Hacker News Digest

• Australia Post временно приостановила транзитные отправки в США из-за вступающих 29 августа тарифов на посылки стоимостью до $800.
• Ранее такие отправки не облагались налогом; теперь за каждую посылку нужно будет взимать пошлину или фиксированный сбор.
• Глобальные почтовые операторы называют ситуацию хаотичной: европейские службы тоже приостанавливают доставку в США.
• Продавцы жалуются на нехватку времени и неясные правила; Australia Post пока не принимает товары, идущие транзитом через Австралию в США.

• США считают себя незаменимыми, но это лишь отталкивает Индию, Вьетнам и Китай, заставляя их искать альтернативы.
• Европейские и другие почтовые службы массово приостанавливают доставку в США из-за новых требований по сбору пошлин.
• Трамп закрывает лазейку, через которую китайские товары массово поступали на Запад, и в этом он совпадает с позицией ЕС.
• Некоторые пользователи поддерживают меры, другие критикуют из-за роста цен и ограничений на свободный рынок.
• ЕС и Швейцария показывают, как можно регулировать импорт без полного разрыва логистики.

DiffMem — хранилище памяти для диалоговых ИИ-агентов на базе Git.
Использует коммиты как «снимки» контекста: каждое сообщение = отдельный diff, история полностью версионируется.
Поддерживает ветвление диалогов, откат к любой точке и слияние веток без потери данных.
Работает как лёгкая библиотека Python: pip install diffmem, далее diffmem init, diffmem commit, diffmem checkout.
Внутри — обычный репозиторий Git, поэтому можно пушить на GitHub, делать PR и использовать все привычные инструменты.

• Проект предлагает хранить «память» агентов в Git-репозитории в виде текстовых файлов и искать по ним ключевыми словами (BM25), избегая векторных БД.
• Критики спорят: одни считают, что это не решает задачи семантического поиска в больших размерностях, другие — что для агентной памяти и так достаточно.
• Поддерживающие отмечают простоту, прозрачность истории, возможность атомарных обновлений и отсутствие накладных расходов эмбеддингов.
• Упоминаются альтернативы: временные knowledge-graph, Graphiti/Zep, MCP-сервер, Lucene, FM-index, post-commit-хуки для векторных БД.
• Автор признаёт, что это PoC; при интересе сообщества готов довести до продакшена и добавить интеграции.

Метод «Вафельная» — как перестать теряться в IT

Ты не один: десятки студентов и джунов пишут, что «потеряны».
Причины всегда одни: ИИ заберёт работу, учить слишком много, непонятно, нравится ли вообще кодить.
Ответ не в технологиях, а в себе.
Вот 48-часовой алгоритм «Вафельная»:

1. Возьми два будних дня
   Заболей, отмени встречи, никого не предупреждай. Только ты и тишина.

2. День 1. «Рвота» мыслей
   Иди в любимое место, где комфортно сидеть часами.
   Без телефона, без ноута.
   Просто пиши от руки всё, что в голове: страхи, желания, образы себя через 5 лет.
   Не редактируй, не ограничивай. Пока листы не кончатся.

3. День 2. Сортируй
   Прочитай вчерашний поток.
   Выдели три группы:

   • Кто я (ценности, сильные стороны)
   • Что люблю делать (задачи, которые дают энергию)
   • Какой мир вокруг (рынок, люди, кому нужна твоя энергия)

   Сопоставь: где пересечения?
   Запиши 1-2 конкретные роли, которые тебе нравятся (например, «исследователь ИИ в медицине» или «техлид маленькой команды»).

4. Сделай «минимальный продукт жизни»
   Из ролей выбери одну.
   Сформулируй 3 навыка, без которых она невозможна.
   Запланируй 30-дневный эксперимент: учишь только эти три навыка по 1 часу в день.
   Остальное — шум.

5. Повторяй каждые 6 месяцев
   Цели меняются. «Вафельная» — не разовая чистка, а регулярное ТО.

Технологии — это инструменты.
Сначала выясни, что ты хочешь построить, а потом уже выбирай молотки.

• Подавляющее большинство комментаторов считают 48-часовой марафон пятилетнего планирования либо неприменимым, либо вредным: требует сверхмотивации, игнорирует неопределённость будущего и часто заканчивается провалом.
• Некоторые отмечают пользу лишь «дня размышлений без отвлекающих факторов», но предлагают заменить жёсткий план на гибкие короткие шаги и ежедневные привычки.
• Опытные участники подчёркивают, что жизнь редко идёт по плану: лучше быть готовым к случайным возможностям и регулярно переосмысливать цели.
• Часть людей, наоборот, рассказывает, что целеустремлённость и визуализация помогли им, но это скорее исключение, чем правило.
• Итог: метод может сработать для уже дисциплинированных, но для большинства «потерянных» студентов он выглядит чрезмерным, стрессовым и негибким.

Rotten Tomatoes: стал ли он менее надёжным?

Вступление

В отельных рекламах почти каждый новый фильм теперь «Certified Fresh». Либо человечество перестало снимать плохое кино, либо сама система оценки изменилась. Данные говорят: второе.

Как работает RT

• Tomatometer = доля «положительных» рецензий критиков.
• ≥ 60 % = «Fresh», < 60 % = «Rotten».
• ⅓ американцев проверяют RT перед походом в кино.

Что случилось с оценками

1. Средний балл растёт
С 2000 по 2023 г. средний Tomatometer вырос с 51 % до 75 %.

• 2000-е: 47 % фильмов ≥ 75 %.
• 2020-е: уже 74 %.

2. «Rotten» почти исчез
Доля «гнилых» фильмов упала с 43 % (2000) до 12 % (2023).

3. Дисперсия сузилась
Стандартное отклонение снизилось с 28 до 18 пунктов: оценки стали однороднее.

Причины

• Больше критиков: с 2000 по 2023 г. их число выросло в 3 раза.
• Софт-ревью: публикации боятся потерять доступ к пресс-показам и дают «слабые положительные» оценки.
• Стриминги: студии Netflix, Disney+ и др. активно «обрабатывают» критиков.

Пользователи заметили

Разрыв между оценками критиков и зрителей на RT вырос до 20-30 п.п. для блокбастеров.

Вывод

Rotten Tomatoes всё ещё удобен, но «свежесть» перестала быть показателем качества. Теперь это маркетинговый инструмент студий.

• Критики RT всё чаще ставят высокие оценки «проходным» фильмам, а зрители — наоборот, занижают необычные или «политические» ленты.
• Многие отдают предпочтение IMDb: ≥7 — почти гарантия качества, <6 — можно пропустить.
• Кто-то вообще не смотрит рейтинги и выбирает фильмы в местном кинозале или по обложке VHS.
• Пользователи хотят персонализированные рекомендации «люди с моим вкусом», а не усреднённые баллы.
• «100 % свежести» легко получить набором трёхзвёздочных «ничего особенного, но сойдёт».

simpleide — лёгкая IDE для Visual Basic, работает на Linux и использует нативный .NET.
Позволяет писать, компилировать и запускать VB-код без Windows.

• Обсуждали SimpleIDE — лёгкий open-source IDE для VB.NET на Linux (GTK# 3, .NET 8).
• Пользователи делятся ностальгией по VB, но отмечают падение популярности языка и отсутствие drag-and-drop GUI-редактора.
• Кому нужен .exe под Windows 11, советуют Visual Studio или Rider + Avalonia/C#; SimpleIDE заточен под Linux.
• Автор проекта за два месяца «с нуля» написал IDE с Claude и готовит библиотеку кастомных виджетов.
• Поднимается тема «AI-IDE нового поколения» и альтернатив вроде Gambas, Lazarus, React Native и веб-технологий.

Код-ревью можно улучшить

Мы отложили эксперимент с git-review — инструментом, который делает ревью коммитом поверх PR.
Проблемы GitHub:

• состояние ревью не хранится в репозитории;
• всё через веб, с лагами и лишними кликами.

Локальный workflow
Я клонирую ветку, сбрасываю её, чтобы код выглядел «моим», и ревью в Magit: запускаю тесты, перехожу к определениям, помечаю файлы через git add -p.
Но оставлять замечания приходится в браузере: долго, неудобно, текстовое поле тормозит.

Идея git-review

• ревью = коммит с комментариями вида // CR(name): …;
• автор и ревьюер редактируют этот коммит (--force-with-lease);
• по окончании добавляется revert-коммит, сохраняя историю.

Почему не зашло
Комментарии в коде — супер, но:

• если меняешь код, комментарии смещаются и конфликтуют;
• --force-with-lease добавляет трения;
• нужен более мягкий merge для ревью, а не строгая цепочка хэшей.
  Довести до ума потребовало бы >500 строк «быстрого хака».

К тому же, в upstream-git может появиться Change-Id в стиле Gerrit, что изменит ландшафт.

• Участники жалуются, что классический PR-ревью приходит слишком поздно: часто приходится переписывать всё с нуля или отбрасывать изменения.
• Популярность stacked-PR (Graphite, Tangled) растёт, но GitHub-веб-UI всё ещё тормозит; многие переходят на локальные IDE-плагины (IntelliJ, VS Code) или Gerrit.
• Предлагаются альтернативы: pair-programming, «первый пишет, второй правит и мержит», RFC/ADR до кодирования, а также хранение ревью-комментариев прямо в Git (notes, commits, git-patch).
• Культура «LGTM без реального ревью» и архитектурный фетишизм считаются более серьёзными проблемами, чем инструменты.

«AI First» и коэффициент автобуса 0

Коэффициент автобуса — это риск потери знаний о проекте, если сразу исчезнут все, кто в нём разбирается. До 30 ноября 2022 года минимальное значение было 1: если единственный эксперт исчезал, знание умирало. Люди тратили массу времени на документацию, менторство, школы, чтобы уйти от этого риска.

30 ноября 2022 года ChatGPT вышел в публичный доступ, и «AI first» превратил коэффициент автобуса в 0: код пишут LLM, а люди сознательно не вникают. Разработчики «вайб-кодят», не понимая, что получают, и не сохраняют знания.

Итог: при багах, апдейтах и уязвимостях никто не знает, как работает программа, куда пользователи загружают свои данные. Пока ИИ не станет генерировать 100 % корректный код по 100 % точным запросам, подход с коэффициентом 0 обречён.

• Критика статьи: «bus factor = 0» существовал и до LLM; проблема не в ИИ, а в плохой культуре разработки.
• LLM полезны для быстрого понимания чужого кода, генерации документации и рефакторинга, особенно если авторов уже нет.
• Главный риск — бездумное «vibe-coding»: большие объёмы нерецензированного кода быстро делают проект неподдерживаемым.
• Опытные разработчики получают прирост продуктивности, а новички без навыков — лишь иллюзию компетентности.
• Решение — строгие code-review, тесты, документация и «scaffolding», чтобы ИИ-помощь оставалась контролируемой.

PlutoPrint — библиотека Python для генерации PDF и изображений из HTML, работает на базе PlutoBook.
Установка: pip install plutoprint.

Основные возможности

• HTML → PDF/PNG/JPEG — одна строка кода.
• CSS/JS — полная поддержка современных стандартов.
• Шаблоны — Jinja2, Django, Flask и др.
• Пакетная обработка — асинхронный режим.
• Docker-образ для быстрого деплоя.

