启用 JavaScript 和 Cookie 以继续。
每日HackerNews RSS
## Scratch 持续存在的 SVG 安全问题
Scratch 一直面临着源于其处理用户提交的 SVG 图像的安全漏洞。 核心问题在于将潜在的恶意 SVG 内容解析到主文档中,即使是短暂的,用于诸如边界框计算之类的操作。 Scratch 的策略一直是逐步改进 SVG 清理,但这种方法始终未能成功。
自 2019 年以来,已经发现了许多绕过方法,包括通过 `<script>` 标签、事件处理程序和 CSS `@import` 语句进行的 XSS 攻击。 更最近,出现了允许通过 `<image>` `href` 属性、CSS `url()` 函数,甚至像 `src()` 和 `image()` 这样的未来 CSS 功能进行 HTTP 泄漏的漏洞。 每次修复都会被绕过,这表明了基于 SVG 的攻击的复杂性和不断演变性。
作者认为,依赖复杂的清理是不可持续的,因为新的 CSS 功能和解析器不一致性不可避免地会产生新的漏洞。 一种更强大的解决方案,在 Scratch 的分支 TurboWarp 中实施,涉及在具有严格内容安全策略 (CSP) 限制的 iframe 内对 SVG 进行沙箱处理。 这利用了浏览器内置的安全机制,减少了对自定义解析的需求,并提供了一种更具未来防御性的防御措施。 最近的发现,甚至包括像 Claude 这样的 AI 模型,不断揭示新的漏洞,突出了持续存在的挑战。
## SVG 消毒问题:总结
最近 Hacker News 上出现了一场关于安全处理 SVG 的讨论,特别是关于潜在的安全漏洞,如跨站脚本攻击 (XSS)。核心问题在于 SVG 是一种标记语言,可以包含嵌入式脚本和外部资源链接,这在处理不受信任的来源时会带来风险。
讨论的解决方案包括实施强大的内容安全策略 (CSP)——甚至通过 `<meta>` 标签直接在 HTML 中实施——以及创建受限制的“安全”SVG 子集(如 tinyVG)。有些人建议浏览器层面上的更改,例如添加一个新属性来禁用动态功能,或者像对待图片 (`<img>` 标签) 一样对待 SVG,从而固有地阻止脚本。
一个关键的结论是,简单的消毒(例如基于正则表达式的脚本标签删除)通常是不够的。复杂性在于 SVG 功能中存在的众多潜在攻击向量。最终,一种分层方法,结合 CSP、仔细解析以及可能简化 SVG 配置文件,似乎是安全处理的必要手段。 讨论还强调了安全性和功能性之间的权衡,特别是关于动画和动态样式。
该节目在SVT Play播出,记录了麋鹿每年迁徙到夏季觅食地的过程。数千年来,这些雄伟的动物一直沿着相同的路线迁徙,观众可以连续第八个季节见证这一传统。 该系列节目一窥这场古老的旅程,记录了麋鹿前往更肥沃的牧场。自4月18日起,每天都会发布新剧集,持续报道正在进行的迁徙。这是一个观察自然奇观的机会,它已经在地貌上上演了数千年。
对不起。
苹果公司对于macOS 27即将到来的潜在变化出奇地坦诚,这可能是由于这些变化对企业用户的影响。预计将有两大转变。 首先,苹果可能会**最终移除对AFP文件共享协议的支持**,推动用户转向SMB3。这主要影响那些仍然使用较旧硬件(如Time Capsule或不支持SMB3的NAS系统)的用户——在不更换这些设备的情况下升级macOS将变得不可能。 其次,macOS 27很可能**需要TLS 1.2(或更优选1.3)才能连接到某些服务器**,这将影响MDM、应用程序分发和软件更新等服务。确定兼容性很复杂,需要使用苹果提供的特定诊断配置文件和终端命令进行详细的日志分析。 苹果目前正在评估这些变化的潜在影响,如果出现重大问题,可能会推迟实施。重要的是,这两个变化都不会追溯应用,允许继续使用旧系统,只要不升级到macOS 27即可。预计六月和七月将发布测试版,完整版预计在九月发布。
