## GPT-5.5:安全测试的重大飞跃 OpenAI 的 GPT-5.5 早期访问显示,在漏洞检测方面取得了实质性进展,可与 Anthropic 的独家 Mythos 模型相媲美——而且与 Mythos 不同,它广泛可用。安全公司 XBOW 的测试表明,GPT-5.5 显著降低了“漏报率”——模型未能识别的漏洞数量——降至 10%,比以前的模型(如 GPT-5 为 40%,Opus 4.6 为 18%)有了重大改进。 值得注意的是,GPT-5.5 在“黑盒”(无源代码)和“白盒”(有源代码)测试中均表现出色,甚至在黑盒模式下*优于*使用源代码的 GPT-5。 获得源代码访问权限后,其性能非常强大,有效地打破了 XBOW 现有的基准测试。 除了简单地*发现*漏洞之外,GPT-5.5 在成功登录和识别失败尝试方面速度更快,从而提高了整体评估速度和客户反馈循环。 它还表现出改进的决策能力,比以前的模型更有效地摆脱不切实际的路径。 这转化为更快的调查、更好的漏洞覆盖以及更可靠、响应更快的安全测试体验。 GPT-5.5 有望成为 XBOW 安全工作流程的核心组成部分。
每日HackerNews RSS
## GPT-5.5 与“Mythos-like”标准 - Hacker News 讨论总结
Hacker News 的讨论围绕着 GPT-5.5 的能力主张,特别是关于安全漏洞检测,以及它是否达到了 Anthropic 的红队模型 Mythos 设定的“Mythos-like”标准。核心争论在于 GPT-5.5 是否代表着重大的飞跃,还是仅仅建立在现有 AI 安全工具的进步之上。
许多评论者质疑炒作,指出较小的开源模型已经展示了*检测*漏洞的能力(尽管存在误报),而 Mythos 的独特优势在于它既能*发现*又能*利用*这些缺陷。人们对 OpenAI 的营销策略以及 GPT-5.5 能力的潜在夸大表示担忧,这让人联想到过去对 GPT-2 的危险性声称。
其他人分享了使用较旧的模型(如 Gemini 和 Codex)通过巧妙的提示成功发现漏洞的经验,表明 Mythos 并非完全新颖。一个关键点是,即使 Mythos 也需要有针对性的提示和多次运行才能有效,其过程并非简单地询问“查找漏洞”。最终,讨论强调了对这些主张的怀疑,并呼吁对 GPT-5.5 的性能进行独立验证。
## 代理金库:AI 代理的安全凭证管理
代理金库是一个开源的凭证代理,旨在保护 AI 代理访问 API 的安全。与传统的密钥管理不同,它**绝不会直接向代理泄露凭证**,从而降低了提示注入等漏洞带来的风险。
代理金库充当本地 HTTP 代理。代理会通过此代理路由请求,并在**网络层注入必要的凭证**——确保代理在运行过程中从未拥有敏感信息。
主要功能包括:
* **通用兼容性:** 适用于使用 HTTP 的任何代理,包括自定义代码和 Claude、Cursor 和 Codex 等流行工具。
* **强大的安全性:** 凭证在静态时使用 AES-256-GCM 加密,并可选择由主密码保护。
* **详细日志记录:** 记录代理请求以进行审计(不包括敏感数据)。
* **灵活部署:** 支持 macOS、Linux 和 Docker,并提供无密码设置选项。
* **SDK 集成:** 提供 TypeScript SDK,可与容器中的沙盒代理无缝集成。
代理金库正在积极开发中,并在 GitHub 上提供,附带全面的文档和社区 Slack 频道。它被设计为在不断发展的 AI 代理领域中管理凭证的强大解决方案。
对不起。
受对烹饪的热情和改善鹿肉来源的愿望驱使,作者踏上了为期六个月的学习射鹿之旅。这导致他无数个苏格兰射击场的周三晚上,笨拙地数呼吸和记录靶标——他很快发现这个过程很枯燥。
作为一名 iOS 工程师,他决定自动化计分系统。现有的计算机视觉解决方案难以识别弹孔(负空间),因此他将成熟的技术与现代机器学习相结合。他利用 OpenCV 进行几何处理,利用 YOLOv8 进行弹孔检测,最终创建了一个由 CoreML 驱动的应用程序,用于准确计分。
除了自动化之外,该项目还发展到分析射击模式,甚至将表现与射击前的零食(甜甜圈!)联系起来。虽然他的应用程序有效,但他承认传统工具(如黄铜计分规)的持久价值——这是一种射手们信任的可靠仲裁者。最终,作者的目标不是*取代*这些工具,而是构建一些持久的东西,注定会被未来的创新所挑战。