Быстрый старт

from plutoprint import PlutoPrint

pp = PlutoPrint()
pp.html_to_pdf("report.html", "report.pdf")

Параметры

• format: pdf, png, jpeg
• width/height, orientation, margin, header/footer, dpi

Примеры

• Отчёты, чеки, инвойсы, почтовые этикетки, скриншоты страниц.

Лицензия

MIT.

• Пользователи сравнивают PlutoPrint с WeasyPrint, Puppeteer и Typst: новый движок на C++ обещает быть быстрее и легче по памяти, но покрывает не весь CSS.
• Рекомендуют прогнать тесты с print-css.rocks и проверить прод-качество (проблемы с thead, page-break-inside и т.д.).
• Puppeteer даёт полную поддержку веб-платформы, но требует Chromium и много RAM, особенно для 200-500-страничных PDF.
• Есть вопросы по flexbox, SVG, оглавлению, поддержке Markdown и крэшу на macOS.
• Несколько человек рассматривают PlutoPrint как замену wkhtmltopdf и fpdf, автор открыт к спонсорству.

Основы AT Protocol

AT Protocol (ATProto) — это архитектура, на которой построена соцсеть Bluesky. Bluesky — лишь одно из приложений-«сервисов» в экосистеме ATProto, наряду с WhiteWind, Leaflet, Tangled и др. Все они используют общие механизмы, но разные типы данных и правила. Сообщество называет всё это «Atmosphere».

Базовые блоки

• Record — JSON-объект (пост, профиль и т.д.).
• Blob — бинарные файлы (картинки, видео).
• Collection — группа записей одного типа.
• Repository (repo) — полный набор коллекций пользователя, подписанный его ключом.
• DID — глобальный идентификатор вида did:plc:… или did:web:….
• Handle — человекочитаемый @имя.bsky.social, привязан к DID через DNS TXT-запись.

Серверы

• PDS (Personal Data Server) — хранит репозиторий, принимает новые записи, раздаёт их по запросу.
• Relay — собирает все репозитории, строит глобальный индекс и рассылает «car files» подписчикам.
• AppView — фильтрует и форматирует данные для клиентов (например, Bluesky AppView отдаёт ленту постов).
• Labeler — добавляет метки (NSFW, спам и т.д.) к записям.
• Firehose — поток всех новых записей от Relay; любой может подписаться.

Как это работает

1. Пользователь публикует пост через клиент → PDS сохраняет запись в репозиторий.
2. PDS сообщает Relay об изменении.
3. Relay рассылает diff подписчикам (AppViews, сторонние сервисы).
4. AppView отдаёт клиенту готовую ленту, уже отфильтрованную и обогащённую.

Децентрализация

• Любой может запустить свой PDS, Relay, AppView или Labeler.
• Пользователи мигрируют между PDS, сохраняя DID и подписи.
• Сейчас большинство использует PDS и Relay от Bluesky, но сеть открыта для альтернатив.

Далее

В следующих частях — сравнение с Fediverse, мифы и реальное состояние децентрализации.

• Bluesky отказался от ActivityPub ради «переносимости аккаунта» — защита от банов и закрытия серверов.
• Название AT Protocol вызвало волну ностальгии по старым AT-командам модемов (ATH0, ATDT и т.д.).
• Сейчас вокруг ATProto растёт экосистема: Pebble, Skychat, Graysky, Tangled (GitHub-like) и каталог приложений blueskydirectory.com.
• Основной недостаток — отсутствие поддержки приватных данных; над этим работают в рабочей группе, которая соберётся на IETF в ноябре.

Zedless — форк редактора Zed, ориентированный на приватность и локальную разработку (без облака). Проект в стадии WIP.

• Пользователи спорят о необходимости форка Zed без AI, телеметрии и облачных сервисов: одни рады приватной версии, другие считают её преждевременной.
• Сторонники отмечают: официальный Zed уже позволяет отключить AI и телеметрию, так что форк может лишь фрагментировать сообщество.
• Автор форка (zedless-editor) последовательно вырезает телеметрию, облачные AI, авто-обновления и кнопку входа, но пока изменений всего ~20 коммитов против 30 000 в оригинале.
• Некоторые хотят, чтобы эти «выключатели» просто добавили в основной репозиторий как флаги компиляции, избегая форка.
• В дискуссии всплывают сравнения с Chromium/Chrome, IO.js/Node.js и опасения по поводу товарных знаков и хостинга на GitHub.

%PDF-1.5  
9 0 obj  
stream  
…сжатое содержимое…  
endstream  
endobj  

54 0 obj  
stream  
…сжатое содержимое…  
endstream  
endobj  

102 0 obj  
stream  
…сжатое содержимое…  
endstream  
endobj  

127 0 obj  
stream  
…сжатое содержимое…  
endstream  
endobj  

• Большинство участников считают, что Ферма либо ошибся, либо пошутил: за три десятилетия он не записал «элегантное» доказательство, а все последующие попытки найти простое решение провалились.
• Обсуждаемый документ — это лишь «чертеж» (blueprint) будущего формализованного доказательства Великой теоремы Ферма в системе Lean; само доказательство займёт ещё несколько лет.
• Ключевой мотивацией формализации называют повышение надёжности: компьютер сможет полностью проверить громоздкое доказательство, исключив человеческие ошибки.
• Участники обеспокоены долговечностью кода и спрашивают, как предотвратить «захват» задач бездействующими участниками и избежать дублирования работы.
• Для массового использования Lean требуются учебные материалы и «текстбы» на его основе; уже появляются книги и курсы, включая упражнения Теренса Тао.

• Pixel 10

  • 6,2" OLED 120 Гц, Tensor G5, 12 ГБ ОЗУ, 128/256 ГБ, 50 МП + 13 МП, 4575 мА·ч, 27 Вт, IP68, 799 $.

• Pixel 10 Pro

  • 6,7" LTPO 1–120 Гц, 12 ГБ, 256/512 ГБ, 50 МП + 48 МП + 48 МП, 5050 мА·ч, 37 Вт, 999 $.

• Pixel 10 Pro XL

  • 6,9" LTPO, 16 ГБ, до 1 ТБ, 5500 мА·ч, 45 Вт, 1199 $.

Общее

• Gemini Nano 2.0 на устройстве, 7 лет обновлений.
• Дизайн: плоские рамки, новые цвета (Obsidian, Porcelain, Sky, Jade).
• Предзаказ с 8 августа, старт продаж 22 августа.

• Tensor G5 + Gemini Nano запускают Magic Cue локально; это выглядит как то, что Apple обещала, но не выпустила.
• Железо Pixel 10 всё ещё отстаёт по скорости от флагманов на Snapdragon 8 Elite и греется.
• Камерный модуль огромен, 100× «Pro Res Zoom» использует генеративную «доработку» деталей.
• Нет лотка для физической SIM: eSIM только через GMS, что ломает совместимость с LineageOS и GrapheneOS.
• Цены стартуют с $799, но многие считают это дорого и ждут Pixel 10a или скидок на старые модели.
• Проблемы с миграцией данных, стабильностью ПО и отсутствием продаж в большинстве стран остаются.

pytype — статический анализатор типов для Python от Google.
Проверяет аннотации и выводит типы без их явного указания.
Устанавливается через pip install pytype; запуск — pytype file.py.
Поддерживает 3.8–3.12, Linux/macOS.
Конфигурируется в setup.cfg или pyproject.toml.

• Google официально прекращает разработку pytype; бывшие разработчики считают это правильным, но грустным концом эпохи.
• Pytype выделялся межфункциональным анализом потока типов и выводом типов для неаннотированного кода, что критично для больших кодовых баз Google.
• Причина закрытия — сокращение команды Python в Google в 2024 г.; альтернативы: mypy, Pyright, Pyrefly и новый «ty» от Astral.
• Сообщество обсуждает, что mypy слишком медленен для монорепозиториев Google, а Rust-решения ограничивают поддержку архитектур.
• Общий вывод: переходите на Pyright или ждите зрелости ty, но не ждите продолжения pytype.

luminal — библиотека для глубокого обучения, работающая «со скоростью света».

Основное

• Язык: Rust
• Цель: максимально быстрое вычисление градиентов и обучение нейросетей.
• Подход: компиляция вычислительного графа в высокооптимизированный нативный код (LLVM).

Возможности

• Автоматическое дифференцирование.
• JIT-компиляция графов.
• Поддержка CPU и GPU (CUDA).
• Минимальные накладные расходы: нет Python-интерпретатора и лишних библиотек.

Примеры

let x = Cpu::tensor([1.0, 2.0, 3.0]);
let y = x.relu().sum();
let g = y.backward(); // градиент за наносекунды

Установка

cargo add luminal

Статус

Проект в активной разработке; API может меняться.

• Luminal — это ML-фреймворк, который вместо ручных правил формулирует оптимизацию как поиск по огромному пространству возможных ядер (tiling, потоки, инструкции и т.д.) с помощью e-graphs.
• Сейчас на M-серии MacBook Llama-3 8B Q8 выдаёт 15-25 ток/с; это ниже llama.cpp, но команда строит трекер производительности и продолжает улучшать поиск.
• Поиск ограничен 12 базовыми линейно-алгебраическими операциями, что делает задачу похожей на «superoptimisation» и позволяет добавлять аппаратно-специфичные инструкции (tensor cores, PTX/ASM) без роста frontend.
• Для оценки качества ядра используется реальное время выполнения на целевом железе; масштабировать планируют распараллеленным профилированием на кластерах GPU.
• Отличие от TVM/tinygrad — единое пространство поиска, включающее как параметры тайлинга, так и алгебраические преобразования (например, softmax → flash-attention).

• Apple наняла ключевых мейнтейнеров OPA из Styra, но, судя по всему, не покупала саму компанию.
• Коммерческая поддержка OPA теперь ограничена: Styra закрывается, Aserto уже исчез, альтернативы — Oso, Kyverno/Nirmata, Permit.io.
• Часть комментаторов опасается, что развитие OPA замедлится или станет менее открытым, как это было с FoundationDB.
• Другие напоминают, что Apple позже открыла FoundationDB и может открыть Enterprise-функции OPA.
• Вопросы о выгодах acqui-hire сводятся к налогам, удержанию талантов и репутационным рискам для корпораций.

• Пользователи жалуются на плохую релевантность поиска, игнорирование фильтров цены и отсутствие Amazon-ассортимента.
• Многие путают целевую аудиторию: это API и партнёрская сеть для разработчиков, а не конечный шопинг-сайт.
• Канал монетизации: комиссии (в среднем 5 %) поступают через Channel3, разработчикам не нужно регистрироваться у каждого вендора.
• Критика цены $7/1 000 запросов и опасения по поводу скрейпинга данных и возможных судов от маркетплейсов.
• Основные технические вопросы: как обновляются цены, как справляются с CAPTCHA и ограничениями, учитывается ли стоимость доставки.

Прощай, Playwright — здравствуй, CDP
Мы отказались от Playwright и перешли на «родной» Chrome DevTools Protocol. Это ускорило извлечение элементов, скриншоты и действия, добавило асинхронные реакции и нормальную работу с кросс-доменными iframe.

