经过六年的开发和 360 多次提交,Linux 内核在 7.2 版本中正式移除了 `strncpy()` API。由于其反直觉的空字符(NUL)终止行为以及低效的填充机制,`strncpy()` 长期以来被视为“持久的错误源”,此次替换旨在提升内核的安全性和性能。
开发人员现在需根据具体使用场景,选用更稳健的替代方案:
* **`strscpy()`**:用于标准的空字符终止字符串。
* **`strscpy_pad()`**:用于需要补零的空字符终止字符串。
* **`strtomem_pad()`**:用于无需空字符终止的定长字段。
* **`memcpy_and_pad()`**:用于需要显式填充的定界拷贝。
* **`memcpy()`**:用于简单的已知长度内存拷贝。
此次过渡的完成标志着所有 CPU 架构中 `strncpy` 的剩余实现已被全部移除,大幅精简了内核代码库。
每日HackerNews RSS
Linux 内核已正式废除 `strncpy` API,这项工程历时六年,共包含 360 个补丁。`strncpy` 因其反直觉的空字符(NUL)终止行为以及会导致性能损耗的填充零操作而长期受到诟病,一直是 C 语言系统编程中导致漏洞的顽疾。
Hacker News 上的讨论强调了几个核心议题:
* **“字符串”问题:** 许多开发者认为,C 语言缺乏原生的安全字符串类型,只能依赖以 NUL 结尾的字符数组,这是困扰系统编程数十年的根本性设计缺陷。
* **胖指针(Fat Pointers)的必要性:** 专家提倡使用“胖指针”(即指针与长度配对),以防止常见的内存相关错误。尽管有人认为基于结束符的值在 20 世纪 70 年代的硬件限制下是必要的折衷,但许多人认为业界在采用现代替代方案方面进展过于缓慢。
* **基础设施的本质:** 这一变更所耗费的漫长时间凸显了“关键基础设施的悖论”:尽管代码确实存在问题,但由于内核被数十亿台设备使用,重构所需的规模和严谨性决定了必须采取缓慢、系统化的方法,而这远非简单的自动化编码任务所能比拟。
周六,包括圣保罗和里约热内卢在内的巴西多个州,手机用户收到了一条未经授权的“极端”紧急警报,屏幕上显示“misantropi4”(“厌世”一词的黑客语变体)。 这条绕过官方渠道发布的信息并非与任何现实中的紧急情况有关。巴西当局将此次事件归咎于针对国家民防局紧急警报平台的黑客攻击。该未经授权的警报是通过小区广播系统发送的(类似于美国的无线紧急警报),部分用户还报告称收到了相关的短信。 对此,政府已暂时关闭了国家民防局的预警平台。巴西国家电信管理局(Anatel)和民防机构目前正在调查此次入侵事件,以确定攻击来源并恢复系统安全。官方已确认,该事件与任何实际风险或自然灾害无关。
最近,巴西各地的手机上收到了一条未经授权的“极端警报”,内容仅包含“厌世”(misanthropy)一词。巴西当局怀疑遭到黑客攻击,但在科技爱好者群体中,“黑客”(hacker)一词究竟是指技术高超的构建者还是恶意入侵者,仍存在争议。
这起事件在 Hacker News 上引发了关于大众紧急警报系统可靠性与伦理的热烈讨论。批评者认为,这些系统管理不善,容易发出虚假警报,且往往缺乏用户控制权,并以加拿大强制接收此类警报的例子为例。许多用户表示,这种中心化的系统经常发布无关紧要或范围过广的警告,导致公众习以为常并选择忽视。
尽管一些参与者为警报在应对自然灾害等真正紧急情况下的作用进行了辩护,但另一些人则质疑其缺乏安全且经过认证的协议。讨论还衍生出关于何种“恶作剧”信息会造成最大混乱的调侃,同时也凸显了蜂窝广播协议的固有漏洞——这些协议在设计时,往往优先考虑覆盖范围而非严谨的安全性。
