## Ubuntu Snapd 漏洞摘要 (CVE-2026-3888)
Qualys 威胁研究团队发现了一个高危的本地权限提升 (LPE) 漏洞,影响 Ubuntu Desktop 24.04 及更高版本的默认安装。该漏洞源于 `snap-confine` 和 `systemd-tmpfiles` 之间的交互,允许本地攻击者获得完全 root 权限。
利用该漏洞需要特定的时间窗口 – 等待 `systemd-tmpfiles` 清理一个临时目录 (`/tmp/.snap`),然后用恶意内容重新创建它。`snap-confine` 在初始化 snap 沙箱时,会将这些文件以 root 身份挂载,从而实现代码执行。虽然复杂 (CVSS 分数 7.8),但成功利用将完全破坏系统。
**受影响的系统应立即更新至:**
* Ubuntu 24.04 LTS: snapd 2.73+ubuntu24.04.2 或更高版本
* Ubuntu 25.10 LTS: snapd 2.73+ubuntu25.10.1 或更高版本
* Ubuntu 26.04 LTS (开发版): snapd 2.74.1+ubuntu26.04.1 或更高版本
* 上游 snapd: 2.75 或更高版本
此外,在 Ubuntu 25.10 发布之前,已识别并修复了 `uutils coreutils` 包中的一个单独漏洞,防止潜在的 root 级别文件删除。Qualys 提供 QID (386810) 用于检测,以及 CyberSecurity Asset Management 和 VMDR 等工具用于漏洞识别和修复。
每日HackerNews RSS
Lead + 队友:Claude 协调团队。队友在各自的窗格中独立工作,每个窗格专注于一项任务。 共享任务列表:Agent 通过共享任务和消息进行沟通。Lead 分配,队友认领并汇报。 自组织:一旦布局运行,Lead 可以通过正常的 Claude 提示招募队友、重新分配工作并重塑工作流程。 声明式 YAML:在 ide.yml 中定义团队布局——角色、任务、窗格大小。可在不同机器和项目间复现。 任何技术栈:自动检测 Next.js、Vite、Python、Go 等。开发服务器与 Agent 团队并行运行。 一键启动:tmux-ide 处理 tmux 会话、窗格分割和实验性 env 标志。你启动布局,然后告诉 Claude 如何组织团队。 内置 Claude Code 技能:安装脚本会自动注册一个 Claude Code 技能。要求 Claude 设置你的工作区,它会处理检测、布局和配置。
作者已经独家使用Mac触控板工作14年,包括繁重的设计任务,认为其精度优于传统鼠标——这是一种普遍的体验,因为许多Windows触控板质量较差。macOS的“三指拖动”功能是舒适长时间使用的关键。
该功能允许通过简单地在触控板上移动三个手指来拖动对象,所需的力度比传统的点击并拖动更小。结合“轻点点击”,它实现了无需物理点击即可使用触控板。
虽然以前在标准设置指南中有介绍,但此选项现在隐藏在**系统设置 > 辅助功能 > 指针控制 > 触控板选项 > 拖动方式**中,必须手动启用为“三指拖动”。作者强调了Mac触控板持续的卓越性能及其对工作流程的影响。
## AI 编程与赌博类比
这篇文章反思了与AI一起编程的出人意料的缺乏满足感,尽管它似乎有很多好处。作者认为,依赖AI代码生成感觉不像真正的编程——一个深思熟虑的问题解决和详细实施过程——而更像**赌博**。
AI允许进行微不足道的代码更改,减轻了评估工作量和研究的认知负担。虽然它*看起来*能产生结果,但这些结果往往只是表面上正确,需要大量的清理工作。这种不断“拉动老虎机拉杆”以获得期望结果的行为令人上瘾,反映了赌博的机制,并促成了工作游戏化的趋势。
作者认为最有害的方面是失去了编程中“滋养灵魂”的部分:理解、适应和巧妙地整合现有代码的过程。相反,工作已经集中在修复AI的不足之处。尽管作者承认自己有责任更深入地参与代码,但他表达了对这种转变的基本不满,即使作为一名*应该*从开发速度加快中受益的设计师。
请启用 JavaScript 并禁用任何广告拦截器。