Проклятие абстракции
Playwright скрывает важные детали, вносит лишнюю задержку через WebSocket-прокси и не нужен для узких задач AI-агентов. Мы решили реализовать только нужные вызовы сами.

Краткая история автоматизации браузеров

• 2011–2017: PhantomJS → Chrome Remote Debugging → WebKit RDP → CDP.
• 2017: Headless Chrome + Puppeteer.
• 2018: WebDriver стал W3C-стандартом.
• 2020: бывшие разработчики Puppeteer создали Playwright.
• 2023–2024: WebDriver BiDi в ChromeDriver и Puppeteer.

Современные драйверы
pydoll, go-rod, chromedp, puppeteer, playwright, selenium, cypress, appium.
Но ни один не подошёл, поэтому мы написали собственный cdp-use.

• Автор перенёс Playwright, Browser Use и Selenium в расширения Chrome, отказавшись от CDP и полагаясь на DOM- и extension-API.
• Сообщество спорит: кто-то считает это «NIH-синдромом», другие — полезным способом избежать фингерпринтинга и ускорить работу.
• Поднимаются вопросы о Firefox (без CDP), ограничениях расширений и невозможности автоматизировать другие расширения.
• Некоторые напоминают, что Selenium/подобные инструменты работали уже до 2011, и «тёмные века» — субъективны.
• Итог: проект пока ориентирован на Chromium-браузеры, CDP всё ещё используется для снимков и фреймов, а полный переход на extension-only решает не все задачи.

• EC2

  • Менять IAM-роли и security-groups можно без остановки инстанса.
  • EBS можно расширять, подключать и отключать «на горячую».
  • Принудительный stop/terminate без ожидания таймаута.
  • Live-migration между хостами почти убрала деградацию инстансов.
  • Надёжность выросла: «исчезновение» инстансов стало редкостью.
  • Spot-рынок стал стабильнее, без аукционов.
  • Dedicated Instances почти не нужны — даже для HIPAA.
  • AMI Block Public Access включён по умолчанию.

• S3

  • Стал строго согласованным (read-after-write).
  • Не нужно рандомить префиксы ключей для равномерного распределения.
  • ACL устарели и отключены по умолчанию.
  • Block Public Access включён на новых бакетах.
  • Шифрование покоя включено по умолчанию.

• AWS теперь по умолчанию блокирует публичный доступ к новым S3-бакетам; это снижает утечки, но усложняет легитимное открытие доступа.
• Пользователи обсуждают, что многие «улучшения» AWS — это просто исправление первоначально неудобных решений, и это влияет на репутацию.
• По-прежнему спорны детали: нужно ли случайное префиксирование ключей S3, почему NAT Gateway взимается за трафик внутри одного региона и почему Transit Gateway дороже peering.
• Некоторые разработчели «деградируют» от сложных serverless-стеков к простым EC2 + S3 + Route 53 ради простоты и экономии времени на IAM.
• Участники просят ежегодные сводки изменений и жалуются на ослабление платной поддержки AWS.

Покупатель Бенджамин Янковски подал коллективный иск против Home Depot, утверждая, что камеры самообслуживания тайно сканируют лица посетителей. В чикагском магазине он заметил зелёную рамку вокруг своего лица на экране и не обнаружил ни предупреждений, ни альтернативной кассы.

Истец считает, что ритейлер с 2024 года использует «компьютерное зрение» для борьбы с кражами, собирая биометрические данные без согласия, что нарушает закон штата Иллинойс (BIPA). Он требует 1 000 долларов за каждое небрежное нарушение и 5 000 долларов за умышленное, а также хочет представлять всех пострадавших покупателей из 76 магазинов сети в штате.

Ранее Rite Aid уже получил пятилетний запрет на использование технологии распознавания лиц после массовых ошибок и скрытого сбора данных.

• Пользователи обсуждают, что крупные сети (Home Depot, Kroger) используют камеры и распознавание лиц у самообслуживания, чтобы собирать базы «подозреваемых» и накапливать доказательства краж.
• Многие отказываются от самокасс: считают их заменой кассиров, не доверяют ложным срабатываниям и не хотят работать «бесплатно».
• Часть участников спорит, достаточно ли просто «видеть» лицо или уже нарушаются законы о биометрии; большинство сомневается, что судебный иск докажет хранение данных.
• Отмечают психологический эффект зелёной рамки вокруг лица — это должно пугать потенциальных воров.
• Кто-то платит наличными и паркуется подальше, чтобы минимизировать отслеживание.

Anubis — «весы душ» для HTTP-запросов, защищают сайты от ИИ-ботов. Вместо CAPTCHA требует перебора nonce, чтобы SHA-256(challenge+nonce) начиналась с 4 нулей (16 бит). Это Proof-of-Work, как в биткоине, но не майнинг.

Проблема: задача легка для дата-центра ИИ, но трудна для обычных пользователей без мощного железа.
Сайты ядра Linux (git.kernel.org, lore.kernel.org) теперь требуют этот PoW, что ломает скрипты и консольные клиенты.

Цифры

• Сложность 4 → 2¹⁶ ≈ 65 536 SHA-256 на токен.
• Токен живёт 7 дней.
• 11 508 «звёзд» GitHub ≈ столько сайтов с Anubis.
• На бесплатной e2-micro GCP: 3688 кБ/с SHA-256 → ≈ 230 000 хэшей/с.
• Для обхода всех сайтов за неделю: 11 508 × 65 536 ≈ 754 млн хэшей → 54 минуты CPU на одном ядре.
  Цена: копейки, даже в облаке. ИИ-вендору это ничто, а владельцу VPS-128 МБ — проблема.

Альтернативы

• Rate-limit, WAF, robots.txt, API-ключи, CDN, client-cert.
• Использовать Tor Browser (JS включён) или Selenium.
• Патчить curl/wget, добавляя JS-движок или готовый PoW-скрипт.
• Прокси-браузер (Puppeteer, Playwright) в headless-режиме.

Workarounds

• anubis-pass — консольный майнер на Go, решает задачу и выдаёт cookie.
• Пользовательские скрипты, которые запрашивают страницу, вычисляют PoW и продолжают сессию.

• Anubis — PoW-страница с аниме-девочкой-шакалом — работает не как «непробиваемая» защита, а как способ добавить трения массовым AI-скраперам, заставляя их либо тратить CPU, либо идентифицироваться через cookie и попадать под rate-limit.
• Критики считают, что вычисление легко автоматизировать и ресурсы у AI-дата-центров безграничны; сторонники отвечают, что пока обход редок и Anubis реально снижает нагрузку.
• Пользователей раздражают задержки 10–20 с на телефонах, аниме-арт и отсутствие graceful degradation для No-JS.
• Предлагаются альтернативы: микроплатежи, hashcash, «лабиринты» липовых страниц, добровольные датадампы, VPN-внутренности.
• Главный итог: Anubis — «лучшее из плохих» решений, которое работает сегодня, но его долгосрочная эффективность зависит от того, насколько быстро боты начнут массово обходить PoW.

Как двигать объекты в 3D

Кликните вправо, чтобы идти дальше →

---

От круга к сферической спирали

Куб движется по кругу:
x = 10 cos(πt/2)
y = 10 sin(πt/2)

Умножаем радиус на 0.03 t — получаем растущую спираль.

---

Сферическая спираль

Добавляем z:
z = 10 cos(0.02 πt)

Радиус x, y теперь умножается на sin(0.02 πt), поэтому он сначала растёт, потом уменьшается.

x = 10 cos(πt/2) · sin(0.02 πt)
y = 10 sin(πt/2) · sin(0.02 πt)
z = 10 cos(0.02 πt)

Куб облетает сферу по спирали.

---

Итог

Положение в 3D задаётся параметрическими уравнениями x(t), y(t), z(t).
Меняя функции, получаем любые траектории — от простого круга до «хаотичных» путей.

Проект Damar • Twitter @damarberlari

• Обсуждение вращается вокруг интерактивной визуализации сферической спирали и её математического описания.
• Пользователи делятся впечатлениями: кто-то в восторге от анимаций, кто-то жалуется на производительность и UX.
• Часть комментариев посвящена навигации: неочевидное управление, проблемы на мобильных и в Firefox.
• Некоторые указывают на скачкообразный переход от базовой геометрии к сложным формам и просят больше объяснений.
• Другие предлагают инструменты для повторения: Desmos, p5.js, ShaderToy, книги и статьи по параметрическим уравнениям.

• Назначение: ноутбук 12_gemma3.ipynb показывает, как загрузить и запустить модель Gemma-3 (1B/4B/12B/27B) с помощью Hugging Face Transformers и KerasNLP без обучения.
• Установка: pip install transformers keras-nlp (Keras 3 + JAX/TF/PyTorch).
• Код:
  • Авторизация через huggingface-cli login и keras_nlp.models.GemmaCausalLM.from_preset("gemma3_1b_en").
  • Генерация текста: model.generate("AI is", max_length=50).
• Особенности Gemma-3: поддержка 140 языков, контекст до 128k токенов, инструмент-вызовы, улучшенные математика и код.
• Внимание: модели весят 1–27 ГБ; требуется GPU/CPU с 8–48 ГБ ОЗУ.

• Автор модели рад, что 270-миллионная Gemma теперь доступна и готов отвечать на вопросы.
• Пользователи спрашивают: как перейти с классического ML на глубокое обучение, как до-обучить модель под сложный NER, зачем нужны такие маленькие модели и как их использовать локально.
• Маленькие модели полезны для приватных on-device задач, быстрой классификации, суммаризации, низких латентностей и дешёвых прототипов без вызовов в облако.
• До-обучение (LoRA и др.) за минуты на одном GPU делает их очень точными для узких задач: извлечение JSON, тегирование, «голос» персонажа и т.д.
• Полный тренинг с нуля занял бы годы даже на мощной GPU, поэтому релиз именно предобученных весов экономит время и деньги.

• Цель стажировки – заложить основу для системы рефакторинга в Merlin, вдохновлённой IntelliJ и Gleam.

• Первый эксперимент – команда «вынести выражение на верхний уровень» (extract to toplevel).

• Как работает

  1. Выделяется наибольшее выражение внутри выбранного фрагмента.
  2. Оно переносится в новое let-связывание на уровень выше.
  3. Если выражение не чистое, создаётся thunk unit -> …, чтобы сохранить семантику.
  4. Свободные переменные превращаются в параметры новой функции.

• Примеры

  • Константа 3.14159 → let const_name1 = 3.14159.
  • print_endline внутри блока → оборачивается в fun () -> ….
  • a + b + c + (c * x * y) + z → функция, принимающая x, y, a, b, c.

• Результат – работающий прототип, готовый к расширению другими командами.

• Участники рады появлению базового рефакторинга «extract expression» и обсуждают, какие более продвинутые преобразования (например, map ↔ for) хотели бы видеть.
• Уточняли, будет ли автоматически заменяться одинаковый код в той же области видимости: пока нет, чтобы не «угадать» намерения пользователя.
• Кто-то делится самописными vim-скриптами для поиска и рефакторинга, работающими на любом языке.
• Поднимался вопрос о поддержке VS Code: разработчики утверждают, что вкладывают время и в VS Code, и в Emacs, но Emacs проще расширять.
• Обсуждали родство OCaml и F#, а также возможность использования ИИ для крупных рефакторингов.

