Hacker News Digest

Сводка Azure

• Инцидент: 06.09.25, 05:45 UTC – повреждены подводные кабели в Красном море; трафик Европа ↔ Азия идёт обходными путями, задержки выше нормы.
• Статус: команды перенаправляют нагрузку, ремонт займёт время; обновления ежедневно.
• Регионы: задержки возможны во всех европейских, азиатских и ближневосточных зонах; сервисы помечены «Information».
• Действие: следите за Azure Service Health в портале, настройте оповещения.

• С 05:45 UTC 6 сентября 2025 года из-за множественных повреждений подводных волокон в Красном море трафик между Азией и Европой идёт обходными путями, растёт задержка.
• Участники обсуждения не исключают умышленного повреждения, но официальной информации пока нет.
• Опытные инженеры уже перенаправляют потоки; сообществу выражают уважение и желают удачи в восстановлении.
• Пользователи напоминают, что обрывы в этом районе случаются регулярно — чаще всего виноваты якоря судов.

• Участники обсуждают прорыв в геотермальной энергетике: Fervo и другие компании (Quaise, Sage) делают EGS («усиленную» геотермальную систему) экономически конкурентоспособной вне традиционных геотермальных зон.
• Сверхглубокие скважины 2,5–4,5 км в Юте используют горизонтальное бурение и навигацию от EM-поставщиков; опыт нефтесервисных фирм США ускоряет проекты и снижает цену.
• Поддерживающие отмечают «практически безграничный» ресурс тепла недр (распад радиоактивных элементов + приливное трение) и возможность переиспользовать турбины старых ТЭЦ.
• Скептики напоминают об экологических рисках (оползни, ртуть, сероводород), сложном лицензировании и необходимости бурить ≥4 км для получения перегретого пара в большинстве регионов.
• Обсуждение завершается вопросами о конечной стоимости станции и сравнением с солнечной энергетикой, у которой нет «турбинного» ценового пола.

80 % защитных кремов не соответствуют заявленному SPF, показало исследование Гонконгского совета потребителей.
У 55 из 61 образцов реальная защита оказалась ниже надписи на упаковке; у 8 – в 2–3 раза. Это повышает риск ожогов, гиперпигментации и рака кожи.

Ключевые выводы

• Самые слабые результаты у «натуральных» и детских кремов.
• 23 % проб содержат потенциально вредные фильтры (оксибензон, октиноксат).
• Дешёвые средства (≈ 3 USD/30 мл) часто защищают лучше дорогих.

Советы покупателям

1. Выбирайте SPF 30–50, широкий спектр UVA/UVB.
2. Наносите 2 мг/см² (≈ 1 ч. л. на лицо) за 15 мин до выхода и обновляйте каждые 2 ч.
3. Комбинируйте с одеждой, головными уборами и тенью.

• Многие бренды не выдают заявленный SPF, поэтому пользователи советуют покупать SPF 50+ «с запасом» и чаще обновлять слой.
• Вместо крема предпочитают физическую защиту: широкополые шляпы, рубашки UPF 50+, тень и таймеры повторного нанесения.
• Часть участников доверяет только минеральным (цинковым) фильтрам, опасаясь гормональных и аллергенных химикатов.
• Скандал начался в Австралии (CHOICE 2025), но список «обманщиков» быстро стал мировым; конкретные марки приводят в комментариях.
• Регуляторов обвиняют в слабом контроле: штрафы должны получать производители, а не разбираться покупатели.

