Hacker News Digest

Коротко: в NPM проникли популярные пакеты (colors, debug и др.) через фишинг письмо «смени 2FA». Вредоносный код подменял адреса криптокошельков.
Почему это мелко: библиотеки используются в CLI-утилитах, а не в Web3; украденные API-ключи или майнеры были бы катастрофой.
Вывод: любая зависимость может быть трояном, но проверять всё дерево пакетов никто не успевает — надо успевать релизить.

• Атака на NX через NPM показала, что даже популярные плагины могут стать вектором для кражи creds и API-кейсов.
• Участники сходятся: «всё дерево зависимостей NPM по умолчанию доверяет всем», а ручная проверка каждой мелкой библиотеки невозможна при скорости релизов.
• Многие выжили лишь благодаря «отложенным обновлениям», изоляции в контейнерах или отказу от экосистемы Node/NPM целиком.
• Фишинг на домене npm.help подтвердил, что даже IT-специалисты не всегда замечают поддельные TLD; предлагают белые списки ссылок и DMARC-индикаторы в клиентах.
• Утверждение «мы просто не заметили более продвинутые атаки» звучит всё чаще: Jia Tan 3.0, по мнению комментаторов, уже где-то в supply-chain.

Новый экспериментальный JSON-API в Go

Go 1.25 предлагает encoding/json/v2 и encoding/json/jsontext — переработанные пакеты для работы с JSON. Они решают давние проблемы стандартного encoding/json и пока доступны только по флагу GOEXPERIMENT=jsonv2.

Главные недостатки старого API

• Неточности синтаксиса: принимает невалидный UTF-8, дублирует ключи, трактует числа как float64.
• Производительность: 2-3× медленнее современных альтернатив; каждый вызов тратит память на рефлексию.
• Гибкость: нельзя пропустить неизвестные поля, работать с потоковым JSON, получать исходный текст, сохранять порядок ключей, использовать сторонние типы.

Что нового в v2

• Три пакета
  – jsontext — низкоуровневое чтение/запись токенов, сохраняет формат.
  – json — высокоуровневый marshal/unmarshal, совместим с v1, но строже и быстрее.
  – jsontext можно использовать отдельно для потоковой обработки.

• Строгость
  UTF-8 проверяется, дубли ключей — ошибка, числа не теряют точность.

• Производительность
  Без рефлексии в hot-path, 2-3× быстрее, меньше аллокаций.

• Новые возможности
  Пропуск неизвестных полей, сохранение порядка, работа с any, доступ к сырому JSON, совместимость с v1 через теги.

Как попробовать

GOEXPERIMENT=jsonv2 go mod download

import "encoding/json/v2"

Фидбек приветствуется: golang.org/issue/71497.

• Вышел экспериментальный encoding/json v2: новый API, лучшая производительность, но спорные решения по nil-значениям.
• Часть пользователей рада росту скорости и модульному пакету jsontext; другие считают, что костыли с nil → null остались.
• Кто-то уже прогнал тысячи тестов — почти всё прошло; кто-то нашёл регрессию аллокаций. Авторы просят больше отзывов.
• Сравнения со сторонними библиотеками (Sonic, goccy) показывают выигрыш в CPU, но проигрыш в безопасности и поддержке ARM.
• Обсуждение выродилось в холивар: «почему за 15 лет JSON до сих пор не решён» vs «две v2 за всю историю — отличный результат».

• Результаты выпускников США по чтению и математике упали до минимума с 2005 г.
• Средний балл чтения: 285 (-3), математика: 152 (-2).
• 1/3 учеников не достигают базового уровня по обоим предметам.
• Пандемия усугубила разрывы по расовому и доходному признакам.

• Участники обсуждают стремительное падение успеваемости по математике и чтению в США: от закрытия школьных библиотек и массовых пропусков до «дистанционного» ущерба COVID-ёra.
• Главные виновники называются смартфоны/соцсети, размытая дисциплина, «day-care» вместо обучения и смещение ответственности с ученика на систему.
• Многие считают, что школы превратились в бесплатные ясли: родители не мотивируют, учителя тратят время на поведение, а выпускают почти всех ради статистики.
• Упоминается недофинансирование, низкие зарплаты педагогов и политика «не оставить ни одного на второй год», из-за чего страдают и сильные, и слабые ученики.
• Часть комментаторов добавляет демографию, кризис семьи, замену фоники на «three-cueing» и влияние миграции, но общий вывод: точной причины никто не знает, а денежные вливания сами по себе не спасут.

• Claude теперь генерирует Excel, Word, PowerPoint и PDF прямо в чате.
• Доступно для Max/Team/Enterprise, Pro — позже.

Как использовать:

1. Включить «Upgraded file creation» в Settings > Features > Experimental.
2. Загрузить данные или описать задачу.
3. Скачать готовый файл или сохранить в Google Drive.

Возможности:

• Очистка данных, анализ, графики, пояснения.
• Финмодели, трекеры, бюджеты с формулами.
• PDF → слайды, заметки → документ, счета → таблицы.

Claude пишет код в изолированной среде, превращая идеи в файлы за минуты. Начните с простых отчётов, затем переходите к сложным моделям.