Sequoia ведёт раунд $32 млн для Zed
Суммарное финансирование превысило $42 млн. Четыре года мы строили самый быстрый IDE, но это лишь фундамент. Следующая цель — живое, непрерывное сотрудничество, где разговоры о коде всегда связаны с актуальным состоянием проекта.

Проблема снимков
Git ограничивает обсуждение коммитами и ветками. Между коммитами разработчик работает изолированно; обсуждения в чатах быстро теряют связь с кодом. ИИ-агенты тем более страдают: каждый их шаг требует снимка, что тормозит итерации.

DeltaDB: версионирование операций
Мы создаём DeltaDB — систему, которая фиксирует каждое изменение на уровне операций через CRDT. Она совместима с Git, но позволяет:

• реальное время без снимков;
• пермалинки на символы, выживающие при любом рефакторинге;
• сохранение диалогов и контекста навсегда.

Как это работает
Инженер видит ошибку, кликает на строку и мгновенно получает историю обсуждений, предположений ИИ и решений команды. Всё — внутри IDE, без переключения на внешние сервисы.

Zed и DeltaDB будут open-source с платными опциями. Набираем команду — присоединяйтесь.

• Пользователи хвалят скорость и «вкус» Zed, но опасаются VC-финансирования: $42 млн требуют 10×-возврата, что грозит «эншиттификацией».
• Ключевая инновация — DeltaDB: версионирование на уровне каждого изменения (CRDT) вместо git, с совместимостью с ним.
• Некоторые считают git устаревшим и приветствуют переход, другие боятся потери приватности и роста объёмов данных.
• Ряд комментаторов уже предлагают форк Zedless или возвращаются к Sublime/VS Code из-за опасений по поводу будущего продукта.

ccpm — система управления проектами для Claude Code, использующая GitHub Issues и Git worktrees для параллельной работы агентов.
Репозиторий: automazeio/ccpm

• Сомнения в заявленных цифрах (–89 % времени на переключение, 3× быстрее релизы) — кажутся «галлюцинацией» или завышеными.
• Ключевая идея: разбивать задачи на мелкие, запускать для каждой отдельного агента («контекст-файрвол»), чтобы не перегружать главный поток.
• Без ручного контроля качество быстро падает: большинство участников подтверждают, что приходится одобрять каждое изменение иначе «AI уходит в кроличью нору».
• Критика «строгих 5 фаз» как возврата к водопаду: реальные требования постоянно меняются, и жёсткая последовательность может привести к результату «по спецификации, но не по потребностям».
• Нет понятных примеров и видео; автор обещает выложить демо на выходных, чтобы показать полный цикл работы системы.

Tidewave Web – агент для Rails и Phoenix, работающий прямо в браузере.
Он видит текущее состояние UI, знает структуру проекта и выполняет код в вашем окружении без переключений между инструментами.

Основное

• Общий контекст – кликните по элементу, скажите «добавь кнопку экспорта CSV»; Tidewave сам найдёт шаблон, контроллер и модель.
• Глубокая интеграция – запросы к БД, логи, документация, тесты в браузере.
• Установка – добавьте gem/пакет, откройте /tidewave, подключите GitHub Copilot или Anthropic.
• Цена – 20 сообщений в месяц бесплатно; Tidewave Pro – $10/мес.

Ограничения

• Лучше всего работает с полноценными Rails/Phoenix.
• React/Vue пока не поддерживаются (в планах).
• Django, Flask, Next.js – в листе ожидания.

Планы

TODO-списки, суб-агенты, React-поддержка.
Присоединяйтесь к Discord или форме ожидания.

• Tidewave — это инструмент для «живого» редактирования Phoenix/Rails-приложений прямо в браузере: LLM видит DOM, шаблоны, тесты и может менять код на лету.
• Следующие шаги: React-интеграция, затем Python/JS-фреймворки; уже можно записаться в wait-list.
• Часть пользователей в восторге («не мог мечтать о таком»), другие не понимают преимущества перед Claude Code или MCP-серверами.
• Главный плюс, по словам Jose Valim — глубокая связь с конкретным фреймворком: LLM точно знает, какой шаблон сгенерировал элемент, и может запускать код без угадывания.
• Платная модель: используются ваши ключи Copilot/Anthropic, но после лимита нужно платить Tidewave (часть трафика идёт через их сервер).
• Пока нет поддержки локальных LLM (Ollama) и HTTPS-проблемы у некоторых команд; Jose просит писать в Discord для отладки.

Содержание

• Предисловие Брюса Стерлинга
• «Гернсбек-континуум» — Уильям Гибсон
• «Змеиные глаза» — Том Мэддокс
• «Рок-н-ролл навсегда» — Пэт Кэдиган
• «Истории Гудини» — Руди Ракер
• «400 мальчишек» — Марк Лейдлоу
• «Солнцестояние» — Джеймс Патрик Келли
• «Петра» — Грег Бир
• «Пока не разбудят человеческие голоса» — Льюис Шайнер
• «Фризоун» — Джон Ширли (две версии)
• «Камень жив» — Пол Ди Филиппо
• «Красная звезда, зимняя орбита» — Стерлинг и Гибсон
• «Моцарт в зеркальных очках» — Стерлинг и Шайнер

Ключевые факты

• Онлайн-версию подготовил Руди Ракер (сентябрь 2022, обновлено ноябрь 2023).
• Права на каждый рассказ принадлежат авторам; книга не общественное достояние и не под лицензией Creative Commons.
• Печатные издания: Arbor House (1986), Ace (1988).

Из предисловия
Сборник представляет «киберпанк» — литературное движение 1980-х, сочетающее хай-тек и уличную культуру. Название «киберпанк» стало главным ярлыком, хотя писателям он не нравится. Стерлинг подчеркивает: «типичного» киберпанк-писателя не существует; каждый автор уникален. Цель книги — показать спектр идей и стилей движения через лучшие, редко переиздававшиеся рассказы.

• Руди Ракер выложил антологию Mirrorshades бесплатно, получив согласие всех авторов.
• Участники вспоминают, как книга расширила границы жанра и стала отправной точкой для многих.
• Рекомендуют связанные сборники: Transreal Cyberpunk, Rewired, Semiotext(e) SF, The Big Book of Cyberpunk.
• Называют ключевые романы: Snow Crash, Neuromancer, Synners, True Names, Daemon, The Diamond Age.
• Отмечают, что короткая форма рассказов — сильнейшая сторона киберпанка.
• Некоторые сетуют: современный киберпанк — «полая оболочка» эстетики Гибсона, а жить в антиутопии уже не так весело.

Databricks привлекает раунд Series K при оценке >$100 млрд.
Компания, предоставляющая платформу для аналитики и ИИ, подтвердила переговоры о новом финансировании. Сумма сделки и имена инвесторов пока не раскрываются, но источники называют ориентир выше $100 млрд. Это почти вдвое превышает оценку в $62 млрд, полученную в сентябре 2023 года.

По данным Bloomberg, Databricks выручила за последние 12 месяцев $2,4 млрд, рост 50 % г/г. Компания планирует выйти на IPO в 2025 году.

• Databricks объявил о раунде Series K на $10 млрд при оценке $100 млрд, вызвав волну скепсиса: многие считают это попыткой отложить IPO и избежать реальной оценки.
• Участники обсуждения подчеркивают, что компания за 15 лет и $10+ млрд всё ещё не прибыльна, а продукт (Spark, «обёртки» над Postgres, Lakehouse) кажется переоценённым и дорогим.
• Пользователи жалуются на высокие расходы, долгий запуск задач и сбои в сервисе; конкуренты вроде Snowflake выглядят дешевле.
• Раунд воспринимается как способ «разогнать» оценку и дать ликвидности ранним инвесторам, а не как финансирование роста.
• Сравнения с WeWork, Palantir и OpenAI подчеркивают, что длинные цепочки раундов уже не редкость, но вызывают опасения по поводу «пузыря ИИ».

• На сайте визовой анкеты обнаружены скрипты F5 (TrafficShield), которые сканируют локальные порты 127.0.0.1:8888 и ищут Burp Suite, чтобы выявить прокси-аферистов и «анти-ботов».
• Пользователи удивлены, что браузеры без спроса разрешают JavaScript обращаться к LAN; в Chrome уже вводится запрос разрешений.
• Защититься помогают uBlock Origin (список «Block Outsider Intrusion into LAN»), uMatrix/NoScript, а также «hard mode» в uBO.
• Часть комментаторов считает, что сканирование также может быть связано с чип-картами ID или отладочными сервисами на localhost.

20 августа 2025 г. с 00:34 до 01:48 по Пекину GFW безусловно сбрасывал все TCP-соединения на 443-порт, разрывая трафик между Китаем и остальным миром.

Ключевые факты

• Цель: только 443/tcp; 22, 80, 8443 не трогались.
• Механизм:
  • из Китая: SYN или SYN+ACK вызывали три поддельных RST+ACK;
  • в Китай: RST посылались только на SYN+ACK сервера.
• Оборудование: отпечатки не совпадают с известными GFW-узлами ⇒ либо новое устройство, либо сбой.

Примеры трафика

Из Китая наружу

CN_IP → NON_CN_IP:443 [SYN]
NON_CN_IP:443 → CN_IP [RST+ACK] (seq 0, ack 1, win 1980-1982)
NON_CN_IP:443 → CN_IP [SYN+ACK]
NON_CN_IP:443 → CN_IP [RST+ACK] (seq 1, ack 1, win 3293-3295)

Снаружи в Китай

192.168.0.162 → baidu.com:443 [SYN]
baidu.com:443 → 192.168.0.162 [SYN+ACK]
baidu.com:443 → 192.168.0.162 [RST+ACK] (seq 1, ack 1, win 2072-2074)

Инцидент длился 74 минуты; приглашаем сообщить дополнительные наблюдения.

• Пользователи обсуждают масштабные сбои/блокировки в китайском интернете, многие называют это «комендантским часом» и опасаются повторения на Западе.
• Возникли вопросы о топологии «Великого фаервола»: централизован ли он, действует ли между всеми узлами или только между домашними и коммерческими сетями.
• Некоторые считают инцидентом ошибку конфигурации, другие — «сухую тренировку» перед будущими ограничениями, особенно в военное время.
• Упоминаются последствия для удалённых работников и иностранцев: падение VPN, пропущенные созвоны, поиск запасных каналов (Starlink, LoRa, V2Ray).
• Подчёркивается, что внутри Китая даже запуск личного блога требует лицензии ICP, а HTTPS-сертификаты часто отсутствуют.

Современные CI-платформы стали мощнее, но и сложнее. GitHub Actions, GitLab и др. предлагают YAML-конфиги с шаблонами, условиями, секретами, кешем, артефактами, экосистемой actions — в итоге CI превращается в полноценную систему сборки.

Базовые примитивы (задачи, зависимости, шаги) не отличаются от Makefile-ов, а добавление распределённого запуска и кеша делает CI почти идентичным современным билд-системам вроде Bazel.