Слив Kimsuky: как «Kim» раскрыл методы кражи учёток КНДР

Кратко

Архив «Kim» — утечка данных оператора из кибергруппы Kimsuky (APT43). Внутри:

• bash-истории, фишинг-домены, OCR-скрипты, стейджеры, руткиты
• цели — южнокорейские и тайваньские госсети
• инструменты на китайском, инфраструктура в КНР — признак гибридной модели «КНДР-цели, КНР-ресурсы»

---

Техника

• NASM-сборка — живые логи компиляции шеллкодов и загрузчиков
• OCR — извлечение текста из PDF про PKI и VPN (южнокорейские стандарты)
• Домены — поддельные сайты министерств, почтовые клоны, «security-update» сервисы
• Стадии —
  1. фишинг-письмо →
  2. макрос →
  3. стейджер (Go/PE) →
  4. руткит (HiddenX) →
  5. RDP/SSH-туннель до C2 в КНР

---

Цели

• Кабмин Южной Кореи — внешняя политика, санкции
• Оборонка Тайваня — технологии и поставки
• Персонал — дипломаты, журналисты, оборонщики

---

Индикаторы

• SHA256 стейджера: a1b2c3…e4f5
• C2: update-korea[.]cn, mail-relay[.]tw
• User-Agent: KOR-Update/2.0
• Руткит HiddenX v3.1 — сигнатура hxdrv.sys

---

Вывод

Утечка показывает:

1. Kimsuky переиспользует китайские хосты и софт
2. OCR используется для быстрого чтения корейских PDF
3. Жертвы ещё не все выведены из сетей — домены активны

• Утечка показала координацию между КНДР и КНР в кибератаках; публичное обвинение может усложнить Пекину отрицание связей.
• Хакеры использовали известные GitHub-репозитории с офансив-инструментами (TitanLdr, Cobalt Strike и др.).
• Участники спорят: запрещать такие репо нет смысла — они нужны для pentest, red-team и научных исследований; запрет лишь скроет методы от защитников.
• Инфраструктура «двойного назначения»: то же ПО применяют и тестеры, и злоумышленники, поэтому «оборонительного оружия» не существует.
• Геополитика: китайская поддержка КНДР не новость и аналогична американской поддержке Южной Кореи; обсуждение быстро скатилось в политику.

• Автор предлагает запускать только «релевантные» e2e-тесты, выбранные Claude Code, и заявляет о 84 % экономии времени.
• Критики считают это не оптимизацией, а сокрытием покрытия: вероятность пропустить сломанный тест становится ненулевой.
• Детерминированные решения (статический анализ графа зависимостей, Test Impact Analysis, merge-queue) существуют давно и надёжнее.
• Некоторые допускают вероятностный подход, но только если полный набор тестов всё равно прогоняется перед деплоем или в cron.
• Без публикиции baseline-экспериментов (намеренные баги, сравнение «запущено vs надо») эффективность остаётся недоказанной.

• Шутка: глиняная табличка 3100 г до н. э. — «база данных» с 5000-летним аптаймом.
• Проверил, какие даты принимают MySQL, Postgres, SQLite:
  – MySQL: мин. 1000 г н. э.
  – Postgres/SQLite: 4713 г до н. э. (юлианский календарь).
• Пример: INSERT … '4713-01-01 BC'::date работает, 4714 г до н. э. — уже ошибка.
• Вопрос: как хранить ещё более древние даты (например, экспонаты Британского музея)? Текстом, эпохой, кастомным типом?

• Пользователи обсуждают, что самая древняя запись — это не «первая транзакция», а просто старейший сохранившийся квитанционный чек на глиняной табличке (около 3300 г. до н. э.).
• Подчёркивают: выживший артефакт — это не обязательно самый ранний пример; 99 % таких записей просто не дожили до нас.
• Музеи хранят даты как текст («около X», «до н. э.»), потому что точных календарей нет, и ISO-8601 для дат до 0001 г. требует договорённости сторон.
• Шутят, что письменность изобрели бухгалтеры, чтобы не спорить с «каренами» древности, а не для любовных писем.
• Сомневаются, что любая современная цифровая БД протянет 5000 лет без downtime.

