Hacker News Digest

Восприятие легальных спортивных ставок в США становится всё более негативным: 57% взрослых считают их вредными для общества, а 52% — для самих видов спорта. Всего за два года доля скептиков выросла на 10 процентных пунктов, несмотря на широкую доступность через мобильные приложения и рекламу.

Особенно обеспокоены молодые люди 18–29 лет, среди которых 42% видят негативное влияние ставок на спорт — это вдвое больше, чем в 2022 году. При этом 19% американцев признались, что делали ставки лично, а 8% делают это регулярно. Рост осведомлённости о легальных букмекерах не привёл к росту одобрения, что указывает на растущие опасения по поводу зависимости и честности соревнований.

• Популяризация азартных игр связана с утратой веры в социальные лифты и воспринимается как быстрый, но рискованный путь к успеху.
• Индустрия спортивных ставок агрессивно рекламируется, проникает в медиапространство и меняет восприятие спорта, вызывая раздражение у части аудитории.
• Основную прибыль букмекеры получают от небольшой группы зависимых игроков, что приводит к тяжёлым социальным последствиям: разорениям, разрушению семей и росту угроз в адрес спортсменов.
• Легализация азартных игр в США и Великобритании создала мощную индустрию, которую сложно регулировать из-за её масштабов и прибыльности.
• Обсуждение затрагивает этический конфликт между личной свободой и необходимостью защиты уязвимых групп от деструктивного влияния азартных игр.

Исследователь обнаружил уязвимость в CLI-клиенте 1Password (op), позволяющую злоумышленникам получать доступ к хранилищу паролей после однократного ввода мастер-пароля пользователем. Уязвимость была ответственно раскрыта через BugCrowd в октябре 2023 года, а публикация разрешена в январе 2024. Основная проблема — CLI остаётся авторизованным до перезагрузки системы, что создаёт риски в supply-chain атаках.

Два основных вектора атаки: через IDE-расширения и через инструменты разработчика. Например, вредоносное расширение темы или плагина может использовать авторизованный сеанс op для перечисления и эксфильтрации всех доступных хранилищ. Уязвимость подтверждена на последних версиях macOS с оболочками zsh и bash, подчеркивая важность осторожности при установке стороннего ПО.

• Пользователи выражают обеспокоенность тем, что CLI 1Password предоставляет полный доступ ко всем хранилищам после однократной аутентификации, что создает риск при выполнении недоверенных скриптов.
• Обсуждается, является ли это уязвимостью или ожидаемым поведением, так как при выполнении произвольного кода на машине пользователя злоумышленник может получить доступ к данным и другими способами.
• Отмечается, что ответственное раскрытие уязвимости было проведено через BugCrowd в октябре 2023 года, а публикация была авторизована только в январе 2024 года.
• В качестве меры защиты предлагается использовать отдельные сервисные аккаунты для CLI с ограниченным доступом только к необходимым секретам.
• Некоторые пользователи критикуют 1Password за использование устаревших версий Electron, что может вызывать проблемы с производительностью и безопасностью.

Parrot — это библиотека для языка Gleam, предоставляющая типобезопасный способ написания SQL-запросов. Она позволяет компилировать запросы на этапе разработки, выявляя ошибки в синтаксисе или типах данных до выполнения кода, что повышает надёжность приложений.

Библиография использует встроенные возможности Gleam для генерации корректного SQL, избегая распространённых проблем вроде опечаток в именах колонок или несоответствия типов. Это особенно полезно в проектах, где важна строгая статическая проверка и минимальное количество runtime-ошибок.

• Участники положительно оценивают sqlc и его порт для Gleam, отмечая преимущества использования чистого SQL с типобезопасностью.
• Обсуждаются ограничения SQL и ORM, в частности проблема композиции и динамических запросов, а также сравнение с другими инструментами (Kysely, PRQL, Django ORM).
• Несколько пользователей спрашивают, что такое Gleam, и получают разъяснения, что это типобезопасный язык для Erlang VM.
• Поднимается вопрос о кроссплатформенности запросов и поддержке разных СУБД, на который автор отвечает, что это зависит от возможностей sqlc.
• Сравниваются системы типов Gleam (статическая) и Elixir (gradual), отмечаются их ключевые различия и предпочтения.

