每日HackerNews RSS
Qwen3-Coder-Next
2 天前
一份新报告揭示了一种影响美国公务人员的危险“数据到暴力”链条。虽然全国范围内的消费者隐私法正在增加,但它们未能充分保护这些个人免受其个人信息(如家庭住址)的泄露——这些信息易于通过公共记录获取,并由数据经纪人出售。 安全项目发布的报告发现,没有州法律允许公务人员从公共来源中删除他们的数据,也没有为隐私侵权提供法律补救途径。这使他们尤其容易受到威胁,特别是针对地方层面的公务人员(如校董事会成员、选举工作人员)的威胁正在增加。 最近的事件,例如对明尼苏达州众议员的刺杀未遂,表明了易于获取的数据如何助长有针对性的骚扰和暴力。该报告呼吁立法平衡第一修正案权利与对公务人员更强的隐私保护,重点是监管对数字化公共记录的*访问*,而不是完全限制这些记录。
## WhatsApp 面临安全与隐私问题 WhatsApp 被 Meta 收购后,用户对其信任度不断下降,尽管已采用端到端加密,但仍存在隐私方面的担忧。近期的问题加剧了这些顾虑。 Google 的 Project Zero 发现了一种漏洞,恶意文件只需通过将用户添加到 Android 上的 WhatsApp 群组即可下载——这是一种“零点击”攻击。虽然可能被用于定向活动,但它构成重大风险。 更严重的是,一项诉讼声称 Meta 即使在承诺加密的情况下也能访问用户通信,这源于 2023 年底的一次服务器更改。Meta 正在努力进行全面修复。 **为了降低风险,用户应:** * **禁用自动媒体下载:** 防止文件静默下载到您的设备。 * **限制群组访问:** 限制谁可以将您添加到群组。 * **启用双重验证:** 添加额外的账户安全层。 * **保持 WhatsApp 更新:** 确保您拥有最新的安全补丁。 这些步骤旨在控制 WhatsApp 内的潜在威胁,并防止恶意文件影响您的设备。
最近发现WhatsApp存在一个漏洞,由Google Project Zero报告并已通过更新修复,该漏洞可能导致恶意媒体文件通过群聊传播。最初的报道因缺少指向原始Project Zero报告的链接(https://project-zero.issues.chromium.org/issues/442425914)而受到批评。
该漏洞不仅仅是浪费数据的问题;利用媒体文件解析错误,可能导致用户设备上执行代码,类似于过去Stagefright等漏洞。虽然WhatsApp具有媒体文件清理程序,但并非万无一失。
该漏洞通过在文件被查看*之前*处理文件来运作——例如,在生成缩略图或将其放置在手机媒体文件夹中时。成功利用此漏洞需要具备制作恶意载荷以触发Android媒体库漏洞的复杂攻击者。用户可以通过启用锁定模式和禁用自动媒体下载来降低风险。
## Capsule:安全的AI代理任务协调 Capsule是一个运行时环境,旨在安全地在隔离的环境中执行AI代理任务。它利用WebAssembly (Wasm)沙箱提供安全、资源受控的潜在不受信任代码的执行。 主要特性包括:**隔离**,防止访问主机系统;**资源限制**(CPU、内存、超时);**自动重试**用于故障处理;以及**生命周期跟踪**用于监控任务状态。任务使用简单的装饰器定义(Python中的`@task`,TypeScript/JavaScript中的`task()`),允许配置计算能力、内存和重试次数。 Capsule支持Python和TypeScript/JavaScript,为Python任务提供内置的HTTP客户端(TypeScript/JavaScript中使用标准的`fetch`),并通过`allowed_files`控制文件访问。环境变量也可以安全地访问。 `capsule.toml`文件允许项目范围内的默认配置。运行时需要一个指定的“main”任务作为入口点。Capsule构建于开源项目如`wasmtime`和`WASI`之上,并且正在积极开发中,欢迎贡献。
## Capsule:使用 WebAssembly 对不可信代码进行沙箱化
Capsule 是一个用 Rust 构建的新运行时,它使用 WebAssembly (Wasm) 沙箱隔离不可信代码,从而保护主机系统免受潜在的恶意行为。它利用 WASI 0.2 和组件模型来实现安全执行。
该项目为 Python 和 TypeScript 提供了简单的装饰器,用于定义具有资源限制的任务——CPU、内存、文件系统访问和重试次数——确保受控的执行。例如,可以使用 `@task` 装饰器在沙箱中运行 Python 代码,并指定诸如计算能力和允许的文件访问权限等参数。