## 数学形式化的历史与批判 本文反思了数学形式化的发展历程,起因是对Lean当前热情的关注。作者是该领域的资深人士,提醒人们不要忘记数十年前的先期工作,强调了如AUTOMATH(可追溯至1968年)等系统,它们已经实现了显著的形式化成果——包括兰道的《分析基础》——尽管缺乏现代便利性。 作者承认Lean的优势——强大的社区、工具和库,但批评了依赖类型领域中 perceived 的“教条主义”和从众现象。他们强调,进步并非通过追随潮流实现,并指出LCF、HOL Light和Isabelle/HOL等替代方案,已经成功地形式化了复杂的定理。 一个关键论点集中在“命题即类型”与替代逻辑基础之间的争论上,倡导简单性和可读性。作者支持LCF通过抽象数据类型进行动态检查的方法,认为不需要像Lean和Coq等系统中常见的庞大“证明对象”。最终,本文认为应该根据实际需求(协作、现有库)来选择工具,但鼓励考虑Isabelle,因为它具有自动化和可读性,尤其是在人工智能工具越来越多地帮助简化证明和在系统之间进行翻译的情况下。作者还承诺未来会发表一篇专门介绍经常被忽视的Mizar系统的文章。
## TP-Link TL-SG108:释放隐藏潜力
TP-Link TL-SG108 是一款经济实惠的 8 端口千兆以太网交换机,基于 Realtek RTL8370N 芯片。虽然看似基础,但该芯片却令人惊讶地具备了更昂贵“网页智能”管理型交换机中的功能——区别主要在于软件限制。
TL-SG108 随附有限的固件,使用小容量 SPI 闪存芯片,无法访问 VLAN 等高级功能。然而,爱好者可以通过升级闪存容量(至 32Mbit)并刷新 Netgear GS308Ev4 等替代固件来解锁这些功能。这需要编程器和新的闪存芯片,并涉及修改交换机的 MAC 地址。
尽管潜力巨大,但升级并非总是顺利。问题包括 LED 功能丢失和设备难以重置。此外,Araknis AN-110 等类似交换机也使用 RTL8370N,但尽管硬件具备能力,仍然限制了功能。最终,为了可靠的管理型交换,一个带有 OpenWrt 支持的二手专用管理型交换机通常比修改基本型号更好。TP-Link 近期的重组也可能影响未来的固件兼容性。
## 未管理交换机管理:Hacker News 讨论总结
Hacker News 上的一场讨论围绕着在家和小型企业网络中使用未管理交换机与投资千兆或更快的管理型交换机的实用性。核心观点是,虽然管理型交换机提供 VLAN 等功能,但较旧的二手管理型交换机可能耗电量大。
许多评论者提倡更新的 2.5GbE 和 10GbE 解决方案,指出电缆(2.5GbE 使用 Cat5e,10GbE 使用 Cat6)相对便宜,光纤也变得越来越容易获得。他们分享了亚马逊上可负担得起的选项链接,包括多千兆交换机和光纤设置。
一个关键点是成本、功耗和功能之间的权衡。基于 Realtek 的多千兆交换机提供低功耗,而光纤为 10GbE 提供更好的隔离性和散热性。然而,光纤需要专门的设备进行连接。
讨论还涉及了 1GbE 在现代网络中的局限性,一些人认为它正在变得过时,而另一些人则认为它对大多数用户来说已经足够。对廉价管理型交换机上的 Web 界面以及潜在安全漏洞的担忧也被强调,并提出了自定义固件解决方案。最终,最佳方法取决于个人需求和预算。
## 30,000 英尺高空的 MacBook 与 LLM:本地推理实验
一次前往 Google Cloud Next 2026 的 10 小时飞行成为本地 LLM 推理的测试场地。作者配备 MacBook Pro M5 Max (128GB 内存,40 核 GPU),通过 LM Studio 运行 Gemma 4 31B 和 Qwen 4.6 36B,同时搭载完整的开发环境,为 loveholidays 构建一个计费分析工具,从而揭示标准仪表板中先前隐藏的见解。
实验证明,对于编码、工具开发和探索性数据分析等专注的工程任务来说,本地推理是可行的,甚至在较小的任务中可以与云端模型相媲美。然而,也出现了一些限制:电池迅速耗尽(每分钟 1%),产生大量热量,超过 10 万 token 的上下文窗口会降级,以及偶尔出现无限循环。
至关重要的是,定制的工具——`powermonitor` 和 `lmstats`——揭示了一个隐藏的瓶颈:航空公司提供的电缆仅提供 60W 的功率,而不是广告宣传的 70W,从而限制了性能。这凸显了“机械同理心”的价值——理解 AI 的物理成本,以优化云端使用。作者计划在返程航班上使用正确的电缆进行进一步测试,并探索由神经网络引擎驱动的 LLM。
## 在飞机上运行LLM:Hacker News讨论
最近一篇Hacker News帖子讨论了在十小时的飞行中本地运行大型语言模型(LLM)的可行性。虽然在技术上可行,但对话很快转向了实际挑战。
