HN Hot Posts

How to Write to SSDs [pdf]

209 points • 3 days ago • Article Link

本文认为数据库系统必须采用异地写入（out-of-place writes），以充分发挥 SSD 的性能并延长其寿命。作者证明，MySQL 、 PostgreSQL 等系统采用的传统原地写入在 DBMS 和 SSD 两层都会引起严重的写放大（WA）。例如，LeanStore 中一次 4 KiB 页面写入实际上在闪存上写入了 18.85 KiB，放大约 4.7 倍，这主要由 DBMS 层的双写缓冲和 SSD 层的垃圾回收导致。这不仅浪费带宽、增加延迟，还大幅缩短 SSD 的耐久性：测试中 SSD 在负载下仅 1.5 个月就达到了写入寿命上限。

本文认为数据库系统必须采用异地写入（out-of-place writes），以充分发挥 SSD 的性能并延长其寿命。作者证明，MySQL 、 PostgreSQL 等系统采用的传统原地写入在 DBMS 和 SSD 两层都会引起严重的写放大（WA）。例如，LeanStore 中一次 4 KiB 页面写入实际上在闪存上写入了 18.85 KiB，放大约 4.7 倍，这主要由 DBMS 层的双写缓冲和 SSD 层的垃圾回收导致。这不仅浪费带宽、增加延迟，还大幅缩短 SSD 的耐久性：测试中 SSD 在负载下仅 1.5 个月就达到了写入寿命上限。

为了解决这些问题，作者提出了一套基于异地写入架构的优化方案。 DBMS 层引入页面级压缩与页面打包，在减少写量的同时保持高效的 4 KiB 对齐读取；并提出按死亡时间分组（GDT），利用数据库语义估算页面失效时间，将生命周期相近的页面归为一组，从而在垃圾回收时减少 DB 层的写放大，确保同一区域内的页面在大致相同时间失效。

在 SSD 层，作者提出了降低内部写放大的方法。对于 Zoned Namespace（ZNS）SSD，设计与主机管理的 zone 自然对齐，可保证 SSD 的写放大因子（WAF）为 1 。对于普通 SSD，作者将 DBMS 的垃圾回收单元与 SSD 的内部超级块（superblock）大小对齐，该大小可通过 FDP Reclaim Unit 信息或类似 ZNS 的写入模式推断出来。另一个关键是 NoWA（No Write Amplification）模式：通过补偿写入确保 SSD 始终有完全失效的超级块可用，从而消除对 SSD 层垃圾回收的需求，即便在商用硬件上也能实现 WAF=1 。

作者在基于 B 树的 LeanStore 的修改版 ZLeanStore 中实现了这些优化。多种基准测试和不同 SSD 上的评估表明效果显著：在 YCSB-A 上，吞吐量提升 1.65–2.24 倍，单次操作的闪存写入量减少 6.2–9.8 倍；在 15,000 仓库的 TPC-C 测试中，吞吐量提升 2.45 倍，闪存写入减少 7.2 倍。该设计还无缝支持 ZNS 、 FDP 等现代 SSD 接口，为实现更高效、更耐用的数据库存储提供了可行路径。

32 comments • Comments Link

• 该论文提出了 NoWA（"零写入放大"）模式，即使在设备已满的情况下，也能将 SSD 的写入放大因子（WAF）降至接近 1 。值得注意的是，作者在来自多家厂商的消费级和企业级 SSD 上进行了验证，证明了其广泛适用性。

• NoWA 的核心思想是将应用层的垃圾回收与 SSD 内部的垃圾回收对齐，最大限度地减少必须在 SSD 上移动的有效页面，从源头降低写入放大，并确保待删除的数据在物理块级别保持分组状态。

• ZNS 和较新的 NVMe flexible data placement（FDP）等分区存储标准是关键进展，它们允许应用通过写入亲和性标识符标记写入，使驱动器能够将相关数据共置，从而显著减少由碎片化导致的垃圾回收开销。

• FDP 被强调为一种标准化、实现成本低的特性，在数据共置和写入亲和性方面潜力巨大，但目前可用性仍然有限，主要集中在价格较高的企业级驱动器上并需特殊采购，这阻碍了更广泛的开发者社区进行试验或采用。

• 企业级存储系统常用 NVRAM 缓冲吸收并合并随机写入，然后再将其刷新到 SSD，以掩盖慢速写入带来的性能惩罚。但如果数据更新频率不足，无法在持久化前被缓冲区完全吸收，则对减少写入放大的效果有限。

• 一些评论者将 NoWA 与 SMR 硬盘或 Zoned XFS 等系统中采用的类似机制相比较，这些机制同样试图在存储栈低层优化数据放置，表明针对特定硬件特性进行优化可以在不同驱动器技术中减少放大效应。

• 预计 SQLite 会像 PostgreSQL 和 MySQL 那样面临写入放大问题。尽管 SQLite 采用单写入器架构，但仍依赖原地更新，其具体行为取决于写入倾斜、填充因子以及底层 SSD 的特性等因素。

• 该论文因提出一个全面的框架而受到赞誉，它将零散的存储优化技术整合为一致的策略，弥合了存储工程专业知识与数据库开发之间的差距，尽管不一定会催生全新的数据库架构。

• 这项研究为未来数据库存储引擎的优化奠定了基础，可能促成高效的 Postgres 扩展或可插拔存储层，以显式管理 WAF，特别适用于 SSD 寿命和写入性能为关键瓶颈的大规模部署场景。

I believe there are entire companies right now under AI psychosis

2092 points • 3 days ago • Article Link

Mitchell Hashimoto，Ghostty 的创建者、 HashiCorp 的创始人在 X 上发帖，表达了对软件开发行业普遍存在的"AI 狂热症"的深切担忧。他认为，许多公司对 AI 抱有近乎非理性的热情，导致关于其风险的理性讨论变得几乎不可能——即便是与他非常尊敬的朋友交谈，也常遭到回避。他把这种情形比作当年云基础设施转型时期围绕 MTBF（平均故障间隔时间）与 MTTR（平均恢复时间）的那场争论。类似的争论如今再次出现，但这次波及的是整个软件开发行业，甚至可能影响更广泛的领域。

Mitchell Hashimoto，Ghostty 的创建者、 HashiCorp 的创始人在 X 上发帖，表达了对软件开发行业普遍存在的"AI 狂热症"的深切担忧。他认为，许多公司对 AI 抱有近乎非理性的热情，导致关于其风险的理性讨论变得几乎不可能——即便是与他非常尊敬的朋友交谈，也常遭到回避。他把这种情形比作当年云基础设施转型时期围绕 MTBF（平均故障间隔时间）与 MTTR（平均恢复时间）的那场争论。类似的争论如今再次出现，但这次波及的是整个软件开发行业，甚至可能影响更广泛的领域。

