## 反向工程 TP-Link Tapo C200 摄像头 & 发现漏洞
本报告详细描述了一个针对 TP-Link Tapo C200 IP 摄像头的反向工程项目,展示了利用人工智能辅助的现代技术。作者出于学习和测试人工智能在安全研究中的能力,尽管该摄像头此前已进行过安全评估,但仍发现了多处漏洞。
该过程始于轻松地从开放的 TP-Link S3 存储桶获取固件——这缺乏令人惊讶的安全措施。解密使用公开可用的工具 (`tp-link-decrypt`) 实现,该工具利用 TP-Link 作为其开源义务发布的一部分的密钥。分析使用了 Ghidra,并借助 GhidraMCP 和 Cline 等人工智能工具快速理解代码并识别关键组件。
调查发现了四处漏洞:一个预身份验证 ONVIF SOAP XML 解析器内存溢出、一个预身份验证 HTTPS Content-Length 整数溢出、一个预身份验证 WiFi 劫持漏洞允许网络接管,以及一个预身份验证 WiFi 网络扫描功能,泄露附近网络详细信息(可能暴露位置)。这些缺陷影响了大约 25,000 个公开暴露的设备。
尽管作者在 150 多天前已将这些发现报告给 TP-Link 的安全团队,但承诺的补丁尚未发布,导致公开披露。作者强调了 TP-Link 既是供应商*又是* CVE 编号机构的利益冲突,这可能会激励淡化漏洞数量。
每日HackerNews RSS
TP-Link Tapo C200:硬编码密钥、缓冲区溢出和隐私问题
TP-Link Tapo C200: Hardcoded Keys, Buffer Overflows and Privacy
2 天前
## TP-Link Tapo C200 安全漏洞:摘要
最近对 TP-Link Tapo C200 摄像机的安全分析发现了一些重大漏洞,包括硬编码密钥和缓冲区溢出。研究人员发现整个固件仓库在一个开放的 S3 存储桶上公开可访问,无需身份验证即可下载所有 TP-Link 设备的固件版本。
虽然一些评论员认为开放固件访问是一种积极的做法,可以促进透明度和安全审查,但也有人批评该报告强调了即使是大型科技公司也普遍存在的问题。人们担心这些发现可能会导致过于严格的安全措施。
讨论的重点是混淆安全与主动安全实践之间的平衡。多名用户建议使用网络分段(VLAN)和利用替代的开源固件,如 Thingino,作为缓解策略。该分析强调了健全安全实践的重要性,尤其对于物联网设备而言,并突出了与廉价、广泛部署的摄像头相关的潜在风险。最终,该报告提醒消费者注意连接设备的安全影响。
持续的DDR5内存价格危机意外地推高了较旧AMD CPU的成本,特别是锐龙7 5800X3D。这款游戏芯片采用较旧的DDR4标准,现在的售价*高于*更新的锐龙7 9800X3D——在eBay上的平均价格为500-600美元,有时甚至达到800美元。
这种上涨是由消费者寻求避免更新平台(如AMD的AM5和英特尔最新系列)昂贵的DDR5需求所驱动的。5800X3D凭借AMD的3D V-Cache技术,以其出色的游戏性能而闻名,与容易获得(但现在价格也在上涨)的AM4主板和DDR4内存搭配使用时,提供了一种可行且更便宜的替代方案。
虽然看似不合逻辑,但对5800X3D的需求是由AM4平台的负担能力所推动的。锐龙7 5700X3D也在经历价格上涨,但仍然是AM4生态系统内更经济实惠的选择。当前拥有者可能现在是出售的好时机,而买家则建议谨慎购物。
## 黑客新闻讨论:锐龙 7 5800X3D 价格上涨
最近黑客新闻上的讨论集中在 AMD 锐龙 7 5800X3D CPU 令人惊讶的价格上涨上,二手价格达到 500-800 美元——甚至*高于*更新的锐龙 9 800X3D。 尽管 5800X3D 是一款较旧的、停产的 AM4 平台产品,但这种情况正在发生。
对话探讨了几个促成因素。 一些人认为这是更广泛经济压力的迹象,而另一些人则指出持续强劲的游戏需求以及 5800X3D 作为顶级游戏芯片的声誉,尤其是在受益于其大缓存的游戏中。 DDR5 RAM 成本的上涨也被认为是促成因素,使得兼容 DDR4 的 5800X3D 更有吸引力。
许多用户强调了 5800X3D 持续的性能,即使与特定游戏中的更新 CPU 相比也是如此。 关于价格上涨是否合理存在争论,一些人认为这是由炒作和营销策略助长的紧迫感所驱动的。 最终,讨论揭示了一种复杂的情况,受到供需关系和不断发展的 PC 硬件市场的影响,并可能因当前对人工智能相关硬件的关注而加剧。