目前,在 Wasm 中运行 Python 代码是通过将 CPython 交叉编译到 Wasm 来实现的。虽然很有前景,但存在一些限制,尤其是在 Python 的 C 扩展方面,但正在探索使用 WASI 0.3 和 Rust 扩展的解决方案。
开发者欢迎反馈,并积极致力于扩展示例,包括 AI 代理用例,并通过潜在地允许为沙箱代码使用单独的文件来解决透明度和信任问题。未来计划中还包括网络限制。
[https://github.com/mavdol/capsule](https://github.com/mavdol/capsule)
启用 JavaScript 和 Cookie 以继续。
## 寿命的遗传性:摘要
最近发表在《科学》杂志上的一项研究表明,人类寿命的遗传性约为50%,这意味着基因在决定我们活多久方面起着重要作用。这一发现值得注意,因为之前的估计值较低。研究人员通过分析双胞胎研究并考虑事故等非遗传因素得出这一结论。
这项研究引发了关于基因和环境相互作用的争论。虽然基因贡献很大,但饮食、生活方式和医疗保健等因素仍然显著影响寿命——可能导致6-7.5年的差异。
然而,许多评论员强调,*健康寿命*——度过健康生活的时期——可能比单纯的寿命更重要。人们对长期衰退和痛苦表示担忧,一些人表达了对临终关怀自主权的渴望。对话还涉及遗传性研究的复杂性、环境变化对这些估计的影响,以及考虑寿命以外因素的重要性。最终,这项研究强调了基因在决定我们活多久方面的重要作用,但并非唯一作用。
GitHub 插件:Pull Request 中 AI 贡献归因
GitHub Browser Plugin for AI Contribution Blame in Pull Requests
2 天前
## 开源领域人工智能的兴起与贡献追踪
人工智能代码生成(如 Claude Code 和 Copilot 等工具)的日益普及,正在导致开源项目贡献激增,这些贡献通常被称为“草率贡献”。虽然许多贡献者是善意的,但项目正在努力管理和评估这种新的涌入,甚至有些项目直接禁止人工智能辅助贡献。
**Git-AI** 项目旨在通过在现有的 Git 工作流程中**逐行追踪人工智能贡献**来解决这个问题。它记录了使用的人工智能模型和原始提示,并将这些数据直接存储在 Git 注释中——确保其在合并、变基和其他常见操作中得以保留。
这种追踪能够带来潜在的好处,例如建立每个拉取请求可接受的人工智能贡献百分比,提供有关代码来源的宝贵见解,并协助重构工作。一个 VSCode 集成会突出显示人工智能生成的代码,一个分叉的 GitHub 插件 (**refined-github-ai-pr**) 将这种可见性扩展到拉取请求,显示人工智能贡献百分比。
虽然目前仍处于原型阶段,未来可能获得官方支持,但 Git-AI 促进了关于将人工智能整合到协作开发中的讨论,并提供了一个供应商无关的解决方案来追踪其影响。
兔子数据库
Bunny Database
2 天前
## Bunny 数据库:一种新的托管数据库方法
Bunny 数据库是一种新的、与 SQLite 兼容的托管数据库服务,旨在解决现有数据库即服务 (DBaaS) 平台的成本上升和局限性。它提供了一种“第三种方式”——避免虚拟机管理,同时保持价格合理。
主要功能包括一键部署、特定语言的 SDK(TS/JS、Go、Rust、.NET)以及通过 41 个地区的全球网络实现低延迟访问。Bunny 数据库的独特之处在于,当处于空闲状态时会自动关闭,从而最大限度地降低成本,并采用基于使用量的定价(读取、写入、存储),*没有*典型的无服务器加价——目前在公开预览期间免费。
Bunny 数据库基于 libSQL 构建,优先考虑可靠性和易用性,而不是与 SQLite 的即时功能对等。它通过允许开发者将其读取服务部署到更靠近其用户的位置来解决数据库延迟问题,在基准测试中将往返时间减少高达 99%。
未来的开发包括自动备份和模式感知 API。Bunny 数据库可以与 bunny.net 的其他服务(如 Edge Scripting 和 Magic Containers)无缝集成,为开发者提供灵活且经济高效的数据库解决方案。
## Bunny 数据库:摘要
Bunny,以其 CDN 和视频流服务而闻名,正在推出一项基于 SQLite 兼容引擎 (libSQL) 的新型数据库服务。该服务旨在提供一种简单、按使用量计费的替代方案,以取代传统的数据库即服务解决方案,如 Cloudflare D1 或 AWS Aurora,重点在于经济性和操作简便性。
用户表现出兴趣,特别是将其作为 Cloudflare 的潜在替代方案,原因是与一些 ISP(如 Deutsche Telekom)的对等互联问题以及对 Cloudflare 商业行为的担忧。Bunny 的欧洲基地也吸引了那些寻求减少对美国云服务提供商依赖的用户。
