冰岛超市正在推出一项计划,以应对日益猖獗的盗窃行为,该公司估计每年因此损失2000万英镑。向员工报告正在发生的盗窃事件的顾客将获得1英镑的冰岛积分卡积分,无论是否逮捕到盗贼。 执行主席理查德·沃克强调,盗窃并非“无害犯罪”,它会影响商业成本、员工工资,并造成令人不安的环境。该举措旨在鼓励顾客保持警惕,可能导致价格降低。 此举正值英格兰和威尔士的盗窃案件激增20%,药店也报告了事件增加。政府已承诺加强社区警务。冰岛超市强调顾客*不应*直接与盗贼对峙,而是应提醒员工,此举凸显了对零售犯罪日益增长的担忧,以及呼吁社区参与预防。
每日HackerNews RSS
## JMAP-MCP:一个 JMAP 邮件交互服务器
JMAP-MCP 是一个基于 Deno 的服务器,提供与 JMAP(JSON Meta Application Protocol)邮件服务器交互的标准化接口。它利用 `@htunnicliff/jmap-jam` 库,使代理能够执行核心邮件操作,例如搜索、检索、发送和管理邮件及邮箱。
**主要特性:**
* **全面的 JMAP 支持:** 完全符合 JMAP RFC 8620/8621 标准。
* **核心邮件操作:** 支持使用过滤器搜索邮件、按 ID 获取邮件、管理线程、标记邮件(已读/未读、已标记)、移动/删除邮件、列出邮箱、发送和回复邮件。
* **健壮且安全:** 包含通过 Zod 模式进行输入验证、安全的环境变量处理,并遵循 JMAP 安全最佳实践。
* **代理集成:** 易于使用定义的配置格式与代理集成。
* **分页:** 支持分页,以高效处理大型数据集。
需要一个符合 JMAP 标准的服务器(例如 FastMail、Cyrus IMAP)和有效的身份验证凭据。使用 TypeScript 和函数式编程原则构建。
一位开发者在Hacker News分享了一个新的“Show HN”项目:一个用Deno构建的JMAP MCP服务器,允许AI代理,特别是Claude,通过FastMail等服务提供商访问和管理电子邮件。该项目提供了搜索、阅读和发送电子邮件的工具。
讨论迅速转向JMAP的采用,评论者希望有更广泛的服务提供商支持——Thundermail(基于Stalwart)是一个即将到来的可能性。一个关键的需求是IMAP到JMAP的桥接,以便用户可以继续使用当前的服务提供商。
人们提出了安全问题,特别是关于将电子邮件搜索暴露给AI时可能出现的提示注入漏洞。开发者承认了这一点,并指出该项目目前通过JMAP功能支持只读模式,但最初是为原始数据访问而快速构建的。它目前仅支持基本的邮件和提交声明,缺乏完整的JMAP扩展支持。 许多用户表达了对该项目潜力的兴奋。
## 云安全漏洞摘要 研究人员展示了一种实际攻击,利用瞬态执行漏洞——特别是L1TF——在主要公共云平台上泄露虚拟机(VM)之间的*数据*。尽管这些漏洞已有缓解措施(如Spectre),但该攻击通过结合一个先前已知且“已缓解”的缺陷与简单的推测加载,成功绕过了它们。 这项研究挑战了软件防御措施足以应对的假设,尤其是在缺乏硬件修复的旧版CPU上。该攻击需要对目标系统(主机或客户机VM)的极少了解,并在15小时内成功从受害VM中泄露了TLS密钥,证明了其在真实世界的嘈杂云环境中的可行性。 这些发现强调了孤立地解决漏洞的危险性,而没有消除根本原因,因为攻击者可以将看似无害的缓解措施结合起来,从而创建强大的跨VM攻击。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
雨:利用旧漏洞从公有云中瞬时泄露数据 (openreview.net)
14 分,smartbit 1 天前 | 隐藏 | 过去 | 收藏 | 1 条评论
smartbit 1 天前 [–]
论文描述了演示:现实世界中的幽灵:利用 CPU 漏洞从云端泄露您的私有数据
https://program.why2025.org/why2025/talk/DG7VSX/reply
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
最近的一次网络讨论揭示了一个关于“神童”创业者的严峻真相:父母的财富和关系往往在他们的成功中扮演着比人们通常承认的更大的角色。V2EX论坛上的一条帖子指出,经济保障不仅仅是为创业提供资金,而是能够负担得起“失败的奢侈”——允许冒险而不会带来毁灭性的后果。 参与者指出,成功的年轻创业者经常受益于已建立的家庭网络、内部知识以及源于从未经历真正困境的“天生的自信”。一位用户对比了精英私立学校和农村地区的经历,说明有些学生“天生就具备创业能力”,本能地理解其他人从未学过的商业概念。 这引发了一个问题,即我们庆祝的是能力还是特权,以及这对经济流动性意味着什么。虽然没有否定年轻创始人的辛勤工作,但这场讨论强调需要就许多成功故事背后的优势进行坦诚的对话,并呼吁为那些没有雄厚家庭资源的人提供替代的创业途径。最终,理解这些因素对于培养一个更加公平和创新的未来至关重要。