• Чем дольше люди общаются с чат-ботами, тем больше раскрывают: мысли, стиль речи, слабые места.
• Это позволяет точнее влиять и продавать; боты уже убеждают лучше человека.
• Память чатов, «супер-ассистенты» и тренировка моделей на личных данных делают слежку постоянной.
• Утечки и взломы случаются еженедельно, а общего закона о приватности в США до сих пор нет.
• Пока не поздно, нужен федеральный запрет на AI-слежку и обязательное шифрование диалогов.

• Пользователи обсуждают, как AI и чат-боты становятся инструментами тотального наблюдения: записи разговоров, эмоциональные профили, ретаргетинг, политическое давление.
• Главный страх — «память» чат-ботов: всё, что вы сказали, хранится вечно и может быть использовано для манипуляций, рекламы или даже уголовных дел.
• Локальные модели и криптография называются единственным техническим способом сохранить приватность, но это идёт вразрез с бизнес-моделью облачных гигантов.
• Законы и штрафы не работают: нарушения рассматриваются годами, суммы оказываются копейками по сравнению с прибылью, а новые политики всё равно амнистируют нарушителей.
• Разработчики и компании продолжают внедрять AI-модерацию и AI-оценки (резюме, тесты, банки), хотя качество этих решений низкое и приводит к абсурдным блокировкам.
• Итог: приватность объявлена «мертвой»; единственный реальный выбор — кто именно будет смотреть: узкая элита или весь мир.

• 996: «зарплата космос, общага в SF, опционов море. Работа 9-9-6, миссия — OSS».
• 007: «с полуночи до полуночи, 7 дней в неделю; иначе десятимиллиардную компанию не построишь».

Я люблю работать по ночам, но люблю и семью, кофе, разговоры. Компания — марафон, не спринт.
Требовать 72 часа в чужом стартапе — безответственно. Риски основателя и наёмного сотрудника разные.

Важен не час за столом, а результат. Выгорание — не норма.
Переработка должна быть личным выбором, а не культурой.
Утро после бессонной ночи всегда убито.

Пропаганде 996 — «нет».

• 996 — это сигнал «обходи стороной»: компании, которые хвалятся 12×6, обычно страдают от хаоса, микроменеджмента и показухи для инвесторов.
• Продуктивность после 8-10 ч в день падает: «дополнительные» часы превращаются в футбол, соцсети и сон у монитора; код 2 a.m. чаще ломает прод, чем двигает продукт.
• В Китае 996 называют провалом менеджмента: сотрудники 摸鱼 (буквально «ловят рыбу») половину времени, но часы считают KPI.
• Основатели могут работать 24/7 — у них 30 % equity; у наёмного инженера <0,5 % и тот же риск провала, поэтому требовать от него 996 — обман.
• Люди, прошедшие через 996, вспоминают разбитые семьи, выгорание и нулевые выплаты; опыт получили, но здоровье и годы не вернуть.
• Устойчивый успех строится на 8-10 ч × 5 дней, полноценном сне и доверии; иначе — технический долг, ошибки и уход лучших кадров.

Как мы взломали Burger King: обход аутентификации = прослушка драйв- thru

Старт
RBI (Burger King, Tim Hortons, Popeyes) управляет 30 000 точек через платформу «assistant». Уязвимости позволяли открыть любую из них и слушать разговоры у окна заказа.

Дыры

1. Регистрация без проверки почты: GraphQL-мутация signUp создавала аккаунт мгновенно; пароль присылали открытым текстом.
2. Список всех магазинов: инкрементный storeId + запрос getStore → персонал, конфиги, id.
3. createToken без авторизации: передал storeId – получил master-токен.
4. Повышение до админа: updateUser(roles: "admin") одной мутацией.
5. Сайт заказа оборудования: пароль «защищён» клиентским JS, сам пароль в HTML.
6. Планшеты в зале и драйв-thru:
   • главный экран /screens/main?authToken=… – история разговоров с аудио;
   • диагностика /screens/diagnostic – пароль admin, регулировка громкости и запись звука в реальном времени.