然而,一些用户持谨慎态度,他们指出 Bunny 过去宣布功能(如 S3 兼容性)但延迟很长时间的情况。人们还担心 libSQL 与 SQLite 相比的活跃开发情况,以及该服务是否能够处理写入密集型工作负载。
定价具有竞争力,成本基于读取、写入和存储,一个关键优势是可以预付并限制潜在的失控成本。该数据库提供读取复制和自动扩展,数据存储在对象存储中,当计算扩展到零时。
## Difi:更快的 Git Diff 审查工具
Difi 是一款快速、键盘驱动的工具,用于在推送更改*之前*审查 Git diff。它使用 Go 语言构建,无需索引即可实现即时加载,并以清晰、结构化的文件树形式呈现更改,方便解析。
主要功能包括编辑器感知——直接跳转到 Neovim/Vim 中的行进行快速修复——以及使用 `hjkl` 进行导航。用户可以轻松地在文件树和 diff 视图之间切换,直接编辑文件,并使用简单命令退出。
对于 Neovim 用户,`difi.nvim` 提供了增强体验,具有自动打开文件、可视化 diff(如 GitHub PR)以及交互式审查功能,例如直接在 diff 中恢复或丢弃行。
Difi 可以通过 Brew、Go 或直接下载安装。欢迎贡献,特别是关于 `diff.nvim` 渲染和 Windows 支持方面的贡献。
## Difi:一个带有 Neovim 集成的 Git Diff TUI
Difi 是一个基于 Go 的新的 TUI(文本用户界面),用于查看 `git diff` 输出,旨在改进标准的命令行体验。作者正在寻求反馈,Hacker News 上的初步回应主要集中在使用性方面。
用户建议改进演示 GIF – 具体来说,使用黑白终端以提高可读性并增加字体大小。 许多评论员强调了现有的工具,如 `lazygit`、`fugitive`(用于 Vim)和 `tig`,并指出 Difi 专注于更简单的审查流程。
开发者正在积极采纳反馈,包括 Git 集成计划(允许将其用作 Git diff 工具)以及探索与 `delta` 等工具集成以增强格式化的方案。未来的开发可能包括并排差异视图和“本地更改”模式,用于提交前的检查。作者还想了解对特定编辑器集成(Emacs/Vim)的需求,以及是否依赖 TUI 流程。
## RAIL:一行代码实现对任何应用的AI控制
RAIL是一个通用桥梁,可以使用一行代码通过任何LLM(GPT、Claude、Gemini)控制*任何*应用——C#、C++、Python、Node.js。RAIL不是进行大量重写,而是将AI直接连接到您现有的方法。
核心是**RailOrchestrator**,一个处理LLM路由和ReAct代理循环的C#应用程序。它利用**RailBridge.Native**,一个通过命名管道进行跨语言通信的本地DLL。特定语言的SDK(**.NET**的**RailSDK.Universal**,**C++**的**RailSDK-Cpp**,**Python**的**RailSDK-Python**,**Node.js**的**RailSDK-Node**)简化了集成。**RailStudio**提供了一个用于应用扫描和清单生成的视觉工具。
**集成非常简单:** C#只需要一个引用;C++提供有或没有RTTR反射的选项;Python和Node.js使用包装包。一个`rail.manifest.json`文件定义了可访问的方法。
RAIL促进了自然语言控制:像“创建一个客户…”这样的AI提示可以直接调用相应的应用程序方法。示例集成展示了对C#应用、C++遗留系统(如Notepad++)和Python脚本的控制。它有效地将遗留应用与现代AI的力量连接起来。
代理技能
Agent Skills
2 天前
## 代理技能:用知识赋能人工智能 代理技能提供了一种简单、开放的格式,用于增强人工智能代理的特定能力和专业知识。本质上,它们是包含指令、脚本和资源的文件夹,代理可以利用这些资源更有效、更准确地执行任务。 该系统解决了代理在现实世界应用中缺乏关键上下文的常见问题。技能允许代理按需访问程序化知识和定制信息——特定于公司、团队甚至单个用户。 其益处包括实现领域专业知识(如法律审查)、引入新功能(演示文稿创建)以及建立可重复、可审计的工作流程。重要的是,技能可以在不同的代理产品中重复使用,从而促进组织内部的互操作性和高效知识获取。 代理技能由Anthropic开发,现在已成为一项开放标准,正获得发展势头,并得到领先的人工智能开发工具和不断壮大的社区的支持。