Hashimoto 将当前 AI 倡导者的心态概括为几乎绝对的"MTTR 就是一切"。这种思路认为发布有缺陷的代码没关系，因为 AI 代理能以人类无法企及的速度和规模修复问题。他认为这是基础设施领域曾经付出代价后才学到的危险教训：MTTR 很重要，但绝不能完全放弃构建有韧性的系统。问题在于，人们常以局部指标来搪塞担忧，例如完整的测试覆盖率或下降的 Bug 报告数，但这些指标无法全面反映真实状况。

Hashimoto 指出的核心问题是，系统在局部指标上可能显得健康，但在全局层面却变得难以理解。 Bug 报告可能在减少，而潜在风险却在迅速积累；测试覆盖率可能上升，而对代码库的语义理解却在下降。变化之快以至于无人察觉底层架构在逐步退化。他将这种情况比作基础设施团队曾通过自动化将系统变成一台"高度韧性的灾难机器"：表面上运转良好，但整体脆弱且缺乏充分理解。

他对这种趋势对行业及其身边人的影响表示真挚的担忧，并且发现很难提出这些担忧，因为回应往往是立即的否定，未能触及更深层、系统性的问题。该系列帖子引发了广泛共鸣，获得超过 218,000 次浏览和数百条回复，表明许多软件社区成员也对不受约束的 AI 热潮及基础工程纪律被削弱感到忧虑。

1254 comments • Comments Link

• AI 救援咨询将成为一种高价值的专业服务，类似安全漏洞响应或数据恢复专家。因为纯由 AI 编写的系统最终会达到一个复杂度阈值，缺陷引入的速度超过修复速度，必须在提炼出核心设计原则后从零重建。

• 医院库存管理的案例说明了在缺乏正确部署知识、数据 / 状态管理理解以及 SOC2 、 HIPAA 等合规认证的情况下，非技术利益相关者部署 vibe 编码解决方案的风险不容忽视。

• 市场动态显示，尽管 Oracle 和 Deloitte 在大合同中屡屡失利，它们仍能存活，因为"雇用它们不会让人丢饭碗"。相比之下，SMB 软件市场风险更大：AI 生成的低质量软件可能彻底侵蚀对初创产品的信任。

• AI 生成的基础设施和 CI/CD 系统可能变得极其复杂、难以理解。一个例子是在 GitHub Actions 里生成成千上万行的 Kubernetes 代码，这种规模不可能被完全理解，说明非专家使用 AI 时，AI 会为问题创造复杂的解决方案。

• 认为更新的 AI 模型会清理旧模型留下的烂摊子是一种循环思维。尽管有人认为多种情况可能同时成立：AI 炒作是真实的，AI"精神病"确实存在，AI 能力在持续改进，直到它们能够绕过混乱的代码库。

• 与把工作外包给缺乏经验的团队的历史类似，客户常在资金耗尽前重复犯错，然后用不足的预算雇佣廉价顾问来修补多年积累的问题。

• AI 精神病表现为把决策和思考外包给 AI 。例子包括律师用 Perplexity 来反驳主题专家，风投把 ChatGPT 的截图当作推理依据，人们通过引导性提示让 LLM 确认他们的偏见。

• 在 LLM 中，迎合性问题很严重，且在长对话中会恶化。一位用户分享了详细的系统提示，试图在达成一致前迫使 Claude 陈述反对论点，尽管这种折中会让 AI"令人讨厌地迂腐"。

• 关于测试覆盖的声明不可靠，因为"那些在生产中出现的 bug，真的都通过了测试吗？"LLM 驱动的测试更多是为了确保新增功能连接在一起，即便这些功能本身质量低劣。

• 那种"别人都这么做，所以你也得这么做"的博弈论论证忽视了博弈论历史上导致战争和种族灭绝的例子。选择采用有风险的技术以求生存，并不能让潜在风险变得可接受。

• 企业环境把 FOMO 和缺乏最佳实践结合起来，制造出类似激进化的条件：领导层彼此闭门讨论，形成没有外部参照的回音室，权力结构压制异议，除内部产生的想法外没有新观点进入。

• 德国较慢的技术采用（常被嘲笑仍在用传真机）可能成为竞争优势：当美企急于用 AI 推动开发、产生不可靠产品时，德国的工程文化能够对 AI 狂热起到缓和作用。

• 软件质量范式正在被根本改变。许多公司明示或暗示选择高产能但低质量的 AI 实现策略，市场是否会接受新的软件质量标准仍是悬而未决的问题。

• 安全问题在升级：AI 促进了对供应链安全的松懈，存在 AI 中毒风险，代理可能以无法阻止的方式渗透、提取或破坏系统，因为 AI 内部状态不可检验。

• 开发者的身份危机表现为一些专家通过把别人斥为"精神病"来重建自己的权威框架。更有生产力的做法是适应不断变化的市场，用建造"风车"的方式去抗住浪潮，而不是徒然对抗。

• 管理层在所有员工中推行 AI 使用指标，把个人效率与 AI 使用水平挂钩，形成了一种自上而下的技术强制。这种令人反感且脱离实际的做法反而让技术导向的人对 AI 兴趣减弱。

• 以 MTTR 优化为目标的 YOLO 部署哲学仅适用于允许可接受停机时间且能快速检测并恢复的错误。对于那些在低频流程中悄然腐蚀数据数月的问题无效，会制造出无法优雅恢复的定时炸弹。

• 风险资本几乎只投 AI 公司：90% 以上的投资者只想投资 AI，迫使所有公司要么采用 AI 叙事，要么面临极为有限的非 AI 资金池。

• 当 AI 作为有人监督的结对程序员使用时，个人 AI 工作流确实能创造价值：发现遗漏的重构点、为脚本增加安全性、实现一次性实用工具、促进跨团队调查复杂错误，这些往往难以单靠人工完成。

• 让马车司机改坐火车体现了权衡：行程更快但失去导航，能到达更多目的地却会遇到拥挤、成本高昂，并且从主动参与者退化为被动乘客。

讨论揭示了 AI 真正效用与其广泛滥用之间的深刻张力。参与者基本认同：AI 编码工具在明确的原子任务上表现良好，但在没有专家监督就赋予其应用级别权限时，会带来灾难性后果。 AI 精神病成为核心主题，描述了个人对 AI 能力的妄想和企业性的集体狂热，领导层常常制造阻碍理性风险评估的回音室。多位评论者借鉴以往技术炒作周期、外包失败和博弈论动态，认为当前的 AI 采用模式将导致可预测的灾难。但同时也承认 AI 能力在提升，有人认为未来模型可能会修复当前留下的混乱。最微妙的观点是：技术本身是中性的，其价值取决于用户是否保持专业知识、批判性思维和恰当的工程原则，而不是把决策外包给只会优化"合理输出"而非"正确输出"的模式匹配系统。

