Hacker News Digest

В декабре 2020-го Хектор Мартин запустил Asahi Linux, а я, работая над Panfrost, лишь хотел подсказать. В итоге купил Mac mini и начал реверсить GPU. Через пару недель нарисовал треугольник, потом — компилятор шейдеров, а после сессии за несколько дней поднял OpenGL-драйвер.

Год улучшал драйвер, пока игры не пошли под macOS. Параллельно Asahi Lina писала kernel-драйвер; в декабре 2022-го у нас впервые заработала графика в Linux.

В 2023-м, заканчивая универ, я решил:

• довести M1-драйвер до ума;
• сделать полноценный OpenGL 4.6 и Vulkan;
• запустить Proton-игры.

Через месяц после выпуска — OpenGL 3.1, затем ES 3.1. Добавил эмуляцию geometry/tessellation, в январе 2024-го сдал OpenGL 4.6. Vulkan 1.3 прошёл за пару недель, 1.4 вышел в день публикации спецификации. Karol Herbst добавил OpenCL 3.0. Подключил sparse-текстуры — заработал Direct3D 12 через Proton.

Цели выполнены: драйверы в Mesa, игры идут, миф о несовместимости Vulkan с Apple развеян.

• Alyssa за 5 лет с нуля довела Vulkan-драйвер для Apple Silicon до upstream, чем вдохновила всё open-source-сообщество.
• Учёба, работа в Collabora и «хобби»-проект — комментаторы поражаются, как она всё успевала.
• С августа она в Intel и, судя по резюме, занимается open-source-графикой Xe-HPG.
• Многие жалеют, что она уходит из Asahi, но считают переход новым вызовом, а не «уходом».
• Появились вопросы о будущем Asahi на M3/M4 и о том, почему Apple не мешает проекту, в отличие от других.

Суть проблемы
В npm-реестр попали вредоносные версии пакетов Nx и связанных плагинов. Злоумышленники использовали временный доступ к npm-аккаунту @nxscope и опубликовали поддельные версии 19.8.0–19.8.2.

Затронутые пакеты

• nx
• @nx/angular, @nx/cypress, @nx/detox, @nx/devkit, @nx/esbuild, @nx/eslint-plugin, @nx/expo, @nx/express, @nx/jest, @nx/js, @nx/nest, @nx/next, @nx/node, @nx/playwright, @nx/plugin, @nx/react, @nx/rollup, @nx/storybook, @nx/vite, @nx/web, @nx/webpack, @nx/workspace

Что делать

1. Удалить вредоносные версии.
2. Установить официальные 19.8.3 или выше.
3. Проверить lock-файлы и CI на наличие подозрительных версий.

• Уязвимость в пакетах Nx: токен npm скомпрометирован, злоумышленники внедрили вредоносный код через post-install скрипты.
• Малварь ищет Claude Code / Gemini CLI и использует их как «живые» инструменты для поиска криптокошельков, ключей и других секретов.
• Участники советуют отключать npm-скрипты (ignore-scripts true), использовать Bun (по умолчанию не запускает скрипты), Verdaccio для вендоринга и инструмент vet для сканирования.
• Рекомендуют разрабатывать в изолированных контейнерах/VM (cubbi, bubblewrap, firejail) и пересматривать каждую зависимость вместо «npm install наугад».
• Основной вывод: современные цепочки поставок и AI-агенты создают новый вектор атак «prompt-as-malware», а операционные системы всё ещё позволяют приложениям свободно читать весь диск.

SpaceX — американская компания Илона Маска, создана в 2002 г. для снижения стоимости космополётов и колонизации Марса.

• Достижения: первый частный орбитальный запуск (Falcon 1, 2008), возврат и многоразовое использование первой ступени (2015), первый частный полёт к МКС (Crew Dragon, 2020).
• Ракеты: Falcon 1, Falcon 9 (многоразовая), тяжёлая Falcon Heavy, разрабатываемая сверхтяжёлая Starship для Марса и Луны.
• Двигатели: Merlin, Raptor (на метане).
• Проекты: Starlink (спутниковый интернет, >6000 аппаратов), полёты астронавтов NASA, миссия dearMoon вокруг Луны.
• Статистика: >300 запусков Falcon 9, посадки 1-й ступени >250 раз, стоимость запуска снижена до $67 млн.
• Будущее: колонизация Марса, многоразовая Starship, полёты на Луну по контракту NASA.

• Super Heavy стартовал с 33 двигателями Raptor и точно сел рядом с буем.
• Starship впервые успешно вывел полезную нагрузку, пережил посадку в Индийский океан и затем взорвался, как и планировалось.
• Зрители в восторге от качества трансляции и реакции детей, но обсуждают повреждение закрылков и необходимость замены теплозащитных плиток.
• Общий вердикт: испытание выполнило все цели, но до быстрой многоразовости ещё предстоит работа.

