在大规模裁员前夕的内部氛围。计划于 5 月 20 日进行的裁员预计将削减约 10% 的员工。尽管公司创下了历史性的财务业绩，但员工士气却被描述为处于历史低点。对十多名现任和前任员工的采访显示，组织内普遍存在不满情绪。一位 Instagram 员工说："每个人都很不开心，老实说，唯独高管例外。"

文章指出，员工普遍感到失望，认为公司的优先事项与员工福祉脱节。导致"坏氛围"的原因包括即将到来的裁员、 Mark Zuckerberg 领导下企业文化的变化，以及对人工智能的高度关注。随着 Meta 将大量资源投入 AI 开发，员工愈发觉得自己可以被牺牲，焦虑和怨恨在公司内部蔓延。这种情绪因高层与普通员工日常现实和关切的脱节而进一步加剧。

文章的评论区反映出公众对 Meta 员工困境普遍缺乏同情。许多评论带有讽刺意味，指出一家以侵犯隐私和数据剥削闻名的公司，其员工如今为自身工作场所问题抱怨，显得虚伪。也有人将裁员视为科技行业为追求自动化和效率而不可避免的结果，一位评论者称，这是员工被要求训练替代自己机器人的前奏。整体语气充满愤世嫉俗，公众从 Meta 更广泛的声誉来解读此事。

总体而言，这篇报道成为科技领域企业盈利能力与员工满意度日益脱节的一个案例，展示了公司在财务上蓬勃发展的同时，其内部文化可能正在崩解。 Meta 的处境被呈为关于快速技术进步以及把 AI 放在优先位置而忽视构建它的人所付出代价的警示。文章以强调 Meta 公开的成功与私下的动荡之间的紧张关系作结，给读者留下公司内部深切不安已然根深蒂固的印象。

211 comments • Comments Link

根据 Hacker News 的讨论，以下是对 Meta 现状的要点总结：

- 员工普遍不满：现任与前任员工普遍报告称公司出现前所未有的集体沮丧和"受够了"的情绪。工作环境被形容为越来越残酷、政治化和不稳定，形成一种"恶性循环"：优秀人才离开，留下的要么适应了有毒文化，要么被困在其中出不来。

- "金手铐"困境：很多人尽管厌恶工作环境，但因为高薪酬尤其是 RSUs 而选择留下。担心失去未归属的股票或失去未来的财务保障，使许多人即便目睹公司在道德和文化上的衰退也保持沉默。

- 领导层脱节且冷酷：Mark Zuckerberg 常被认为脱离实际，其决策更多受竞争和数据驱动，而非人文关怀。员工感到高层把普通员工当作可消耗的资产，为了"效率"压榨人力，而不是把他们视为有价值的贡献者。

- AI 集成带来的质量问题：公司大力推动用 AI 加速开发，结果催生了"低质量代码"的文化。工程师抱怨要花更多时间修复 AI 生成的劣质代码而不是自己写代码，高层低估了这种对工程组织冷漠态度对平台长期稳定性的损害。

- 道德冲突与自我合理化：员工越来越难以接受 Meta 产品的社会影响，例如对青少年心理健康的负面作用和平台在全球政治动荡中的角色。有些人通过参与"诚信"团队或把收入大部分捐出来自我安慰，另一些人则认为公司正在遭遇报应。

- 历史背景与文化转变：长期观察者指出，Meta 曾经是"与众不同"的工作场所，但自 2022 年左右文化发生了明显转变。公司被比作"罗马式集体惩罚"——频繁裁员和重组通过恐惧来控制剩余员工。

- 公司臃肿与效率低下：有人认为 Meta 多年积累了大量低效岗位，许多工程师做的项目对广告核心业务以外几乎没有收益。如今高层试图清理这些"混日子"的项目，这给当初为 VR 等非广告技术加入公司的人员带来了痛苦。

- 公开批评成为常态：与传统企业的沉默文化不同，许多员工在匿名论坛上公开抨击公司。这被视为恐惧因素崩溃的标志——要么员工财务独立不再畏惧，要么环境如此恶劣，让人觉得无所失去。

总体而言，讨论描绘出一家处于严重文化危机的公司：领导层优先追求无情的效率与竞争而非员工福祉，尽管部分人仍享受高额财务回报，但 Meta 与员工之间的社会契约已被侵蚀，导致员工普遍疏离、道德冲突加剧且更加直言不讳。

USDA Projects Smallest US Wheat Harvest Since 1972 Due to Plains Drought

254 points • 4 days ago • Article Link

USDA 在其 2026/27 年度的首次预测中表示，由于 Plains 地区的严重干旱重创了主要品种 hard red winter wheat，U.S. 农民将收获自 1972 年以来最小的小麦产量。机构把小麦产量估为 15.61 亿蒲式耳，较上一年的 19.85 亿蒲式耳大幅下滑，远低于分析师预期的 17.35 亿蒲式耳。只有 28% 的冬小麦被评为良好至优秀，为近四年来同期最低。预计干旱将使 hard red winter wheat 产量同比减少约 25% 。

USDA 在其 2026/27 年度的首次预测中表示，由于 Plains 地区的严重干旱重创了主要品种 hard red winter wheat，U.S. 农民将收获自 1972 年以来最小的小麦产量。机构把小麦产量估为 15.61 亿蒲式耳，较上一年的 19.85 亿蒲式耳大幅下滑，远低于分析师预期的 17.35 亿蒲式耳。只有 28% 的冬小麦被评为良好至优秀，为近四年来同期最低。预计干旱将使 hard red winter wheat 产量同比减少约 25% 。

与此同时，大豆产量预计将升至有记录以来的第二高，达到 44.35 亿蒲式耳，高于去年的 42.62 亿蒲式耳，原因是种植者将面积转向大豆——大豆对肥料的需求低于玉米和小麦。玉米产量则预计下降约 6%，降至 159.95 亿蒲式耳，低于去年的 170.21 亿蒲式耳，尽管这一预测略高于分析师预期。向大豆转产反映了农民为应对飙升的投入成本（尤其是肥料和燃料）所做的调整，这些成本因 Strait of Hormuz 关闭而上升。

不断攀升的生产成本，加上 President Trump 的关税战以及与 China 持续的贸易紧张，进一步加剧了 U.S. 农业经济面临的压力。由于 Brazil 和 Argentina 供应充足，China 已大幅削减从 U.S. 进口的大豆。尽管本周的 U.S.-China summit 可能促成扩大 China 对谷物和肉类采购的农业协议，但市场观察人士并不指望出现超出去年十月协议之外的重大新大豆承诺。 USDA 预计 2026/27 年度大豆出口为 16.30 亿蒲式耳，高于本季的 15.30 亿蒲式耳，期末库存预计收紧至 3.10 亿蒲式耳。

USDA 的看跌小麦前景推动 Chicago Board of Trade 的基准小麦期货暴涨，触及每日每蒲式耳 45 美分的涨停限制。硬红冬小麦和软红冬小麦均涨停，市场对大幅减产迅速做出反应。预计到 2026/27 年度末，玉米供应仍将充足，为 19.57 亿蒲式耳，低于本季的 21.42 亿蒲式耳。干旱引发的供应冲击、地缘政治导致的投入成本波动以及出口需求的不确定性，共同为 U.S. 谷物生产者在新作物年度前景增添了极大的动荡与挑战。