一场 Hacker News 的讨论围绕着文章“我们是在创造企业家还是仅仅是特权风险承担者?”展开,引发了关于现代创业本质的争论。 许多评论者怀疑这篇文章本身很大程度上是由 LLM 生成的,理由是措辞重复且缺乏强烈的作者声音。
核心争论在于,当前的“企业家”,尤其是在科技领域,是真正具有创新精神的冒险家,还是仅仅是拥有大量经济保障的人。 许多人同意,家庭财富提供了显著的、常常是*必要*的优势,允许在没有严重后果的情况下反复失败——本质上将创业变成了一种特权阶层的赌博形式。
另一些人指出,从基于技术专长建立企业,转变为为了社会地位而“扮演”企业家的转变,并将这与过去常常依靠自身力量创业的一代人形成对比。 讨论强调了一个担忧,即真正艰苦的创业精神正在变得越来越少见,取而代之的是由资本和人脉推动的企业。
谷歌发布了其最先进的文本到图像模型 **Imagen 4**,现已通过 Gemini API 和 Google AI Studio 广泛可用。此次发布推出了一系列模型——**Imagen 4 Fast、Imagen 4 和 Imagen 4 Ultra**,在质量、速度和成本之间提供平衡。
**Imagen 4 Fast** 擅长快速、大批量图像生成,每张图像 0.02 美元。**Imagen 4** 是一款多功能旗舰模型,具有改进的文本渲染效果,而 **Imagen 4 Ultra** 则提供最高的细节和提示词遵循度。
Imagen 4 和 Ultra 现在都支持高达 **2K 分辨率**,以呈现令人惊叹的详细视觉效果。所有图像均带有 SynthID 水印,以支持负责任的 AI 实践。用户可以探索示例,包括使用 Imagen 4 Fast 生成的风景和漫画,并访问文档和教程以开始创作。
## Imagen 4现已全面可用:反应不一
谷歌的Imagen 4现已广泛开放访问,但初步反应冷淡。许多用户对其图像生成质量感到失望,尤其是在遵循提示方面。展示的示例——一个四格漫画——包含大量错误,未能遵循有关角色动作甚至基本细节的指示。
一些评论员指出,早期版本(Imagen 3)为照片级图像产生更理想的结果,而Imagen 4则倾向于“卡通化”风格。与OpenAI的GPT-Image-1和尤其是Veo 3等竞争对手的比较表明,谷歌在质量和一致性方面落后。有人推测谷歌优先考虑Imagen 4的速度而非质量。
虽然一些用户通过迭代提示获得了成功,但另一些人质疑其价值主张,考虑到成本(每张图像2美分)以及实现所需结果需要多次尝试。人们也对公告和可用之间漫长的延迟表示担忧,这是对谷歌AI发布的常见批评。尽管声称“Ultra”版本在遵循方面有所改进,但早期测试并未显示出显著的改进。
启用 JavaScript 和 Cookie 以继续。
## 黑客新闻讨论:人文科学的命运
一篇《高等教育编年史》的文章引发了黑客新闻对人文科学衰落及其原因的讨论。许多评论员认为,转向优先发展 STEM 领域和职业培训已经贬低了人文教育,尤其是在大学费用上涨和就业前景成为首要考虑因素的情况下。
几个观点浮出水面:跨学科研究的好处常常被忽视,一些人回忆起 STEM 和人文科学曾经融合的时代。另一些人认为,大学已经过度关注意识形态议程,特别是左翼意识形态,从而疏远了潜在的支持者。
一个关键的担忧是经济现实:人文科学学位通常导致薪资较低的工作和巨额学生贷款债务。建议范围从基于结果的大学资助到限制某些专业的贷款获取。一些人认为,人文科学*是*有价值的,能够培养批判性思维和创造力,但目前的体系激励学生选择更经济安全的道路。关于大学应该优先考虑就业准备还是更广泛的教育,以及人文科学是否已经失去了严谨性和目的性,存在争论。最终,这场讨论凸显了人文科学的内在价值与其在当今世界中 perceived 的经济可行性之间的紧张关系。
该研究详细描述了一系列成功的HTTP/1.1去同步攻击,作者因此获得了超过35万美元的漏洞赏金。核心漏洞在于HTTP/1.1有缺陷的请求分离机制,允许攻击者操纵服务器响应,并可能访问敏感数据——例如其他用户的漏洞报告(GitLab,7000美元)或劫持整个CDN的响应(Netlify,Akamai)。 利用混淆的“Expect”头部被证明特别有效,导致响应队列中毒(RQP)和Content-Length (CL)去同步。一项重要发现涉及Akamai,影响了众多网站,包括LastPass(5000美元赏金)甚至可能包括example.com。报告Akamai漏洞获得了9000美元的赏金和CVE-2025-32094,但广泛的影响造成了巨大的压力和支持问题。 作者认为,修补HTTP/1.1是不够的,因为它本身就存在复杂性。最终的解决方案是迁移到HTTP/2,这是一种二进制协议,不易受到这些攻击。该研究敦促更广泛地采用HTTP/2,并鼓励安全研究人员积极识别和报告HTTP/1.1漏洞,以加速其淘汰。
