Hacker News Digest

Делайте то, что не масштабируется

Стартапы не взлетают сами — их взрывают основатели. Почти всем приходится вручную привлекать первых пользователей: ходить по квартирам, как Airbnb в Нью-Йорке, или ставить Stripe на месте, отнимая у клиентов ноутбуки. Стыд и лень мешают выйти из-за кода и продавать, но без этого не выжить.

Кажется, что 10 новых пользователей в неделю — ничто, но при росте 10 % в неделю через год их будет 14 000, а через два — 2 млн. Главное — не недооценить степень роста и не списать себя слишком рано. Microsoft начиналась как пара парней в Альбукерке, писавших Basic для горстки хоббистов. Airbnb едва не умерла, но 30 дней личного общения с пользователями спасли её.

Ранние стартапы хрупки; судить их по стандартам крупных компаний — всё равно что смотреть на новорождённого и говорить: «Это никогда ничего не добьётся».

• Основная мысль эссе Пола Грэма: на ранней стадии стартапу важнее делать вещи, которые не масштабируются, чтобы быстро найти продукт-рыночное соответствие.
• Комментаторы подчеркивают: преждевременная оптимизация и подражание большим компаниям часто вредят.
• Некоторые предупреждают, что «не масштабировать» не значит «никогда не масштабировать» — важно вовремя перейти к росту.
• Критика: эссе рискует эффектом выжившего и не учитывает специфику B2B или не-VC бизнесов.
• Общий вывод: делайте ручную, «нерациональную» работу, пока она приносит любовь пользователей, но имейте план, как заменить её масштабируемым решением.

• GitHub теряет независимость: уходит CEO Томас Домке; платформу переводят в состав CoreAI — новой инженерной группы Microsoft по ИИ.
• Причина: Microsoft хочет ускорить интеграцию GitHub-сервисов (Copilot, Models) в экосистему Azure и Office.
• Что меняется: GitHub больше не будет дочерней компанией; команды перейдут под руководство вице-президента по ИИ Джейсона Ханджера.

• GitHub переходит под полное управление команды CoreAI Microsoft, что символизирует конец «крутого» периода Microsoft и независимости GitHub.
• Пользователи опасаются, что акцент на AI приведёт к деградации качества и навязыванию продуктов Microsoft.
• Многие уже рассматривают альтернативы: GitLab, Codeberg, Forgejo, SourceHut, Tangled и другие.
• Сообщество критикует GitHub за снижение стабильности, навязчивую интеграцию Copilot и отсутствие прозрачности.
• Наблюдается общее разочарование AI-хайпом и желание вернуть фокус на надёжные инструменты разработки.

• AI & ML: генеративный ИИ, Copilot, LLM, машинное обучение
• Навыки разработчика: разработка приложений, карьера, GitHub, образование, языки и фреймворки
• Инженерия: архитектура, принципы, инфраструктура, безопасность, UX
• Корпоративное ПО: автоматизация, CI/CD, коллаборация, DevOps, DevSecOps

• Томас Домке уходит с поста CEO GitHub; должность замещать не будут — сервис полностью переходит под крыло Microsoft CoreAI.
• Прощальная фраза «So long, and thanks for all the fish» вызвала споры: кто-то увидел намёк на «разрушение» старого GitHub, кто-то считает это просто внутренним мемом.
• Пользователи критикуют превращение GitHub в «AI-платформу» и обвиняют его в использовании opensource-кода для Copilot без согласия авторов.
• Некоторые разработчики уже мигрируют на GitLab, Codeberg, Gitea или собственные серверы, чтобы избежать участия в обучении ИИ.
• Сообщество также жалуется на отсутствие IPv6, тормоза интерфейса и «геймификацию» платформы.

OS/2: ядро и сервисы
OS/2 — многозадачная ОС для 286/386, API-ориентированная, расширяемая. Архитектура: ядро, Windows Presentation Manager, LAN Manager. Достаточно ядра для многозадачности; WPM и LAN не обязательны.

SDK
Поставляется с оптимизирующим С-компилятором, макро-ассемблером, линковщиком, отладчиком CodeView, редактором. Документация по вызовам и драйверам.

Планировщик
Превентивный, вытесняющий: по таймеру ядро перехватывает CPU и переключает задачи. Приоритеты + кванты времени; при переключении сохраняются регистры и режимы.

Динамические библиотеки
API реализован в DLL; адреса 32-битные, параметры через стек. Экономия диска и RAM: код загружается и разделяется между процессами. Ошибки в DLL исправляются без пересборки приложений. Повторный запуск той же программы переиспользует код, выделяя только данные/стек/кучу.

Режимы процессора

• Protected: многозадачность, изоляция процессов.
• Real: совместимость с MS-DOS, прямой доступ ко всей памяти.

