## AI驱动的硬件黑客:摘要 研究人员与OpenAI合作,调查了AI(特别是Codex)自主利用三星智能电视的潜力,起始于一个预先存在的基于浏览器的立足点。目标不是初始访问,而是权限提升——将浏览器代码执行转化为root权限。 Codex被提供电视的固件源代码、用于构建二进制文件的控制器主机以及一个shell监听器。它通过分析源代码和会话日志、发出命令以及基于结果进行迭代来运作——所有这些都没有明确的漏洞利用指令。 该AI识别并利用了内核驱动程序(/dev/ntksys)中的一个关键设计缺陷,允许用户空间访问物理内存。这使得Codex能够覆盖内核凭据,最终获得root权限。值得注意的是,Codex独立发现了该漏洞并编写了漏洞利用程序,甚至克服了诸如受限内存访问之类的障碍,并且仅需在设置和偶尔指导之外的最小人为干预。 这项实验展示了AI执行复杂硬件黑客任务的能力,突出了自动化漏洞研究和利用的潜力。完整的报告和概念验证代码可在GitHub上获取。
每日HackerNews RSS
一场 Hacker News 的讨论围绕着一起利用 OpenAI 的 Codex 攻击三星电视的事件。争论的核心在于*谁*应该获得功劳——Codex,还是引导和提示它的那个人。一些人认为 Codex 只是根据提供的固件源代码执行指令,就像锤子需要手来敲钉子一样。
另一些人指出三星电视已经存在漏洞多年,暗示即使是更早的模型,如 GPT-2,也可能通过浏览器访问实现类似的结果。 还有关于 Codex 性能差异很大的讨论; 一位用户分享了一个 Codex 难以处理 GDScript 代码的例子,表现出不寻常的措辞,并且可能对高推理设置感到困惑。 这段对话突出了人工智能能力与人类指导在网络安全漏洞利用中的复杂互动。
杰森·R·C·帕特森创作了大量关于计算机科学、Web技术和用户指南的作品,主要通过Lighterra出版。他的研究始于2001年备受好评的博士论文,主题为可执行优化(“VGO”),始终致力于解决计算领域的核心挑战。 帕特森的作品对编译器设计具有显著影响——他用于静态分支预测和寄存器分配的算法被广泛应用于生产编译器中。他还对处理器架构做出了重要贡献,他的《现代微处理器的90分钟指南》已成为学生和硅谷初创公司的必备读物。 除了核心计算机科学之外,帕特森还研究新兴的Web技术,提出了高DPI图像的解决方案(‘srcset’属性的前身),并详细介绍了优化的H.264视频编码设置,从而提高了Web视频质量。他还撰写了关于Mac OS X过渡和云计算的实用指南,以及关于开源软件和大学在商业研究中作用的思考文章。他的写作始终注重清晰、效率和实际应用。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
现代微处理器 – 90分钟指南 (lighterra.com)
6点 由 Flex247A 1小时前 | 隐藏 | 过去 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
## 宝可梦与进化:科学视角
Nate探讨了一个引人入胜的问题:达尔文进化论是否适用于宝可梦世界。宝可梦的进化表现为快速、触发式的转变——与现实世界进化所需的数百万年形成鲜明对比——但他深入研究了是否存在潜在的达尔文原则。
核心问题在于如何定义宝可梦宇宙中的“物种”。妙蛙种子、妙蛙草和妙蛙花是同一物种的成熟,还是三个不同的物种?双方都有证据:宝可梦在进化链中共享名称,但可以无限期地保持初始形态,并且繁殖有时会产生第一阶段的宝可梦。
尽管存在这些模糊之处,Nate认为达尔文进化论*确实*发生在宝可梦中。化石宝可梦展示了已灭绝的祖先,而宝可梦图鉴暗示妙蛙是所有宝可梦的共同祖先,这反映了进化起源。然而,宝可梦的属性和地区形态(如阿罗拉狐狸)带来了复杂性,挑战了简单的进化解释。
最终,虽然宝可梦的完整“生命之树”仍然是推测性的,但该系列作品提供了进化过程的有力证据,以及一些宝可梦的独特起源——创造物、外星生物,甚至是人造生物。将现实世界的科学应用于一个幻想世界,这真是一项有趣的练习!