## HTTP/1.1 漏洞与对 HTTP/2 的推动
一篇近期文章认为,HTTP/1.1 固有的设计缺陷使其需要被取代,并引用了影响 Fastly 和 Mozilla 等大型科技公司的持续请求走私漏洞。核心问题在于模糊的解析规则,允许恶意行为者利用前端和后端服务器之间的一致性差异。
虽然 HTTP/2 被提议作为解决方案,但讨论显示出对其复杂性和实施挑战的担忧。 许多评论员指出,即使在 Python 和 Go 等语言中,创建稳定的 HTTP/2 服务器和客户端也存在困难。 一些人建议简化版的“HTTP/2-Lite”配置可以缓解这些问题。
然而,许多人认为问题不在于协议本身,而在于粗心的工程设计。 他们认为,更好的解析器实现,而不是协议转换,才是关键。 此外,人们还担心放弃 HTTP/1.1 会不成比例地影响较小、较简单的网站设置,并可能牺牲可读性和可访问性。 最终,争论的中心在于,复杂的协议升级是否是最佳方法,还是专注于对现有标准的稳健实施更有效。
Aicole是一家法国初创公司,致力于赋能下一代学生、教育工作者和机构。为了寻求替代其成本高昂且复杂的Azure基础设施,Aicole迁移至Edka,在不牺牲性能和可靠性的前提下,运营成本降低了64%。
## Edka:Hetzner云上的简化Kubernetes
Edka (edka.io) 是一个旨在简化在Hetzner Cloud上部署和管理Kubernetes集群的平台。它由一位经验丰富的Kubernetes从业者创建,旨在降低个人和小型企业寻求经济高效的Kubernetes解决方案的门槛。
Edka 运行于四个层面:配置基于k3s的集群,一键部署常用插件(指标、cert-manager、operators),为应用程序提供精简的用户界面(例如带有自动备份的PostgreSQL),并支持从CI流水线进行自动化部署,具备回滚和自动伸缩等功能。
该平台目前处于beta阶段,并使用TypeScript、React、PostgreSQL和Vault构建。虽然仍有待完善,但创建者欢迎反馈,特别是来自在Hetzner上使用Kubernetes或探索大型云提供商替代方案的用户。最近的发布挑战包括GitHub速率限制和Hetzner的部分中断,凸显了该项目的早期阶段。
用户讨论了与kops和hetzner-k3s等工具的比较,以及对存储解决方案和裸机集成的担忧。开发者澄清该项目专注于抽象和易用性,旨在简化Kubernetes配置和常用扩展工具。
启用 JavaScript 和 Cookie 以继续。
## 迷走神经刺激与运动能力 - Hacker News 摘要
一项最新研究(oup.com)调查了非侵入性迷走神经刺激(tVNS)对健康志愿者运动能力的影响。研究发现,使用耳夹装置进行7天的每日tVNS后,VO2峰值(一项衡量有氧健身水平的指标)略有增加。
Hacker News上的讨论显示出人们对在家复制该研究的实际兴趣,一位用户成功使用从亚马逊购买的60美元TENS设备进行类似刺激,以管理焦虑并改善消化。其他人正在探索tVNS作为潜在的治疗方法,用于类风湿性关节炎和长新冠等疾病,这些疾病通常伴有副交感神经功能障碍。
一些评论员将这些发现与现有的练习联系起来,例如控制呼吸练习(Wim Hof方法,“嘴含一口水跑步”的阿帕奇方法,扎托佩克间歇训练),这些练习也可能刺激迷走神经。然而,一些人对研究结论表示怀疑,因为结果中的置信区间重叠,质疑报告的显著性。
## 航空旅行:不断变化的图景 最近的经历表明,航空旅行的可靠性正在下降,但这种感觉是否真实?对美国运输统计局数据的分析显示出复杂的图景。虽然航空旅行仍然非常安全——事故率持续长期下降——**长时间延误变得显著更常见。** 超过3小时的延误现在比1990年高4.5倍,尽管航空公司通过提高航班计划时间来掩盖这一点。 有趣的是,由于这些人为增加的计划时间,航班经常*提前*到达。过去十年中,机票价格也下降了,相对于其他商品而言变得更便宜。 有几个因素导致了这些趋势。**空中交通管制人员短缺**、更严格的许可要求以及**机场基础设施限制**(乘客数量增加,但新建机场很少)是关键的制约因素。航空公司日益金融化——严重依赖信用卡里程计划——也可能发挥作用。 最终,现在的航空旅行比过去**更安全、更便宜,但可靠性更低**。解决这些问题需要增加对人员、基础设施和以服务改进为重点的胜任领导的投资。