故障分析 顶级运营商 矿山 ID 名称 运营商状态 类型 商品状态 mines.fyi — 免费搜索超过91,000个美国矿山
每日HackerNews RSS
一个名为[mines.fyi]的新网站,使用矿业安全与健康管理局(MSHA)的数据,可视化了美国境内的所有矿山。创建者下载了公开可用的、每周更新的数据集,创建了一张Leaflet地图,显示矿山位置、运营者和详细信息。
在Hacker News上的初始帖子引发了关于所代表的矿山*类型*的讨论(避免对爆炸性矿山做出假设),并提到了诸如石棉之类的潜在危害,以及臭名昭著的利比矿。用户还质疑了特定地点,例如曼哈顿列出的三个矿山,并澄清它们可能代表隧道挖掘中产生的偶发材料,而不是活跃的采矿作业。数据来源可在MSHA网站上找到。
## 放弃Dependabot:更智能的Go依赖管理
Dependabot 经常产生不必要的干扰,尤其是在 Go 生态系统中,阻碍了高效工作。作者建议禁用它,并用两个计划中的 GitHub Actions 取代它:一个运行 `govulncheck`(漏洞扫描器),另一个运行项目测试套件来测试最新的依赖版本。
最近的一次安全修复突显了这个问题——Dependabot 向仓库中充斥着无关的更新和虚假的安全性警报,甚至对于*未使用*受影响功能的代码也是如此。`govulncheck` 提供了一个更优的解决方案,它会根据包和符号的可达性过滤警报,只关注实际影响项目的漏洞。
此外,依赖更新应该与项目的开发周期保持一致,而不是每个依赖的发布周期。每天运行测试来测试最新版本,而不是自动更新,可以在不进行持续、破坏性更新的情况下,及早发现破坏性变更。这种方法通过最大限度地减少恶意代码到达生产环境的时间窗口来提高安全性,并减少开发人员和开源维护者的重复劳动。
这次黑客新闻的讨论围绕依赖漏洞扫描和更新,起因于一篇关于关闭Dependabot的文章。用户正在寻找适用于Go以外生态系统的类似工具——特别是JVM(提及Sonatype Scan for Gradle)和Rust/Cargo。
一个主要担忧是在频繁的依赖升级带来的潜在不稳定性和安全更新之间取得平衡,一位评论者提倡谨慎的方法以避免供应链攻击。 还有关于使用第三方GitHub Actions的安全性方面的讨论,更倾向于使用第一方选项,但`geomys/sandboxed-step` action因其使用不可变发布而受到关注。 最终,这次对话突出了跨不同编程语言安全高效地管理依赖的持续挑战。
这篇由两部分组成的博客系列详细介绍了在 VSCode 扩展程序(SARIF 查看器和实时预览)以及 VSCode 本身中发现的三个漏洞(CVE-2022-41042,获得 7,500 美元奖励)。核心问题在于 VSCode Webviews——沙盒化的 UI 面板——以及攻击者如何可能绕过其安全限制来危及用户系统。
扩展程序中的漏洞允许进行任意本地文件泄露,可能包括 SSH 密钥等敏感数据。利用方式包括 HTML/JavaScript 注入(通过 SARIF 查看器中数据的不安全渲染)、实时预览的本地 HTTP 服务器中的路径遍历,以及 DNS 重绑定和 `srcdoc` iframe 等技术来绕过内容安全策略 (CSP) 限制。
该研究强调了安全的 Webview 配置的重要性:严格的 CSP、有限的 `localResourceRoots` 以及对 `postMessage` 通信的谨慎处理。即使配置良好的 Webviews 也并非万无一失,后续博客文章将详细介绍一个允许沙盒逃逸的 VSCode 错误。作者为构建 VSCode 扩展程序的开发者提供了实用的建议,以防止类似的漏洞,强调纵深防御原则。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
逃避配置错误的 VSCode 扩展 (2023) (trailofbits.com)
4 分,作者 abelanger,54 分钟前 | 隐藏 | 过去 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
我们检测到您的浏览器已禁用 JavaScript。请启用 JavaScript 或切换到受支持的浏览器以继续使用 x.com。您可以在我们的帮助中心查看受支持的浏览器列表。帮助中心 服务条款 隐私政策 Cookie 政策 版权信息 广告信息 © 2026 X Corp.
