Hacker News 每日播报:今天我们将深入探讨 Linux 安全漏洞、Python 生态中的新星 Mojo 和 uv、一场独特的战棋游戏、高性能计算的极限优化、状态机设计的新范式、京都小巷里的咖啡爵士乐、X Window System 的历史趣闻、地图生成算法的巧妙应用,以及夏威夷公路的非官方指南。
<a href="https://news.ycombinator.com/item?id=44325861">Linux udisks 新漏洞:攻击者或可获取 Root 权限</a>
一篇来自 BleepingComputer 的报道揭示了 Linux udisks 工具中存在一个新的安全漏洞,该漏洞允许攻击者在多个主流 Linux 发行版上获取 Root 权限。udisks 是一个用于管理磁盘设备和文件系统的用户空间程序,通常以特权用户身份运行。这个本地权限提升(Local Privilege Escalation, LPE)漏洞意味着,一旦攻击者获得低权限账户,便可利用其获取系统最高权限。受影响的发行版包括 Ubuntu、Debian、Fedora、AlmaLinux 等,影响范围广泛。
关于这个漏洞,社区展开了深入讨论。有人认为,在共享内核系统上,LPE 漏洞的危害性相对有限,因为攻击者总能找到提权途径。然而,也有观点反驳称,LPE 在多用户系统或运行多服务的单用户系统上仍至关重要,它可能成为远程攻击链的关键一环。关于 CVE 的讨论也指出,Linux 内核的 CVE 数量不一定直接反映实际可利用的漏洞,但即使是看似不严重的 bug,也可能通过“瑞士奶酪理论”与其他漏洞组合形成攻击路径。
讨论还延伸到 Linux 的隔离机制。容器被认为是开发运维工具而非可靠安全边界,而微虚拟机(Micro-VMs)被提出作为更强的隔离手段。Android 系统通过 SELinux 和细粒度进程隔离实现了高安全性。令人讽刺的是,用户命名空间(User Namespaces)这个本用于隔离的功能,却被指出是过去 LPE 漏洞的常见来源,甚至有发行版为安全而限制了非特权用户对它的访问。
此外,特权管理工具的复杂性和安全性也成为焦点。udisks 的漏洞引发了与 sudo 的对比,sudo 庞大的代码量被解释为处理复杂策略和日志的需要。setuid 机制被批评为过时且危险,OpenDoas 和 systemd 的 run0 被提及为替代方案。Ubuntu 计划将 sudo 替换为 Rust 实现的 sudo-rs,也引发了关于新实现成熟度和许可协议的讨论。
<a href="https://news.ycombinator.com/item?id=44331316">Python 现已支持运行 Mojo</a>
koaning.io 上的一篇文章探讨了 Mojo 语言与 Python 之间的互操作性,特别是如何让 Python 调用 Mojo 编写的代码,以及这种能力带来的潜在性能提升。作者 Vincent D. Warmerdam 兴奋地指出,Mojo 可以作为一种简单的编译语言,为 Python 提供高性能函数。文章展示了如何使用 uv 工具安装 Mojo,并编写 .mojo 文件,通过 PythonModuleBuilder 导出,使其能在 Python 中像普通模块一样被调用。
作者通过阶乘计算和朴素质数计数两个实验测试了性能。尽管 Mojo 在计算 factorial(100) 时出现了整数溢出(作者推测是早期堆栈问题),但在计算密集型的质数计数任务中,Mojo 展现出显著的速度优势,比纯 Python 快约 40 倍,比 NumPy 也快约 20 多倍。作者总结,尽管 Mojo 尚不成熟,但其与 Python 的便捷互操作性以及显著的性能提升令人乐观,他认为 Mojo 比 Rust 更易学,同时能提供所需的函数加速。
关于 Mojo 的讨论非常活跃。许多人提到 Mojo 最初宣传的“Python 超集”概念已淡化,现在更强调其作为“Pythonic”语言,专注于 CPU+GPU 的高性能执行,特别是 AI 推理。有人质疑其价值主张,但 Modular 员工解释“超集”是理想化目标,目前更注重借鉴 Python 语法并提供强大的集成钩子。
Mojo 也被频繁与 Julia 进行比较,许多人认为 Julia 已是成熟、高性能、支持多硬件的语言,质疑为何要创造新语言。也有人指出 Julia 缺乏大型企业支持。与 Rust (PyO3) 相比,Mojo 的主要优势在于对 GPU 编程的原生支持。Mojo 的 Python 互操作性通过生成 C 扩展实现,目标是简化这一过程。关于整数溢出,Modular 员工确认 Mojo 的 Int 目前是机器整数,未来计划增加任意精度 bigint。Mojo 是 GIL-free 的,对于并行计算是重要优势。社区普遍认为 Mojo 仍处于早期阶段,其核心编译器尚未开源,引发了对未来商业模式和开放性的担忧。
