## Glassworm再次发起隐形代码攻击 威胁行为者“Glassworm”正在发起新一轮供应链攻击,利用隐藏的Unicode字符来破坏代码仓库。该技术于2025年首次被发现,它将恶意载荷伪装成空字符串注入代码中,从而绕过典型的安全检查。目前,这些攻击正在影响GitHub、npm和VS Code。 2026年3月观察到的最新一波攻击已经破坏了超过151个GitHub仓库——包括Wasmer、Reworm和anomalyco的仓库,实际数量可能更高,因为有仓库已被删除。Glassworm利用逼真、项目特定的代码更改,这些更改很可能由AI生成,以掩盖恶意提交。 注入的代码解码后会执行脚本,这些脚本之前与基于Solana的代币和凭证盗窃有关。开发者不能依赖视觉代码审查来检测这些威胁。Aikido是一家安全公司,提供检测工具——包括免费的恶意软件扫描器和“Safe Chain”——来识别和阻止这些隐形注入,从而避免它们影响开发环境。这凸显了针对日益复杂的供应链攻击,需要积极的、专门的防御措施。
每日HackerNews RSS
## Glassworm回归:不可见Unicode攻击瞄准代码仓库
一波新的“Glassworm”攻击正在利用不可见的Unicode字符向代码仓库注入恶意代码。这些攻击利用微妙且难以检测的字符来隐藏恶意载荷,可能导致代码执行。核心问题在于由于威胁的不可见性,导致代码审查无法发现。
讨论的重点在于像GitHub这样的代码仓库托管平台是否应该负责抵御此类攻击。许多人认为他们应该这样做,类似于他们的Secret Scanning功能,通过向开发者警报可疑的零宽度字符使用情况。虽然存在第三方扫描工具,但社区认为平台应该提供内置的可视性。
该事件凸显了代码中`eval()`的危险性以及对健全的linting规则的需求。讨论的解决方案包括更严格的代码审查、pre-commit钩子以检测可疑字符,以及可能限制源代码中的Unicode字符集。一些人建议由LLM驱动的审查者可能更有效地发现这些攻击,而另一些人则强调人工监督的重要性。该事件还引发了对LLM可能*创建*更复杂的攻击的担忧。
巴西国家数据保护局 (ANPD) 将 37 家公司提交关于其为“ECA Digital”(第 15.211 号法律)准备情况的报告的截止日期延长至 2026 年 2 月 13 日,该法律旨在保护儿童和青少年在网络上的权益。 此次延期源于 ANPD 发起的一项监测流程,旨在了解这些有影响力的科技公司——为巴西年轻人提供平台、内容或设备的公司——如何实施新法律的技术和组织要求。ANPD 旨在评估当前的合规阶段并确定企业面临的挑战。 原定截止日期过于紧迫,特别是考虑到 ECA Digital 的复杂性和年末假日期间。行业代表要求更多时间以确保准确和全面的报告。ANPD 同意,认为推迟将带来更好的数据,并最终更有效地保护儿童在数字环境中的权利。这项监测是未来潜在执法行动的初步步骤。
巴西数据保护机构(ANPD)发布了一份公司名单,其中包括 Canonical(Ubuntu 的母公司),要求就符合“ECA Digital”法律进行进一步讨论。该法律最初被误传为仅关于年龄验证,但其目标是通过防止定向广告、数据收集和操纵性电子商务行为来保护儿童在线安全。
ANPD 正在向这些公司征求反馈,因为它们被认为属于该法律的范围,但尚未完全实施所需机制,包括超越自我声明的可靠年龄验证。人们担心,满足这些要求,特别是年龄验证,对于免费和开源服务来说实际上是不可能的,可能会阻碍它们的生存能力。最初的合规期限是 2026 年 2 月 13 日,但现在正在延长。名单中包括苹果、谷歌、Meta、微软等大型科技公司以及许多其他公司。
