## 欧盟令人惊讶的高效立法机器 尽管欧盟结构复杂,存在大量否决权——代表不同的国家利益和政治派别——但其立法速度始终远超美国国会。在2019-2024年间,欧盟通过了约13,000项法案,而美国通过的法律和决议约为3,500项。这并非由于流程简化,而是源于独特的激励结构。 关键在于,*每个*参与者——委员会、议会和理事会——都受益于*制定*立法,而不是阻止它。委员会缺乏显著的预算权力,通过新法律来扩大其影响力。议员和公务员通过通过立法来推进职业生涯。 “三方会谈”——机构之间的私下谈判——促进了这一点,委员会通过起草权微妙地引导结果。议会内部的委员会,受到意识形态的驱动, wields 拥有不成比例的权力,经常向全体会议提出不可谈判的协议。轮值担任理事会主席国也会优先快速达成协议,以展示其成功。 结果是产生大量的立法,通常存在技术缺陷和矛盾,缺乏充分的影响评估或反馈机制。虽然看似矛盾,但欧盟的生产力源于一个在正式投票*之前*制造共识的体系,确保了“更多的法律”的持续流动。
每日HackerNews RSS
NeurIPS 2025 授予了七篇开创性论文,表彰了机器学习领域的进展。四篇论文获得了“最佳论文”奖,包括一篇来自数据集与基准测试赛道,另三篇被评为“优胜奖”。获奖研究探讨了扩散模型理论、自监督强化学习、大型语言模型(LLM)中的注意力机制和在线学习等主题。 一篇引人注目的论文介绍了 **Infinity-Chat**,一个用于评估LLM多样性的庞大数据集和分类法,揭示了“人工蜂群思维”效应——生成内容趋于同质化的趋势。其他获奖研究表明,门控机制可以提高LLM性能,增加网络深度可以提升自监督强化学习,并发现了防止扩散模型记忆的隐式动态正则化。 优胜奖论文研究了RLVR在增强LLM推理方面的局限性(发现它并不能创造*新的*推理能力),展示了跨导在线学习的突破,具有更严格的错误界限,并将神经缩放定律与表征叠加联系起来——即LLM表示的特征比维度更多。这些奖项突出了会议多样化且具有影响力的研究,推动了机器学习的理论理解和实际应用的前沿。
## 黑客新闻讨论:NeurIPS 2025 论文奖
最近的黑客新闻讨论涉及 NeurIPS 2025 最佳论文奖。一篇名为“强化学习是否真的激励了 LLM 中超越基础模型的推理能力”的论文因其清晰度和相关性而备受赞誉。
讨论延伸到 LLM 中推理的本质,一位评论员质疑,如果给予足够的尝试次数,随机数生成器是否可能由于 top-p 采样中的偏差而胜过当前模型。其他人反驳说,这存在实际限制,并强调强化学习能够“磨砺”现有的推理路径,而不是创造新的路径——尽管承认缺乏明确的证据。
对话还涉及人工智能中创造力与正确性的价值,随机采样代表着无限的创造力,而强化学习模型则倾向于正确性。多位用户分享了获奖论文之外可能具有创新性的论文链接,强调了嵌套学习领域的工作以及物理学家进入人工智能/机器学习领域的贡献。最后,用户询问了会议演讲的录像。
启用 JavaScript 和 Cookie 以继续。
我可以使用… 现代网络技术浏览器支持表 由@Fyrd创建和维护,设计由@Lensco完成。支持数据贡献来自GitHub社区。使用份额统计数据来自StatCounter GlobalStats,2025年10月。位置检测由ipinfo.io提供。浏览器测试通过以下方式进行:
本报告详细介绍了与英国审查机构Ofcom持续的冲突,涉及其试图将规章强加于美国公司——特别是4chan——和公民的行为。Ofcom发函声称有权审查美国境内的美国行为,作者对此斥责为“在法律上文不对题”。
这引发了强烈回应,强调了GRANITE法案可能通过,该法案受Ofcom过度管辖的启发,旨在保护美国公司免受外国审查要求。作者回顾了与英国官员的先前互动,并坚决表示4chan将不遵守Ofcom的“年龄验证”规则,理由是受到美国宪法第一修正案的保护。
核心论点是Ofcom是一个审查机构,而非执法机构,因此缺乏管辖权。作者对GRANITE法案能够通过表示乐观,认为这将保护由美国主导的互联网未来,并防止进一步的外国干涉。
