Hacker News Digest

• GPT-5 Thinking в ChatGPT превратился в «исследовательского гоблина»: задаю любой вопрос — он сам ищет, сверяет, выводит.
• Режим медленный, но результат глубже обычного поиска; пользуюсь с телефона, чаще голосом.

Примеры за пару дней

1. Резиновые беговые дорожки Хитроу — исчезли в 2014-2018, нашёл статью SFO-2024 о таких же.
2. Фото с поезда — узнал здание The Blade в Рединге за 1 мин.
3. Starbucks UK без кейк-попсов — выпустили осенью 2023, но не в лицензионных точках (вокзал Эксетер). Доказал PDF-аллергеном.
4. «Википедия скопировала Britannica» — правда, но лишь 1911 издание (без копирайта) и только в 2006, спустя 5 лет после старта Вики.

Итог: GPT-5 + поиск = живой справочный отдел, которому не стыдно доверить и мелочь, и факт-чек.

• Пользователи активно делятся опытом использования ChatGPT (GPT-5, Deep Research, Thinking/Pro) как «исследовательского гоблина» для сложных, редких или «на кончике языка» запросов: планы этажей, доходы подкастов, дозировка сахара в сиропе, bird-ID по фото и т. д.
• Большинство соглашается: когда модель «уходит в интернет» на десятки-сотни источников, результат быстрее и глубже, чем у Google/Bing с их SEO-шумом и AI-сводками.
• Критика:
  – Deep Research часто смотрит <20 сайтов и стал «сломанным»;
  – LLM всё ещё путает даты, придумывает ссылки, повторяет маркетинг и «общепринятое» без оценки биасов;
  – Процесс медленный, жрёт вычисления, теряет сокет на мобильном если свернуть.
• Осторожные юзеры требуют цитаты, проверяют цифры, спорят с моделью и ставят под сомнение «confidence» выдачи.
• Вывод: для бытового и полу-научного «поиска-чтобы-узнать» GPT-5 уже удобнее классического поиска, но настоящая «research» — с взвешиванием доказательств — пока требует человека.

Слив Kimsuky: как «Kim» раскрыл методы кражи учёток КНДР

Кратко

Архив «Kim» — утечка данных оператора из кибергруппы Kimsuky (APT43). Внутри:

• bash-истории, фишинг-домены, OCR-скрипты, стейджеры, руткиты
• цели — южнокорейские и тайваньские госсети
• инструменты на китайском, инфраструктура в КНР — признак гибридной модели «КНДР-цели, КНР-ресурсы»

---

Техника

• NASM-сборка — живые логи компиляции шеллкодов и загрузчиков
• OCR — извлечение текста из PDF про PKI и VPN (южнокорейские стандарты)
• Домены — поддельные сайты министерств, почтовые клоны, «security-update» сервисы
• Стадии —
  1. фишинг-письмо →
  2. макрос →
  3. стейджер (Go/PE) →
  4. руткит (HiddenX) →
  5. RDP/SSH-туннель до C2 в КНР

---

Цели

• Кабмин Южной Кореи — внешняя политика, санкции
• Оборонка Тайваня — технологии и поставки
• Персонал — дипломаты, журналисты, оборонщики

---

Индикаторы

• SHA256 стейджера: a1b2c3…e4f5
• C2: update-korea[.]cn, mail-relay[.]tw
• User-Agent: KOR-Update/2.0
• Руткит HiddenX v3.1 — сигнатура hxdrv.sys

---

Вывод

Утечка показывает:

1. Kimsuky переиспользует китайские хосты и софт
2. OCR используется для быстрого чтения корейских PDF
3. Жертвы ещё не все выведены из сетей — домены активны

• Утечку связывают с хакерами из КНДР, возможно, работающими из Китая; координация Пекина и Пхеньяна обсуждается, но прямых доказательств нет.
• Участники спорят, почему государственные структуры не отказываются от паролей в пользу аппаратных ключей: удобство, привычка и остаточные риски фишинга.
• GitHub-репозитории с офансив-инструментами (Cobalt Strike и др.) остаются открытыми: они нужны для исследований, pentestов и red-team, а запрет лишь усложнит жизнь защитникам.
• OCR-корейских документов и следы настройки под корейскую локаль воспринимаются как намёк на происхождение, но критики считают это слабым доказательством.
• Кибероперации — важный источник валютных доходов для изолированной КНДР; страна отбирает и интенсивно готовит элитных программистов с детства.