Сложность растёт:

• YAML становится языком программирования.
• Пользователи копируют чужие конфиги, не понимая, что происходит.
• Платформы закрываются на собственных экосистемах, создавая vendor lock-in.

Итог: вместо простого «удалённого запуска тестов» мы получили громоздкую систему, где границы между CI и build-системой стёрлись.

• Участники сходятся во мнении, что современные CI-системы слишком сложны и слишком «далеко» от разработчика, превращаясь в гибрид билд-системы и платформы.
• Многие предлагают упрощение: локально-переносимые скрипты (Bash, Justfile, build.bash), контейнеры или минималистичные движки вроде builds.sr.ht, Drone OSS, Buildbot, Linci.
• Критика YAML-конфигураций и SaaS-зависимости: GitHub Actions «застрял», GitLab CI мощнее, но всё равно требует «платформы».
• Идея «CI должен быть просто расширением билд-системы» (Bazel, Nix, Dagger) звучит, но требует единого «Steve Jobs билд-систем», а не новых технологий.
• Итог: пока нет серебряной пули; кто хочет простоты — пишет ./build.sh и запускает где угодно, кто хочет мощности — мирится с уровнем сложности текущих CI.

Кратко о книге «Высокомерная обезьяна» Кристин Уэбб

Книга атакует идею человеческого исключительного права и показывает, как она вредит науке, природе, демократии и самой жизни.

• Проблема: мы считаем себя «венцом творения», хотя уступаем орлам в зрении, дельфинам в эхолокации, а губкам живут дольше.
• Механизм: «нормализация» — если вокруг много зла, оно перестаёт шокировать. То же происходит с коррупцией и демократическими нормами.
• Решение: отказаться от человеческого «супериоритета» и признать, что каждый вид живёт в своём umwelt — уникальном мира восприятия.

Вывод: мы не «особенные», а лишь одна из ветвей эволюции.

• Обсуждение развернулось вокруг новой книги, которая оспаривает идею исключительности человека.
• Одни участники подчёркивают уникальность людей благодаря технологиям, космосу и разуму, другие называют это самообожанием и виждут в нём источник экологического кризиса.
• Упоминались Питер Сингер и спор о speciesism, а также возможность расшифровки «языков» животных как способа разрушить антропоцентризм.
• Критики считают, что «исключительность» — это выборочный набор критериев, важных лишь для самих людей.
• Итог: тема вызвала бурную полемику между гордостью за Homo sapiens и призывом к скромности перед другими видами.

Ценность попадания на главную HN

Автор с 2012 года на Hacker News и делится опытом после тысяч постов и 400+ с >100 очками.

Трафик
Пост на главной даёт тысячи визитов — подготовьте CDN. Но конверсия минимальна: покупок, регистраций, скачиваний почти нет. Это узнаваемость, а не лиды.

Комментарии
Главное — обратная связь от умных людей. Не игнорируйте, не оправдывайтесь. Спрашивайте, уточняйте, даже спустя сутки. Не обязаны внедрять всё, но прорабатывайте как письма от коллег.

Последующий трафик
Через недели бывают вторичные всплески: рассылки, Facebook, блоги, другие соцсети. Конверсия неясна, но узнаваемость растёт. Отслеживайте источники (referrer, Google Alerts) и предлагайте новый контент.

Благодарность
Если вы поделились чужим постом (делайте это в 90 % случаев) и он взлетел, автор может поблагодарить — укажите контакт в профиле.

Чего не ждать

• HN ≠ маркетинг-план. Это только верхняя часть воронки.
• Не вся аудитория тут: ни все разрабы, ни все из SF.
• Трафик ненадёжен: ваш пост может провалиться, а чужой — взлететь через день.

• Попадание на главную HN даёт всплеск 30-50 тыс. визитов, но прямые конверсии низкие и быстро убывают.
• Основная ценность — «печать одобрения»: подписки, SEO-ссылки, упоминания в нишевых медиа, рассылках и YouTube.
• Некоторые получают работу, тысячи GitHub-звёзд или постоянный поисковый трафик; другие просто наслаждаются качественной дискуссией.
• Технически достаточно дешёвого VPS и CDN, но стоит заранее оптимизировать GIF и кеш.
• Успех сильно зависит от времени публикации и везения; «лотерейность» признают все.

Уязвимость Copilot: доступ к файлам без записи в журнал аудита
Автор: Zack Korman, 19.08.2025

Суть проблемы

M365 Copilot может читать файлы и не фиксировать это в журнале аудита, если попросить «не давать ссылку на файл». Это позволяет скрытно скачивать данные, нарушая безопасность и требования к соответствию.

Как обнаружил

Исследуя логику аудита для новой функции Pistachio, автор заметил пропуски в журнале. Проверка показала: достаточно добавить фразу «без ссылки» — запись исчезает. Это может произойти случайно, поэтому у многих организаций журналы уже искажены.

Реакция Microsoft

• Уязвимость признали «важной» и исправили.
• Клиентов не уведомили; официального бюллетеня нет.
• Процесс MSRC занял 45 дней, ответы были формальными, без деталей.

Вывод

Журналы аудита M365 Copilot ненадёжны, а Microsoft не планирует информировать пользователей. Организациям стоит перепроверить свои логи и усилить контроль доступа к чувствительным данным.

• Copilot читает индексированные данные от имени привилегированного сервиса, поэтому не фиксирует в журнале доступ к самому файлу.
• Это приводит к утечкам: пользователь видит содержимое, но в аудите нет записи о нарушении прав.
• Исправление Microsoft ограничилось «автоматическим обновлением» без CVE и без изменения архитектуры.
• Участники считают проблему классической «confused deputy» и указывают, что фильтрация по правам в векторной БД вполне масштабируется.
• Советуют подключить Legal/Compliance и готовиться к регуляторным разбирательствам, особенно в HIPAA-окружении.

AGENTS.md — открытый формат инструкций для AI-агентов, используется >20k проектов.
Это «README для агентов»: единое место для команд сборки, тестов, стиля кода и прочих деталей, которые не нужны людям, но критичны для ИИ.

## Команды
- `pnpm i` — зависимости  
- `pnpm dev` — запуск  
- `pnpm test` — тесты  

## Стиль
TypeScript strict, одинарные кавычки, без точек с запятой, функциональный стиль.

Зачем отдельный файл?

• README — для людей, AGENTS.md — для агентов.
• Не загромождает документацию.
• Один формат подходит всем: Codex, Amp, Jules, Cursor, Factory, RooCode и др.

Как использовать

1. Создайте AGENTS.md в корне.
2. Добавьте: обзор проекта, команды сборки/тестов, стиль, security, правила PR.
3. В монорепозиториях кладите отдельные файлы в каждый пакет; агент читает ближайший.

Примеры

• openai/codex
• apache/airflow
• temporalio/sdk-java
• PlutoLang/Pluto

Ещё 20k примеров

• Участники спорят, нужен ли отдельный AGENTS.md или достаточно README/CONTRIBUTING.
• Одни считают файл полезной «эргономичной ручкой» — люди охотнее пишут инструкции для ИИ, чем для людей.
• Другие критикуют: это не формат, а просто соглашение; нет импортов, иерархии, стандарта между агентами.
• Практики варьируются: кто-то хранит роль-файлы в .agent, кто-то делает симлинки на CLAUDE.md, кто-то использует .agdocs/guides/.
• Общий вывод: AGENTS.md пока временный костыль, пока ИИ не научится полноценно читать человеческую документацию.

Микроб, который ставит под сомнение определение клеточной жизни

Учёные обнаружили микроскопического организма, который лишён привычных клеточных структур: мембраны, ядра, митохондрий и рибосом. Это существо, названное Pandoravirus salinus, обитает в солёных водах и достигает размеров, сопоставимых с некоторыми бактериями, но генетически ближе к вирусам. Его ДНК содержит гены, не имеющие аналогов у других форм жизни, и способна к саморепликации без классического клеточного аппарата.

Исследователи выяснили, что P. salinus может синтезировать белки, используя механизм, ранее считавшийся невозможным вне клетки. Это ставит под вопрос границу между живым и неживым, а также между вирусами и клеточными формами жизни. Открытие может пересмотреть наши представления о происхождении клеток и эволюции жизни на Земле.

• Участники спорят, где проходит граница «жизни»: вирусы, митохондрии, споры и даже человеческие клетки без симбионтов оказываются на одном спектре.
• Подчеркивают, что митохондрии, как и Sukunaarchaeum, имеют собственные рибосомы и ДНК, но не могут существовать вне клетки-хозяина.
• Критикуют научные СМИ за сенсационные заголовки: находка — это не новое «чудо», а известный архейный паразит из филума Nanobdellota.
• Утверждают, что биологические понятия всегда «размыты»; природа не укладывается в строгие категории «живое/неживое».
• Заключают: мы все — взаимозависимые системы, и «жизнь» лучше описывать как кластер свойств, а не чёткое определение.

Как нарисовать инопланетянина из Space Invaders

Сначала я делал 3D-рендерер Rayven, но решил быстрее получить результат и выбрал простую тему — инопланетян. Они узнаваемы, легко строятся из кубиков и хорошо смотрятся в серии.

Для генератора я нарисовал 38 вариантов в Aseprite (15×15 пикселей). Вручную заметил: тела почти все похожи на низкополигональные фигуры. Это подсказало алгоритм.

Алгоритм генерации

1. Сетка 15×15 остаётся на экране.
2. Тело делаем векторным, потом пикселизируем.
3. Симметрия по вертикали: строим левую половину и зеркалим.
4. Центр тела смещаем вверх, чтобы снизу осталось место для щупалец.
5. Верхняя и нижняя точки выбираем случайно на оси симметрии.
6. Слева добавляем 1-5 случайных точек (раньше 2-3 и только выпуклые, но расширил правила).
7. Зеркалим точки вправо и замыкаем полигон.
8. Перекрывающиеся линии при пикселизации исчезают, сохраняя узнаваемость.

Всё остальное — случайные ограничения и мелкие детали, код на GitHub.

• Автор показал генератор «Космических захватчиков» с живым демо и открытым кодом, вдохновлённый работами Jared Tarbell.
• Участники вспомнили ретро-спрайты ZX Spectrum, ASCII-анимацию 80×24 и генетические эксперименты над врагами на Atari Logo.
• Все похвалили читаемость статьи, приятный UI и «плавающий» превью-канвас, который меняется при прокрутке.
• Предложили использовать генератор для аватаров, спрайтов в играх и «дыхательной» анимации криттеров.
• Подчеркнули, что «без-ИИ» подход сохраняет радость творческого процесса и вызывает ностальгию по раннему вебу (levitated.net, complexification.net).

perfect-freehand
Для работы приложения включите JavaScript.

• Библиотека perfect-freehand от Стивена Руиза (tldraw) делает плавные «ручные» линии.
• Похожая функция была в Xara Designer ещё в 2000-х, но редко встречается в других редакторах.
• В tldraw уже встроена улучшенная версия perfect-freehand, где линии выглядят лучше и легко экспортировать в SVG.
• Некоторые пользователи жаловались на «острые» концы и проблемы сохранения; форк или tldraw решают это.

openai-reflect — физический ИИ-ассистент от OpenAI, который «освещает» вашу жизнь.
Репозиторий публичный, но пока без описания, релизов и документации.