<a href="https://news.ycombinator.com/item?id=44320832">Cataphract:中世纪奇幻角色扮演战棋游戏</a>
Sam Sorensen 的设计日记《Cataphract: Medieval-fantasy roleplaying wargame, in the Black-Sea C. 1300》吸引了人们的目光。这款游戏的核心在于模拟战争的“作战”层面——即军队在战场上的后勤、移动和通信等复杂中间环节。游戏设定在公元 1300 年左右虚构的黑海地区,是一款异步、邮件式、实时战棋游戏。玩家扮演军事指挥官,在五个受历史启发派系中进行对抗。
游戏机制强调前现代战争的挑战:军队行军需数天或数周,通信仅通过信使实时传递。这导致严重的信息滞后和战争迷雾,指挥官无法实时掌握战场全貌。游戏从 5 名玩家发展到 23 名,通过 Discord 线程、电子表格和地图文件管理。作者发现,随机生成的下属指挥官特质和关系带来了丰富的角色扮演和派系内部动态。最成功的玩家是那些计划简单、专注于保持态势感知和组织协调的人。这种持续的不确定性和信息滞后创造了一个高压环境。
这种极端的协调难度导致了一个意想不到的结果:派系内部的高度忠诚。玩家们对上级和同僚极其忠诚,因为他们迫切需要可靠的信息和协调。派系间的联盟往往因操作失误而失败,而非背叛。作战情报,即了解“实际”发生的情况,成为最有价值的资源。
人们对这个概念表现出极大的热情,特别是那些熟悉军事历史和战棋游戏的人。许多人立即认同并赞赏 Bret Devereaux 的 ACOUP 博客带来的灵感。关于游戏节奏,有人认为这种慢节奏的“邮件式”游戏听起来更像“终身成就”而非休闲娱乐,但也有人辩护称,Discord 设置使其易于管理,玩家可以随时发布命令。关于忠诚与背叛的观察也引发了讨论,人们将其与历史上的军事内部竞争进行对比,进一步印证了作者的观点:极端的信息滞后和不确定性从根本上改变了玩家的激励机制,使可靠的内部沟通和信任变得至关重要。
<a href="https://news.ycombinator.com/item?id=44351068">用 SIMD 在 60 毫秒内找到十亿个阶乘</a>
Codeforces 博客上的一篇文章深入探讨了如何极致优化计算大量数字的阶乘对一个大素数取模的任务。作者的目标是将一个朴素的 O(M+n) 解决方案从几秒钟优化到 60 毫秒左右。
文章首先展示了一个朴素的块状计算方法,耗时 3745 毫秒。随后,作者介绍了一系列优化步骤:
- 威尔逊定理: 将计算范围减半,降至 1889 毫秒。
- 跳过偶数阶乘: 将
n!分解为奇数乘积和 2 的幂,进一步减少乘法数量,降至 998 毫秒。 - 指令级并行 (ILP): 同时处理多个独立计算块,利用 CPU 流水线,降至 287 毫秒。
- 向量化 (SIMD): 引入 SIMD 指令(AVX)和向量化 Montgomery 乘法,降至 119 毫秒。
- 优化辅助操作: 预计算 2 的幂次和使用基于前缀积的批量模逆元算法,降至 99 毫秒。
- 回退到常规计算: 对于较小的
n值,避免奇数阶乘分解的额外开销,最终达到 64 毫秒。
关于这篇文章,人们解释了为什么在竞技编程中经常需要计算模素数的阶乘:这是处理大数计算的一种常见方法,通过在有限域内进行运算来避免整数溢出。关于模逆元的计算,讨论提到了费马小定理和扩展欧几里得算法,并认为文章中使用的批量模逆元方法是处理大量逆元请求的高效方式。此外,还出现了一个关于计算“最大阶乘”(不取模的精确阶乘)的有趣岔题,指出其主要受限于内存和乘法算法效率。
<a href="https://news.ycombinator.com/item?id=44351817">Polystate:可组合的有限状态机</a>
Hacker News 上一个名为 Polystate 的 Zig 语言库引起了关注,它专注于构建可组合的有限状态机(Finite State Machines, FSMs)。Polystate 的核心设计哲学是将状态机的状态记录在类型层面,并通过类型组合来实现状态机的可组合性。作者认为,这能带来一种更理想的编程范式,提高命令式程序结构的正确性,并通过组合简单状态构建复杂状态机,实现语义层面的代码复用。此外,它还能自动生成状态图。
