## GitHub Actions:日益增长的供应链风险 最近的开源供应链攻击——影响了Ultralytics、nx packages、Trivy和elementary-data等项目——都可追溯到GitHub Actions工作流程中的漏洞。尽管每次事件的有效载荷不同,但它们都利用了*按设计*运行的功能,揭示了一个系统性问题。 核心问题不是错误,而是一个为私有企业CI构建的平台,被重新用于公共的、匿名的fork和pull request。`pull_request_target`触发器(允许从不受信任的fork执行具有完全访问权限的代码)和action版本可变的Git引用等危险组合会造成重大风险。攻击者正在利用这些功能来窃取密钥、将恶意代码注入构建中,并最终破坏已发布的软件包。 GitHub已经意识到并宣布了安全改进——包括工作流程锁文件和策略控制——但这些是可选的且有延迟。作者认为应该对公共仓库的默认设置进行更积极的、甚至破坏性的更改,例如只读令牌和更严格的输入清理,以主动缓解这些风险。在此之前,建议开发者使用像`zizmor`这样的工具来审计工作流程,固定action的SHA,并强制执行严格的权限。对GitHub Actions用于可信发布到软件包注册表的依赖性日益增加,这加剧了解决这些漏洞的紧迫性。
每日HackerNews RSS
## MiMo-V2.5-Pro:一款强大的开源编码模型
小米的MiMo-V2.5-Pro是一款新的开源大型语言模型,展现了令人印象深刻的编码能力,可与GPT-5.4和Claude Opus 4.6等模型媲美。它经过了严格的测试,成功完成了完整的SysY编译器项目(一项典型的大学作业,通常需要数周时间),仅用4.3小时并获得满分,从模糊的提示中构建了一个功能齐全的视频编辑器,并设计了一个模拟电路。
除了这些演示,MiMo-V2.5-Pro在持续的复杂任务中表现出色,能够管理超过1000次工具调用而不会失去连贯性——这是对先前版本的关键改进。它拥有100万token的上下文窗口,并通过混合注意力设计得到显著增强,使其能够有效地处理大型代码库和冗长的对话。
值得注意的是,MiMo-V2.5-Pro具有很高的token效率,与竞争对手相比,在生产中可能提供显著的成本节约。 此外,还发布了一个多模态版本MiMo-V2.5,可以处理文本、图像、视频和音频。权重在HuggingFace上以MIT许可提供,使其可用于商业用途。 此发布使小米成为开源AI领域的重要参与者,为专注于编码和代理工作流程的开发者提供了一个引人注目的替代方案。
小米已开源其MiMo-v2.5系列语言模型,采用MIT许可,现已在Hugging Face上提供。此次发布包含两个模型,总参数量达1万亿,上下文长度分别为100万(Pro)或25.6万(Pro-Base)个token。
这些模型在编码和智能体基准测试中表现出色,引发了人工智能社区对其作为强大竞争者的潜力的兴趣。然而,Hacker News上的讨论指出,最初的发布文档写得不好,并提供了指向更好资源的链接。
用户期待量化版本,特别是来自Unsloth等项目,以使模型更易于访问。关于小米的token订阅定价结构,由于成本是使用“积分”系统计算的,仍存在疑问。
2008年左右毕业,负债1.5万美元。15,000美元——可控。你获得了学位,毕业时负债可控,并在毕业后6个月内找到了相关工作。今天:负债6.7万美元,3次无薪实习,入门级职位要求5年经验。
## 中产阶级博物馆:一场怀旧引发的争论
一位创作者制作了“中产阶级博物馆”(ideagames.fun),展示了曾经更实惠的物品,在Hacker News上引发了热烈讨论。 尽管意在讽刺现代的负担能力,但该网站缺乏通货膨胀调整受到了批评。
许多评论员指出,简单地比较不同年代的名义价格具有误导性,未能考虑到工资停滞和生活成本上升。 还有人争论旧商品的质量和安全标准,认为即使价格更高,现代产品也提供了更多价值。
对话扩展到更广泛的经济问题,例如养老金制度、SUV的兴起(“缩减”的反面),以及财富在公司中的集中。 一个共同的主题是,尽管质量可能有所提高,但舒适的中产阶级生活方式对于许多人来说越来越遥不可及。 创作者承认了反馈,并计划在保持其幽默语气的同事,用通货膨胀调整来更新网站。
🛡️ 快速验证 我们正在检查您的连接以防止自动化滥用 为什么我看到这个? 有问题吗?联系客服
## 南极冰层揭示宇宙射线探测 – 摘要
科学家分析嵌入南极冰层深处的无线电探测器数据,首次实现了在天然冰中探测阿斯卡良效应。当高能粒子,特别是宇宙射线与冰相互作用时,会产生级联效应,从而发出无线电信号。
虽然探测到的信号来自宇宙射线——而非科学家们寻找的高能中微子——但成功的探测验证了探测器的功能和模型。该团队预计,通过来自所有五个探测站的更多数据,可以识别多达七个潜在的中微子事件。
探测中微子对于确定超高能粒子的来源至关重要,而带电粒子由于磁场干扰,难以实现这一目标。南极冰层为这些探测提供了一种稳定、庞大且相对未受干扰的介质,这与大型水体不同。这项研究代表着在理解宇宙中最具能量的现象方面迈出的重要一步。参与分析的研究人员澄清说,这是一个概念验证,未来的工作将集中于将中微子信号与宇宙射线的“背景噪声”区分开来。
