每日HackerNews RSS
对不起。
Please provide the content you want me to translate. I need the text to be able to translate it to Chinese.
对不起。
## Telnyx PyPI 包被攻破 - 2026年3月27日 `telnyx` Python 包的 PyPI 版本 4.87.1 和 4.87.2 已经被恶意代码入侵,恶意代码注入到 `telnyx/_client.py` 文件中。这些版本发布时没有对应的 GitHub 发布,表明可能存在凭证泄露。已知最后一个安全版本是 4.87.0。 恶意代码使用隐写术从 **83.142.209.203:8080** 下载伪装成 WAV 音频文件的有效载荷。在 **Windows** 上,它会将一个二进制文件作为 `msbuild.exe` 放到启动文件夹中以实现持久化。在 **Linux/macOS** 上,它会提取一个凭证收集器,加密收集到的数据,并将其作为 `tpcp.tar.gz` 泄露出去。 此次攻击归因于 **TeamPCP**,因为与最近的 `litellm` PyPI 漏洞相似,包括共享的加密方法和归档命名约定。 **受影响版本:** `telnyx==4.87.1` 和 `telnyx==4.87.2`。建议用户回退到版本 4.87.0 或更早版本。
## macOS 26 圆角半径困扰
macOS 26 的升级带来了明显圆润的窗口角落,引发了关于其美观性的争论——尤其是在设计上与 YouTube 的界面等趋势相似。作者认为,这些圆角在不同应用程序中的*不一致性*比圆润本身更令人不适,这是用户中常见的抱怨。
为了解决这个问题,作者详细介绍了一种技术解决方法,即禁用系统完整性保护 (SIP) 来修改负责角落渲染的系统库。虽然承认禁用 SIP 存在安全隐患,但他们认为对于已经受到损害的系统来说,风险很小。
作者的解决方案不是消除圆润,而是*增加*圆润度,旨在使所有应用程序的圆角保持一致。他们提供代码——一个动态库和一个启动代理——来“交换”macOS 中的圆角半径值,从而有效地覆盖默认设置。这需要编译、签名和部署库,然后在系统启动时加载它。最终结果? 一致的圆角(对作者来说,也更令人接受)。
启用 JavaScript 和 Cookie 以继续。
## 纳什维尔图书馆推出记忆实验室 – 摘要
纳什维尔公共图书馆最近推出了一家“记忆实验室”,旨在帮助居民将旧家庭电影、照片和其他媒体数字化。这在Hacker News上引发了一场关于个人档案服务挑战和潜在商业模式的讨论。
许多用户表示希望帮助人们保存家族历史——从VHS磁带和MiniDV录像带到老化的数字文件——但难以找到可持续的资金来源。想法包括非营利模式、捐赠活动,以及用于存储和自动备份的SaaS订阅服务。人们对数据长期保存的“永久性问题”以及自助数字化对技术水平较低的人来说的可访问性表示担忧。
一些评论员强调了现有的“记忆实验室”网络和当地图书馆的倡议。其他人分享了DIY解决方案,例如使用特定硬件(Canopus ADVC-110、VHS转换器)和软件(FFmpeg)进行数字化,并强调了为长期保存进行多次备份(HDD、LTO)的重要性。 讨论还涉及了记忆保存的社会方面,包括研讨会和社区数字化活动,以帮助人们分享和理解他们的家族历史。
## Telnyx Python SDK 供应链攻击 - 2026年3月27日 2026年3月27日,恶意版本(4.87.1 & 4.87.2)的Telnyx Python SDK被短暂发布到PyPI,作为更广泛的供应链攻击的一部分,该攻击也影响了Trivy、Checkmarx和LiteLLM。这些受损版本包含恶意代码,具体利用了83.142.209.203:8080的C2服务器,并采用WAV隐写术进行有效载荷传递。 恶意软件包在~7小时内从PyPI上移除。**如果您在3月27日03:51-10:13 UTC之间安装或升级了`telnyx`软件包,或者没有固定版本,您可能受到影响。** **受影响的用户应立即降级到版本4.87.0或更早版本(`pip install telnyx==4.87.0`),并轮换所有密钥**(API密钥、数据库凭据等),这些密钥可以从受影响的环境中访问。 重要的是,Telnyx平台和API**没有**受到损害;此事件仅限于Python SDK的发布。 随着调查的进行,将发布进一步的入侵指标。 如需帮助,请联系[email protected]。
对不起。
## OpenBSD 与 AI 生成代码:版权争论
LWN.net 上的一篇文章详细介绍了 OpenBSD 项目对接受使用 AI 辅助创建的文件系统驱动程序(“vibe-coded”)的犹豫,引发了关于版权和许可的争论。 核心问题不在于代码质量,而在于是否可以在不损害 OpenBSD 许可的情况下合法地集成它。
主要担忧在于 AI 生成作品缺乏明确的版权所有权。 由于当前的版权法要求人类作者,因此该代码不受保护,但 OpenBSD 担心这并不等同于公共领域地位。 他们担心该代码可能源自受版权保护的材料(例如原始 EXT4),从而可能引入许可冲突。
评论员们争论 AI 是作为工具(如编译器)还是更具问题性的“复制”机制。 有人认为提示词*是*作者身份,而另一些人则指出 AI 训练数据中可能无意中包含受版权保护的代码。 还有人认为,关注版权会分散对评估代码实际质量和可维护性的注意力。 最终,这种情况凸显了 AI 生成内容周围的法律灰色地带及其对开源项目的影响。
