## 新的AI安全等式:Tokens vs. 漏洞利用
Anthropic的闭源LLM,Mythos,展示了网络安全能力的显著飞跃,成功完成了复杂的网络攻击模拟——这是AI安全研究所(AISI)最近测试中其他模型未能持续达成的。这凸显了一种令人担忧的新动态:安全性日益归结为一场经济竞赛。
AISI报告指出,为了有效保护系统,组织必须花费*更多*的tokens来识别漏洞,而不是攻击者花费在尝试利用漏洞上的tokens。Mythos的成功随着token预算的增加而持续,表明这是一种“低概率抽奖”,更大的计算投入直接对应着更高的漏洞发现率。
这具有关键意义:首先,开源软件的重要性被放大,因为广泛使用的库的集体token支出可能超过单个公司的安全预算。其次,软件开发可能会演变成一个三阶段过程:开发、审查和*专门的加固*,使用LLM,预算——以及因此产生的token支出——将成为后者的主要限制。
最终,代码安全性不再仅仅是关于巧妙,而是关于超越潜在攻击者的支出,类似于加密货币的“工作量证明”模式。
每日HackerNews RSS
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
网络安全看起来像工作量证明 (dbreunig.com)
25点 由 dbreunig 1小时前 | 隐藏 | 过去 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
俄克拉荷马州居民达伦·布兰查德因在二月份的克莱莫尔市议会上超出了三分钟的发言时间限制,被指控非法侵入。布兰查德原本打算表达他对“野马计划”的反对意见,该计划是一个引起当地担忧的拟议数据中心。 居民担心该数据中心可能对用水量、电费和噪音水平产生影响。然而,信息匮乏;该公司 Beale Infrastructure 拒绝与当地媒体沟通,并且据报道已与市官员签订了保密协议。 布兰查德的逮捕加剧了围绕该项目缺乏透明度的进一步不满,他计划对这些指控提出异议。这起事件凸显了社区担忧与缺乏公众讨论的大规模基础设施项目发展之间日益增长的紧张关系。
一名农民在市政厅会议上因超时几秒钟表达对数据中心项目的担忧而被捕。这一事件引发了愤怒,许多 Hacker News 上的评论员称逮捕行为是暴政,侵犯了宪法第一修正案的权利。
批评者指责该市行为“像黑社会”,指出市官员签署了保密协议,并暗示与数据中心项目存在潜在利益冲突。一些人认为,逮捕是故意压制异议,如果农民支持该项目,就不会因超时而受到惩罚。
虽然一些人为该市的行动辩护,但也有人谴责将轻微超时行为升级为逮捕,质疑是否需要动用执法部门,而不是简单地结束农民的发言时间。Reddit 上的一篇帖子称,这位农民可能拒绝离开讲台,但许多人对此表示怀疑,认为这一事件是滥用权力,并对言论自由造成了寒蝉效应。此案正在引起关注,可能会通过“斯特赖桑德效应”适得其反,给该市带来负面影响。
## piCore:树莓派的轻量级Linux piCore是Tiny Core Linux在树莓派上的适配版本,是一个用于构建定制Linux系统的灵活工具包。与传统发行版不同,piCore完全在RAM中运行,占用空间小,内核和应用程序较新,非常适合定制项目和学习Linux。 它主要在“云模式”下运行,通过互联网下载扩展(应用程序)并在基于RAM的只读文件系统中运行——更改不会在重启后保存。“挂载模式”允许在SD卡分区上进行持久存储,保存下载的扩展和备份,但需要手动或脚本备份。 安装涉及使用`dd`或Win32 Disk Imager等工具将原始SD卡镜像写入卡中。建议使用有线互联网连接进行时间同步和软件包安装。初始分区包含核心系统;挂载模式需要第二个Linux分区。 piCore由社区支持,资源可在Tiny Core Linux论坛和《深入核心》一书中找到,提供有关系统概念和工具的详细见解。默认用户是'tc',密码是'piCore',用于SSH访问(如果已安装)。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
PiCore - Raspberry Pi Tiny Core Linux 移植版 (tinycorelinux.net)
6 点赞,由 gregsadetsky 47 分钟前发布 | 隐藏 | 过去 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
首页订阅聊天活动发现个人资料创建独立声音的应用开始使用了解更多为您推荐获取应用 本网站需要 JavaScript 才能正常运行。请开启 JavaScript 或解除脚本阻止。
一篇 Hacker News 的讨论强调了对 Flock 员工(“Bob”)访问犹太社区中心儿童体操班和泳池室内监控录像的担忧。原始帖子链接到一篇详细描述该事件的 Substack 文章。
用户质疑为什么 Flock 摄像头——通常用于户外——被部署在设施*内部*,并建议使用更安全、更合适的解决方案,例如带网络录像机 (NVR) 的闭路 PoE 摄像头和 Zoneminder 等开源软件。
核心问题在于销售员工*为什么*会查看这个特定的摄像头画面,引发了对解释的要求。该事件引发了隐私问题,以及对监控系统适当访问控制的质疑。
请启用 JavaScript 并禁用任何广告拦截器。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
陪审团裁定Live Nation构成垄断,各州获胜 (nytimes.com)
21点 由 gbourne1 46分钟前 | 隐藏 | 过去 | 收藏 | 1评论 帮助
magicalhippo 30分钟前 [–]
重复:https://news.ycombinator.com/item?id=47783713 回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
展示HN:Jeeves – 用于浏览和恢复AI代理会话的TUI
Show HN: Jeeves – TUI for browsing and resuming AI agent sessions
59 分钟前
## Jeeves:AI 代理会话的 TUI
Jeeves 是一款专为浏览、搜索和恢复与 Claude Code 和 Codex 等 AI 代理会话而设计的终端用户界面。它允许用户在一个地方查看所有会话,按内容(包括正则表达式)搜索,并在恢复会话之前在分屏中预览对话。
安装方式简单,可通过各种包管理器进行:Homebrew、Nix、Arch Linux (AUR)、Winget、Scoop、Chocolatey 或直接 Go 安装。用户也可以下载预构建的二进制文件。
一个关键特性是会话持久性——Claude Code 会自动删除旧会话,但可以通过调整设置来禁用此功能。Jeeves 使用 Charm 工具构建,并利用 robinovitch61 viewport bubble。
**基本用法:** `jeeves` 浏览,`jeeves <搜索词>` 搜索,`r` 恢复,`/` 过滤。
更多详情和贡献请访问 GitHub:[https://github.com/robinovitch61/jeeves](https://github.com/robinovitch61/jeeves)
对不起。
金雕曾因历史上的迫害而在英格兰和威尔士灭绝,现在有望在政府支持的林业英格兰主导的项目下,重返诺森伯兰。这些雄伟的鸟类——拥有惊人的速度和卓越的视力——被认为是“关键物种”,对于面临生物多样性危机的英国更广泛的自然恢复至关重要,六分之一的物种面临风险。 此次重新引入旨在通过控制中层掠食者,如狐狸和獾,来恢复生态系统的平衡,为更稀有的野生动物的繁荣创造空间。林业英格兰在研究了28个潜在地点后,确定诺森伯兰是最合适的地点,优先考虑气候、地形和最小干扰。该项目遵循了对其他物种(如松貂和海狸)的成功重新引入,展示了英国扭转自然资源枯竭的日益增长的决心。
## 金雕再引入获得支持
一篇关于政府支持金雕重返英格兰的BBC文章正在Hacker News上引发讨论。用户们对此表示乐观,并将此举与成功再引入红隼的案例相提并论——红隼现在随处可见,并因其雄伟的风姿而备受赞赏。
然而,对话也涉及潜在的冲突。农业社区历来担心金雕会捕食牲畜,特别是羊羔。一位评论员坚信,保护物种不应为微小的经济影响而牺牲,而另一位则强调了农民需要养家糊口的实际困境,并强调了农业至关重要的作用。这场讨论凸显了在保护工作与经济生计之间取得平衡的复杂性。
Drift,一个在Solana上的永续期货交易所,遭受了2.85亿美元的攻击,源于利用“持久nonce”进行复杂攻击,从而夺取了管理权限。攻击者迅速移除了风险限制并清空了资金,将其转换为USDC,然后转到以太坊。 初步迹象表明,这是一支技术高超的团队所为,可能与朝鲜黑客有关,他们使用了高级社会工程学手段。此次事件是DeFi历史上最大的盗窃案之一,并引发了对USDC发行方Circle的批评。 许多人质疑,鉴于Circle的中心化控制以及通常冻结非法资产的做法——以太坊缺乏这种能力,为什么Circle没有在被盗资金停留USDC的六个小时内将其冻结。此次攻击凸显了DeFi协议中的漏洞,并引发了人们对中心化稳定币发行方在缓解大规模盗窃方面的响应能力的问题。
