Hacker News Digest

• aka.ms — коротилка Microsoft. Попытка зайти на https://aka.ms привела к логину только для сотрудников.
• akasearch.net — индекс ссылок aka.ms; нашёлся eng.ms.
• eng.ms — домен с приложением EngineeringHub. При входе через личный M365-аккаунт появился consent-запрос на доступ к профилю. После подтверждения — 500-я ошибка, но OAuth-токен уже выдан.
• rescue.eng.ms — поддомен, где после аналогичного согласия открылся Engineering Hub Rescue: список 22 внутренних сервисов Microsoft (Cloud + AI, Gaming, Finance и др.) с полным доступом через обычный аккаунт.

Итог: публичные OAuth-приложения Microsoft внутри корпоративных тенантов могут выдавать токены сторонним пользователям, если не ограничены политикой согласия. Проверьте свои тенанты на наличие подобных приложений и настройте Admin consent workflow, чтобы избежать утечек.

• Документация Microsoft по Entra ID/SSO вызывает у разработчиков «тыкание в темноте» и ошибки конфигурации.
• Уязвимости в мультитенантных приложениях возникают из-за непроверенных полей токена (iss, tid, audience) и отсутствия фильтрации по тенантам.
• Даже внутренние сервисы Microsoft открыты в интернет из-за политики Zero Trust, что увеличивает поверхность атаки.
• Исследователь получил RCE на сборочных серверах Windows, но Microsoft не выплатила ни цента, вызвав критику программы bug bounty.
• Сообщество советует: не полагаться на Entra для авторизации, всегда валидировать каждое поле токена и строить defense-in-depth.

• Пост критикуют за отсутствие научной строгости: «10 млн случайных примеров» не описаны, а «классификация» языков программирования выглядит ошибочной.
• Автор, по мнению комментаторов, просто прогнал детектор языков и выдал график, из-за чего Perl кажется «переобученным»; на деле это лишь гибкость языка.
• Многие цепочки начинаются на английском, но быстро скатываются в «neuralese» — внутренний, человеку нечитаемый «язык» модели, возникающий при отсутствии ограничений на читаемость.
• «Neuralese» — это не технический термин, а образное обозначение плотного латентного представления, которое модель использует для собственных рассуждений.
• Пустой промпт выводит модель из распределения и демонстрирует, на каких данных она реально «подсела».

• Проект ch.at — это минималистичный «чат» через DNS/HTTP, позволяющий общаться с LLM без JS и даже на самолёте без оплаченного Wi-Fi.
• Автор удивлён популярностью: сервис почти не стоит денег, пока не нужен rate-limit, а домен ch.at куплен за ≈ $50k как удачный «домен-хак».
• Пользователи уже сделали обвязки под i3-dmenu, Raycast, shell-алиасы и даже используют dig TXT +short.
• В комментариях обсуждают отсутствие IRC/XMPP/SIP, перспективу более дешёвых локальных моделей, политику логов и защиту от DDoS.

Debian 13 «trixie» вышел 9 августа 2025 года после 2 лет разработки.
Поддержка — 5 лет (Security + LTS).

Десктопы: GNOME 48, KDE Plasma 6.3, LXDE 13, LXQt 2.1, Xfce 4.20.
Пакетов: 69 830 (+14 100 новых, –8 840 устаревших, 44 326 обновлённых).
Размер: 403 ГБ, 1,46 млрд строк кода.
Ядро: 6.12 LTS; первый релиз с официальной поддержкой riscv64.
Архитектуры: amd64, arm64, armel, armhf, ppc64el, riscv64, s390x.
i386 больше не поддерживается; armel последний релиз.

Ключевые обновления: Apache 2.4.64, Bash 5.2.37, BIND 9.20, GCC 14.2, LibreOffice 25.2, MariaDB 11.8, Nginx 1.26, OpenJDK 21, PHP 8.4, PostgreSQL 17, Python 3.13, Rust 1.85, systemd 257 и др.

Облако: образы для EC2, Azure, OpenStack, PlainVM, NoCloud с cloud-init и оптимизированным загрузчиком.
Live-образы: amd64/arm64, GNOME/KDE и др.; установка через Calamares или стандартный установщик.

