每日HackerNews RSS

仪表盘请求限制已达到。 您已超过当前的请求限制。请稍后再试。 查看您的仪表盘,检查 Stripe API 状态,或在找不到所需内容时与我们联系。 访问我们的完整网站隐私与条款 © 2024 Stripe, Inc.

## 软件 3.1:AI 函数与运行时验证 Andrej Karpathy 将软件演进分为几个阶段:1.0 是人工编写的代码,2.0 是学习到的神经网络权重,3.0 是提示大型语言模型。虽然 3.0(如 ChatGPT 和 Cursor)被广泛使用——提示、生成,然后由*人类*验证——一种新的方法,**AI 函数**,提出了转向**运行时验证**。 目前,大型语言模型生成文本代码,人类在部署*之前*集成和测试。基于 Strands Agents SDK 的 AI 函数旨在让大型语言模型生成代码,该代码*直接*在你的应用程序中运行,返回原生 Python 对象,而不仅仅是字符串。至关重要的是,**后置条件**——Python 断言甚至由大型语言模型驱动的检查——将在*每次调用*时验证输出,并在验证失败时自动重试。 这使得 AI 的参与从开发时期的辅助转变为运行时执行,信任从一次性的人工审查转变为持续的自动化验证。AI 函数使用 `@ai_function` 装饰器,允许在这些后置条件旁边使用自然语言规范。这使得诸如结构化输出(使用 Pydantic)、多智能体组合和异步工作流等功能成为可能。 本质上,它是“软件 3.1”——对 3.0 范式的改进,其中大型语言模型*指定、生成和执行*,而*机器*在运行时*验证*。该项目是开源的,并鼓励实验,以探索这种新的 AI 辅助开发方法所带来的可能性。

公司收购后,一次全面的安全升级优先考虑了可见措施,而非基础修复。 门禁卡系统被广泛实施——停车场、门、电梯——立即造成混乱。 出现长队,员工经常被锁在门外,依赖同事绕过系统。 同时,昂贵的旋转闸机被安装在建筑物大堂,预计会造成瓶颈。 旋转闸机被证明是灾难性的,导致从停车场到办公桌的通勤时间长达一小时。 甚至优步送客也陷入僵局。 混乱持续三天后,旋转闸机和电梯门禁卡读卡器被禁用。 讽刺的是,一个更重要的安全漏洞存在:Jira 凭据以不安全的方式存储在 cookie 中。 尽管多次请求和充分的理由,修复此漏洞需要花费一个月的时间,而旋转闸机这种可见的“安全秀”却立即实施并收到了庆祝邮件。 这一经历凸显了一个关键的区别:真正的安全是不可见的,内置于系统中,而可见的措施往往优先考虑外观而非真正的保护。

启用 JavaScript 和 Cookie 以继续。

受到10岁时第一次乘坐太空山过山车启发,凯文·格利克曼设想了一种带有环线的过山车——令他惊讶的是,这种概念已经在神奇山乐园的“革命”上存在。但他并未因此气馁,而是设计了他自己更雄心勃勃的版本“四环”(The Quadrupuler),拥有*四个*环线,并使用“故事”测量法来确定高度,用英里每小时来表示速度,并对其进行了细致的手绘蓝图记录。 然后,他开始建造一个详细的模型,这是一个耗时数月周末工作的艰苦过程。克服了弯曲巴尔沙木的挑战,他创新地使用炉灶和塑料条来制作环线——这是在之前的基于火焰的实验险些引发灾难后学到的教训! 他自豪地将他的设计寄给了迪士尼乐园,收到了来自WED Enterprises(迪士尼想象工程)的个性化回复。信中承认他的“四环”是“一次相当精彩的冒险”,而当时他们正在建造大雷山矿车,这激发了他的发明精神。这种早期的认可培养了他一生的韧性,继续激励他进行后续发明,并最终开启了表演事业——一个同样依赖毅力的领域。