黑客新闻 新的 | 过去的 | 评论 | 提问 | 展示 | 工作 | 提交 登录
用户在苹果应用商店丢失 950 万美元,原因是假的 Ledger 钱包应用程序 (web3isgoinggreat.com)
20 分,来自 CharlesW 1 小时前 | 隐藏 | 过去的 | 收藏 | 3 条评论 帮助
LunaSea 34 分钟前 | 下一个 [–]
我以为苹果正在审查每一个应用程序,这正是他们从所有应用程序收入中获得 30% 荒谬利润的理由?回复
tencentshill 49 分钟前 | 上一个 | 下一个 [–]
它只需要在应用商店存在一周,就能窃取数百万美元,而没有任何补救措施。
这些富有的加密货币人士需要停止吝啬,并聘请财务顾问。不这样做的原因只有一种,那就是他们的财富最初是非法获得的。回复
dude250711 29 分钟前 | 上一个 [–]
单向封闭花园。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
彭博社 需要帮助?请联系我们 我们检测到您的计算机网络存在异常活动 要继续,请点击下面的框来确认您不是机器人。 为什么会发生这种情况? 请确保您的浏览器支持 JavaScript 和 cookies,并且没有阻止它们加载。 更多信息请查看我们的服务条款 和 Cookie 政策。 需要帮助? 关于此消息的咨询,请联系 我们的支持团队并提供以下参考ID。 阻止参考ID:fb58e657-3901-11f1-bc3b-f86121430199 通过彭博社订阅,随时掌握最重要的全球市场新闻。 立即订阅
陪审团裁定Live Nation/Ticketmaster非法垄断票务市场,据彭博社、美联社和《纽约时报》报道。此案的核心是反竞争行为的指控。
虽然判决确认了存在不当行为,但对消费者的财务影响似乎很小。初步报告显示,Ticketmaster每张票多收了1.72美元,引发了对预计少量退款(对某些票务而言,约为每张0.20美元)的讽刺评论。
然而,用户指出,报告中的1.72美元数字似乎与票价中常规添加的“费用”相比低得不成比例。Matt Stoller的通讯提供了此案的背景以及票务行业中更广泛的垄断权力问题分析。判决的长期影响还有待观察。
## grep PHP 扩展摘要 `grep` 是一个全新的 PHP 扩展,作为 C 模块构建,使用了 GNU `grep` 的源代码(GPLv3 许可)。它*不是*围绕命令行 `grep` 工具的包装器,而是一个原生 PHP 模块,直接暴露 `grep` 功能。 该扩展目前专注于构建一个强大的匹配引擎,支持固定字符串和正则表达式搜索(包括常见的 PHP 正则表达式简写),通过 GNU `grep` 的内部机制实现。主要功能包括递归搜索、二进制文件处理和可定制的输出格式。一个核心的 `ggrep()` 函数提供了一个简化的入口点,用于常见的 `grep` 风格操作。 开发优先保证与上游 `grep` 引擎的兼容性,并通过广泛的基准测试和正确性测试,与独立的 GNU `grep` 构建进行验证。未来的工作包括实现剩余的 CLI 选项(如 `-P`),更丰富的文本渲染,以及扩展 API 以支持更高级的用例。该项目提供了用于构建和比较扩展性能与原始 `grep` 实现的工具。
## GNU Grep 作为 PHP 扩展 - 摘要
一个新的 PHP 扩展,将 GNU Grep 的强大功能直接引入 PHP 代码,已经在 Hacker News 上分享。该扩展由 hparadiz (github.com/hparadiz) 开发,旨在为 PHP 应用程序提供高效的文本搜索功能。
然而,最初的反馈集中在许可选择上——GPL-v3-or-later,这可能会阻止那些拥有专有项目的公司采用。一位评论员指出,MIT 许可在这些情况下会更具吸引力。
另一个提出的观点是需要一个明确的比较,展示该扩展相对于仅仅使用 `shell_exec` 运行 `grep` 的优势。开发者需要主动展示性能优势以鼓励采用,因为用户不太可能自行进行基准测试。该扩展的许可受到其直接改编 GNU Grep 代码的限制。