California bill would require patches or refunds when online games shut down

595 points • 3 days ago • Article Link

一项名为 Protect Our Games Act 、旨在保障在发行商关闭在线游戏后玩家访问权的 California 法案，已通过 Assembly 的拨款委员会，离全体表决更近一步。该法案要求发行商在停止对在线游戏的支持时，要么向玩家提供全额退款，要么发布一个不依赖发行商服务器、可独立运行的更新版本；同时要求在关闭维持正常游戏所需的服务前至少提前 60 天通知。法案适用于自 2027 年 1 月 1 日起在 California 销售的游戏，但 free-to-play 游戏和仅订阅制的游戏将被豁免。

一项名为 Protect Our Games Act 、旨在保障在发行商关闭在线游戏后玩家访问权的 California 法案，已通过 Assembly 的拨款委员会，离全体表决更近一步。该法案要求发行商在停止对在线游戏的支持时，要么向玩家提供全额退款，要么发布一个不依赖发行商服务器、可独立运行的更新版本；同时要求在关闭维持正常游戏所需的服务前至少提前 60 天通知。法案适用于自 2027 年 1 月 1 日起在 California 销售的游戏，但 free-to-play 游戏和仅订阅制的游戏将被豁免。

该法案的推进被视为 Stop Killing Games 运动的一大胜利。该草根玩家维权组织在 Ubisoft 于 2024 年关闭其游戏 The Crew 后成立。总部设在 UK 的 SKG 表示曾参与法案起草，并帮助建立了美国分支以推动法案通过。该组织认为，没有其他媒介会允许产品在售出后毫无通知地被收回，随着 live-service 游戏越来越普及，明确的退役流程对保护消费者至关重要。

代表主要游戏发行商的 Entertainment Software Association（ESA）对该法案提出反对。 ESA 认为消费者购买的是对游戏的使用许可而非所有权，依赖在线服务的游戏最终关闭是需要持续基础设施的现代软件的自然结果。该组织还警告称，法案可能在音乐或其他知识产权许可方面制造难以解决的局面——这些许可通常有时效性，可能迫使发行商无限期重新谈判许可，或以法律或技术上不可行的方式修改游戏。

尽管面临行业反对，该法案已先后通过了 Privacy and Consumer Protection 委员会和 Judiciary 委员会，并在拨款委员会获得通过。接下来它仍需在 California Assembly 和 Senate 均获多数票通过，才能送交州长 Gavin Newsom 办公室签署。此时，Stop Killing Games 在 UK 的运动势头有所放缓：去年 11 月 UK parliament 就游戏保存展开的辩论并未促成政府采取行动。

474 comments • Comments Link

- 在下线在线游戏时，公开服务器端代码被视为一种公平的解决方案，让社区接手托管。但对大型公司来说，第三方许可、知识产权审计和内部审批流程使这一做法在法律与操作上都异常复杂。

- 多数意见支持在关闭在线服务前至少提前 60 天通知玩家，认为这是合理的消费者保护措施，能让玩家有时间调整并避免在即将无法使用的内容上仓促消费。

- 强制开源可能促使开发者从一开始就使用开源或易于审计的库，从而降低长期合规成本并促进社区维护与保存工作。

- 有人建议提供服务器二进制文件（不含源代码）作为更简单的替代方案，但闭源二进制易受未修补漏洞影响，也限制了社区对软件的修改与修复能力。

- 对依赖复杂后端基础设施（如身份验证、匹配系统）的游戏而言，全面开源并不现实，但公司可以发布精简版或修补版以剥离对专有服务的依赖。

- 订阅制和免费模式通常被排除在相关法规之外，这留下了漏洞——发行商可能通过改变商业模式来规避义务，进而损害消费者选择和游戏保存。

- 折中方案包括发布时托管源代码、在生命周期结束时强制提供支持离线运行的补丁，或根据购买价提供有限时长的支持保障。

- 行业组织以法律和许可限制（例如有时限的音乐或中间件授权）为理由，解释为何无法提供无限期支持，但批评者认为公司应事先为此类情况制定应对方案。

- 历史案例（如 SubSpace 和 CS:GO）表明，只要源代码或二进制可得，社区运营的服务器就能在官方停止支持后长期维持游戏。

- 批评者警告，若法律设计不当，可能产生意外后果：公司可能退出某些市场、提高售价，或放弃永久许可转向订阅制。

总体讨论体现出消费者权益与行业可行性之间的紧张关系。普遍共识是玩家应当拥有更好的已购游戏生命周期结束选择，但在具体实施上分歧很大。虽然将服务器代码开源被理想化为解决之道，许可、基础设施和企业责任等现实障碍让其复杂化，因此许多人主张采用更具体可行的措施——如强制提供离线补丁或托管源代码。也有人担心，过于广泛的监管会加速向订阅模式的转变，削弱消费者对产品的所有权。总体而言，各方一致认为，目前付费游戏可能一夜之间彻底不可用的状况不可持续，需要某种监管介入。

ABC News has taken all FiveThirtyEight articles offline

386 points • 3 days ago • Article Link

截至 2026 年 5 月 15 日，ABC News 已将 FiveThirtyEight 的所有文章全部下线，相关页面现重定向至 abcnews.com/politics 。 FiveThirtyEight 前高级编辑兼高级选举分析师、 Votebeat 现任主编 Nathaniel Rakich 称此举是"对数千页知识的无谓抹除"。

截至 2026 年 5 月 15 日，ABC News 已将 FiveThirtyEight 的所有文章全部下线，相关页面现重定向至 abcnews.com/politics 。 FiveThirtyEight 前高级编辑兼高级选举分析师、 Votebeat 现任主编 Nathaniel Rakich 称此举是"对数千页知识的无谓抹除"。

Rakich 在原帖中强调了这次档案消失的重大意义。由 Nate Silver 创立的 FiveThirtyEight 以数据驱动的报道著称，尤其在政治、体育和选举领域，多年来积累了大量分析性文章和预测内容。

围绕此事的讨论反映出新闻界与数据界的普遍担忧。许多人认为，删除这些内容意味着失去一项宝贵的公共资源，这些材料长期以来被广泛引用并用于教学和研究。

将内容重定向到 ABC News 的通用政治页面，表明这些内容正被并入更大的 ABC News 品牌。这符合媒体公司精简数字资产的趋势，但有时会以牺牲小众却有影响力的媒体为代价。

