## 单向信任漏洞利用:通过TDO转储进行横向移动
本研究详细描述了Windows单向信任中的一项漏洞,攻击者可以利用该漏洞访问受信任域。单向信任允许从受信任域到信任域的身份验证,反之则不行。在创建信任关系时,会在受信任域中自动创建一个特殊的`TRUST_ACCOUNT`。
虽然看似无害,但此帐户的密码以明文形式存储在*信任域*上的“受信任域对象”(TDO)中。一个新的Python工具`tdo_dump.py`可以有效地提取此TDO,从而揭示在受信任域上以`TRUST_ACCOUNT`身份进行身份验证所需的Kerberos密钥。
这有效地绕过了预期的单向访问控制,从而实现了横向移动。攻陷信任域的攻击者可以在受信任域内执行典型的Active Directory攻击——例如请求票据授予票据(TGT)和创建计算机帐户。该研究强调,由于远程访问和密钥检索方面的限制,现有的工具(如Mimikatz)对于这种特定攻击效果较差。`tdo_dump.py`工具和相关发现可在GitHub上获取。
联邦法官于3月13日临时阻止了拜登政府终止美国境内索马里国民临时保护身份(TPS)的尝试。 这起诉讼由索马里TPS持有人和倡导团体提起,认为终止该计划将使个人面临重大危害,包括遣返以及返回索马里后遭受暴力。
国土安全部曾宣布终止索马里TPS,声称情况有所改善,尽管拜登政府最近将其延长至2026年3月,理由是持续的冲突。 伯鲁斯法官引用了如果TPS被撤销,可能有一千多人面临“严重风险”。
法官的命令维持了当前的TPS保护——包括工作许可和防止遣返的措施——直到提交简报并对原告的动议作出裁决。 国土安全部批评该裁决是司法越权,而原告律师称其为重要的临时胜利。 目前约有1082名索马里国民拥有TPS,另有1383份申请待处理。
## Kniterate 工作坊总结
材料编程项目的首次工作坊侧重于 Kniterate 机器的实践培训,由 UAL 教学与学习基金资助。目标是为学生准备使用目前正在开发的新的针织编程工具。
本次会议首先概述了 Kniterate 编辑器——一款免费软件——并演示了如何编织一个基本的 100 针起针模板。参与者探索了基于图层的文件构建方式,并注意了它与其他针织工具(如 CMU Knit)的不同之处,尤其是在参数化设计潜力方面。一个关键的学习点是理解 Kniterate 软件如何精确管理起针过程中的纱线放置。
随后,工作坊探讨了罗纹结构和“提花”技术——通过分层纱线来实现色彩变化,而无需复杂的图案。学生们尝试创建罗纹,并观察了纱线特性如何影响纹理。最后,团队成功地编织了一个由另一位技术人员设计的样品,其中用提花罗纹拼写出名字。
本次体验强调了 Kniterate 的可视化界面比其他针织可视化工具更清晰,表明现有的针织工具需要提高可读性。
保守派评论员塔克·卡尔森声称,中央情报局试图陷害他,正在准备向司法部提交犯罪指控,声称他们监控了他与伊朗个人在战前沟通相关的私人短信。卡尔森坚称自己没有做错任何事,也不是外国代理人,并将所谓的监控描述为因挑战官方外交政策而受到政治动机报复。
这并非卡尔森首次声称自己被针对;他回忆起2021年的一起事件,当时在试图采访弗拉基米尔·普京期间,短信被泄露。目前的情况正值与伊朗关系紧张之际,有传言称卡尔森在特朗普政府期间曾被用作与伊朗的非官方渠道。
亲以色列活动家劳拉·卢默,一位公开批评卡尔森的人,公开庆祝这一消息,并声称她一直在积极游说调查潜在的《外国代理人登记法》违规行为,指控他同情伊斯兰教,并存在不当的外国影响。她认为卡尔森是在预先为自己的错误行为开脱。
深裂变(Deep Fission),一家位于加利福尼亚的初创公司,正在堪萨斯州帕森斯开凿世界上第一个地下核钻孔,从而开创了一种核能的新方法。该项目部分由特朗普时代旨在振兴美国核工业的倡议资助,目标是在地表一英里以下建造小型模块化加压水反应堆。