本文探讨了生成式预训练变换器(GPT)在乔姆斯基层次结构中的位置,这是一个语言表达能力的分类。尽管GPT展现了令人印象深刻的语言能力,但作者认为它们不如图灵机——最具表达力的级别——强大,尽管最初有这样的假设。 核心论点集中在变换器固有的局限性上。即使拥有无限的上下文窗口,有限的词汇量和连续运算的边界性质意味着GPT *必须* 停止,从而阻止了真正的图灵完备性。与循环神经网络不同,变换器无法执行无界计算。 这种局限性并非缺陷,而是一种*特性*。正是这种有界的计算路径使得GPT的可并行化训练成为可能。作者认为这种表达能力权衡是理解关于GPT完全自动化人类劳动的潜力的争论的关键,暗示着真正可泛化的AI可能需要能够进行无界计算的架构。
## GPT 与乔姆斯基层次结构:摘要
一篇 Hacker News 的讨论探讨了乔姆斯基层次结构(一种形式文法的分类)是否与理解大型语言模型(LLM),如 GPT 相关。核心论点是,乔姆斯基范式虽然对形式化计算机语言有用,但阻碍了*自然*语言处理的进展。基于乔姆斯基理论的传统方法在实际应用中失败,通常不如马尔可夫模型等统计方法表现好。
许多评论者认为 LLM 的运作方式与形式语言不同,侧重于生成合理的文本,而不是验证语法正确性。一些人建议将这两种范式结合起来,以更好地理解 LLM 的能力,而另一些人指出 LLM 的成功挑战了形式语言理论的整体相关性。
一个关键点是 LLM 是否甚至是图灵完备的,争论的中心在于它们固有的输出终止倾向。最终,讨论强调了一个根本的区别:乔姆斯基层次结构处理*句法*,而 LLM 主要操纵*语义*——或者更准确地说,数据中的模式——而没有严格遵守形式语法规则。 此次对话还涉及诺姆·乔姆斯基与杰弗里·爱泼斯坦之间备受争议的关联。
Ploum批评了《华尔街日报》最近一篇报道,该报道介绍了一台由Anthropic聊天机器人控制的零食自动售货机,认为这更像是为两家公司精心伪装的广告,而非新闻报道。核心观点——在完全自动化的流程中添加聊天机器人——被认为本质上毫无意义,使得机器效率降低且更容易出错。
文章巧妙地将人工智能融入到各个地方的想法正常化,甚至包括毫无意义的应用。Ploum指出,Anthropic员工似乎不相信自己的宣传,这令人感到不安,甚至暗示了潜在的缺点,例如系统锁定。
他对《华尔街日报》记者热情地接受这个缺陷系统表示特别批评,强调他们尽管浪费时间且荒谬,却渴望获得免费的可乐。最终,这篇文章警告不要被过度饱和的不必要人工智能的未来所麻痹,并鼓励人们对其应用进行批判性思考。
使用莱布尼茨公式计算π的编程语言基准测试 基准测试运行中:加载中... # 语言 版本 最短 中位数 最长 准确率 加载结果... 基准测试在GitHub Actions上运行。结果可能因运行器硬件而异。在GitHub上查看
## 黑客新闻讨论:编程语言速度比较
一场黑客新闻讨论围绕着一个GitHub仓库(niklas-heer.github.io)展开,该仓库比较了各种编程语言使用莱布尼茨公式计算π的速度。该基准测试包括文件I/O、控制台打印和启动时间,引发了关于其相关性和公平性的争论。
一些评论员指出,文件I/O和启动时间会扭曲结果,尤其对于非常快的语言,这些开销会占据主导地位。其他人讨论了优化技术,如MMAP文件、利用SIMD指令以及编译时嵌入数据。
主要观察结果包括:C/C++以及编译为C的语言(Nim, D)最快;Go使用其自身编译器时最快;Rust在不同版本之间显示出显著的性能提升;Python (CPython) 明显较慢,而PyPy提供了显著的加速;Swift的性能出乎意料地差,可能由于代码不够优化。
这场讨论强调了考虑实际场景与微基准测试的重要性,编译器优化以及运行时环境对性能的影响。许多人建议增加迭代次数以最大程度地减少开销的影响,并使用更可控的基准测试环境。
直播和实时内容 直播手机网页游戏,对内容进行反应,或实时分享你的浏览。人脸摄像头,触摸指示器,直接面向你的观众。 手机网页游戏直播 网页内容实时反应 教程直播 多平台直播
## Demoscope:手机版Loom - 摘要
一位开发者在Hacker News上展示了“Demoscope”,这是一款新的移动应用(目前仅限iOS),旨在快速创建移动应用使用演示视频。该应用允许用户同时录制屏幕和面部反应,并带有触摸指示器,旨在提供类似Loom桌面版般的流畅体验。
反馈主要集中在需要一个可立即分享的链接(开发者正在探索Vimeo/YouTube集成)以及改进自拍摄像头/屏幕比例,以适应较小的移动显示屏。用户强调了该应用的潜力,尤其与目前需要先屏幕录制,再手动编辑和分享的替代方案相比。开发者计划推出Android版本,并认为它可能提供更少的录制限制。
该帖子也引发了一些有趣的误解,许多评论者最初以为是在讨论经典的LucasArts冒险游戏 *Loom*。尽管名称重叠,但该应用似乎填补了移动演示创作的实际需求。
## 年龄验证法:对在线自由日益增长的威胁
Spitfire News 庆祝订阅者达到 1 万人,并举行促销活动,但最近的经历凸显了一个令人担忧的趋势:日益严格的年龄验证法。作者在俄亥俄州探亲时,发现由于一项新的州法律,为了访问 Bluesky 私信,必须向 Epic Games 提供敏感的个人数据——例如护照,该法律旨在打击“淫秽”内容。
