启用 JavaScript 和 Cookie 以继续。
启用 JavaScript 和 Cookie 以继续。
## Scratch 持续存在的 SVG 安全问题
Scratch 一直面临着源于其处理用户提交的 SVG 图像的安全漏洞。 核心问题在于将潜在的恶意 SVG 内容解析到主文档中,即使是短暂的,用于诸如边界框计算之类的操作。 Scratch 的策略一直是逐步改进 SVG 清理,但这种方法始终未能成功。
自 2019 年以来,已经发现了许多绕过方法,包括通过 `<script>` 标签、事件处理程序和 CSS `@import` 语句进行的 XSS 攻击。 更最近,出现了允许通过 `<image>` `href` 属性、CSS `url()` 函数,甚至像 `src()` 和 `image()` 这样的未来 CSS 功能进行 HTTP 泄漏的漏洞。 每次修复都会被绕过,这表明了基于 SVG 的攻击的复杂性和不断演变性。
作者认为,依赖复杂的清理是不可持续的,因为新的 CSS 功能和解析器不一致性不可避免地会产生新的漏洞。 一种更强大的解决方案,在 Scratch 的分支 TurboWarp 中实施,涉及在具有严格内容安全策略 (CSP) 限制的 iframe 内对 SVG 进行沙箱处理。 这利用了浏览器内置的安全机制,减少了对自定义解析的需求,并提供了一种更具未来防御性的防御措施。 最近的发现,甚至包括像 Claude 这样的 AI 模型,不断揭示新的漏洞,突出了持续存在的挑战。
该节目在SVT Play播出,记录了麋鹿每年迁徙到夏季觅食地的过程。数千年来,这些雄伟的动物一直沿着相同的路线迁徙,观众可以连续第八个季节见证这一传统。 该系列节目一窥这场古老的旅程,记录了麋鹿前往更肥沃的牧场。自4月18日起,每天都会发布新剧集,持续报道正在进行的迁徙。这是一个观察自然奇观的机会,它已经在地貌上上演了数千年。
苹果公司对于macOS 27即将到来的潜在变化出奇地坦诚,这可能是由于这些变化对企业用户的影响。预计将有两大转变。 首先,苹果可能会**最终移除对AFP文件共享协议的支持**,推动用户转向SMB3。这主要影响那些仍然使用较旧硬件(如Time Capsule或不支持SMB3的NAS系统)的用户——在不更换这些设备的情况下升级macOS将变得不可能。 其次,macOS 27很可能**需要TLS 1.2(或更优选1.3)才能连接到某些服务器**,这将影响MDM、应用程序分发和软件更新等服务。确定兼容性很复杂,需要使用苹果提供的特定诊断配置文件和终端命令进行详细的日志分析。 苹果目前正在评估这些变化的潜在影响,如果出现重大问题,可能会推迟实施。重要的是,这两个变化都不会追溯应用,允许继续使用旧系统,只要不升级到macOS 27即可。预计六月和七月将发布测试版,完整版预计在九月发布。
## 数学形式化的历史与批判 本文反思了数学形式化的发展历程,起因是对Lean当前热情的关注。作者是该领域的资深人士,提醒人们不要忘记数十年前的先期工作,强调了如AUTOMATH(可追溯至1968年)等系统,它们已经实现了显著的形式化成果——包括兰道的《分析基础》——尽管缺乏现代便利性。 作者承认Lean的优势——强大的社区、工具和库,但批评了依赖类型领域中 perceived 的“教条主义”和从众现象。他们强调,进步并非通过追随潮流实现,并指出LCF、HOL Light和Isabelle/HOL等替代方案,已经成功地形式化了复杂的定理。 一个关键论点集中在“命题即类型”与替代逻辑基础之间的争论上,倡导简单性和可读性。作者支持LCF通过抽象数据类型进行动态检查的方法,认为不需要像Lean和Coq等系统中常见的庞大“证明对象”。最终,本文认为应该根据实际需求(协作、现有库)来选择工具,但鼓励考虑Isabelle,因为它具有自动化和可读性,尤其是在人工智能工具越来越多地帮助简化证明和在系统之间进行翻译的情况下。作者还承诺未来会发表一篇专门介绍经常被忽视的Mizar系统的文章。
## TP-Link TL-SG108:释放隐藏潜力
TP-Link TL-SG108 是一款经济实惠的 8 端口千兆以太网交换机,基于 Realtek RTL8370N 芯片。虽然看似基础,但该芯片却令人惊讶地具备了更昂贵“网页智能”管理型交换机中的功能——区别主要在于软件限制。