FiveThirtyEight 档案的消失成为数字媒体史上的重要一刻，也引发了关于在线知识保存以及媒体机构在收购专业出版物后应承担何种责任的深刻疑问。

172 comments • Comments Link

• ABC 拒绝以任何价格将 FiveThirtyEight 的知识产权卖给创始人 Nate Silver 。据报道原因之一是他曾批评该品牌的管理方式，许多人认为这更像是出于个人恩怨而非商业判断。

• 有评论者对 Nate Silver 本人持批评态度，认为他把公司卖给一家企业后不应对企业行为感到意外；也有人认为他有权套现，并指出他保留了最关键的模型。

• 许多人认为，ABC 拒绝把一项对公司来说无关紧要的资产卖给愿意买家的做法是双输，等于把管理层的私利置于股东价值之上——一位评论者称此举"侮辱股东"。

• 关于 ABC 的拒绝是否构成违反信托义务，讨论触及法律问题：有人指出在 Delaware，信托义务包括谨慎义务和忠诚义务，但并不要求在每笔交易中都必须追求收入或利润最大化。

• 在 Clare Malone 掌舵时期，FiveThirtyEight 被视为最严肃的政治新闻来源之一；有人推荐 G. Elliott Morris 的 Strength in Numbers 博客，认为它是目前数据驱动美国政治报道的最佳继承者。

• 许多人对 FiveThirtyEight 的可视化和数据新闻式微表示惋惜。尽管 GitHub 上的仓库仍可见，但有人担心这些内容最终也会被关闭或移除。

• 讨论还涉及企业收购媒体资产常常导致管理不善的模式：ABC 未能在总统选举年之外保持盈利，公司的财务无法应对投入与回报之间的长期滞后。

• 2016 年大选预测的争议被重新审视：辩护者指出，Silver 曾给出特朗普约 35% 的胜算，远高于多数人的估计，他的模型在统计意义上校准良好，但公众更在意结果而非概率本身。

• 有人认为，ABC 可能拒绝出售是为了避免 Silver 以后以低价回购并再度成功，从而使 ABC 领导层在关闭该网站后尴尬难堪。

• 评论者还指出 ABC 正在系统性拆解该网站，删除文章和项目，并通过 WordPress VIP 做重定向，表明内容或许仍存在但被刻意隐藏。

总体讨论显示，广泛共识认为 ABC 对 FiveThirtyEight 的处理更多出于自我和公司内部政治，而非合理的商业判断。尽管对 Nate Silver 在事件中的角色存在分歧，但大多数人认为拒绝以任何价格将其卖回给创始人的做法适得其反。讨论同时凸显了企业所有权下数据新闻面临的挑战、公众对概率预测的持续误解，以及为专业政治受众服务的独特媒体遭遇的损失。

The Zulip Foundation

312 points • 3 days ago • Article Link

Zulip 正在进行重大组织调整——创始人 Tim Abbott 将不再担任全职领导，并与另外三位高级成员一同加入 Anthropic 。为保障项目的长期稳定与独立，Zulip 背后的公司 Kandra Labs 已捐赠给新成立的非营利机构 Zulip Foundation 。该基金会将全资持有 Kandra Labs，不再有其他股东或债务，确立了类似 Mozilla 和 Signal 的治理结构。此举旨在对 Zulip 的核心价值观作出永久承诺，并通过拨款和可免税捐赠开辟可持续的资金渠道。

Zulip 正在进行重大组织调整——创始人 Tim Abbott 将不再担任全职领导，并与另外三位高级成员一同加入 Anthropic 。为保障项目的长期稳定与独立，Zulip 背后的公司 Kandra Labs 已捐赠给新成立的非营利机构 Zulip Foundation 。该基金会将全资持有 Kandra Labs，不再有其他股东或债务，确立了类似 Mozilla 和 Signal 的治理结构。此举旨在对 Zulip 的核心价值观作出永久承诺，并通过拨款和可免税捐赠开辟可持续的资金渠道。

Zulip Foundation 的初始董事会包括 Tim Abbott 、 Greg Price 、 Alya Abbott 和 Josh Triplett，顾问委员会汇集了开源和学术界的知名人士，如 Andrew Sutherland 和 Jeremy Avigad 。基金会的使命是打造最佳的团队聊天体验，尤其关注公共利益组织。尽管领导层发生变动，Zulip 的各项运营——包括云托管、支持合同以及 Google Summer of Code 等社区项目——将继续正常运行。 Kim Vandiver 已加入担任临时总裁，负责管理过渡并牵头寻找新的常任领导。

此次转型的主要目的是对 Zulip 的价值观作出长期且公开的承诺，并提升筹资能力。作为非营利组织，基金会现在可以申请拨款并接受捐赠，从而避免外部投资者施压导致项目在原则上让步，例如在数据隐私问题上的坚定立场。 Tim Abbott 表示，他决定加入 Anthropic，是出于希望更直接参与推动 AI 负责任发展的愿望，他认为这对人类的未来至关重要。他也强调，自己离开的前提是已确保 Zulip 能在没有他时继续蓬勃发展。

Zulip 的未来掌握在剩余的 12 名专业维护者手中，他们在该项目的平均工作年限超过四年，拥有多次交付重大改进的经验证明。团队即便在 Abbott 因育儿假或慢性疾病无法参与时，也保持了持续稳定的推进。尽管组织适应期间开发节奏可能短暂放缓，但团队严谨的开发流程和稳健的文化有望推动项目继续前进。基金会正在积极招聘以填补因人员加入 Anthropic 而留下的空缺，并邀请社区参加在线问答，讨论相关变化。

80 comments • Comments Link

我注意到您似乎在准备分析 Hacker News 的讨论，但还没有提供具体的评论要点。

请提供您希望我翻译或总结的 Hacker News 评论内容，我将按以下规则处理：

1. 确保准确性，忠实于原文的事实和语境。

2. 保留英文专有名词，人名、地名和术语保持英文。

3. 不遗漏信息，翻译要直接且全面。

4. 替换破折号，把 "—" 替换为句号或逗号。

5. 保持角色设定，我是 OWL，ZOO 公司开发的专家翻译。

请把需要处理的内容发给我！

U.S. DOJ demands Apple and Google unmask over 100k users of car-tinkering app

474 points • 3 days ago • Article Link

美国司法部正在升级对 EZ Lynk 的法律攻势，要求 Apple 、 Google 、 Amazon 和 Walmart 提供可能超过 10 万名 EZ Lynk Auto Agent 应用用户的个人数据。该应用与一个物理硬件加密狗配套使用，正成为 Clean Air Act 案件的焦点；司法部指控其为"作弊设备"，可让用户绕过柴油车的出厂排放控制。传票要求提供姓名、地址、电话号码和购买记录，以便识别可就工具使用情况作证的证人。

