Hugging Face
模型
数据集
Spaces
社区
文档
企业
定价
登录
注册
Linum-AI 的 Collections
Linum v2 (2B, text-to-video)
Linum v2 (2B, text-to-video)
更新于 3 小时前
360p 或 720p, 2-5 秒, Apache 2.0
赞
1
Linum-AI/linum-v2-360p
文本到视频
更新于 2 天前
3
Linum-AI/linum-v2-720p
文本到视频
更新于 3 天前
2
赞
1
分享 Collection
查看历史
Collection 指南
浏览 Collections
系统主题
公司
使用条款
隐私
关于
招聘
网站
模型
数据集
Spaces
定价
文档
## Lyft 自行车破解:一个夏季项目
这记录了2019年对 Lyft 自行车共享系统的一次引人入胜(且已道德披露)的安全探索。作者因自行车丢失而感到沮丧,逆向工程了 Lyft 的 iOS 应用 API,以远程解锁自行车。这包括使用 Charles Proxy 等工具拦截和解密网络流量,使用自定义证书克服 SSL 加密,并最终利用一个漏洞。
核心挑战是绕过地理围栏并获取有效的自行车 ID。由于无法直接检索 ID,作者采用了一种暴力破解方法,最初需要数小时,但使用 `aiohttp` 的异步请求优化到约 15 秒。这使得远程解锁自行车成为可能,甚至发现了一个允许同时解锁的错误。
在被 Lyft 实习生发现后,作者通过 HackerOne 负责任地披露了这些发现。尽管最初对暴力破解方法有所担忧,但 Lyft 还是为该报告奖励了 500 美元的赏金,以表彰该漏洞。
这次经历突出了逆向工程的力量、负责任披露的重要性,以及隐藏在看似物理系统中的令人惊讶的数字接口。Lyft 随后修补了这些漏洞并推出了自行车预订功能,从而使这些技术过时了。
这篇帖子详细描述了对通过SSH运行的高性能游戏进行的性能调查。初步分析显示,停止游戏数据传输后,CPU使用率下降了50%——出乎意料地不是100%。`tcpdump`分析显示,即使在用户输入很少的情况下,也存在大量36字节的数据包(约90/秒),这让作者和Claude Code感到困惑。
根本原因被发现是SSH在2023年添加的按键时序混淆功能,旨在通过在按键输入的同时发送“ chaff”数据包(SSH2_MSG_PING)来增强隐私。对于低延迟游戏来说,这种开销很大。客户端禁用混淆功能可以提高性能,但对最终用户来说不是理想选择。
解决方案是通过fork Go的crypto库,并撤销添加触发混淆功能的扩展,从而减少了超过50%的CPU占用并节省了带宽。作者强调了使用像Claude Code这样的LLM进行调试的价值,同时也承认了它们的局限性以及对人类直觉的需求。这次经历强调了理解网络流量以及SSH等核心协议不断演化的功能的重要性。
BrowserOS是一个新的开源浏览器,基于Chromium构建,旨在原生运行AI代理,提供更自动化和私密的浏览体验。它致力于革新日常浏览方式——超越标签页超载和繁琐任务——通过赋予用户在本地计算机上运行的AI能力。
与ChatGPT Atlas、Perplexity Comet,甚至Chrome和Brave等替代方案不同,BrowserOS优先考虑隐私。用户可以使用自己的API密钥或使用Ollama等工具本地运行模型,确保数据安全。它提供熟悉的Chrome类似界面,支持扩展程序,并内置AI广告拦截器。
BrowserOS是社区驱动的,并提供MCP服务器兼容性等独特功能。开发者设想一个AI可以无缝处理日常在线任务的未来,并邀请贡献者共同构建最佳的AI驱动浏览器。