• Пользователи спорят, нужно ли отдельное устройство, или можно обойтись приложением в телефоне.
• Критикуют Alexa/Google Home за бедные диалоги и медленный запуск Gemini-ассистента.
• Автор подчёркивает: это хакатон-проект на ESP32 + WebRTC, не продукт OpenAI.
• Видео в README без звука; ссылка на YouTube с примером работает.
• Некоторые опасаются, что поток «ультра-альфа» проектов размывает бренд, но другие считают примеры полезны для разработчиков.

Алгоритм CRDT для совместного текста

Каждый символ получает уникальный id: site (идентификатор узла) и clock (локальный счётчик, увеличиваемый после каждой операции), а также parent — указатель на предыдущий символ.

• Вставка
  parent ставится на символ перед точкой вставки (null — в начало). Порядок символов задаётся прямым обходом дерева: родители идут раньше потомков.

• Сортировка при одинаковом parent
  Сначала по убыванию counter, затем по site. При вставке перед символом с тем же parent берём его counter + 1.

• Удаление
  id символа попадает в множество удалённых (tombstone). Значение можно забыть, но позиция нужна для корректного порядка.

Оптимизации

1. Последовательные вставки одного узла объединяются в блок: массовая вставка стоит как одна операция.
2. Блоки хранятся в отсортированном массиве; вставка — O(log n) без явного дерева.
3. Удаления группируются диапазонами по site и clock.

Плюсы и минусы

• Плюсы: разумный расход памяти, быстрые запросы/обновления.
• Минусы: сложная логика слияния, только рост метаданных, сборка мусора требует координации.

Интерактивный пример
Четыре пира, задержка сети, редактирование кликом. Исходник — crdt-text-buffer.js.

Полезные ссылки

• josephg.com/blog/crdts-go-brrr/ — эффективная реализация.
• archagon.net/blog/2018/03/24/data-laced-with-history/ — деревья и сборка мусора.

• Обсуждали RGA — CRDT-алгоритм для списков и текста, который Automerge раньше использовал до перехода на FugueMax.
• У RGA есть редкая проблема: при вставке элементов в обратном порядке у разных пользователей возникает чередование.
• Упомянули Eg-Walker — новый подход от Loro.dev, который вызвал интерес у участников.

SSO Wall of Shame — список вендоров, считающих SSO роскошью, а не базовой безопасностью.

SSO позволяет компании управлять доступом через собственный поставщик идентификации (Google, Okta, Azure AD), централизованно создавать/удалять аккаунты и мгновенно отключать уволенных сотрудников. Для любой организации >5 человек это критично.

Однако вендоры прячут SSO за «Enterprise»-тарифами, где цена выше в 2–4 раза или привязана к большому пакету ненужных функций. Это тормозит внедрение безопасности.

Примеры завышенных надбавок

Вендор	Базовая цена	SSO-цена	Рост
Airtable	$10/польз./мес	$60	+500 %
Appsmith	$15	$2 500	+16 567 %
Coursera	$399/польз./год	$49 875/год	+12 400 %
Cloudflare	$20/домен/мес	$1 000	+4 900 %
Breezy HR	$171/мес	$1 500	+777 %
DatoCMS	$100/мес	$667	+567 %
Canva	$10/польз./мес	$40	+300 %
Figma	$12	$45	+275 %
Bitrise	$90	$270	+200 %
Box	$5	$15	+200 %

(и ещё ~30 компаний с ростом 15–167 %).

Вывод: если вендор «серьёзно относится к безопасности», SSO должен быть либо в базе, либо за умеренную доплату.

• «SSO-налог» — это не техническая, а ценовая сегментация: крупные клиенты обязаны иметь SSO (SOC2), поэтому за него платят.
• Поддержка SSO действительно дорога: множество тикетов, сложные интеграции, вызовы инженеров, особенно при частных IdP.
• Часть вендоров всё же даёт базовый SSO через Google/GitHub/Microsoft, но «частный IdP» остаётся маркером Enterprise.
• Малым компаниям SSO тоже нужен по контрактам, но высокие цены отталкивают; кто-то предлагает субсидии или прокси-решения.
• Итог: SSO = не «фича», а показатель зрелости клиента и объём его кошелька.

AnduinOS — лёгкий, приватный, бесплатный дистрибутив на базе Ubuntu.
ISO 2 ГБ, GNOME-оболочка, Flatpak-приложения, никакого слежения.
Совместим с пакетами Ubuntu, подходит для работы, игр, сервера и обучения.

Версии

• LTS 1.1 (Noble Numbat) — до апреля 2029, GNOME 46, ядро 6.11, стабильность.
• Standard 1.3 (Plucky Puffin) — до января 2026, GNOME 48, ядро 6.14, новейшие функции.

Ссылки

• Скачать | Документация | Исходники | Поддержать

«Переход с Windows прошёл безболезненно, система лёгкая и красивая» — пользователи.

• Многие спутали название «AnduinOS» с «ArduinoOS».
• Это одиночный проект китайского инженера Microsoft: ремикс Ubuntu с GNOME, стилизованным под Windows 11.
• Критика: «distro-дистро-дистро» не заслуживает звания OS, не ясен уникальный посыл по сравнению с Mint/Ubuntu.
• Плюсы: простая установка Flatpak, может помочь консервативным пользователям перейти с Windows.
• Минусы: нет ARM-сборки, в скриншотах замечен сомнительный WPS Office, отсутствует описание отличий от Ubuntu.

Работа в Notion офлайн

• Доступно всем: просматривайте, редактируйте и создавайте страницы без сети в десктоп- и мобильном приложении.
• Автозагрузка: на Plus/Business/Enterprise последние и избранные страницы сохраняются автоматически.
• Вручную: откройте нужную страницу → ••• → Available offline; дождитесь полосы загрузки.
• Проверка: в Settings → Offline видно, что сохранено; можно удалить лишнее.

Подготовка к офлайну

1. На каждом устройстве включите офлайн-доступ отдельно.
2. Убедитесь, что нужные страницы загружены через Settings → Offline.
3. База данных: первые 50 строк загружаются автоматически; остальные — вручную.
4. Подстраницы отмечайте индивидуально.

Работа офлайн

• Изменения сохраняются локально и синхронизируются при подключении к интернету.

• Пользователи делятся на два лагеря: кто-то рад офлайн-режиму Notion, но многие уже ушли в Obsidian за скоростью, локальным хранением и «файл-овер-эпп» подходом.
• Все сходятся, что офлайн-синхронизация сложна: конфликты, потеря данных, архитектура масштаба — всё требует огромных усилий.
• Некоторые считают Obsidian неудобным для командной работы и предпочитают Notion для HR, спринтов и коллаборации.
• Альтернативы: SiYuan, Anytype, Notesnook, Appflowy, но у каждого свои компромиссы.
• Главный вывод: Notion — для команд и «документов в облаке», Obsidian — для личных баз знаний и контроля над данными.

ASCII-вывод в D2 0.7.1
Файлы с расширением .txt теперь рендерятся в ASCII. Пример: при сохранении .d2-файла Vim-плагин мгновенно показывает ASCII-превью.

Для документации кода
ASCII-диаграммы удобно вставлять в комментарии: выделите блок d2, плагин заменит его ASCII-версией.

Unicode или чистый ASCII
По умолчанию используются символы Unicode, но флаг --ascii-mode=standard вернёт строгий ASCII.

Ограничения (альфа-версия)

• Без стилей: animated, font, темы не поддерживаются; цвета в терминале — возможно позже.
• Неравномерные отступы из-за дискретной сетки.
  Сообщайте о багах: github.com/terrastruct/d2/issues.

Попробуйте сейчас
Откройте пример в D2 Playground.

• Представлена новая альфа-функция D2: рендеринг диаграмм в ASCII.
• Пользователи сравнивают D2 с Mermaid, отмечают лучший внешний вид и CLI без Chromium, но упрекают в отсутствии GitHub-рендеринга и сложных grid-раскладок.
• Появились вопросы о браузерной офлайн-работе, vim-/emacs-плагинах, Python-обёртке и возможности ручной подгонки элементов.
• Автор подтвердил, что WASM-версия (d2.js) уже работает в браузере, но пока неанонсирована; официальный релиз и поддержка PR-диаграмм ожидаются позже.

Зачем нужен семантический слой и как собрать его на DuckDB

Когда не нужен

• Один инструмент аналитики (BI, ноутбук или приложение).
• Метрики тривиальны: COUNT, SUM, AVG.
• Все агрегаты уже материализованы в таблицах.

Зачем нужен

1. Единое место определения метрик – версионируемые YAML-файлы с бизнес-логикой, которые читают BI, ноутбуки, веб-приложения, AI.
2. Кеш и безопасность – быстрые ad-hoc-запросы без переноса данных, ролевая безопасность через API.
3. Согласованность – KPI «Выручка» описан один раз и не дублируется в каждом инструменте.

Минимальный пример

• metrics.yaml – 30 строк: название, SQL-выражение, формат, описание.
• run.py – 40 строк на Ibis + DuckDB: читает YAML, строит запрос к 20 млн записей NYC Taxi, возвращает DataFrame или SQL.

Как работает

import ibis, yaml, duckdb
ibis.options.interactive = True
con = ibis.duckdb.connect("nyc_taxi.ddb")
taxi = con.table("trips")

with open("metrics.yaml") as f:
    metrics = yaml.safe_load(f)

revenue = metrics["total_revenue"]["sql"]
result = con.sql(revenue).to_pandas()

YAML:

total_revenue:
  sql: "SELECT SUM(fare_amount) FROM trips"
  format: currency
  description: "Общая выручка"

Итог
Семантический слой решает проблему дублирования логики и ускоряет аналитику, когда данные и потребители разнообразны. Полный код – в репозитории semantic-layer-duckdb.

• Семантический слой — это абстракция, переводящая технические запросы в термины, понятные бизнес-пользователям, и обеспечивающая единые метрики, джойны и логику.
• Внедрение требует капитальных усилий: аналитики спешат сделать отчёт «здесь и сейчас», а не выделять время на переиспользуемую логику.
• Некоторые считают его «ORM для BI» или «VIEW на стероидах», но он шире: позволяет динамически компоновать представления без повторных вычислений.
• Инструменты варьируются от YAML-файлов до языков вроде Malloy; многие мечтают о встроенной поддержке в DuckDB или Looker-like BI.
• Главный риск — преждевременная абстракция; неправильные метрики закрепляются и тормозят развитие.

Emacs как обрезчик видео

Марцин Борковский показал, как вырезать фрагменты прямо из редактора. Автору тоже часто нужно обрезать скринкасты, поэтому он вдохновился и написал video-trimmer-mode (~300 строк Elisp).

• Использует ffmpeg для всей тяжёлой работы.
• Показывает превью и позволяет задавать начало/конец кадрами.
• Код живёт в dotsies и обновляется.

Если пригодилось — поддержите автора на GitHub Sponsors или купите его macOS/iOS-приложения.

