## 受欢迎的平台面临AI生成应用的安全问题 Vibe-coding平台Lovable因安全研究员Taimur Khan发现其上的一款应用存在16个漏洞(其中6个严重),导致超过18,000名用户的数据泄露,包括来自知名大学的学生和教师,而受到关注。 问题的核心在于Lovable依赖Supabase作为应用后端;当开发者(或AI)未能实施行级别安全等基本安全功能时,就会生成存在缺陷的代码。 Khan发现了一个关键的身份验证漏洞,允许未经授权访问用户数据,这表明AI有可能创建功能齐全但不可安全的应用。 Lovable认为用户有责任在发布前解决标记出的安全问题,并提供免费的安全扫描。 然而,Khan认为这不足够,尤其是在Lovable积极推广这些应用的情况下。 Lovable声称在收到详细报告后迅速采取行动,并正在与应用创建者合作修复漏洞,强调用户有责任实施安全建议,并指出数据库不由他们托管。 这起事件凸显了人们对AI生成代码安全性的日益担忧,最近的报告表明存在高比例的缺陷。
我们似乎正处于一场“诈骗的黄金时代”,与历史上的欺诈时期相呼应,从大萧条时期的骗子到中世纪的江湖骗术。但这是一种新的常态,还是一种周期性的循环?作者认为后者,并通过一个晦涩的数学理论来解释:进化博弈论(EGT)。
与传统的博弈论不同,EGT关注的是成功的策略如何在一段时间内在一个群体中增加。作者提出了一种模型——诈骗者、怀疑者、受害者(GSM),其中诈骗者利用信任的受害者,怀疑者以某种代价避免被利用,而受害者则自由合作但容易受到伤害。该模型展示了循环行为:当诈骗者稀少时,受害者蓬勃发展;当受害者众多时,诈骗者蓬勃发展;当诈骗者普遍时,怀疑者蓬勃发展。
这与“鹰、鸽和报复者”等模型形成对比,后者会达到一个稳定的平衡。GSM缺乏稳定性表明,诈骗并非由外部因素驱动,而是自然而然地产生,因为人们忘记了吸取的教训,再次变得脆弱——就像最近的NFT崩盘。虽然这是一种简化,但该模型表明我们可能正接近“诈骗高峰”,并且怀疑主义可能会增加,但仍然需要保持警惕。
## SQL驱动的自动化调试
该系统利用一个代理,通过查询存储在ClickHouse中的海量构建和测试历史数据集,快速诊断CI/CD失败。系统每周摄取约15亿行日志和70万个任务,通过反规范化压缩至154GB,压缩率为35:1 – 在每行日志旁边存储48个元数据列。
该代理不依赖预定义的工具,而是使用SQL接口构建自己的查询,利用LLM在SQL生成方面的优势。它从任务元数据(失败率、成功率)的广泛查询开始,并在需要时深入到原始日志行(错误输出、模式出现),平均每个调查需要4.4个查询。
对8500个调查的分析表明,典型问题扫描33.5万行,但复杂的调查可能达到43亿行。性能的关键在于ClickHouse的列式格式、主键设计、跳过索引和物化视图。
通过谨慎的节流来解决GitHub API速率限制,保持数据新鲜度,P95摄取延迟低于5分钟,这得益于一个持久执行引擎(Inngest),它可以无缝处理暂停和恢复。这使得主动调试和更快地解决CI/CD问题成为可能。
## postmarketOS 2026年2月总结
二月对于postmarketOS来说是一个繁忙的月份,主要围绕FOSDEM和一次成功的黑客马拉松展开。开发工作继续致力于定义“主力”设备的规范,旨在实现长期可靠性。该项目的AI政策已更新,明确禁止使用生成式AI。
团队的重要变化包括欢迎Bhushan成为可信贡献者(近期致力于Fairphone 5通话音频),并感谢Minecrell和Anton多年来作为可信贡献者的服务,他们分别率先支持Android和Chromebook。
贡献者支持计划的成员专注于内核工作、基础设施改进(包括新的KDE nightly仓库和通用内核包)以及治理任务。像`dint`这样的新工具正在简化deviceinfo管理。PinePhone用户通过修复Megapixels 2.1.0获得了可用性提升。
该项目欢迎贡献,特别是使用Python进行`pmbootstrap`清理任务。v25.12版本发布期间,有几个设备构建失败,需要关注,否则可能面临归档处理。通过OpenCollective的支持将不胜感激。
完整的
RAM 拆解
内存映射
所有内容
例程
数据
消息
未使用的地址
图形和声音
洞穴
声音
数据表和缓冲区
游戏状态缓冲区
参考
更新日志
术语表
花絮
漏洞
Poke值
鸣谢
完整的 Manic Miner RAM 拆解 20221122
© 1983 Bug-Byte Ltd. © 2022 Richard Dymond.
使用 SkoolKit 8.8 创建。
切换到十六进制。
简街科技创建了一个具有挑战性的“夺旗”风格机器学习谜题,不同于典型的黑盒逆向工程,他们提供了完整的神经网络规范——包括权重。目标不是获得特定输出,而是*理解*网络的功能,这反映了现实世界的解释性研究。
该网络被设计为对大多数输入输出0,但出乎意料地可以解决。一位学生亚历克斯通过分析网络的结构来解决这个谜题,发现手工设计的整数权重和重复模式。他最初怀疑是一个复杂的方程,试图将网络转换为线性程序,但面临扩展性问题。
最终,亚历克斯意识到该网络实现了一个修改后的MD5哈希函数,故意包含一个与输入长度相关的错误。虽然最初这是一个死胡同,但理解了这个错误,并结合更大的词表进行暴力破解,揭示了解决方案:两个常见的英语单词。这个谜题的成功凸显了平衡逆向工程复杂性的难度,并促使简街科技创建进一步的挑战,寻找在机械可解释性方面有技能的人才。