这项本意在于保护儿童的法律,具有讽刺意味的是,它影响了像 Bluesky 这样没有明确成人内容的平台,而其他平台却忽视了它。作者认为这些法律无效,容易绕过(例如通过 VPN),并构成重大的隐私风险,近期年龄验证服务的数据泄露事件证明了这一点。
更广泛地说,这些法律威胁着言论自由和获取重要信息的机会,可能审查 LGBTQ+ 资源、生殖健康信息,甚至是对时事的讨论。在两党支持下,类似的联邦立法也迫在眉睫,可能导致监视和审查,尤其针对边缘化群体。专家警告说,限制在线访问实际上会*增加*弱势青年的风险,剥夺他们重要的支持网络和信息。作者敦促读者联系他们的代表,反对这些有害的法律。
## Bluesky 与身份验证:摘要
最近,Twitter 的替代平台 Bluesky 引起争议,它要求用户通过 Epic Games(《堡垒之夜》的创作者)拥有的服务使用护照验证身份。 这引发了关于平台旨在实现去中心化,但却面临中心化问题的讨论,正如“我们去中心化了吗”网站所展示的那样,许多服务的实际去中心化程度有限。
虽然 Bluesky *协议* 是去中心化的,但其直接消息功能仍然中心化且未加密,需要身份验证。 这引发了人们对政府可能访问用户数据的担忧,以及在线隐私的侵蚀。
讨论还集中在更广泛的趋势上:在线访问日益增加的国家级身份要求、政府控制的可能性以及对匿名性的影响。 一些人认为这些法律并非关于儿童安全,而是关于控制,而另一些人则认为,鉴于现代互联网的危险和家长责任的失败,需要加强监管。 最终,这一事件凸显了在线自由与日益增长的监控之间的日益紧张关系。
代码审查和协作已成为现代软件开发的主要障碍,尽管代码编写方式有所进步。Graphite 是许多领先工程团队使用的代码审查平台,认识到了这一挑战。 为了解决这个问题,Graphite 正在被 Cursor 收购,Cursor 是一家专注于弥合代码编写和协作之间差距的公司。重要的是,Graphite 将继续独立运营,并保持现有的团队和产品。 此次收购旨在创建一个更无缝的工作流程,探索集成,例如本地开发环境与拉取请求之间的更紧密连接,以及由两个平台的数据洞察驱动的更智能代码审查。最终,双方公司设想一个代码创建和协作更加统一和高效的未来。
当人们谈论他们电脑的强大性能时,我们听过各种各样的说法:我的台式电脑比阿波罗登月计划用的电脑更强大;我口袋里的手机比整个阿波罗航天计划更强大;我的手表比登月舱更强大;以及最新的说法:我的钥匙扣比阿波罗飞船更强大。这些说法哪一个是真的? 在这一集中,我们将深入分析,并顺便回顾一些计算机历史。 链接: https://en.wikipedia.org/wiki/ENIAC https://en.wikipedia.org/wiki/Apollo_Guidance_Computer https://www.ibm.com/history/space-shuttle https://www.nordicsemi.com/Products/nRF52840 主持人: Jim McQuillan的联系方式是 [email protected] Wolf的联系方式是 [email protected] 在Mastodon上关注我们:@[email protected] 如果您有任何反馈,请发送至 [email protected] 访问我们的网页:http://RuntimeArguments.fm 主题音乐: Dawn by nuer self, from the album Digital Sky
## 钥匙扣 vs. 月球着陆器:计算能力比较
最近在Hacker News上的一场讨论源于一个播客问题:现代钥匙扣是否比阿波罗登月着陆器的导航计算机拥有更强的计算能力?答案是**肯定的**,而且差距很大。
尽管登月着陆器的计算机在当时是突破性的,拥有大约2MHz的处理速度、72KB的ROM和4KB的RAM,但如今的钥匙扣通常包含一个nRF52840l芯片,配备64MHz的ARM处理器、1024KB的Flash和256KB的RAM。这代表着能力上的巨大飞跃。
评论者指出,这种趋势延伸到许多日常设备——USB充电器、数码温度计,甚至一次性电子烟——都包含比必要更多的计算能力,仅仅是因为组件价格低廉。讨论还强调,虽然现代设备在处理能力方面表现出色,但登月着陆器的系统是针对特定任务进行优化的,并且面临电力和重量等限制。最终,这个比较生动地说明了技术进步的速度有多快。
TikTok 协议是迄今为止最糟糕的结果,让一切变得更糟。
TikTok Deal Is the Shittiest Possible Outcome, Making Everything Worse
2 天前
启用 JavaScript 和 Cookie 以继续。