• Debian 13 «Trixie» вышла: 63 % пакетов обновлены, поддержка 7 архитектур, включая RISC-V.
• i386 теперь только как «amd32»-совместимый, официального ядра/инсталлятора нет.
• Появился новый формат APT-репозиториев debian.sources, старый sources.list пока работает.
• 95 % пакетов достигают bit-for-bit воспроизводимости на amd64/arm64/riscv64.
• /tmp теперь tmpfs по умолчанию (до 50 % ОЗУ), но можно вернуть старое поведение.
• Пользователи хвалят стабильность, скорость обновления «stable→stable» и отсутствие snap.

386 внутри: CT-показывает 6 слоёв проводников и две сети питания
Intel 386 (1985) упакован в керамику на 132 вывода. CT-скан (Lumafield) показал:

• 6 слоёв металлизации внутри керамики: 2 сигнальных + 4 питания/земли.
• Двухъярусные площадки вокруг кристалла: тонкие золотые провода (35 мкм) идут к двум рядам контактов.
• Две изолированные сети питания: одна для логики, другая для ввод-вывода.
• Невидимые боковые шины — «шипы» на скане — соединяют внутренние слои.

Процесс: гибкие «зелёные» керамические листы → сквозные отверстия → печать вольфрамовой пастой → прессовка и обжиг 1500–1600 °C → припайка выводов, золочение, монтаж кристалла, закрытие крышкой.

Масштаб: 1 мкм на кристалле → 2,54 мм на выводах, рост ≈ 2500×.

• @mlhpdx рассказал, что проводил глубокий анализ термо-механической циклической усталости корпусов 386: CAD, FEA, эмпирика — и выяснил, что проблема в целом незначительна, но музеям не стоит ежедневно включать-выключать старые ПК.
• Участники вспоминали первые 386-ые машины, их цены и радость апгрейдов, а также хвалили эстетику керамических корпусов и «случайную красоту» слоёв CT-снимков.
• Обсуждали технические детали: зачем 386 нужны NC-контакты, как работают байтовые маски BE0#-BE3#, как автоматически укладываются бонд-провода и можно ли разбить чип, уронив его.
• @kens отвечал на вопросы о CT-сканировании (сканер Zeiss Xradia 520 Versa, 80 кВ, 7 Вт, образец не разрушен) и быстро улучшал веб-страницу по советам о доступности кнопок.

• Пользователи сравнили ответы GPT-5 на 20 вопросов Кнута: где-то лучше, где-то «заражение» данных, но провалило задание из 5-буквенных слов.
• Спор о Binomial[-1,-1]: GPT-5 объяснил, что Wolfram использует симметричное предельное правило, а гамма-формула даёт полюса.
• Критика: студент, тестировавший Кнута, использовал GPT-3.5 вместо 4/5; «ошибки стали менее очевидными — не значит надёжными».
• Токенизация BPE винится в неспособности точно считать буквы и делать математику.
• GPT-5 в агент-режиме угодил в цикл фрустрации, пытаясь найти картинку в интернете.
• Ностальгия: интернет превратился в рекламный хаос, нужны инструменты-архиваторы; однако «таким его не делали — он просто случился».

LLM-разработка: краткий итог

• Мифы: LLM не делают код продакшн-готовым, требуют понимания задачи и хорошо структурированных кодовых баз. Использование LLM снижает навыки чтения документации и глубокого мышления.
• Агенты — это просто цикл «LLM → вызов локального API → ответ → LLM снова». Инструменты: навигация, редактирование, shell, поиск, MCP-серверы.
• Проблемы продуктов
  • Нестабильность: модели и цены меняются еженедельно.
  • Нет детерминизма, приходится постоянно обновлять промпты и MCP.
• Тесты
  • Python, TypeScript, Rust, Flutter, сложные рефакторинги — справляются.
  • Не справились: Token Field во Flutter (редкий компонент, сложное управление состоянием). Claude Opus 4.1 и GPT-5 провалили задачу.

Продукты

• GitHub Copilot

  • Плюсы: быстрое автодополнение, стабильность, низкая цена.
  • Минусы: слабые «агенты», нет контекста всего проекта.

• Claude Code Pro

  • Плюсы: лучший «умный» режим, хорошо работает в больших кодовых базах.
  • Минусы: дорого, медленно, иногда «теряется».