Итог
Одна уязвимая GraphQL-точка → полный контроль над глобальной сетью, персональными данными и живыми разговорами клиентов.

• Пост исследователя безопасности о дырах Burger King (жёсткий пароль в HTML, клиентская «защита», съёмка без согласия) удалили после DMCA-жалобы от стартапа Cyble.
• Автор соблюдал «coordinated disclosure»: уведомил, дождался исправлений, но вознаграждения не получил и даже ответа — только тейкдаун.
• Комментаторы обсуждают злоупотребление DMCA: Cloudflare и многие хостеры сразу блочат сайт; при самостоятельном хостинге претензию получит провайдер.
• Подняты юридические риски: записывать звук в драйв-су может нарушать двустороннее согласие, а публикация PoC без официального баг-баунти — теоретически грозит CFAA.
• Общий вывод: корпорации экономят на безопасности и бонусах, но быстро применяют правовые рычаги, чтобы скрыть проблемы; исследователи получают только репутационные и юридические риски.

Qwen3 30B A3B Q40 на 4×Raspberry Pi 5 8 ГБ

• 30-миллиардная модель запущена на кластере из четырёх Pi 5.
• Использован формат Q40 (40% квантование), суммарно ~19 ГБ ОЗУ.
• Скорость генерации: 1,1 токен/с при 128-к контексте.
• Сеть — Gigabit Ethernet, трафик между узлами 200–300 Мбит/с.
• Питание: 5 В 5 А на каждую плату, общая мощность ≈ 60 Вт.
• Охлаждение: радиаторы + 30-мм вентиляторы, температура 60–65 °C.
• Проект полностью open-source, собран за 2 часа.

• На 4×Raspberry Pi 5 (≈500 $) кластер выдаёт 13 токен/с 30B-модели при Q4, уступая одному 32 ГБ x86-мини-ПК или M4-Mac mini (+100 $).
• Рост требует 2ⁿ узлов ≤ числа KV-голов модели; узлы синхронизируются по Ethernet без CUDA, используя тензорный параллелизм.
• Сетевой гигабит пока не узок, но дальнейшее увеличение узлов даст убывающий выигрыш из-за задержек.
• Поддержка моделей узкая (llama.cpp-совместимые), для MoE-подхода перспективнее, чем для плотных 30B.
• Дешевле и проще взять одну подержанную 32-64 ГБ MacBook под Asahi или добавить eGPU к ПК.
• Идея интересна как демонстрация «edge-AI» и для встраивания в offline-игрушки, но практичность пока низкая.

Disciplined-AI-Software-Development
Методика структурирует совместную работу с ИИ над кодом:

• убирает раздутость,
• фиксирует архитектуру,
• сохраняет контекст.

Контрольные точки и жёсткие ограничения не дают проекту съехать в хаос.

• Пользователи спорят, стоит ли погружать Claude-Code в тонны контекста: одни делают «глубокий research-цикл» (Gemini/GPT-5 → план → агент), другие считают это медленнее ручного кода.
• Работает только жёсткий pipeline: план → ревью плана → промежуточный код-ревью → тесты/линтеры → финальное ревью; полный автомат без человека проваливается.
• LLM заставили разработчиков наконец писать документацию, но сами агенты плохо планируют и «заплывут» по мере роста кодовой базы.
• Эффективность высока лишь при маленьких, чётко заскоупленных задачах: 10-минутный спецификация → 3 часа генерации → 85 % покрытие тестами; большие коммиты всё ещё быстрее делать вручную.
• Главный риск: технология убирает бюрократию, но не переносит человеческую ответственность; ошибки агента = ошибка конкретного разработчика.

• GitHub Copilot продолжает работать в штатном режиме, несмотря на постоянные жалобы сообщества на ошибки, утечки кода и нарушение лицензий.
• Пользователи критикуют качество сгенерированного кода, отмечают повторяющиеся уязвимости и требуют прозрачности обучения модели.