178 comments • Comments Link

文章标题把小麦减产归咎于干旱，但正文强调农民改种大豆的事实，其主因是霍尔木兹海峡的中断影响了尿素等氮肥供应，推高了化肥成本。小麦历来在平原较干燥的边缘地带种植，而大豆利润更高、对肥料的需求更少，因此许多农民选择放弃小麦。编辑为了获得最大参与度，常常独立于作者选题、拟标题，即便标题过于简化或曲解了文章实质。

美国高度依赖加拿大的钾肥供应，全球化肥市场的互联性意味着像霍尔木兹海峡这样的供应中断会推高全球价格，进而影响种植决策。氮肥（如尿素）主要由甲烷和空气制成；因地缘政治紧张导致天然气价格上涨，生产成本上升，使肥料更加昂贵。农民改种大豆并非直接由干旱引发，而是由投入成本，尤其是氮、钾肥成本飙升，使对肥料依赖较少的作物在经济上更有吸引力。

尽管报道声称大豆种植面积增加，但自 2024 年以来美国大豆出口几乎减半，主要因为中国因关税政策停止购买，引发了对产出去向的担忧。作物轮作对土壤健康至关重要，大多数农民遵循长期种植计划（如玉米—玉米—大豆），而非仅凭短期市场信号迅速转换作物，这限制了作物间的快速转变。

数据中心常被指责用水量大，但它们的用水远低于农业或工业用户，且通常选址在水资源较丰富的地区，以减轻当地用水压力。奥加拉拉含水层对平原农业至关重要，目前的抽取速度超过补给速度，这威胁到堪萨斯州等州的长期农业可行性；内陆地区无法依赖海水淡化来补充地下水，因为淡化在能源、基础设施和盐水废弃物处理上存在重大挑战，因此保护含水层尤为重要。

粮食安全与能源和水资源的可用性直接相关；随着化肥成本上升和水资源日益紧张，全球食品价格可能飙升，尤其冲击较贫困国家。有人认为改种大豆是利好：降低肥料需求并有利于更健康的食物供应，但也有人警告小农难以应对市场波动和贸易中断带来的经济压力。如果出口市场长时间未恢复，储存的大豆可能面临腐败风险，尽管现代储存技术在受控条件下可以将谷物保存一年以上。

美国农业部证实干旱显著降低了冬小麦产量，只有 28% 的作物被评为良好至优秀——为四年来最低，这在一定程度上支持了文章标题的说法，尽管存在其他竞争性叙事。贸易动态复杂：当中国停止购买美国大豆时，其他买家并未完全弥补缺口，巴西增加产量并改变了全球贸易流向，整体上并没有简单的替代效应。

大豆用途广泛——可用于榨油、动物饲料，以及豆腐和毛豆等人类食品——但大多数美国品种由于加工要求和烹饪时间，并不直接作为整豆食用。干草价格上涨 20% 至 30% 反映了更广泛的农业成本上升，尽管关于价格翻倍的说法可能被夸大或基于不可靠来源。曾被政府推广的"大豆男孩"这一称呼，如今在经济必要性而非饮食潮流驱动下的大豆产量激增面前，显得颇具讽刺意味。

长远来看，人们呼吁通过海水淡化或可再生能源等途径寻找解决方案，因为继续依赖化石燃料会在人工智能和农业这两个能源密集型领域造成竞争劣势。讨论揭示了气候、经济和地缘政治之间复杂的相互作用：尽管干旱确实导致小麦减产，但更核心的驱动力似乎是经济性的——全球供应链中断推动化肥价格上涨，促使农民改种投入较少的作物。贸易政策，尤其是中国因关税停止购买美国大豆，使局势进一步复杂化，使农民面临产能过剩和市场不确定性。在这些眼前问题之下，还有更深层的结构性挑战：含水层的过度开采、海水淡化的局限性以及干旱地区当前农业模式的长期不可持续性。地方影响与国家叙事之间存在张力，一些人淡化气候变化的作用，另一些人则强调系统性适应的迫切性。粮食安全最终与能源政策、水资源管理和全球贸易稳定密切相关。

Computer Hobby Movement in Canada

209 points • 4 days ago • Article Link

Canada 的计算机爱好者运动在 1970 和 80 年代，把个人计算机带入家庭中发挥了关键作用。本展览通过 Toronto Region Association of Computer Enthusiasts（TRACE）的视角记述了这场运动；TRACE 可以说是加拿大最早的计算机爱好者组织之一。从 1976 年成立到 80 年代中期逐渐解散，TRACE 的历史展示了爱好者如何与电子产业和更广泛的社会互动，既反映出与美国爱好者运动的相似性，也显现出独有的特点。尽管到 80 年代末这股运动逐渐失去社会影响力，但它留下了丰富的文化遗产，使个人计算变得更易获得、更具包容性。

Canada 的计算机爱好者运动在 1970 和 80 年代，把个人计算机带入家庭中发挥了关键作用。本展览通过 Toronto Region Association of Computer Enthusiasts（TRACE）的视角记述了这场运动；TRACE 可以说是加拿大最早的计算机爱好者组织之一。从 1976 年成立到 80 年代中期逐渐解散，TRACE 的历史展示了爱好者如何与电子产业和更广泛的社会互动，既反映出与美国爱好者运动的相似性，也显现出独有的特点。尽管到 80 年代末这股运动逐渐失去社会影响力，但它留下了丰富的文化遗产，使个人计算变得更易获得、更具包容性。

计算机爱好者运动的根源可追溯到数十年前的无线电与电子爱好传统，并受到 Popular Electronics 、 Radio-Electronics 等影响力杂志的推动。真正的爆发始于 70 年代初微处理器的出现，这使得爱好者能够通过套件组装廉价的微型计算机。在美国，Mark-8 和 Altair 8800 等项目掀起了自制计算机浪潮，并催生了 Homebrew Computer Club 等专门俱乐部。这些发展对全球产生了深远影响，尽管各国爱好者常常根据本地的条件和市场采用本土设计的机器。

TRACE 起始于 1975 年底，当时 Control Data Canada 位于 Mississauga, Ontario 的几名员工作为核心，开始非正式聚会，讨论微电子技术和制造个人微型计算机的可能性。推动组建俱乐部的是美国软件工程师 Harold Melanson，他希望与志同道合的人汇集知识、共享零件来源。第一次会议于 1976 年 1 月 23 日在 Melanson 的公寓举行，到 4 月该团体已采用正式名称。虽然 TRACE 是北美更大爱好者运动的一部分并与美国俱乐部交换通讯，但它也有自己的特色——早期便关注本地制造的 MIL MOD-8 和 MOD-80 微型计算机，并且对由 Kenneth Iverson 构思的 APL 编程语言有深度参与。

