Hacker News Digest

OK, so every agentic prompt injection concern and/or data access concern basically immediately becomes worst case scenario with this, right? There is now some sort of "official AI tool" that you as a Federal employee can use, and thus like any official tool, you assume it's prope

• Обсуждение о том, что один из корпоративных Salesforce-инстансов Google был скомпрометирован через вишинг-атаки (UNC6040), с кратковременной утечкой контактных данных и заметок по малому и среднему бизнесу; официальный тон смягчает масштаб, что вызывает скепсис.
• Комментаторы сомневаются в формулировках “лишь базовые и публичные данные”, предполагая, что ценность для злоумышленников была реальной (возможны вторичные схемы, например мошенничество с биллингом).
• Многих удивляет, что Google использует Salesforce; объяснения: историческое наследие, быстрые поглощения, а также предпочтения команд продаж и маркетинга к индустриальным стандартам вместо внутренних инструментов.
• Приводятся истории о неудачных внутренних CRM у Google: баги, нехватка функций, нежелание инженеров поддерживать; продажи и PM часто продавливают Jira/Salesforce ради скорости найма и онбординга.
• Отмечается культурный сдвиг: замена внутренних решений “джанковыми” шаблонными процессами Salesforce; внутренние инструменты больше для инжиниринга.
• Уточнения: у Google десятки тысяч сотрудников в продажах/маркетинге; часть саппорт-систем GCP ранее зависела от Salesforce; выбор строить/покупать/партнериться по CRM оценивался и часто оказывался экономически нецелесообразным для собственной разработки.
• Общий вывод: инцидент — результат классической социальной инженерии, а не технического взлома; реакция компании стремится минимизировать восприятие ущерба, вызывая дискуссии о прозрачности и рисках использования сторонних SaaS.

If you're looking for a fantastic dev-focused linux distro, I can't say enough good things about Bluefin Linuxhttps://projectbluefin.io/ I really appreciate that he included a video with great narration. So much better than the animated gifs that provide too little context and go

Claude Code IDE для Emacs

Обзор

• Интеграция с Claude Code CLI через MCP создает двусторонний мост между Claude и Emacs.
• Claude получает доступ к возможностям Emacs: LSP, проекты, Elisp-функции, что делает его «понимающим Emacs» помощником в вашем рабочем процессе.

Возможности

• Автоопределение проекта и управление сессиями
• Терминал с цветом (vterm/eat)
• Реализация MCP для IDE-интеграции
• Инструменты для файлов, состояния редактора и рабочего пространства
• Расширяемый сервер MCP для Emacs-команд (xref, tree-sitter, project и др.)
• Диагностики Flycheck/Flymake
• Расширенный дифф с ediff
• Поддержка tab-bar и отслеживание выделений/буферов

Интеграция инструментов Emacs

• LSP через xref (eglot, lsp-mode) для навигации по коду
• Tree-sitter для анализа AST
• Imenu для структуры символов
• Project для операций на уровне проекта
• Любую команду/функцию Emacs можно выставить как MCP-инструмент: поиск и рефакторинг по проекту, доступ к режимам, выполнение кастомного Elisp.

Скриншоты

• Осведомленность об активном файле — знает, какой файл открыт
• Контекст выделения — работает с выделенным текстом
• Продвинутый дифф с диагностикой — ediff и доступ к ошибкам/предупреждениям
• Автоматические упоминания текста — вставка ссылок на выделение в диалог
• Восстановление сессии — продолжение разговоров с флагом –resume

Установка Предварительные требования

• Emacs 28.1 или новее

• AI-инструменты вроде Claude Code делают Emacs/Vim конкурентоспособными: вместо самостоятельной реализации сложных IDE-функций редакторы просто интегрируются с готовыми агентами.
• Пользователи хвалят Emacs за полный доступ к состоянию редактора и возможность «на лету» менять поведение через Elisp, что идеально подходит для AI-агентов.
• Уже существует несколько реализаций интеграции (claude-code.el, eca, claude-code-emacs и др.); споры идут, какая из них лучше, но все признают, что встраивание в Emacs ускоряет рабочий процесс.
• Проблемы: сложность конфигурации, риск утечки чувствительных данных, привязка к конкретному провайдеру и необходимость локального запуска для приватности.

This pops up every few years, and I bet once it gets in it never goes away. It seems asymmetric that one side only has to win once to win permanently while the other side has to win constantly. Is there any mechanism to stop this in the EU and make this kind of legislation explic

303Gen

• Обсуждение посвящено веб-инструменту в стиле TB-303: пользователи хвалят звук, музыкальность и авто-генерацию совместимых полиритмов для баса, лида и дрона, отмечают ностальгию по ReBirth и 90-м.
• Автор сообщает, что проект старый и незавершённый; добавил полифилл для cancelAndHoldAtTime в Firefox и выделил часть таймкипинга в библиотеку beatstepper.
• Многие просят открытый исходный код, локальный запуск, экспорт MIDI/стемов, визуализацию паттернов (пиано-ролл), сохранение/загрузку, MIDI синхронизацию и транспорт, а также продолжение воспроизведения при Regenerate.
• Есть баг-репорты: не работало в Firefox до полифилла, в Chromium после Stop остаётся тихий хвост/эхо, иногда нужно жать Stop несколько раз.
• Пользователи делятся альтернативами и вдохновляющими ссылками: Endless Acid Banger, roland50.studio, музыка Vitling, ивенты Acid August.
• Инструмент вызывает желание вернуться к электронной музыке; звучание напоминает Frank Klepacki/Red Alert 2, Dynamix на C64; просят добавить 909-кит.
• Автор кратко описал генерацию: ноты из выбранной гаммы/октавы, деление паттерна на чанки с вероятностным копированием/обновлением и настройкой повторов; сообщество хочет статью о методе.

