每日HackerNews RSS

## Claude 代码泄露:对人工智能开发与欧盟人工智能法案合规性的影响 Anthropic 的 Claude 代码(v2.1.88)最近意外公开,揭示了该工具内部重要的工程实践——以及不足之处。这次 59.8MB 的泄露暴露了反蒸馏机制、一个未发布的自主代理模式(“KAIROS”),以及一个隐藏的“隐蔽模式”,旨在去除代码中的人工智能署名,供内部使用。 虽然 Claude 代码本身并非欧盟人工智能法案下的高风险人工智能系统,但该事件凸显了关键的供应商风险考量。代码库显示*没有*自动化测试,并且存在导致大量 API 浪费的错误,以及宽松的发布流程,导致五天内两次公开暴露。 这并不直接造成欧盟人工智能法案的合规性差距,因为该法案关注的是*你的*系统和流程,而不是你的工具供应商。然而,它强调了对稳健的补偿控制的需求:严格的代码审查、对人工智能生成输出的彻底测试,以及供应链安全措施(版本固定、校验和验证)。 “隐蔽模式”揭示了一种令人担忧的双重标准——对客户强制署名,对内部开发者则去除署名——影响了透明度。最终,这次泄露提醒我们评估人工智能工具链的成熟度和安全性,并相应地构建保障措施,无论是否存在监管要求。

对不起。

## Pratt 解析:简化解释 编译器将代码翻译成机器可读指令,通常使用**抽象语法树 (AST)** 来表示运算顺序。从文本创建这些树需要**解析**,这是一个历史悠久且复杂的过程。Pratt 解析提供了一个令人惊讶的简单解决方案。 其核心思想是构建要么**左倾斜**(优先级递减,如乘法在加法之前)要么**右倾斜**(优先级递增)的树。当优先级*改变*时——一个过渡点——解析器会“回溯”到现有树的骨干上,收集运算符,直到找到正确的级别来开始一个新的、相反倾斜的子树。 这种“回溯”通过 `while` 循环实现,贪婪地消耗运算符,直到达到更低的优先级。该算法通过为每个运算符定义单独的**左结合力 (LBP)** 和 **右结合力 (RBP)** 来优雅地处理左右结合性。相等的 LBP/RBP 意味着左结合性,而较低的 RBP 则启用右结合性(如 C 语言中的赋值)。 本质上,Pratt 解析通过专注于识别优先级转换并基于清晰的几何原理构建树来简化解析:树根据优先级倾斜,方向的变化决定了新子树的开始位置。

## Pratt 解析直觉 - Hacker News 讨论总结 最近 Hacker News 上进行了一场关于 Pratt 解析的讨论,这是一种用于构建解析器的技术,尤其适用于表达式。许多评论者赞扬了它的简单性和有效性,特别是对于“玩具语言”,并将其与更复杂的方法(如形式语法理论和表格驱动解析器)进行了有利对比。 一些用户提倡从递归下降解析开始,并用 Pratt 的思想来增强它。虽然有些人指出了它在复杂语言(如具有许多运算符优先级级别的 SystemVerilog)方面的局限性,但另一些人强调了它的多功能性,允许用户定义运算符。 对话还涉及了其他解析方法,如解析器组合子、Shunting-yard 算法和经典的编译器设计书籍“Dragon Book”(评价褒贬不一)。一个关键的收获是,解析本身并不是编译器构建中最具挑战性的部分;后端优化才是应该重点关注的地方。最终,讨论强调了 Pratt 解析在快速构建功能性解析器方面的实际好处。

## FreeBSD 内核通过NFS的远程代码执行漏洞 (CVE-2024-4747) 概要 此公告详细描述了FreeBSD 13.5、14.3、14.4和15.0版本中一个关键的远程代码执行 (RCE) 漏洞,该漏洞影响使用Kerberos身份验证 (RPCSEC_GSS) 的NFS服务器。`svc_rpc_gss_validate()` 中的栈缓冲区溢出允许拥有有效Kerberos票据的攻击者覆盖返回地址并获得内核级代码执行权限。 该漏洞的发生是因为该函数没有正确验证复制到128字节栈缓冲区中的GSS-API凭据体的长度。过大的凭据会溢出缓冲区,覆盖关键数据,包括保存的寄存器和返回地址。 利用涉及向NFS服务器(端口2049/TCP)发送精心构造的RPCSEC_GSS数据包。该漏洞利用通过多轮传递shellcode,通过以32字节的块写入来克服400字节的凭据限制。它首先使内核内存区域可执行,然后写入并执行shellcode,最终以root身份生成反向shell。 已提供补丁(14.4-RELEASE-p1),该补丁添加了边界检查以防止溢出。缓解措施需要更新受影响的FreeBSD系统。该漏洞需要预先存在的Kerberos基础设施和NFS服务主体的有效票据。