TRACE 的早期成员大多是计算机专业人士，但很快也吸引了那些希望组装第一台个人计算机、专业知识有限的爱好者。获取元件既昂贵又困难，不过一些 Canada 的半导体公司通过让不符合规格的元件流入市场，间接支持了爱好者。其他地区的早期俱乐部，如 Ottawa Computer Group，也反映了各自区域的计算生态。尽管这些俱乐部成员以白人男性为主，但像 Tarot Electronics 共同所有者 Jocelyn Tait 这样的女性加入后也做出了重要贡献。

TRACE 内部存在长期的张力：一方面是把自己当作休闲爱好者的人，另一方面是自认黑客、致力于复杂硬件和软件工程的人。 1978 年俱乐部章程把宗旨定义为促进社区对爱好者计算的兴趣，但像 Fulko Hew 和 Bob Kamins 的成员则主张 TRACE 本质上是由黑客组成、正在构建个人计算未来的组织。丰富的黑客成果不胜枚举，从 Hew 的高分辨率图形显示系统到 Howard Franklin 为 Borough of North York 开发的基于微型计算机的投票系统。一些黑客如 Jim Butterfield 成为微型计算的传奇传播者，另一些如 Peter Jennings 则把兴趣转化为成功的创业。

TRACE 在把微型计算知识传播给公众方面发挥了重要作用。俱乐部参加了 Canadian Computer Show and Conference 等活动，该展会从 1977 年的 13,000 名参观者增长到 80 年代初的 30,000 多人。 TRACE 在 Ontario Science Center 组织展览，并在 Toronto 的 Harbourfront 举办了自办大展 Computerfest'83，通过研讨会、工作坊、演示和跳蚤市场吸引了爱好者与公众。然而到了 1983 年，明显可见要开展大规模的计算机素养项目，需要超出业余俱乐部能力的资源——两个月后由政府资助的 Harbourfront Computer Center 开幕便印证了这一点。

到 80 年代初，随着 Commodore 、 Atari 和 Tandy 等厂商推出廉价、整机的家用电脑，以及 IBM Personal Computer 的问世，个人计算格局迅速变化。这些成就使得爱好者自行组装机器变得既困难又不再必要，侵蚀了像 TRACE 这样的通用俱乐部的会员基础。厂商专属用户团体的兴起——例如拥有 15,000 名成员、专注于 Commodore 产品的 Toronto PET Users Group——进一步分流了会员。 TRACE 在 1982 年初一度面临关闭，出席人数骤降，但新一届执行团队通过改进通讯和举办高规格演讲使其恢复元气。尽管如此，到 1985 年已经清晰可见：随着最先进硬件与软件的开发成本对个人变得高不可攀，微型计算黑客时代正在走向终结。

到 80 年代中期，TRACE 与大多数早期的北美通用俱乐部相继收尾，但它们在社会中播下了对个人计算机的热情种子。十年运动留下了丰富的计算机社群、展会、商店、刊物与电子公告板系统。新一代爱好者推动微型计算朝新方向发展，形成了充满活力的游戏、音乐与多媒体亚文化，使 70 年代以俱乐部为中心的计算机爱好者运动，演变为新的数字化、网络化的互动与表达形式。

90 comments • Comments Link

• 一本名为 Electron 的加拿大爱好者杂志是美国电子期刊展览中同时代的一个重要刊物，但在 20 世纪 70 年代中期改型为专注于 HiFi 产品的 Audio Scene Canada 后，就不再服务于爱好者社区。

• 多伦多 PET 用户组（TPUG）是一个活跃的团体，成员们把钱花在 Commodore 系统上；该组织至今仍然存在，并每年举办 World of Commodore 大会。

• Jim Butterfield 是 Commodore 社区的杰出人物，他的 TINY MON 机器语言监控程序是许多爱好者最先手动输入并使用的程序之一，往往在还没完全弄懂其全部功能时就已开始上手。

• "监控程序"这一术语早于微型计算机时代，源自早期计算领域中直接观察设备电气信号的做法；这一概念在像 gprof 这样的性能分析工具中也有所体现。

• 在加拿大偏远地区，获得电子产品和计算资源非常困难；Heathkit 和 Radio Shack 往往都很远，尽管后来互联网在一定程度上缩小了这个差距。

• 8 位和 16 位时代具有独特的可及性：个人可以在脑中完全掌握整台计算机的架构。但到了约 2000 年前后，64 位 CPU 的复杂性大幅增加，这种全面掌控就变得不再可能。

• 关于多伦多究竟应被视为"中部"还是"东部"加拿大存在激烈争论；围绕地理、人口、经济、时区和生物群落等方面的论点，暴露出深刻的地域认同紧张。

• 阿尔伯塔省的疏离感有其真实根源：尽管人口增长，但在联邦选区中的代表性不足；在经济低迷时期受到不平等对待；以及对均衡支付机制的怨怼。尽管有人将这些情绪视为"受迫害情结"，但不满并非全无根据。

• 均衡支付的机制常被误解：该计划由联邦税收收入资助，而非由某一省直接拨付；这意味着所有加拿大人通过相同的累进税制为之贡献，与省份无关。

• 多伦多在加拿大文化和经济中的主导地位并非单纯的傲慢表现：它反映了作为北美最大城市之一的地位，拥有其他加拿大城市难以匹敌的活力和活动集中度，但这种中心性也在其他地区引发不满。

讨论既展现了早期加拿大计算文化的浓厚怀旧情结——以 Electron 等杂志、 TPUG 等用户组以及 Jim Butterfield 等有影响力人物为核心——又迅速扩展到更广泛且更深刻的地域认同辩论。多伦多的中心地位既令许多人自豪，也成为西部和大西洋省份产生疏离感的根源。均衡支付与联邦代表性成为争论焦点，参与者在阿尔伯塔省的不满是否合理或是否基于错误信息上存在尖锐分歧。在技术与社会政治的表象之下，仍然存在一种对加拿大辽阔地理和多样化社区的共同情感，即便各方在应对人口与经济分布不均带来的紧张时意见分歧，这种情感依然存在。

Rewrite Bun in Rust has been merged

697 points • 5 days ago • Article Link

Jarred-Sumner 合并了题为 "Rewrite Bun in Rust" 的 pull request，并表示会很快发布一篇详细的博客文章。此次重写在所有平台上通过了 Bun 既有的测试套件，修复了若干内存泄漏，并将二进制体积缩小了约 3–8 MB 。基准测试显示性能持平或更好，团队也因此获得了编译器辅助的工具来发现并防止内存错误。 Jarred-Sumner 澄清，代码库在其他方面基本保持不变，架构和数据结构未改，Bun 仍然依赖很少的第三方库，重写中也没有使用 async Rust 。他鼓励用户使用 `bun upgrade --canary` 试用 canary 版本，遇到问题请提交 issue，并称若讨论失控他会锁定该帖子，同时指出仍有优化和清理工作要做。