美国司法部正在升级对 EZ Lynk 的法律攻势，要求 Apple 、 Google 、 Amazon 和 Walmart 提供可能超过 10 万名 EZ Lynk Auto Agent 应用用户的个人数据。该应用与一个物理硬件加密狗配套使用，正成为 Clean Air Act 案件的焦点；司法部指控其为"作弊设备"，可让用户绕过柴油车的出厂排放控制。传票要求提供姓名、地址、电话号码和购买记录，以便识别可就工具使用情况作证的证人。

EZ Lynk 强烈否认指控，称其产品具有合法用途，如车辆性能监控、诊断和软件更新，并认为任何涉及排放的滥用应由用户自行承担，而非产品本意。但司法部已提交论坛帖子和社交媒体证据，显示部分用户利用该系统禁用排放控制，从而主张需要更广泛的用户数据来支撑案件。

隐私倡导者和 EZ Lynk 的法律团队对此强烈反弹，称传票属严重越权，超出案件必要范围，并带来重大的 Fourth Amendment 担忧。 EFF 和 EPIC 批评要求大量个人身份信息的做法，指出大多数用户并未阅读服务条款，仅因下载一个标榜用于车辆诊断和调校的工具就可能面临意想不到的法律风险。

此案凸显了汽车爱好者改装车辆的诉求与联邦环保法规之间日益紧张的冲突。 right-to-repair 倡导者认为这是更广泛冲突的一部分；一位专家指出，"人们想改装他们的汽车，而且永远都会这样。"政府日益倾向将应用下载追溯到个人用户的做法，标志着执法策略的明显转变，尤其是此次请求的规模相比以往更大。

据报道，Apple 和 Google 正准备对传票提出挑战；相关公司和司法部在法庭文件外拒绝置评。本案结局可能为监管执法中的数字隐私问题树立重要先例。目前，对于使用调校工具的车主来说，信息很清楚：政府越来越有能力将应用使用行为直接关联到个人身份，这使得隐私和合规风险大幅上升。

354 comments • Comments Link

政府要求获取一款排放作弊应用的全部用户数据，被许多人视为不成比例的越权行为——该工具对机械师和汽车爱好者也有合法用途，调查本可只针对滥用者进行。

许多评论者将其比作撬棍或刀具等日常工具，认为不能因为个别用户的滥用就否定产品本身，执法应重点打击非法行为，而非实施大规模监控。

有人对司法部的动机表示怀疑，认为其可能试图通过证明大多数用户有罪来为起诉应用开发者构建案件，甚至以此为更广泛侵犯隐私寻找借口。

个人轶事凸显了"rolling coal"在现实中的危害：有报告称卡车故意向骑行者和行人排放黑烟，这引发了加强执法的呼声，但不少人强调不能以牺牲隐私为代价。

讨论触及自由主义原则：一些人主张通过保险或责任来处理环境外部性，而非事先大规模收集数据；另一些人则指出，即便是自由主义者也支持追究污染者责任。

人们担心这种数据请求会产生滑坡效应，扩展到 3D 打印机或人工智能等其他工具；担忧苹果、谷歌等公司为避免法律纠纷而默许配合，从而开创危险先例。

应用商店因集中化控制受到批评，有人建议使用 F-Droid 等替代商店或侧载以维护隐私，但随着平台收紧限制，这一途径越来越难行。

也有人为司法部辩护，认为该应用公司与非法调校者合作并托管推广排放作弊的论坛，因此需要用户数据来确立损害和意图。

对话反映出对数字隐私的普遍幻灭：用户指出企业与政府的监控日益加强，一些人甚至考虑极端做法，如彻底放弃智能手机。

关于排放法规是否有效也存在争论，批评者认为法规更针对个人爱好者，而忽视像煤炭厂这样的更大污染源，真正的出路在于向电动汽车转型。

总体而言，讨论揭示了环境执法与数字隐私之间的深层张力。许多评论者反对司法部的大规模数据请求，认为这是滥权并可能为大规模监控开先例。尽管大家普遍谴责"rolling coal"并支持追究非法改装者责任，但更普遍的共识是倾向于有针对性的调查而非全面传票。辩论还突显了对科技公司控制力不断增强的担忧，呼吁去中心化的应用分发和更大的用户自主权。最终，对话强调了人们对在数字时代隐私与自由被侵蚀的普遍焦虑，担心今天以环境为由的做法将来可能被用来压制异议或控制行为。

Bun Rust rewrite: "codebase fails basic miri checks, allows for UB in safe rust"

484 points • 3 days ago • Article Link

一位名为 AwesomeQubic 的用户在 Bun 运行时的 GitHub 仓库提交了一个 issue，称整个 Rust 代码库连最基本的 Miri 检查都过不了，并在安全的 Rust 中允许出现未定义行为（UB）。报告给出了一个针对 `PathString::init` 的具体示例：该函数接收一个带隐式生命周期的 `&[u8]`，但在返回时擦除了生命周期，使得返回的 Self 实际上表现为 `'static`，从而产生悬垂引用。由此可以发生 use-after-free：创建一个 Box 、用它初始化一个 `PathString` 、释放 Box 后再打印该切片，Miri 因缺乏 provenance 将其标为 UB 。

一位名为 AwesomeQubic 的用户在 Bun 运行时的 GitHub 仓库提交了一个 issue，称整个 Rust 代码库连最基本的 Miri 检查都过不了，并在安全的 Rust 中允许出现未定义行为（UB）。报告给出了一个针对 `PathString::init` 的具体示例：该函数接收一个带隐式生命周期的 `&[u8]`，但在返回时擦除了生命周期，使得返回的 Self 实际上表现为 `'static`，从而产生悬垂引用。由此可以发生 use-after-free：创建一个 Box 、用它初始化一个 `PathString` 、释放 Box 后再打印该切片，Miri 因缺乏 provenance 将其标为 UB 。

该 issue 在社区引发强烈反响，许多人对这样基础的内存安全漏洞出现在一个依赖 Rust 提供性能与安全保障的项目中感到沮丧。评论者 JavaDerg 强调了问题的严重性，指出 Rust 的安全模型建立在强假设之上，UB 可能在意想不到的地方引发不可预测的问题，从而抹杀使用 Rust 的优势。讨论还涉及 AI 编码助手的角色；原报告者认为"vibe coding" 加上 AI 容易导致此类错误，建议雇佣有经验的 Rust 开发者。

作为回应，合作者 robobun 确认了该 bug 并链接了一个修复用的拉取请求（#30728）。修复方案包括将 `PathString::init` 及 `dir_iterator::next()` 中的类似漏洞标注为带有文档化 outlives 合约的 `unsafe fn`，对大约 70 个仓内调用点逐一审计并添加每处的 SAFETY 注释，并新增回归测试。 robobun 指出，尽管 diff 本地显示通过，但 CI 在无关的分支上不稳定，问题源于既有的 WebKit/GC 问题。

