一位安全研究人员调查了现在被 Fedora 使用的代码托管平台 Forgejo,并在一个晚上的工作中发现了大量漏洞。这些包括服务器端请求伪造 (SSRF)、缺乏内容安全策略 (CSP)、加密问题、身份验证缺陷、拒绝服务可能性和信息泄露。 该研究人员成功地将这些漏洞串联起来,实现了远程代码执行 (RCE)、泄露密钥以及获得持久性账户访问权限,甚至演示了创建后门管理员账户。虽然 RCE 需要开放注册和非默认配置,但问题的数量之多引发了对代码库整体安全性的担忧。 研究人员没有采取传统的完全披露方式,而是选择了一种“胡萝卜披露”方法——公开演示一个关键漏洞的利用方式(已删除输出),以激励 Forgejo 进行全面的安全审计并解决潜在问题。这种策略旨在迫使供应商提高安全性,而不仅仅是修复单个问题。研究人员提供了概念验证代码和详细说明发现的笔记。
每日HackerNews RSS
对不起。
启用 JavaScript 和 Cookie 以继续。
一个黑客新闻的讨论强调了一篇1990年关于J编程语言的论文(可在[https://www.jsoftware.com/papers/J1990.htm](https://www.jsoftware.com/papers/J1990.htm)找到),被描述为领先时代数十年。这种语言源自APL,目前正在复兴,即使是不熟悉它的人也有越来越多的工作机会。
评论者指出,存在着相关的语言,如BQN和Uiua,拥有活跃的社区。讨论还分享了获取论文可下载PDF版本的技巧,以及如何解决Cloudflare检查和下载按钮问题。总的来说,该帖子表明人们对APL及其现代衍生语言持续感兴趣,特别是考虑到它们在数据科学方面的潜在相关性。对话还包括关于Y Combinator 2026年夏季申请期的提醒。
## SGI Indy 模拟器:一个 Rust 与 AI 项目
本项目展示了一个 SGI Indy 工作站的模拟器,使用 Rust 语言构建,并借助大量 AI 辅助(主要为 Claude 和 Gemini)。它能够成功启动 IRIX 6.5 和 5.3 系统,提供一个可用的系统,具备网络功能(ping、telnet、ftp)、X11 图形以及标准 shell 访问。
该模拟器利用可选的 JIT 编译器——一个用于 MIPS 处理器,另一个用于 REX3 图形芯片——来提升性能。一种写时复制磁盘叠加层保护基础镜像免受测试过程中的损坏。
该项目作为学习体验和对“氛围编程”的挑战而开发,欢迎通过提交错误报告和拉取请求来贡献代码。关键资源包括一个详细设置和配置的 `HELP.md` 文件,以及一个包含有价值调试信息的 `rules/` 目录,供开发者和 AI 助手使用。用户需要 IRIX 6.5 的原始磁盘镜像(可以从 MAME 镜像轻松转换),以及可选的 PROM 镜像才能开始使用。
对不起。
## 树突活动与对学习的新理解 最近的神经科学研究表明,树突——神经元的分支延伸——比以前认为的具有更强大的计算能力,可能与人工神经网络的处理能力相当。这促成了“行为时间尺度突触可塑性”(BTSP)的发现,这一新机制挑战了关于大脑如何学习的几十年认知。 传统上,人们认为学习依赖于赫布可塑性,需要神经元在毫秒内重复放电。然而,研究人员发现,一次树突活动爆发,称为平台电位,可以在仅仅*一次*经历后快速编码信息——例如迷宫中的位置。这种“一次性学习”的发生是因为平台电位在几秒钟内加强突触,不同于赫布可塑性的毫秒级时间。 科学家认为BTSP涉及“资格踪迹”标记活跃的突触,这些突触在平台电位期间被加强,可能通过一种名为CaMKII的蛋白质。虽然确切的机制仍在研究中,但BTSP为“信用分配问题”提供了一个潜在的解决方案——确定哪些神经元负责特定的记忆。 虽然BTSP并未取代赫布可塑性(可能对大脑发育很重要),但它似乎对于形成情景记忆和适应快速变化的环境至关重要。需要进一步的研究来充分理解其作用和在大脑中的普遍性。
一篇最近发表在《量子》杂志上的文章,并在Hacker News上讨论,探讨了**行为时间尺度突触可塑性**——大脑基于经验进行自我重塑的能力——的功能。讨论强调,许多支持这种理解的研究是在**啮齿动物**身上进行的,而这篇文章并没有立即明确这一点。
评论员随后展开了关于对**人工智能**影响的争论。 许多用户认为,真正先进的人工智能需要一个分层模型系统,模仿人脑。 想法包括大型语言模型(LLM)代表有意识的思考或“内心独白”,以及更快速、更具反应性的模型用于反射和“肌肉记忆”。