Jarred-Sumner 合并了题为 "Rewrite Bun in Rust" 的 pull request，并表示会很快发布一篇详细的博客文章。此次重写在所有平台上通过了 Bun 既有的测试套件，修复了若干内存泄漏，并将二进制体积缩小了约 3–8 MB 。基准测试显示性能持平或更好，团队也因此获得了编译器辅助的工具来发现并防止内存错误。 Jarred-Sumner 澄清，代码库在其他方面基本保持不变，架构和数据结构未改，Bun 仍然依赖很少的第三方库，重写中也没有使用 async Rust 。他鼓励用户使用 `bun upgrade --canary` 试用 canary 版本，遇到问题请提交 issue，并称若讨论失控他会锁定该帖子，同时指出仍有优化和清理工作要做。

该 pull request 涉及大幅改动，新增超过一百万行代码，删除约四千行。对此公告的反应褒贬不一：889 个赞、 678 个踩、 278 个大笑、 188 个欢呼、 120 个困惑、 125 个爱心、 220 个火箭和 302 个注目表情。 CodeRabbitAI 的审阅者留下了评论。开发记录显示有 19 名参与者，并提到该合并可能会关闭某些 issue，但未指明具体哪些。

783 comments • Comments Link

• 从 Zig 重写到 Rust 很可能早有准备：Bun 的代码库已使用与 Rust 等效的智能指针类型做了逐一映射，并且已经存在一个名为 `bun_collections` 的 Rust crate，这表明这是一次有计划的迁移而非临时试验。

• 事先创建了一个将 Zig 映射为 Rust 惯用法的 622 行指令文件。有人认为，对于改进约一百万行代码库的一致性来说，这是一笔相对较小的投入，但关于编写这些规则所需的隐性知识和迭代次数仍有疑问。

• 有人质疑"一周"时间线是否反映了真实的工作量；一些人认为重写在公开宣布前很久就已准备就绪，并且可能是 Anthropic 收购交易的一部分。

• 代码库中包含超过 10,000 个 Rust 中的 `unsafe` 块，约一半的文件含有 unsafe 代码，这令很多人怀疑 Rust 重写到底带来了多少实际的安全性提升。

• Bun 本身并不是一个 JavaScript 解释器，而是重新实现的 Node.js 库，使用 JavaScriptCore 作为其 JS 引擎，因此它更像是 Node.js 的替代运行时而非对 Node.js 的简单封装。

• Diff 行数计数里领先的 "+"（+1009257）触发了 iOS 的电话号码检测，导致整行变成超链接并可点击，考虑到上下文，有人觉得这一点颇具戏剧性。

• 重写前后代码库的行数相当（Zig 约 711K 行，Rust 约 929K 行），因此行数增加本身并非异常，尽管这种规模的变动确实前所未有。

• 测试在重写期间被修改，其中一些改动看起来值得怀疑，例如通过添加 `sleep(1)` 来让测试通过；支持者则指出没有测试被删除或移除断言，而且大多数改动实际上是在新增测试。

• 许多人认为这次重写主要是为了为 Claude 和 Anthropic 的 IPO 做营销，目的是让 LLM 生成代码看起来比实际更容易、更成功。

• 有评论者指出，将其称为"实验"可能不诚实；Jarred 在合并代码的九天前还声称"所有这些代码很可能会被完全丢弃"。

• 先做结构上的同源移植（保持与 Zig 接近），然后逐步使代码符合 Rust 惯用法，这种策略被视为机械重写的正确方法，类似于银行业从 COBOL 到 Java 的迁移。

• 对未来可维护性的担忧很普遍：当没有人能完全理解这个百万行的代码库时，Bug 如何修复、功能如何新增成为大问题。

• 这种从"试验"到合并仅 9 天的效率被许多人视为不负责任；正规做法应在停用原始代码库之前进行 shadow testing 、分阶段发布并进行广泛的现实世界验证。

• 有用户报告在 canary Rust 版本中发现了 stable Bun 中不存在的 Bug，这表明"通过测试套件"的说法并未涵盖现实世界的兼容性。

• 这次重写被视为对超过 800 名为学习 Zig 代码库投入时间的贡献者的不尊重，因为现在的贡献者需要同时学习 Rust 和一个全新的百万行代码库。

• 支持者则认为，只要代码经过适当测试并能正常运行，采用何种创建方法并不重要，而且这可能标志着软件构建方式的一个分水岭。

• 这次重写的 Token 成本估计为六位数，但由于 Anthropic 拥有 Bun，这在本质上更接近一笔营销预算而非传统的开发成本。

• 一些人认为这是 Zig 作为生产语言走向式微的开始；Bun 是其标志性项目之一，而 Tigerbeetle 现在可能是剩下的主要展示项目。

• 观察者注意到一种讽刺：一个旨在成为快速、可靠的 JavaScript runtime 的项目，竟被用作 AI 能力的营销工具。

• 关于这是否代表真正的工程进步还是"为变动而变动"的议题仍有争论；随着系统规模扩大，语言选择在稳定性与对变更的谨慎编排面前显得不那么重要。

• 合并发生时该 PR 没有任何 approval，该 PR 包含 6,755 个 commits 并涉及 2,188 个文件，使传统的代码审查几乎不可行。

• 有人担忧这会树立一个危险先例：即 LLM 可被用来绕过开源项目中的正常工程流程和社区治理。

• Claude Code 本身使用 Bun 作为其 runtime，这种事实创造了一种循环依赖：Anthropic 的旗舰产品现在运行在自己所推动的基础设施之上。

• 尽管存在争议，但仍有人保持乐观：如果 Rust 版本证明稳定，它可能比以 segfaults 闻名的 Zig 版本带来更少的内存安全问题。

这场讨论暴露了深刻的分歧：一方认为 Bun 的重写是 LLM 能力的一次突破性展示，另一方则视其为不负责任的营销噱头，优先炒作而非工程严谨性。"从实验到合并仅九天"的速度侵蚀了许多社区成员和贡献者的信任。虽然支持者强调完善的测试套件和在结构上的忠实移植是缓和因素，批评者则强调"通过测试"并不能保证现实世界的兼容性或长期可维护性。 Rust 代码中超过 10,000 个 `unsafe` 块削弱了提高内存安全性的既定目标，许多人因此得出结论，这次重写主要是为了在 Anthropic 的 IPO 前为其 AI 能力制造正面宣传。此事凸显了软件行业中更广泛的紧张关系：包括 LLM 在代码生成中的角色、维护者对社区的责任，以及当 AI 工具使快速变更在技术上变得可行时，是否应当绕过传统工程实践。

Classic 7 is a Windows 10 LTSC mod to look 1:1 to Windows 7

156 points • 5 days ago • Article Link

Classic 7 是基于 Windows 10（具体为 IoT Enterprise LTSC 2021）的粉丝修改版，旨在尽可能还原 Windows 7 的外观与使用感。项目致力于在现代硬件上重现经典的 Windows 7 体验，包括对开箱体验（OOBE）的 1:1 复刻，让偏好旧版系统的用户在安装时感到熟悉。

Classic 7 是基于 Windows 10（具体为 IoT Enterprise LTSC 2021）的粉丝修改版，旨在尽可能还原 Windows 7 的外观与使用感。项目致力于在现代硬件上重现经典的 Windows 7 体验，包括对开箱体验（OOBE）的 1:1 复刻，让偏好旧版系统的用户在安装时感到熟悉。

