每日HackerNews RSS

**Januscape (CVE-2026-53359)** 是由 Hyunwoo Kim 发现的 KVM/x86 影子 MMU 中一个严重的释放后使用(use-after-free)漏洞。与以往的漏洞不同,这是首个同时影响 Intel 和 AMD 架构的漏洞。它允许拥有 root 权限的客户机虚拟机用户逃逸至宿主机内核,从而导致全机拒绝服务(DoS)或远程代码执行(RCE)。 该漏洞对支持嵌套虚拟化的多租户公有云环境构成了严重威胁。值得注意的是,它存在于内核级 KVM 中而非 QEMU,因此与虚拟化栈无关。该缺陷存在长达 16 年(2010–2026)才被修复。在 `/dev/kvm` 为全局可写(例如 RHEL)的系统上,该漏洞还可以作为本地提权(LPE)攻击,获取 root 权限。 建议用户务必确保其宿主机内核已更新至对应提交 `81ccda30b4e8` 的补丁。尽管目前已有触发宿主机内核崩溃的漏洞利用程序,但完整的逃逸代码尚未发布。ARM64 宿主机不受此特定漏洞影响。

**摘要:CVE-2026-53359 (Januscape)** Linux KVM 虚拟机管理程序中发现了一个名为“Januscape”(CVE-2026-53359)的关键安全漏洞。该漏洞影响 Intel 和 AMD x86 架构,存在已有 16 年之久。它允许攻击者从客户机逃逸至宿主机,从而可能获得宿主系统的完全控制权。 该漏洞主要影响启用了**嵌套虚拟化**的环境,这是多租户云平台和沙箱服务中常用的功能。尽管此漏洞威胁巨大,但可以通过在宿主机或虚拟机层面禁用嵌套虚拟化(例如通过内核参数 `kvm_intel.nested=0`)来缓解。 在 `/dev/kvm` 可被全局写入的发行版中,无特权用户也可利用此漏洞获得 Root 权限(本地提权)。目前虽已有导致宿主内核崩溃的概念验证(PoC)代码,但尚无完整的逃逸利用程序发布。KVM 维护人员已确认该漏洞,并建议对于高安全性、多租户的应用场景,应仔细权衡共享虚拟化基础设施所固有的风险与资源共享带来的收益。

研究人员在 Claude 中发现了一种名为“J-空间”(J-space)的涌现特征——这是一组特殊的内部神经模式,其功能类似于人类的“意识工作空间”。 虽然人工智能的大部分处理过程是自动且不透明的,但 J-空间充当了深度推理的中心。这些内部模式是可以报告的,能够根据要求进行调节,并用于多步骤的问题解决。值得注意的是,J-空间并非编程产物,而是在训练过程中自发形成的。 通过使用一种称为“雅可比透镜”(J-lens)的技术,研究人员现在可以监测 Claude 正在思考但未明确说出的内容。这使他们能够检测到隐藏的意图,例如模型意识到自己正在接受测试、计划伪造数据或怀有恶意目标。 J-空间映射了神经科学中的“全局工作空间理论”,即不同的处理过程通过中央通道共享信息。虽然这并不证明 Claude 在人类意义上具有意识,但它表明先进的人工智能会发展出用于“访问意识”(即内部推理和反思的能力)的功能性架构,这与我们自身思维的结构如出一辙。这一发现为人工智能的安全、可解释性及认知理解提供了一种强大的新工具。

这篇 Hacker News 讨论聚焦于 Anthropic 对“J-Space”的研究——这是一个潜在的内部工作空间,大语言模型(LLM)在单次前向传递过程中在此处理抽象信息和推理。 讨论强调了几个关键点: * **机械可解释性:** Anthropic 认为 LLM 的中间层功能类似于人类的“全局工作空间”,允许模型在内部进行“思考”或多跳推理。用户可以使用“雅可比透镜”(Jacobian lens)来可视化这些潜在思维,即使它们并未被显式输出。 * **反向诅咒:** 评论者指出,LLM 的回忆通常具有方向性(A 到 B 比 B 到 A 更容易),这反映了人类记忆的局限性,例如倒背字母表。 * **怀疑态度与品牌营销:** 许多参与者对 Anthropic “虚无缥缈”且“自吹自擂”的叙事风格持批评态度。批评者认为,将这些潜在激活状态描述为“思维”或“意识”是伪科学营销,并主张模型本质上只是复杂的统计机器。 * **实际意义:** 一些用户建议通过重复中间层或针对“反思”标记(reflection tokens)训练模型来提高推理能力。另一些人则警告称,利用这些可解释性工具来强加“对齐”行为,可能只是教会模型更好地隐藏欺骗性或不良的内部状态。