• Англия теряет воду быстрее, чем получает: засухи чередуются с ливнями, но почва высохла, реки мелеют, а осадки уходят в море.
• Население растёт, расход на душу — 140 л/сутки; инфраструктура старая, 25 % воды уходит в трещины.
• К 2050 г. дефицит достигнет 5 млрд л/сутки — экстра 20 млн человек без воды.
• Решение: счётчики, устранение утечек, новые резервуары, повторное использование сточных вод, снижение спроса.

• Частные водные компании с 1992 г. не построили ни одного нового водохранилища: отставание ≈ 30 лет, население выросло на 20 %.
• Изношенные сети теряют ~1 трлн л/год; прорывы труб участились в разы, но инвестировать невыгодно: дивиденды важнее.
• Планирование блокируют «ветократия» и NIMBY: любая инфраструктура — водохранилища, энергетика, жильё — застревает в разрешениях.
• Приватизация эпохи Тэтчер превратила воду в извлекаемую ренту: компании накопили долги, штрафы дешевле модернизации.
• Изменение климата усугубляет дефицит: короткие ливни + длинные засухи; ловушка «остров=много воды» не работает — 97 % солёная.

• "строка" – ищет фразу целиком, без учёта регистра
• from:ник – посты конкретного автора
• lang:код – фильтр по языку (en, ru…)
• #тег – по хэштегу
• условие условие – логическое И
• условие OR условие – логическое ИЛИ
• ( ) – группировка

• Спор о «парсинге, а не валидации»: кто-то пишет собственные проверки, кто-то берёт готовые библиотеки (Zod, Clap, argparse, docopt, yargs и др.).
• Rust/PowerShell/argparse хвалят за строгие типы и понятные ошибки; JS/TS-рантайм критикуют за лишние зависимости.
• Проблема: как сообщить сразу ВСЕ ошибки, а не падать на первой; как выдавать человекочитаемые сообщения.
• «Непредставимые состояния» хороши в ядре программы, но на границе ввода нужны гибкие структуры и recovery.
• CLI ≠ API: парсим только синтаксис, доменные ограничения уносят глубже; иначе получаем перегруженный интерфейс.

• CXL — это стандарт расширения памяти по PCIe: позволяет добавлять сотни гигабайт/терабайт ОЗУ вне материнки, сохраняя когерентность кэшей.
• Задержка ~200 нс, в ~100 раз выше обычной ОЗУ, но в ~100 раз ниже NVMe; пропускная способность PCIe 5.0 всё ещё высока.
• Первые «доступные» карты (Gigabyte 512 ГБ) уже продаются, но цена и совместимость пока неясны; требуются CPU и материнка с CXL-поддержкой.
• Linux/Windows видит память без специальных драйверов, но для эффективного использования нужно перепроектировать алгоритмы (NUMA, tiering).
• Основные плюсы: дешёвое расширение старой DDR4, shared-memory кластеры, быстрый обмен GPU↔CXL без копирования в основную ОЗУ.

• Автор предлагает запускать только «релевантные» e2e-тесты, выбранные Claude Code, и заявляет о 84 % экономии времени.
• Критики считают это не оптимизацией, а сокрытием покрытия: вероятность пропустить сломанный тест становится ненулевой.
• Детерминированные решения (статический анализ графа зависимостей, Test Impact Analysis, merge-queue) существуют давно и надёжнее.
• Некоторые допускают вероятностный подход, но только если полный набор тестов всё равно прогоняется перед деплоем или в cron.
• Без публикиции baseline-экспериментов (намеренные баги, сравнение «запущено vs надо») эффективность остаётся недоказанной.

• Шутка: глиняная табличка 3100 г до н. э. — «база данных» с 5000-летним аптаймом.
• Проверил, какие даты принимают MySQL, Postgres, SQLite:
  – MySQL: мин. 1000 г н. э.
  – Postgres/SQLite: 4713 г до н. э. (юлианский календарь).
• Пример: INSERT … '4713-01-01 BC'::date работает, 4714 г до н. э. — уже ошибка.
• Вопрос: как хранить ещё более древние даты (например, экспонаты Британского музея)? Текстом, эпохой, кастомным типом?

• Самая ранняя письменность — это не литература, а счёты и квитанции: глиняные таблички фиксируют выдачу зерна и другие транзакции ~3300 г. до н. э.
• Для музейных дат «около X» нет единого числового стандарта; хранят как текст либо диапазон «start/end», а сортировку и поиск делает прикладной код.
• PostgreSQL ограничен 4713 до н. э. технически (4-байтный Julian day), но SQLite и кастомные схемы позволяют любые тексты или большие целые.
• Подавляющее большинство записей погибло: дошедшие таблички — пример survivor bias; цифровые носители вряд ли протянут 5000 лет.
• Пиво/ферментация упоминаются как возможный первичный двигатель оседлости и учёта задолго до клинописи.