文章通过计数器 FSM、ATM 的 PIN 校验逻辑和 Raylib 游戏中的选择语义等具体例子阐述了这些概念。特别是 ATM 例子,通过在类型声明中嵌套三次 checkPin 状态,精确地在类型层面表达了“最多尝试三次 PIN,失败则退卡”的业务逻辑。
关于 Polystate 的概念,人们展开了热烈讨论。有人指出作者在 README 中使用的某些术语可能不够精确或难以理解,但代码示例是理解其“类型组合实现语义复用”概念的关键。Polystate 也被与 TypeScript 的 XState 库、Haskell 中的 co-algebras 和 polynomial functors、以及 Rust 的 Type States 模式进行比较。自动生成状态图的功能受到了多位评论者的赞扬,认为它非常有价值,因为它保证了图表与实际代码实现的一致性。
<a href="https://news.ycombinator.com/item?id=44356248">京都后院的咖啡与爵士乐</a>
Substack 上的文章《Backyard Coffee and Jazz in Kyoto》分享了作者 Addison Del Mastro 在日本京都旅行时,偶然发现一家藏在民宅后院的微型咖啡馆兼酒吧的奇妙体验。文章探讨了日本城市中这种微型、高度专业化小店的现象,以及作者从中感受到的独特“奇妙”感。作者认为,这种感觉源于日本城市极低的创业门槛和宽松的监管环境,使得普通人可以相对容易地将爱好转化为小规模商业实践,创造出更亲密、更具社交性的体验。
关于这篇文章,许多讨论围绕着监管、区域划分(Zoning)和创业门槛展开。人们普遍认同日本低门槛的观察,并以美国高昂的酒牌费用为例进行对比。然而,也有人担忧在美国简单降低许可要求可能被大公司滥用,但反驳者指出高门槛反而更有利于大公司。关于日本的具体情况,有人指出日本的土地使用规划允许住宅区内存在小规模商业活动。
小店的氛围、美学和“奇妙感”也引发了深入讨论。人们认为小店之所以不显破旧,是因为它得到了精心的“打理”和“呵护”,这是一种“旧化”(patina)而非“破烂”,承载了历史和人类活动的痕迹。有人将这种感觉与日本的“侘寂”(wabi-sabi)美学联系起来。讨论还触及了具体的日本文化体验和一种更广泛的“日本情结”,有人分享了自己在日本其他城市类似微型爵士酒吧的经历,也有人对 Hacker News 社区中常见的“日本万物皆好”的倾向提出了批评,认为这有时是一种理想化甚至“恋物化”。
<a href="https://news.ycombinator.com/item?id=44352311">X Window System 并非一开始就有 X 终端</a>
一篇关于 X Window System 历史的文章指出,物理意义上的“X 终端”(即专门用于运行 X Server 并连接远程应用的瘦客户端硬件)并非与 X Window System 同步出现。文章可能追溯了 X 的早期历史,指出它最初是在像 DEC VAXstation 100 这样的图形工作站上开发和运行的,这些系统与后来我们熟知的瘦客户端 X 终端有很大不同。真正的、独立的 X 终端硬件是后来才出现的,其背景是当时昂贵的工作站成本和集中化管理的优势。
关于 X 终端的起源和技术特性,有人指出 X 最初运行的 VAXstation 100 是一种特殊的图形终端。也有人提到早期的 X 终端硬件配置,如 HP 的一些型号甚至运行在 16 位的 186 CPU 上。关于 X 终端的经济性和管理优势,人们认为与昂贵的 Unix 工作站相比,X 终端确实更具成本效益,最大的优势在于集中化管理,一个系统管理员可以支持几十甚至上百个通过 X 终端连接的用户。
讨论还触及了 X 终端的实际应用和性能。许多用户分享了他们在大学或工作中使用 X 终端的经历,例如连接到 Sun、DEC、HP 等服务器运行 Matlab 等昂贵的软件。早期的 X 应用对网络带宽要求相对较低,但随着图形内容和 Web 浏览器的出现,网络性能成为瓶颈,加速了向本地计算(PC)的转变。一些讨论充满了怀旧情绪,回忆起使用 X 终端的“美好时光”,并将其与 Plan 9 终端或现代的 Citrix 等远程桌面解决方案进行比较。
<a href="https://news.ycombinator.com/item?id=44351487">使用 Wave Function Collapse 解决大规模解谜地图生成问题</a>
游戏开发者 sublevelgames 分享了一篇关于使用 Wave Function Collapse (WFC) 算法生成解谜游戏地图的文章。在开发解谜游戏《Logic Islands》时,作者发现对于某些规则集,传统地图生成方法在生成大于 7x7 的地图时会异常缓慢甚至卡死。