## Ofcom 扩大管辖范围及美国的回应 - 摘要
英国监管机构 Ofcom 向一家美国网站(4chan)发送法律通知的案例引发了关于管辖权扩张和审查制度的争论。Ofcom 正在域外执行英国法律,甚至针对在英国没有业务的实体,为未来可能的执法(例如通过 ISP 屏蔽内容)创建“纸质追踪”。
这种情况与过去的争议(如金·多特康案)相呼应,引发了人们对政府试图超越国界执行法律的担忧。虽然 Ofcom 目前无权直接逮捕或罚款英国境外的人员,但这些信函作为未来潜在行动的通知,如果个人前往与英国有执法协议的国家,或者如果美国法律环境发生变化,则可能采取行动。
许多评论员质疑 Ofcom 方法的合法性和有效性,将其描述为类似于审查制度的监管过度。然而,一些人认为这些信函是为在国内争取更大的执法权而采取的战略举措。这促使采取行动,包括拟议的“花岗岩法案”,旨在保护美国实体免受此类外国法律压力,并引发了关于美国通过外交和经济手段做出更强有力回应的讨论。
Lyra Rebane 详细描述了一种名为“SVG 点击劫持”的新型攻击技术,它将传统的点击劫持提升到超越简单按钮点击的复杂交互式攻击和数据泄露层面。这是由于令人惊讶的发现,SVG 滤镜——设计用于视觉效果——可以在 iframe 中跨域应用。 该技术的核心利用了诸如 `feDisplacementMap` 和 `feColorMatrix` 之类的 SVG 滤镜来操纵像素数据,从而创建伪造的验证码、隐藏文本,甚至读取像素颜色等效果。这使得攻击者能够在 SVG *内部* 构建逻辑门,从而实现对用户输入做出反应并动态改变界面的响应式攻击。 Rebane 通过示例展示了这一点,包括针对 Google Docs 的多步骤攻击(获得 3133.70 美元的赏金)以及完全在 SVG 滤镜中构建的二维码生成器,用于数据泄露。该技术绕过了许多传统的安全措施,例如 CSP,为复杂的攻击开辟了新的途径。这一发现代表了一种新的攻击面和独特的 Web 安全利用方法,源于将 CSS 和 SVG 视为可编程语言。
## 现代 SVG 点击劫持攻击:摘要
最近 Hacker News 的讨论强调了一种新型的点击劫持攻击,利用了现代 SVG 和 CSS 特性。与依赖 iframe 的传统点击劫持不同,这种方法即使没有 iframe 也能工作,可能利用具有严格内容安全策略 (CSP) 或 HTML 注入点的网站中的漏洞。
核心问题在于 SVG 滤镜和 CSS 属性的强大和灵活性,允许攻击者创建隐藏的 UI 元素并操纵用户交互。虽然使用 `X-Frame-Options` 标头或 CSP 的 `frame-ancestors` 指令来防止框架嵌入仍然重要,但这并非一个完整的解决方案。
研究人员演示了对 Google Docs 的成功攻击,引发了对即使是大型平台安全性的担忧。虽然有些人认为点击劫持是一种低风险威胁,因为漏洞赏金计划中收到的报告大多是垃圾邮件,但另一些人认为其潜在影响不应低估,特别是随着 CSS 和 SVG 功能的扩展。缓解策略包括强大的输入验证、仔细的 CSP 配置和持续的安全审计。该讨论还涉及类似攻击的历史背景以及网络安全日益复杂的问题。
星尘操作系统:用于构建轻量级单内核的库操作系统
StardustOS: Library operating system for building light-weight Unikernels
2 天前
星尘是一个轻量级、安全的操作系统,设计为单内核——一种单用途虚拟机。它专为云应用而构建,通过在受保护的单个地址空间中运行并利用受信任的虚拟机监控程序进行资源管理,从而优先考虑安全性。
星尘采用静态链接,将内核、应用程序、库和运行时组合成不可变镜像,最大限度地减少其代码库以方便维护。它支持多核处理、抢占式线程和必要的驱动程序,以及POSIX兼容的库。
最初用C语言实现,还存在一个名为Stardust-oxide的Rust重实现版本。调试器Duster可以帮助调试基于C语言的星尘单内核,在Xen上运行。星尘由圣安德鲁斯大学开发并用于教学和研究,旨在为部署轻量级、低延迟服务提供基础,并可能支持分布式微服务。