英国内政部推出了“PoliceAI”,这是一个致力于在英格兰和威尔士的各警务部门推广人工智能应用的新国家中心。该计划在未来三年内将获得7500万英镑的资金支持(属于总额1.4亿英镑投资的一部分),旨在简化调查流程并大幅节省警员时间。 该中心的主要重点包括:对数字证据进行分类和汇总、编辑视听文件,以及在线追踪被盗物品。这些工作建立在成功的试点项目基础之上,例如利用人工智能快速审查复杂录像并分析海量数据以协助逮捕嫌疑人。 警务大臣莎拉·琼斯(Sarah Jones)表示,该中心旨在改善数据访问并生成新的调查线索,有望释放出相当于3000名警员的警力投入一线工作。为确保公众信任,PoliceAI将建立一个所用工具的公共登记册,并对其人工智能模型进行准确性和偏见性的独立测试。该中心最终将整合进1月份《从地方到国家》白皮书所提议的国家警务服务体系中,目标是在2027年前将成功的实践经验推广至所有警务部门。
抱歉。
本指南概述了如何使用“餐巾纸计算法”(napkin math)来估算大模型(LLM)推理的 GPU 集群扩展规模及每用户成本。 **关键机制:** * **瓶颈所在:** 大模型推理受限于内存带宽,而非计算能力。若无优化,矩阵乘法会因重复处理整个对话历史而浪费算力。 * **优化方式:** 使用 **KV 缓存(KV-Caching)** 存储之前的 Token 状态,将计算密集型的历史重处理过程,转变为每次前向传播仅生成单个 Token。 * **架构:** 诸如 NVIDIA B200 等现代芯片具有极高的算力与内存比(562:1)。为避免 GPU 空转,必须增大批处理大小($B$),直到计算需求与内存带宽相匹配。 **扩展现实:** * **容量:** 虽然理论计算显示可以实现高并发,但实际限制取决于显存(VRAM)。在考虑模型权重和 KV 缓存(通过 **分组查询注意力机制 Grouped-Query Attention** 和 **分页注意力机制 PagedAttention** 进行优化)后,单张 B200 显卡在高负载下可稳定服务 40-60 位用户;在典型的聊天场景中(由于存在空闲时间),可服务 300-800 位用户。 * **成本:** 若按每小时 4 美元的租赁价格计算,服务 300 位并发用户,每位用户每小时的成本约为 **0.013 美元**,即每月约 **9.36 美元**。
抱歉。
AMD 已确认将在今年 7 月恢复消费级 Ryzen 9000 系列处理器上的透明安全内存加密(TSME),即 Memory Guard 功能。
TSME 是一项固件级功能,通过对 RAM 中的数据进行加密,以防止物理“冷启动”攻击。尽管该功能此前已在非 PRO 版本的 Ryzen 芯片上提供,但在今年早些时候的 AGESA 1.2.7.0 固件更新中被悄然移除。这一举动引发了社区的担忧,特别是在 *Ars Technica* 的安全审计披露 Ryzen 9000 系列硬件无法再使用该功能之后。
起初,AMD 对此变更未作明确解释,导致外界猜测该公司是为了将标准消费级 CPU 与面向商用的 Ryzen PRO 系列产品区分开来而禁用了该功能。然而,在收到大量社区反馈后,AMD 改变了立场。公司在一份官方声明中澄清,其致力于维护安全功能,并确认未来的 BIOS 更新将恢复用户在非 PRO Ryzen 9000 台式机上启用 Memory Guard 的能力。
在引发社区的强烈抵制后,AMD 宣布将通过七月份的 BIOS 更新,在 Ryzen 9000 系列 CPU 上恢复透明安全内存加密(TSME)功能。
该功能旨在防御物理内存访问攻击,此前曾被移除,这在 Hacker News 上引发了激烈讨论。批评者认为,通过固件更新移除已购硬件的功能开了个危险的先例,并损害了用户信任。尽管许多评论者指出,普通消费者很少使用 TSME,且该功能可能会带来轻微的性能损耗,但争议的核心在于移除功能的原则性问题以及对市场细分的质疑。