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
宝可梦进化 vs 达尔文进化 (superheroetc.wordpress.com)
5 分,barbazoo 发表于 1 小时前 | 隐藏 | 过去 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
这个时钟以字母顺序显示当前时间。灵感来自Mastodon上的一个帖子。在三针模式下,小时、分钟和秒各自按其英文拼写独立排序,每个指针对应一个。在组合模式下,所有可能的时间(43,200个)都被拼写出来,按字母顺序排列,而单根指针指向当前时间。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
被诅咒的字母时钟 (boat.horse)
7 分,由 ohjeez 1小时前 | 隐藏 | 过去 | 收藏 | 1 条评论 帮助
gnabgib 47分钟前 [–]
作为 Show HN (40 分,15天前,27 条评论) https://news.ycombinator.com/item?id=47571401 回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
德国暂停批准45岁以下男性长期出国军事许可。
Germany suspends military approval for long stays abroad for men under 45
6 小时前
## 德国暂停对适龄男性旅行限制
德国已暂时暂停一项新近实施的规定,该规定要求45岁以下男性在长期出国居留前需获得军事部门的批准。这项规定源于1月1日生效的《军事服务现代化法》,旨在在俄罗斯入侵乌克兰以及重新引入某种形式的征兵制后加强国防。
最初,17岁及以上的男性预计需要为超过三个月的居留获得许可,但这项要求引发争议且并未得到积极执行。国防部长鲍里斯·皮斯托留斯现在宣布了一项豁免,表示公民目前可以自由旅行而无需许可,并且无需报告长期居留。
暂停措施在军事服务仍然自愿的情况下适用。潜在危机情况下的程序将在稍后制定。最初的规定旨在作为一种预防措施,同时伴随着建立“欧洲最强大的常规军队”的努力,以及向18岁年轻人发送关于服兵役意愿的强制性问卷。体检评估将在2027年开始。
## 德国军事政策与讨论 - 摘要
一份关于德国暂停批准45岁以下男性长期出国所需的军事许可的报告引发了Hacker News上的讨论。虽然最初被认为是新发展,但评论员指出该规则自冷战时期就已存在,且长期未被执行。争论的焦点转移到战争准备问题上,一位用户质疑为什么紧缩措施似乎不成比例地影响工人阶级,而富人却继续进行资源密集型活动。
进一步的讨论集中在德国政府法律起草和执行的质量上,强调了规则被忽视时可能出现的任意性。一个关键点是即将对18岁男性进行强制性体检,引发了一段令人担忧的关于这些体检的侵入性讨论——特别是是否需要生殖器检查(以及为什么男性和女性的检查方式不同)。一些用户分享了类似的体检经历,而另一些人则表示难以置信。
(Empty input provided. There is nothing to translate.)
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
FIXAPL (fixapl.netlify.app)
6 分,by tosh 1 小时前 | 隐藏 | 过去 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
RamAIn是一家获得Y Combinator支持的公司,由前印度德里理工学院和卡内基梅隆大学的研究人员创立,他们正在构建AI智能体来自动化重复的企业工作流程。他们的目标是用比人工员工快10倍且更可靠的AI来取代传统系统中、桌面应用程序和网页门户中的手动任务。 目前团队规模较小,RamAIn正在寻找一位多面手的首位商业招聘人员,负责领导上市策略、早期销售和公司运营。这个职位非常适合具有1-5年企业销售、初创公司运营或营销经验,并且愿意在模糊、快节奏的环境中蓬勃发展的人。 该职位涉及对销售渠道、营销执行和关键运营任务的全面掌控——基本上让创始人能够专注于产品开发。对AI和企业软件的浓厚兴趣至关重要。
黑客新闻新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交登录RamAIn (YC W26) 正在招聘 (ycombinator.com)
28分钟前 | 隐藏
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
IPv6 普及情况 我们持续衡量 Google 用户中 IPv6 连接的可用性。该图表显示通过 IPv6 访问 Google 的用户百分比。 各国 IPv6 普及情况 上图显示全球 IPv6 连接的可用性。IPv6 部署更广泛的地区(绿色越深,部署越广泛),用户连接到支持 IPv6 的网站时遇到的问题较少。IPv6 部署更广泛,但用户连接到支持 IPv6 的网站时仍然存在明显的可靠性或延迟问题的地区。IPv6 未被广泛部署且用户连接到支持 IPv6 的网站时存在明显的可靠性或延迟问题的地区。
