每日HackerNews RSS

启用 JavaScript 和 Cookie 以继续。

## React 安全漏洞 - 紧急更新 React Server Components 中发现了一个严重的安全漏洞(CVE-2025-55182,CVSS 10.0),允许**未经身份验证的远程代码执行**。此漏洞影响 React 的 19.0、19.1.0、19.1.1 和 19.2.0 版本。 **需要立即采取行动:** 升级到 React 19.0.1、19.1.2 或 19.2.1 版本。 此漏洞影响使用 React Server Components 的应用程序,即使您没有直接实现 Server Function 端点。**受影响的框架和打包工具包括:** Next.js、React Router、Waku、Parcel、Vite 和 Redwood SDK。每个框架的具体升级说明详见完整公告。 虽然一些托管服务提供商已实施了临时缓解措施,但**依赖这些措施是不够的** – 升级至关重要。该漏洞源于 React 解码发送到 Server Function 端点的负载方式中的缺陷,允许攻击者通过精心构造的 HTTP 请求在服务器上执行代码。 该问题由 Lachlan Davidson 于 2025 年 11 月 29 日报告,并于 2025 年 12 月 3 日发布了修复程序。如果您的应用程序不使用服务器或支持 React Server Components 的框架,则不受影响。

React 服务器组件 (RSC) 发现了一个严重的安全漏洞,可能允许未经身份验证的攻击者在服务器上执行远程代码。该问题源于 RSC 处理对服务器函数端点 HTTP 请求的反序列化方式。 多个框架受到影响,包括 Next.js、react-router 以及其他使用 RSC 的框架。该漏洞的 CVSS 分数为 10,表明严重程度最高。 幸运的是,Next.js 已在 15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7 和 16.0.7 版本中发布了修复程序。强烈建议受影响框架的用户立即更新。此次发现凸显了 React 新特性中持续存在的安全问题,促使一些开发者考虑使用 HTMX 等替代方案。更多讨论和详细信息可以在 Hacker News 的相关帖子中找到。

Rocketable 正在构建软件公司的未来——完全自主的企业,完全由人工智能驱动。他们收购盈利的 SaaS 公司,并系统性地用人工智能代理取代人工角色(工程、支持、运营),目标是实现零人工干预。 核心挑战在于构建一个能够跨越多样化技术栈和业务领域的平台。初期阶段专注于自动化客户支持,然后扩展到自我调试、功能创建,并最终实现超人性能。Rocketable 优先考虑生产就绪的系统,而非研究,需要具备扩展分布式架构(TypeScript/Python、Kubernetes、云基础设施)的强大工程背景。 他们正在寻找一位架构师来领导这项工作,这个人必须相信完全自动化是不可避免的,并且有动力去应对前所未有的挑战。这不仅仅是渐进式改进,而是为新一代人工智能驱动的企业构建基础架构。在 650 万美元的种子资金支持下,Rocketable 提供了一个高杠杆的机会来塑造工作的未来。

Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录 Rocketable (YC W25) 正在招聘一名创始工程师来自动化软件公司 (ycombinator.com) 1 天前 | 隐藏 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系 搜索:

近十年以来,Valve一直在秘密资助“Fex”项目,该项目旨在将Windows游戏带到基于ARM的设备上。Steam Deck负责人Pierre-Loup Griffais透露,该举措是对他们成功的Linux兼容层Proton的补充,并扩展了PC游戏超越传统x86架构的可能性。 Valve认为ARM在较低功耗下提供更高的效率,为超便携式笔记本电脑、平板电脑甚至手机运行更广泛的游戏打开了大门。他们正在开发ARM版本的SteamOS,利用专门的Proton构建和Fex模拟器来翻译Windows游戏。 目标是降低用户门槛并提供选择,潜在地使游戏在Linux上运行*更好*,因为系统开销降低。虽然仍然存在挑战——特别是多人游戏中的反作弊系统——但Valve的工作正在促进一个不断增长的Windows替代生态系统,这从SteamOS和Bazzite等发行版的受欢迎程度可以看出。最终目标是扩大PC游戏市场,并赋予玩家更多的硬件选择。