一些用户推测,移除该功能是为了将高端特性推向服务器级产品。另一些用户则对 AMD 缺乏透明度表示不满,指出这一变更是悄悄实施的。尽管 AMD 最终将此次恢复归因于“来自社区的宝贵反馈”,但怀疑论者仍对该公司的决策过程以及固件变更缺乏沟通表示担忧。此事件使一些用户对未来的 BIOS 更新心存芥蒂,凸显了制造商对产品细分市场的控制欲与消费者对硬件寿命及功能稳定性的预期之间日益增长的矛盾。
请启用 JavaScript 和 Cookie 以继续。
抱歉。
Tiny 是一门高性能的并发编程语言及运行时系统,专为速度与灵活性而构建。它采用基于栈的字节码、高效的解释器以及即时(JIT)编译器,以实现原生级别的执行速度。
**关键技术特性:**
* **性能:** 具备操作系统级多线程、JIT 加速的热点循环,以及用于优化数据访问的宿主内存镜像功能。
* **灵活类型:** 默认提供动态类型,并支持可选的静态提示、联合类型及泛型。
* **现代设计:** 采用结构化(基于形状)类型系统、通过嵌入实现的类组合,以及强大的模式匹配。
* **并发:** 利用 `spawn` 在多个 CPU 核心上执行并发任务,并为共享状态提供安全、自动化的 `lock` 机制。
* **可扩展性:** 集成原生 WebAssembly 扩展,并支持内嵌 Go 代码。
* **开发体验:** 内置语言服务器 (LSP)、模式验证、UI 容器,以及用于 Web 服务和自动化的丰富标准库。
Tiny 代码既可以作为脚本运行,也可以打包成轻量级的独立可执行文件。凭借快速原型开发与系统级性能的结合,Tiny 专为高效、现代的应用程序开发而设计。相关文档及二进制文件请访问 [tiny-lang-docs.github.io](https://tiny-lang-docs.github.io)。
抱歉。
PostgresBench:一个可复现的 Postgres 服务基准测试工具 PostgresBench: A Reproducible Benchmark for Postgres Services
2 天前
为了展示其托管 Postgres 服务的性能,ClickHouse 推出了 **PostgresBench**,这是一个针对事务型(OLTP)工作负载的开源、透明且可复现的基准测试工具。该项目使用标准的 `pgbench` 工具和类似 TPC-B 的工作负载,评估了托管 Postgres 服务在真实的重写入条件下的表现。
该基准测试通过在所有受测提供商之间保持基础设施、工作负载参数和配置设置的一致性,来强调结果的稳定性。通过专注于单节点性能并隔离存储影响,测试结果揭示了一个关键的行业见解:**Postgres 的性能瓶颈往往在于存储延迟,而非计算能力。**
基准测试结果表明,与依赖网络附加存储或共享存储(如 EBS)的服务相比,采用与计算资源同地部署的 NVMe 存储的架构(例如 ClickHouse 的托管 Postgres 产品)在性能上具有显著优势,尤其是在高频写入的场景下。
ClickHouse 已将完整的测试方法、原始数据和基准测试脚本在 GitHub 上公开。他们邀请社区对这些结果进行验证、贡献新的测试用例,并提交其他 Postgres 服务的性能数据。该项目旨在成为一个权威且中立的参考标准,基于事实和可复现的数据来比较各家托管 Postgres 服务提供商。
抱歉。
**make-look-scanned** 是一款将整洁的 PDF 文档转换为逼真数字扫描件的工具。通过对页面进行栅格化处理并应用一系列特效流程,它能够模拟物理打印件的瑕疵,包括歪斜、灰度、纸张底色、噪点、模糊、边缘阴影以及 JPEG 压缩痕迹。
该项目提供两种主要运行方式:
