Hacker News Digest

• Суть: в июне СМИ взорвались заголовком «утёк 16 млрд паролей». Люди хлынули на Have I Been Pwned, хотя данных там ещё не было.
• Источник: исследователь Bob передал 10 JSON-файлов, 775 ГБ, 2,7 млрд строк — это лишь 17 % от заявленных 16 млрд.
• Состав: сборка логов инфостилеров за 2024 г., а не единый «взлом». 90 % e-mail уже были в HIBP, дубликаты внутри и между файлами огромны.
• Вывод: цифры в заголовках раздуты, реальная новизна минимальна.
• Решение: данные добавлены в HIBP под названием «Data Troll» — исключительно как пароли, без личных данных.

• @papa-ja просит помощи в получении лидов банков США.
• Участники обсуждают, как СМИ преувеличивают масштабы утечек, считая записи или гигабайты вместо реальных людей.
• Показано, что 2,7 млрд записей сводятся к ~109 млн уникальных людей (–96 %).
• Подчёркивают, что «мастер-дамп» может содержать множество дублей на одного человека из-за множества аккаунтов и утечек.
• Упомянута база Pwned Passwords как открытый способ проверять, новая ли утечка или уже известная.

ИИ уже умеет писать код и находить ошибки, которые пропустил опытный разработчик. Пять лет назад это казалось фантастикой, а теперь эксперты всё ещё ошибаются в прогнозах. Рост может замедлиться, но это только усилит исследования новых архитектур.

Если ИИ не остановится, последствия будут отличаться от предыдущих технологических взрывов. Рынки ведут себя как «стохастические попугаи», повторяя старые паттерны, но замена значительной части рабочих мест поставит экономику на грань. Компании перестанут покупать сервисы, если их ИИ справится сам, а доминирование нескольких гигантов невозможно: либо интеллект станет товаром, либо государство вмешается.

Возможно, ИИ приведёт к новой экономической системе. Пока рынки игнорируют риски, акции растут, но в исторической перспективе биржи неважны: любые институты рано или поздно исчезают, когда общество и знания меняются кардинально.

• Участники спорят, насколько быстро и радикально ИИ изменит рынок труда: одни видят экспоненциальный рост способностей, другие ― плато и регресс.
• Ключевой риск: если ИИ сможет учиться на новые задачи быстрее человека, прежняя логика «технологии создают больше занятости» может рухнуть.
• Уже сегодня административные и низкоквалифицированные роли сокращаются: 4 сотрудника заменяются одним супервайзером над агентами-ИИ.
• Ряд комментаторов предлагает UBI или иной пересмотр экономической системы, иначе неизбежны рост неравенства и социальная нестабильность.
• Скептики напоминают: раньше каждая волна технологий порождала новые профессии, но теперь ИИ может освоить и эти новые задачи, поэтому «человек больше не нужен» как ресурс.

PYX — новый Python-реестр от создателей uv.
Ускоряет установку из PyPI и приватных источников в разы, фильтрует пакеты по популярности, возрасту и уязвимостям, поддерживает современные стандарты и GPU-фреймворки (PyTorch, vLLM, FlashAttention, DeepSpeed) с готовыми сборками под ваше железо.

Запишитесь в лист ожидания и станьте первым, кто попробует будущее Python.

• Astral анонсировала коммерческий приватный реестр Pyx, чтобы упростить установку тяжёлых GPU-зависимых пакетов.
• Часть сообщества рада скорости uv и удобству, другие опасаются VC-финансирования, будущего «закрытия» и повторения судьбы предыдущих проектов.
• Критика: имя Pyx конфликтует с Cython, неясны детали работы, а расходы компании вызывают сомнения в жизнеспособности без поглощения.
• Сравнения с Anaconda/conda-forge, Artifactory и Docker-контейнерами: многие считают, что проблема решается и без нового реестра.
• Итог: Pyx выглядит как ещё одна попытка «серебряной пули» в хаосе Python-упаковки, и сообщество ждёт подробностей и гарантий открытости.

Почему я выбрал OCaml как основной язык

С 2012 года OCaml стал моим главным инструментом для личных и профессиональных задач. Меня даже дружески называют «евангелистом OCaml» — звание, которым я горжусь. Несмотря на стереотипы, язык активно применяют Meta, Microsoft, Bloomberg, Jane Street, Tezos и многие другие.

Язык

• Статическая типизация без боли: компилятор выводит типы и не даёт ошибиться.
• Мультипарадигменность: функциональный стиль, ОО, императивные вставки.
• Алгебраические типы и pattern-matching делают моделирование данных естественным.
• Мощная модульная система позволяет собирать большие проекты без головной боли.
• Внедрение зависимостей через модули или эффекты без runtime-фреймворков.
• Будущее: multicore уже в релизе, эффекты, производительность растёт.

Недостатки: малый рынок труда, скромный набор библиотек, синтаксис «не для всех».