另一些人则告诫不要认为人工智能的未来是“显而易见”的,并指出在尝试复制之前,理解我们*自身*的认知机制非常重要。 一位评论员指出,神经可塑性在历史上曾被忽视,强调大脑被认为是静态的仅仅是最近的事情。
## 开源的演变及 GitHub 的角色 对于很多人来说,GitHub 已成为现代开源的代名词,但其主导地位是相对近期的现象。作者回顾了 GitHub 之前的历史——使用 SourceForge、Bitbucket 等平台,以及使用 Trac 和 Subversion 的自托管解决方案——当时构建基础设施是贡献不可或缺的一部分。 GitHub 的影响是变革性的,它以前所未有的方式促进了社区、可发现性和协作。它无意中创造了一种“微依赖”文化,这种文化受益于无摩擦的发布和消费,扩展了开源世界,但也引入了脆弱性。 然而,GitHub 近来的变化,现在归微软所有,正引发担忧。该平台正在失去曾经定义它的信任和社区感,引发了对开源社会基础设施和历史记录丧失的担忧。 作者倡导一个更加去中心化的未来,承认分布式版本控制的好处,但也强调需要一个专门的、资金充足的 *公共档案* 来保存开源项目及其背景——GitHub 曾经无意中提供了这一点。目标是吸取过去的教训,避免重蹈失去项目和损坏链接的覆辙,并为开源建设一个更具弹性的未来。
## GitHub 的影响与潜在衰落:摘要
这次 Hacker News 的讨论反思了 GitHub 对开源开发的深刻影响,并探讨了对其当前发展轨迹的担忧。在 GitHub 之前,启动一个项目需要大量的额外工作——设置仓库、问题追踪器等等。GitHub 降低了入门门槛,使个人能够轻松地托管与自己名字相关的项目,从而促进了实验和协作的文化。
然而,有人认为这种集中化存在缺点。担忧包括潜在的单点故障(例如 DMCA 删除影响分支)、档案保存技能的丧失以及对公司实体的依赖感。提到了 Fossil、GitLab、Forgejo 和 Radicle 等替代方案,以及对更去中心化和联邦解决方案的需求。
对话还涉及代码托管的更广泛历史(SourceForge、CodePlex 等),以及社区驱动的档案保存的重要性。虽然 GitHub 仍然可用,但一些用户对正常运行时间和 GitHub Actions 等功能表示不满,促使他们探索替代方案,并呼吁新一代的开源工具从过去的错误中吸取教训。最终,这场讨论凸显了开源生态系统中对更大控制权和弹性的日益增长的需求。
## LLM供应链投毒:12美元的实验
本文详细描述了一个实验,展示了大型语言模型(LLM)如何容易被网上现成的虚假信息误导。作者伪装成“6 Nimmt!”世界冠军,成功地让多个前沿LLM重复了这个虚假声明。
这次攻击并不涉及复杂的黑客行为;它利用了LLM对网络检索的依赖。一个12美元的域名被注册,一份虚假的 press release(新闻稿)在该域名上发布,并且在维基百科上进行了一次编辑,引用了该域名。这创建了一个循环引用——维基百科“证实”了虚假网站——LLM在被询问关于这位冠军时将其视为事实。
作者强调了三个关键的失败点:易受攻击的检索层,虚假信息通过维基百科抓取被吸收到未来模型训练数据中的可能性,以及AI代理根据这些错误信息行动的风险。
缓解措施包括LLM提供商改进来源出处显示,针对可疑维基百科编辑的启发式过滤器,以及维基百科关于单一来源引用的更严格的政策。核心问题是LLM无法辨别真实来源和虚假来源,这使得网络现有的漏洞与生成式AI结合时更加危险。这次简单、低成本的攻击表明,依赖互联网信息的AI系统面临着重大的可信度威胁。
## LLM 与真相的侵蚀:摘要
最近一项实验表明,大型语言模型 (LLM) 很容易被虚假信息“污染”。作者通过创建一篇博客文章和 YouTube 标题,给一只鲸鱼命名为“Teresa T”,成功地让 LLM(包括谷歌的搜索预览)自信地将其作为事实陈述。这凸显了一个令人担忧的漏洞:LLM 很容易接受和传播在线信息,即使是捏造的。
这个问题并非新问题——互联网一直容易受到虚假信息的影响。然而,LLM 通过以权威的姿态呈现这些信息,放大了这个问题,使得区分真相和虚构变得更加困难。用户可能会比传统搜索结果更信任 LLM 的回复,而不会验证来源。
这项实验引发了关于个人甚至恶意行为者操纵 LLM 输出的容易程度的讨论。人们对广泛的虚假信息、改写历史以及对信息来源信任度下降的潜力表示担忧。最终,这一事件强调了批判性思维、来源验证以及提高 LLM 媒体素养的必要性。