## 童年梦想与企业回应:一段怀旧的帖子 这个Hacker News讨论始于一位用户分享了1978年的故事:10岁时,他向迪士尼乐园提交了一个过山车设计(“四倍速”),并收到了一份个性化的回复,虽然是被拒绝了。这引发了其他人分享类似经历的热潮,回忆起童年时尝试与公司联系、分享想法并收到回复的情形——往往出乎意料地令人鼓舞。 许多评论者描述了向任天堂、卢卡斯影业和玛氏等公司寄信和设计图,并珍视收到的回复,即使是格式化的信件。一个共同的主题是:在互联网出现之前,这些互动感觉更“神奇”,那时公司似乎更神秘且容易接近。 一些用户感叹这种个性化回复的减少,指出如今的企业结构更注重法律保护和自动回复,而不是培养与年轻爱好者的联系。尽管被拒绝,这些早期的互动往往激发了热情并促成了职业生涯。这个帖子强调了鼓励的力量,以及简单的回复对孩子想象力和动力的持久影响。它也触及了一个苦乐参半的认识:许多童年想法虽然雄心勃勃,但可能天真——但仍然是宝贵的学习经历。

请启用 JavaScript 并禁用任何广告拦截器。

Discord最近结束了与身份验证公司Persona Identities的短暂合作,原因是敏感的前端代码被公开发现,甚至在一台美国政府服务器上。研究人员发现该代码泄露了Persona广泛的验证流程——远不止年龄验证,还包括与观察名单进行面部识别、筛查“不利媒体”(如恐怖主义关联)以及分配风险评分。 尽管Persona声称泄露的文件包含非敏感的未压缩数据,但这一发现引发了隐私担忧,尤其考虑到Discord近期通过第三方供应商发生过用户数据泄露事件。Discord原本计划使用Persona进行可选的年龄验证,此前因默认所有账户设置为青少年安全设置而受到批评。 Persona部分由Founders Fund支持,目前仍在与OpenAI、Lime和Roblox合作。其首席执行官认为与Discord的合作是成功的,强调数据在处理过程中的删除。然而,Discord公开声明的数据存储方式与存档的常见问题解答版本之间存在差异,这加剧了人们的怀疑。该事件凸显了依赖第三方验证服务的风险,以及在用户安全和数据隐私之间取得平衡的持续挑战。

启用 JavaScript 和 Cookie 以继续。

## xAI 与五角大楼合作 - 黑客新闻总结 xAI 的 Grok 已达成协议,将在五角大楼的机密系统中应用,引发了黑客新闻上的讨论。支持者认为人工智能可以提高效率并减少国防开支中的腐败,但许多评论员表达了强烈怀疑和担忧。 一个主要的争议点是埃隆·马斯克的领导以及在他所有权下 X(前身为 Twitter)所存在的问题,包括指控其推广有害内容和平台质量下降。人们对数据安全、Grok 内部潜在的偏见以及合同缺乏竞争性招标过程表示担忧。 一些用户指出马斯克有争议的行为——包括据称的纳粹敬礼——并质疑是否应该向由他领导的公司授予访问敏感信息权限。另一些人认为,关注马斯克的个人行为会转移对在关键政府职能中部署潜在不可靠人工智能的风险的合理担忧。这场讨论凸显了对马斯克和 xAI 的深刻不信任,许多人认为这笔交易是由政治关系而非实力驱动的。

## 新的消毒器 API 增强网络安全 跨站脚本攻击 (XSS) 是一种长期存在且普遍的网络漏洞,允许攻击者将恶意代码注入网站。虽然内容安全策略 (CSP) 提供了一种防御手段,但其复杂的实施阻碍了广泛采用。现在,标准化的 **消毒器 API** 提供了一个更简单的解决方案,它在 Firefox 148 中首次亮相。 该 API 提供了一种直接的方法来 **消毒** 不受信任的 HTML *在*将其添加到网页之前,有效地删除有害代码,同时保留安全元素。开发者可以轻松地将潜在危险的 `innerHTML` 赋值替换为更安全的 `setHTML()` 方法,所需的代码更改最少。 该 API 可配置,允许开发者自定义允许的 HTML 元素和属性。它还与 **Trusted Types** 很好地集成,以提供更强大的保护。通过采用消毒器 API,网站可以显著降低 XSS 风险,并为用户创造更安全的使用体验,即使没有专门的安全专业知识。预计将获得更广泛的浏览器支持,有望为所有人提供更安全的网络。

更多

联系我们 contact @ memedata.com