Экосистема

• Компилятор генерирует быстрый нативный код, есть JavaScript (js_of_ocaml) и MirageOS (уникальная unikernel-платформа).
• OPAM — удобный менеджер пакетов.
• Dune — современная сборка на S-expr; внутри реализованы Selective Applicative Functors.
• Merlin + LSP = IDE-фичи в VS Code, Vim, Emacs.
• Odoc генерирует документацию из кода.
• Библиотеки: Core, Lwt, Async, Irmin, Dream — покрывают большинство задач.

Сообщество

Компактное, дружелюбное, сильно ориентировано на open source. Конференции ICFP, OCaml Workshop, обсуждения в Discord и Discuss.

Мифы

• OCaml ≠ F#: разные экосистемы, рантаймы, цели.
• Операторы +. и +. — не проблема, есть ppx-решения.
• Разделение .ml/.mli не обязательно: интерфейсы можно описать прямо в .ml.

Итог

OCaml — это прагматичный выбор, когда не нужен ручной контроль памяти как в Rust. Он даёт скорость разработки, надёжность и удовольствие от кода.

• Google перешли с Python на Rust не ради скорости, а ради базовых FP-фич — ADT и pattern matching.
• Многие отмечают, что OCaml приятен, но страдает из-за слабой экосистемы, плохого tooling’а и Windows-поддержки.
• Часть разработчиков предпочитает F# или Rust: у первого богатый .NET-стек, у второго — библиотеки и производительность.
• Синтаксис OCaml вызывает споры: кто-то считает его «инопланетным», кто-то привыкает за неделю.
• Несколько человек задумались, подходят ли FP-языки лучше для работы с LLM из-за компактности кода и строгой типизации.

• Шутка — это неожиданный, но в ретроспективе очевидный поворот.
• Универсально смешного не существует: дети не хватает контекста, профи всё предугадывают.
• LLM обучены минимизировать сюрприз, предсказывая «среднее» мнение; смешного не выходит.
• Больше GPU не помогут: архитектура противоречит юмору.
• То же касается историй: если события предсказуемы — скучно; если не вытекают друг из друга — неправдоподобно.

• Автор статьи утверждает, что LLM плохи в шутках, потому что обучены минимизировать сюрприз; участники спорят, путая ли он «сюрприз» с «невероятностью».
• Некоторые считают, что дело не в модели, а в пост-обработке (safety, RLHF), которая гасит остроумие.
• Другие добавляют: юмор — это ещё доставка, контекст и ошибки мышления, а не просто текст.
• Примеры показывают, что более крупные модели (Gemini 2.5, GPT-4.5) уже умеют быть смешными, если их хорошо спросить.
• Вывод: проблема не в «запрете на сюрприз», а в сложности самого юмора и в текущих ограничениях систем.

Real TDD — шутка от Google: вместо написания кода достаточно писать тесты, а программа сама генерирует реализацию.

Инструмент обучен на миллиардах строк OSS, использует Google Brain, вывод типов и изоморфизм Жирара-Рейнольдса. При сохранении теста он за доли секунды подбирает подходящий код из Spanner.

Команда уже на 89 % пишет код так: пишут тест → получают класс. Пример: тест формирует URL по наб-ру ID, инструмент выдаёт обобщённую реализацию.

Скоро будет бесплатный сервис (с ограничениями), пока решают лицензионные вопросы GPL/BSD. Хотите альфу — оставьте комментарий.

P.S. 1 апреля!

• В 2014-м «шуточный» анонс Real TDD (писать только тесты, код пишет компьютер) через 10 лет стал почти реальностью, но уже не нужны даже тесты.
• Участники сравнивают это с прогрессом DeepMind: за 11 лет мечта о «AGI» превратилась в текущие LLM.
• Кто-то признаётся, что принял бы старую шутку за настоящий продукт, не глядя на дату.
• Примечательны и другие «шутки», ставшие реальностью: Pixar сначала высмеивал рендер еды, а потом снял «Рататуи».
• Итог: ожидания сместились, теперь «vibecoding» генерирует и тесты, и код, и, возможно, убивает саму профессию разработчика.

CSRF — атака «сбитого заместителя»: злоумышленник заставляет браузер отправить запрос на целевой сайт с авторизацией жертвы через куки.
Пример: скрытая форма на attacker.example переводит деньги с example.com.

Защита нужна всем, кто использует cookie-аутентификацию. Это не про полный доступ злоумышленника, а про блокировку подделанных запросов.

Почему браузеры разрешают?

Из-за обратной совместимости и SSO-потоков; отключение «сторонних» кук ломает авторизацию.

same-site ≠ same-origin

• https://app.example.com и https://marketing.example.com — same-site, но разные origin.
• HTTP ↔ HTTPS — разные trust-уровни; схема важна.
• Куки пока схему не учитывают (кроме Chrome с 2020).
• Sec-Fetch-Site и Fetch-спецификация считают HTTP и HTTPS разными сайтами.
• HSTS помогает закрыть HTTP→HTTPS CSRF.

Защита

Токены

• Double-submit: случайное значение в cookie и в теле/параметре.
• Synchronized tokens: значение хранится на сервере.
• Проблема «cookie tossing» — чужой origin может подложить куку.
  • Решение: префикс __Host- или подпись токена с привязкой к пользователю.
• Подпись без привязки к пользователю бесполезна: злоумышленник может взять свою пару «кука-токен».