## 英特尔 Arc Pro B70:摘要
英特尔 Arc Pro B70 GPU 进入专业市场,专注于人工智能工作负载,拥有 32GB 的显存——是其前代产品 B50 的两倍——以及更大、全新的 GPU 芯片。与将现有显卡改造的竞争对手不同,英特尔从头开始构建 B70,其 Xe 核心数量是 B50 的两倍,并改进了 Xe2 架构,以提高性能和效率。
虽然 B70 通常优于 NVIDIA RTX 2000 Blackwell,但其原始图形性能通常落后于 AMD 的 R9700。它在特定领域表现出色,例如 MLPerf(人工智能推理),通常超过所有测试过的 GPU,使其成为多 GPU 推理工作站的有力竞争者。然而,性能因专业应用程序而异;它在 Adobe After Effects 和 Revit 中表现滞后,在 Blender 和 Unreal Engine 中表现与竞争对手相似,并在 Premiere 和 DaVinci Resolve 中显示出适度的提升。
B70 的价格具有竞争力——比 R9700 低约 30%——为人工智能重点任务提供了引人注目的价值,尤其是在其大容量显存至关重要的情况下。英特尔将 B70 定位为“人工智能优先”显卡,其性能也支持这一点,但其平衡(或不平衡)的配置表明,如果降低显存容量和价格,可能会使其在更广泛的专业用途中受益。
## 英特尔 Arc Pro B70 评测 - Hacker News 总结
Hacker News 的讨论围绕英特尔 Arc Pro B70 GPU,这是一张拥有 32GB 内存的工作站显卡,以及它在 AI/LLM 工作负载中的潜力。用户尤其关注英特尔未来工作站级 GPU(Xe3P、Nova Lake 等),并希望价格合理。
一个关键主题是内存带宽对 LLM 推理的重要性,许多人指出 B70 的带宽可能会限制其效能,尽管其内存容量很大。将其与 Nvidia 的产品(RTX 5090、RTX 6000)和 AMD 的 R9700 进行比较,一些基准测试表明 B70 在性价比方面落后。
驱动质量也是一个令人担忧的问题,但人们承认已经有所改进,尤其是在 LLM 的 Vulkan 支持方面。关于英特尔对独立 GPU 市场的长期承诺存在争议,有传言称其可能取消相关计划,并转向集成显卡和数据中心 GPU。尽管存在这些担忧,许多人仍然对更具竞争力的 GPU 市场前景感到兴奋。
最新的OpenAI模型,包括GPT-5.5和GPT-5.4,将在Amazon Bedrock上预览发布。通过您已经使用的Bedrock API使用OpenAI的前沿模型,具有统一的安全、治理和成本控制。无需配置额外的基础设施,无需学习新的安全模型。
对不起。
Warp现已开源,标志着软件开发向以Agent为先的工作流程转变。该项目由OpenAI主导,利用Oz Agent编排平台和GPT模型,赋能社区驱动的开发过程。 核心理念是通过将编码任务卸载给Agent来加速Warp的改进,使人类贡献者能够专注于更高层次的设计、验证和方向。这解决了当前限制开发速度的“人工参与循环”瓶颈。 此举还旨在在新兴的Agent开发环境中建立一个开放的替代方案,允许更广泛的参与者塑造其未来。随着开源的发布,Warp还推出了对开源模型(Kimi、MiniMax、Qwen)的扩展支持以及增加的定制选项,包括用于程序控制的设置文件。 源代码已在GitHub上以AGPL许可发布,邀请开发者贡献想法并监督Agent驱动的实现。最终,Warp设想一个协作生态系统,Agent和社区成员共同构建卓越的开发者体验。
## Warp 终端开源
Warp,一款日益流行的终端应用程序,宣布现在已开源。这一举措是出于与资金雄厚的闭源竞争对手竞争并加速产品开发,以获取社区贡献的战略考虑。尽管获得了风险投资,Warp 承认它无法在价格上竞争,并认为强大的社区是成功的关键。
讨论的中心是 Warp 的竞争对手(包括 Claude Code、Codex 和 Cursor),对潜在依赖社区开发的担忧,以及核心价值主张——它是一个终端,一个代理工具,还是两者兼而有之?一些用户质疑以代理为中心模式的可持续性,并猜测可能出现转型。
团队澄清他们的业务中心在于代理和编排,而非终端本身,并强调了禁用 AI 功能的选项。用户表示对与 tmux/zellij 等工具的集成以及没有 AI 组件的轻量级版本感兴趣。最终,一些人认为这次开源是一个务实的举措,旨在利用社区的努力进行持续开发。