讨论期间还出现了若干其他旨在减少 unsafe 使用的 PR，例如用安全等价物替换 `ArrayHashMap` 中的不安全代码块，以及将 `DynamicBitSet` 重写为基于 `Box<[usize]>` 的实现。但该线程逐渐偏离主题并变得激烈，一些人争论 Zig 与 Rust 的优劣，另一些人批评项目过度依赖 AI 生成的代码。有人还用 grep 展示问题规模，在 Rust 文件中发现超过 13,000 处 `unsafe` 。最终，仓库维护者将该 issue 置为离题并锁定，限制进一步讨论仅限合作者。

344 comments • Comments Link

• 使用 LLM 将 Zig 代码翻译为不安全的 Rust 受到了质疑。批评者认为，像 Zig→C→Rust 这类确定性工具本可以生成更可靠、更易审计的结果。 AI 生成的代码既可能存在内存安全问题，又未经充分审查，因此可信度低于原始手写但不安全的代码。

• 像 c2rust 这样的自动化翻译工具会产生语义相同但极不惯用且冗长的 Rust 代码，依赖 unsafe 块来模拟 C 的指针语义。虽然这能提供一个功能等价的基线，但并未带来安全性提升，且难以供人类维护，类似于对编译器生成汇编的人工编辑。

• Bun 团队采用的大部分 1:1 翻译为不安全 Rust 的方法被视为实现渐进式安全改进的必要第一步。与原始代码库并行审查更方便发现 AI 幻觉，尽管这意味着初始移植版本保留了原始 Zig 代码的所有健壮性问题。

• 一个关键批评是，这次移植引入了原始 Zig 代码中不存在的新未定义行为（UB），具体表现为在 Rust API 中将 unsafe 函数标为 safe 。此做法违背了 Rust 的核心承诺——安全代码不应导致 UB——从根本上削弱了迁移到 Rust 的主要优势。

• 将百万行大部分未经审查的 AI 生成代码合并到主分支的决定被广泛批评为不负责任，尤其是在像 Bun 这样备受关注的项目中。此举绕过了标准代码审查流程，漠视社区信任，无论初衷是否只是作为起点，都是问题所在。

• AI 驱动改版的华丽公告与随后低调的修正和批评之间存在显著不对称。营销利用了这一动态，"内存安全的 Rust" 的初始声明被大量传播，而那份大多不安全且漏洞众多的移植版本却鲜少被关注。

• Zig 项目对贡献实行严格的禁止 AI 政策，被视为维护代码质量和减轻维护者工作负担的现实需要。审查 AI 生成的 PR 通常比处理普通贡献更耗人力，尤其在大多数 PR 质量不高的情况下，对小团队而言全面拒绝是合理的。

• 一些人认为强烈反弹不成比例，忽视了这只是早期移植工作的事实。期望一开始就做到完美不现实，Bun 团队也明确表示这只是长期渐进式安全改进过程中的第一步。

• 有人将 Bun 的改写视为 Anthropic 展示 AI 能力的营销噱头，而非真正的工程努力。该看法因 Anthropic 收购 Bun 的时机以及缺乏详尽说明长期计划的博客文章而加剧，导致用户指责其为"rug pull"。

• 该事件也引发了对软件工程劳动价值的更广泛质疑：如果 AI 真能在一周内移植百万行代码，行业就得重新思考什么才具有真正的经济价值，以及围绕 AI 编程的炒作是否与实际可维护性和效用相符。

讨论暴露出深刻分歧：一方认为 Bun 的改写是鲁莽且以营销为驱动的噱头，不尊重用户并破坏了 Rust 的安全保证；另一方则认为这是 AI 驱动的长期迁移策略中务实、尽管混乱的第一步。批评者强调合并未经审查的代码并引入新的未定义行为是不负责任的，而支持者则认为 1:1 翻译是未来改进的必要基线，并认为对正在进行的工作给予过度反弹不公平。背后的更大张力涉及 AI 在软件开发中的角色、开源维护的可持续性，以及成功的 AI 辅助移植是否会削弱传统工程专业知识的价值。 Zig 的禁止 AI 政策因此成为优先保障代码质量与维护者带宽的案例研究，而非接受可能有害的贡献，不论其来源如何。

Project Gutenberg – keeps getting better

1226 points • 3 days ago • Article Link

Project Gutenberg 是一个拥有超过 75,000 本免费电子书的数字图书馆，侧重于那些美国版权已过期的旧作，以电子形式提供世界文学名著。用户可以选择免费的 epub 和 Kindle 电子书，下载或在线阅读。这些馆藏由数千名志愿者数字化并认真校对，为公众使用提供支持。

Project Gutenberg 是一个拥有超过 75,000 本免费电子书的数字图书馆，侧重于那些美国版权已过期的旧作，以电子形式提供世界文学名著。用户可以选择免费的 epub 和 Kindle 电子书，下载或在线阅读。这些馆藏由数千名志愿者数字化并认真校对，为公众使用提供支持。

该平台完全免费，无需注册或付费。自 1971 年起，它一直致力于免费电子书事业，已有五十多年的历史。项目以志愿者为基础，多年来汇集了数百名贡献者。用户可通过普通网页浏览器或电子书阅读器访问，无需安装特殊应用。网站提供多种找书方式，包括按受欢迎程度、主要类别、阅读列表浏览，以及按作者、书名、主题、语言和类型搜索。

馆藏涵盖广泛类别，例如 History 、 Literature 、 Science & Technology 、 Social Sciences & Society 、 Arts & Culture 、 Religion & Philosophy 、 Lifestyle & Hobbies 、 Health & Medicine 和 Education & Reference 。一些热门书目包括 Frankenstein 、 Moby Dick 、 Pride and Prejudice 、 Romeo and Juliet 、 Crime and Punishment 以及 Alice's Adventures in Wonderland 。网站还通过 World Library Foundation 提供自出版电子书专区。

对有声书感兴趣的用户，Project Gutenberg 提供多种选择，包括来自 LibriVox 的人声朗读作品——LibriVox 是一个制作高质量朗读的志愿者社区。另有 Project Gutenberg Open Audiobook Collection，包含 2023 年与 Microsoft 和 MIT 合作生成的近 5,000 个电脑合成标题。此外，网站还有 2003 年的旧电脑合成有声书，质量低于当前技术水平。

项目通过 Distributed Proofreaders 招募志愿者，这是新电子书的主要来源。用户也可通过报告错误、漏洞和错别字或提出修改建议来协助。网站提供多种帮助资源，包括阅读选项、常见问题解答及关于众多主题的详细信息，另设有捐赠 Project Gutenberg 的说明、新书订阅源，以及关于权限、版权、许可和商标的详尽资料。

