Hacker News Digest

• Starship IFT-10 стартовал 25 августа 2025 г. с базы Starbase в Техасе.
• Super Heavy отделился через 2 мин 40 с и мягко приводнился в Мексиканском заливе.
• Starship продолжил полёт, достиг 211 км, совершил «белковый рулон» и успешно «поймал» макет башни-ловушки.
• Через ~65 мин корабль совершил контролируемое падение в Индийский океан.
• Это первый полёт после аварии IFT-9; ключевые системы (Raptor-вакуум, теплозащита, аэродинамические поверхности) отработали штатно.
• SpaceX планирует IFT-11 через 3 недели; цель — отработка возврата и многоразовости для будущих миссий на Луну и Марс.

• Пользователи восторженно отметили успешный запуск Starship, назвав его «невероятным» и «волнующим».
• Представители SpaceX, включая инженера Аманду Ли и Илона Маска, поблагодарили команды за работу.
• Упомянули рекордные 134 запуска SpaceX в 2024 году и планы на 160–170 запусков в 2025-м.
• В дискуссии подняли сравнение со Saturn V: его общая стоимость составила ~$33,6 млрд с учётом инфляции, а цена одного запуска — ~$1 млрд.
• Участники уверены, что Starship сможет выйти дешевле и эффективнее Saturn V.

Критическая уязвимость в NX
NX (Nrwl) скомпрометирован: злоумышленники внедрили вредоносный код, крадущий кошельки и учётные данные.

• Что случилось: в пакетах @nx/nx-linux-x64-gnu, @nx/nx-linux-x64-musl, @nx/nx-win32-x64-msvc обнаружен backdoor.
• Как работает: при установке пакета запускается скрипт, который крадёт файлы .env, wallet.dat, id_rsa и отправляет их на сервер злоумышленников.
• Кто под угрозой: все, кто установил заражённые версии с 2024-06-01 по 2024-06-05.
• Что делать:
  1. Проверить версию NX: nx --version.
  2. Обновиться до последней версии (≥19.1.1).
  3. Проверить проект на наличие подозрительных скриптов в node_modules/.bin.
  4. Сменить все пароли и ключи, хранившиеся в проекте.

Semgrep уже выпустил правило для обнаружения вредоносного кода:

semgrep --config=auto .

• Уязвимая версия пакета Nx была опубликована через скомпрометированный npm-токен и содержала вредоносный post-install скрипт.
• Скрипт использовал локально установленные Claude Code или Gemini CLI для поиска секретов и чувствительных файлов, перенося «логику» в промпт, что затрудняет обнаружение статическим анализом.
• Участники подчёркивают, что AI-агенты получают слишком широкие права на файловую систему и предлагают запускать их в изолированных контейнерах или ВМ.
• Многие считают инцидент новым витком supply-chain-атак и призывают сокращать количество зависимостей, проводить code-review и использовать sandbox-решения.

• Инцидент: F-35A разбился в Аляске 28 мая 2024 г.; пилот катапультировался.
• Предшествие: за 50 мин до крушения летчик по радио обсуждал с инженерами проблемы с системами.
• Причина: предварительно — отказ вспомогательной силовой установки и гидравлики.
• Расследование: продолжается; ВВС подтвердили факт конференц-связи.

• Пилот F-35 40 минут кружил над базой, участвуя в зум-конференции с инженерами из-за отказа шасси и «режима наземной работы», который ПО включило ошибочно.
• Инженеры не вспомнили о бюллетене Lockheed Martin 2024 г., где описывались аналогичные проблемы в холод; второй «touch-and-go» вместо полной посадки привёл к потере управления и катастрофе.
• Участники обсуждали отсутствие ручного перекрытия режима «на земле» и высокую стоимость/недостатки F-35 (≈ $200 млн за штуку).
• Многие отметили, что катапультироваться опасно (до 30 % травм позвоночника), поэтому пилот старался спасти самолёт.

• Удалено: устаревшие устройства sga и xenfv; опция -no-user-config.
• Новые пометки: -machine dump-guest-core=on, query-cpus-fast, query-cpu-definitions – deprecated.

Архитектуры

• 68k: поддержка q800 и macos9.
• ARM: новые SoC imx8mn, stm32h735, xlnx-zynqmp-ep108; машины mps3-an547, raspi5; эмуляция FEAT_SVE2, FEAT_MTE2, FEAT_LSE2.
• RISC-V: добавлены zacas, sstc, svadu, smstateen; машины spike-1.11, microchip-polarfire.
• x86: AMD SEV-SNP, Intel AMX, AVX-VNNI; KVM-TCG совместимость.