• OS/2 2.1 умело загружаться и многозадачно работать даже с одной 1,44 МБ дискеты без GUI, чем восхищались участники.
• Обсуждали преимущества вытесняющей многозадачности OS/2 над кооперативной Windows 3.x и особенности Pascal-calling convention, экономившей 3 байта и такты на вызов.
• Вспомнили, что ранний OS/2 создавался совместно IBM и Microsoft, но к 1990 г. Microsoft переключилась на Windows NT, а IBM осталась с OS/2.
• Отметили долгие годы работы OS/2 в терминалах MetroCard нью-йоркского метро и вспомнили SOM как более продвинутую альтернативу COM.

Короткая история Windows XP

Microsoft к концу 90-х стал «фоном жизни» — любое изменение вызывало бурю, а через пару лет продукт становился обыденным. Компания мечтала избавиться от MS-DOS, пробовала XENIX, XEDOS, затем OS/2, но успех Windows 3 разрушил союз с IBM. Спасением стал Дэвид Катлер, перешедший из DEC: его команда создала Windows NT, совместимую с DOS, UNIX и OS/2. План убить DOS-наследие через Windows 2000 отменили 7 апреля 1999 г.

• @ayaros и @Lammy вспоминают XP как «пик Microsoft»: обожают Luna/Neptune UI, музыку из тура и дизайн Watercolor.
• Критики (@krige, @spankibalt) считают тему XP «игрушечной» и скучной, предпочитая Classic Theme или вообще Linux.
• Ностальгия объясняется тем, что XP была первым компьютером миллениалов (@ianhawes), но технически уступала 2000 (@troupo, @lproven).
• Безопасность XP до SP2 была ужасной (@stetrain, @herbst), зато Vista/8 «убили» прогресс (@vjvjvjvjghv).
• Кто-то хранит запечатанную коробку XP (@cyrialize), кто-то даже шептал в OOBE-музыку (@EvanAnderson).

• aka.ms — коротилка Microsoft. Попытка зайти на https://aka.ms привела к логину только для сотрудников.
• akasearch.net — индекс ссылок aka.ms; нашёлся eng.ms.
• eng.ms — домен с приложением EngineeringHub. При входе через личный M365-аккаунт появился consent-запрос на доступ к профилю. После подтверждения — 500-я ошибка, но OAuth-токен уже выдан.
• rescue.eng.ms — поддомен, где после аналогичного согласия открылся Engineering Hub Rescue: список 22 внутренних сервисов Microsoft (Cloud + AI, Gaming, Finance и др.) с полным доступом через обычный аккаунт.

Итог: публичные OAuth-приложения Microsoft внутри корпоративных тенантов могут выдавать токены сторонним пользователям, если не ограничены политикой согласия. Проверьте свои тенанты на наличие подобных приложений и настройте Admin consent workflow, чтобы избежать утечек.

• Документация Microsoft по Entra ID/SSO вызывает у разработчиков «тыкание в темноте» и ошибки конфигурации.
• Уязвимости в мультитенантных приложениях возникают из-за непроверенных полей токена (iss, tid, audience) и отсутствия фильтрации по тенантам.
• Даже внутренние сервисы Microsoft открыты в интернет из-за политики Zero Trust, что увеличивает поверхность атаки.
• Исследователь получил RCE на сборочных серверах Windows, но Microsoft не выплатила ни цента, вызвав критику программы bug bounty.
• Сообщество советует: не полагаться на Entra для авторизации, всегда валидировать каждое поле токена и строить defense-in-depth.

OpenAI выложила первые открытые веса: gpt-oss-120b и gpt-oss-20b. Модели хороши в бенчмарках, но проваливают SimpleQA и бедны на поп-культуру. Это, по сути, Phi-5.

Почему Phi?

Себастьян Бубек в Microsoft создал серию Phi, обучаясь исключительно на синтетике: высококачественные, но дорогие токены. Результат — отличные цифры в тестах и слабая практика, потому что «учили к экзамену». В конце 2024-го Бубек ушёл в OpenAI, и новые gpt-oss, судя по всему, построены на той же идее.

Зачем синтетика?

Безопасность. Открытый вес нельзя отозвать, а сообщество быстро стриптизирует модель под эротические ролевые игры. Синтетические данные позволяют заранее заложить отказы и избежать скандалов. OpenAI не нужно, чтобы модель была полезна в проде — достаточно победить китайские открытые веса в таблицах.

Итог: gpt-oss — это Phi-5 и Phi-5-mini, созданные ради безопасности и рекламных графиков.

• Модель GPT-OSS из-за жёстких «сейфти-фильтров» отказывается переводить даже безобидные романтические сцены с 17-летними персонажами.
• Пользователи жалуются, что цензура мешает повседневным задачам: переводам, переписке, написанию детских историй.
• Некоторые считают главной причиной отказа от полного open-source именно страх перед тонкой настройкой моделей для эротического ролеплея.
• Другие подтверждают: в локальных сообществах «первертов» действительно много, но это далеко не единственный сценарий использования.
• В итоге часть аудитории уходит на «аблитерированные» Llama и прочие неконтролируемые модели.