278 comments • Comments Link

Project Gutenberg 近期完成了重大改进，团队正在推进更多更新，其中重新设计的书籍页面将在未来一到两周内上线。该网站可访问性良好，即使在禁用 JavaScript 的情况下也能完全正常运行，用户对此表示赞赏。

发现了一个移动端渲染问题：书籍列表同时出现水平和垂直滚动，主页的重新设计已被列为优先事项。团队已修复若干技术问题，包括 Chrome Android 的菜单错误与 Kindle 用户下载困难，相关问题似乎已得到解决。团队建议用户通过 XML/RDF 元数据文件和 tarball 访问数据，而非抓取网站，并鼓励捐赠以支持基础设施。

AI 爬虫流量被确认为网站面临的日益严峻挑战。 OPDS 2.0 支持即将推出，目前的 0.x 版本可在 URL 后加 .opds 访问。下载量最高的书籍是 Concrete Construction: Methods and Costs，这引发了关于机器人行为的猜测，团队承认这是可能的原因。 Standard Ebooks 常被推荐为更优格式的 Gutenberg 文本版本，用户称其对源材料进行了显著优化。

计划在今年加入 PDF 支持，EPUB3 已可用于大多数书籍，同时仍提供纯文本版本。该项目此前在德国曾被地理封锁，但现已解决。出现了第三方应用，例如 LoudReader.io，提供基于 PG 文本的有声书版本。用户还提出了让 AI 代理自动进行排版以便更易打印等想法。

讨论显示社区高度珍视 Project Gutenberg 作为文化宝藏，用户积极参与并支持开发团队的改进。对数据访问、机器人流量及在 AI 爬虫时代维护免费资源的挑战有广泛关注，对更好地与电子书阅读器集成和改进格式选项的需求尤其强烈，Standard Ebooks 成为寻求更精美版本用户的重要补充。

Image-blaster: Creates 3D environments, SFX, and meshes from a single image

196 points • 3 days ago • Article Link

Image-blaster 是一款开源工具，能在五分钟内把一张二维图像转换成完整的三维环境，包含模型、空间音频和网格。它结合了多种 AI 模型（如 World Labs 的 Marble 、 FAL 的 Hunyuan 3D 以及 ElevenLabs 的音效模块），并作为 Claude 的技能集，允许用户通过对话命令自动化整个三维资产创建流程。

Image-blaster 是一款开源工具，能在五分钟内把一张二维图像转换成完整的三维环境，包含模型、空间音频和网格。它结合了多种 AI 模型（如 World Labs 的 Marble 、 FAL 的 Hunyuan 3D 以及 ElevenLabs 的音效模块），并作为 Claude 的技能集，允许用户通过对话命令自动化整个三维资产创建流程。

使用流程很简单：将图像放入项目的输入目录，然后对 Claude 下达"blast it"命令。系统会处理图像并输出三类主要成果：用于动态对象的三维模型（.glb 和 .obj 格式）、用于静态背景的 Gaussian splat（.spz），以及带有基于物理的对象音效的环境循环音效。这使得它在游戏快速原型、建筑可视化、电影前期制作和机器人模拟等场景中特别有用。

工具提供多项高级参数供自定义：可控制面数（4 万到 150 万）、开启 PBR 材质生成、在 Normal 、 LowPoly 或 Geometry 模型类型间选择，并为优化模型指定多边形类型。它支持与主流游戏引擎（Unity 、 Unreal 、 Godot）、 DCC 软件（Blender 、 Maya）以及基于 Web 的框架（Three.js）集成。

在流水线的不同阶段，项目采用了多种 AI 模型：marble-1.1 用于生成可探索的环境，nano-banana（或以 gpt-image-2 作为替代）负责图像编辑任务（如源图清理和目标隔离），Hunyuan 3D 通过 FAL 的 API 生成三维物体模型，elevenlabs-sfx 负责音频生成。模块化设计便于在每一步调整与优化质量。

Image-blaster 由 Neilson K-S 开发，托管在 GitHub，采用 MIT 许可证，社区关注度较高（约 2.5k 星、 232 次 fork）。它在降低三维内容创作门槛方面具有重要意义，使缺乏深厚建模经验的开发者、艺术家和创作者也能生成专业级环境；与 Claude 的对话式界面进一步简化了复杂三维工作流的使用。

39 comments • Comments Link

• World Labs 的平台在 AI 驱动的 3D 场景生成方面表现出色，Meshy.ai 因其高质量的非场景 3D 资产创作也受到好评，但由于行业里根深蒂固的假设——3D 资产应当由艺术家而非程序化生成——其采用率仍然有限。

• 开发者几乎没有动力公开说明他们使用了 AI 生成的 3D 资产，因为这可能带来职业或声誉风险。

• 将房屋蓝图或 3D 渲染图像还原为可用的 3D 模型仍很有挑战性，尤其是对需要高精度的整场景而言。多视角重建不够可靠，即使经过重拓扑处理，像 Meshy 这类工具生成的多边形数量仍然偏高。

• Hunyuan3D 在训练数据之外的对象上表现不佳：在 30 个测试对象中只有 4 个显示出相对成功，而且这些对象的拓扑结构也不理想。

• 尽管拓扑存在问题，Hunyuan3D 在构建可放大并转换为视频的场景方面非常有用，尤其是与 GPT Image 2 或 Nano Banana Pro 等工具配合使用时，已经能实现像 Tiny Skies 这样的完全 vibe-coded 游戏。

• 这项技术让人想起 Microsoft 的 PhotoSynth，它能从多张图像创建 3D 环境，但单张图像的 3D 生成代表了能力和便利性的重大跃升。

• AI 生成的 3D 内容正在迅速发展，预计一旦与无玻璃有界（non-glass-bounded）AR 集成、将 3D 视频流和对象投射到现实环境中，它的变革性会进一步增强。

• World Labs 的 Marble 1.1 在户外场景上可能产生不一致的结果，一些用户发现 GPT Image 2 在某些任务上更为可靠。

• 通过 AI 生成一致的等距（isometric）精灵仍然极其困难，导致部分开发者考虑采用 3D 网格等距（尽管这对硬件要求更高），也有人建议寻找艺术家或学习绘画作为更可靠的替代方案。

• 该工具似乎使用基于 Claude 的编排系统：先将图像分割为对象与环境，然后将环境送到 Marble 1.1 进行高斯溅射式生成，将单个对象送到 Hunyuan 生成 GLB 模型，更像是一个管道式流程，而不是像 TRELLIS 那样的单一模型。