## 星尘OS:轻量级单内核库
星尘OS是一个库操作系统,旨在构建轻量级单内核——专门的、单用途虚拟机。它最近在Hacker News上讨论,允许开发者为无状态Web服务器和微服务等特定应用程序创建最小化的操作系统镜像。
虽然前景可期,但评论员指出该项目最近的活动有限,Rust实现可能已被归档。有人建议使用OPS等替代方案。讨论的重点是单内核最适合研究/教学还是生产使用,以及工程投入是否能证明性能提升的合理性——即使对于数据库等有状态服务。
一位用户建议探索星尘OS,为基于浏览器的应用程序编译小型WebAssembly (Wasm) 操作系统,为Alpine Linux等大型发行版提供潜在的替代方案。该项目让人联想到OSKit等较早的研究项目。
罗伯托·梅卡德是可口可乐公司麦当劳事业部(TMD)的总裁。他领导一个全球组织,负责公司与麦当劳在100多个市场的关键合作关系。梅卡德自1992年以来一直在可口可乐工作,最初在波多黎各担任生产服务经理。之后他担任了多个职位,并在2006年被任命为委内瑞拉和加勒比特许经营部门的总经理。2011年,他成为南非的总经理。2014年,梅卡德移居澳大利亚,领导南太平洋业务部门。2018年,他回到拉丁美洲,担任拉丁中心业务部门的总裁。2021年,他成为墨西哥区域总裁。梅卡德拥有佐治亚理工学院的工业工程学位。
## 可口可乐与麦当劳:紧密合作关系
最近的 Hacker News 讨论指出,可口可乐专门有一位高管负责与麦当劳的关系。这引发了关于科技和消费品行业这种规模合作的讨论。
普遍的看法是,巨额收入——可能每年超过 10 亿美元——证明了专门团队和高管级别关注的合理性。麦当劳对可口可乐的依赖性很大;有人认为转投百事可乐会对其利润产生负面影响。这种合作关系不仅仅是关于销售量,还在于应对麦当劳庞大、特许经营的全球网络中的复杂问题。
有趣的是,麦当劳保持着特定的糖浆储存和配送方式(可能是不锈钢桶),以确保最佳的产品质量。这种程度的合作强调了双方互惠互利的关系,这既得益于品牌认知度,也得益于两家公司巨大的财务收益。这次讨论受到了“Acquired”播客听众的推动,该播客最近深入探讨了可口可乐的商业策略。
总部位于中国的网络钓鱼团伙正在加紧针对美国消费者的诈骗活动,尤其是在假日购物季。他们使用的策略已超出典型的“包裹递送”或“通行费”短信(“短信钓鱼”)范围。这些团伙现在提供网络钓鱼工具包,以创建逼真的假冒电子商务网站,并利用短信诱饵承诺退税或移动奖励(如T-Mobile积分)。
这些诈骗手段是通过窃取支付卡数据,然后使用从受害者那里获得的验证码将卡注册到Apple Pay或Google Wallet等移动钱包中。虽然许多网络钓鱼域名会被迅速标记,但由于假冒电子商务网站的运营更加隐蔽,因此更难检测。
专家建议保持警惕:通过WHOIS查询(检查域名年龄)验证网站的合法性,直接访问官方网站而不是点击消息中的链接,并仔细审查月度账单上的所有费用。向smishreport.com等网站报告可疑消息有助于迅速关闭这些活动。在繁忙的假日购物季,短信钓鱼活动激增,因此提高警惕至关重要。
## 短信网络钓鱼策略演变
最近的Hacker News讨论强调,短信网络钓鱼骗局正变得越来越复杂和有针对性。 诈骗者现在利用时事——例如预期的包裹递送或通行费支付问题——来利用个人最脆弱、最容易在没有思考的情况下采取行动的时刻。
用户分享了差点上当受骗的个人经历,强调当骗局与现有预期相符时,骗局成功实施的容易程度。 讨论指出,这些信息量的增加与在线订单同时发生。 人们对老年人的脆弱性和教育他们了解这些威胁的困难表示担忧。
讨论的解决方案包括主动质疑可疑请求,尤其是涉及电汇或礼品卡的请求,以及坚决不通过电话或回复未经请求的消息分享短信验证码。 然而,依赖短信进行合法的双因素身份验证使情况复杂化。 一些公司试图通过清晰地传达安全码并在电话中验证它们来降低风险,而另一些公司则提倡更广泛地采用更安全的方法,例如密码密钥。 最终,讨论强调了电话和短信渠道在敏感通信方面日益增长的不安全性。