第一阶段包括钻探三个井,以收集工程和安全分析的数据。将反应堆放置在地下,利用天然地质构造——致密的页岩和石灰岩——进行被动屏蔽和遏制,从而降低成本和视觉影响。深裂变计划在7月4日实现反应堆临界,并已与Urenco USA达成低浓缩铀供应协议。
凭借8000万美元的资金和在堪萨斯州场地建设全面商业项目的计划,以及未来12.5千兆瓦电力供应的储备,深裂变正在推动核技术和部署的边界。
巴林一家大型铝冶炼厂,约占全球产量2.2%,因霍尔木兹海峡中断而减少了20%的产量。这不仅仅是能源问题,它正在影响工业金属并威胁全球供应链。
巴林铝业公司(Alba)启动了受控停产,以节省原材料,因为通过这一重要咽喉要道的航运路线仍然严重中断,油轮交通显著减少。海湾合作委员会国家总共生产全球超过8%的铝,这使得该地区的动荡成为一个重大问题。
虽然伊朗声称该海峡对大多数船只仍然开放,但局势正在加剧铝供应收紧和伦敦市场价格可能上涨的风险。 此次中断凸显了该地区不稳定带来的更广泛的经济后果。
## 星条旗报面临新限制
五角大楼最近发布了一份关于《星条旗报》的现代化计划,该报是军方的独立新闻来源,引发了对其未来的担忧。3月9日的一份备忘录确认了该报的独立性,但引入了重大的监督和内容限制,旨在使其重新专注于服务“作战人员”,并过渡到以数字格式为主。
该备忘录限制了新闻通讯社的使用,取消了像漫画一样的联合内容,并要求内容符合“良好的秩序和纪律”。这些变化是在五角大楼发言人肖恩·帕内尔呼吁消除“觉醒干扰”之后发起的,并且在未与《星条旗报》领导层沟通的情况下实施。
包括美国笔会(PEN America)在内的新闻自由倡导者认为,该备忘录威胁了第一修正案原则,并可能损害该报长期以来的独立性。担忧的重点是五角大楼加强监督、限制获取信息(包括《信息自由法》请求和受控非机密信息)以及推动优先考虑国防部公共事务内容。
《星条旗报》领导层计划告知读者这些变化,并承诺在新的限制下继续坚持独立报道。自内战以来,该报一直是军人的重要新闻来源,历史上一直受到两党支持,并经受住了过去的关闭威胁。
## Vibecoding 现实检验:100小时应用构建
在听到关于使用“振动编码”(AI辅助开发)可以在几分钟内构建应用程序的说法后,作者花费100小时构建并发布了一个简单的应用程序Cryptosaurus,以测试其极限。作者之前曾在一家初创公司使用过AI编码工具,他们相信这项技术的潜力,但怀疑炒作被夸大了。
该项目——创建个性化的恐龙头像——最初使用AI原型快速启动。然而,实现一个完善的、可用于生产的应用程序证明要复杂得多。虽然AI加速了初始开发,但完善UI/UX、处理图像生成中的边缘情况,以及使用AWS部署后端都耗费了大量时间。
作者了解到,在没有仔细规划和关注细节的情况下“仅仅构建”会导致比预期更长的过程——大约是炒作的30分钟构建的100倍。最终,Cryptosaurus发布后获得了适度的成功(1000多用户,180多付费用户),但强调了持续对工程专业知识的需求,尤其是在关键细节和错误修复方面。
这次经历证实,AI可以提供10-100倍的速度提升,但并不能消除对工艺的需求。它将开发者的角色从编码者转变为管理者,并强调开发过程的最后10%——润色和用户体验——仍然至关重要。
作者认为,当前事件混乱且常常不合逻辑的走向——从粗制滥造的动作电影到国际冲突,再到腐败的体育组织——源于单一的根源:哈罗德和乔治在《队长内裤》系列中的不受约束,且可能具有破坏性的想象力。
最初在一部古怪的电影情节中注意到他们的影响,作者现在看到他们的“手笔”体现在不断升级的全球紧张局势、政策变化(例如国防部更名)以及普遍存在的腐败,甚至包括国际足联内部。他们指出美国足球丑闻就是一个典型例子,滑稽地将一名被定罪官员的奢靡生活方式与这两个男孩对过度场景的偏好联系起来。
作者对这种不受控制的想象力的后果表示担忧,担心美国公民最终将承担这些奇幻但具有破坏性的“游戏”的负担。他们最后恳求队长内裤介入,暗示需要一位英雄来恢复一个看似由顽皮而强大的孩子们掌控的世界的秩序。