• Автор показал, как обрезать видео прямо в Emacs, используя ffmpeg и 300 строк Elisp.
• Пользователи спорят: «круто, но зачем?» vs «если ты уже живёшь в Emacs, то это естественно».
• Плюсы: всё текстом, клавиатурное управление, можно автоматизировать, не надо выходить из среды.
• Минусы: GUI всё-таки удобнее для точного выбора кадров; для разовой задачи проще спросить LLM нужную команду ffmpeg.
• Сторонники Emacs считают его не редактором, а полноценной программной средой (или «ОС»), где легко интегрировать любые инструменты.

CodeRabbit: от PR до RCE и доступа к 1 млн репозиториев

CodeRabbit — самое популярное AI-приложение на GitHub Marketplace (1 млн репозиториев, 5 млн PR). При установке он анализирует каждый PR и оставляет AI-комментарии.

Найденные уязвимости

1. RCE через Markdown-рендеринг

   • Внутри контейнеров запускается markdown-it с плагином markdown-it-katex.
   • Плагин использует child_process.exec без фильтрации LaTeX-ввода.
   • Внедрённый в PR $\input{/etc/passwd}$ запускает произвольные команды.

2. Утечка токенов

   • Внутри контейнеров доступны переменные окружения: GITHUB_TOKEN, CODERABBIT_API_KEY, DATABASE_URL.
   • Чтение /proc/self/environ и ~/.netrc позволило получить токены GitHub, JWT-секреты и строку подключения к PostgreSQL.

3. Доступ к 1 млн репозиториев

   • Установленный GitHub-App имеет scope contents:write во всех подключённых репозиториях.
   • С помощью украденного токена можно клонировать/писать в приватные репы, создавать PR, коммиты и релизы.

Цепочка атаки

1. Создаём PR с вредным LaTeX.
2. Получаем RCE в контейнере CodeRabbit.
3. Считываем секреты.
4. Используем токен GitHub для полного доступа к репозиториям.

Меры защиты

• Переход на изолированные sandbox-среды.
• Отключение опасных LaTeX-функций.
• Минимизация scope GitHub-токенов.

• Исследователи нашли RCE в CodeRabbit: Rubocop запускался в проде без песочницы, позволяя выполнять любой код и получить ключи GitHub-приложения.
• Уязвимость дала доступ на запись к ~1 млн репозиториев; компания утверждает, что «данных клиентов не скомпрометировано», но аудита нет.
• Пользователи критикуют отсутствие прозрачности, грубые ошибки в управлении секретами (ключ в ENV) и чрезмерные права GitHub-приложений.
• Главный вывод: анализаторы кода должны запускаться в изолированных средах без доступа к чувствительным переменным, иначе подобные инциденты неизбежны.

Тайный подземный город в подвале дома

Житель турецкого Невшехира во время ремонта наткнулся на дверь в скрытый лабиринт. Под домом оказался камедеринский подземный комплекс — многоуровневая сеть туннелей, комнат и колодцев, выдолбленных в мягком вулканическом туфе.

• Масштаб: 18 этажей, глубина до 85 м, протяжённость 8 км.
• Назначение: укрытие от набегов; жили 20 тыс. человек.
• Системы: вентиляционные шахты, колодцы, винодельня, часовня, школы.
• Возраст: начало строительства — VIII век до н. э., активное использование — византийский период.

Комплекс закрыт стальными дверями и мог функционировать автономно до полугода. Находка расширила известную сеть подземелий Каппадокии, включая знаменитые подземные города Деринкую и Каймаклы.

• Участники делятся впечатлениями о подземных городах: Derinkuyu, Özkonak, Naours и других.
• Обсуждают, что такие города строились из-за постоянных вторжений, но турецкий гид утверждал, что после прекращения набегов их перестали использовать.
• Упоминают, что вся Каппадокия выглядит «как другая планета» с долинами, музеями и пещерами.
• Поднимают тему LiDAR-исследований, находящих в Латинской Америке целые мегаполисы, и задаются вопросом, есть ли аналоги в Африке.
• Напоминают о греческом геноциде 1920-х, когда подземные убежища снова пригодились, и критикуют статью за «обеление» истории.

• Что изменили: из спецификации HTML полностью убраны упоминания XSLT.
• Почему: технология считается устаревшей, поддержка в браузерах минимальна, а спецификация XSLT живёт отдельно.
• Что удалили:
  • раздел «XSLT» и связанные термины;
  • алгоритм «transform-to-document»;
  • обработку type="text/xsl";
  • примеры и ссылки на XSLT.
• Как проверили: сборка без ошибок, тесты WPT не затронуты.

• Все браузеры, а не только Chrome, поддерживают идею убрать XSLT из веб-платформы.
• Основная причина — безопасность и тяжёлая поддержка устаревшей библиотеки libxslt.
• Часть пользователей возмущена: «спросили всех, все сказали “нет”, но всё равно уберут».
• Некоторые предлагают замену на WASM-полифилл или серверную трансформацию.
• Сторонники XSLT жалуются на разрыв обещания «HTML навсегда» и гибель старых сайтов.

Positron — бесплатный IDE для дата-сайенса, поддерживающий Python и R.
Скачать

Продукты

• Enterprise: Posit Connect, Workbench, Package Manager
• Cloud: Posit Cloud, Connect Cloud, shinyapps.io

Open Source

• IDE: Positron, RStudio, RStudio Server
• Библиотеки: Tidyverse, ggplot2, dplyr, Quarto, Shiny, vetiver
• Интеграции: dbplyr, sparklyr, googlesheets

Истории клиентов

• Suffolk, Trillium, Unity Health, NASA, Dow

Партнёры

• Платформы: Snowflake, Databricks, SageMaker
• Облака: AWS, Azure, GCP

• Пользователи хвалят Positron за плавный переход из RStudio/VSCode и улучшенные возможности DS, но жалуются на отсутствие inline-графиков в Quarto и медленное внедрение.
• Разработчики подтверждают: форк нужен, потому что VSCode-расширения не позволяют глубоко интегрировать языковые сервисы, тулбары и кастомные UI.
• Некоторые считают продукт «ещё одним форком VSCode» и сомневаются в его нишевости между RStudio, VSCode, Spyder и PyCharm.
• Поддержка WSL пока отсутствует, а цены на RStudio Server выросли, что усиливает интерес к Positron в академической среде.
• Важнейший запрос — inline-вывод в Quarto; его уже рассматривают, и есть настройка для привычных хоткеев RStudio.

Без futex всё тленно

Книга The Art of Multiprocessor Programming (2-е изд., 2021) считается канонической, но она обходит стороной futex — ключевой примитив современной многопоточности. Это упущение делает пособие бесполезным для практиков.

Futex ≠ mutex
Название происходит от «fast userspace mutex», но futex — это не мьютекс, а основа для всех высокоэффективных примитивов синхронизации. До него всё строилось на громоздких System V IPC, которые не масштабировались: при 1000 потоков futex в 2002-м оказался в 20–120 раз быстрее sysv-блокировок. Windows и macOS добавили аналоги только в 2012 и 2016 гг.

Суть futex
Он разделяет блокировку и ожидание/пробуждение:

• В user-space проверяем состояние; если свободно — захватываем без системного вызова.
• При конфликте вызываем futex_wait(addr, expected), засыпаем в ядре на конкретном адресе.
• Пробуждение — futex_wake(addr, n), где n обычно 1 или «все».

Передаваемое в wait значение защищает от «просыпания» после уже случившегося события: если память изменилась, системный вызов мгновенно возвращает ошибку.

Такой подход убирает лишние системные вызовы и позволяет строить быстрые мьютексы, rw-lock’и, семафоры и пр. без поллинга и экспоненциальных бэкоффов.

Итог
Любая современная библиотека (pthreads, C++ std::mutex, Rust std::sync) опирается на futex. Учебник, игнорирующий этот примитив, не готовит к реальной разработке.

• Futex — это быстрый примитив синхронизации, который экономит системные вызовы при отсутствии конфликтов и не требует выделения ядром объектов.
• В отличие от Benaphore и старых SysV-механизмов, futex не требует предварительной инициализации в ядре и исчезает, когда нет ожидающих.
• Обсуждение подчёркивает, что современные учебники по многопроцессорному программированию обязаны упоминать futex, но «The Art of Multiprocessor Programming» этому не уделяет внимания.
• Улучшения futex2 (Linux ≥5.16) добавили NUMA-поддержку и аналог Windows WaitForMultipleObjects, а io_uring теперь умеет работать с futex.
• Для надёжности при падении потока существуют robust-locks и списки futex, которые ядро автоматически разблокирует.

Критическая уязвимость кэш-подмены в Dnsmasq

Тип: логическая ошибка защиты от кэш-подмены
ПО: все версии Dnsmasq
Оценка: критическая
Условия: атакующий вне сети, перебирает TxID и порт (~2,5 ч)

Суть
Dnsmasq пересылает запросы со спецсимволами (~, !, *, _) вышестоящим резолверам. Некоторые из них молча отбрасывают такие запросы, не отвечая NXDomain/ServFail. Dnsmasq не замечает тишины и ждёт, открывая большое окно для подбора 16-битного TxID и порта (birthday-paradox).

Результат

• 20/20 успешных экспериментов
• Среднее время атаки ≈ 9 469 с
• Позволяет отравить любой кэшированный домен без фрагментации IP или побочных каналов
• Усиливает известные атаки SADDNS и Tudoor

PoC
Для домена viticm.com запросы с «тихими» символами приводили к молчанию upstream, что использовалось для надёжного отравления кэша.

Рекомендации

• Детектировать молчание upstream
• Ввести rate-limit и защиту от spoof, как в PowerDNS

• dnsmasq пересылает «невалидные» запросы (с символами вне ASCII) к апстрим-резолверу, который молча их отбрасывает; злоумышленник, находясь на пути, может подобрать 32-битный (порт+ID) ответ и отравить кэш.
• Проблема не новая (известна с 1993 г.), но в dnsmasq уже второе за последнее время серьёзное упущение.
• Большинство потребительских роутеров с dnsmasq никогда не обновятся; предлагается «право на ремонт» и публикация прошивок/ключей.
• OpenWrt, если стоит за NAT/файрволом, теоретически недоступен извне, но всё равно можно заменить dnsmasq на Unbound или другой DNS-сервер.
• Эффективная защита — DNSSEC; временно помогает апстрим-резолвер, который быстро отвечает NXDOMAIN (8.8.8.8, 1.1.1.1, 9.9.9.9).

• Команда подтвердила: датасеты закрыты, но признаёт, что открытые голосовые банки критичны для мало-рыночных языков.
• В ближайшие 2 месяца выйдет распознавание речи (STT), включая урду.
• Работают над офлайн-версиями и «горячими линиями» через операторов, чтобы охватить села без интернета.
• Пока предоставляют только API; модели не выкладывают на Hugging Face, но планируют хакатон для разработчиков.
• Крупные игроки игнорируют эти языки из-за малого спроса; команда стремится стать «региональным лидером» до появления конкурентов.

• Суть: Лондон отказался требовать у Apple «чёрный ход» в шифрование iCloud (функция ADP).
• Контекст: В январе 2025 г. Apple отключила ADP в Великобритании после ультиматума Home Office.
• Результат: Без официальных объяснений власти отозвали приказ; Apple может вернуть полное сквозное шифрование.
• Значение: Победа Apple и правозащитников, но британские спецслужбы сохраняют право подавать новые требования в будущем.