* **命令行界面 (CLI):** 基于 Go 语言编写的二进制程序,使用 MuPDF 进行高质量栅格化。默认采用确定性处理(基于内容的哈希),但也支持通过 `config.toml` 配置文件或明确的 CLI 参数进行自定义随机化与设置。
* **Web 端:** 基于 WASM 的浏览器版本,使用 PDF.js 进行渲染。它以单个独立的 HTML 文件形式存在,支持离线使用,无需外部依赖或服务器端处理。
核心功能包括针对每种特效的可调参数,以及定义可复用预设的能力。由于对 MuPDF 的依赖,CLI 版本采用 AGPL-3.0 许可证;而浏览器版本则使用采用 Apache-2.0 许可证的 PDF.js。两个版本都会移除原有的可选中文字,确保输出内容真实还原扫描文档的效果。
一位开发者发布了一款工具,支持通过命令行(CLI)和浏览器 WASM 使用。该工具能让数字版 PDF 看上去像是经过物理打印并扫描过的文件。开发者推出此工具的初衷是避免将敏感文档上传至安全性存疑的第三方服务器,同时为了获得更真实的视觉效果。
Hacker News 上的讨论呈现出两极分化的观点。许多用户认为该工具非常实用,并指出这是为了应对某些古板机构(如银行、政府部门)强制要求用户打印、签署并扫描已有数字文件的“安全表演”。也有一些用户表示,他们此前一直使用 ImageMagick 等类似方法来绕过这些强制要求。
反之,一些评论者认为,这类工具通过使伪造或篡改文档看起来更真实,从而助长了欺诈行为。技术圈用户则讨论了这些要求的复杂性,部分人指出,即使该工具是为了方便,它本质上仍是对陈旧官僚流程的一种“变通”。讨论还涉及了替代方案(例如对着屏幕拍照或使用现有的开源脚本),并就绕过“打印-签署-扫描”政策的道德问题展开了辩论。
自 20 世纪初以来,芭蕾舞鞋的设计几乎停滞不前,这主要受限于芭蕾舞界对传统的刻板坚持、高昂的制造成本,以及对特定外观审美需求的追求。虽然传统的布料与浆糊制舞鞋仍是行业标准,但像 Gaynor Minden 和 act’ble 这样的创新者已经引入了合成材料和 3D 打印设计,旨在提升表现并减少损伤。
然而,这些技术的广泛应用面临着重大障碍。除了在小众市场进行研发所带来的财务风险外,进步还受到“门槛文化”的阻碍;教师、总监甚至舞者本人,往往因为审美偏见、个人喜好或害怕背离传统而拒绝使用现代舞鞋。
在包容性鞋履方面也存在类似的困境。尽管在 2020 年“黑人的命也是命”(Black Lives Matter)运动后,行业曾短暂扩大了肤色系列的选择范围,但经济压力和供应链的现实导致许多品牌选择了撤退。专家认为,真正的进步需要将重点从死守传统转向优先考虑舞者的职业生涯长久性与包容性;但在这样一个资源匮乏且文化保守的行业中,实现这一目标仍然是一个缓慢的、如同“龟速”般的过程。
关于芭蕾舞鞋设计变革阻力的 Hacker News 讨论强调了以下几个关键因素:
* **定制化与精度:** 专业芭蕾是一门高精度的艺术,舞者需要根据特定的足部特征和角色需求调整舞鞋。传统手工制作的舞鞋能够“塑形”或“微调”,而许多更耐用或 3D 打印的新型设计往往缺乏这一特性。
* **文化上的刻板印象:** 芭蕾舞界受到传统审美期望的支配。非传统的材料或形状往往会受到质疑,因为它们看起来与众不同,或者会破坏既定的训练技巧。
* **市场动态:** 芭蕾是一个规模较小、高度专业化且门槛极高的领域。舞者依赖深层的肌肉记忆和长期训练,因此在更换可能影响表演或舒适度的装备时,他们往往持规避风险的态度。
* **采纳障碍:** 与其他小众行业类似,变革受到“否决政治”(即多个利益相关方拥有否决权)的阻碍;此外,如果新装备被证明存在负面影响,可能还会带来长期的健康风险。
归根结底,评论者认为,尽管芭蕾舞界推崇传统,但如果创新能提供无可置疑的性能优势,正如其他职业体育领域经历的快速技术演变一样,该行业或许会接纳这些变革。