每日HackerNews RSS

布朗大学的化学家提供了首个直接的光谱学证据,证明爱因斯坦的相对论从根本上改变了重元素中三键的形成方式,并挑战了标准的教科书定义。 通常,三键被归类为一个“σ(西格玛)”键和两个“π(派)”键。然而,在铋等重元素中,巨大的原子核会导致轨道电子以接近光速的显著比例运动。这触发了“自旋-轨道耦合”,即一种电子自旋与轨道产生关联的相对论效应。 研究人员利用光电子能谱技术分析了含有碳和铋的分子。他们发现,在这些重元素中,教科书中对于σ键和π键的严格区分已不复存在。相反,这些化学键会“融合”在一起,形成一种类似于一个π键和两个σ-π杂化键的结构。 这一发现不仅要求重写化学教科书,还为在无毒太阳能电池和量子计算等新兴技术中利用铋等重元素提供了关键见解。

布朗大学的最新研究证实,爱因斯坦的相对论在重元素的化学键行为中起着基础性作用。 随着原子核变得越来越重,其质量增加迫使轨道电子以接近光速的速度运动。在如此高的速度下,相对论效应开始显现,导致电子的自旋与其轨道运动相互关联,这种现象被称为“自旋-轨道耦合”。 这一发现为狄拉克方程提供了进一步的实验验证,该方程成功地将狭义相对论整合进了量子力学的框架内。通过展示相对论物理学如何影响分子键合,这项研究加深了我们对控制重元素基本力的理解。

苹果公司已对 OpenAI 提起诉讼,指控其窃取有关未发布技术和产品的商业机密。诉状中列出的关键人物包括苹果前高管唐·坦(Tang Tan)和常·刘(Chang Liu),以及 OpenAI 和乔尼·艾维(Jony Ive)创办并被 OpenAI 收购的初创公司 io Products。 据诉状称,唐·坦涉嫌利用其对苹果机密项目的了解来面试候选人,并指示他们在参加 OpenAI 的面试时携带专有的硬件和设计文件。苹果还声称,常·刘在离职后利用安全漏洞下载了敏感的工程文件,并教唆现任苹果员工如何窃取机密数据。此外,苹果指控 OpenAI 误导苹果供应商,以获取其专有的制造工艺。 苹果表示,曾于二月份就这些问题与 OpenAI 联系,但未得到回应。该诉讼已在加利福尼亚北区联邦地区法院提起,旨在寻求赔偿和禁令救济,以保护苹果的知识产权。鉴于目前有超过 400 名苹果前员工在 OpenAI 工作,苹果断言,随着 OpenAI 加大开发自有消费级硬件的力度,这些不当行为仅仅是“冰山一角”。

苹果公司已对 OpenAI 提起诉讼,指控其进行有组织的商业间谍活动和知识产权盗窃。诉讼称,包括唐·谭(Tang Tan)在内的多名前苹果高管在加入 OpenAI 后,策划了一场大规模的人才挖角计划,并教唆员工窃取商业机密。 据诉讼文件显示,OpenAI 被指控指示受聘人员绕过苹果的安全协议,窃取专有设计构件和原型,并共享有关离职安全措施的内部“保密”文件。其中一起案例显示,一名前员工在入职 OpenAI 后,仍利用苹果配发的笔记本电脑下载受限文件。此外,苹果公司主张,OpenAI 利用窃取的硬件知识误导供应商,从而获取了不正当的竞争优势。 《黑客新闻》(Hacker News)社区对 OpenAI 的涉嫌行为持强烈的批评态度,许多用户指出,这些举动已远远超出了正常的竞争或人才获取范畴。评论者认为,如果指控属实,此案将严重损害 OpenAI 的声誉,并可能阻碍其未来的融资或首次公开募股(IPO)前景。考虑到苹果公司雄厚的资源及其以强硬手段维护知识产权的一贯作风,许多观察人士预计这将是一场旷日持久的法律战。

独立开发者 Clem 发布了 **SubjectiveZero**,这是一个专为创意编程设计的开源代理节点编辑器。 该工具旨在平衡易用性与技术深度,允许用户根据需求调整抽象层级。用户既可以通过高阶自然语言提示与软件交互,也可以深入探索特定的节点图和底层代码。可以将其想象为“具备代理编排功能的 TouchDesigner”。 主要特性包括: * **代理编排:** AI 代理协助构建和优化节点结构,同时让开发者参与代码审查,保持人工把控。 * **原生输出:** 该工具生成原生的 Swift/Metal 代码,并支持热重载,以实现快速迭代。 * **透明度:** 该项目为开源项目,开发者强调了 AI 辅助编程中“人在回路”(human-in-the-loop)的理念。 目前 SubjectiveZero 处于 macOS 早期原型阶段,定位为面向创意专业人士和程序员的灵活 AI 增强环境。Clem 正在寻求社区反馈以指导未来开发。你可以访问 [sxp.studio/apps/subz](https://sxp.studio/apps/subz) 了解该项目。