• Gemini CLI / Jules

  • Плюсы: бесплатный CLI, быстрый.
  • Минусы: слабые модели, ограниченные возможности.

• Kiro, Cursor, Windsurf

  • Плюсы: встроенные редакторы, удобные интерфейсы.
  • Минусы: дороже, часто баги, привязка к конкретному редактору.

Когда LLM полезны

• Лучшие языки: Python, TypeScript/JavaScript, Go.
• Лучшие задачи:
  • Репетитивный код, тесты, миграции.
  • Документация, примеры, объяснение legacy.
• Плохо:
  • Редкие фреймворки, сложные UI, архитектурные решения.
  • Надёжность и безопасность.

Вывод
LLM — полезный инструмент для рутины и прототипов, но не заменяет мышление и глубокое понимание.

• Многие спорят с тезисом «использовать LLM в коде тривиально»: на практике нужны месяцы, чтобы понять, что делегировать, как формировать промпты и управлять контекстом.
• Кто-то сравнивает LLM с «однорукими бандитами»: результат часто случаен, а «навыки» сводятся к удаче и базовому гуглению.
• Другие делятся успешным опытом: при жёсткой архитектуре, тестах и узких промптах Claude Code и аналоги дают 9/10 полезных патчей.
• Утверждение, что LLM «заставляют» выбирать мейнстек, опровергают разработчики на Clojure, D и других нишевых языках.
• Общий вывод: LLM — мощный инструмент, но требует экспериментов, критического ревью и понимания своих ограничений; без этого он быстро превращается в источник технического долга.

• Участники вспоминают «абсурды» СССР: фиктивную занятость, тотальный страх перед чиновником, лысенковщину и гидравлический компьютер.
• Подчёркивается, что для жителей Советского Союза это была «норма», а не абсурд; система формировала людей, а не наоборот.
• Обсуждается высокая смертность и «нерождённые» 170 млн, но без ясного определения этой цифры.
• Некоторые вспоминают материальную нищету, очереди и алкоголизм; другие — ощущение социальной стабильности и гарантированной работы.
• Сравнивают СССР и США, спорят о свободе передвижения, качестве жизни и «пропаганде с обеих сторон».

Universalis: язык, который читают эксперты, а пишут LLM
Автор: Erik Meijer

• Цель — дать знатокам предметной области возможность формулировать задачи естественным языком и получать готовые программы без участия разработчиков.
• Средство — язык Universalis (в честь Лейбница), исполняемый нейро-компьютером Automind. Код похож на Excel-формулы, обёрнутые в «живые» описания.

Пример
Вопрос: «Алиса купила килограмм яблок за @B и продала за @S. Какой процент прибыли @P?»
Ответ-Universalis:

[@D is (@S-@B)]  
[@P is (@D/@B)*100]

Вводим @B=10, @S=17 → @P=70 %.

Особенности

• Синтаксис максимально приближен к естественному языку.
• Внутри — логические предикаты Prolog.
• Поддержка пред-/пост-условий для валидации данных.
• Среда «живого программирования» наподобие электронной таблицы: переключение между формулами и значениями.

• Критика: статья расплывчата, синтаксис «языка» меняется, управляющие конструкции описаны прозой, примеры сводятся к «сделай всё за меня».
• Сомнения: это реальный язык или фантазия LLM?
• Опасения: упрощение ведёт к потоку «мусорного» кода.
• Технические детали: под капотом Kotlin DataFrames, возможна ad-hoc типизация.
• ACM Queue обвиняют в рекламе без упоминания ограничений.
• Перспектива: рано или поздно придётся заново изобретать модули, типы, ошибки, параллелизм и т.д.

• Во время Гражданской войны США медали вручали почти всем подряд, что искажает статистику.
• В поздних войнах доля ирландцев среди кавалеров Medal of Honor: 2,1 % во Второй мировой, 1,9 % в Корее, 4,8 % во Вьетнаме.
• Большинство награждённых — выходцы из рабочего класса и иммигранты, служившие в пехоте.
• Исторически «scotch-irish» культивировали культуру храбрости и воинской чести.
• Комментаторы отмечают, что ранние стандарты награждения были низкими, а современные медали ценятся за спасение товарищей, а не за атаки.