该网站正在使用安全服务来保护自身免受在线攻击。您刚才的操作触发了安全解决方案。 提交特定词语或短语、SQL命令或格式错误的数据等行为可能会触发此阻止。
谷歌已开源**Sashiko**,这是一款基于人工智能的代码审查系统,专为Linux内核设计。Sashiko 使用谷歌的 Gemini 3.1 Pro 开发(但兼容 Claude 等其他 LLM),此前已在内部使用,现在正在审查发送到 Linux 内核邮件列表的*所有*提交。
初步测试表明,Sashiko 识别了最近内核问题中带有“Fixes:”标签的约 **53% 的错误**——重要的是,这些错误是**人工审查员遗漏的**。虽然并非完美,但这表明了显著提高代码质量的潜力。
谷歌正在资助 Sashiko 的运营和基础设施,项目托管正在过渡到 Linux 基金会。代码可在 GitHub 上找到,补丁审查的网页界面位于 [Sashiko.dev](https://sashiko.dev)。这标志着人工智能代理集成到开源内核开发的关键流程中的一步。
## 黑客新闻数据集:完整档案 该数据集提供自2006年成立以来,黑客新闻(HN)提交的每一项内容的完整、实时更新档案,截至2026年3月,总计超过4700万项内容。HN由Y Combinator维护,是技术人员和企业家们的重要在线社区。 数据来源于镜像HN Firebase API的ClickHouse Playground,组织成每月Parquet文件,并对当前日期进行5分钟实时更新。它包括故事、评论、投票、招聘信息和用户数据(用户名),允许对趋势、讨论和社区动态进行深入分析。 **主要特点:** * **完整且更新:** 每5分钟持续更新,确保接近实时的数据。 * **高效格式:** 存储为Parquet格式,方便使用DuckDB和`datasets`库进行快速查询。 * **详细数据:** 包括项目ID、类型、作者、时间戳、文本、评分、URL和后代计数。 * **易于访问:** 在Hugging Face上提供,方便下载和使用。 **潜在用途:** 语言模型训练、情感分析、社区研究和信息检索。 该数据集采用开放数据共享许可协议(Open Data Commons Attribution License)。更多详细信息,包括数据模式和使用示例,可在Hugging Face数据集页面上找到。
最近政府的倒退表明,版权所有者在与寻求在未经许可的情况下将受版权保护的材料用于人工智能训练的技术公司之间的斗争中取得了胜利。剑桥大学出版社的曼迪·希尔赞扬了这一决定,重申了现有法律:对此类用途*需要*获得许可。 然而,政府并未完全关闭未来例外情况的大门,引发了持续的争论。Tech UK认为,清晰的框架对于英国在全球人工智能竞赛中保持竞争力至关重要,担心落后于国际竞争对手。 这场争议源于人们对人工智能开发依赖于“免费”获取创意内容,可能损害艺术家和创作者的担忧——像埃尔顿·约翰爵士这样的人物对此进行了激情的辩论,他将此比作盗窃。虽然去年对《数据(使用和访问)法案》的一项寻求人工智能训练数据的透明度的修正案被否决,但这个问题仍然未解决,并且是一个主要的争议点。
## 朝鲜IT工人计划:日益增长的威胁 IBM X-Force和Flare Research的最新报告详细介绍了朝鲜渗透公司、使用虚假IT工人背后复杂的运作。这些工人可能遍布40个国家,总数高达10万,每年为平壤带来约5亿美元的收入,他们通过远程和全职职位窃取资金和敏感数据。 该运作涉及分层结构:招聘人员、协助者、IT工人以及合作者(提供身份的西方人)。工人们擅长网页开发和.NET,通常不知道计划的真实性质,最初被告知他们加入的是“隐秘的初创公司”,例如“C Digital LLC”。他们使用虚假的在线资料和工具,如谷歌翻译、朝鲜VPN(OConnect/NetKey)以及安全消息应用程序IPMsg。 研究人员发现证据表明工人们在Upwork等自由职业平台上追踪“投标”和“消息”。一旦受雇,他们便利用协作支持来取得成功并获得系统访问权限。缓解策略包括仔细审查在线面试行为中的不一致之处,留意人工智能修改过的视觉内容,并使用“致命问题”——直接询问关于金正恩的问题,朝鲜工人会立即结束通话以避免回答。