3月24日,我们的 Postgres 数据库发生全面故障,系统 CPU 使用率飙升至 100%。尽管使用的是 AWS RDS,但我们因无法通过 shell 访问服务器而难以查明根本原因。数据库对重启指令无响应,直到我们通过安全组切断外部连接以消除负载后,系统才恢复稳定。 调查显示,事故是由整点时刻并发机器人活动激增引发的“锁队列(lock convoy)”问题。一次 I/O 爆发导致 GIN 索引扩展延迟,致使 1.5 万个进程争抢同一锁资源。由于系统配置了记录锁等待日志,每个后台进程都产生了海量 10KB 以上的日志条目,数据库将 CPU 周期耗费在反复唤醒数千个进程以执行冗余的死锁检查上,这演变成了一个典型的“惊群效应(thundering herd)”问题。 我们深刻认识到,在大规模环境下,即使是微小的同步操作也可能带来灾难性后果。此后,我们改进了对等待队列的监控,解耦了 GIN 索引以防止频繁更新,并实施了连接限流以安全应对流量高峰。此次事故凸显了在设计高并发、突发性工作负载时,精细化架构设计的关键必要性。

抱歉。

**摘要:GhostLock (CVE-2026-43499)** “GhostLock”是 VEGA 发现的一个严重 Linux 内核漏洞,存在于 2011 年(Linux 2.6.39)至 2026 年 4 月修复期间的所有主流发行版中。该漏洞允许非特权本地攻击者实现提权和容器逃逸。 **根本原因:** 该漏洞源于 `rtmutex` 锁子系统中 `remove_waiter()` 函数的逻辑错误。该函数最初设计用于线程自行清理,但在“代理”场景中被错误使用,导致其错误地清除了错误任务的 `pi_blocked_on` 指针。这会在内核栈上留下悬空指针,从而引发释放后重用(UAF)状况。 **利用方式:** 通过触发特定的三路 futex 死锁循环,攻击者可以创建悬空指针,利用 `PR_SET_MM_MAP` 回收已释放的栈内存,并伪造一个虚假的 `rt_mutex_waiter` 对象。这提供了一个受限的写入原语,允许攻击者劫持内核函数表(例如 `inet6_protos`)。通过将控制流转向 CPU 进入区域(CEA),研究人员通过修改内核 sysctl 设置,实现了成功率高达 97% 的稳定提权。 所有运行内核版本低于 7.1 的 Linux 发行版应立即更新至最新的长期支持(LTS)版本。

```Hacker News最新 | 往期 | 评论 | 提问 | 展示 | 招聘 | 提交登录GhostLock,一个存在于所有 Linux 发行版中长达 15 年的栈 UAF 漏洞 (nebusec.ai)6 分,由 djfergus 发布于 1 小时前 | 隐藏 | 往期 | 收藏 | 2 条评论 帮助 mixmastamyk 8 分钟前 | 下一条 [–] 什么玩意?回复ranger_danger 20 分钟前 | 上一条 [–] 重复内容:https://news.ycombinator.com/item?id=48834309回复 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系 搜索: ```

MiMo-V2.5 模型系列通过结合**混合滑动窗口注意力机制 (Hybrid SWA)** 和 **稀疏混合专家模型 (Sparse MoE)**,在长上下文和多模态任务中实现了显著的效率提升。尽管 Hybrid SWA 在理论上可将 KVCache 和计算成本降低至传统全注意力机制的约 1/7,但要将这些收益转化为生产力,需要大量的工程实践。 核心技术优化包括: * **KVCache 管理:** 采用双池系统将全注意力机制和 SWA 存储分开,以维持严格的 $O(W)$ 约束,并搭配“窗口安全”的前缀缓存树,确保在 SWA 滑动特性下缓存复用依然准确。 * **GCache 基础设施:** 一种分布式、协同部署的 L3 缓存系统,提供具备零拷贝通信的高性能多级存储,显著提高了缓存命中率。 * **调度与吞吐量:** 通过负载亲和性调度和长度分桶策略,有效缓解了负载不均和同步瓶颈,从而提升了预填充和解码效率。 * **多模态与解码增强:** 通过 GPU 加速图像预处理、并行视频解码以及 MTP(多 Token 预测)优化等瓶颈解决方案,使编码器吞吐量翻倍,并加速了早期阶段的解码。 这些系统性的工程优化使得 MiMo-V2.5 系列能够充分发挥其架构潜力,为长序列智能体和多模态工作流提供高性能、高性价比的推理支持。

这篇 Hacker News 帖子讨论了小米最近发布的一篇文章,详细介绍了其“MiMo v2.5”模型的推理优化,重点在于最大限度地提高混合滑动窗口注意力机制(Hybrid SWA)的效率。 评论者称赞了该文章的技术深度,认为它与当前 AI 领域流传的常见低质量内容形成了鲜明对比,令人耳目一新。讨论强调了来自小米和深度求索(DeepSeek)等中国 AI 实验室令人印象深刻的工程实力。 一位用户指出,这些公司如此公开其专有优化技术显得有些违背常理,并质疑这种透明度是否服务于某种长期的战略“终局”,或者将这些进步保密以保护 API 流量是否在经济上更为可行。尽管对他们的动机存在质疑,但用户对 MiMo 模型表现的总体评价非常积极,并期待看到未来的迭代版本。

请启用 JavaScript 并关闭广告拦截器

苹果公司已对 OpenAI 提起诉讼,指控前苹果高管(现受雇于 OpenAI)窃取商业机密。指控的核心人物是 OpenAI 首席硬件官唐·坦(Tang Tan),苹果声称他不正当地获取了该公司针对离职员工的安全协议内部文件。诉讼称,这些信息被分享给了新员工,以帮助他们在离开公司时绕过苹果的安全措施。 此外,苹果还指控前员工刘昌(Chang Liu,音译)教唆一名苹果在职员工访问并下载有关未发布产品的机密技术文档。 此消息在 Hacker News 上引发了广泛讨论。一些用户认为这是硅谷竞争环境下必然升级的冲突,而另一些人则在争论企业间谍活动与人才招聘之间的道德界限。持怀疑态度的用户认为这是一起明确的知识产权盗窃案,也有评论者对涉事的科技巨头表示了不屑。讨论还延伸至对数据隐私的广泛批评,以及围绕行业巨头招聘惯例的历史性矛盾。

arXivLabs 是一个允许合作者直接在我们的网站上开发并分享 arXiv 新功能的框架。与 arXivLabs 合作的个人和组织都认同并接受我们关于开放、社区、卓越和用户数据隐私的价值观。arXiv 致力于坚守这些价值观,并仅与遵守这些价值观的合作伙伴开展合作。您是否有能为 arXiv 社区增加价值的项目构想?欢迎了解更多关于 arXivLabs 的信息。