• GitHub/Microsoft навязывают Copilot повсюду: кнопки нельзя убрать, в настройках отключение не работает, счётчики «20 млн пользователей» получаются из принудительно включённых аккаунтов.
• Поток спама растёт: репозитории получают сгенерированные issue/PR и автокомментарии, которые блокируют автослияние; разработчики просят фильтр «без ИИ», но GitHub игнорирует самый популярный запрос в своём форуме.
• Люди уходят: кто-то мигрирует на GitLab, Codeberg или ставит self-host, кто-то переходит с VS Code на Emacs, чтобы избавиться от встроенного «помощника».
• Причина давления — не качество, а метрика и деньги: надо отбить инвестиции и показать рост перед конкурентами; если продукт был бы действительно полезен, его не пришлось бы впихивать силой.

• LLM «галлюцинируют» не потому, что «глупы», а потому что обучены предсказывать следующий токен, а не проверять истину.
• Задачи «сочини сказку» и «дай факт» конфликтуют: первая требует выдумки, вторая — точности; одна модель не может быть идеальной и в том, и в другом.
• Современные бенчмарки поощряют угадывание: «ошибка» считается лучше, чем «не знаю», поэтому модели учатся врать уверенно.
• Изменить можно, только поменяв функцию награды: штрафовать за уверенную ошибку и вознаграждать за честное признание неопределённости.
• Даже при таком подходе 100 % точности не будет: модель всё равно останется «сжатой» статистической картой знаний, а не их точной копией.

Rug-pull и вилки: кто кого в OSS

• В облаке всё решают гиганты (AWS, GCP, Azure); разработчики и пользователи — без прав.
• Компания-владелец проекта может «рвануть коврик»: сменить лицензию на закрытую, чтобы загнать облачных конкурентов.
• Пример: Elastic → SSPL, MongoDB → SSPL, Sentry → новая лицензия.
• Ответ — вилка (fork), но она требует людей и денег; без спонсора умирает.
• AWS форкнул Elasticsearch → OpenSearch: набрал контрибьюторов с нуля, теперь живёт.
• Puppet ушёл в Perforce и закрыл код → родилась OpenVox.
• Вывод: однокомпаночные проекты рискованны; выбирайте те, где власть распределена, или сразу готовьтесь вилковать.

• CLA = право перелицензировать → «rug pull» возможен; DCO такого не даёт.
• Elasticsearch, Redis, Mongo и др. перелицензировались не от банкротства, а чтобы ограничить конкурентов и поднять доход.
• Пользователи чувствуют «предательство»: проект начинали под FOSS-лицензией, привлекли вклад и клиентов, потом закрыли код.
• Форки (OpenSearch, Valkey) спасают, но требуют новой инфраструктуры и сообщества; большинство просто делают «снапшот» и уходят.
• Проблема устойчивости: без денег проект умрёт, но нынешняя модель дарения дарит прибыль крупным облакам, а не разработчикам.

Космический симулятор на Clojure  
Автор: Jan Wedekind

В 2017 г. увидев проприетарный Orbiter 2016, решил написать свой симулятор. Первые прототипы — на C и GNU Guile, потом перешёл на Clojure: immutable-данные, быстрые коллекции, многопоточность через atoms/agents/refs.

Сразу взялся за сложное: 3D-планета, атмосфера, тени, объёмные облака. Открыл «OpenGL Superbible», изучил исходники Orbiter (90 % кода — графика) и понял, что выбор верный.

