## Trivy 供应链攻击总结 (2026) 2026年3月,一场复杂的供应链攻击破坏了Aqua Security的Trivy漏洞扫描器。攻击者将窃取凭证的恶意软件注入到官方Trivy发布版中,使其能够静默地从CI/CD环境中窃取明文API密钥。关键在于,攻击并未利用代码漏洞,而是利用了Trivy访问包含暴露密钥的环境变量的权限。 受损的二进制文件通过流行的GitHub Actions(trivy-action和setup-trivy)传播,影响了数百万个流水线。现有的密钥管理工具(Vault、AWS、Doppler等)效果不佳,因为它们在运行时检索密钥,使其暂时以明文形式可用——这正是恶意软件的目标。 VaultProof通过采用“分密钥”架构提供了一种解决方案。它不是暴露完整的密钥,而是分发加密份额,确保环境中不存在明文密钥。即使使用像Trivy这样受到破坏的工具,也没有任何东西可以被窃取,从而完全破坏了攻击模型。这凸显了保护*使用中*的密钥,而不仅仅是静态密钥的解决方案的必要性。
每日HackerNews RSS
对不起。
这项研究调查了训练样本顺序如何影响神经网络的学习,这种现象在理想贝叶斯模型中没有被考虑。核心思想是将每个训练样本视为一个向量场,指示参数更新的方向。通过计算这些向量场的“李括号”——一种衡量它们非交换性的数学运算——研究人员可以量化交换两个训练样本的影响。 李括号揭示了根据更新顺序,最终参数值的差异,并且其大小与学习率的平方成正比。这意味着即使是微小的顺序改变也会随着时间的推移而累积。该研究明确计算了在CelebA数据集上训练的卷积神经网络(一种修改后的MXResNet)的这些李括号。 结果表明,交换样本*确实*会扰动网络对测试数据的预测(logits),并且这种扰动的大小在训练过程中会发生变化。这项工作基于先前研究,确定了李括号与神经网络中隐式偏差的联系,并提供了一种在实践中分析顺序依赖性的具体方法。
对不起。
您的请求已被阻止,原因是网络策略。请登录或在此处创建帐户以恢复浏览。如果您正在运行脚本或应用程序,请在此处注册或使用您的开发者凭据登录。此外,请确保您的User-Agent不为空,并且是独特且具有描述性的,然后重试。如果您正在提供替代的User-Agent字符串,请尝试改回默认设置,因为这有时会导致阻止。您可以在此处阅读Reddit的服务条款。如果您认为我们错误地阻止了您,或者想讨论更轻松地获取所需数据的方式,请在此处提交工单。联系我们时,请提供您的Reddit帐户以及以下代码:019d749c-367d-73cc-941b-1dbd69112b22。
## 机器人优先架构的兴起
汽车行业正经历着根本性转变,日益模仿先进机器人的架构——以特斯拉和波士顿动力等公司为代表。特斯拉正在将其工厂从汽车生产(Model S/X已停产)转变为大规模生产人形机器人(Optimus,目标到2027年达到每年100万台),预示着更广泛的行业趋势。
这种转变是由向集中式计算、区域控制器和软件定义执行器转变推动的,从而显著简化了线束——特斯拉的设计比福特等竞争对手简洁得多。福特现在也正在为其未来的电动汽车采用类似的架构。
除了人形机器人,这种“机器人优先”方法还扩展到建筑、物流和国防等不同领域,需要更高的数字化和自主性。预计机器人组件产量将激增,尤其来自目前主导供应链的中国供应商。重要的是,电动执行器的进步正在挑战传统的液压系统,提供更高的效率和数据驱动的维护。
最终,核心架构——以及其中的有利可图的机会——适用于广泛的应用领域,使拥有强大知识产权的组件供应商有望实现显著增长。
## 特斯拉的转型与机器人雄心 - Hacker News 摘要
Hacker News 的讨论围绕一篇关于特斯拉未来的文章展开,起因是“机器人吞噬汽车”的想法。对话的核心是特斯拉计划到 2027 年将弗里蒙特工厂改造为每年生产一百万台 Optimus 类人机器人,每台售价 2 万美元。
怀疑论者质疑这些生产目标的可行性,将其与特斯拉过去雄心勃勃的预测(如到 2026 年生产一百万辆机器人出租车)进行比较。另一些人指出,特斯拉已经证明了其扩大生产的能力,在 2025 年交付了 150 万辆 Model 3/Y 汽车。