Американская экономика раскололась: бурный ИИ-сектор и вялая потребительская часть.

• В статистике: траты на ИИ в прошлом квартале росли быстрее потребительских расходов; без ИИ рост ВВП был бы слабым.
• В акциях: за два года около 60% прироста рынка дали компании, связанные с ИИ (Microsoft, Nvidia, Meta); без этого бумa доходность была бы посредственной.
• В бизнес-данных: по Stripe, «ИИ-компании» лидируют по росту выручки, опережая остальные группы.

Что это за бум и откуда деньги? ИИ — это чипы, серверы и дата-центры, огромная электроэнергия, сети и охлаждение. Это крайне дорого. За полгода Meta, Google, Microsoft и Amazon вложили $100–200 млрд в чипы и инфраструктуру. Крупнейшие техгиганты строят на рекордных скоростях — крупнейший инфраструктурный проект со времен ранней компьютерной эры или даже железнодорожного бума.

JP Morgan отмечает: доля Nvidia в совокупных капзатратах компаний может стать максимальной со времен пиковой выручки IBM в 1969. По расчетам Пола Кедроски, капвложения в ИИ как доля ВВП уже превысили дотком-уровни и приближаются к масштабам «позолоченного века» железных дорог.

Этот всплеск финансируется беспрецедентной прибылью лидеров технологий. Их доля свободного денежного потока — рекордная со Второй мировой. Сильные действующие модели (реклама Meta, поисковая реклама Google и пр.) генерируют «горы» наличности, позволяя ежегодно направлять сотни миллиардов на ИИ-НИОКР и инфраструктуру.

• Участники спорят, действительно ли ИИ «поддерживает» весь рост экономики США или просто концентрирует капитал в руках 10–15 гигантов.
• Многие сравнивают нынешний бум с «железнодорожной лихорадкой» XIX века и дот-комом 1999–2000 годов: возможен и прорыв, и взрыв пузыря.
• Поднимается вопрос: если ИИ так продуктивен, почему прибыли растут у «продавцов лопат» (Nvidia, Microsoft), а не у клиентов из S&P 490.
• Часть комментаторов считает, что без ИИ деньги всё равно бы не пошли в реальную экономику, а осели бы в выкупе акций или «загородных REIT-ах».
• Скептики предупреждают: рекордные capex на дата-центры могут обернуться масштабным спадом, если спрос на ИИ-сервисы замедлится.

Слишком многие сервисы используют такой вход:

• Введите email или телефон
• Сайт отправит 6‑значный код
• Введите код для входа

Пожалуйста, прекратите.

Почему это плохо для безопасности:

• Злоумышленник может отправить ваш email на легитимный сервис и заставить вас ввести присланный код в фишинговой форме. Вы не можете быть уверены, где именно нужно вводить код. Менеджеры паролей тут не помогают.
• Этот метод реально эксплуатируется: вход Microsoft для аккаунтов Minecraft использует такие коды, и уже множество аккаунтов было украдено (есть подтверждения на Reddit и YouTube, а также в документации Microsoft).

• Обсуждение критикует OTP по email (6-значные коды): уязвимость к фишингу через «партнёра-входа», спам-запросы на сброс пароля и навязывание пользователям вместо пароля/менеджеров паролей.
• Многие считают, что email-коды хуже UX: задержки, переключение аккаунтов, блокировки при путешествиях, навязчивая MFA/телефон, а также баги (отписка от рассылок ломает вход).
• Контраргументы: пароли тоже фишингуемы и часто слабые/повторяются; для нетехничных пользователей код/магическая ссылка понятнее.
• Предпочтения и альтернативы: магические ссылки вместо кодов (менее фишингуемы), TOTP, passkeys, соцлогин, менеджеры паролей, иногда даже IP-ограничения; просьбы дать выбор, а не форсить один метод.
• Безопасность email-OTP можно улучшать: сочетать короткий код и длинный одноразовый токен, строгие антифишинговые меры почтовых сервисов, ограничения на частоту запросов.
• Реальные негативные кейсы: принудительные схемы у банков/сервисов, невозможность входа без телефона, постоянные письма о сбросах, статические «коды» у некоторых приложений.
• В целом тренд: сервисы перекладывают риск на почту/Google; часть участников продвигает переход к passkeys и магссылкам как более безопасным и удобным компромиссам.

MS used to have uservoice pages. They ignored issues, no matter how highly-voted they were. I once asked someone at MS about this, and they said they take their cues from other sources, like what industry partners ask them to fix at conferences.What a waste of time to have uservo

I am worried about the future of native UI technologies on Windows. Traditionally at least the developers of operating systems have eaten their own dogfood and have at least tried to implement well-performing & visually consistent native applications to serve as an example to oth