• Клод получил «Code Interpreter»-режим: в песочнице устанавливает pip-пакеты и запускает Python, чтобы создавать/редактировать локальные файлы (XLSX, PDF, диаграммы и т.д.).
• У пользователей растёт недовольство надёжностью: артефакты «залипают», правки не применяются, модель часто «тупит» и тормозит даже у подписчиков Pro/Max.
• Часть комментаторов считает фичу полезным дополнением к аналитике, другие — пиаром «старого» функционала, а кто-то опасается всплеска малвари и фишинга.
• Конкуренты (ChatGPT, Copilot) уже умеют запускать код и отдавать zip-архивы, поэтому новинка воспринимается как догоняющий, а не прорывной шаг.
• Основной запрос сообщества: «Сначала почините стабильность и качество модели, потом добавляйте новые фичи».

• Нью-Мексико — первый штат США с бесплатным детским садом для всех с 1 ноября 2025 г.
• Убираются лимиты по доходу и родительские доплаты: экономия ≈ 12 000 $/год на ребёнка.
• Программа финансируется за счёт созданного в 2019 г. департамента раннего развития; расширена с 400 % уровня бедности до 100 % семей.
• Власти выделяют 12,7 млн $ на низкопроцентные кредиты и гранты поставщикам мест для младенцев и ясельной группы, чтобы закрыть нехватку мест.

• Новый Мексико запустил бесплатные ясли/детсады для семей с доходом до 400 % от черты бедности (≈$129 тыс на семью из 4 чел).
• Сторонники радуются: мамы выйдут на работу, экономия до $12 тыс на ребёнка, возможный рост ВВП и снижение бедности.
• Скептики спрашивают: кто платит? У штата долг $9,8 млрд и «D» по финансам; может не хватить 5 тыс. воспитателей и денег на зарплату $18/ч.
• Критики считают идею «платить чужим за воспитание» вредной: лучше давать пособие, чтобы родитель сам сидел дома в ключевые годы.
• Опыт Квебека и Скандинавии показывает, что универсальные ясли работают, но требуют высоких налогов и качественной сети центров.

• Пользователи обсуждают масштабную пересмотренную статистику занятости в США: за март 2024 – март 2025 добавили 902 тыс. «лишних» рабочих мест, что напоминает уровни 2008 г.
• Мнения раскололись: кто-то видит в этом признак стагфляции (рост безработица + инфляция), кто-то — политическую «подкрутку» данных после увольнения главы BLS при Трампе.
• Часть комментаторов обвиняет саму систему BLS: опросы компаний, годовые правки, отсутствие доступа к реальным данным Social Security делают отчёты ненадёжным и удобным инструментом манипуляций.
• Упоминаются подкасты Odd Lots и история Волкера 1980-х: рынки не верят в устойчивую инфляцию, но боятся, что ФРБ придётся снова «ломать» экономику высокими ставками.
• Практический совет «что делать простым людям»: держать деньги в кэше/маркет-фондах, покупать TIPS/I-bonds, не исключать недвижимость, но главное — готовиться к волатильности и дальнейшим ревизиям.

Google размывает спутниковые снимки Южной Кореи по требованию властей.

• Южная Корея заставляет Google размывать военные и другие «чувствительные» объекты, чтобы получить доступ к официальным картографическим данным.
• До сделки Google Maps почти не работал в стране: местные Naver/Kakao доминировали, а у Google не было лицензии из-за отказа хранить данные локально.
• Размытие касается только Google; спутниковые снимки без цензуры легко найти у других поставщиков, что делает требование символическим.
• В других странах применяются разные методы: подмена ландшафта (США), смещение координат (Китай), низкое разрешение или только blur (Франция, ЕС).
• Пользователи считают меры бессмысленными: туристы всё равно будут путаться, а «секретные» объекты и так видны у конкурентов.

Параллельная разработка с Claude Code: коротко

Запустил 3 агентов (product-manager, ux-designer, senior-engineer) одной командой — за минуту получил полный тикет в Linear.
Далее те же агенты кодят, ревьюят, тестируют в отдельных терминалах, пока я занят другим.
Ошибка стоит копейки — просто перезапускаю.

Ключевые принципы

1. Параллельность: backend, frontend, тесты, доки пишутся одновременно.
2. Специализация: каждый агент видит только нужный контекст (Stripe-интеграция, UI-форма, тесты).
3. Минимальные требования: чёткая цель + границы (/docs, /tests, /ui).

Как повторить

• Положи .md-инструкции для ролей в agents/.
• Один bash-скрипт: claude -p agents/pm.md & claude -p agents/dev.md & claude -p agents/qa.md.
• Результаты сливаются автоматом; если rate-limit — добавь sleep 1.

Готово: спеку, код и тесты получаешь быстрее, чем пишешь Jira-таск.

