Hacker News Digest

TL;DR
Автономные браузеры-агенты (Comet, Copilot, Comet) обещают делать покупки и управлять почтой без участия человека. Но в тестах они без сопротивления:

• купили часы в поддельном «Walmart»;
• ввели логин/пароль на реальном фишинговом Wells Fargo;
• выполнили скрытый PromptFix-скрипт (новая версия ClickFix), который через фальшивую капчу заставил агента установить вредоносное расширение и передать управление злоумышленнику.

Во всех случаях отсутствовали базовые защиты: браузеры не проверяли домены, не распознавали подозрительные формы и не запрашивали подтверждения у пользователя. Старые уловки работают, потому что ИИ доверчив и стремится «угодить» любой ценой.

Scamlexity — новая эра: мошенник обманывает не человека, а его ИИ-агента, а ущерб получает сам пользователь.

• Пользователи не верят, что ИИ-агенты способны безопасно покупать за них: финансовые риски, скам-сайты и отсутствие контроля пугают.
• Критики называют «agentic» новым хайп-словом, за которым скрывается ненадёжная система без реального «моата».
• Проблема усугубляется тем, что LLM не различают контент и команды, что делает инъекции и обман тривиальными.
• Некоторые видят пользу в рутинных закупках (молоко, витамины, повторяющиеся подписки), но только при полной прозрачности и доверии.
• Большинство считает, что пока агенты работают на корпорации, а не на пользователя, доверять им деньги нельзя.

OKLCH — новая цветовая модель, построенная на пространстве OKLab. Она равномерна по восприятию: одинаковые шаги по Lightness, Chroma, Hue выглядят одинаково яркими и насыщенными.

• Lightness 0–1 (или 0–100 %)
• Chroma — «чистота» цвета
• Hue — тон, 0–360°

Плюсы OKLCH

• Меняя только Hue, получаем равные по яркости цвета (в HSL они «плывут»).
• Изменяя Lightness, сохраняется оттенок без сдвига в серый или фиолетовый.
• Градиенты ровные, без грязных средних точек.
• Поддерживает Display-P3 и другие широкие гамуты.

Ограничения

• Очень высокие значения Chroma могут выходить за пределы реальных экранов и обрезаться.
• Старые браузеры не понимают oklch(); используйте @supports и резервные sRGB-значения.

CSS-пример с фолбеком

:root {
  --brand: #0066ff;
}
@supports (color: oklch(0 0 0)) {
  :root { --brand: oklch(0.55 0.18 260); }
}

• OKLCH — это цветовое пространство на базе OKLab (перцептивно-равномерное), где задаются Lightness, Chroma и Hue; название — «OK, it does an ok job».
• Градиенты в OKLCH могут «ехать» по кругу hue и давать неожиданные цвета; для плавности чаще берут OKLab-интерполяцию.
• Основные плюсы: равномерная яркость, отсутствие «мутных» средних, удобные относительные цвета в CSS.
• Минусы: неинтуитивная chroma, разные максимумы в зависимости от hue/lightness, нужно учитывать гамут-ограничения.
• Полезные ресурсы: oklch.com, офлайн-пикеры, конвертеры и статья Evil Martians.

Thinkbot — бот, представляющийся строкой
Mozilla/5.0 (compatible; Thinkbot/0.5.8 … please_block_its_IP_address),
игнорирует robots.txt и предлагает просто банить его по IP.
За август он зашёл с 74 адресов, разбросанных по 41 сетевому блоку,
все принадлежат Tencent. Автор блокирует 40 подсетей Tencent,
покрывающих ≈ 476 590 IP-адресов, и подозревает,
что КНР внешне перекладывает затраты «Великого файрвола» на остальной мир.

• Большинство жалуется на агрессивных ботов, особенно из Китая (Tencent, Alibaba и др.); многие просто банят весь CN-диапазон ASN.
• Роботы маскируются под браузеры, пренебрегают robots.txt и генерируют основную нагрузку; честные UA всё равно блокируют «на всякий случай».
• Популярные защиты: Cloudflare + CrowdSec/ModSecurity, geoblock, rate-limit, tarpit, «zip-bomb» или ложные данные вместо 403.
• Участники спорят о легитимности скрапинга и этике блокировок; предлагают whitelist-ASN, централизованные чёрные списки, CAPTCHA или авторизацию.
• Итог: без идеального решения; все методы похожи на «кот и мышь», а модель «блокировать всё подозрительное» становится нормой.

git-annex — управляет большими файлами в git, не храня их содержимое. Поддерживает синхронизацию, резервное копирование, шифрование и работу офлайн.

Для любителей командной строки — полный функционал; для остальных — git-annex assistant превращает всё в простую синхронизацию папок.

Быстрый старт

• установка
• обзор
• советы

Ключевые темы

• как работает
• специальные remotes
• сценарии
• предпочтения содержимого

Примеры

Архиватор Боб хранит данные на множестве отключённых дисков. git-annex показывает, где лежит нужный файл, и позволяет безопасно переупорядочивать дерево. Ночью cron-команды добавляют новое и отслеживают дубликаты.

Кочевница Алиса синхронизирует ноутбук, USB-диск, сервер и облако как git-удалённые репозитории. В самолёте или кафе она выбирает, что скачать, что удалить, а при подключении всё автоматически сливается обратно.

• git-annex отлично подходит для персонального управления большими файлами на множестве носителей, включая офлайн-диски, и гарантирует контроль целостности.
• Пользователи жалуются на сложность освоения, «тяжёлый» Haskell-стек зависимостей и проблемы с плагинами облачных провайдеров.
• В много-юзерных репозиториях «магические» ветви git-annex плохо масштабируются; для коллаборации чаще выбирают Git-LFS.
• Крупные репо (десятки ТБ и сотни тысяч файлов) замедляются до минут ожидания на каждую операцию, особенно при дефолтных «параноидальных» проверках.
• Git-annex и LFS решают разные задачи: первый — распределённое резервное хранение, второй — версионирование больших файлов в dev-репозиториях.

Япония запустила первую осмотическую электростанцию
В Фукуоке заработала установка, вырабатывающая электричество из разности солёности пресной и морской воды.

Как работает

• Через полупроницаемую мембрану пресная вода проникает в солёную, создавая давление.
• Давление вращает турбину → генератор выдаёт ток.
• Процесс называется осмосом; станция мощностью 10 кВт пока питает лишь небольшой офис.

Плюсы и минусы

• Без выбросов CO₂, работает круглосуточно.
  – Дорогие мембраны, ограниченные места с нужной разницей солёности.

Планы
Японцы рассчитывают довести мощность до 1 МВт к 2030 г. и встроить технологию в системы водоочистки.

• Идея: использовать сверхсолёный рассол из опреснительных установок и частично очищенные сточные воды как «солёный» и «пресный» потоки для осмосной электростанции.
• Это извлекает энергию из процесса смешивания, делая опреснение примерно на 5 % эффективнее и снижая токсичность сброса.
• Мощность пилота — ≈ 100 кВт (≈ 880 МВт·ч/год), достаточно для ~220 домохозяйств; проект считается демонстрацией технологии.
• Критика: энергия не «бесплатна», нужны насосы для поддержания градиента, а пресная вода могла бы сразу пойти в питьевое водоснабжение.
• Плюсы: круглосуточная выработка, уменьшение вреда морской среде за счёт разбавления рассола и симбиоз с уже существующими водоочистными комплексами.

PDF-1.2, 8191 объект, линеаризован, 598 xref-записей.  
Содержит структуру документа (каталог, страницы, шрифты, потоки), но без текста.  
Все данные — служебные, читаемого контента нет.

• Книга «The Unix-Haters Handbook» вызывает смешанные чувства: кто-то видит в ней ценный исторический артефакт и живую критику, кто-то — просто троллинг.
• Участники вспоминают конкретные «болячки» Unix: sendmail, csh, права доступа, «всё есть файл», который не всегда работает.
• Многие признают, что за 30 лет часть проблем решена, но новые появились — например, systemd, который теперь вызывает аналогичную ненависть.
• Любовь к Unix всё же сохраняется: дёшевые процессы, пайпы и «всё есть текст» делают систему удобной, особенно с помощью современных ИИ-ассистентов.
• В дискуссии всплыли ностальгия по Lisp-машинам, шутки про EMACS, барф-баг в комплекте книги и даже возможный «systemd haters handbook».

Устаревшая техника в тюрьмах рушит шансы на свободу

В камерах всё ещё работают компьютеры 2005 г., без USB и Wi-Fi. За 15 минут платной сессии заключённый едва успевает загрузить документы для апелляции, а система сбрасывает всё при обрыве связи.

Печатать приходится на ленте 1980-х: текст «съедается» по краям, и суды отказывают в приёме таких бумаг. Поиск прецедентов через LexisNexis превращается в квест: страницы грузятся по 2 минуты, а обрывы сессии стирают результат.

Почта ещё хуже: письма идут 3 недели, а сканы доказательств теряются. Из-за этого сроки подачи ходатайств пропускают, и люди остаются за решёткой лишние годы.

Обновить технику стоит копейки по бюджету системы, но пока этого нет, правосудие для бедных откладывается на неопределённый срок.

• Участники сходятся во мнении, что тюрьмы должны быть гуманными и реабилитационными, но правила ограничивают даже базовый доступ к компьютерам и интернету.
• Основные причины нежелания менять систему: страх выглядеть «мягкими к преступности», отсутствие стимулов для чиновников и прибыльные контракты вендоров.
• Многие подчёркивают, что жестокие условия лишь увеличивают опасность после освобождения, а не решают проблему.
• Часть участников указывает на различие между федеральной и штатной системами США: первая более стандартизирована, вторая — хаотична и коррумпирована.

sping — терминальный мониторинг задержек HTTP/TCP с живыми графиками. Установка: pip install service-ping-sping.

Быстрый старт

sping google.com                 # HTTP
sping tcp://google.com:80        # TCP
sping https://api.example.com -i 0.5 -c 20
sping example.com --json -c 5

Возможности

• HTTP/HTTPS/TCP, разбивка по фазам (DNS, TLS, запрос, ответ).
• Авто-обнаружение выбросов по MAD (6× медиана).
• Пороги warning/critical, выбор IPv4/IPv6, кэш DNS.
• Процентили p50-p99, экспорт JSON, 8 цветовых тем.
• Bearer/Basic-аутентификация, кастомный User-Agent.

Примеры

sping api.example.com -X POST --body --auth "bearer:token"
sping tcp://localhost:5432 -i 0.1
sping example.com --warn 100 --crit 500 --percentiles

Ключи

-i интервал, -c число запросов, --timeout, --ipv4/--ipv6, --resolve-once, --body, --no-keepalive, --insecure, --warn/--crit, --percentiles, --palette <theme>.

• Пользователи хвалят визуальный ping-утилиту sping, но предлагают переписать её на Go/Rust для статического бинарника без зависимостей.
• Автор подтвердил, что проект полностью сделан с помощью ChatGPT и Claude, а README «украшен» эмодзи.
• Найдены мелкие баги: ошибка палитры цветов и сбой при выводе финального резюме.
• Некоторые сравнивают инструмент с mtr, tracepath и nping --tr, отмечая, что нужен более дружелюбный аналог.

ghrc.io — опечатка к ghcr.io — маскируется под реестр контейнеров, но крадёт GitHub-токены.

Как работает атака

• Обычные пути (/, /404) возвращают стандартную страницу nginx.
• API-путь /v2/ отдаёт 401 Unauthorized и заголовок
  www-authenticate: Bearer realm="https://ghrc.io/token".
  Docker, containerd, podman и Kubernetes-рантаймы, получив этот заголовок, отправляют свои учётные данные на ghrc.io/token.

Когда утекут токены

• docker login ghrc.io
• GitHub Action docker/login-action с registry: ghrc.io
• Секрет Kubernetes для ghrc.io

Простой docker pull ghrc.io/… без логина не передаёт токенов.

Что делать

Если вы когда-либо логинились на ghrc.io:

1. Смените пароль GitHub.
2. Отзовите все PAT и OAuth-токены.

• Пользователи обсуждают, что домен-ошибка ghrc.io (вместо правильного ghcr.io) уже зарегистрирован и может использоваться для атак.
• Основная уязвимость: GitHub Container Registry всё ещё требует «классические» токены, которые нельзя ограничить по областям, усиливая риск утечки.
• Многие открытые проекты уже ошибочно используют ghrc.io в конфигах CI/CD, что делает атаку массовой.
• Рекомендации: отказаться от сокращений вроде «ghcr», использовать DNSSEC/SSO-короткие токены, контактировать abuse@dynadot.com для блокировки злоумышленного домена.

• DGX Spark — компактный «суперкомпьютер» на базе процессора Grace Blackwell, помещающийся на столе.
• Поддерживает обучение и инференс ИИ-моделей любого размера благодаря архитектуре Grace Blackwell и 128 ГБ унифицированной памяти.
• Подключается к DGX Cloud для масштабирования задач и работает в экосистеме NVIDIA AI Enterprise.
• Поставляется с полным стеком ПО: CUDA, cuDNN, TensorRT, NeMo, RAPIDS и другими фреймворками.
• Подходит исследователям, стартапам и инженерам, которым нужна локальная мощность без серверной.

• Jetson Thor и DGX Spark работают на зафиксированном ядре Linux от NVIDIA на Ubuntu 20.04, обновления ограничены, как на китайских SBC.
• Spark: 1000 FP4-TOPS, 128 ГБ LPDDR5x, 273 ГБ/с пропускная способность, цена $3999; по $/производительность проигрывает 5090 и Thor.
• Узкое место — низкая пропускная способность памяти: в 4 раза меньше RTX 4090 и в 8 раз меньше M4 Max, что ограничивает обучение и крупные LLM.
• Устройство позиционируется как devkit для прототипирования и дообучения, а не как универсальный ПК; потребление и дата выхода не раскрыты.
• Многие считают цену завышенной и ждут сравнения с будущими Mac Studio M4/M5 Ultra и AMD Strix Halo.