该修改版包含许多 Windows 7 的标志性功能，如 Aero Glass 、对 .themepack 文件的支持、桌面小工具以及 Windows Media Center 。网站通过预览图展示这些功能的实际效果，包括常用控件和正在播放示例音乐的 Media Center 。

但有些功能未被包含，例如用于窗口打开、关闭、最小化和最大化的 3D 动画未实现，Flip 3D 由于缺乏合适的移植方案且现有替代品质量欠佳也未恢复。此外，由于 Windows 7 与 Windows 10 之间存在兼容性问题，部分系统应用或小工具可能无法正常运行。

该项目为粉丝自发的非官方项目，与 Microsoft 无关。官网提供来自稳定且高速镜像的下载选项，并列出开发团队致谢与捐赠链接。网站背景图片来自 Unsplash 的 Jony Y 。

161 comments • Comments Link

Windows 2000 被许多人视为 Windows GUI 设计的巅峰：界面简洁、高效且一致，优先考虑生产力而非外观。许多用户认为它是"以完成任务为导向"的终极操作系统，其经典主题至今仍优于后来的视觉改版。

Windows 7 被广泛认为是最好的 Windows 整体版本，因为它兼顾了现代功能和可选的经典 Windows 2000 风格主题。它在视觉精致度和用户可配置性之间找到了理想平衡，而后续版本未能维持这种平衡。

与早期版本相比，现代 Windows 的界面自定义能力明显减少。 Windows 2.1 提供的 UI 调整选项比现在的版本更有意义，而当前版本的用户基本被锁定在形式优先于功能的扁平化美学中。

开始菜单的搜索功能随着时间退化。尽管集成搜索是 Vista 引入并在 Windows 7 中改进的一项重要进步，但现在的实现会产生不确定的结果、糟糕的子字符串匹配和不可预测的行为，使得快速启动应用时不可靠。

由于内置搜索表现欠佳，Everything 等第三方搜索工具已成为 Windows 用户的必备工具，它们提供了微软原生解决方案无法达到的快速、可靠的文件和应用搜索。

Windows 2000 和 ME 是由完全不同的团队、基于不同架构开发的，这解释了它们质量差异的根源。 Windows 2000 基于稳定的 NT 内核，而 ME 本质上是基于 MS-DOS 的 32 位权宜之计。

Vista 的名声不佳主要源于普遍的硬件配置不足，而非根本性的缺陷。在有足够内存（4GB 及以上）时，Vista 表现良好，但大多数 OEM 出厂机器的内存不足，导致了负面的用户体验。

现代 Windows 消耗的系统资源远高于早期版本。 Windows 2000 可在不到 10 个进程、约 50MB RAM 的情况下启动，而 Windows 11 通常占用约 7GB，反映了系统需求的大幅增长。

Windows 11 引入了许多对用户不友好的改动，包括强制重启、内嵌广告、强制集成 Microsoft 服务以及削弱用户对更新的控制等。这些变化更偏向于优先考虑 Microsoft 的商业利益，而非用户体验和生产力。

现代 Windows 中用户自主权的丧失不仅体现在 GUI 层面，也体现在对基本系统控制的剥夺。无法可靠地禁用自动更新、睡眠期间会被强制重启、以及在没有管理员权限时无法真正禁用 Copilot 等，都表明产品已背离以用户为中心的设计原则。

Linux 桌面环境如 KDE 和 XFCE 在美学上可以接近 Windows 2000，但通常缺乏那种原始的一致性与流畅性。第三方主题如 Chicago95 和 MENT2K 试图在 Linux 上重现经典 Windows 的体验。

对旧版 Windows 的怀旧部分来自于那些真正以可用性和效率为优先的设计原则。然而，现代 UI 在多桌面支持、改进的窗口管理和增强的无障碍功能方面确实提供了实质性的改进。

讨论反映了对现代 Windows 设计理念的深刻不满，许多人认为 Windows 2000 和 Windows 7 代表了 Microsoft GUI 设计的巅峰。共识集中在用户控制权的丧失、资源消耗的增加，以及美学和商业利益被置于功能之前。尽管有人承认现代版本在某些方面的合理改进，但压倒性的情绪是 Microsoft 已远离了使用户成功的以用户为中心的设计原则。对话还强调了第三方工具和 Linux 替代品如何填补微软设计决策留下的空白，尽管它们难以完全重现经典 Windows 时代的连贯体验。

Claude for Small Business

540 points • 5 days ago • Article Link

Anthropic 推出 Claude for Small Business，一款旨在把 AI 直接融入小企业日常常用工具的新套餐。该产品提供连接器和即用型智能体工作流，可与 Intuit QuickBooks 、 PayPal 、 HubSpot 、 Canva 、 Docusign 、 Google Workspace 和 Microsoft 365 等平台集成。目标是让小企业超越简单的对话式 AI，自动化那些复杂且耗时的工作，如薪资规划、月末结账、催收发票、执行营销活动等。小企业贡献了美国 GDP 的 44%，并雇佣了近一半的私营部门劳动力，但由于缺乏针对性的工具与培训，其 AI 采用率长期落后于大型企业。

Anthropic 推出 Claude for Small Business，一款旨在把 AI 直接融入小企业日常常用工具的新套餐。该产品提供连接器和即用型智能体工作流，可与 Intuit QuickBooks 、 PayPal 、 HubSpot 、 Canva 、 Docusign 、 Google Workspace 和 Microsoft 365 等平台集成。目标是让小企业超越简单的对话式 AI，自动化那些复杂且耗时的工作，如薪资规划、月末结账、催收发票、执行营销活动等。小企业贡献了美国 GDP 的 44%，并雇佣了近一半的私营部门劳动力，但由于缺乏针对性的工具与培训，其 AI 采用率长期落后于大型企业。

该产品随附 15 个即用型智能体工作流和 15 项技能，均围绕小企业主最常抱怨的效率瓶颈设计。示例包括根据 PayPal 结算进行账目核对、生成 30 天现金流预测、基于 HubSpot 绩效数据制定 30 天营销策略、在 Canva 中生成品牌内容等。所有工作流均由用户发起，且在发送、发布或付款前，用户可审批执行计划。系统遵循现有权限设置，员工只能访问其在所连接工具中已有的授权数据；并且 Anthropic 在 Team 与 Enterprise 计划中默认不以客户数据训练模型。

同时，Anthropic 与 PayPal 合作推出了 AI Fluency for Small Business，一门由已将 AI 融入运营的真实小企业主授课的免费在线课程，讲授如何安全、负责且合乎伦理地使用 AI，即日起可随时点播学习。 Anthropic 还发起 Claude SMB Tour，一系列免费的半天工作坊将从 May 14 在 Chicago 启动，随后走访 Tulsa 、 Dallas 、 Baltimore 、 San Jose 和 Indianapolis 等城市。每站面向约 100 位本地企业负责人提供实践型 AI 素养培训，并赠送一个月的 Claude Max 订阅。