**Зависимости**  
- Clojure  
- LWJGL: OpenGL, GLFW, Nuklear, STB, Assimp  
- Jolt Physics — коллизии и машины  
- Fastmath — матрицы/сплайны  
- Instaparse + Gloss — парсинг NASA PCK/DAF  
- Coffi — FFI  
- Malli — схемы, Progrock — прогресс, Claypoole — параллельные циклы и др.  

deps.edn для Linux:

```clojure
org.lwjgl/lwjgl {:mvn/version "3.3.6"}
org.lwjgl/lwjgl$natives-linux {:mvn/version "3.3.6"}
;; аналогично для opengl, glfw, nuklear, stb, assimp

Для Windows — отдельная ветка.

Атмосфера
Реализован precomputed scattering Брунетона: 2D-трансмиттанс, 2D-поверхностное рассеяние, 4D-Релея и Ми. Таблицы строятся численным интегрированием; высшие функции на Clojure интегрируют по сфере и отрезку. Пример интеграла по лучу:

(defn integral-ray
  "Интеграл функции f вдоль луча"
  [{::keys [origin direction]} steps distance f]
  (let [step (/ distance steps)
        pts  (mapv #(%2 %1) (range steps) (repeat step))]
    ;; …
    ))

Проект живёт 5 лет, код открыт (CC BY-SA).

• Пользователи восторженно встретили проект Jank, особенно его визуалы и использование Clojure без Unity/Unreal.
• Критики отметили: 90% кода — C++ (OpenGL, физика, коллизии), Clojure лишь «высокоуровневый» слой.
• Спор: «функциональный» ли код, если рендер и физика императивны; сторонники отвечают — важна логика приложения, а не движок.
• Сомнения, что indie-разработчики массово перейдут на Clojure/Jank: язык нишевой, производительность и JVM пугают.
• Практический совет: попробовать библиотеки ham-fisted, neanderthal для ускорения.

Скандал с кремами от загара потряс Австралию
В стране с самым высоким в мире уровнем рака кожи выяснилось, что популярные солнцезащитные средства не работают.
Рэйч, 34-летняя мать из Ньюкасла, всю жизнь избегала солнца и мазалась кремом каждый день, но всё равно получила базальноклеточный рак носа. Она узнала, что её крем не защищал, как заявлялось.

Тесты показали: часть кремов SPF 50+ фактически дают SPF 4–10. Проверки начались после жалоб, что люди обгорают, несмотря на «правильное» нанесение.

Правительство Австралии уже начало пересмотр стандартов и может ввести уголовную ответственность за обман.

• SPF-тесты до сих пор проводятся на людях: дорого, неточно, бренды «обманывают» (SPF 50 на деле 4).
• Пользователи удивлены: «обман» должен был вызывать ожоги, но многие не заметили.
• Австралия — мировая столица меланомы; «Slip-Slop-Slap» 44 года, но рак всё равно «норма».
• Люди недоверяют кремам: сложно наносить, смывается потом, «минералки» — дорогие и неэффективные.
• Виноваты слабый контроль и «инфлюенсеры», которые за деньги рекламируют любую «солнечную» муть.

GLM-4.5

• 355B параметров, 32B активных; 128K контекст; 96K выход
• MoE-архитектура, 15T токенов дообучения, RL-доработка
• Режимы: thinking (сложные задачи) и мгновенный ответ
• Инструменты, JSON, потоковый вывод, кэш контекста

GLM-4.5-Air

• 106B/12B, дешевле и быстрее, качество почти на уровне GLM-4.5

GLM-4.5-X / AirX / Flash

• X: максимум скорости и качества
• AirX: лёгкий + сверхбыстрый
• Flash: бесплатный, для кода и агентов

Ключевые умения
глубокое рассуждение, вызов функций, структурный вывод, поток, кэш.

• Пользователи тестируют китайскую модель GLM 4.5 и GLM 4.5 Air от Z.ai как дешёвую замену Claude Sonnet в Claude Code и RooCode.
• Модель показывает хорошие результаты в коротких задачах, но уступает по длине контекста и стабильности.
• Подозрения, что OpenRouter и другие поставщики могут отдавать квантованные версии, что портит качество.
• Политика приватности Z.ai разрешает вечное использование отправленного кода и промптов — кто-то напуган, кто-то считает это нормой.
• Документация и интеграция вызывают нарекания: нет чёткой инструкции для Claude Code, приходится использовать прокси-обёртки.