Устройства

• ACPI: поддержка SRAT для NVDIMM.
• Audio: Intel HDA теперь 24-бит.
• Block: virtio-blk/SCSI – discard=unmap, write-zeroes=unmap.
• Graphics: virtio-gpu – 3D, virglrenderer 1.0.
• NVMe: CMB, PMR, ZNS.
• PCIe: SR-IOV, ARI, ATS, PASID.
• USB: xHCI – USB 3.2 SuperSpeed+.

Прочее

• Multi-process: x-vhost-user-fs и vhost-user-vsock теперь в отдельном процессе.
• Сеть: vhost-vdpa – offloading checksum/TCP.

• QEMU хвалят за «волшебную» надёжность и богатые интеграции, особенно при редкой потребности в эмуляции других архитектур.
• Появление экспериментальной сборки в WASM открывает новые онлайн-песочницы для разных CPU.
• KVM ускоряет работу за счёт аппаратной виртуализации: вторичные таблицы страниц, переключение контекста и обработка trap’ов.
• QEMU стал стандартом для разработки новых ОС благодаря удобной отладке без реального железа.
• На macOS/iOS UTM и QuickEMU делают запуск ВМ почти одной командой.
• Android-виртуализация поддерживается: официальный Cuttlefish и образы Android-x86 работают поверх QEMU.

Monodraw — редактор ASCII-графики для macOS (11 Big Sur+).
Пробная версия бесплатно, лицензия — $9.99, скидки для учебных заведений.

Возможности

• Диаграммы: структуры данных, алгоритмы, ER-диаграммы (нотация «Crow’s Foot»).
• Mind-map: свободное размещение текста на бесконечном холсте.
• Баннеры: 148 встроенных шрифтов FIGlet, изменение размера и выравнивание.
• Инструменты: прямоугольники, линии (ортогональные, лестницы), текст, карандаш, ластик, заливка, пипетка.
• Точки крепления: линии автоматически цепляются к фигурам.
• CLI: генерация документации в хуках Git, экспорт JSON.
• Группы, направляющие, фокус-режим, горячие клавиши для быстрой работы.

Экспорт: PNG, SVG.

• Пользователи делятся списком бесплатных онлайн-инструментов для ASCII-рисования, но большинство хвалит Monodraw за его чистый результат и удобство.
• Разработчик Milen подтверждает присутствие и отвечает на вопросы; приложение активно обновляется (последний релиз — апрель 2025).
• Monodraw используют для inline-документации, схем сетей, баннеров серверов и даже дизайна кухни; экспорт в текст и обратно работает без потерь.
• Главные плюсы: единоразовая лицензия $9.99 без DRM, нативное качество macOS, «ретро-эстетика».
• Главные минусы: macOS-эксклюзив, нет цвета, вопросы о доступности для скринридеров.

• Суть изменения: начиная с версии Word 2509, все новые документы по умолчанию сохраняются в OneDrive или другом облаке.
• Плюсы от Microsoft: документ не потеряется, доступ с любого устройства, совместная работа, безопасность.
• Минусы: не все хотят хранить файлы в облаке из-за конфиденциальности.
• Как отключить:
  1. Файл → Параметры → Сохранение.
  2. Снять «Автосохранение в облаке по умолчанию».
  3. Включить «Сохранять на компьютер по умолчанию» и задать путь.
• Дополнительно: новые файлы получают имя по дате; при закрытии Word предложит переименовать или выбрать место.
• В будущем: такое же поведение появится в Excel и PowerPoint.

• Пользователи массово переходят на Linux из-за всё более навязчивой политики Microsoft: автосохранение в OneDrive, встроенный Copilot и сбор данных.
• Многие отмечают, что современные дистрибутивы (Kubuntu, Fedora) «из коробки» работают лучше Windows, включая игры, HDR и аудио.
• Корпоративные и чувствительные отрасли (юристы, медики, госструктуры) опасаются утечек и нарушения контрактов из-за автоматической синхронизации в облако.
• Часть комментаторов считает, что Google Docs уже «облачно» по умолчанию, и Microsoft просто догоняет; другие видят в этом потерю контроля и конфиденциальности.
• Люди делятся советами: LibreOffice для простых документов, LaTeX для точной верстки, блокировка URL на роутере и полный отказ от Windows на рабочих и домашних машинах.

Проблема: GitHub в Safari работает крайне медленно.
Описание: Страницы грузятся по 5–10 сек, анимации подвисают, прокрутка «рыхлая». В Chrome и Firefox всё нормально.

Версии:

• Safari 17.5 (macOS 14.5)
• Safari 16.6 (macOS 13.6) – та же картина

Что пробовали:

• Очистить кэш и куки
• Отключить все расширения
• Переключить DNS (Cloudflare, Google)
• Сменить сеть (домашний Wi-Fi, мобильный интернет)
• Включить/выключить «Разработка → Использовать WebKit Nightly»

Результат: ничего не помогло.