作为其公益使命的一部分，Anthropic 还投入合作资源，面向服务不足的创业者。公司与 Workday 及 Local Initiatives Support Corporation 合作，支持 Solopreneurship Accelerator Program，为 15 位有志的个体创业者提供种子资金、 Claude 积分和以 AI 为核心的课程。 Anthropic 还与三家社区发展金融机构——Accion Opportunity Fund 、 Community Reinvestment Fund USA 和 Pacific Community Ventures——合作，提供 Claude 积分与技术支持，帮助这些组织用 AI 改善小企业的融资渠道。例如，Pacific Community Ventures 正利用 Claude 驱动其 Radiant Data Hub，收集并综合小企业客户的语音反馈，以优化其产品与服务。

474 comments • Comments Link

- 存在一个重要机会：构建一层用户界面，让非开发者也能像使用 Excel 操作数据库那样，借助 Claude Code 或 Codex 等编程代理来完成工作。把非工程团队成员上手后，很多团队的生产力显著提升，但代码库的管理仍然是一个难题。

- Claude Cowork 已经为非技术用户提供了界面，使领导者可以通过自然语言构建整套应用，而无需理解或维护底层代码库。很多用户会完全绕过图形界面，直接让 Claude 执行部署或管理代码库等任务。

- 对 AI 工具的高度依赖带来了担忧，包括依赖性上升、批判性思维能力减弱，以及把关键认知功能交给一家营利私企的风险。有人把这类依赖比作电网等脆弱基础设施，但批评者认为 AI 外包可能带来更大的系统性风险。

- AI 代理最适合处理可解、可验证的任务，比如发票分类，因为错误可以通过审查被发现。真正的挑战在于市场渗透和认知推广：许多潜在用户即便能从中受益，却不会在没有提示的情况下想到使用这些工具。

- 安全性和可靠性仍是核心问题，尤其是当"vibe-coded"（氛围编码）软件与共享状态或数据库交互时。需要自动防护或人工监督来降低因措辞不当的提示带来的风险，特别是对于缺乏安全直觉的非技术用户。

- Anthropic 与 OpenAI 之间的竞争被形容为资本主义史上最激烈的竞赛之一，特点是快速推新与功能对等。两家公司都在高额烧钱、推出功能尚不完善或仅勉强可用的产品，但这种竞争确实给部分用户带来了显著的生产力提升。

- DeepSeek 能以每月 20 美元提供有竞争力的表现，这对那些投入数十亿美元训练前沿模型的公司提出了可持续性方面的质疑。尽管体验可能包括较慢的 token 生成，但其性价比对大厂当前的定价模式构成挑战。

- 插件、 MCP 和技能等机制把功能进行了捆绑，但根本问题仍然是如何让这些系统对非开发者而言既可靠又值得信赖。整个行业还在探索一种方法，让 AI 能力不显得花哨、而更易被普通用户接受。

- 让 AI 参与财务操作（如工资单处理和 QuickBooks 清算），即便仅授予只读权限，也会引发严重的安全顾虑。提示注入攻击的风险，例如恶意发票指令，正是许多专业人士对向 AI 代理开放财务系统持谨慎态度的原因。

- AI 对软件质量的影响存在争议。一些人认为在企业中强制使用 LLM 导致生产系统质量下降并出现关键问题。 AI 桌面应用的技术缺陷——如内存占用过高、缺少标签页等基本功能——也削弱了人们对这些工具的信心。

讨论显示，编程代理在将非开发者变为能动使用者方面具有变革性潜力，但与此同时也带来了可靠性、安全性和认知依赖方面的重大隐忧。虽然许多用户在重复性和可验证任务上报告了显著的生产力提升，但若无适当保障措施，大规模采用存在巨大风险。 AI 公司之间的激烈竞争正在推动快速创新，但考虑到模型服务的经济性，这种竞争可能难以为继。最终，这类工具的成败取决于能否在可及性与可控性之间找到平衡，确保人工监督仍处于核心地位，同时让非技术用户能够安全、有效地利用 AI 能力。

A Claude Code and Codex Skill for Deliberate Skill Development

253 points • 5 days ago • Article Link

"学习机会"是一款为 Claude Code 和 Codex 设计的插件，旨在帮助开发者在 AI 辅助编码过程中培养知识和能力，而不仅仅是推进项目。它采用基于循证学习科学的自适应"动态教材"方法：在进行重要架构变更（例如新建文件或重构）后，工具会提供可选的 10–15 分钟练习，运用预测、检索练习与间隔重复等技术。这些练习通过鼓励主动生成与反思，抵消 AI 编码中常见的被动学习问题，如流畅性错觉与元认知缺失。

"学习机会"是一款为 Claude Code 和 Codex 设计的插件，旨在帮助开发者在 AI 辅助编码过程中培养知识和能力，而不仅仅是推进项目。它采用基于循证学习科学的自适应"动态教材"方法：在进行重要架构变更（例如新建文件或重构）后，工具会提供可选的 10–15 分钟练习，运用预测、检索练习与间隔重复等技术。这些练习通过鼓励主动生成与反思，抵消 AI 编码中常见的被动学习问题，如流畅性错觉与元认知缺失。

该插件同时支持 Claude Code 和 Codex，并为两者提供安装说明。它包含核心的学习练习技能、可选的提交后提示钩子（用于自动建议），以及用于生成代码库导向课程的 "orient" 技能。练习设计会在关键环节暂停并等待用户输入，刻意对抗 AI 默认直接给出完整答案的倾向，促使用户投入思考。

"学习机会"的开发基于学习科学研究和与软件开发者的定性访谈，旨在应对人们对 AI 辅助工作流程中参与度和学习效果下降的担忧。该技能提供丰富的自定义选项，允许用户调整触发条件、添加项目特定示例，并说明已有知识背景。配套手册 MEASURE-THIS.md 为团队提供运行轻量级实验并衡量该技能对开发者成长与技能发展的指导。

该项目为开源，采用 CC-BY-4.0 许可证，由研究软件团队的心理学科学家 Cat Hicks 博士创建。它与用于设定学习目标的技能 Learning-Goal 配套使用。仓库中包含关于练习背后科学依据、自定义选项以及设计所依据研究背景的详细文档。

48 comments • Comments Link

• 由于缺少实时演示或示例输出，用户在不下载并运行代码的情况下难以评估该技能的功能，而许多人又不愿意去执行这些步骤。

• Skills 是以结构化的 Markdown 文件形式存在的，描述了如何处理特定任务，允许代理根据上下文加载并执行它们，类似于工具调用，但表现为指令而非函数。