## TeamPCP 供应链攻击持续:Telnyx 被攻破 威胁行为者 TeamPCP 持续进行的供应链攻击活动仍在继续。继 Trivy、Checkmarx 和 LiteLLM 受到影响后,PyPI 上的官方 Telnyx Python SDK 最近被恶意版本(4.87.1 和 4.87.2)攻击,这些版本于 3 月 27 日上传。 TeamPCP 的策略涉及窃取受信任的安全工具的凭据,并利用这些凭据将恶意代码注入到这些工具访问的软件包中。这使他们能够在多个生态系统中传播,收集受损环境中的敏感数据。 Telnyx 的恶意载荷将可执行代码隐藏在看似无害的 `.wav` 音频文件中——这种技术最初是在一个 Kubernetes 擦除器中观察到的。在 Windows 上,它会安装一个持久化的 dropper;在 Linux/Mac 上,它会通过 Python 脚本泄露数据,并在发送到攻击者的命令和控制服务器(83.142.209.203:8080)之前对其进行加密。 **建议立即采取的措施:** 移除 Telnyx 版本 >=4.87.1 并固定到 4.87.0。如果已受损,请轮换所有凭据并检查 Windows 启动文件夹中是否存在 `msbuild.exe`。 这是一个持续的情况,预计会有进一步的更新。
对不起。
## DOOM 通过 DNS:安全概念验证
Adam Rice 演示了一种令人惊讶的能力:完全通过 DNS 记录运行经典游戏 DOOM。他利用 DNS TXT 记录宽松的安全机制——这些记录设计用于基于文本的数据,如电子邮件身份验证——有效地将 DNS 变成了一个分布式文件系统。
该过程涉及对 DOOM 的文件进行 Base64 编码,将其分割成块,并将这些块存储在 DNS 区域内的约 2,000 个 TXT 记录中。一个修改后的 DOOM C# 移植版“managed-doom”至关重要,它允许游戏直接从内存加载,而无需访问磁盘。一个 250 行的 PowerShell 脚本查询这些记录,重新组装数据并启动游戏。
虽然这是一个有趣的实验,但“DOOM 通过 DNS” 强调了一个严重的安全性问题。DNS 基础设施可能被滥用于恶意软件分阶段部署、秘密载荷传递和逃避检测,因为这种技术很难在取证方面被标记出来。该项目强调了由于缺乏对存储数据的验证,一个几十年历史的看似良性协议如何能够被重新用于恶意目的。完整的项目可在 GitHub 上获取。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 工作 | 提交 登录
能否解决《DOOM》?游戏引擎在 2k DNS 记录中 (core-jmp.org)
49 分,由 Einenlum 1 天前发布 | 隐藏 | 过去 | 收藏 | 2 条评论
相关内容:DNS 版《DOOM》 - https://news.ycombinator.com/item?id=47490705 (88 条评论) 帮助
quuxplusone 1 天前 | 下一个 [–]
这令人困惑。这只是将 AI 摘要粘贴在链接的原始文章 https://blog.rice.is/post/doom-over-dns/ 之上吗? 并且是昨天发布的 Github 仓库 https://github.com/resumex/doom-over-dns 的重述/解释——还是新的东西?回复
mrbluecoat 1 天前 | 上一个 | 下一个 [–]
昨天 (88 条评论):https://news.ycombinator.com/item?id=47490705 回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
## 管理人工智能的速度:工作流程瓶颈
人工智能如Claude的日益强大带来了一个新的挑战:*人类*工作流程。虽然Claude可以在几分钟内给出结果,但人们常常浪费时间等待,从而大大限制了生产力。仅仅优化提示是不够的——真正的瓶颈在于管理多个并行的人工智能会话。
关键在于**将状态外部化**。不要依赖记忆,而是在每次人工智能输出后立即仔细记录指令、审查笔记和后续问题。这将创建一个持久的记录,允许在会话之间无缝切换,而不会丢失上下文。
早期的人工解决方案尝试(例如使用带有自定义键绑定的文本编辑器)被证明过于繁琐。笔记记录和跟踪会话状态的摩擦导致信息丢失。解决方案,以工具“jc”为例,是一个专门的应用程序,可以简化此过程:将笔记集中在TODO文件中,提供清晰的通知,并优先处理任务。
最终,提高人工智能吞吐量并非关于更快的人工智能,而是关于使*人类*能够跟上速度——从*等待*人工智能到主动管理它。
## 黑客新闻讨论总结:“不要等待 Claude”
一篇最近的黑客新闻帖子引发了关于工作流程的争论,该流程建议持续并行使用像 Claude 这样的 LLM,而不是等待任务完成。作者提倡启动多个任务(2-3 个并发任务的 3-4 个项目),并在 Claude 处理时切换它们,目标是实现 5-7 分钟的循环时间。
然而,许多评论者表示怀疑。担忧集中在持续上下文切换的认知成本、对健康的潜在危害以及缺乏可证明的生产力提升上。几位用户强调了彻底审查的重要性,认为没有仔细监督的快速迭代适得其反。另一些人指出,LLM 可能会陷入循环或产生需要大量人工干预的错误结果。
一个关键的争论点是,所提出的工作流程是否真正高效,还是仅仅是一种*看起来*很忙的方式。许多人强调需要更小、更易于管理的任务和健全的验证方法。一些人还质疑作者不接受人工编写的代码贡献的说法,将其解读为过度依赖人工智能的迹象。
最终,讨论揭示了各种各样的经验和观点,许多人一致认为,这种方法的可行性取决于推理速度的提高和有效的审查流程。