## IPv6流量达50%——但普及停滞?
最新数据显示,IPv6流量已超过50%,这是下一代互联网协议的一个里程碑。然而,Hacker News上的讨论显示,尽管硬件支持广泛,但普及率正在停滞。
用户报告称,从ISP处获得的IPv6可用性不一致,承诺经常未能兑现。一个关键问题是缺乏需求——ISP声称,除非收到明确的客户请求,否则不会优先推出IPv6。一些人担心企业利益正在积极阻碍过渡,以维持对现有基础设施的控制并从中获利,这可能会延迟完全普及数十年。
虽然谷歌在IPv6支持方面处于领先地位,但亚马逊等公司则落后。许多人预测,随着IPv4地址日益稀缺以及IPv6专用网站的出现,IPv6的普及将会加速,迫使ISP采取行动。尽管取得了里程碑式的进展,但整体增长曲线似乎正在放缓,这引发了人们对IPv6在其一生中能否成为主导协议的怀疑。
## Akismet Python 客户端:20 年历程与重大重写 本文详细介绍了 `akismet` Python 库的长期维护和最近的完整重写,该库是 Akismet 反垃圾邮件过滤服务的客户端。该库最初由 Michael Foord 于 2005 年创建,方便与 Akismet 的 API 集成,用于过滤博客评论。在 Michael 于 2025 年去世后,作者于 2015 年接手维护工作,最初专注于 Python 2 和 3 的兼容性以及简化配置。 2026 年初完成的重大重写是由两个关键目标驱动的:支持来自 Akismet API 更精细的“明显垃圾邮件”分类(超越简单的真/假),以及添加使用 `async` 和 `await` 的异步 Python 支持。作者考虑过基于函数的 API,但最终选择了两个类——`SyncClient` 和 `AsyncClient`——以管理复杂性并保持可用性。 更新后的库利用 `httpx` 进行同步和异步 HTTP 请求,为代理配置提供灵活性,并通过模拟传输改进测试。该项目还采用了类型提示、日历版本控制以及 PDM 等现代打包工具。作者回顾了项目的历史,并向 Michael Foord 的原始贡献致敬,旨在确保库的持久稳定。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
重写一个20年前的Python库 (b-list.org)
4点 由 PaulHoule 1小时前 | 隐藏 | 过去 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
## Ollama 的兴衰:为何这款流行的本地 LLM 工具正在失去信任 Ollama 最初因其用户友好的方式而广受欢迎,它能让用户本地运行大型语言模型 (LLM),主要通过简化对强大的 `llama.cpp` 引擎的访问。然而,它的成功建立在一个模糊的起源和日益可疑的做法之上。 最初,Ollama 只是 `llama.cpp` 的一个简单封装器——这项核心技术使得本地 LLM 运行成为可能——Ollama 最初未能承认其基础依赖。在社区的压力下,添加了最少的致谢,随后是对 `llama.cpp` 的一个有问题的分支,该分支*降低*了性能并引入了错误。基准测试始终表明 `llama.cpp` 的性能优于 Ollama,具有显著的速度优势。 进一步削弱信任的是,Ollama 引入了专有的“Modelfile”系统,增加了不必要的复杂性,其注册表中的模型命名具有误导性,以及一个闭源桌面应用程序。最近,转向云托管模型引发了隐私问题。 在风险投资的推动下,Ollama 似乎正在优先考虑锁定和盈利,而不是最初承诺的真正本地优先体验。像 `llama.cpp`、LM Studio 和 Jan 这样的替代方案提供可比或更优的功能、透明度和社区支持,使得 Ollama 越来越不必要。核心创新仍然在于 `llama.cpp` 及其专门的社区,而不是 Ollama 的封装。
一个 Hacker News 的讨论围绕着用户是否应该停止使用 Ollama,这是一款在本地运行大型语言模型的工具。虽然它方便快捷地拉取和切换模型——对于像 Discord 机器人这样需要不同模型来完成不同任务的应用来说,这是一个关键优势——但一些用户正在寻找替代方案,因为 Ollama 存在局限性。
具体来说,担忧集中在 Ollama 不灵活的模型存储位置以及管理其“花园”之外模型的繁琐流程上。像 `usernomdeguerre` 和 `andreidbr` 这样的用户切换到 LM Studio,因为它更容易与 Hugging Face 集成,并且模型文件夹暴露出来。
`llama.cpp` 中路由支持的最新发展提供了另一种潜在的替代方案。尽管存在这些问题,许多用户仍然更喜欢 Ollama 的简单易用性 (`speedgoose`),并赞赏原始发帖人 (`Zetaphor`) 提供的详细时间线,其中概述了该工具的历史和问题。