• 有争议的 Skill 本质上是一个在代码提交后触发学习练习的提示，一些人认为它过于复杂，背离了本应简单的初衷。

• Skills 是描述可重复工作流的标准，通过逐步披露和提示共享上下文，从而减少重复信息开销，可以被视为一种增量式的软件，而不是万能灵丹。

• 如果 Skills 的适用范围较窄，它们具有可迁移性，类似封装好的抽象库，能够被用来构建个人化工具（例如借助 Claude 之类的工具）。

• "适应性动态教科书方法"指的是一种人类技能培养方式，通过基于证据的学习科学技术（如预测练习与检索练习）提供学习机会。

• 目前缺乏基准和评估，尚不清楚这些技能是否比更简单的替代方法带来更好的结果，粗糙的测试并不能让人对其有效性放心。

• 该 Skill 的目标是帮助理解 AI 生成的代码，并通过在重要里程碑后向用户提问来降低技能退化的风险。

• 这种 Skill 可以扩展到更广泛的学习领域，但当前实现主要面向代码领域，用户也有兴趣将其应用到其他主题，例如 Java Spring 。

• 通过构建 Spring 应用进行动手学习是可行的，但有些用户更偏好 AI 辅助的学习方式，以获得上下文相关的指导和个性化学习计划。

• 虽然 Spring 框架相对容易上手，但由于其灵活性，浏览 Spring 代码库时可能会迷失，很难迅速定位 Bean 的定义和核心业务逻辑。

• 像 IntelliJ 这样的 IDE 可以帮助导航 Spring 代码，但由于框架并非强制性规范，理解陌生代码库的结构仍然具有挑战性。

讨论表明，围绕"Skills"作为构建 AI 辅助工作流的概念，用户既持怀疑态度又充满期待：有人质疑其复杂性和缺乏明确基准，另一些人则看到它在个性化学习与自动化方面的潜力。适应性动态教科书方法被视为学习科学中有希望的应用，但在缺乏合适评估的情况下，其有效性仍未得到验证。讨论还涉及学习 Spring 框架的困难，比较了动手实践与 AI 辅助指导的优劣，并强调了 IDE 在导航复杂代码库时的重要性。总体而言，大家一致认为需要更清晰的评估方法和更具体的示例来展示这些 Skills 与 AI 辅助学习方法的价值。

Microsoft BitLocker – YellowKey zero-day exploit

286 points • 5 days ago • Article Link

安全研究员 Chaotic Eclipse 发布了两个针对 Microsoft Windows 的零日漏洞利用工具，其中更严重的 YellowKey 能完全绕过 BitLocker 驱动器加密。利用方法极其简单：将特定文件复制到 U 盘，重启时按住 Control 键进入 Windows Recovery Environment，即可在无需任何加密密钥或认证提示的情况下直接访问受 BitLocker 保护的磁盘。该过程操作简便且不留痕迹——利用文件在一次使用后会从 U 盘上消失，研究人员称其具有明显的有意后门特征。

安全研究员 Chaotic Eclipse 发布了两个针对 Microsoft Windows 的零日漏洞利用工具，其中更严重的 YellowKey 能完全绕过 BitLocker 驱动器加密。利用方法极其简单：将特定文件复制到 U 盘，重启时按住 Control 键进入 Windows Recovery Environment，即可在无需任何加密密钥或认证提示的情况下直接访问受 BitLocker 保护的磁盘。该过程操作简便且不留痕迹——利用文件在一次使用后会从 U 盘上消失，研究人员称其具有明显的有意后门特征。

YellowKey 的影响极为严重：BitLocker 在全球数百万台个人、企业和政府设备上用于保护数据，而且在 Windows 11 中默认启用。尽管 BitLocker 的密钥与机器的 TPM 绑定，使得硬盘不能轻易在机器间直接迁移，但该漏洞仍可让任何对设备有物理访问的人绕过全部加密。研究人员指出，即便启用了 TPM+PIN 的完整防护的系统也可能受影响，不过针对该场景的概念验证尚未公开。报告称 YellowKey 在 Windows Server 2022 和 2025 上有效，但在 Windows 10 上无效。

第二个工具 GreenPlasma 则实现了本地权限提升：它通过操纵 CTFMon 进程，在 Windows 的 Object Manager 中放置精心构造的内存对象，使这些对象位于 SYSTEM 用户可写的区域，从而绕过常规访问控制。这样任何程序或普通用户都有可能提升为系统级权限。在服务器环境中尤其危险：一旦某个账号被攻破，就可能导致整台服务器被接管并暴露所有用户数据。与 YellowKey 不同，GreenPlasma 目前尚无完整的公开概念验证，但鉴于 Chaotic Eclipse 的历史记录，外界普遍认为其描述很可能属实。

Chaotic Eclipse 表示公开发布这些漏洞利用工具的原因与其与 Microsoft 安全团队的争执有关，称此前的漏洞报告被忽视或驳回。这导致其采取报复性披露：上个月先后曝光了 BlueHammer 和 RedSun，两者都通过利用 Windows Defender 提权获得了管理员权限。 BlueHammer 已被修补；Eclipse 称 Microsoft 已静默修补了 RedSun，但未有官方确认。至今 Microsoft 尚未就 YellowKey 或 GreenPlasma 做出公开回应，相关系统仍可能处于风险之中。

156 comments • Comments Link

YellowKey 利用了 BitLocker 在默认的 TPM-only 配置下的弱点——在这种模式下，系统启动时驱动器会自动解密，无需用户验证。研究者通过利用 Windows 恢复环境，在系统已解锁后获得命令提示符，从而有效绕过了磁盘加密保护。

微软的安全实践因此受到质疑；有研究者指出，以前的漏洞（如 RedSun 和 Bluehammer）曾被悄然修补且未分配 CVE 、也未给予致谢，这被一些人视为淡化严重安全缺陷的模式。对于这类漏洞究竟是刻意后门还是单纯漏洞，社区内争议很大：某些行为——例如触发加密的特定文件名以及文件在使用后被删除——被拿来当作人为设计的证据，而非巧合。

该研究员称能实现对 TPM+PIN 的旁路，但这一说法遭到质疑，反对者认为要做到真正的旁路必须在 BitLocker 加密中存在实际后门；与此同时，研究员过去多次发现高质量零日漏洞，这又为其主张增添了一些可信度。纯 TPM 模式的 BitLocker 长期被批评过度依赖启动链完整性，因此很容易受到任何能够篡改预启动环境的攻击，比如修改 SMM 模块或利用 USB/ 蓝牙堆栈。

固态硬盘上的硬件加密同样因不透明和历史缺陷而被质疑：有人认为像 BitLocker 这样的软件加密更可靠，也有人指出两者各有重大风险。讨论暴露出磁盘加密中的基本矛盾——自动解密的便利性与要求用户验证的安全性相互对立，很多人认为 TPM-only 模式在面对有准备的攻击者时几乎等同于没有加密，但在防止随意盗窃方面仍有一定作用。

还有评论指出，微软的生态绑定与合规模式的安全机制容易带来虚假的安全感，企业往往为了合规"打勾"而使用 BitLocker，而非真正以保护数据为先。 YellowKey 的影响已超出 BitLocker 本身，它引发了对任何依赖可信启动而无需用户验证的系统的安全担忧，涵盖移动设备和其他全盘加密方案。有人也联想到 TrueCrypt 在 2014 年突然终止并建议改用 BitLocker 的事件，认为当时可能存在类似的后门担忧，尽管 VeraCrypt 的延续与开源审计在一定程度上提供了保障。