## 80x24 与 80x25 终端的奇特案例
80x24 和 80x25 终端显示尺寸的持久流行并非源于内在的技术限制,而是由 IBM 主导的历史遗产所致。虽然 80 列源于穿孔卡,但行数的故事则围绕着 IBM 的市场影响力展开。
1971 年,IBM 的 3270 终端,配备 80x24 显示屏,成为畅销产品,有效地设定了标准,竞争对手纷纷效仿。1981 年的 IBM PC 随后普及了 80x25,继承了早期且经常被遗忘的 IBM DataMaster 微型计算机的尺寸。这一选择并非出于必要——它只是最大化了 PC 的显示能力,并使其与竞争对手区分开来。
许多理论试图基于电视扫描速率或内存限制等因素来解释这些尺寸,但早期终端的多样性(尺寸范围从 31x11 到 133x64!)证明了纯粹的技术基础是不成立的。IBM 的主导地位迫使标准化,取代了其他考虑因素。
最终,80 个字符的宽度源于穿孔卡兼容性,但 24 或 25 行是 IBM 市场地位的后果,造成了我们今天在终端窗口中仍然看到的分割。
新冠封锁期间,为了寻找新的爱好,作者重新发现了被遗忘的软件定义无线电(SDR)接收器。起初不确定它的用途,他们很快便深入到使用SDR软件(如SDRSharp和CubicSDR)进行射频探索的世界。
除了基本的调频广播,作者还成功地收听到了当地警察的频率和业余无线电(HAM)通信。然而,真正的突破来自于接收来自NOAA气象卫星的信号,并使用简单的天线解码云层覆盖图像。
为了提高图像质量,他们又开始尝试接收来自地球静止轨道GOES-16卫星的数据。这需要更复杂的设置——一个WiFi网格天线、滤波器、放大器,以及运行专业软件的树莓派,成本约为100美元。结果?令人惊叹的高分辨率(10K)地球图像,包含多个光谱波段,每15分钟更新一次。
作者从35,000公里之外独立接收到这些“地球自拍”,感到无比满足,这在充满挑战的时期是一种有益的消遣。
## Figure Robotics:通向通用人形机器人的飞跃
最近对Figure Robotics的访问显示出自主人形机器人在取得惊人的进展。Figure的机器人现在能够执行复杂的、现实世界的任务——例如厨房工作和包裹处理——持续时间较长(目前为67小时,错误极少),这表明机器人正从演示阶段向可行产品转变。
这一进步源于激进的软件变革:用一个单一的学习神经网络(Helix 2)取代了数十万行脆弱的C++代码。这使得机器人能够从经验中学习并泛化技能,这意味着如果一台机器人学会一项任务,整个机队都能立即受益。
Figure还通过垂直整合的硬件制造处于独特地位,优先收集数据和快速迭代。他们的新型Figure 3机器人更轻、更便宜,并且专门设计用于支持人工智能的学习过程。生产正在迅速扩大,计划建立机器人装配线——机器人制造机器人——以实现指数级的制造增长。
最终目标不仅仅是自动化,而是“通用机器人”——能够在*未见过*的环境中自主执行长时间工作的机器人。Figure预计将在2026年进行有限的家庭测试,在2027-2028年进行更广泛的试点,并在2029年实现大规模可用,通过类似于人类劳动的租赁模式提供机器人,从而可能迎来一个商品和服务成本大幅降低的富足时代。
在全球关注伊朗和霍尔木兹海峡之际,美国军方本周派遣P-8A海神飞机飞越台湾海峡,引发了北京的反应。美国第七舰队表示,此次行动重申了国际航行权以及美国对自由开放的印太地区的承诺,尽管特朗普和习近平之间即将举行贸易谈判。
据报道,中国对美国在峰会计划方面感到沮丧,并因伊朗石油进口受阻而面临经济压力。此次台湾海峡巡逻被视为向区域盟友发出的战略信号——即使在中东地区军事重点增加,美国仍然在印太地区展示力量。
然而,分析人士认为,鉴于当前资源集中在伊朗局势上,中国可能在缺乏立即美国反应的情况下入侵台湾。此举凸显了复杂的地缘政治格局和潜在的脆弱性。