• Участники сомневаются, что Apple действительно отказалась от «задних дверей» в Великобритании: решение не подтверждено документально, а откат мог быть лишь публичным жестом.
• Многие считают «победу» сомнительной: права на приватность всё равно зависят от страны и политического давления, а не от универсального принципа.
• Поддержка детей и борьба с терроризмом воспринимаются как удобный предлог для анти-свободных законов.
• Есть опасения, что власти просто временно отступили и скоро вернутся с новыми попытками или уже имеют доступ к данным.
• Вопрос о восстановлении сервиса Advanced Data Protection (ADP) в UK остаётся открытым.

Кратко
PyPI теперь ежедневно отслеживает, не истёк ли домен, к которому привязан e-mail пользователя. Если домен переходит в «период искупления» (redemption), адрес автоматически становится «неподтверждённым», что блокирует атаку «воскрешения» домена и захват аккаунта через восстановление пароля. С июня 2025 г. таким образом аннулировано более 1 800 адресов.

Как работает атака

1. Владелец забывает продлить домен.
2. Злоумышленник выкупает домен, поднимает почту, запрашивает сброс пароля PyPI.
3. До внедрения 2FA (до 1 янв 2024) это давало полный доступ; теперь нужно ещё обойти второй фактор, но риск остаётся.

Жизненный цикл домена
Активен → дата окончания → льготный период (до 45 дней) → redemption (30 дней, высокая цена) → 5 дней «pending delete» → освобождение. PyPI проверяет статус раз в 30 дней через API Domainr и действует до момента смены владельца.

Что делает PyPI

• С апреля 2025 ежедневный мониторинг.
• При переходе в redemption статус e-mail меняется на «unverified».
• Пользователю приходит уведомление; повторное подтверждение возможно только после продления домена.

Совет пользователям

• Продлевайте домены заранее.
• Используйте надёжный почтовый сервис с авто-продлением.
• Добавьте резервный подтверждённый адрес на стабильном домене.

• Проблема повторного использования email-адресов после удаления аккаунтов ставит под угрозу цифровую идентичность и безопасность пакетов (Maven, Go).
• Google и Microsoft по-разному подходят к блокировке «мертвых» доменов и email, но единого стандарта нет.
• URI-импорты и доменные namespace кажутся хрупкими: домен может истечь, а пакет — подмениться.
• Сильная криптографическая идентичность (PGP, Keybase, SigSum) технически решена, но не взлетела из-за UX, потери ключей и репутационных проблем крипто-мира.
• Участники сходятся во мнении: нужно что-то простое, децентрализованное и без единой точки отказа, но пока нет рабочего массового решения.

Суть проекта
Сделал GOTO-монтировку с нуля: два гармонических редуктора (100:1), ESP32-S3, шаговый и сервопривод, USB-C PD до 100 Вт. Управление — по Wi-Fi, протоколы step/dir, CAN, Modbus.

Почему
Начал с €200-трекера Move Shoot Move, но полярная настройка и поиск объектов были мукой. Профессиональные монтировки €1 200–4 000 казались перебором. Решил построить своё.

Путь

1. Освоил FreeCAD и KiCad.
2. Выбрал редукторы 14 и 17 типа с AliExpress (поиск через Google site:aliexpress.com).
3. Изучил опыт HEMY, HrEM, DHEM и DIY EQ Mount V2.
4. Плата полукруглая, вмещается в корпус; драйверы встроены в моторы, поэтому схема простая.
5. Корпус алюминиевый, крепление Arca-Swiss, режимы экваториальный/альта-азимут.

Характеристики

• RA: серво 42AIM15 + 17-редуктор → 32 768 шаг/об, 65 536 с оверсэмплингом.
• DEC: шаговый MKS Servo42D + 14-редуктор → 1/256 микрошаг.
• Скорость slew увеличивается переключением микрошага 256→128 по CAN.
• GPIO и питание 5–24 В вынесены на разъёмы «на будущее».

Итог
Вместо покупки дорогой монтировки — компактная, точная и полностью самодельная система за меньшие деньги и с кучей новых навыков.

• Проект – самодельный гармонический монтировочный телескоп на ESP32 и OnStepX; автор делится деталями конструкции, ПО и стоимости.
• Участники хвалят точность и отсутствие противовесов, но спорят о реальной грузоподъёмности и стабильности по сравнению с коммерческими ZWO.
• Поднимаются вопросы платы: ширина дорожек для 24 В, сборка на JLCPCB, цена за 5 штук.
• Обсуждают FreeCAD: восторг от возможностей и одновременно жалобы на вылеты и UX; советуют Fusion 360 и помощь ИИ.
• Как делать «правильную» PCB: читать даташит, ставить bypass-конденсаторы, брать за основу dev-board.
• ПО: KStars/EKOS, Stellarium, Skyfield, INDI/ASCOM для GOTO и плейт-решения; идея делать научную астрометрию и собирать light-curves экзопланет.
• Появляется идея продавать наборы как некитайскую альтернативу после тарифов Trump.

Prime Grid
Старт
Строки
Столбцы
« » ·

Для работы страницы требуется включённый JavaScript.

• Пользователи делятся ссылками на визуализаторы простых чисел и обсуждают разные способы отображения: решётки, Ulam spiral, «упаковки» по 100 чисел.
• Отмечают, что при простом числе колонок возникают диагональные полосы из-за одинаковых остатков по модулю.
• Удивляются «густоте» простых даже на больших числах, хотя теорема о простых числах говорит о снижении плотности как 1/log n.
• Просят добавить hover-числа, анимацию, другие основания, 3-D, экспорт изображений.
• Кто-то видит в узорах логотипы, «звёздные врата» или даже «клингонский» текст; другие предупреждают, что часть узоров — псевдопаттерны.

• В лесах Бургундии строят настоящий замок XIII века Геделон – эксперимент археологов и ремесленников.
• С 1998 г. 40 мастеров используют только средневековые инструменты, материалы и методы.
• Цель – восстановить забытые приёмы строительства, заполнить пробелы в знаниях историков и «замковедов».
• Даже установка окна в часовне превратилась в коллективную головоломку: каменщики, плотники, кузнецы, историки и археологи спорили 8 лет, какое стекло допустимо.
• Руководитель Флориан Ренюсси: «Замок начинает говорить – мы слышим, видим и чувствуем то, что обычная археология упускает».

• Участники делятся ссылками и впечатлениями о проекте замка Гюдельон и других «новых» средневековых замках.
• Рекомендуют документальные фильмы BBC, видео на YouTube и книгу Маколея «Castle».
• Обсуждают, что стекло поглощало до половины бюджета собора, а строительство без электричества требует невероятных усилий.
• Вспоминают одночастные замки в США (Bishop Castle, Loveland Castle, Ozark Medieval Fortress) и феномен «follies» в Англии.
• Европейцы удивляются, что для американцев средневековые постройки вызывают больший восторг, чем для них самих.

OpenMower — проект превращения недорогих серийных газонокосилок-роботов в умные устройства с точной навигацией RTK-GPS.

• Цель: дать старому «железу» современные функции — карты, зоны, маршруты, автопарковку.
• Что внутри: полностью открытая прошивка, платы и 3D-печатные крепления; заменяем только «мозги», оставляя моторы и датчики.
• Требования: базовая газонокосилка (Flymo, Gardena, Worx и др.), плата-основа на Raspberry Pi 4, RTK-модуль, внешняя антенна.
• Функции:
  • планирование маршрутов по векторной карте;
  • работа по зонам и расписанию;
  • возврат на зарядку и продолжение с места остановки;
  • OTA-обновления и веб-интерфейс.
• Сборка: подробные инструкции и BOM в репозитории; сообщество в Discord помогает с отладкой.
• Лицензия: GPL-3.0, все файлы и схемы свободны.

• Кто-то считает, что «все современные газонокосилки ездят хаотично», но большинство пользователей отвечают: случайный алгоритм работает отлично, а провод периметра надёжен и дешёв.
• Аппаратное обеспечение у Husqvarna, Mammotion, Sunseeker и др. хвалят, но ПО всё ещё «сырое» и требует доработок.
• OpenMower заменяет «мозги» готового шасси RTK-GPS и открытым ПО; поддерживаемый корпус в США почти не продаётся.
• Поднимаются вопросы безопасности (ежи, камни, ответственность), цены (как подержанная машина) и необходимости косить только днём.
• Кто-то мечтает о солнечных микро-триммерах, другие просят RC-версию или модуль для сбора мусора.

• Участники подчёркивают, что Тед Чианг создаёт строго внутренне согласованные миры, чтобы исследовать человеческие последствия идей, а не «научную точность» в духе hard sci-fi.
• Спорят, является ли «Hell Is the Absence of God» критикой религии: одни видят в нём разоблачение, другие — исследование страдания и веры в мире, где Бог существует наверняка.
• «Exhalation» воспринимается как идеальный пример «герметичной» термодинамики: законы те же, но упрощённая вселенная позволяет ощутить энтропию «вживую».
• «Story of Your Life» трактуют не как про язык Сапира-Уорфа, а как размышление о лагранжевом детерминизме и восприятии времени.
• Несколько человек советуют Грега Игана и Кена Лю как авторов с похожим подходом к контрфакту и философии.

29 минут без дыхания: новый рекорд хорватского фридайвера

14 июня 2025 года в бассейне отеля Bristol в хорватской Опатии Витомир Маричич задержал дыхание 29 мин 3 сек, установив мировой рекорд по статическому апноэ с предварительным дыханием чистым кислородом. Предыдущий рекорд (24 мин 37 сек) принадлежал соотечественнику Будимиру Шобату (2021).

Перед погружением Маричич дышал 100 % O₂ (по правилам Guinness допускается до 30 мин). Затем он лёг на дно 3-метрового бассейна, положив руки за голову.

«После 20-й минуты стало легче морально, но физически — всё тяжелее: сокращения диафрагмы усиливались. Я знал, что не сдамся», — рассказал он после выхода.

Для сравнения:

• Рекорд AIDA по статическому апноэ на воздухе — 11 мин 35 сек (Стефан Мифсуд, 2013).
• Рекорд GWR на воздухе — 11 мин 54 сек (Бранко Петрович, 2014).

Методика: предварительное дыхание кислородом заменяет азот в лёгких, увеличивая запас O₂ с 0,45 до 3 л и откладывая рефлекс на вдох за счёт снижения CO₂. Требуется глубокая релаксация, контроль диафрагмы и минимальный пульс.

• Рекорд 29 мин 4 сек достигнут после предварительного дыхания чистым кислородом; на обычном воздухе рекорд 11 мин 35 сек.
• Участники обсуждают, как тренируют толерантность к CO₂, контролируют диафрагмальные спазмы и используют млекопочитающий рефлекс для замедления обмена.
• Поднимаются вопросы безопасности: риск потери сознания, «синих» blackout’ов и долгосрочного вреда мозгу; подчёркивается роль тренёров-сейфов.
• Некоторые спрашивают, можно ли применять «кислородный трюк» для обычного снорклинга — ответ: нет, это сложно и небезопасно.
• Упоминаются генетические и культурные факторы (баджаи, хорваты), а также увеличенные селезёнки у морских кочевников.