Hacker News Digest

• Участники считают, что анти-отмывочные системы (AML) в первую очередь мешают «рядовым» и мелкому бизнесу, тогда как крупные игроки продолжают легально отмывать миллионы.
• Множество примеров: казино, лотереи, искусство, дорогие часы, барбершопы, клубы и даже детские счета используются как прикрытие.
• Государство получает полный доступ к финансам граждан без доказательства преступления, что приводит к произволу и заморозке счётов по политическим или личным мотивам.
• Сами банки и регуляторы регулярно платят штрафы, но топ-менеджеры почти никогда не несут уголовной ответственности.
• В итоге AML-режим воспринимается как инструмент контроля, сбора налогов и подавления инакомыслия, а не как эффективная борьба с преступностью.

• AWS CEO Матт Гарман назвал «глупейшей идеей» замену младших сотрудников ИИ.
• На конференции AWS Summit в Лондоне он объяснил: джуны учатся, наблюдая за опытными коллегами; без них не будет новых экспертов.
• Гарман подчеркнул, что ИИ — инструмент, усиливающий людей, а не заменяющий их.

• AWS CEO: нельзя заменять джуниоров ИИ — иначе через 10 лет не останется сеньоров.
• Участники сходятся: навыки «учиться учиться», критическое мышление и декомпозиция задач важнее любого кода.
• Опыт показывает: «вайб-кодинг» без людей быстро превращается в спагетти-ад без архитектуры и без роста команды.
• ИИ полезен как ускоритель для джуниоров, но не как их замена; иначе пропадёт естественный путь «intern → senior».
• Главный вывод: компании, которые сейчас экономят на обучении молодых, потом заплатят отсутствием экспертов.

Не выбирайте странные подсети для встраиваемых сетей, используйте VRF

Встраиваемая сеть — это, например, переносная стойка с видео- и сетевым оборудованием, которую подключают к сети площадки. Устройства внутри стойки должны общаться между собой, но перенастраивать их IP при каждой смене локации неудобно. Обычно добавляют маршрутизатор с NAT и используют простую подсеть вроде 10.0.0.0/24. Проблема возникает, если внешняя сеть площадки использует ту же подсеть — возникают конфликты. Люди начинают выбирать «редкие» диапазоны (172.16.42.0/24, 10.11.12.0/24), но конфликты всё равно случаются.

IPv6-решение
Использовать link-local адреса fe80::/64 и протоколы обнаружения (avahi). Маршрутизатор раздаёт маршруты, и внутренние устройства получают доступ в интернет. Недостаток: большинство встраиваемых устройств (аудио- и видеомикшеры) не поддерживают IPv6. Аналогичный IPv4-механизм APIPA (169.254.0.0/16) не даёт шлюза и интернета.

Универсальное решение
Вместо экзотических подсетей ограничьте «странность» настройками маршрутизатора. Используйте VRF (Virtual Routing and Forwarding), чтобы изолировать внутреннюю сеть и избежать конфликтов, не меняя адресацию устройств.

• Docker случайно выбирает подсеть RFC1918, которая может конфликтовать с корпоративной сетью; это частая проблема в AWS и вызывает головную боль при отладке.
• IPv6-поддержка всё ещё редка, поэтому обсуждают альтернативы: IPv4 link-local, CGNAT 100.64.0.0/10, «benchmark» 198.18.0.0/15 и даже выделение «мертвой» подсети.
• Некоторые просто используют VRF или VLAN, чтобы изолировать трафик и избежать конфликтов, хотя это требует понимания маршрутизации.
• Участники сомневаются, что IPv4 исчезнет скоро: у провайдеров его много, а стимул перехода на IPv6 минимален без внешнего давления.

• Частные вагоны: Amtrak разрешает подключать личные вагоны к рейсам по всей Северной Америке.
• Правила: вагон должен соответствовать стандартам безопасности, иметь сертификат FRA и страховку.
• Бронирование: минимум за 30 дней, оплата за милями и обслуживание.
• Маршруты: почти все дальние поезда, кроме Acela и некоторых «Northeast Regional».
• Услуги: подача, стоянка, электричество, водоснабжение, уборка — за доплату.
• Контакты: privaterail@amtrak.com или 1-800-872-7245.

• Аренда приватного вагона у Amtrak стоит ≈ $4,72 за милю + минимум $2 296, плюс множество скрытых сборов.
• Владельцы вагонов платят ещё ≈ $4 000/мес за стоянку; в итоге поездка «как новый автомобиль» или дороже.
• Американская инфраструктура: низкие скорости, приоритет грузовых поездов, частые задержки — делают это роскошью для очень богатых.
• Участники сравнивают с частной яхтой, фантазируют о «party-train» и передвижных домах, но признают: если нужно спросить цену — не по карману.
• Общий вывод: в США даже коллективный транспорт превращён в индивидуальную игрушку для богатых, тогда как нормальное пассажирское сообщение развалено.