SameSite cookies

• SameSite=Lax/Strict блокирует отправку кук на cross-site POST.
• Не защищает от GET-CSRF при Lax.
• Не работает для «сторонних» POST, если нужен SSO-обход.

Origin/Referer

• Проверка заголовков Origin/Referer; ломается при их отсутствии.

Fetch Metadata + Sec-Fetch-*

• Sec-Fetch-Site, Sec-Fetch-Mode, Sec-Fetch-Dest позволяют серверу отвергать подозрительные запросы.
• Пока не везде поддерживается.

SameSite + токены

• SameSite закрывает большинство случаев, токен — оставшиеся edge-case.
• Удобно, но нужно помнить про SSO-исключения.

Итого

• Используйте SameSite=Lax + CSRF-токен.
• Для критичных действий — SameSite=Strict или явная проверка Origin.
• Учитывайте HTTP→HTTPS и cookie-tossing.

• Участники спорят о безопасности методов GET/HEAD/OPTIONS: одни считают их «безопасными» по спецификации, другие указывают, что многие приложения всё равно меняют состояние.
• SameSite-cookies не решают CSRF полностью, потому что браузер различает site, а не origin; поддомены одного site могут иметь разный уровень доверия.
• Защита нужна не только для cookie, но и для любой HTTP-аутентификации (Kerberos, NTLM, OAuth).
• Некоторые разработчики радуются, что новые Sec-Fetch-* заголовки и проверка Origin позволяют отказаться от классических CSRF-токенов, но это пока не повсеместно.
• Сообщество сходится во мнении: если «безопасные» методы всё-таки меняют данные, это баг самого приложения.

Golpo – превращает документы в ролики с доской.
Без навыков, за минуту, качество профи. Поддержка Y Combinator.

Пример – видео создано одним промптом.

Тарифы

План	Цена	Кредиты/мес	Особенности
Free	$0	1	водяной знак, без скачивания
Beginner	$19.99	8	скачивание
Starter	$39.99	20	без водяного знака
Creator	$99.99	60	15 с, 50+ языков, голосовые инструкции, вертикаль
Growth	$199.99	150	до 4 мин, редактирование сценария, цвет

Enterprise – безлимит, API, сториборд, брендинг.
Забронировать демо

• Пользователи хвалят идею и техническую реализацию, но критикуют «рисование» текста: буквы появляются хаотично, что мешает чтению.
• Демо-видео кажутся слишком текстовыми и быстрыми; диаграммы и код не успевают осознать.
• Часто просят возможность загружать фото/документы для лучшей консистентности и редактировать результат.
• Возникают технические проблемы: 404 при скачивании, «server overloaded», неясно, сколько кредитов тратится.
• Людям нравятся голос и музыка, но спрашивают API, поддержку ссылок и планы против «шерлока» от гигантов.

Кейс-пример плохого найма и как его исправить

Несмотря на крики о нехватке киберспециалистов, вакансий мало лишь из-за безобразного подхода компаний. Рассмотрим Canonical, уже год ищущую Head of Security Operations.

Главные ошибки

• Спам по городам
  Одну и ту же удалённую вакансию дублируют для каждого европейского штата и города, забив поиск.

• Ошибки и отсутствие зарплаты
  «endpoitns» в описании и ни слова о компенсации — верный признак низкой оплаты и географической дискриминации.

• Глупые требования
  «Выдающаяся школьная успеваемость» для руководителя SecOps — абсурд.

Как надо

1. Одна вакансия = один пост. Укажите «Remote, EU/US».
2. Публикуйте диапазон зарплат. Одинаковый для одинаковых навыков.
3. Проверяйте текст — орфография и логика важны.
4. Собеседуйте быстро: 2–3 этапа, максимум неделя между ними.
5. Обратная связь в течение 48 часов после каждого этапа.

Уберите спам, добавьте уважение к кандидату — и «недостаток талантов» исчезнет сам собой.

• Участники высмеивают Canonical за извращённый процесс найма: длинные формы, тесты по школьным оценкам, множество этапов и отказ раскрывать зарплату до финала.
• Подчёркивается, что такие практики дискриминационны, неэффективны и отталкивают сильных кандидатов.
• Критикуется и общий рынок труда: «дефицит талантов» часто означает «хотим MIT-овцев за минималку».
• Glassdoor обвиняют в предвзятости и неточных данных о зарплатах.
• LinkedIn-спам и отсутствие диапазонов зарплат делают холодные отклики почти бесполезными.

• Gartner критикуют за «pay-to-play»: платные места в Magic Quadrant и вымышленные категории.
• Но корпорации всё равно покупают отчёты, чтобы переложить ответственность и защитить репутацию перед акционерами.
• Молодые CTO всё чаще берут информацию из X, подкастов и Substacks, считая Gartner устаревшим.
• В крупных компаниях процесс всё ещё завязан на Gartner: «кто-то же должен подписать бумажки».
• Ни стартапы, ни ИИ пока не свергли Gartner, но модель выглядит всё более шаткой.