Кратко:
22 июля 2025 г. Европол сообщил о задержании в Киеве 38-летнего администратора русскоязычного киберфорума XSS (≈50 000 участников). Форум считается «площадкой» для Revil, LockBit, Conti и др. Под арестом, по общему мнению, скрывается ник «Toha» — ключевая фигура русскоязычной киберпреступной сцены.

Кто такой Toha

• С 2005 г. основатель Hack-All, затем Exploit.in (продан в 2018 г.).
• В 2018 г. запустил xss.is на базе архива DaMaGeLaB.
• Доменные записи 2004-2010 гг. связывают его e-mail toschka2003@yandex.ru с именем Anton Medvedovskiy (Киев) и, частично, Yuriy Avdeev (Москва).
• После рейда аккаунты Toha во всех форумах замолчали; XSS снова онлайн, но в Tor.

Итог
Арестованный — вероятно, Medvedovskiy/Toha, арбитр сделок и гарант XSS почти 20 лет.

• Участники подозревают, что упоминание покупателя «Honeypo» в цепочке идентификации — ловушка.
• Обсуждают, почему киберпреступники живут в Европе, хотя есть более безопасные страны.
• Арест 38-летнего «русского» лидера банды в Киеве вызвал «хаос» на форумах — возможно, сбои в выплатах.
• Спор о терминологии: «deep web» или «dark web»; уточняют, что «darknet» и «deep web» — разные вещи.
• Предполагают, что BMW-объявление с данными Toha было ложным следом для сбивки следствия.

Я купил умные часы Colmi P80 за £16 лишь потому, что у них USB-C. Хотел проверить, возможно ли заряжать часы общим кабелем, и оказалось — да.

Что работает

• Показывает точное время.
• Подключается по Bluetooth без PIN.
• Принимает звонки, вибрация заметна.
• Подсветка включается поворотом запястья.
• Есть 2048, фонарик, USB-C-зарядка.

Автономность
0-100 % за 90 мин; после суток активного использования осталось 80 %, через 4 дня — 40 %.

Недостатки

• Приложение требует регистрации и разрешений.
• Пульс и сон измеряет неточно.
• Меню на китайском, инструкция скудная.
• Нет защиты данных, прошивка закрыта.

Вывод
За £16 это рабочий «однодневный» гаджет: заряжается от любого USB-C, звонит, показывает время. Не ждите медицинской точности и приватности.

• Часы за £16 не тянут 5,1 кОм резисторы на CC-пинах USB-C, поэтому не заряжаются от «умных» зарядок.
• Пользователи жалуются на отсутствие ПО, проприетарные серверы и риск «мертвого» устройства после прекращения поддержки.
• Некоторые хвалят дни работы без подзарядки, магнитные кабели и возможность самому перепаять питание.
• Поднимаются темы приватности, происхождения данных и желания открытой прошивки (Gadgetbridge, wasp-os).
• Итог: за цену двух кружек пива — рабочий, но «сырой» продукт; покупать или нет — решать вам.

Elixir-миф #1: «Let it crash»

Фраза «let it crash» вводит в заблуждение: звучит так, будто приложение падает, хотя речь всегда идёт об отдельном процессе, который супервизор мгновенно перезапустит. Приложение при этом живёт.

Проблема: процессы связаны с реальными вещами — сокетами, HTTP-запросами, файлами, БД. Пример LiveView:

def handle_event("import_data", %{"data" => data}, socket) do
  Enum.each(data, &create_item/1)
  {:noreply, socket}
end

Код упадёт, если:

• имя события не совпадёт;
• нет ключа "data";
• data не список;
• ошибка в create_item/1.

Первые три случая — скорее баг фронтенда, падение допустимо. Но последний — ошибка валидации одного элемента, и из-за неё весь веб-сокет пользователя рвётся, UI пропадает. Это плохой UX.

Что делать вместо «let it crash»

1. Валидируй вход до бизнес-логики.
2. Возвращай ошибки пользователю, а не падай.
3. Перезапускай только то, что действительно сломалось (например, соединение с БД), а не весь контекст пользователя.

Слоган лучше переформулировать:
«Не позволяй падать — позволяй исцеляться».

• «Let it crash» — это не призыв игнорировать ошибки, а концепция быстрого восстановления через дёшёвые процессы и деревья супервизоров BEAM.
• Слоган выглядит провокационно, но подразумевает, что система спроектирована так, чтобы падение одного процесса не рушила всё приложение.
• Ключевой источник — докторская диссертация Джо Армстронга «Making reliable distributed systems…», которую участники считают обязательной к прочтению.
• Перезапуск не решает фундаментальные проблемы (отсутствие конфигурации и т. д.), но помогает с транзиентными сбоями и временными условиями.
• Если ошибка повторяется, дерево супервизоров поднимает её всё выше, пока приложение либо восстановится, либо окончательно упадёт.

I’ve used the reverse. When making a new module I’ve let the llm make up an api and I’ve used the names suggested as inspiration of what might come natural to others, to make the use more intuitive. > LLMs hallucinated a package named "huggingface-cli" [...] it is not the name of