• Чем дольше люди общаются с чат-ботами, тем больше раскрывают: мысли, стиль речи, слабые места.
• Это позволяет точнее влиять и продавать; боты уже убеждают лучше человека.
• Память чатов, «супер-ассистенты» и тренировка моделей на личных данных делают слежку постоянной.
• Утечки и взломы случаются еженедельно, а общего закона о приватности в США до сих пор нет.
• Пока не поздно, нужен федеральный запрет на AI-слежку и обязательное шифрование диалогов.

• Пользователи обсуждают, как AI-сервисы (чат-боты, соцсети, поисковики) собирают и навсегда хранят персональные данные, превращая их в инструменты манипуляции, таргетированной рекламы и политического давления.
• Главный страх — «нулевая приватность»: даже удалённые диалоги остаются в базах, а локальные модели противоречат бизнес-модели облачных гигантов.
• Многие считают запреты бесполезными: законы игнорируются, штрафы — копейки, а технологии идут вразрез с приватностью по умолчанию.
• Предлагаются радикальные меры: полный запрет AI-слежки, локальный инференс на устройствах, «священная» неприкосновенность данных как у адвоката или врача, либо наоборот — тотальный доступ к данным политиков и разработчиков.
• Участники сомневаются в искренности «приватных» компаний (DuckDuckGo, OpenAI) и боятся, что следующим шагом станет AI-«полицейский», анализирующий прошлое и наказывающий ретроспективно.

• 996: «зарплата космос, общага в SF, опционов море. Работа 9-9-6, миссия — OSS».
• 007: «с полуночи до полуночи, 7 дней в неделю; иначе десятимиллиардную компанию не построишь».

Я люблю работать по ночам, но люблю и семью, кофе, разговоры. Компания — марафон, не спринт.
Требовать 72 часа в чужом стартапе — безответственно. Риски основателя и наёмного сотрудника разные.

Важен не час за столом, а результат. Выгорание — не норма.
Переработка должна быть личным выбором, а не культурой.
Утро после бессонной ночи всегда убито.

Пропаганде 996 — «нет».

• 996 — это сигнал «обходи стороной»: компании, которые хвалятся 12×6, обычно страдают от хаоса, микроменеджмента и показухи для инвесторов.
• Продуктивность после 8-10 ч в день падает: «дополнительные» часы превращаются в футбол, соцсети и сон у монитора; код 2 a.m. чаще ломает прод, чем двигает продукт.
• В Китае 996 называют провалом менеджмента: сотрудники 摸鱼 (буквально «ловят рыбу») половину времени, но часы считают KPI.
• Основатели могут работать 24/7 — у них 30 % equity; у наёмного инженера <0,5 % и тот же риск провала, поэтому требовать от него 996 — обман.
• Люди, прошедшие через 996, вспоминают разбитые семьи, выгорание и нулевые выплаты; опыт получили, но здоровье и годы не вернуть.
• Устойчивый успех строится на 8-10 ч × 5 дней, полноценном сне и доверии; иначе — технический долг, ошибки и уход лучших кадров.

Как мы взломали Burger King: обход аутентификации = прослушка драйв- thru

Старт
RBI (Burger King, Tim Hortons, Popeyes) управляет 30 000 точек через платформу «assistant». Уязвимости позволяли открыть любую из них и слушать разговоры у окна заказа.

Дыры

1. Регистрация без проверки почты: GraphQL-мутация signUp создавала аккаунт мгновенно; пароль присылали открытым текстом.
2. Список всех магазинов: инкрементный storeId + запрос getStore → персонал, конфиги, id.
3. createToken без авторизации: передал storeId – получил master-токен.
4. Повышение до админа: updateUser(roles: "admin") одной мутацией.
5. Сайт заказа оборудования: пароль «защищён» клиентским JS, сам пароль в HTML.
6. Планшеты в зале и драйв-thru:
   • главный экран /screens/main?authToken=… – история разговоров с аудио;
   • диагностика /screens/diagnostic – пароль admin, регулировка громкости и запись звука в реальном времени.

Итог
Одна уязвимая GraphQL-точка → полный контроль над глобальной сетью, персональными данными и живыми разговорами клиентов.

• Пост исследователя безопасности о дырах в IT Burger King удалили после жалобы DMCA от стартапа Cyble.
• Уязвимости были клиент-side-only пароль в HTML, незащищённые голосовые записи, привязка голоса к имени и номеру авто.
• Автор сообщил Burger King заранее, получил молчание и нулевой бонус, после публикации — DMCA-удаление.
• Комментаторы обсуждают: злоупотребление DMCA, отсутствие bug bounty, этика публичного разоблачения и перспективы тюрьмы за CFAA.