对不起。
此网页分析了英国生物库(UK Biobank)在GitHub上提交的公开DMCA删除通知。数据来源于github/dmca仓库,识别出英国生物库标记的、可能包含违反数据访问协议的参与者数据的仓库。 分析重点是文件名包含“uk-biobank”或通知文本中提及“UK Biobank”的通知。它提取提交日期和GitHub仓库URL,然后尝试确定与这些仓库相关的开发者的地理位置。这通过解析GitHub个人资料中的位置数据进行,如果不可用,则分析电子邮件域名。 在识别出的170名开发者中,只有75人的位置数据允许确定国家/地区。该项目会定期更新,*仅*报告公开DMCA通知中存在的信息——它不会对被标记仓库的内容做出任何判断。
## 英国生物库数据在GitHub及其他平台泄露
近期报告显示,英国生物库的健康数据持续在GitHub等平台出现,甚至在阿里巴巴上被出售。一位追踪DMCA通知的研究人员发现,超过190个代码仓库包含来自该生物库(拥有五十万参与者)的泄露数据,其中四分之一是遗传信息。
这并非新问题,凸显了生物库在数据治理方面的挑战。虽然英国生物库根据严格协议向2万名研究人员提供访问权限,但数据仍然持续泄露,很可能是由于疏忽或未经授权的共享。人们对“去标识化”数据的局限性以及重新识别的容易程度表示担忧,尤其是在数据可用性不断增加的情况下。
讨论的重点在于平衡研究的数据访问需求与强大的安全措施。 提出的解决方案包括更严格的数据控制、远程访问平台以及改进的研究人员培训。 一些人认为,开源数据可以通过透明度提高安全性,而另一些人则强调需要维护参与者的信任并避免阻碍研究。 这起事件凸显了大规模保护敏感数据的难度以及持续保持警惕的必要性。
## WireGuard for Windows v1.0 发布 WireGuard v1.0 for Windows(包括 WireGuardNT – 驱动程序组件 – 和 Windows 客户端)现已发布!此版本标志着在广泛的错误修复和关键开发障碍完成后的一个重要里程碑。下载地址为 [https://download.wireguard.com/windows-client/wireguard-installer.exe](https://download.wireguard.com/windows-client/wireguard-installer.exe) 和 [https://www.wireguard.com/install/](https://www.wireguard.com/install/)。 此版本的主要改进包括使用 `NdisWdfGetAdapterContextFromAdapterHandle()` 访问驱动程序状态的更可靠方法,以及正确处理 MTU 更改通知。 之前,MTU 更改需要轮询解决方法;新版本通过 NSI 驱动程序拦截更新,从而可以即时适应网络更改。 此版本还包括 Windows 客户端的 42 个错误修复,以及针对旧版 Windows 10 版本关于 DNS 设置的优化。该项目依赖捐赠以继续开发 – 捐款可以在 [https://www.wireguard.com/donations/](https://www.wireguard.com/donations/) 进行。
## WireGuard Windows 版达到 v1.0 版本
WireGuard 的 Windows 版本发布 v1.0,达到一个重要里程碑。 这次发布并非简单的移植,而是涉及大量的逆向工程和深入研究 Windows 内核,以克服 Microsoft API 的限制。
主要成就包括:针对不可靠的 MTU 更改通知的解决方法(使用过滤器驱动程序拦截来自网络子系统接口的数据),以及解决 NetAdapterCx 助手潜在可靠性问题的修复。 用户称赞 WireGuard 的整体稳定性,并指出它在长时间没有更新的情况下表现出令人惊讶的强大。
然而,仍然存在挑战,尤其是在通过 MDM 进行 macOS 部署时,用户配置文件和密钥链方面出现问题。 尽管该项目正在积极维护中,但由于缺乏明确的审查流程,贡献修复程序可能比较困难。 尽管如此,WireGuard 仍然是一款“出色的软件”和在 Windows 和 Linux 上可靠的 VPN 解决方案。