2026年4月,由萨姆·奥特曼创立的AI公司Tools For Humanity (TFH) 虚假宣布与布鲁诺·马尔斯及其浪漫巡演达成合作,声称他们的“演唱会套装”将为“已验证的人类”提供VIP访问权限。布鲁诺·马尔斯的经纪公司和Live Nation迅速否认了任何关联,声明他们从未被TFH联系过。 这一说法源于TFH公司活动中的一位高管,最初在其网站上发布。TFH后来撤回了声明,确认与马尔斯没有协议。 事实证明,该公司实际上正在与Thirty Seconds to Mars合作,为他们的2027年欧洲巡演提供支持——显然是认错身份。 考虑到TFH的核心使命是验证在线人类身份以打击欺诈,尤其是在受机器人困扰的现场音乐行业,这一失误具有讽刺意味。TFH于2019年推出了一种虹膜扫描设备用于验证,但似乎无法验证他们正在与哪位马尔斯打交道。
请启用 JavaScript 并禁用任何广告拦截器。
对不起。
## 掌中的宇宙:概要 Lumara是一款免费且注重隐私的应用,提供对我们太阳系的详细观察。它提供实时数据和令人惊叹的**太阳**视觉效果,由NASA的SDO在**12种不同波长**下捕捉,揭示其动态等离子体活动——从5000K的表面温度到1000万度的耀斑。 除了太阳活动追踪(包括耀斑等级和CME速度),Lumara还提供精确的**月球离线数据**,使用专业的 astronomical 算法计算相位、光照和距离。 主要功能包括**空间天气警报**(地磁暴),数据来自NASA,延时视频和高分辨率缩放功能。重要的是,Lumara优先考虑用户隐私,**零追踪,无需账户,无广告**,确保您的位置和数据安全保存在您的设备上。
## Lumara:实时太阳与月球仪表盘总结
Beeswaxpat 创建了 Lumara (lumara-space.app),一个显示 NASA 实时太阳和月球影像的仪表盘。该项目在 Hacker News 上引起关注,并根据用户反馈迅速改进。
最初,该应用直接链接大型视频文件,可能给 NASA 造成带宽问题。Beeswaxpat 迅速通过切换到 1024p 分辨率并实施 Cloudflare Worker 来缓存内容,将 NASA 的负载降低了约 99%。
用户赞扬了用户界面,并请求了 AppleTV 应用等功能(Beeswaxpat 正在考虑,可能使用 SwiftUI)和屏幕保护程序版本。关于公制单位一致性和准确性的详细反馈也已提供并迅速实施。该应用现已在 App Store 和 Play Store 上线。
该项目利用 NASA API 构建,并基于经济高效的基础设施(Render、GitHub、Claude Opus 4.7 用于初始设置)。它展示了实时太阳数据,但可视化过程涉及一些后期处理。
糟糕!访问被拒绝:错误代码bf584155dcd667f7。
由Anubis From Techaro保护。
🇨🇦制造,充满爱❤️。
吉祥物设计由CELPHASE完成。
本网站运行Anubis版本 devel。
对不起。
GitHub Copilot 代码审查的计费方式将于 2026 年 6 月 1 日变更。目前使用 Copilot 高级请求单元 (PRU) 计费的代码审查,之后将通过两种方式计费:通过新的基于使用量的 Copilot 计费模式下的 **AI 积分**,*以及* 消耗 **GitHub Actions 分钟**,尤其是在私有仓库的代码审查中。 对公共仓库的代码审查将继续免除 Actions 分钟的消耗。用户可以利用现有的 GitHub Actions 权益和预算来管理成本。 为做好准备,GitHub 建议查看当前的 Copilot 和 Actions 使用情况,确认预算限制,并熟悉新的 AI 积分衡量方式。这会影响所有 Copilot 计划(Pro、Pro+、Business、Enterprise),包括直接向组织计费的非授权用户的使用情况。 详细信息和资源可在文档和 GitHub 社区中找到,以确保平稳过渡。鼓励与相关团队分享此更新。
## 强度板:从休假项目到重锤数据
出于建立创业项目的愿望,作者从 Shopify 休假一个月,制作了“强度板”——一种用于测量重锤打击力量的功率计。该项目源于发现健身器械存在差距:虽然许多活动都被精细追踪,但像重锤训练这样爆发性的全身运动却很少被测量。核心理念是可测量性驱动可编程性,最终带来更好的训练。
制作过程是对硬件的快速学习,迫使作者在诸如外壳设计和传感器技术等领域快速学习。这个过程令人谦卑,早期的设计很快通过实际测试被证明存在缺陷——与软件开发的容错性形成鲜明对比。经过一个月,一个功能性原型得以实现,能够通过 iOS 应用程序捕获和显示功率数据。
目标不仅仅是在活动中添加数字,而是为了增强直觉,并解锁对力量的更深理解,就像功率计彻底改变了自行车运动一样。作者现在专注于严格的测试和用户反馈,以确定强度板是否真的能使这种未充分编程的运动变得“更易理解、更有动力和更易于训练”。请在 [https://intensity.systems/](https://intensity.systems/) 关注该项目的进展。
## 铁锤功率计:黑客新闻摘要
一位开发者 (leblancfg) 分享了他们的休假项目:一个用于测量铁锤力量的功率计,详情请见 [intensity.systems](https://intensity.systems)。该项目旨在量化锤击的力量,引发了关于合适单位(瓦特 vs. 焦耳)以及这种指标价值的讨论。
评论者指出该项目与武术和伐木比赛中使用的现有打击测量仪相似。 也有人批评文章的语气,认为可能是由 AI 辅助写作造成的,并且缺乏详细的工程规范。 许多人质疑测量系统的准确性和耐用性。
讨论范围扩大到休假实践的观点,比较了北美和欧洲的工作文化。 虽然有些人觉得这个项目很有启发性,但另一些人强调了“氛围营造”和真正的黑客行为之间的差距,以及实用工程细节的重要性。 许多评论者分享了他们休假以及平衡工作和个人生活的挑战的经历。