Автор поднимает тревожный вопрос о возможности намеренного ослабления криптографических стандартов через процесс стандартизации в IETF. Он предполагает, что атакующие, включая государственные структуры вроде АНБ, могут лоббировать принятие уязвимых алгоритмов, маскируя это под законную стандартизацию. Это создаёт риски для безопасности данных, особенно в контексте постквантовой криптографии и гибридных схем.

В статье отмечается, что подобная практика может нарушать антимонопольное законодательство, если доминирующие игроки навязывают небезопасные решения. Автор призывает к повышенной бдительности и независимому аудиту предлагаемых стандартов, чтобы избежать повторения ошибок прошлого, таких как скандалы с Dual_EC_DRBG.

• DJB и другие критикуют предложение NSA отказаться от гибридного постквантового шифрования в пользу только PQ, видя в этом попытку ослабить стандарты безопасности.
• Участники выражают глубокое недоверие к NSA, ссылаясь на прошлые случаи ослабления стандартов (Dual EC, DES) и грязные методы агентства.
• Поднимаются вопросы о реальных целях NSA, поскольку технически подкованные цели и так используют гибриды, а за остальными можно следить через PRISM.
• Отмечается, что формальная жалоба DJB в IETF была отклонена, а процесс стандартизации подвергся критике за грубость и возможную ангажированность.
• Обсуждается, что даже частичное внедрение ослабленного стандарта выгодно разведке, так как увеличивает вероятность перехвата данных со временем.

• Обсуждение причин экстремальных аппетитов OpenAI к вычислительным мощностям: возможная стагнация технологии, требующая масштабирования для достижения AGI, или стратегия по захвату рынка.
• Скептицизм относительно заявленных планов масштабирования: непрактичность 20-кратного роста, риски создания пузыря и спекулятивный характер для привлечения инвестиций.
• Озабоченность экологическими и экономическими последствиями: рост цен на электроэнергию, дефицит компонентов и нагрузка на ресурсы планеты.
• Обсуждение бизнес-модели: необходимость опередить конкурентов (Google, Anthropic), возможный переход в B2B-сегмент или создание сервиса "слишком большого, чтобы обанкротиться".
• Сравнение с другими компаниями (DeepSeek, Qwen), которые создают конкурентоспособные модели с меньшими затратами, и вопросы эффективности использования вычислений.

Матричные ядра AMD CDNA3 и CDNA4 архитектур ускоряют матричные операции FMA для AI и HPC, особенно эффективны в смешанной точности: входные матрицы используют FP16, FP8 или FP4, а аккумулятор остаётся в FP32 для сохранения точности. На CDNA4 (MI355X) FP8 даёт 32-кратный прирост против FP32, а FP4 и FP6 — до 64-кратного, благодаря новым инструкциям с масштабированием блоков экспонент.

Низкоточные форматы, такие как E4M3 (FP8) или E5M2 (BF8), оптимизируют компромисс между диапазоном значений и точностью за счёт битов экспоненты и мантиссы. Например, E4M3FN представляет числа до ±448 с 3-битной мантиссой, а E5M2 — до ±57344 с 2-битной. Важно учитывать зарезервированные значения для NaN и бесконечностей, которые ограничивают рабочий диапазон.

• Радость по поводу увеличения публикаций об использовании аппаратного ускорения AMD для матричных вычислений и приветствие большего разнообразия в этой области.
• Критическое мнение о том, что архитектура GPU плохо подходит для матричного умножения из-за особенностей работы потоков и мультипроцессоров.
• Указание на то, что публикация исходит от сообщества, а не напрямую от AMD, и положительная оценка этого факта.
• Контраргумент о том, что матричное умножение не должно вызывать неэффективность выполнения на SIMT-архитектуре из-за ветвления.

Солнечный комплект за $912 позволяет самостоятельно установить автономную энергосистему без разрешений и согласований с коммунальными службами. Он работает в гибридном режиме: питается от солнца и аккумулятора, а при их истощении переключается на сеть. Система не передаёт энергию обратно в сеть, что делает её безопасной и не требующей пермитов. Подходит для арендаторов — панели размещаются без сверления отверстий, а всю установку можно забрать при переезде.

Комплект включает 1,2 кВт солнечных панелей (б/у), инвертор на 3 кВт с контроллером и функцией ИБП, а также литий-железо-фосфатный аккумулятор на 2,5 кВт·ч. Окупается за 4 года за счёт экономии на электричестве. Из минусов — необходимость прокладывать собственные кабели по дому, так как система не интегрируется в штатную проводку. Для мониторинга рекомендуется Solar Assistant вместо дорогих аналогов.