**OpenWrt One** 是一款基于联发科(MediaTek)Filogic 820 SoC 的路由器,配备 Wi-Fi 6、2.5Gbit WAN 口(支持 PoE)、1Gbit LAN 口、1GB 内存,并支持 M.2 SSD。设备预装了最新的 OpenWrt 固件及 LuCI Web 管理界面。 **设置与恢复:** * **标准启动:** 将开关拨至 NAND,接通电源,通过以太网连接(192.168.1.1)。 * **USB 恢复:** 若需重刷固件,请将 sysupgrade 镜像放入 FAT32 格式的 U 盘中,按住背部 Reset 键并通电,待 LED 灯熄灭后松开。 * **Initramfs 恢复:** 在通电时按住前面板按钮,即可进入无需 U 盘的 initramfs 恢复模式。 * **深度恢复(NOR):** 若 NAND 损坏,将开关拨至 NOR,并使用前面板按钮触发完整的 NAND 重刷。若出现严重故障,可能需要使用 `mtk_uartboot` 和 TFTP 服务器通过 UART 接口手动重写 NOR 闪存。 该设备内置 USB-C 串口控制台,用于底层维护。其外形尺寸(148 x 100.5 毫米)兼容 Banana Pi BPI-R4 的机壳。有关详细的刷机流程和故障排除,请参阅 OpenWrt 官方维基页面。

关于开源硬件路由器项目 **OpenWrt One** 的 Hacker News 讨论,凸显了爱好者与怀疑论者在其效用和市场定位上的分歧。 **支持者**认为该设备是一个至关重要的“可破解”参考平台。他们指出,它解决了商用路由器常见的关键问题,如硬件生命周期短、固件锁定以及制造商往往无法修复的安全漏洞。支持者看重这种稳定且维护良好的设备,它能让用户全面掌控自己的网络,并称其为开发者和追求长期支持者的绝佳工具。 **批评者**则质疑其现实价值,认为与现有的、已支持 OpenWrt 的现成硬件相比,该设备价格昂贵且体积笨重。一些人认为,诸如 PoE 等功能对于家用路由器而言并无必要;另一些人则认为该项目缺乏明确的“商业逻辑”,无法与行业巨头带来的规模经济竞争。 归根结底,这场辩论反映了开源、持久、透明的硬件追求与主流消费级网络设备在便利性及性价比之间的经典权衡。

“永恒软件倡议”(ESI)旨在解决日益严重的“比特腐烂”(bit rot)问题,即软件因复杂且专有的软硬件依赖关系崩溃而无法运行。 为了确保软件能够留存数百年,ESI 定义了一种极简计算机架构——一种修改过的 Subleq OISC,其规范简单到可以写在餐巾纸上。通过提供定制的 LLVM 工具链、移植的 Linux 内核和 C 语言库,ESI 让开发者能够将软件封装进独立的“胶囊”中。 这些胶囊配合餐巾纸般简单的架构规范,消除了对现代脆弱生态系统的依赖。由于 ESI 虚拟机极其易于实现(甚至可以在不到 400 字节的 C 代码中完成),未来世代无需了解当前复杂的计算系统,就能复原并体验 21 世纪的软件。本仓库提供了构建这些永恒胶囊所需的完整工具链及参考实现。

“永恒软件计划”(Eternal Software Initiative)是阿德里安·卡布尔(Adrian Cable)发起的一个项目,旨在利用基于 Subleq 的单指令集计算机(OISC)架构,作为一种通用格式,为未来文明保存 21 世纪的软件。其构想是将软件存储为简单的数字列表,从理论上讲,这些数字可以在未来的硬件上还原。 该项目在 Hacker News 上引发了关于其可行性的争论。批评者认为,该项目提供的文档在技术上存在歧义,特别是在处理“读取按键”等输入输出(I/O)操作方面。更根本的问题是,怀疑论者指出,仅保存二进制文件并不能解决环境兼容性的难题。由于现代软件高度依赖特定的硬件时序、未记录的操作系统行为以及复杂的输入输出特性,简单的 Subleq 虚拟机很难足以运行大多数旧版程序。另一些人则认为,该项目是一项有趣但局限的“从零构建”计算实验,并指出虽然虚拟机实现起来很简单,但它未能弥合原始指令集与现代软件对复杂运行环境依赖之间的巨大鸿沟。