关于即将停产的 Model S 和 X 出现了一场重要的争论。许多人认为这些车型已经过时,并且无法与来自保时捷、奥迪和 Lucid 的新款豪华电动汽车竞争,导致特斯拉专注于更受欢迎的 Model 3 和 Y。一些人认为,机器人生产是由于高端车型需求下降而采取的“挽回面子”之举。
人们提出了对线控转向技术和安全性的担忧,并引用了 Therac-25 事件,但有人以其在航空和其他车辆中的成功应用案例进行了反驳。最终,讨论强调了特斯拉不断变化的优先事项以及在快速变化的汽车领域保持创新的挑战。
## 亲属关系的代价:非洲的葬礼与经济停滞 在撒哈拉以南非洲,葬礼通常是极其奢华的活动,往往耗费家庭数千美元——这对于中位收入较低的国家来说是一笔巨大的负担。这不仅仅是对长辈的文化尊重,而是一个根植于根深蒂固的亲属网络中的复杂体系。在像加纳这样的母系社会,大家族在死后“拥有”尸体,导致尸体在筹集资金用于盛大、为期数天的葬礼时,长期存放在太平间。 这些葬礼充当了家庭忠诚度的“代价信号”。花费体现了对群体的承诺,而该群体传统上提供医疗保健和安全等基本服务。然而,这个体系需要持续的财富再分配,阻碍了个人的经济发展。人们期望分享收入,拒绝可能会面临社会排斥。 这形成了一种财富被积极*破坏*而非投资的循环,阻止了资本积累和经济“腾飞”。虽然现代金融工具,如手机银行,为一些人提供了一定程度的财务隐私和摆脱困境的机会,但亲属关系的强大义务仍然是繁荣的重要障碍。最终,奢华的葬礼是社会秩序优先考虑集体义务而非个人经济增长的一个明显症状。
## Instant 1.0:AI 编码应用开源后端 Instant 1.0 是一个完全开源的后端,旨在赋能开发者构建带有 AI 代理的全栈应用程序。它致力于成为 AI 编码应用的最佳后端,提供无限、不冻结的应用部署,内置同步引擎以实现离线功能和实时更新,以及身份验证、文件存储和流等基本服务。 其核心架构利用基于 Postgres 的多租户数据库,将所有数据存储在单个“三元组”表中,以实现可扩展性和成本效益。基于 Clojure 的同步引擎使用客户端的 IndexedDB 和服务器端新颖的“主题”失效系统来管理实时更新和离线功能。 主要功能包括独特的查询语言 (InstaQL),简化数据交互,以及使用部分索引和 Count-Min 草图来优化大规模性能。Instant 允许开发者——及其代理——快速构建和部署功能丰富的应用程序,而无需管理传统基础设施的复杂性。该系统设计为可编程的,使代理能够通过 API 或 CLI 自动化应用程序的创建和管理。
## InstantDB 1.0:AI 编码应用后端 - 摘要
InstantDB (instantdb.com) 发布了 1.0 版本,提供了一个旨在简化应用开发的后端解决方案,尤其适用于 AI 辅助编码。它旨在通过提供无限项目、内置实时功能(多人游戏、离线模式、乐观更新)以及集成的文件存储和流媒体等服务,来解决传统后端设置的复杂性。
其核心理念是减少样板代码,让开发者(和 AI 代理)专注于应用逻辑。虽然与 Supabase 和 Firebase 进行了比较,但 InstantDB 通过其多租户架构,实现无限免费项目以及对离线功能的原生支持,从而实现了差异化。
该平台完全开源,团队强调其针对 AI 驱动的开发工作流程进行了优化。讨论强调了声明式查询的好处以及简化复杂数据同步挑战的潜力。未来的开发包括探索“自带 Postgres”选项和提高文档清晰度。
对不起。
## 大型追踪数据的 Protobuf 流式处理:摘要 本文探讨了高效处理基于 Protobuf 的大型追踪数据的方法,尤其是在 Perfetto、Tonbandgerät 和 CircumSpect 等工具的上下文中。这些工具使用 Protobuf 的 `TracePacket` 消息来表示基于时间的数据,通常会产生数 GB 大小的追踪文件。 核心挑战在于 Protobuf 的序列化过程,它要求在序列化为二进制格式之前将整个消息加载到内存中。这对于非常大的追踪数据来说是不切实际的。作者提出了一种解决方案:**流式处理**——在生成时连续地将 `TracePacket` 消息写入磁盘,并在后处理时单独读取它们,从而绕过对完整内存中表示的需求。 通过理解 Protobuf 的线格式,可以实现这一点。消息被序列化为键值对,并利用变长整数(varints)进行高效编码。包含重复 `TracePacket` 消息的 `Trace` 消息遵循可预测的模式,允许增量编码和解码。通过在每个 `TracePacket` 前手动添加键和长度指示符,可以将其附加到文件中。解码涉及读取键、长度,然后解码 `TracePacket` 本身。 作者提供了 Rust 代码片段,演示了如何使用 `prost` 等库来实现渐进式序列化和反序列化,简化 varint 编码和消息处理。这种方法显著降低了内存消耗,并能够高效处理海量追踪数据集。
对不起。
## 从 WordPress 到 Jekyll:速度与效率提升
这家公司最近从 WordPress 迁移到静态站点生成器 Jekyll,这是出于对速度提升、更易于修改以及更好地适应不断发展的网络环境(特别是人工智能和基于 Markdown 的 LLM 的兴起)的渴望。虽然 WordPress 的安全问题可以通过良好的托管来管理,但主要瓶颈是开发速度;寻找熟练的 WordPress 开发者感觉是一种人才浪费。
Jekyll 被选择是因为它的成熟度和熟悉度,优于 Astro 等更新的选择。核心区别在于 Jekyll 构建静态 HTML,无需数据库或应用程序服务器。内容通过 Markdown 文件管理,并使用 YAML “frontmatter” 来存储元数据。
**Claude Code** 极大地帮助了 288 篇博客文章的迁移,它帮助根据 SEO 价值过滤内容并自动化任务,包括构建九个用于站点审计(SEO、Schema、结构等)的自定义开发工具。客户端搜索是在没有外部依赖的情况下实现的,并且在整个过程中都保持了对结构化数据(schema.org)和 SEO 最佳实践的关注。
结果是更快的、更高效的工作流程,能够更快地创建内容并输出更高质量的内容。虽然优化仍在继续,但团队对迁移及其未来增长的潜力感到满意。
## 转向静态站点生成器和人工智能的力量
最近的Hacker News讨论集中在从WordPress转向静态站点生成器(SSG),如Jekyll和Hugo,这凸显了一个由人工智能编码工具进步推动的增长趋势。多位用户报告称,SSG与AI“代理”结合使用,正在有效取代传统内容管理系统(CMS),尤其是在复杂的发布工作流程中。
核心思想是利用AI自动化常规的站点维护、内容更新、SEO优化,甚至内容创作本身,所有这些都由代码驱动。一位用户详细描述了他们的非技术CEO现在如何使用AI和Reveal.js等工具来管理网站更新和演示文稿,绕过了传统的应用程序。
虽然有些人提倡通过文件系统层将AI直接集成到现有的CMS系统中,但另一些人则支持SSG的代码驱动方法,以获得更大的控制力和速度。人们对评论系统以及迁移现有WordPress内容的复杂性表示担忧,但也有人提出了自助托管评论平台和WordPress本身的静态部署等解决方案。最终,这场讨论指向一个未来,人工智能将大大降低网站管理的门槛,可能降低对开发人员和传统CMS平台的需求。
微软是否利用暗黑模式诱导用户付费购买存储空间?
Microsoft is employing dark patterns to goad users into paying for storage?
2 天前
最近的一个客户案例凸显了微软等大型科技公司令人沮丧的趋势。一位不擅长技术的邻居寻求帮助,因为他的Outlook显示“存储已满”的错误,尽管邮件使用量很少。问题在于微软的默认设置会自动将桌面文件保存到OneDrive,迅速填满了免费的5GB存储空间。
微软随后提示用户*付费*购买更多存储空间——作者认为这是一种刻意的“黑暗模式”,旨在追加销售服务。客户感到困惑,并且没有备份,只能删除个人文件,包括家庭照片,才能重新获得邮件访问权限。
解决方案包括备份数据、将文件从OneDrive移回本地硬盘、使用WinUtil工具完全从系统中删除OneDrive,最后清空OneDrive回收站。
作者认为这并非个案,而是大型公司将关键绩效指标置于用户体验和尊重之上的一个症状。他们认为有缺陷的激励结构正在推动这些恶意行为,并影响着真实的人们,呼吁科技行业向伦理设计和问责制转变。