Симптомы:

• В Activity Monitor процесс «Safari Web Content» грузит CPU до 100 % при открытии любой страницы GitHub.
• В инструментах разработчика видно, что 80 % времени уходит на «Rendering».

Временное решение:

• Переключиться на Chrome/Firefox.

Просьба: Проверьте, не сломали ли вы что-то в CSS/JS для WebKit.

• GitHub стал критически медленным: даже простые действия (выбор ветки, поиск, просмотр PR) подвешивают вкладки на десятки секунд.
• Пользователи называют причины: переход на React/SPA, отказ от SSR, огромное количество DOM-узлов (>100 000) и «feature-mill» культура в больших компаниях.
• Проблема затрагивает все браузеры и даже топовые ноутбуки; старые машины и Safari вообще перестали тянуть GitHub.
• Аналогичные жалобы звучат о GCP, Stripe, Jira — «современные» JS-интерфейсы превращают суперкомпьютеры в калькуляторы 90-х.
• Некоторые команды уже отказываются от веб-интерфейса GitHub и мёржат напрямую в ветки, игнорируя PR.

• Дания вызвала главу американской дипмиссии после сообщений о «скрытой операции» в Гренландии, целью которой называют продвижение отделения острова от королевства и перехода под контроль США.
• Министр иностранных дел Ларс Лёкке Расмуссен назвал любое вмешательство «неприемлемым»; разведка предупреждала о кампаниях влияния.
• Трамп неоднократно заявлял о желании аннексировать Гренландию; вице-президент Вэнс обвинил Копенгаген в недофинансировании территории.
• Дания остаётся союзником США по НАТО и ЕС, но датчане шокированы намерениями Вашингтона.

• Датские СМИ сообщают о приостановке ветропарка Ørsted у Род-Айленда и намекают на скрытое давление США в Гренландии.
• Участники обсуждают, что администрация Трампа ведёт себя как «банкротящийся бизнес» и превращает США в «изолированное государство-изгой».
• Многие считают, что «вернуться к норме» уже невозможно: 77 млн избирателей поддержали курс, а остальные промолчали.
• Предлагаемые выходы: усилить европейскую оборону Гренландии, разорвать связи с США или готовиться к вооружённому противостоянию в 2029 году.

Therac-25: катастрофа, о которой должен знать каждый разработчик

21 марта 1986 г. в онкоцентре Восточного Техаса оператор установила пациента под 25-мегаэлектронвольтный пучок Therac-25. После лазерной привязки она повернула поворотный столик в положение «электронный режим», ввела параметры и нажала «Ввод». Машина выдала ошибку «MALFUNCTION 54» и остановилась. Оператор, привыкшая к частым глюкам, нажала «П» (продолжить) — стандартный шаг в инструкции.

Через секунды пациент вскрикнул: «Вы меня сожжёте!» Он получил дозу в сотни раз выше нормы, эквивалентную взрыву гранаты в теле. Через 21 день он умер от радиационных ожогов.

За 18 месяцев случилось ещё пять подобных инцидентов: трое погибли, двое получили тяжелейшие травмы. Причина — баг в коде: гонка между потоками ввода и механическим поворотом столика. Если оператор успевала изменить параметры до окончания поворота, программа «забывала» установить ограничитель и выдавала 25 МэВ электронов вместо 200 кэВ рентгеновского излучения.

Компания-изготовитель AECL отрицала проблему, пока не столкнулась с неопровержимыми доказательствами. Расследование показало:

• отсутствие независимого контроля безопасности;
• игнорирование жалоб;
• инструкции, учившие игнорировать ошибки.

Therac-25 стал учебным примером: безопасность должна быть встроена, а не добавлена «потом».

• Качество ПО — результат процесса, охватывающего разработку, тестирование, управление, продажи и сервис.
• Инцидент Therac-25 показал, что полное доверие к ПО без «железных» блокировок может быть смертельно опасным.
• Участники опасаются повторения трагедии с AI-агентами, которых уже подключают к реальному оборудованию.
• Многие разработчики до сих пор не изучают Therac-25 в курсах по этике/безопасности.
• Главный урок: «ПО не может быть неправильным» — опасное заблуждение; любое ПО может убить, если пренебречь процессами.

• Учёный из Climate & Development Lab Брауновского университета опубликовал отчёт, в котором показал: антиветровые организации финансируются нефтяной индустрией и связаны с юридическими фирмами, лоббирующими интересы ископаемого топлива.
• Эти группы распространяют дезинформацию, чтобы замедлить развитие дешёвой морской ветроэнергетики и сохранить зависимость США от нефти и газа.
• После публикации исследования учёного начали преследовать: нефтяные структуры пытаются заглушить критику и помешать дальнейшим расследованиям.