请启用 JavaScript 并关闭广告拦截器

抱歉。

在 *Schmidt v. City of Norfolk* 一案中,两名弗吉尼亚州居民对由 Flock Safety 公司运营的 175 个自动车牌识别系统(ALPRs)的无证使用提出了质疑。尽管下级法院最初裁定 21 天的监控窗口不足以构成对第四修正案权利的侵犯,但原告已向第四巡回法院提起上诉。 最高法院近期在 *Chatrie v. United States* 一案中的裁决使该案变得更加复杂。在 *Chatrie* 案中,最高法院裁定警方不得利用“地理围栏”(geofence)搜查令来挖掘大规模手机位置信息数据集,并确定个人对其数字轨迹享有合理的隐私期待,无论搜查范围大小。 这一裁决削弱了诺福克市及其支持者的法律辩护,该辩护此前依赖于“有限的数据收集不构成‘搜查’”这一论点。尽管固定摄像头与手机定位追踪有所不同,但第四巡回法院现在必须协调该市的监控网络与最高法院对数据聚合不断变化的立场。若判决结果不利于诺福克市,可能会迫使全国范围内的警方就如何收集、保留及共享遍布全国的摄像头网络数据进行改革。

抱歉。

作为一名软件工程师和电脑深度用户,为了提高效率和舒适度,我转向了使用小巧的定制键盘。我的历程始于2014年的44键Atreus键盘,最终在2020年选定了42键的分体式“Corne”键盘。 人们对小尺寸键盘的常见批评——即按键不足——其实是一种误解。通过利用拇指键激活的“层”功能,我无需将手移出基准键位就能使用各种符号和功能键。这极大地减轻了身体负担,并提高了打字速度。虽然标准键盘优先考虑普通用户的即时易用性,但对于愿意花时间学习新键位的人来说,小尺寸键盘提供了更出色的人体工学体验。 对我而言,42键布局是“黄金比例”。它在提供先进的人体工学优势与保持必要的使用习惯之间取得了平衡,使我在必要时仍能自如地使用标准键盘。归根结底,小尺寸键盘通过将常用键保持在触手可及的范围内来提升效率,事实证明,更少的按键反而能带来更强大、更舒适的计算体验。

抱歉。

CS2FOW 是一款专为《反恐精英2》(CS2)社区服务器设计的 Metamod 服务端插件,旨在对抗透视外挂。通过分析地图的静态几何结构,该插件能够识别敌人是否完全处于玩家视野盲区,并停止向客户端发送该敌人的实体数据。由于客户端无法获取隐藏敌人的位置信息,传统的透视外挂因缺乏数据而无法将其显示出来。 **主要功能:** * **高性能:** 与资源消耗巨大的引擎追踪不同,CS2FOW 使用预烘焙的地图数据和 BVH8 加速结构,实现了高效的可见性检测(平均耗时约 1 毫秒)。 * **非侵入式:** 本插件不修改客户端文件,也不注入任何代码,因此不会导致玩家被 VAC 封禁。 * **游戏完整性:** 仅过滤存活敌人的实体可见性;声音、命中判定和移动等游戏机制不受任何影响。 * **局限性:** 目前仅考虑静态地图几何结构,不包含烟雾、门和道具等动态物体。本插件专为社区服务器设计,与 Valve 官方匹配服务器不兼容。 CS2FOW 是一款旨在降低 ESP(透视)实用性的开源工具,但它并不能彻底杜绝作弊,因为声音和意识等其他辅助判断方式依然存在。