## DigiKey 与关税困境 DigiKey 是一家大型电子元件市场,运营中心位于明尼苏达州偏远的锡夫河瀑布镇,正面临美国关税的复杂问题。该公司雇用了彭宁顿县一半的劳动力,向全球运送数百万个零件,但大约四分之一的库存来自中国——受到不断变化的关税影响,自 2018 年以来给 DigiKey 造成了五亿美元的成本。 这些不断变化的关税造成了物流噩梦,导致员工不得不脱离核心职责来管理关税计算、客户调整和系统更新。DigiKey 已经实施了建立外国贸易区以递延关税等策略,但应对这些复杂问题仍然是一个重大挑战。 DigiKey 由一位业余无线电爱好者创立,其成功与当地社区息息相关。然而,关税负担不仅威胁着公司的利润,也威胁着锡夫河瀑布镇的经济稳定,尤其是在另一家主要的当地雇主面临倒闭的情况下。虽然搬迁是一种可能的解决方案,但 DigiKey 的领导层仍然致力于其在明尼苏达州的根基,努力应对当前贸易环境的“暴风雪般”的条件,并保护其支持的就业和社区。
## Digi-Key 与关税影响 - 摘要
这次Hacker News讨论围绕一篇NPR文章,详细介绍了美国关键电子元件分销商Digi-Key因近期关税面临的挑战。核心问题是,这些关税扰乱了Digi-Key的运营,增加了成本和复杂性——尤其是在国际销售和潜在的美国制造扩张方面。
许多评论员强调了更广泛的经济后果。一些人建议直接将关税成本转嫁给消费者(如Mouser所做),但另一些人指出实施此类系统面临的重大后勤障碍和成本,特别是对于Digi-Key这样规模的公司而言。人们担心关税会阻碍美国制造业的增长,因为不确定性会抑制投资。
对话还涉及战略影响,担心失去关键元件的获取渠道,以及制造业可能从美国转移。一些人认为关税是一种应用不当的政策,阻碍了竞争力,最终损害了美国经济,而另一些人则对在当前成本和消费者偏好下,将生产迁回国内的可行性表示怀疑。最近的最高法院裁决以及随后关税的重新实施,进一步使情况复杂化。
好莱坞正面临信心危机,电影业正在应对裁员、制作调整和影院观众减少的问题,尽管消费者在娱乐方面的支出保持稳定,但仍引发对其未来的担忧。 担忧范围从流媒体和社交媒体的兴起,到人工智能可能取代工作岗位。 最近的影业出售,例如华纳兄弟探索公司潜在的收购,以及预算向体育领域的重新分配,正在加剧焦虑,行业就业人数下降了35-40%。 加利福尼亚州已增加了电影制作激励措施,以应对作品离开该州的情况,但影业总体上正在进行的制作项目减少。 尽管面临挑战,但也存在希望的曙光。 像独立推广的《铁肺》这样的成功案例证明了社交媒体参与的力量,而奥斯卡奖将于2029年转移到YouTube流媒体平台,以接触新的观众。 影业也在探索人工智能以降低成本和创新叙事,而像派拉蒙公司首席执行官这样的人则承诺增加对影院发行的投资。 行业正处于十字路口,需要适应不断变化的环境,并与年轻的、数字原住民观众建立联系,以确保其生存。
人体器官图谱
Human Organ Atlas
13 天前
启用 JavaScript 和 Cookie 以继续。
有人在Hacker News分享了人类器官图谱的链接([https://human-organ-atlas.esrf.fr](https://human-organ-atlas.esrf.fr)),引发了关于易于访问的解剖可视化工具的讨论。该图谱允许用户使用neuroglancer(在桌面端)在浏览器中直接查看器官。