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
利用人工智能揭示 Polymarket 的内幕和 Alpha (twitter.com/peterjliu)
8 分,由 somerandomness 发表于 1 小时前 | 隐藏 | 过去 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系方式
搜索:
OpenScan 为所有人提供价格实惠的开源3D扫描仪。我们的社区驱动项目结合了摄影测量和模块化硬件,以创建高质量的3D模型。从爱好者到专业人士,OpenScan 赋能全球用户在各个领域探索3D扫描。加入我们,让3D扫描变得普及,并推动数字保存和创作的边界。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
OpenScan (openscan.eu)
8 分,作者 joebig,41 分钟前 | 隐藏 | 过去 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
## AI 聊天机器人的基础设施瓶颈
尽管人工智能模型性能取得了快速进展,但支持聊天机器人的基础设施——特别是处理流式响应——却明显滞后。一个关键问题,正如简单刷新页面导致上下文丢失等令人沮丧的体验所表明的那样,源于依赖于无状态协议,如服务器发送事件 (SSE)。
目前,许多聊天机器人使用 SSE 来流式传输 token,但连接中断时(例如刷新页面)会丢失所有进度。虽然将每个 token 存储在数据库中可以*工作*,但这是一种笨拙的解决方法。
更好的方法是利用实时发布/订阅消息平台。这些平台天生就处理重新连接、多个设备和在线状态感知,从而提供无缝的体验。它们不是流式传输每个 token 的变化,而是允许进行高效的更新——持续连接的客户端实时接收 token,而重新连接的客户端则获得到流中当前点的完整更新。
核心问题不在于 SSE 与 WebSocket 的对比,而是需要与现代人工智能能力相匹配的基础设施。发布/订阅提供了一个更强大、更高效的解决方案,让开发者能够专注于人工智能体验,而不是与连接管理和数据持久性作斗争。最终,工具和基础设施需要不断发展,才能跟上人工智能模型本身的进步。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
聊天机器人的最大敌人是页面刷新 (zknill.io)
12 分,zknill 1小时前 | 隐藏 | 过去 | 收藏 | 2 评论 帮助
hglaser 5分钟前 | 下一个 [–]
是的。我们不得不做很多工作来解决我们产品中的这个问题:https://www.kitewing.ai/blog/stateless-agents-stateful-produ...
很奇怪的是,基础LLM公司的聊天页面本身并没有做到这一点。回复
rbbydotdev 3分钟前 | 上一个 | 下一个 [–]
t3.chat 很好地解决了这个问题。我相信他们使用了convex db。我认为后端服务器进程是真正的连接和聊天状态。前端与其同步并接收更新。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
包括波普鸡、Wingstop和肯德基在内的八家大型连锁餐厅已退出“更佳鸡肉承诺”(BCC),并加入了“可持续鸡肉论坛”(SCF)。这些公司认为,BCC专注于生长速度较慢的鸡种在环境上不可持续,会产生更多的温室气体排放。他们旨在通过SCF改善福利,同时最大限度地减少环境影响并满足需求。 然而,动物福利组织如Anima International和英国人道联盟谴责此举将利润置于动物福利之上,称SCF是“虚假福利”的公关噱头。他们认为,生长速度较慢的鸡肉供应不足是由于缺乏合同,而非实际短缺。 英国家禽委员会对此决定表示欢迎,理由是生产成本增加和规划延误。虽然外卖鸡肉店正在增长,但超市仍然是最大的家禽购买者,并继续支持BCC。
一篇由BBC文章引发的Hacker News讨论指出,肯德基、南非烤鸡等大型连锁鸡肉店正在放弃关于使用生长速度较慢鸡品种的福利承诺。
用户们对技术进步的同时,质量下降和成本上升的趋势表示担忧。一些评论强调了现代、生长迅速的鸡的健康影响——有些甚至比红肉更肥。
讨论范围扩大到批评GDP作为衡量幸福感的指标,指出美国医疗保健和基础设施等领域的成本被夸大。许多评论者对快餐连锁店表示不满,理由是价格高昂、食物不健康以及对环境的负面影响,包括牲畜养殖造成的抗生素耐药性。
