## 瑞典电子政务平台源代码泄露 威胁行为者ByteToBreach泄露了瑞典电子政务平台的完整源代码,该代码是通过对瑞典政府数字服务关键IT提供商CGI Sverige AB的重大入侵获得的。此前,维京航线也遭受了类似的入侵。 泄露的数据不仅包括源代码,还包括员工数据库、API文档签名系统、Jenkins凭据以及用于侦察和利用的工具。敏感公民数据(个人身份信息数据库和电子签名文档)已被收集,并正在单独出售。 攻击利用了漏洞,包括完全入侵Jenkins、Docker逃逸和SSH密钥枢纽。ByteToBreach直接指责CGI的基础设施导致了此次泄露,批评将事件归咎于第三方的倾向。源代码正在被免费发布,对瑞典的数字基础设施构成严重风险。
每日HackerNews RSS
## Okmain:为您的卡片提供更好的背面颜色
许多应用程序使用单一颜色来表示卡片的背面,该颜色基于其图像,通常是通过将图像缩小到单个像素并使用该颜色来实现。然而,这经常导致颜色暗淡、浑浊。为了解决这个问题,作者开发了 **Okmain**,一个 Rust 库(带有 Python 封装器),用于从图像中提取具有视觉代表性的颜色。
Okmain 通过在 **Oklab 颜色空间** 中使用 **颜色聚类**(使用 K-means,最多四个聚类)来改进简单的调整大小——这是一种感知上统一的空间,可以避免 sRGB 平均值的浑浊感。然后,它根据像素数量、图像内的中心位置(权重偏向中心)和颜色 **色度**(饱和度)对这些聚类进行排序。
性能至关重要,因此 Okmain 会对图像进行降采样并利用自动矢量化的优化。作者还尝试使用 LLM 代理来辅助开发,发现它对初始草稿和调试很有帮助,但最终需要手动完善关键的、对性能敏感的代码。
Okmain 可以在大约 100 毫秒内从多兆像素图像中提取主色调,并且可在 crates.io 和 PyPI 上获取。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
好的:如何选择一张图片的合适主色调 (dgroshev.com)
4 分,作者 dgroshev 1小时前 | 隐藏 | 过去 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
Ceno是一款免费的手机浏览器,即使在互联网连接中断或被切断的情况下,也能让你访问和分享网络信息。借助其他用户,Ceno帮助你绕过互联网审查。已有566,565名用户加入。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
Ceno,无需互联网访问浏览网页 (ceno.app)
7点 由 mohsen1 3小时前 | 隐藏 | 过去 | 收藏 | 2评论 帮助
voidUpdate 30分钟前 [–]
我理解正确吗?你仍然需要互联网访问,才能从其他人那里获取页面。另外我不确定这如何降低数据成本。供应商是否对从不同服务器获取数据收取不同的费用?进入你设备的数据量仍然相同,只是来自通常不同的地方。回复
mlnj 18分钟前 | 父评论 [–]
这似乎是一种规避审查的方法。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
标本图库 – CC0 透明标本 PNG,按分类学组织
Specimen Gallery – CC0 transparent specimen PNGs organized by taxonomy
1 小时前
标本图库
浏览
上传
标本图库
一个开放源代码、CC0许可的自然标本图库——免费使用、贡献和扩展。
浏览 94+ 标本
上传
白尾鹿
Odocoileus virginianus
银柱仙人掌
Cylindropuntia echinocarpa
莫哈韦丝兰
Yucca schidigera
窄叶蓼
Rumex hymenosepalus
曼扎尼塔
熊果仙人掌
Opuntia basilaris basilaris
红穗花
Emilia fosbergii
七星瓢虫
Coccinella septempunctata
马达加斯加鼠妇
Armadillidium nasatum
环颈鹦鹉
Psittacula krameri
查看所有标本
