Zed 团队正在超越传统的基于 Git 的工作流,他们认为“拉取请求”(pull request)文化导致了代码与产生代码的对话之间产生了脱节。Zed 意识到现代软件开发正日益受到与 AI 智能体持续对话的驱动,因此推出了 **DeltaDB**,这是一个旨在保持代码与对话统一的新型版本控制系统。 与依赖离散快照的 Git 不同,DeltaDB 将代码记录为细粒度、可寻址的“增量”(deltas)流。通过将对话直接锚定在这些操作上,DeltaDB 确保了代码演进时上下文不会丢失。这使得开发人员和智能体能够在同一个工作树内实时协作,从而消除了对事后评审流程的需要。借助 DeltaDB,对话本身成为了事实的主要来源,使团队能够追踪每一次编辑背后的逻辑,并无缝加入正在进行的工作,而无需等待提交(commit)或推送(push)。 Zed 计划在未来几周内发布 DeltaDB 的测试版本,旨在用流畅的、集成智能体的开发体验取代被迫的协作瓶颈。目前可通过其网站上的候补名单获取早期访问权限。
一位安全研究员在 AMD 的自动更新(AutoUpdate)软件中发现了一个严重的远程代码执行(RCE)漏洞,该漏洞源于软件在下载时使用不安全的 HTTP 链接,且缺乏签名验证。这一缺陷允许攻击者实施中间人(MITM)攻击,并在用户系统上执行任意代码。
尽管 AMD 起初以“超出范围”为由拒绝了该漏洞赏金计划的报告,但在事件在 Hacker News 上曝光后,AMD 改变了态度。AMD 要求研究员删除博客文章并同意延长披露期限。整个过程进展缓慢,AMD 花费了 124 天才完成修复。
讽刺的是,研究员发现该漏洞最初在功能上是无法被利用的,因为另一个无关且预先存在的 Bug 会导致更新程序在进行域名重定向时崩溃。此外,尽管 AMD 声称新补丁使用了签名验证,但研究员发现其仅实施了安全性极低的 CRC-32 校验。最终,尽管该漏洞潜在影响巨大,研究员并未获得任何奖金。建议用户卸载 AMD 的自动更新工具,并直接从官方网站手动下载软件。