评论者强调了开源替代方案相对于昂贵解剖应用程序(例如一款年度订阅费用为80美元的应用程序)的优势。有人指出该图谱可能使用了与Osirix中使用的数据类似的数据,并且CT扫描结果通常附带免费的查看软件,能够处理其他可视化内容。一位用户希望该图谱包含每个样本捐赠者的完整DNA序列。总的来说,该帖子引起了人们对免费的、详细的人体解剖资源的兴趣。
## 星条旗报面临新限制
五角大楼最近发布了一份关于《星条旗报》的现代化计划,该报是军方的独立新闻来源,引发了对其未来的担忧。3月9日的一份备忘录确认了该报的独立性,但引入了重大的监督和内容限制,旨在使其重新专注于服务“作战人员”,并过渡到以数字格式为主。
该备忘录限制了新闻通讯社的使用,取消了像漫画一样的联合内容,并要求内容符合“良好的秩序和纪律”。这些变化是在五角大楼发言人肖恩·帕内尔呼吁消除“觉醒干扰”之后发起的,并且在未与《星条旗报》领导层沟通的情况下实施。
包括美国笔会(PEN America)在内的新闻自由倡导者认为,该备忘录威胁了第一修正案原则,并可能损害该报长期以来的独立性。担忧的重点是五角大楼加强监督、限制获取信息(包括《信息自由法》请求和受控非机密信息)以及推动优先考虑国防部公共事务内容。
《星条旗报》领导层计划告知读者这些变化,并承诺在新的限制下继续坚持独立报道。自内战以来,该报一直是军人的重要新闻来源,历史上一直受到两党支持,并经受住了过去的关闭威胁。
## 五角大楼加强对《星条旗报》的管控
五角大楼正在实施一项《星条旗报》(军方出版物)的现代化计划,扩大国防部的监督范围,同时又声称其独立性——这一看似矛盾之处已被许多人指出。这些变化包括限制内容、禁止通过《信息自由法》提出信息请求,以及减少对独立通讯社的依赖,转而使用国防部制作的内容。
评论员们表示担忧,此举可能预示着《星条旗报》将成为一个宣传工具,控制围绕军事行动的叙事,并压制独立报道。许多人强调,当前政府试图控制信息的更广泛趋势,并举例说明了联邦通信委员会对广播公司的威胁以及对媒体组织的施压。
讨论还涉及该出版物历史上的独立性以及自由新闻的重要性,许多人担心这代表着滑向专制主义。一些人指出公众认知与政府行为之间的脱节,而另一些人则批评选民愿意支持破坏民主原则的政策。
## Vibecoding 现实检验:100小时应用构建
在听到关于使用“振动编码”(AI辅助开发)可以在几分钟内构建应用程序的说法后,作者花费100小时构建并发布了一个简单的应用程序Cryptosaurus,以测试其极限。作者之前曾在一家初创公司使用过AI编码工具,他们相信这项技术的潜力,但怀疑炒作被夸大了。
该项目——创建个性化的恐龙头像——最初使用AI原型快速启动。然而,实现一个完善的、可用于生产的应用程序证明要复杂得多。虽然AI加速了初始开发,但完善UI/UX、处理图像生成中的边缘情况,以及使用AWS部署后端都耗费了大量时间。
作者了解到,在没有仔细规划和关注细节的情况下“仅仅构建”会导致比预期更长的过程——大约是炒作的30分钟构建的100倍。最终,Cryptosaurus发布后获得了适度的成功(1000多用户,180多付费用户),但强调了持续对工程专业知识的需求,尤其是在关键细节和错误修复方面。
这次经历证实,AI可以提供10-100倍的速度提升,但并不能消除对工艺的需求。它将开发者的角色从编码者转变为管理者,并强调开发过程的最后10%——润色和用户体验——仍然至关重要。
作者认为,当前事件混乱且常常不合逻辑的走向——从粗制滥造的动作电影到国际冲突,再到腐败的体育组织——源于单一的根源:哈罗德和乔治在《队长内裤》系列中的不受约束,且可能具有破坏性的想象力。