标本图库——开放源代码自然历史标本
关于
·
上传指南
·
条款
·
开源
## 标本库:免费、透明的标本PNG图片
由于缺乏可用于项目的、开放许可的图像,开发者 eclectic_mind05 创建了 [specimen.gallery](https://specimen.gallery) – 一个包含生物体(动物、植物、真菌)透明PNG图像的库。
与现有的资源如素材网站、维基共享资源、PhyloPic 和 iNaturalist 不同,标本库提供 CC0(公共领域)图像,这意味着无需署名或支付费用。图像按科学分类法组织,并使用 Cloudinary 自动生成背景移除效果。
该网站使用 Rails 8、Postgres 和 Fly.io 构建,目前托管了约 90 个标本,并且正在积极增长。开发者欢迎贡献和反馈,特别是关于技术改进的建议。该项目采用 MIT 许可,代码可在 GitHub 上找到:[https://github.com/chispainnov/specimen-gallery](https://github.com/chispainnov/specimen-gallery)。
多年来,一种名为“桶抢占”(bucketsquatting)的安全问题一直困扰着AWS S3,攻击者可以注册已删除的桶名称并可能访问敏感数据。这是因为S3桶名称是全局唯一的,并且经常遵循可预测的模式(例如包含区域)。AWS现在发布了一个解决方案:新的桶命名命名空间。
新的格式要求在桶名称中包含您的AWS账户ID和区域 – `<yourprefix>-<accountid>-<region>-an`。这确保了只有*您*才能创建具有该名称的桶,从而防止抢占。AWS强烈建议对所有新桶使用此命名空间,并允许组织通过策略强制执行。
虽然这不能保护现有的桶,但数据可以迁移到新创建的、具有命名空间的桶中。其他云提供商,如Google Cloud和Azure,具有不同的架构,可以缓解此特定风险,Google利用域名验证进行桶命名。这个新的命名空间是确保AWS S3存储安全的重要一步。
## 桶蹲——一个期待已久的修复
一篇近期文章讨论了“桶蹲”的终结,这种做法是指注册与现有云存储桶名称(如Amazon S3中的桶)相似的名称,以拦截数据。 多年来,这一直是一个安全风险,因为配置错误的桶可能会无意中将数据发送到攻击者的桶中。
核心问题源于桶名称共享的命名空间。 现在,供应商正在转向每个客户独有的命名空间,从而有效地消除了重用名称的能力。
然而,评论员指出挑战依然存在。 Azure Blob Storage虽然使用类似于S3桶的账户名称,但仍然面临命名空间限制。 此外,人们还担心历史数据——为了获得完全保护,需要迁移到新的、具有命名空间的桶,并且删除一个被入侵的桶并不能消除风险,如果该名称之前已被泄露。 有人甚至推测这篇文章本身可能会帮助恶意行为者。
如果你正在创建谜题图书馆、免费小艺术画廊、种子交换或其他“人行道上的快乐”地点,并且需要保持内部物品干燥,那么你需要考虑防水问题。以下是我多年来学到的一些技巧,以保护你的“人行道上的快乐”地点免受炎热、雨水、雪和冰的侵袭!
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 工作 | 提交 登录
全球人行道乐趣:为社区增添异想天开 (worldwidesidewalkjoy.com)
9 分,由 NaOH 2小时前发布 | 隐藏 | 过去 | 收藏 | 2 条评论 帮助
WalterGR 15分钟前 | 下一个 [–]
最近在加州伯克利,我看到一个狗狗的“人行道棍子”图书馆。太可爱了。
我不确定小免费图书馆是否足够异想天开,但它们最近被讨论过:https://news.ycombinator.com/item?id=47211280 回复
ynac 2小时前 | 上一个 [–]
我们镇上的主街上有一个免费艺术交换箱。总是很有趣看看里面有什么。从不空着,而且总是不同。也许是因为读了贝克特的《资本主义》,图书馆、艺术交换、修理派对以及其他降低国民生产总值的活动真的感觉很棒。
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
Percepta/实地笔记
加入我们
大型语言模型能成为计算机吗?