• Эксперты критикуют самодельную солнечную установку как потенциально пожароопасную из-за неправильного подбора сечения проводов, отсутствия заземления, предохранителей и испытаний на безопасность.
• Отмечается, что подобные системы уже давно существуют в виде готовых решений от таких компаний, как Bluetti, Jackery и EcoFlow, которые используют более безопасные технологии (LiFePO4) и имеют встроенные системы управления батареями (BMS).
• Обсуждаются юридические и страховые риски: установка может привести к отказу в выплате страховки в случае пожара и не соответствует электротехническим нормам (NEC).
• Предлагаются более безопасные альтернативы для достижения той же цели, такие как использование изолированных подсетей (subpanel), инверторов с режимом "нулевого экспорта" в сеть и автоматических переключателей (transfer switch).
• Исходный сайт с инструкцией был удален, что вызвало дискуссию о балансе между инновациями и необходимостью соблюдения правил безопасности.

LinkedIn allows you to write a recomendation, after submission it goes to the other person to approve. If you want to risk a little of your reputation to support another (and your employer doesn't prevent you from doing this) then its an easy way to help someone out I'm sure the

Великобритания продолжает попытки внедрить бэкдоры в шифрование для пользователей Apple, несмотря на глобальную критику. Власти настаивают, что доступ к зашифрованным данным необходим для борьбы с преступностью, но эксперты предупреждают, что это ослабит безопасность всех пользователей.

Такие меры могут подорвать доверие к технологическим компаниям и создать уязвимости, которыми воспользуются злоумышленники. Apple и правозащитные организации активно сопротивляются, подчёркивая, что бэкдоры не могут быть ограничены только «законным» доступом.

• Участники обсуждают требования правительства Великобритании к Apple о предоставлении доступа к зашифрованным данным пользователей (iCloud), включая отключение функции Advanced Data Protection.
• Высказывается обеспокоенность по поводу расширения государственного надзора и ущемления приватности, проводятся параллели с ситуацией в Китае и другими законами (PATRIOT Act, FISA).
• Обсуждается юридическая сторона: какие пользователи попадают под юрисдикцию UK, возможность Apple противостоять требованиям и роль правительства США в предыдущих спорах.
• Поднимается вопрос о доверии к производителям устройств и облачным сервисам, уязвимости перед принудительными OTA-обновлениями и необходимости независимого аудита безопасности.
• Некоторые пользователи связывают эти события с общим упадком и ужесточением законодательства в Великобритании, включая ограничение свободы слова и иммиграционную политику.

Microsoft 365 Copilot, несмотря на двухлетний агрессивный маркетинг и статус ключевого продукта Microsoft, демонстрирует катастрофически низкую коммерческую успешность. По данным из непроверяемых источников, на август 2025 года лишь 8 миллионов пользователей (1,81% от 440 миллионов подписчиков M365) оплачивают лицензии. Это соответствует примерно 2% adoption rate за два года — крайне слабому показателю для продукта, позиционируемого как революционный.

Основная причина провала — отсутствие воспринимаемой ценности: большинство пользователей не видят достаточной пользы, чтобы оправдать стоимость в $30 в месяц. Даже партнёры Microsoft, включая автора, вынуждены платить полную цену и отмечают, что Copilot уступает по эффективности более дешёвым альтернативам вроде ChatGPT Plus. Это ставит под вопрос финансовую состоятельность генеративного ИИ в корпоративном секторе.

• Низкое внедрение и критика функциональности Copilot: пользователи отмечают его бесполезность, ошибки, плохую интеграцию с данными компании (например, SharePoint) и уступающее качество по сравнению с ChatGPT/Claude.
• Проблемы с монетизацией и развертыванием: обязательная годовая подписка, сложная система биллинга и агрессивное навязывание функции (например, переименование клавиши) отпугивают пользователей и администраторов.
• Отдельные позитивные кейсы для не-технических пользователей: некоторые находят Copilot полезным для поиска документов, суммирования встреч в Teams и помощи в рутинных задачах, особенно в средах с ограниченным доступом к другим ИИ-инструментам.
• Путаница с брендом и стратегией: переименование Office в Copilot и ассоциация с продуктом для разработчиков (GitHub Copilot) вызывают неразбериху у пользователей.
• Восприятие как сырого продукта с потенциалом: мнения разделились — одни считают его провалом, другие ожидают улучшений в будущих версиях, особенно в таких приложениях, как Excel.