• Бюджет водной инфраструктуры США скромен: Бюро мелиорации получает 1,1 млрд $ в год, тогда как транспорт и энергетика — по 46 млрд $, а ЖКХ — 60 млрд $.
• Цена воды низкая: счёт за воду ≈ 5 % от счёта за электричество и почти без перебоев.
• Риски растут: юго-запад страдает от многолетней засухи, а дата-центры тратят миллионы галлонов в день на охлаждение.
• Интерес к теме «дефицит воды» в Google стабильно растёт 20 лет.

Как используется вода

• Общий объём: США получают ≈ 4 трлн галлонов пресной воды в сутки.
• Сектора потребления (2015):
  • Тепловая электроэнергетика — 133 млрд гал/день (41 %), в основном охлаждение.
  • Ирригация — 118 млрд (37 %), 80 % приходится на 17 западных штатов.
  • Общественное водоснабжение — 39 млрд (12 %).
  • Промышленность — 14,8 млрд (5 %).
  • Рыбоводство — 12,6 млрд (4 %), вода остаётся в реках.
  • Добыча полезных ископаемых — 3,5 млрд (1 %).
  • Сельское хозяйство (животноводство) — 2 млрд (<1 %).

Динамика за 1950–2015

• Пик в 1980 — 440 млрд гал/день; к 2015 упало до 322 млрд (-27 %).
• Причины снижения: закрытие угольных ТЭС, эффективные системы охлаждения, капельное орошение.
• Ирригация росла до 1980, затем стабилизировалась; добыча сланцевой нефти взлетела с 2005.

• Участники обсуждают, что большая часть бытового расхода воды в США (82 гал/день на человека) уходит на полив газонов, тогда как в Европе показатели в 2–2,5 раза ниже.
• Подчёркивается: вода, «испаряемая» дата-центрами, не исчезает из цикла, но может быть недоступна для немедленного повторного использования, что вызывает споры о приоритетах между ИТ-инфраструктурой и человеческими потребностями.
• Сравнивают экономическую «ценность» воды: $4,5 млрд от хлопка против триллионов, создаваемых технологическим сектором; критики считают такой подход упрощённым.
• Отмечают низкие тарифы на воду в США (≈5 % от счёта за электричество), отсутствие прогрессивных цен и надёжность водоснабжения, хотя в некоторых регионах бывают перебои.
• Упоминают, что старые тепловые электростанции потребляют 41 % воды, но при переходе на современные рециркуляционные системы расходы падают на порядки.

• Суть атаки: при загрузке большого изображения в Gemini CLI, Vertex AI, Google Assistant и др. системы изображение уменьшается до размеров модели. В момент масштабирования скрытые пиксель-инъекции становятся читаемыми как команды, позволяя красть данные или выполнять код без подтверждения пользователя.

• Пример: в Gemini CLI через Zapier MCP (trust=True по умолчанию) отправка «безобидной» картинки приводит к выгрузке календаря на почту злоумышленника.

• Масштаб: подтверждены атаки на веб-Gemini, API, Android-Assistant, Genspark и др. UI показывает оригинал, а модель видит уменьшенную версию с инъекцией.

• Техника: используются алгоритмы downscale (nearest-neighbor, bilinear, Lanczos). Высокочастотные паттерны превращаются в читаемые символы при уменьшении.

• Anamorpher: опенсорс-утилита для генерации таких «анаморфных» изображений.

• Защита:

  • отключить автоматическое масштабирование или запрашивать подтверждение;
  • применять контент-фильтры к уменьшенной копии;
  • запретить инлайн-вызовы инструментов без явного согласия;
  • внедрить rate-limit и аудит действий агентов.

• Атака заключается в том, что в изображении скрывают текст-команду, который после уменьшения или OCR становится частью промпта и переопределяет поведение модели.
• Проблема усугубляется тем, что современные агент-системы требуют широких прав и не различают «достоверные» и «внешние» инструкции.
• Участники сравнивают это с уязвимостями старых PHP-скриптов и serial-terminals: данные и команды смешаны в одном потоке.
• Предлагаемые защиты — шум перед ресайзом, sandbox-слои, фильтрация текста в картинке, «sudo-токены» и строгое разграничение контекстов — пока не решают проблему полностью.
• Общий вывод: пока LLM не научатся надёжно разделять данные и инструкции, любой внешний вход считается потенциально отравленным.

Web Embeddable Common Lisp (WECL) — запуск Common Lisp в браузере через WebAssembly.
Проект экспериментальный; API нестабильны, баг-репорты не принимаются.
Исходники: fossil.turtleware.eu/wecl.