• Участники обсуждают, что нефтяные компании финансируют «общественные» группы, чтобы саботировать ветроэнергетику через суды и пропаганду.
• Приводятся аргументы противников ветряков: «портит вид», «убивает птиц», «шум», «нестабильная сеть»; многие считают их надуманными.
• Сторонники ветра отвечают: ущерб природе временный и обратимый, а после демонтажа землю можно вернуть экосистеме.
• Упоминаются примеры Дании, Германии, штатов США, где ветер уже даёт 30-50 % электроэнергии без коллапса сети.
• Участники сетуют на NIMBY-отношение, лоббизм и то, что «кризис» выгоднее политикам, чем реальное решение.

Неприятные вопросы о верификации Android-разработчиков

Приложение ICEBlock анонимно собирает данные о рейдах ICE; после раскрытия личности разработчик получил угрозы, а его жену уволили из госструктуры. Это показывает, что анонимность бывает жизненно важна.

Вопросы к Google по новой программе верификации разработчиков:

1. Анонимные разработчики
   Как быть автору гипотетического Android-аналога ICEBlock («ICE Scream»), который по опыту ICEBlock вынужден скрывать личность?

2. Экспертиза гражданского общества
   С какими организациями (EFF, AccessNow и др.) Google консультировалась и какие изменения внесены?

3. Политика конфиденциальности
   Почему политика Google позволяет передавать «персональные данные» любым «доверенным лицам или компаниям» без ограничений?

4. Отладочные ключи
   С 2027 г. для разработки нужны debug-keystore, но они не входят в процесс верификации. Как тестировать на сертифицированных устройствах?

5. Дублирующиеся package-name
   В обучающих целях часто используют одинаковые package-name, но они запрещены. Как запускать примеры из книг и курсов?

Есть вопросы — заполните форму или пишите:

• гражданским организациям: dev.verification@commonsware.com
• самой Google: did.you.really.need.a.written.invitation@commonsware.com

• Участники резко критикуют Google за введение обязательной верификации разработчиков для сайдлоада, называя это «фашистским контролем», отказом от идеи открытого Android и шагом к полному закрытию экосистемы.
• Поднимается вопрос права собственности: «ты покупаешь устройство, но фактически арендуешь его у OEM», сравнения с запретом ставить любые шины на купленную машину.
• Люди боятся цепочки «сначала телефон, потом ПК», приводят примеры macOS Gatekeeper и даже ограничения мощности VW по подписке.
• Некоторые уже ищут выходы: LineageOS, PostmarketOS, «де-гугловские» китайские OEM, но признают проблемы с драйверами, SafetyNet и банковскими приложениями.
• Сторонники отмечают, что анонимная разработка важна для журналистов, активистов и просто безопасности разработчика, а требование раскрывать личность — удар по свободе ПО.

В декабре 2020-го Хектор Мартин запустил Asahi Linux, а я, работая над Panfrost, лишь хотел подсказать. В итоге купил Mac mini и начал реверсить GPU. Через пару недель нарисовал треугольник, потом — компилятор шейдеров, а после сессии за несколько дней поднял OpenGL-драйвер.

Год улучшал драйвер, пока игры не пошли под macOS. Параллельно Asahi Lina писала kernel-драйвер; в декабре 2022-го у нас впервые заработала графика в Linux.

В 2023-м, заканчивая универ, я решил:

• довести M1-драйвер до ума;
• сделать полноценный OpenGL 4.6 и Vulkan;
• запустить Proton-игры.

Через месяц после выпуска — OpenGL 3.1, затем ES 3.1. Добавил эмуляцию geometry/tessellation, в январе 2024-го сдал OpenGL 4.6. Vulkan 1.3 прошёл за пару недель, 1.4 вышел в день публикации спецификации. Karol Herbst добавил OpenCL 3.0. Подключил sparse-текстуры — заработал Direct3D 12 через Proton.

Цели выполнены: драйверы в Mesa, игры идут, миф о несовместимости Vulkan с Apple развеян.

• Alyssa за 5 лет с 18 до 23 «спидранула» полный Vulkan-драйвер для GPU Apple Silicon и завершила проект Asahi Linux.
• Участники восхищаются её техническим гением, дисциплиной и тем, как она вдохновила новое поколение reverse-engineer’ов.
• С августа она работает в Intel над open-source драйверами Xe-HPG — «новое испытание» после «mic drop» в Asahi.
• Сообщество благодарит всю команду: Fedora Asahi Remix уже стал полноценным драйвером для повседневной работы и игр.
• Будущее Asahi: приоритет — upstream 1000+ патчей для M1/M2, поддержка M3/M4 пока не начата, но проект жив.