一场 Hacker News 的讨论围绕着一篇关于 Valve 为 Windows 游戏提供 ARM 兼容性资助的文章,最初由 The Verge 报道。原始提交链接到对该新闻的再报道,引发了关于 Hacker News 指南的讨论。 版主解释说,虽然 24 小时前已经存在一篇类似的文章(编号较低),但新的提交被“重新发布”是为了奖励原始提交者并将流量引导至 The Verge,因为他们进行了最初的报道。 用户还指出 The Verge 的文章有一个动态付费墙,可能会根据阅读频率限制访问,但也有一些人报告说没有遇到。为了解决访问问题,分享了文章的存档版本。这次对话突出了 Hacker News 偏好链接到原始来源和奖励原创报道。

## VA及其他地区的Oracle EHR问题 (Hacker News 摘要) 一篇《华盛顿邮报》文章,重点介绍了Oracle电子健康记录 (EHR) 系统在退伍军人事务部 (VA) 实施中出现的严重错误,引发了Hacker News上的讨论。用户分享了他们在医疗IT领域遇到的经验和见解。 一个关键主题是医院内部诚实报告错误的困难,人们担心追责、政治运作和自我保护会凌驾于患者安全之上。瑞典Oracle EHR项目失败也暴露出类似的问题。 许多评论员指出Oracle在ERP和EHR实施方面存在诸多问题,质疑为什么组织在多次失败后仍然选择他们。人们对缺乏竞争以及裙带资本主义对政府合同的影响表示担忧。 讨论还涉及了更换VA的VistA等遗留系统的困难,虽然VistA系统老旧,但运行良好。一些用户提倡复制成功的系统,而不是从头开始构建,但指出采购流程常常阻碍这种方法。最终,共识对医疗IT描绘了一幅黯淡的图景,缺乏改进的动力,并对患者福祉构成重大风险。