许多评论者强调了在经济舱中使用笔记本电脑的不适——狭小的空间、座椅后仰造成的潜在损坏以及不良的人体工学。有人建议使用蓝牙键盘和笔记本电脑桌,但核心问题是空间有限。
一个重要的讨论点集中在本地LLM与基于云的选项的性能上,许多人一致认为目前的硬件难以在简单任务之外提供真正*有用*的结果。一些用户分享了Qwen3.6等模型的成功配置和参数设置,而另一些人则强调了对强大硬件和高效工具的需求。
最终,讨论涉及了更广泛的主题,例如工作与生活的平衡、保持持续生产力的压力以及不同用户对技术的可访问性。一些人提倡完全断开连接并享受飞行,而另一些人则认为拥有不间断工作的能力是有价值的。
## 蔓藤:一种自扩展的自主代理沙箱 蔓藤是一个使用AWS Strands Agents SDK和Tauri构建的自主代理系统,展示了自主工具发现、创建和复用。其核心原则是:代理*构建*所需工具,而不是依赖预定义的集合。 你提供一个任务,蔓藤首先检查能力注册表。如果存在合适的工具,则执行它。否则,蔓藤会自主编写一个新的工具(使用TypeScript),注册它,然后执行它——所有这些都不需要你的提示。每次会话后,注册表都会增长,使后续交互更有效率。 该系统仅利用三个引导工具和一个能力注册表(存储为文件),由Bedrock模型(Claude)驱动的Strands代理管理。通信通过标准输入/输出上的JSON-RPC进行。 蔓藤的设计注重简单性和控制,提供了一个使用Tauri和React构建的桌面应用程序,以及一个用于代码执行的沙盒Deno环境。它有力地展示了代理如何能够随着时间的推移动态地适应和扩展其能力。
## 触须:一种自我扩展的工具发现代理
触须是一个新的代理框架,旨在解决基于LLM的代理中的“冷启动”问题和token使用问题。它允许代理构建和注册自己的工具,从而在会话之间建立不断增长的能力注册表。核心思想是将重点从*有哪些*工具转移到*何时*应该使用它们。
该系统从几个引导工具开始,并强制代理在需要时创建新工具,并在创建过程中定义调用条件。这与传统的框架形成对比,后者提供工具和调用签名,但缺乏对自主工具选择的结构化方法。
讨论围绕可扩展性展开——管理不断增长的工具注册表并防止“噪音”或冗余。探索的解决方案包括结构化的能力格式、语义搜索以及架构决策记录(ADR)以捕获学习成果。一个关键目标是使管理员能够审计工具使用情况并确保正确应用,从而超越简单地积累工具,转而理解*为什么*和*何时*使用它们。 许多评论者分享了构建自己代理工具的类似经验,强调了记忆、扩展复杂性和维护代理性能随时间的常见挑战。
## Windows 11 具有欺骗性的“第二次开箱体验”
Windows 11 正在让用户感到沮丧,出现一个名为“第二次开箱体验”(SCOOBE) 的重复弹出窗口——即使在完全配置的电脑上,在最初设置几个月后也会出现。这并非真正的设置问题,而是一系列旨在推广微软订阅服务(如 Xbox Game Pass 和 Office 365),或更改用户偏好设置(如浏览器设置)的提示。
虽然对个人用户来说这令人烦恼,但 SCOOBE 对组织来说是一个重大问题。它会产生不必要的 IT 支持请求,来自认为电脑出现故障的员工,并可能导致用户意外订阅不需要的服务或覆盖公司设定的配置。
这种体验被批评为具有欺骗性且违反了信任,将微软的利润置于用户体验和既定许可协议之上。虽然可以通过设置或组策略禁用 SCOOBE,但其持续存在引发了人们对微软可能在未来更新中绕过这些措施的担忧。最终,SCOOBE 感觉像是打断关键工作的意外广告,以及 Windows 操作系统中令人担忧的“劣质化”趋势。
对不起。
微软将停止与主要人工智能合作伙伴 OpenAI 分享收入。
Microsoft and OpenAI end their exclusive and revenue-sharing deal
2 天前
彭博社 需要帮助?请联系我们 我们检测到您的计算机网络存在异常活动 要继续,请点击下面的框来确认您不是机器人。 为什么会发生这种情况? 请确保您的浏览器支持 JavaScript 和 cookies,并且没有阻止它们加载。 更多信息请查看我们的服务条款 和 Cookie 政策。 需要帮助? 关于此消息的咨询,请联系 我们的支持团队并提供以下参考ID。 阻止参考ID:387430e6-4242-11f1-9d45-7ffcf5a57728 通过彭博社订阅,随时掌握最重要的全球市场新闻。 立即订阅