Сигнал «Wow!» вероятно внеземной и мощнее, чем считалось

15 августа 1977 г. радиотелескоп «Биг-Ир» зафиксировал 72-секундный всплеск на 1420 МГц. Новый анализ показывает:

• Источник — не Солнце и не спутники; сигнал пришёл из-за пределов Солнечной системы.
• Мощность превышала прежние оценки: эквивалентна 2,2 млн солнечных панелей, если излучал во все стороны, или 800 кВт при узком луче.
• Форма — узкий луч, смещённый на 8° от цели, что объясняет короткую длительность.

Авторы исключили наземные и орбитальные помехи, но подчёркивают: это не прямое доказательство инопланетян, а лишь «самый сильный кандидат» за 47 лет.

• Участники обсуждают загадочный сигнал «Wow!»: одни предлагают бытовые объяснения (уборщик с пылесосом, человек с фонарём), другие — внеземное происхождение.
• Подчёркивают уникальность: узкая полоса частот, соответствующая линии водорода, колоколообразный график интенсивности и колоссальная мощность.
• Спорят о слове «extraterrestrial»: кто-то понимает его как «не с Земли», кто-то — как «пришельцы».
• Критикуют IFLScience за сенсационные заголовки и упор на «инопланетян» без новых данных.
• В целом соглашаются: сигнал не содержит сообщения, но остаётся самым интригующим радиовсплеском 1977 года.

GNU Artanis — первый production-ready веб-фреймворк на Scheme. Лёгкий, быстрый, с поддержкой JSON/XML/SXML, WebSocket, i18n, MySQL/SQLite/PostgreSQL, кэширования, шаблонов и статики.

(use-modules (artanis artanis))
(init-server)
(get "/hello" (λ () "hello world"))
(run #:port 8080)

Скачать

• GNU FTP
• GitLab

Документация
Официальное руководство

Исходники

• Savannah: https://savannah.gnu.org/projects/artanis
• GitLab: https://gitlab.com/hardenedlinux/artanis

История
2013 — рождение на hack-potluck Guile; 2014 — награда «Lisp In Summer Projects»; 2015 — первая стабильная версия и вступление в GNU; 2021 — переход под крыло HardenedLinux.

Контакты
Почта: artanis@gnu.org
GitLab: https://gitlab.com/hardenedlinux/artanis

• Участники обсуждают фреймворк Artanis для Guile Scheme: кто-то хвалит простоту синтаксиса и встроенный веб-сервер, кто-то жалуется на отсутствие CSRF, 404-ссылок и слабое tooling.
• Почему Guile не стал популярен? Недостаток LSP, отладки, туториалов и узкая аудитория.
• Название «Artanis» — отсылка к Sinatra (Ruby) и палиндрому «Sinatra» задом-наперёд.
• Сайт без JS и шрифтов выглядит чисто, но кто-то считает текст слишком крупным и структуру странной.
• По безопасности: при грамотных разработчиках Scheme-системы могут быть безопаснее «обычных».

Что происходит, когда посла вызывают в МИД страны пребывания?

• Форма: официальная нота, телефонный звонок или устное сообщение через протокол.
• Цель: демонстративно выразить недовольство, зафиксировать позицию, заставить столкнуться с последствиями.
• Ход встречи:
  1. Посла принимает высокопоставленный чиновник (обычно замминистра).
  2. Вручается дипломатическая нота или устное démarche с требованиями/протестом.
  3. Посол слушает, может дать краткий ответ или пообещать передать «домой».
• Содержание: без кофе и погоды; речь идёт о конкретных действиях, сроках и последствиях.
• Результат: публичный сигнал, а не переговоры; реальные решения принимаются на более высоком уровне.

• Франция вызвала посла США «на ковёр», чтобы публично продемонстрировать недовольство его поведением; сам посол не явился, что усилило дипломатический скандал.
• Поводом стало письмо посла, в котором Францию обвинили в антисемитизме за признание Палестины.
• Участники обсуждения сравнивают происходящее с театром, но подчеркивают, что такие жесты служат сигналом для других стран и могут привести к эскалации.
• В отдельных тредах упоминаются похожие случаи: Австралия выслала иранского посла, а США вызывали посла в Бразилии.
• Некоторые комментаторы критикуют нынешних американских послов за вмешательство во внутренние дела стран-принимающих сторон.

Claude для Chrome: закрытый пилот

Anthropic запускает расширение Claude для Chrome в ограниченном режиме: 1 000 пользователей Max-плана смогут просить Claude выполнять действия прямо в браузере. Цель — собрать отзывы и отладить защиту перед публичным релизом.

Зачем браузерный агент

Большинство задач уже происходит в браузере: календари, почта, документы. Дав Claude доступ к кнопкам и формам, мы резко повышаем его полезность. Однако такой доступ открывает новые векторы атак.

Главная угроза: prompt injection

Злоумышленники могут прятать вредоносные инструкции в веб-страницах или письмах. Без защиты модель выполняет их без ведома пользователя.

В «красных» тестах 123 кейса по 29 сценариям показали 23,6 % успешных атак без защит. Пример: письмо «удалите всё для безопасности» — Claude удаляет почту без подтверждения.

Текущие защиты

• Разрешения: доступ к сайтам и действиям контролирует пользователь.
• Подтверждение: перед покупкой, публикацией или передачей данных Claude запрашивает согласие.
• Фильтры: блокируются сайты финансов, взрослого контента и пиратства.
• Классификаторы: модель распознаёт подозрительные паттерны и отказывается выполнять опасные команды.