最初在一部古怪的电影情节中注意到他们的影响,作者现在看到他们的“手笔”体现在不断升级的全球紧张局势、政策变化(例如国防部更名)以及普遍存在的腐败,甚至包括国际足联内部。他们指出美国足球丑闻就是一个典型例子,滑稽地将一名被定罪官员的奢靡生活方式与这两个男孩对过度场景的偏好联系起来。
作者对这种不受控制的想象力的后果表示担忧,担心美国公民最终将承担这些奇幻但具有破坏性的“游戏”的负担。他们最后恳求队长内裤介入,暗示需要一位英雄来恢复一个看似由顽皮而强大的孩子们掌控的世界的秩序。
## 80x24 与 80x25 终端的奇特案例
80x24 和 80x25 终端显示尺寸的持久流行并非源于内在的技术限制,而是由 IBM 主导的历史遗产所致。虽然 80 列源于穿孔卡,但行数的故事则围绕着 IBM 的市场影响力展开。
1971 年,IBM 的 3270 终端,配备 80x24 显示屏,成为畅销产品,有效地设定了标准,竞争对手纷纷效仿。1981 年的 IBM PC 随后普及了 80x25,继承了早期且经常被遗忘的 IBM DataMaster 微型计算机的尺寸。这一选择并非出于必要——它只是最大化了 PC 的显示能力,并使其与竞争对手区分开来。
许多理论试图基于电视扫描速率或内存限制等因素来解释这些尺寸,但早期终端的多样性(尺寸范围从 31x11 到 133x64!)证明了纯粹的技术基础是不成立的。IBM 的主导地位迫使标准化,取代了其他考虑因素。
最终,80 个字符的宽度源于穿孔卡兼容性,但 24 或 25 行是 IBM 市场地位的后果,造成了我们今天在终端窗口中仍然看到的分割。
这次黑客新闻的讨论集中在IBM PC上80x24(有时是80x25)显示标准的起源。与流行的观点相反,该标准并非出于模拟IBM 3270大型机终端的需求。最初的IBM PC工程师证实,与IBM其他产品的兼容性并非优先事项,而且一些PC功能实际上*阻碍*了3270的模拟。
对话延伸到IBM微机开发的更广泛历史,提到了较早的系统,如5100、5110、5120和System/23 DataMaster,挑战了PC作为纯粹“叛逆”项目的说法。用户还讨论了较早终端和计算机的设计选择,指出了符合人体工程学的问题和审美偏好。
几个离题讨论探讨了看似武断的标准背后的原因——从穿孔卡尺寸与美元纸币尺寸的联系,到CD的74分钟长度可能源于贝多芬第九交响曲(尽管这一点存在争议)。讨论强调了历史限制和实际考虑如何塑造技术,以及看似微小的决定如何产生持久的影响。
Signet 监测卫星探测到的您附近区域的火热点。当附近检测到火情时,您将收到警报。可选:请问您是什么身份?只是好奇的居民 房主 农业/林业 公共部门 消防/应急 保险 研究人员 感谢。这有助于我们了解谁需要警报。
## Signet:自主野火追踪
一位开发者构建了Signet,一个基于Go的系统,用于自动化野火监测——目前这一过程是手动完成的。Signet从NASA卫星馈送、天气预报和地形模型等来源摄取数据,旨在自主识别和追踪潜在的野火。
该系统主要依靠“确定性流程”处理数据,但利用Google的Gemini AI模型处理复杂的任务,例如评估弱检测和综合信息。它记录预测结果并与后续数据进行比较以进行评估,当前的评估指标是公开的。
虽然Signet已经能够识别事件并将它们与官方报告相匹配,但仍然存在误报和检测速度方面的问题。创建者寻求反馈,以平衡AI驱动的分析与确定性规则,以及这种自主方法是否比手动监测更有价值。讨论强调了整合不同数据源的难度、为现场团队提供结构化警报的重要性,以及与加拿大现有野火监测系统等潜在的协同效应。