Быстрый старт

Подключите boot.js и wecl.js, пишите код в <script type="text/common-lisp">.
Пример считает обратный отсчёт и выводит «BOOM!».
Демо: easy.html | easy.lisp

JS-FFI

Набор макросов для вызова JavaScript из Lisp:

макрос	назначение
define-js-variable	переменная, выражение подставляется каждый раз
define-js-object	объект, сохраняется в хранилище
define-js-function	функция
define-js-method	метод объекта
define-js-getter/setter/accessor	чтение/запись поля
define-js-script	шаблон JS-выражения
define-js-callback	Lisp-функция, вызываемая из JS
lambda-js-callback	анонимный callback

Типы аргументов: :object, :js-ref, :fixnum, :symbol, :string, :null.

Emacs-интеграция

LIME/SLUG позволяет REPL и отладку прямо из Emacs.

Инъекция в любой сайт

Загрузка WECL в произвольную страницу через bookmarklet или расширение.

Ограничения

• Размер wasm-модуля ≈ 10 МБ (кешируется).
• Нет потоков, FFI неполный, производительность средняя.

Финансирование

Разработка поддерживается подписчиками Patreon.

• Обсуждение началось с альтернативной истории: если бы JS изначально был похож на Lisp, возможно, функциональное программирование стало бы мейнстримом раньше.
• Участники отмечают, что WebAssembly и Gambit-JS уже позволяют писать на Scheme/Common Lisp в браузере, улучшая DX и переиспользование кода.
• Некоторые сомневаются, что Lisp автоматически «функциональнее» JS, и подчеркивают, что императивный стиль часто естественнее.
• Поднимаются риски: рост размера рантайма, проблемы на медленных каналах и возможное доминирование Microsoft, если бы IE/VBScript победил.

• О нас
• Пресс-центр
• Авторское право
• Контакты
• Авторам
• Реклама
• Разработчикам
• Условия
• Конфиденциальность
• Правила и безопасность
• Как работает YouTube
• Тест новых функций
• NFL Sunday Ticket

© 2025 Google LLC

• Участники вспоминают тяжёлые Sony Trinitron 80-х — 90-х годов: 27–45 дюймов, 100–400 фунтов, «плавные панорамы» идеальны для ретро-игр.
• Некоторые собирают собственные «консольные» комбайны с сабвуфером и полным диапазоном драйверов, чтобы минимизировать провода.
• Обсуждают астрономические цены тех лет: телевизор стоил как два Toyota Corolla или 35 000 долларов сегодня.
• Отмечают, что даже в аптеке Boots можно было купить Trinitron, а теперь CRT остались лишь для военных/авиации.
• Современные OLED пытаются эмулировать CRT, но вес и габариты старых «лучевиков» делают их почти невозможными для переезда.

Fastly: боты для ИИ атакуют сайты до 39 000 запросов в минуту
CDN-провайдер зафиксировал всплеск автоматического сканирования, когда модели собирают данные для обучения.

• Пиковая нагрузка: 39 000 обращений/мин (≈ 650 в секунду)
• Основной инструмент: библиотека python-httpx, User-Agent «ImagesiftBot»
• Цели: медиа-файлы, API-документация, старые URL-ы
• Последствия: рост счёта за трафик и риск DDoS.

Рекомендации Fastly: фильтровать по User-Agent и ASN, ставить rate-limit, использовать WAF.

• AI-компании массово и агрессивно скрапят сайты, игнорируя robots.txt и rate-limits, что приводит к сбоям, росту трат и вынужденному закрытию доступа.
• Пострадавшие владельцы маленьких ресурсов вынуждены ставить Cloudflare, Anubis, honeypot-ловушки и полностью банить ботов, ухудшая опыт обычных пользователей.
• Часть участников считает проблему не технической, а регуляторной: корпорации сознательно нарушают правила, полагаясь на армию юристов.
• Некоторые предлагают добровольно отдавать данные пакетами (tar-файлы), но боты даже официальные каналы скачивания игнорируют.

• Абсолютный объём маржинального долга обновил исторический максимум, но в относительном выражении (к капитализации рынка) он всё ещё ниже исторических пиков.
• Участники спорят: кто-то видит признаки перегрева и «пузыря» (PE > 500 у Palantir, концентрация в NVDA/TSLA), кто-то указывает на сильную прибыль компаний и нормализацию после ZIRP.
• Ключевой риск — синхронные margin-call’ы: если рынок проседает, вынужденные продажи могут запустить «лавину» падения цен.
• Некоторые считают нынешние 6 % ставки по марже всё ещё привлекательными против доходности S&P 9-10 %, другие предупреждают: «пока не случится внезапный обвал».
• Популярные индексные фонды (VOO, VTI) уже на 15-20 % состоят из «горячих» акций, поэтому даже пассивные инвесторы не защищены от возможной коррекции.