TL-SG108 随附有限的固件,使用小容量 SPI 闪存芯片,无法访问 VLAN 等高级功能。然而,爱好者可以通过升级闪存容量(至 32Mbit)并刷新 Netgear GS308Ev4 等替代固件来解锁这些功能。这需要编程器和新的闪存芯片,并涉及修改交换机的 MAC 地址。
尽管潜力巨大,但升级并非总是顺利。问题包括 LED 功能丢失和设备难以重置。此外,Araknis AN-110 等类似交换机也使用 RTL8370N,但尽管硬件具备能力,仍然限制了功能。最终,为了可靠的管理型交换,一个带有 OpenWrt 支持的二手专用管理型交换机通常比修改基本型号更好。TP-Link 近期的重组也可能影响未来的固件兼容性。
## 30,000 英尺高空的 MacBook 与 LLM:本地推理实验
一次前往 Google Cloud Next 2026 的 10 小时飞行成为本地 LLM 推理的测试场地。作者配备 MacBook Pro M5 Max (128GB 内存,40 核 GPU),通过 LM Studio 运行 Gemma 4 31B 和 Qwen 4.6 36B,同时搭载完整的开发环境,为 loveholidays 构建一个计费分析工具,从而揭示标准仪表板中先前隐藏的见解。
实验证明,对于编码、工具开发和探索性数据分析等专注的工程任务来说,本地推理是可行的,甚至在较小的任务中可以与云端模型相媲美。然而,也出现了一些限制:电池迅速耗尽(每分钟 1%),产生大量热量,超过 10 万 token 的上下文窗口会降级,以及偶尔出现无限循环。
至关重要的是,定制的工具——`powermonitor` 和 `lmstats`——揭示了一个隐藏的瓶颈:航空公司提供的电缆仅提供 60W 的功率,而不是广告宣传的 70W,从而限制了性能。这凸显了“机械同理心”的价值——理解 AI 的物理成本,以优化云端使用。作者计划在返程航班上使用正确的电缆进行进一步测试,并探索由神经网络引擎驱动的 LLM。
## 蔓藤:一种自扩展的自主代理沙箱 蔓藤是一个使用AWS Strands Agents SDK和Tauri构建的自主代理系统,展示了自主工具发现、创建和复用。其核心原则是:代理*构建*所需工具,而不是依赖预定义的集合。 你提供一个任务,蔓藤首先检查能力注册表。如果存在合适的工具,则执行它。否则,蔓藤会自主编写一个新的工具(使用TypeScript),注册它,然后执行它——所有这些都不需要你的提示。每次会话后,注册表都会增长,使后续交互更有效率。 该系统仅利用三个引导工具和一个能力注册表(存储为文件),由Bedrock模型(Claude)驱动的Strands代理管理。通信通过标准输入/输出上的JSON-RPC进行。 蔓藤的设计注重简单性和控制,提供了一个使用Tauri和React构建的桌面应用程序,以及一个用于代码执行的沙盒Deno环境。它有力地展示了代理如何能够随着时间的推移动态地适应和扩展其能力。
## Windows 11 具有欺骗性的“第二次开箱体验”
Windows 11 正在让用户感到沮丧,出现一个名为“第二次开箱体验”(SCOOBE) 的重复弹出窗口——即使在完全配置的电脑上,在最初设置几个月后也会出现。这并非真正的设置问题,而是一系列旨在推广微软订阅服务(如 Xbox Game Pass 和 Office 365),或更改用户偏好设置(如浏览器设置)的提示。
虽然对个人用户来说这令人烦恼,但 SCOOBE 对组织来说是一个重大问题。它会产生不必要的 IT 支持请求,来自认为电脑出现故障的员工,并可能导致用户意外订阅不需要的服务或覆盖公司设定的配置。
这种体验被批评为具有欺骗性且违反了信任,将微软的利润置于用户体验和既定许可协议之上。虽然可以通过设置或组策略禁用 SCOOBE,但其持续存在引发了人们对微软可能在未来更新中绕过这些措施的担忧。最终,SCOOBE 感觉像是打断关键工作的意外广告,以及 Windows 操作系统中令人担忧的“劣质化”趋势。
彭博社 需要帮助?请联系我们 我们检测到您的计算机网络存在异常活动 要继续,请点击下面的框来确认您不是机器人。 为什么会发生这种情况? 请确保您的浏览器支持 JavaScript 和 cookies,并且没有阻止它们加载。 更多信息请查看我们的服务条款 和 Cookie 政策。 需要帮助? 关于此消息的咨询,请联系 我们的支持团队并提供以下参考ID。 阻止参考ID:387430e6-4242-11f1-9d45-7ffcf5a57728 通过彭博社订阅,随时掌握最重要的全球市场新闻。 立即订阅