为了解决这个问题,作者转向了 Wave Function Collapse (WFC) 算法。他没有试图用 WFC 直接生成完整的谜题,而是根据不同的规则集,选择性地用 WFC 生成地图的 一部分,例如“岛屿”或“墙壁”的轮廓线。通过精心设计瓦片及其连接规则,将复杂约束转化为局部的瓦片连接规则,WFC 能够自然地生成符合规则的地图,无需额外的后处理。通过这种方式,原本无法生成大地图的规则集现在可以稳定生成 12x12 甚至更大的地图。
关于这篇文章,人们对 WFC 算法本身的性质和命名展开了热烈讨论。多位评论者认为“Wave Function Collapse”这个名字具有误导性且过于夸大,与量子力学并无实质联系,本质上是一种约束满足或基于局部约束的搜索算法。有人将其比作“瓦片约束配对”或“随机数独求解器”。也有人指出,这类算法的早期名称是“Model Synthesis”,可能更贴切。此外,人们还探讨了 WFC 在其他生成问题上的应用潜力,例如生成具有复杂约束的街道路面瓦片图案。
<a href="https://news.ycombinator.com/item?id=44357411">uv:用 Rust 编写的极速 Python 包和项目管理器</a>
Hacker News 上最近热议的一个项目是 uv,一个用 Rust 编写的、速度极快的 Python 包和项目管理器。它的核心目标是提供一个高性能的替代方案,来处理 Python 生态系统中常见的依赖管理、虚拟环境创建、包安装、构建和发布等任务,并声称能够取代 pip, pip-tools, pipx, poetry, pyenv, twine, virtualenv 等多种现有工具。
uv 的主要卖点在于其“极致的速度”,它利用 Rust 语言的性能优势,并结合了优化的算法和并行处理能力,显著提升了 Python 项目中常见的操作速度。它提供了包安装和依赖解析、虚拟环境管理、项目管理(支持 pyproject.toml 和锁文件)、脚本执行(uv run,支持 PEP 723)、包构建和发布以及 Python 版本管理等核心功能。项目强调其设计理念是既提供一个与 pip 命令兼容的 CLI 接口,也提供一个更现代、以项目为中心的接口。
人们对 uv 的反应非常热烈,绝大多数是积极的,尤其集中在其令人印象深刻的速度上。许多用户分享了他们初次使用 uv 时被其速度震惊的经历,称其“令人困惑地快”。这种速度提升被认为是 uv 迅速获得认可的主要原因。人们认为 uv 解决了实际痛点,简化了 Python 开发者的工作流程,并整合了多种工具的功能,实现了工具链的简化。uv 能够兼容现有的 venv 环境和 pyproject.toml 文件,降低了迁移成本。关于 uv 为什么这么快,人们认为关键因素是采用了更优的算法、高效的并行处理、智能缓存以及通过硬链接节省磁盘空间。uv 的出现也再次引发了关于“重复造轮子”的讨论,许多人认为当现有“轮子”存在明显缺陷时,重新设计并构建一个更好的轮子是完全合理且必要的。
<a href="https://news.ycombinator.com/item?id=44350978">夏威夷公路</a>
Hacker News 上出现了一个名为 "Hawaii Highways" 的网站链接,这是一个非官方、非商业性质的夏威夷公路网络指南。网站的核心是一个由公路爱好者精心维护的在线资源,详细记录了夏威夷群岛的公路系统,旨在为“公路迷”提供深入的技术和历史信息,也为自驾游客提供实用路线参考。
网站内容非常详尽,覆盖了夏威夷的主要岛屿,提供了州际公路、州道甚至部分县道的详细列表,包含路线的起点、终点、里程、历史背景和照片链接。网站还提供了瓦胡岛高速公路出口和立交桥的详细指南,以及夏威夷交通标志、州际公路和州道终点等有趣细节。网站作者明确表示其观点并非官方立场,并寻求读者的帮助提供修正、更新或照片。网站创建于 1997 年至 2010 年间,是一个典型的“老派”网站,非营利、无广告。
关于这个网站,人们对夏威夷(以及阿拉斯加)拥有“州际公路”这一事实感到好奇,认为这在地理上有些讽刺,但讨论指出这更多是一个联邦资金和命名上的技术问题。网站设计与可用性也是一个主要的讨论焦点。一些用户对网站的“老派”设计表示赞赏,称其为“巅峰网页设计”,并提到了其快速的加载性能。然而,另一些人则批评了网站的可用性问题,如非响应式设计、低对比度文本和在移动设备上的体验不佳。网站的主题也引发了一些用户分享他们在夏威夷的驾驶经历。此外,还有人将网站作者这种对特定主题进行深入研究和整理的行为,与自闭症谱系人士的特质联系起来,并称赞这是“爱的劳动”。