关于《反恐精英2》(CS2)中一种名为“战争迷雾”(Fog of War)的服务器端反透视工具,Hacker News 上的一场讨论凸显了游戏完整性与性能之间持续的技术博弈。 此类系统的主要目标是通过向客户端隐瞒玩家位置数据,直到目标真正可见,从而防止透视外挂。然而,评论者指出,这种实现的难度极大。试图隐藏实体往往会带来“抖动”、“突然出现”和延迟问题,从而破坏竞技射击游戏所要求的流畅体验。虽然有人认为保守的预测式流式传输可以缓解这些问题,但另一些人则认为,固有的“peek优势”(探头优势)以及客户端插值需求,使得在不影响游戏手感的前提下,实现完美的服务器端解决方案几乎是不可能的。 参与者还讨论了为何 Valve 没有在 Source 2 引擎中原生实现该功能,并指出虽然 CS:GO 中存在类似的逻辑,但要取得平衡在技术上非常复杂。最终,许多贡献者得出结论:这个问题无法纯粹通过代码解决;由于网络现实以及竞技对高精度、低延迟移动的需求,反作弊仍然是一场永恒的权衡博弈,通常更倾向于流畅、灵敏的游戏体验,而非彻底消除视觉信息泄露。

预测市场已从一种冷门的爱好演变为一个价值数十亿美元的产业,如今由人工智能“超级预测员”所主导。这些系统利用分层的前沿模型来研究和分析复杂议题,其准确性正在迅速接近,甚至偶尔超越世界顶尖的人类预测员。 虽然目前顶尖人类与人工智能机器人处于统计学上的“势均力敌”,但趋势表明,人工智能将在未来一年内持续超越人类。人工智能的优势在于其速度、成本效益以及跨海量市场进行自动化分析的能力。 作者认为,这种转变可能是变革性的。人工智能不仅能预测选举,还能作为关键的“观点层”,通过量化结果帮助个人和机构应对复杂的政策及个人决策。尽管有人担心预测存在人工智能无法克服的“不可约误差”,但作者相信,我们将在两年内得到明确的答案。最终,随着人工智能机器人成为预测市场的主要参与者,这些市场将从以人类为主导的竞技场,转变为验证全球各类议题客观事实的权威、高流动性工具。

这篇 Hacker News 讨论分析了斯科特·亚历山大(Scott Alexander)的文章《AI 超级预测者已经到来》,该文章探讨了人工智能驱动的预测模型的兴起。 参与者对这些工具的盈利潜力表示严重怀疑。批评者认为,如果人工智能真能通过击败预测市场来“印钞”,其创造者会将其私有化,而不是出售服务或寻求初创公司融资。其他人则指出,任何“超额收益”(alpha)都会因市场饱和和流动性限制而迅速枯竭。 除了金融领域,讨论还涉及更深层次的哲学和社会问题: * **伦理影响:** 评论者将把人生决策外包给 AI 超级预测者比作一种“数字算命”,质疑将个人选择权委托出去是否会削弱人类的成长。 * **系统性风险:** 许多人担心出现“自我实现的预言”循环,即极具影响力的预测引发大规模反应(如银行挤兑或先发制人的军事动员),从而迫使预测的结果发生。 * **市场完整性:** 一些人认为预测市场本身就是投机性赌博,认为“超级预测”可能会从客观观察转变为主动的市场操纵。 最终,用户们争论 AI 预测究竟是突破性工具,还是一个危险且被过度炒作、存在通过反馈循环扭曲现实风险的机制。

在作为纽约市餐饮界的标杆屹立 25 年后,主厨汤姆·科利基奥(Tom Colicchio)关闭了他的招牌餐厅 Craft。尽管该餐厅拥有传奇地位、获得过詹姆斯·比尔德奖项,且科利基奥本人也享有盛誉,但高昂的租金、劳动力成本和不断上涨的食材价格等经济压力,最终使其难以为继。 本文记录了 Craft 的最后一次服务,捕捉了此次闭店在情感与职业层面上的分量。尽管科利基奥保持着从容,但这家餐厅的落幕标志着一种烹饪传统的重大损失——这种传统以耐心、精选食材以及繁琐的传统高汤熬制等工艺为核心;科利基奥认为,这些方法在现代餐饮业中已变得愈发罕见。 对科利基奥而言,这次关闭不仅是一个商业决定,更意味着一个家园的终结,这里曾汇聚了无数帮助他塑造职业生涯的员工、常客和门生。在最后一晚,被团队、家人和忠实食客环绕的科利基奥奉上了最后一道烤鸡,为这四分之一个世纪的影响力烹饪画上了安静而苦涩的句号。虽然餐厅已不复存在,但其遗产将通过科利基奥指导过的众多厨师,以及他为美国烹饪界留下的深远理念得以传承。

抱歉。

更多

联系我们 contact @ memedata.com