总体上，这次讨论加深了对微软安全承诺的怀疑，很多人将 YellowKey 看作是故意后门或系统性疏忽的症状。共识是：TPM-only 的 BitLocker 无法对抗熟练的攻击者，尽管它能在一定程度上阻止随意窃取。该研究员凭借发现过多个高质量漏洞的历史，为其关于 PIN 旁路的说法增加了分量，但在公开演示之前仍需谨慎对待。最终，事件强调了在磁盘加密中平衡可用性与安全性的难题，表明即便依赖硬件的解决方案也并非万无一失，用户和组织必须根据自身威胁模型谨慎评估并考虑在默认配置之外增加额外的身份验证层。

Cisco workforce reductions

281 points • 5 days ago • Article Link

思科首席执行官 Chuck Robbins 在给员工的内部邮件中公布了公司 FY26 财年第三季度业绩：营收创纪录地达到 158 亿美元，同比增长 12%，各项关键财务指标均实现强劲的两位数增长。他指出，在市场快速变化、竞争加剧以及对 AI 发展至关重要的关键零部件全球短缺等充满挑战的经营环境下，这一成绩尤为不易。 Robbins 强调，想在 AI 时代取胜必须保持聚焦、紧迫感，并在高需求、高价值的增长领域进行有纪律的投资。

思科首席执行官 Chuck Robbins 在给员工的内部邮件中公布了公司 FY26 财年第三季度业绩：营收创纪录地达到 158 亿美元，同比增长 12%，各项关键财务指标均实现强劲的两位数增长。他指出，在市场快速变化、竞争加剧以及对 AI 发展至关重要的关键零部件全球短缺等充满挑战的经营环境下，这一成绩尤为不易。 Robbins 强调，想在 AI 时代取胜必须保持聚焦、紧迫感，并在高需求、高价值的增长领域进行有纪律的投资。

为配合这一战略，Robbins 宣布将在第四季度全球裁员不到 4,000 个岗位，约占公司员工总数的不到 5% 。受影响员工将自 5 月 14 日起陆续收到通知，公司将按照当地法律法规提供全面支持。支持方案包括按比例发放 FY26 奖金、使用 Cisco 的职业安置服务（该服务已帮助 75% 的参与者找到新工作），以及为期一年的免费 Cisco U 课程与认证，涵盖 AI 、安全和网络等领域。

尽管进行裁员，Robbins 表示公司仍在硅芯片、光学和安全等核心技术领域进行战略性投资，并通过 AI 工具赋能留下的员工。此类投资旨在加速增长、推动客户与合作伙伴的创新，并保障公司的长期发展。他对离职员工的贡献表示感谢，并重申公司将以思科的企业文化为准则，秉持关怀、尊重与透明，妥善处理此次过渡。

展望未来，Robbins 承认仍有大量工作要做，并号召留任团队保持专注与韧性，继续争当技术领域的领导者。他邀请员工参加 5 月 21 日的全公司会议 Cisco Beat，解读变动并答疑，以增强对思科 FY27 及更远未来发展的信心。

319 comments • Comments Link

• 尽管思科报告了 158 亿美元的历史最高营收，同比增长 12%，且盈利表现强劲，公司仍宣布裁员不到 4000 人（占员工总数不足 5%）。许多人认为这更像是受华尔街驱动的财务操作，而非必要之举。思科有定期裁员的惯例，通常在财年重组时发生，这已成为一种常态化且令人沮丧的做法。

• "不到 4000 人"这样的说法被看作一种玩世不恭的修辞，意在淡化冲击，类似于把价格定为 99.99 美元以避免写成 100 美元。这种在创纪录利润背景下宣布裁员的轻描淡写，凸显了把裁员当作理所当然的态度。普遍的怀疑是，这些裁员并非因为公司陷入财务困境，而是为了向投资者展示短期成本削减，尤其是在 AI 话题炒作的大背景下。

• 针对 H-1B 签证计划的批评声音高涨。有观点认为，像思科这样的公司严重依赖签证员工（某些部门有时超过 90% 为印度籍），同时裁减美国本土员工，实际上是在与本地劳动力竞争并取代他们。反对者则认为这类看法带有偏见，真正的问题在于企业激励机制偏向廉价劳动力，并以"多元化"等说法为借口。

• 思科 CEO 的备忘录也因措辞迟钝而遭到批评——例如先写道"我对你们所取得的成长感到无比自豪"，紧接着就宣布裁员；并使用充斥术语、仿佛 AI 生成的散文式语言（如"影响深远且意义重大的工作在前方"），显得空洞机械。文中出现"Executive Leadership Team"等称谓也被视为居高临下的企业套话。

• 裁员通常伴随未归属的限制性股票单位（RSU）被收回。 RSU 本是对既往贡献的补偿，但公司在裁员时取消这些未归属股份，这在创纪录利润期尤显不公，暴露出雇主与员工之间的权力不对等。

• 思科此次裁员并非直接由 AI 驱动，而是在数十亿美元的 AI 与网络安全并购之后的一轮重组，使员工人数回到 2022 年中期的水平。真正由 AI 引发的大规模裁员可能要等到下一次经济衰退，若 AI 炒作未能转化为可持续的生产力提升。目前大型组织中关于 AI 带来生产力提升的证据大多是轶事性的，尚不令人信服。

• 在关于科技行业裁员常态化的更广泛讨论中，Meta 、 Google 、 MS 、 Coinbase 、 Cloudflare 以及现在的思科等公司在利润丰厚（毛利率超过 60% 、每年数十亿美元利润）的情况下裁员，被视为每半年一次的财务工程以讨好投资者，而非真正的机构重组。这种模式促使人们重新关注集体行动与更强有力的劳动保护。

• 有人将当前劳资动态与 20 世纪 20 、 30 年代的劳工斗争相提并论，指出马克思主义的吸引力与欧洲更务实的社会民主模式之间的差异：后者通过高工会化和完善的社会保障来管理裁员带来的后果，而不是简单地阻止裁员。

• 也有人建议企业应实现员工所有制，但反对者认为员工持股的实体可能会被更无情的私企击败；而政府或合作社模式（如公用事业）在某些方面对公民来说可能比私营部门更高效、更廉价。

• 讨论还讽刺了那些打着"更人性化"旗号做广告的公司（例如 TD Bank），一方面宣传关怀，另一方面却裁员并用 AI 或海外人才替代；同样荒谬的还有将 AI 作为噱头宣传的产品（如号称由 LLM 驱动的防火墙），这些宣传更多依赖炒作而非真正价值。

总体讨论反映出对科技公司行为的深度怀疑与沮丧：即使在创纪录利润之际，裁员已成为一种常用的金融工具。"华尔街就是华尔街"这句话概括了这些决策更多由投资者期望驱动而非运营需要。在把技术人员视为有价值贡献者还是可消耗资源之间存在明显紧张感，许多评论者注意到员工忠诚度被侵蚀、就业不稳定已被常态化。对话还延伸到更广泛的系统性问题，包括 H-1B 的争论、 AI 生产力主张的有效性以及对更好劳工模式的探索，这些议题与早期工人被剥削的历史有着相似之处。