一个关键问题是,如果采用生长速度较慢的品种,对消费者价格的实际影响,以及消费者是否能尝出差异。
## 维基百科禁止使用 Archive.today,引发争议
维基百科因分布式拒绝服务(DDoS)攻击以及 Archive.today 网站上网页存档被篡改的报告,禁止了该网站。此禁令源于对存档页面真实性的担忧,因为 Archive.today 似乎已被攻破,可能允许恶意篡改。
这一决定在社区内引发了争论。一些人支持维基百科的举动,认为被篡改的存档不可信。另一些人则批评此禁令,认为 Archive.today 是一项重要的资源,没有完全足够的替代方案,并质疑维基百科声称链接可以轻松地替换为互联网档案馆等替代方案。
进一步使情况复杂化的是,有报告称,在与 DDoS 攻击相关的私人谈判期间,自称代表 Archive.today 的人对一名维基百科编辑发出了威胁。一些评论员认为对该事件的报道存在偏见,并强调了潜在的利益冲突。这一情况引发了对在线存档、内容完整性以及在线互动伦理的质疑。
## AUR 安全事件与 PKGBUILD 审查 2025年7月,Arch Linux 团队移除了三个上传到 Arch 用户仓库 (AUR) 的恶意软件包。AUR 是一个社区驱动的构建脚本 (PKGBUILD) 集合,允许用户轻松安装官方仓库中没有的软件。虽然通常可靠,但 AUR 的开放性意味着任何人都可以上传脚本,从而产生潜在的安全风险。 PKGBUILDs 本质上是 bash 脚本,定义了如何构建和安装软件。关键元素包括元数据(软件包名称、版本、描述)以及用于准备、构建、检查和打包软件的函数。 审查 PKGBUILDs 对于安全性至关重要。用户应验证源代码的可信度,仔细检查构建步骤中是否存在意外命令(尤其是下载或 `sudo` 使用),并仔细检查任何安装脚本或 pacman 钩子,因为这些脚本以 root 权限运行。 如果 PKGBUILD 看起来可疑,用户可以在 #archlinux-aur IRC 频道或论坛寻求建议。AUR 依赖于社区的警惕性,虽然系统需要改进,但它仍然是一个宝贵的资源。该事件强调了在使用 AUR 时用户意识和主动安全实践的重要性。
黑客新闻 新的 | 过去的 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
如何审查一个 AUR 包 (bertptrs.nl)
9 分,由 exploraz 2小时前发布 | 隐藏 | 过去的 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
## 漏洞披露与潜水保险公司的回应
作为一名潜水教练和平台工程师,我在科科斯岛旅行期间发现了一家大型潜水保险公司会员门户网站的一个严重安全漏洞。该门户网站分配了连续的用户ID,并使用静态的默认密码——一种容易被利用来访问敏感个人数据的组合,包括未成年人的个人资料。
我于2025年4月负责任地披露了该漏洞,遵守了标准的30天禁运期,并联系了保险公司和马耳他的国家网络安全机构(CSIRT Malta),因为该公司总部设在那里。虽然保险公司解决了技术问题,但他们的反应却带有防御性,试图用法律威胁和限制性保密协议来压制我。他们甚至暗示*我*报告漏洞是在犯罪。
尽管漏洞已被修复,但没有确认受影响的用户已被通知——这可能违反了GDPR。这一事件凸显了一种令人担忧的模式:组织优先考虑声誉管理而非数据安全,并惩罚研究人员而不是促进合作。这种“寒蝉效应”会阻碍负责任的披露,并最终损害用户。这段经历强调了需要明确的漏洞披露政策、对研究人员的感谢,以及在数据泄露时对透明度和用户通知的承诺。
## 黑客新闻讨论摘要:安全问题与公司应对
一个黑客新闻帖子讨论了一位用户在其公司发现严重安全漏洞的经历。该用户发现向管理层报告问题导致了压制讨论和避免留下书面记录的尝试,而不是优先识别、通知和修复问题——这与安全最佳实践背道而驰。
许多评论者表示认同,分享了类似的经历,即公司认为承认缺陷是对个人的攻击,并且漏洞被掩盖以保护个人而非用户。一位评论员强调了在像谷歌这样的大公司工作所感受到的幻灭,发现它也存在与小型组织相同的人性弱点。
讨论还涉及了对独立报告机构处理安全问题的需求,保护研究人员免受报复,并确保用户通知。许多人认为应该公开该公司名称,特别是考虑到其位于欧盟以及可能违反 GDPR 的情况,以及缺乏对受影响用户的透明度。总体基调表明对公司安全优先级的广泛愤世嫉俗。