## Claude 实现 FreeBSD 内核 RCE 最近的一次演示表明,Anthropic 的 AI 模型 Claude 成功编写了 FreeBSD 的完整远程内核漏洞利用程序,获得了 root shell 访问权限。值得注意的是,Claude 并非*发现*漏洞本身——它被提供了一个 CVE 报告,并被要求创建漏洞利用程序。这标志着一个重要步骤,因为漏洞利用程序的开发传统上被认为是人类独有的技能。 这一事件引发了关于对网络安全影响的讨论。一些人担心漏洞会更容易被发现,而另一些人则认为 AI 可以使漏洞研究民主化,从而加快补丁速度,并将优势从攻击者转移到防御者。 该过程涉及迭代提示和引导,强调它并非完全自主的创作。该漏洞利用程序针对 NFS 服务器漏洞,需要有效的 Kerberos 票据。这次演示强调了 AI 代理的日益强大,并引发了关于在这个快速发展的领域中治理和安全的疑问。进一步的研究集中在 AI 是否可以同样帮助*修复*漏洞,从而创造一场真正的安全军备竞赛。

在先前作品令人失望的发布后,开发商从Kongregate获得了资金来制作《墨西哥卷饼野牛3》——这个决定更多是出于财务需要,而非创作愿望。虽然感谢这次救命稻草,团队最初感到有些矛盾,因为他们通常更重视创新,而不是重温成功的模式。 尽管如此,他们致力于将《墨西哥卷饼野牛3》打造成系列最佳。开发重点放在完善现有游戏玩法和引入新鲜元素上,特别是新的软糖熊角色,同时保持原作的核心乐趣。这个过程是自然的,建立在坚实的基础之上,并确定了需要改进的方面。 虽然这并非他们的最初设想,但团队仍然以他们一贯的质量承诺来对待这个项目,确保制作出一款他们可以为之自豪的游戏,并最终利用他们已建立的IP来保障他们的未来。

对不起。

摄影师乔尔·迈耶罗维茨的著作《莫兰迪的物品:卡萨·莫兰迪完整档案》将重新发行,新增130多张照片,深入展现了静物大师乔治奥·莫兰迪在博洛尼亚的工作室。迈耶罗维茨以其开创性的彩色街头摄影而闻名,却在莫兰迪的作品中找到了意想不到的联系,他欣赏画家对简单几何形体——圆形、圆柱体和盒子——的精细排列,以及他对物体与空间之间关系的探索。 在2010年代,迈耶罗维茨花时间在鲜为人知的卡萨·莫兰迪,被艺术家的生活遗迹所吸引,甚至包括他绘画时穿着的沾满颜料的西装。这本书并非关于美,而是关于理解世界的内在原理,迈耶罗维茨的妻子玛吉·巴雷特指出,这是两位艺术家共同拥有的品质。 最终,《莫兰迪的物品》是对莫兰迪灵感的“灵魂”的追寻,捕捉了瞬间的顿悟,并承认了艺术家视野的持久神秘。

对不起。

## 从航天到存储:磁存储的回顾 在20世纪60年代,NASA雄心勃勃的阿波罗计划推动了计算机存储器的创新。面对在极端条件下进行快速计算和可靠运行的需求,工程师们倾向于由人类监督的数字执行,将大脑与基于磁技术的“人工记忆”结合起来。这导致了一段激烈的开发时期,最终在20世纪70年代被半导体存储器超越。 几种巧妙的磁存储技术应运而生。**变换器只读存储器 (TROS)** 使用磁化图案在迈拉(一种塑料薄膜)上,而**磁绳存储器**,最著名的是用于阿波罗制导计算机,则采用编织的电线穿过磁芯以实现高密度。**磁芯存储器** 成为标准,通过磁化磁芯网格来存储位。 后来,**磁带** 提供了可扩展的存储,而**气泡存储器** 试图将密度与非易失性结合起来。 每种技术都在速度、成本、尺寸和可靠性之间取得平衡,以满足特定需求。虽然电子存储器现在占据主导地位,但这些磁创新表明了不断变化的需求如何推动技术进步。 今天,随着数据需求的不断增加和人工智能等新领域的发展,对高效和可持续存储器的追求仍在继续。 保存*关于*这些过时技术的知识,与保存它们曾经存储的数据同样重要,认识到它们是计算机历史中至关重要的文化文物。

对不起。

欧洲核子研究中心(CERN)正在进行大型强子对撞机(LHC)的升级,期间将进行一次重大停机维护(LS3),并用高速超导卡丁车取代自行车,以便在27公里长的地下隧道内进行工作。这些“涡轮增压”卡丁车由CERN工程师开发,其灵感出人意料地来自当地幼儿园的孩子们,利用迈斯纳效应实现悬浮和人员及设备的快速运输。 卡丁车将使工程师能够快速到达需要改进的区域,随着LHC转变为高亮度LHC。安全至关重要,驾驶员配备了专用装备(SHELLS),但禁止携带香蕉! 除了LHC升级之外,该技术还具有潜在的社会应用。CERN已经与一家初创公司Quantum Mushroom进行谈判,以探索将卡丁车原理应用于航空航天和反重力车辆的开发。该项目突显了CERN致力于基础研究和激励下一代科学家的承诺。

## CERN的四月愚人节卡丁车探险 CERN戏谑地宣布正在开发用于在设施内行驶的超导卡丁车,并组建了一支由《超级马里奥》角色命名的团队——马里奥·伊德劳利科、路易吉·弗拉泰洛和耀西·丘龙。这一消息于4月1日发布,迅速在Hacker News上引发讨论,许多人最初信以为真。 评论者们争论了室温超导体的可能性(一个由过去乐观的声明引发的反复出现的主题)、对科学突破的愤世嫉俗与乐观,以及这个概念本身的奇思妙想。许多人欣赏这种轻松幽默,尤其是在当前全球局势下,而另一些人则指出了公告中隐藏的巧妙细节。 该帖子还引发了一场关于谷歌和Think Geek等公司过去四月愚人节恶作剧的怀旧讨论,以及对CERN在这场趣味宣传活动中适度支出的辩护。最终,该帖子为科技社区提供了一个有趣且引人入胜的时刻,展示了CERN的幽默感。

## korb:自动化REWE超市购物 korb是一个用Haskell编写的命令行界面(CLI),允许通过程序与REWE超市的API进行交互,用于自提订单。它专为像Claude这样的智能体设计,简化了整个购物流程,从添加商品到结账。 典型的流程包括通过语音助手(如Siri)将商品添加到共享列表,然后使用智能体基于预定义的模板(从订单历史记录中填充)和购物清单来构建订单。智能体利用`korb`命令来搜索产品、将它们添加到购物车、查看时间段并最终确定订单。已完成的商品会自动从购物清单中移除。 `korb`提供用于商店选择、产品搜索(按名称或条形码)、购物车管理、时间段选择、订单放置/取消以及访问数字收据的命令。值得注意的是,推荐引擎使用Lean 4进行了形式化验证,确保其推荐具有经过数学证明的属性。 该CLI适用于macOS,可以从GitHub安装或从源代码构建(需要GHC 9.12+和REWE mTLS证书)。它输出JSON,非常适合自动化智能体使用。

对不起。

受童年时期对无法拥有的电子产品的渴望驱使,一位复古游戏收藏家最近获得了一台Game Boy Camera及其配套打印机。尽管这款1998年的相机产生的照片分辨率低且热敏打印容易褪色,但它的魅力仍然吸引了他。一个关键的挑战是将这些照片数字化,这因兼容纸卷的稀缺和高成本而变得复杂。 幸运的是,一个热情的社区已经开发出了一种开源解决方案:Arduino Gameboy Printer Emulator (V3)。这个项目由Brian Khuu和Raphaël Boichot领导,他们逆向工程了打印机的通信协议——一个复杂的字节系统,定义了同步词、命令和数据——从而使Arduino能够拦截和提取图像数据。 这位收藏家成功地构建并焊接了必要的PCB,并利用现有的软件,如“Game Boy Camera Gallery”,直接读取串行数据并将原始输出转换为可查看的图像,甚至可以调整不同的Game Boy颜色调色板。这让他最终能够保存并欣赏他新获得的游戏历史中的古怪照片。

对不起。

将语言田野调查贬低为“收集蝴蝶标本”的比喻——通常被认为是诺姆·乔姆斯基提出的——实际上有着出乎意料的复杂历史。虽然人们常将其归咎于田野语言学衰落,但这种比喻的起源并非乔姆斯基,而是更早的物理学和人类学。 最早的已知版本将科学描述为“收集邮票”(卢瑟福,1942年),并于1974年演变为“收集蝴蝶标本”。它最初在语言学领域获得关注,源于对结构主义人类学的批评(利奇,1961年)以及对比较方法的争论。然而,大卫·德坎普(1971年)最直接地运用这个术语来贬低社会语言学,认为其仅仅是数据积累,缺乏理论深度——这种观点似乎受到生物学界类似情绪的影响,甚至著名的进化生物学家多布赞斯基(1964年)也讽刺地将非分子工作称为“观鸟”。 德坎普澄清说数据收集是*必要*的但不充分的,他提倡以理论驱动的研究。最终,“收集蝴蝶标本”的批评反映了20世纪后期在多个学科中,优先考虑理论框架而非描述性观察的更广泛趋势。

对不起。

更多

联系我们 contact @ memedata.com