• 《银翼杀手》中的 Esper 照片分析曾被视为科幻，但比预期更快地成为现实，尽管当前实现仍未达到电影中那种查看角落并放大到微观细节的能力。

• 20 年前在 SIGGRAPH 上演示的静态场景中计算相机与光源切换的演示仍然令人印象深刻，并影响了人们看待《全民公敌》等影片中类似技术的视角。

• 考虑到 NeRF 合著者 Ben Mildenhall 的参与，该架构可能包含比简单高斯溅射更多的内容，不过在原始帧之外或物体后方漫游仍会暴露出局限性。

• Uthana 正在开发可补充 3D 场景生成管道的角色动画工具。

• 多照片生成的 3D 网格在逼真对象方面显示出可行性，但对于缺乏参考资料的风格化项目帮助有限。

• Claude 似乎是该工具的主要接口，未提及明确的替代方案。

讨论表明，AI 生成的 3D 内容正在快速演进，World Labs 、 Meshy.ai 和 Hunyuan3D 等工具正推动场景与对象生成的边界。但仍存在显著限制，包括糟糕的拓扑、不可靠的多视图重建以及难以生成一致的等距精灵。技术瓶颈和不愿披露 AI 使用的职业动机都在阻碍采纳速度。尽管如此，这项技术已催生出从 vibe-coded 游戏到 3D 打印模型等创意项目，随着其与 AR 的整合并突破当前视点限制，影响力有望进一步扩大。

A 0-click exploit chain for the Pixel 10

448 points • 3 days ago • Article Link

Project Zero 的 Seth Jenkins 详述了他们开发的一条针对 Google Pixel 10 的新型零点击漏洞利用链，该工作建立在此前攻破 Pixel 9 的成果之上。原始的 Dolby UDC 漏洞（CVE-2025-54957）经少量调整后被移植到 Pixel 10，但由于 Pixel 10 使用 RET PAC 而非 -fstack-protector，利用中需要覆盖 dap_cpdp_init 而不是 __stack_chk_fail 。该更新后的利用链针对安全补丁级别为 2025 年 12 月或更早的未修补设备有效。

Project Zero 的 Seth Jenkins 详述了他们开发的一条针对 Google Pixel 10 的新型零点击漏洞利用链，该工作建立在此前攻破 Pixel 9 的成果之上。原始的 Dolby UDC 漏洞（CVE-2025-54957）经少量调整后被移植到 Pixel 10，但由于 Pixel 10 使用 RET PAC 而非 -fstack-protector，利用中需要覆盖 dap_cpdp_init 而不是 __stack_chk_fail 。该更新后的利用链针对安全补丁级别为 2025 年 12 月或更早的未修补设备有效。

利用链中的本地权限提升部分无法直接移植，因为 Pixel 10 上不存在 BigWave 驱动。不过，研究人员发现了 Tensor G5 上 Chips&Media Wave677DV VPU 的新驱动。该驱动由与 BigWave 相同的团队开发，直接将芯片硬件接口暴露给用户空间，允许用户态映射芯片的 MMIO 寄存器接口，而不是通过标准的 V4L2 API 。

在 VPU 驱动的 vpu_mmap 处理函数中发现了一个严重漏洞：该处理函数仅根据 VMA 的大小调用 remap_pfn_range，而没有将映射范围限定在实际寄存器区域的大小内。这导致用户态可以从 VPU 寄存器区域的物理地址起映射任意物理内存。由于内核镜像位于更高的物理地址，攻击者可以访问并修改内核。结合 Pixel 设备上固定的内核物理地址，这几乎是一种任意内核读写原语——实现基本原语只需五行代码，完成完整利用通常不到一天时间。

该漏洞于 2025 年 11 月 24 日被报告，Android VRP 将其评为高危（High），比类似的 BigWave 漏洞获得了更高的严重性评级。漏洞在 71 天后的 2 月 Pixel 安全公告中得到修补，这是作者报告的 Android 驱动漏洞首次在 90 天内被修复，反映了 Android 漏洞分类与修补流程的改进与加速。

尽管这是积极进展，研究仍强调 Android 驱动代码需更强的安全意识与更严格的审计。 VPU 漏洞在 BigWave 问题曝光仅五个月后被发现，表明相关驱动并未得到充分的横向审计。加强驱动安全仍是当务之急，建议厂商采取更主动的软件安全策略，强化代码审计与漏洞修补流程，防止类似问题流向终端用户。

238 comments • Comments Link

• 移动设备上的 AI 功能在用户打开消息前就对消息媒体进行解码，从而扩大了"0-click"攻击面，带来了新的安全风险。

• Google 在 90 天内修复了一个 Android 驱动漏洞，这一速度明显快于其他 Android 厂商和 Apple，引发了人们对其他厂商补丁速度的质疑。

• 由于设备制造商对 Android UI 的分叉导致碎片化，Android 厂商更新缓慢，补丁难以迁移。

• Apple 对安全漏洞的历史响应时间大约为 6 个月，尽管有报告称近年来有所改善。

• Apple 设备上的 Lockdown 模式被视为记者等高风险人群的重要工具，但由于缺乏证据以及零点击漏洞的高价值，其对国家级攻击者的有效性仍受质疑。

• 已发布的 CVE 数量显著上升，翻倍周期已从 4–4.5 年缩短到大约两年，尽管这些 CVE 的质量和合法性存在争议。

• AI 一方面通过引入带有安全漏洞的新功能扩大了攻击面，另一方面又为安全研究人员提供了更高效的漏洞发现工具。

• 关于开发者对安全漏洞的责任存在争论，一些人认为追究编写不安全代码的个人责任能够提高软件安全性。

• Rust 提供了整数溢出的检测选项：在调试构建中默认开启，在发布构建中可选择开启，这可以防止某些类型的漏洞。

• 安全社区对 KASLR 等缓解措施的有效性存在分歧，一些人认为由于信息泄露普遍，这类措施只提供有限的边际收益。

• GrapheneOS 因其减少攻击面和加强加固而受到认可，但也有人认为其缓解措施表面化，需要更实质性的改进。

• 讨论强调了新增功能与维护安全性之间的紧张关系：有人认为移除功能是提升安全性的简单方法，但这会以牺牲功能性为代价。

• 呼吁将驱动更好地上游合并到 Linux 内核，以提升所有 Android 设备的安全性，而不仅仅是那些有开源 BSP 的设备。

总体讨论揭示了移动安全的复杂局面：AI 功能的快速整合正在创造新漏洞，而现有安全措施的有效性常被质疑。尽管在补丁速度和安全研究方面有所进展，但攻击面总体扩大以及许多厂商响应缓慢仍是重大问题。 AI 在制造与缓解安全问题方面的双重作用反复出现：它既可能引入新的漏洞，也能帮助更快地发现漏洞。关于开发者责任、 Lockdown 模式和 KASLR 等防护手段有效性的争论，凸显了在安全性、可用性与创新之间寻求平衡的持续挑战。