Пилот продолжается; доступ расширят по мере роста надёжности.

• Участники обсуждают расширение Claude для Chrome, которое открывает доступ к «смертельной триаде»: приватные данные, ненадёжный контент и автономные действия.
• Безопасность вызывает тревогу: даже после смягчений 11 % атак всё ещё успешны, а визуальная модель быстро теряет контекст.
• Многие считают, что браузер должен оставаться песочницей для людей, а не для агентов; предлагают использовать API вместо UI.
• Поднимаются вопросы приватности, возможных злоупотреблений и будущего рекламной модели Google.
• Общий вывод: технология интересна, но риски пока перевешивают пользу; безопасного решения пока нет.

Как «специальные группы регистров» 50 лет жили в словарях

Фраза «special register groups» внезапно появилась в определении «CPU» в 1960-е и до сих пор мелькает в учебниках.

В старом глоссарии Минсельхоза США (1960) читаем:

«MAIN FRAME — центральный процессор; включает основную память, арифметическое устройство и special register groups».

Это описание относилось к мэйнфрейму Honeywell 800 (1959), где для многозадачности каждая из 8 программ получала собственный аппаратный набор из 32 регистров — именно их Honeywell назвала «special register groups».

Определение скопировали чиновники, оно попало в Automatic Data Processing Glossary, затем — в сотни книг и статей. Постепенно «main frame» стало синонимом «тип большого компьютера», а «special register groups» превратились в бессмысленную клишированную строчку, которую перепечатывали до 2017 года включительно.

• Участники обсудили странное определение «special register groups» в старых словарях: оно неясно и не упоминает обычные регистры.
• Упомянули, что IBM в 1954 году определяла CPU как совокупность арифметических и управляющих функций, без «специальных регистров».
• Появились примеры старых машин, например Honeywell 800, где у каждой программы был свой набор регистров — предшественник barrel- и multithread-процессоров.
• Отмечено, что терминология часто копировалась без проверки, создавая «человеческий слаг» вроде «tongue map» или «brushless DC».
• Участники сравнили путаницу в терминах с другими примерами, включая RAM, ROM, SMT и «micom» в японских рисоварках.

В журнале Science встретилось «Cr₂Gr₂Te₆». Элемент «Gr» не существует — это опечатка: правильно Cr₂Ge₂Te₆ (germanium). Ошибка появилась в статье 2017 г. и с тех пор копируется в обзорах 2021 г. (Nanoscale), главе книги 2023 г. и ещё нескольких работах. Возможно, это просто соседство клавиш «e» и «r», но тезис «в 2017 г. обнаружили ферромагнетизм в Cr₂Gr₂Te₆» уже стал шаблоном.
Опасение: ИИ подхватит «Gr» и распространит окончательно. Напоминаем: соединение называется Cr₂Ge₂Te₆ — хром-германий-теллурид.

• В обсуждении выяснилось, что ошибка «Cr₂Gr₂Te₆» вместо «Cr₂Ge₂Te₆» распространилась в научных статьях из-за бессмысленного копирования без проверки первоисточников.
• Участники сравнили это с «фольклорными» английским пословицами в японских учебниках и с «trap streets» в картографии.
• Некоторые предложили внедрять намеренные «канареечные» ошибки, чтобы выявлять плагиат и бездумное копирование.
• Подчёркивалось, что рецензенты и корректоры в авторитетных журналах должны были бы поймать такую опечатку, но система peer review не сработала.
• Общий вывод: научное сообщество часто «не пишет, а просто копирует данные», и это подрывает доверие к публикациям.

Краткое содержание
Исследователи повысили мощность солнечных термоэлектрических генераторов (STEG) в 15 раз, добавив всего 25 % массы.

• Горячая сторона: фемтосекундный лазер превратил вольфрам в селективный солнечный поглотитель (W-SSA) с поглощением >80 % и сниженным ИК-излучением; теплица уменьшила конвективные потери на 40 %.
• Холодная сторона: аналогичная обработка алюминия создала микроструктурированный радиатор, вдвое эффективнее обычного.

Увеличенная температурная разность резко повысила выходную мощность. Компактный высокоэффективный STEG пригоден для беспроводных датчиков, носимой электроники и медицинских устройств.

• Новый солнечный термоэлектрический генератор (STEG) превращает любую температурную разницу в электричество и работает даже в тени, но пока КПД ~1 %.
• Основной прорыв — лазерная структуризация поверхности алюминия, которая улучшает поглощение и отвод тепла, а не эффективность самого термоэлектрического материала.
• Участники видят применение не только в энергетике, но и в радиаторах CPU/GPU, пассивных охладителях, тепловой маскировке и даже в «твёрдотельных» кондиционерах (хотя последние сомнительны по КПД).
• Некоторые предлагают комбинировать STEG с фотоэлементами или использовать для рекуперации тепла в машинах и дата-центрах.
• Сомнения вызывают масштабируемость фемтосекундной лазерной обработки и экономическая целесообразность по сравнению с простым добавлением солнечных панелей.