此仓库提供针对 New World Mac OS Toolbox 镜像(1.2+ 版本)的补丁,以启用在较新硬件上启动较旧的系统版本,如 System 7.x。 随着时间的推移,关键接口(程序间通信、声音、通讯、事件管理器、图片/文本/图标工具)被从 Toolbox 中移除。这些补丁恢复了这些功能。 包含的脚本会根据 Toolbox 镜像中现有的陷阱自动应用正确的补丁集。 此外,还提供了一个针对 `ProcessMgrSupport.pef` 的特定补丁,解决了 TBXI 版本之间初始化更改的问题,并需要使用 Retro68 进行重建以支持较旧的系统。 进一步的补丁解决了与 Mac OS 9 中引入的文件控制块的兼容性问题,允许较旧的系统运行,但可能存在不稳定情况。 建议以 TBXI v10.2.1 作为基础,并提供特定的偏移量补丁。 虽然这些补丁允许启动较旧的系统,但由于不兼容的扩展或控制面板(例如 System 7.x 中的日期和时间面板),可能会发生崩溃。 不能保证完全稳定的系统,但这提供了一种在更现代的配置上运行经典 Mac OS 的途径。

``` Hacker News新版 | 过去 | 评论 | 提问 | 展示 | 工作 | 提交登录 Universal-tbxi-patchset:Mac OS 新世界 ROM 补丁集,用于启动 System 7.5 (github.com/wack0) 36 分,classichasclass 1 天前 | 隐藏 | 过去 | 收藏 | 2 评论 yjftsjthsd-h 1 天前 | 下一个 [–] > 补丁脚本是用 PHP 编写的,只需在与你的 vasmm68k_mot 构建相同的目录下运行 php patch.php "path/to/Mac OS ROM.hqx.src"。它是 100% 有效的,但我总是忘记 PHP 是一种通用脚本语言:) 我假设它是一个补丁脚本,而不是 patch(1),因为它似乎正在交互式地查看 ROM 以找到要修改的正确内容?回复 dddddaviddddd 1 天前 | 上一个 [–] 我认为这是现在允许你在像 Mac Mini G4 这样新的机器上运行 System 7 的工作的一部分,这在 https://news.ycombinator.com/item?id=46084956 中有更广泛的讨论。回复 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系 搜索: ```

某些 React 包(版本 19.0.0、19.1.0、19.1.1 和 19.2.0)以及使用这些包的框架(包括使用 App Router 的 Next.js 15.x 和 16.x)受到一个漏洞的影响。该问题在上游被追踪为 CVE-2025-55182。 修复版本: React: 19.0.1, 19.1.2, 19.2.1 Next.js: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7 该漏洞还影响了从 14.3.0-canary.77 开始的实验性 Canary 版本。任何 14.3 Canary 构建的用户应降级到 14.x 稳定版本或 14.3.0-canary.76。所有使用稳定版 15.x 或 16.x Next.js 版本的用户应立即升级到已修复的稳定版本。 受影响的 React 包是: react-server-dom-parcel react-server-dom-turbopack react-server-dom-webpack

## AI 数据中心:不会重蹈电信业崩溃覆辙 将当前 AI 数据中心繁荣与 2000 年代的电信业崩溃进行比较具有误导性。虽然两者都涉及大规模基础设施支出和泡沫担忧,但仔细分析数据会发现根本性的差异。 电信业崩溃源于对需求的灾难性误判(高估了 4 倍),并伴随着光纤技术的*指数级*提升,导致大量已建基础设施未被使用——95% 处于“暗纤”状态。然而,AI 面临的是每瓦 GPU 性能提升*放缓*,以及由向 AI 代理转变推动的潜在*加速*需求。 与迅速过时的光纤不同,由于效率提升递减,今天的 GPU 能够更长时间地保持价值。虽然短期内的修正是可能的——可能由代理采用速度放缓、金融不稳定或意外的效率突破触发——即使是过度建设的 AI 基础设施也不会变得无用。它只是会被利用更长的时间。 核心风险不在于建设*过多*,而在于*时机*。预测的代理采用率与实际采用率之间的错配可能导致暂时性产能过剩。然而,这与为从未实现的需求而建设,同时技术又使基础设施过时的情况截然不同,就像电信业发生的那样。AI 繁荣似乎是由真实且不断增长的需求推动的,这使得重蹈电信业崩溃覆辙的可能性不大。

React 服务器组件 (RSC) 和 Next.js 等框架中发现了一个严重远程代码执行 (RCE) 漏洞 (CVE-2025-55182 & CVE-2025-66478)。在默认配置下,攻击者可以通过精心构造的 HTTP 请求在服务器上执行特权 JavaScript 代码,*无需*身份验证。 该漏洞在于 `react-server` 包处理 RSC “Flight” 协议的方式,具体是逻辑反序列化问题,恶意负载绕过了验证。测试表明,漏洞利用的成功率接近 100%。目前估计约 39% 的云环境存在漏洞。 **立即修补至关重要。** 将 React 升级到版本 19.0.1、19.1.2 或 19.2.1,Next.js 升级到 14.3.0-canary.88 或 15.x 和 16.x 系列的更高版本。其他启用 RSC 的框架 (Redwood, Waku 等) 的用户应检查其捆绑的 `react-server` 版本是否有更新。 详细的漏洞利用信息暂时保密,以优先考虑防御。

## React & Next.js 严重 RCE 漏洞 - 摘要 React 和 Next.js 中发现了一个严重的远程代码执行 (RCE) 漏洞 (CVE-2025-55182 & CVE-2025-66478),影响多个 React 包和框架(如 Next.js、React Router 和 Vite)的 19.0-19.2.0 版本。该漏洞源于不安全的序列化,允许未经身份验证的攻击者在服务器上执行代码。 值得注意的是,使用 `create-next-app` 构建的标准 Next.js 应用程序即使没有自定义代码更改也存在漏洞。Wiz 最初报告了此问题,但该漏洞最初是由 Lachlan Davidson 发现的。一些评论员批评 Wiz 的博客文章缺乏技术细节,并且可能由 AI 生成。 Vercel 和 Cloudflare 已经实施了平台级别的保护,并且已经发布了补丁 (Next.js v15.0.5)。讨论强调了协调披露和快速缓解的重要性,以及对潜在利用的担忧和对超越依赖项更新的明确规避方案的需求。

此文件详细介绍了MinIO项目的当前状态:**目前已进入维护模式。** 不接受新的功能、增强或拉取请求。 关键安全补丁*可能*会被考虑,但现有的问题和拉取请求将不会被积极审查。 社区支持仍然可以通过Slack获得,但对于正在积极维护的版本和企业支持,用户将被引导至**MinIO AIStor**。 该文件还包括标准快速入门信息,例如Slack频道的链接、Docker拉取统计信息和AGPL V3许可证。 基本上,这标志着核心MinIO项目重心转向稳定化,并引导需要积极开发的用户转向AIStor产品。

更多

联系我们 contact @ memedata.com