在Transformer中执行程序,推理速度呈指数级提升
Christos Tzamos 及 Percepta 的其他成员 · 2026年3月11日
条款与条件
职业生涯
© 2026 Percepta
版权所有。
Percepta.ai 开发了一种在 Transformer 模型*内部*执行程序的方法,从而显著提高了推理速度。其核心思想利用注意力机制,使模型能够在处理过程中“运行”代码,而不仅仅是预测下一个词。
Hacker News 上的早期反馈非常积极,评论者强调了提高模型可解释性的潜力——特别是如果模型行为依赖于伪符号处理。一位用户指出,这种方法验证了将工具直接集成到模型计算中的想法,而另一位用户则觉得这项工作令人着迷,尤其是内存实现方面。
虽然一位评论者质疑执行是否等同于理解,但总体情绪是这在人工智能领域是一项突破性的、令人兴奋的进展。
## Async Rust 中的“休眠”错误 本文深入探讨了 Async Rust 中一个微妙但关键的错误:**休眠 (snoozing)**。与取消或饥饿不同,休眠发生在 future 准备好继续执行,但未被轮询 (poll) 的情况下,导致挂起和死锁——最近的“Futurelock”问题就是一个例子。作者认为休眠*几乎总是*一个错误,源于按引用轮询 future 的模式(例如使用 `select!` 或 `poll!`)而不是拥有它们。 核心问题是,当一个任务轮询一个 future,然后在其完成或销毁之前继续执行,使其“休眠”并无法释放资源(例如锁)。这类似于在持有锁的情况下暂停线程,这是传统线程编程中一种已知的反模式。 提出的解决方案包括使用 owned future(通过像 `join_me_maybe` 这样的 crate)来避免引用,以及可能修改 `Stream` trait 以确保取消安全性。一个关键的结论是,为开发者提出的规则:**避免在 async 函数中处理 `Pin<_>` 值**,因为 pinning 通常表明 future 没有被拥有,并且容易受到休眠的影响。最终,防止休眠需要仔细设计 async 代码,并专注于拥有而不是借用 future。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
永不错过未来 (jacko.io)
3 分,vinhnx 发表于 1 小时前 | 隐藏 | 过去 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
最近重新发现的经典电视剧《神秘博士》剧集“噩梦的开始”,被粉丝誉为“圣杯”。这些剧集遗失了几十年,提供了罕见的机会,得以一窥该剧早期、快节奏的制作过程——一个没有后期制作的“工厂流程”。 恢复的故事讲述了博士为受伤的同伴寻求帮助,导致与达雷克及其与马维克·陈的联盟发生对抗,他们正在策划征服地球。博士设法偷走了一个关键部件,但发现自己被追赶到惩罚星球德斯佩鲁斯。 4月4日在伦敦举行的一次特别放映会,与在BBC iPlayer上的发布同时进行,预计将非常受欢迎,一位粉丝宣称它将超越格拉斯顿伯里音乐节的销量。这次发现对长期观众来说意义深远,提供了与童年记忆的强烈联系。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
丢失的《神秘博士》剧集被发现 (bbc.co.uk)
15 分,由 edent 1小时前 | 隐藏 | 过去 | 收藏 | 2 评论 帮助
hoyd 17分钟前 | 下一个 [–]
也许博士本意就是让这些剧集丢失,而不是被发现,或者达雷克人害怕它们?
replytorlok 9分钟前 | 上一个 | 下一个 [–]
whom*
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
启用 JavaScript 和 Cookie 以继续。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
Show HN: 全球海上战略要道 (ryanshook.org)
5 分,RyanShook 发表于 2 小时前 | 隐藏 | 过去 | 收藏 | 1 条评论 帮助
tiku 发表于 31 分钟前 | 下一个 [–]
也许该是时候挖掘一条运河,穿过那片陆地了?以增加一条第二通道。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索: