## Scratch 持续存在的 SVG 安全问题
Scratch 一直面临着源于其处理用户提交的 SVG 图像的安全漏洞。 核心问题在于将潜在的恶意 SVG 内容解析到主文档中,即使是短暂的,用于诸如边界框计算之类的操作。 Scratch 的策略一直是逐步改进 SVG 清理,但这种方法始终未能成功。
自 2019 年以来,已经发现了许多绕过方法,包括通过 `<script>` 标签、事件处理程序和 CSS `@import` 语句进行的 XSS 攻击。 更最近,出现了允许通过 `<image>` `href` 属性、CSS `url()` 函数,甚至像 `src()` 和 `image()` 这样的未来 CSS 功能进行 HTTP 泄漏的漏洞。 每次修复都会被绕过,这表明了基于 SVG 的攻击的复杂性和不断演变性。
作者认为,依赖复杂的清理是不可持续的,因为新的 CSS 功能和解析器不一致性不可避免地会产生新的漏洞。 一种更强大的解决方案,在 Scratch 的分支 TurboWarp 中实施,涉及在具有严格内容安全策略 (CSP) 限制的 iframe 内对 SVG 进行沙箱处理。 这利用了浏览器内置的安全机制,减少了对自定义解析的需求,并提供了一种更具未来防御性的防御措施。 最近的发现,甚至包括像 Claude 这样的 AI 模型,不断揭示新的漏洞,突出了持续存在的挑战。
每日HackerNews RSS
一个 Hacker News 的讨论围绕着安全处理 SVG(可缩放矢量图形)的困难。原始帖子,来自 muffin.ink,强调了“清理”SVG以防止恶意代码执行的挑战。
评论者建议将 SVG 支持限制在简单的子集——基本路径和填充——作为一种实际解决方案,承认安全和潜在危险的 SVG 功能之间的区别。其他人建议在浏览器级别处理清理,并使用新格式以避免应用程序代码中的性能问题(“用户空间”)。
值得注意的是,讨论显示 Google Slides 即使在有 15 年前的功能请求的情况下,*仍然缺乏* SVG 支持,这很可能是由于这些安全问题。核心问题在于平衡 SVG 的强大功能与防止漏洞的需求。
该节目在SVT Play播出,记录了麋鹿每年迁徙到夏季觅食地的过程。数千年来,这些雄伟的动物一直沿着相同的路线迁徙,观众可以连续第八个季节见证这一传统。 该系列节目一窥这场古老的旅程,记录了麋鹿前往更肥沃的牧场。自4月18日起,每天都会发布新剧集,持续报道正在进行的迁徙。这是一个观察自然奇观的机会,它已经在地貌上上演了数千年。
黑客新闻 新的 | 过去的 | 评论 | 提问 | 展示 | 工作 | 提交 登录
大型麋鹿迁徙 – 伟大的麋鹿迁徙 (直播) (svtplay.se)
17 分,由 donjoe 1小时前 | 隐藏 | 过去的 | 收藏 | 1 条评论 帮助
haltcatchfire 24 分钟前 [–]
这在瑞典非常盛大。 慢电视的典范 :) 回复
考虑申请YC 2026年夏季班!申请截止至5月4日
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
苹果公司对于macOS 27即将到来的潜在变化出奇地坦诚,这可能是由于这些变化对企业用户的影响。预计将有两大转变。 首先,苹果可能会**最终移除对AFP文件共享协议的支持**,推动用户转向SMB3。这主要影响那些仍然使用较旧硬件(如Time Capsule或不支持SMB3的NAS系统)的用户——在不更换这些设备的情况下升级macOS将变得不可能。 其次,macOS 27很可能**需要TLS 1.2(或更优选1.3)才能连接到某些服务器**,这将影响MDM、应用程序分发和软件更新等服务。确定兼容性很复杂,需要使用苹果提供的特定诊断配置文件和终端命令进行详细的日志分析。 苹果目前正在评估这些变化的潜在影响,如果出现重大问题,可能会推迟实施。重要的是,这两个变化都不会追溯应用,允许继续使用旧系统,只要不升级到macOS 27即可。预计六月和七月将发布测试版,完整版预计在九月发布。
苹果公司将在macOS 27中停止对Apple Filing Protocol (AFP)和Time Capsule的支持,引发了Hacker News上的讨论。一些人哀叹失去了一种长期存在的备份方案,尽管它已经有些过时,但另一些人认为这是苹果推动其iCloud服务和持续收入的方式。
用户指出Time Capsule硬件已经老化(2018年停产),虽然硬盘*可以*更换,但NAS设备或云备份等更好的替代方案已经存在。许多人对Time Machine近年来可靠性下降感到沮丧,一些人已经转向Carbon Copy Cloner等工具。
一个关键点是希望Time Machine能够直接与云提供商集成,提供一种方便可靠的备份解决方案,超越本地选项。这场讨论凸显了苹果备份策略的转变,可能优先考虑基于云的服务而非本地硬件。
## 数学形式化的历史与批判 本文反思了数学形式化的发展历程,起因是对Lean当前热情的关注。作者是该领域的资深人士,提醒人们不要忘记数十年前的先期工作,强调了如AUTOMATH(可追溯至1968年)等系统,它们已经实现了显著的形式化成果——包括兰道的《分析基础》——尽管缺乏现代便利性。 作者承认Lean的优势——强大的社区、工具和库,但批评了依赖类型领域中 perceived 的“教条主义”和从众现象。他们强调,进步并非通过追随潮流实现,并指出LCF、HOL Light和Isabelle/HOL等替代方案,已经成功地形式化了复杂的定理。 一个关键论点集中在“命题即类型”与替代逻辑基础之间的争论上,倡导简单性和可读性。作者支持LCF通过抽象数据类型进行动态检查的方法,认为不需要像Lean和Coq等系统中常见的庞大“证明对象”。最终,本文认为应该根据实际需求(协作、现有库)来选择工具,但鼓励考虑Isabelle,因为它具有自动化和可读性,尤其是在人工智能工具越来越多地帮助简化证明和在系统之间进行翻译的情况下。作者还承诺未来会发表一篇专门介绍经常被忽视的Mizar系统的文章。
一个 Hacker News 的讨论集中在“为什么不直接使用 Lean?”这个问题上——指的是 Lean 定理证明器及其相关的库 Mathlib。用户指出,Lean 是一种*语言*,而 Mathlib 是形式化数学的实用工具。
一个关键点是 Mathlib 的务实方法,它使用了经典逻辑(包括排中律和反证法),尽管这与纯直觉逻辑不兼容。这使得它在形式化现有的数学结果方面非常有效,但可能不太适合需要思辨推理的哲学应用。
对话还强调了 Lean 对程序员的相关性,并推荐了一本从函数式编程角度介绍 Lean 的书。最终,评论者提倡探索替代方案,即使最终被拒绝,也能更全面地了解该领域。
## TP-Link TL-SG108:释放隐藏潜力
TP-Link TL-SG108 是一款经济实惠的 8 端口千兆以太网交换机,基于 Realtek RTL8370N 芯片。虽然看似基础,但该芯片却令人惊讶地具备了更昂贵“网页智能”管理型交换机中的功能——区别主要在于软件限制。
TL-SG108 随附有限的固件,使用小容量 SPI 闪存芯片,无法访问 VLAN 等高级功能。然而,爱好者可以通过升级闪存容量(至 32Mbit)并刷新 Netgear GS308Ev4 等替代固件来解锁这些功能。这需要编程器和新的闪存芯片,并涉及修改交换机的 MAC 地址。
尽管潜力巨大,但升级并非总是顺利。问题包括 LED 功能丢失和设备难以重置。此外,Araknis AN-110 等类似交换机也使用 RTL8370N,但尽管硬件具备能力,仍然限制了功能。最终,为了可靠的管理型交换,一个带有 OpenWrt 支持的二手专用管理型交换机通常比修改基本型号更好。TP-Link 近期的重组也可能影响未来的固件兼容性。
这个Hacker News讨论集中在TP-Link TL-SG108非管理型交换机及其与“智能”管理型版本SG108E的惊人相似之处。一位名为‘luu’的用户分享了一篇博客文章,详细介绍了如何管理非管理型交换机,强调了使用单一硬件设计并通过固件启用功能的高性价比。
另一位用户证实了这一点,指出硬件几乎相同,主要区别在于固件的闪存大小。然而,针对SG108E发布了一个警告:一个已知缺陷导致它错误地将非VLAN流量广播到所有端口,从而有效地禁用了VLAN功能。这位用户还详细介绍了管理SG108E的困难,需要过时的软件和复杂的解决方法。普遍共识倾向于避免该硬件系列,除非只需要一个简单的非管理型交换机。
## 30,000 英尺高空的 MacBook 与 LLM:本地推理实验
一次前往 Google Cloud Next 2026 的 10 小时飞行成为本地 LLM 推理的测试场地。作者配备 MacBook Pro M5 Max (128GB 内存,40 核 GPU),通过 LM Studio 运行 Gemma 4 31B 和 Qwen 4.6 36B,同时搭载完整的开发环境,为 loveholidays 构建一个计费分析工具,从而揭示标准仪表板中先前隐藏的见解。
实验证明,对于编码、工具开发和探索性数据分析等专注的工程任务来说,本地推理是可行的,甚至在较小的任务中可以与云端模型相媲美。然而,也出现了一些限制:电池迅速耗尽(每分钟 1%),产生大量热量,超过 10 万 token 的上下文窗口会降级,以及偶尔出现无限循环。
至关重要的是,定制的工具——`powermonitor` 和 `lmstats`——揭示了一个隐藏的瓶颈:航空公司提供的电缆仅提供 60W 的功率,而不是广告宣传的 70W,从而限制了性能。这凸显了“机械同理心”的价值——理解 AI 的物理成本,以优化云端使用。作者计划在返程航班上使用正确的电缆进行进一步测试,并探索由神经网络引擎驱动的 LLM。
对不起。
## 蔓藤:一种自扩展的自主代理沙箱 蔓藤是一个使用AWS Strands Agents SDK和Tauri构建的自主代理系统,展示了自主工具发现、创建和复用。其核心原则是:代理*构建*所需工具,而不是依赖预定义的集合。 你提供一个任务,蔓藤首先检查能力注册表。如果存在合适的工具,则执行它。否则,蔓藤会自主编写一个新的工具(使用TypeScript),注册它,然后执行它——所有这些都不需要你的提示。每次会话后,注册表都会增长,使后续交互更有效率。 该系统仅利用三个引导工具和一个能力注册表(存储为文件),由Bedrock模型(Claude)驱动的Strands代理管理。通信通过标准输入/输出上的JSON-RPC进行。 蔓藤的设计注重简单性和控制,提供了一个使用Tauri和React构建的桌面应用程序,以及一个用于代码执行的沙盒Deno环境。它有力地展示了代理如何能够随着时间的推移动态地适应和扩展其能力。
## 触须:一种自我扩展的AI代理
触须是一个新的代理框架,旨在解决“何时”使用AI工具的问题,而不仅仅是“它做什么”。由walmsles创建,它是“代理能力模式”的一个“参考实现”,从三个工具开始,并动态地构建更多工具。
重要的是,触须避免直接代码执行;代理*必须*在执行任何任务之前创建并注册具有明确调用条件的新的工具,从而构建跨会话的持久注册表。这强制对能力进行显式控制。
有趣的是,开发者用五个本地模型(Qwen3-8B、Gemma 4等)测试了触须,并且*没有一个*成功完成自我扩展循环。对这些失败的分析可在[https://serverlessdna.com/strands/ai-agents/agents-know-what...](https://serverlessdna.com/strands/ai-agents/agents-know-what...)找到。
该项目使用AWS Strands、TypeScript、Bedrock、Deno、Tauri和React构建。一位评论者提出了对失控自我扩展和潜在安全风险的担忧。
## Windows 11 具有欺骗性的“第二次开箱体验”
Windows 11 正在让用户感到沮丧,出现一个名为“第二次开箱体验”(SCOOBE) 的重复弹出窗口——即使在完全配置的电脑上,在最初设置几个月后也会出现。这并非真正的设置问题,而是一系列旨在推广微软订阅服务(如 Xbox Game Pass 和 Office 365),或更改用户偏好设置(如浏览器设置)的提示。
虽然对个人用户来说这令人烦恼,但 SCOOBE 对组织来说是一个重大问题。它会产生不必要的 IT 支持请求,来自认为电脑出现故障的员工,并可能导致用户意外订阅不需要的服务或覆盖公司设定的配置。
这种体验被批评为具有欺骗性且违反了信任,将微软的利润置于用户体验和既定许可协议之上。虽然可以通过设置或组策略禁用 SCOOBE,但其持续存在引发了人们对微软可能在未来更新中绕过这些措施的担忧。最终,SCOOBE 感觉像是打断关键工作的意外广告,以及 Windows 操作系统中令人担忧的“劣质化”趋势。
## Windows 11 设置与效率问题
最近的 Hacker News 讨论强调了广泛对 Windows 11 侵入式设置对话框和强制功能的沮丧,这影响了 IT 专业人士和普通用户。用户报告称,即使多次拒绝后,仍会反复被提示连接 Microsoft 帐户、导入 Chrome 数据以及采用 Microsoft 服务,如 OneDrive 和 Edge。
这些“二次提示”对话框是一个反复出现的问题,可以追溯到 Windows 10,并且严重干扰工作流程,尤其是在通过 RDP 访问的服务器上。强制重启更新会加剧问题,导致正在运行的应用程序和服务器崩溃。
许多评论者建议切换到 Linux 作为更稳定和更尊重的替代方案,特别是对于服务器工作负载和使用 Docker 等工具的开发。虽然 Windows 在游戏方面仍然可行,但由于反作弊兼容性问题,甚至这一点也变得越来越不确定。总体情绪表明,Microsoft 优先考虑自身服务而非用户体验和控制。
微软将停止与主要人工智能合作伙伴 OpenAI 分享收入。
Microsoft and OpenAI end their exclusive and revenue-sharing deal
4 小时前
彭博社 需要帮助?请联系我们 我们检测到您的计算机网络存在异常活动 要继续,请点击下面的框来确认您不是机器人。 为什么会发生这种情况? 请确保您的浏览器支持 JavaScript 和 cookies,并且没有阻止它们加载。 更多信息请查看我们的服务条款 和 Cookie 政策。 需要帮助? 关于此消息的咨询,请联系 我们的支持团队并提供以下参考ID。 阻止参考ID:387430e6-4242-11f1-9d45-7ffcf5a57728 通过彭博社订阅,随时掌握最重要的全球市场新闻。 立即订阅
根据最近彭博社的一份报道,并在Hacker News上讨论,微软正在终止与OpenAI的收入分成协议。此前,微软据报道支付给OpenAI其托管的OpenAI产品产生的收入的20%。
这一转变也标志着他们的合作关系不再具有独占性。虽然微软仍然是OpenAI的关键合作伙伴,但他们将不再完全依赖OpenAI的模型,并且可能正在探索其他人工智能选择。
该消息源自用户helsinkiandrew分享的一个赠送文章链接,进一步的讨论指向OpenAI的一篇帖子以获取更多细节。这种战略变化表明微软正在根据快速变化的环境调整其人工智能方法。
对不起。