正在验证您的浏览器。网站所有者?点击此处修复。 Vercel 安全检查点 | sin1::1776976415-zEYoSAlOIeOsIckvTypoAVf2bj0UoJhR 启用 JavaScript 以继续。 Vercel 安全检查点 | sin1::1776976415-zEYoSAlOIeOsIckvTypoAVf2bj0UoJhR
对不起。
## 重拾互联网:回到1999
现代互联网被算法和无尽滚动所主导,与它最初的潜力相去甚远。对于大多数人来说,它已成为算法驱动内容的回音室,一种“末日滚动”体验,仅代表互联网*可能*性的很小一部分。人工智能生成内容的涌入加剧了这一现象,降低了质量和真实的连接。
作者提倡回归互联网的根源——将其用于其本意:一个用于直接访问信息的去中心化网络。这意味着绕过社交媒体信息流,拥抱更早的技术,如RSS订阅(使用Miniflux等工具)、IRC/XMPP用于社区,以及电子邮件用于直接沟通。
关键策略包括有目的地使用搜索引擎,归档内容以避免链接失效,以及对社交媒体采取“仅推送”方法(用于分发,而非消费——POSSE)。探索轻量级协议,如Gopher和Gemini,可以提供进一步的灵感,但核心思想是优先考虑人际连接和真实内容,而非算法操纵。
最终,呼吁是夺回对我们注意力的控制权,并有目的地使用互联网,培养更具意义且更少操纵性的在线体验——本质上,像1999年一样使用互联网。
## 对更简单网络的怀旧与对现状的担忧
一篇最近在Hacker News上的帖子引发了关于重温1999年互联网的讨论,既唤起了怀旧之情,也对现代网络进行了批判。用户分享了早期拨号上网的体验、发现的乐趣以及对一个不太受控制的在线环境的感受。
虽然承认今天互联网的便利性,但许多人哀叹失去了更“纯粹”的网络,摆脱了无处不在的广告、算法推送和持续追踪。建议包括使用拦截列表、探索Gemini和Gopher等替代协议,甚至去除智能手机上的浏览器。
然而,一些人反驳了对过去浪漫化的看法,指出恶意内容普遍存在以及旧技术的局限性。一个关键点是,核心问题不一定是技术本身,而是以广告驱动、数据收集平台的主导地位。 还有人对完全回归旧系统表示怀疑,提倡在现代协议上使用无追踪的静态网站。 讨论还涉及互联网的演变角色,一些人认为它最终可能主要成为一种实用工具,而不是娱乐来源。
启用 JavaScript 和 Cookie 以继续。
对不起。
## 罕见墨西哥钝口螈在威尔士被发现
一位10岁的女孩,埃维·希尔,在威尔士布里真德附近河流探险时,发现了一条罕见的墨西哥钝口螈。这种濒危两栖动物以其再生能力和在《我的世界》等视频游戏中的受欢迎程度而闻名,是英国首次在野外记录到的。专家估计全球仅存500-1000只钝口螈。
埃维在奥格莫尔河附近发现了这只九英寸长的生物, nicknamed “Dippy”,它身上有伤,并把它带回家,与家人一起去了莱斯特。专家认为Dippy可能是一只被放生的宠物,突显了饲养这些动物的挑战以及放生非本地物种的违法性。
国家爬行动物福利中心认为埃维救了Dippy的命,因为它在野外可能无法生存太久。现在,这家人正在提供适当的照顾,Dippy也成为了埃维学校的轰动话题,提高了人们对这种极度濒危物种的认识。
## 以美国资金资助的宣传,伪装成中东新闻
Al-Fassel 和 Pishtaz News 网站看起来像是合法的阿拉伯语和波斯语新闻来源,报道中东地缘政治。然而,《拦截》的调查显示,它们是美国政府资助的宣传机构,呼应美国外交政策,特别是关于伊朗以及美国盟友如沙特阿拉伯和阿联酋的政策。
这些网站与五角大楼一项名为“跨区域网络倡议”(TRWI) 的、历时数十年的心理战项目有关联。它们在美国政府资金的“关于”部分进行了容易被忽略的披露,但在社交媒体上却省略了这一关键信息——违反了平台政策。它们经常引用美国中央司令部(CENTCOM)的新闻稿,并且在某些情况下,使用了人工智能生成的内容。
虽然它们在社交媒体上的影响力目前有限,但这些网站已被学术界引用,甚至被纳入国际组织的报告中。尽管国会过去曾削减 TRWI 的资金,但这些媒体表明美国仍在以一种微妙的方式努力影响中东的叙事,通过技术上披露其资金来源,同时采用欺骗性手段接触受众,从而在法律的灰色地带运作。专家认为,这些网站是——无论规模如何——对抗伊朗在“信息空间”中影响力的可证明努力。
对不起。