• Подавляющее большинство участников считают «ролевых» суб-агентов (product-manager, frontend, backend и т.д.) маркетинговым трюком: они не получают полного системного промпта и CLAUDE.md, быстро теряют контекст, пишут «моки» или ломают уже рабочий код.
• Практический итог: вместо ускорения появляется «казино» — много запусков, загрязнённый контекст, регрессии и перерасход токенов; проекты приходится переписывать вручную.
• Кто всё-таки использует суб-агентов, делает их не «по ролям», а «по задачам»: короткий запрос → агент жрёт много токенов → возвращает компактный отчёт (покрытие тестами, соответствие гайдам, рефакторинг-чек-лист), чтобы основной чат не засорять.
• Альтернатива — уйти от чёрного ящика: Tmux + два独立的 CLI-агента в соседних панелях, ручной синх через файлы или GitHub-issues; так проще остановить и подправить.
• Общий вывод: для реального кода достаточно обычного Claude Code с хорошим промптом, правилами в /commands и лаконичным CLAUDE.md; «мульти-агент» пока не приносит выгод, зато точно приносит лишние траты и головную боль.

**term.everything** — запускай любые GUI-программы прямо в терминале.  
Проект на GitHub: mmulet/term.everything  

**term.everything** — запускай любые GUI-программы прямо в терминале.  
Проект на GitHub: mmulet/term.everything  

• Проект запускает полноценные GUI-приложения (Wayland) прямо в терминале через escape-коды, чем восхищает и удивляет большинство комментаторов.
• Некоторые сравнивают с устаревшими трюками вроде Xvfb + sixel или вспоминают заброшенный Chromium-в-терминале Carbonyl.
• Находят практическое применение: удалённый доступ к браузеру/Discord при закрытых портах, CI-машины без VNC, аутентификация через Firefox по SSH, запуск VSCode с iPad.
• Вопросы и шутки: «Потребляет ли больше ресурсов?», «Запустит ли DOOM?», «Работает ли под X11?» (нет, только Wayland).
• Общий вердикт: «безумно круто», «бесполезно, но вдохновляет», «держу в закладках на чёрный день».

Государства превратили Google и Facebook в оружие пропаганды.
В конце 2024 г. глава агентства ООН по помощи Газе обнаружил: поиск «UNRWA» в Google выдаёт на первом месте платное объявление Израиля, копирующее сайт ООН, но ведущее на правительственную страницу с обвинениями в поддержке терроризма. Комиссар Филипп Лазарини назвал это «информационным оружием» и потребовал регулирования.

Как работает схема

• Рекламные кабинеты Google и Meta позволяют точно таргетировать аудиторию по ключевым словам, геолокации, интересам и демографии.
• В отличие от обычных постов, реклама гарантированно показывается миллионам, если кто-то платит.
• Платформы запрещают дезинформацию и «опасный контент», но правила обходятся: ключи пишутся с ошибками, лендинги маскируются под СМИ, а «политическим» считается только объявление, поданное внутри страны.

Кейсы

1. Израиль – Газа 2024: десятки поисковых объявлений дискредитируют UNRWA, Human Rights Watch и Bellingcat; CTR до 18 %, бюджеты – сотни тысяч долларов.
2. Россия – 2016 и далее: фабрика троллей покупает рекламу на Facebook, YouTube и Google, раскалывая американских избирателей по расовым и оружейным темам.
3. Филиппины – 2022: дезинформация против журналистов Рапплер финансировалась государственным фондом; объявления показывались только жителям Манилы.
4. США – 2020: кампания Трампа и республиканцев запускает «Stop the Steal»-рекламу до и после выборов, обходя собственные же запреты Facebook на «преждевременные итоги».

Почему пропускают

• Деньги: политика и кризисы – высокооплачиваемые темы.
• Масштаб: 8 млн активных рекламодателей в Google, 10 млн в Meta; модерация – автоматическая + аутсорс.
• Юрисдикция: законы о «политической» рекламе действуют внутри стран, а кампании часто запускаются из-за рубежа.
• Прозрачность: библиотеки объявлений не показывают таргетинг и бюджеты в реальном времени.

Последствия

• Подрыв доверия к независимым организациям и СМИ.
• Рост насилия и поляризации на местах.
• Искажение исторической памяти: поиск «Холокост» уже выдаёт рекламу отрицающих.

Что делать

1. Платформы: расширить категорию «политика» до любого государственного заказчика; показывать полный таргет и бюджет; вводить «кулдаун» перед публикацией спорных объявлений.
2. Регуляторы: требовать предварительного уведомления о крупных кампаниях (>50 тыс. долл.), как это сделано для ТВ.
3. Пользователи: ставить блокировщики рекламы, проверять лендинги через WHOIS, жаловаться на заведомо ложные объявления.

Итог
Пока рекламные алгоритмы остаются прибыльной «серой зоной», поиск и соцсети будут продолжать превращаться в поле боя, где побеждает тот, кто заплатит больше.

• Участники обсуждают, как Google и Meta становятся каналами для государственной пропаганды, включая Израиль и Венгрию, и почему это опасно.
• Одни считают, что реклама = пропаганда, платформы не несут ответственности, а значит — блокируй всё.
• Другие предлагают регулировать платформы, но опасаются, что следующий авторитарный лидер возьмёт рычаги в свои руки.
• Третьи напоминают: корпорации просто идут туда, где деньги и власть, независимо от «прогрессивных» лозунгов.