```Hacker News 最新 | 过往 | 评论 | 提问 | 展示 | 招聘 | 提交 登录 Prismata:在网络代理中限制跨站提示词注入 (arxiv.org) 5 积分,由 zhinit 发布于 58 分钟前 | 隐藏 | 过往 | 收藏 | 讨论 | 帮助 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 加入 YC | 联系 搜索:```

请启用 JavaScript 并关闭任何广告拦截器。

美国一名行政法官裁定,Atlassian 公司非法解雇了软件工程师 Denise Unterwurzacher,原因在于她抗议公司的裁员和政策变动。法院认定,Unterwurzacher 的行为受到联邦劳动法的保护,因为她是在采取集体行动以支持同事。 因此,法官责令 Atlassian 恢复其职位并提供全额经济赔偿。这对科技行业从业者而言,是一次罕见且意义重大的法律胜利。尽管这一裁决是科技行业劳动权利的一个里程碑,但 Atlassian 已宣布计划对此裁决提起上诉。Hacker News 上的评论者指出,在此类纠纷后,公司内部可能会出现敌对的工作环境,并质疑尽管裁决结果有利,但重返公司是否真的可行。

Sturdy Statistics 认为,将数据库作为 API 身份的唯一仲裁者会带来严重漏洞:一旦攻击者获得 SQL 注入权限,他们就可以篡改记录,从而实现对系统的完全租户接管。 为了防止这种情况,该公司采用了“深度防御”策略,将身份验证与数据库存储解耦。他们没有仅仅存储简单的哈希值,而是使用后端加密盐(pepper)来计算 HMAC-SHA512 签名。该签名在加密层面上将 API 密钥与其特定的组织 ID 和生命周期版本绑定。由于加密盐仅存在于安全的后端内存中,仅凭数据库泄露不足以伪造或修改密钥。 该系统通过以下方式进一步加强了安全性: * **单向棘轮机制:** 数据库触发器可防止版本回滚,从而挫败“僵尸密钥”攻击。 * **冗余验证:** 在路由、身份验证、应用程序逻辑和模式约束这四个层级上强制实施租户隔离。 * **平滑轮换:** 双重哈希策略允许在不引入新漏洞的情况下,进行安全且零停机的密钥轮换。 通过将信任锚点从数据库转移到应用层,Sturdy Statistics 确保了单一故障点不会导致灾难性的安全漏洞。

这篇 Hacker News 讨论聚焦于一篇主张“不应完全信任数据库进行身份验证”的文章。作者建议对身份验证数据进行签名,以便在数据库遭到入侵时,应用程序能够检测到篡改并阻止未经授权的访问。 评论者对此方法反应不一: * **实现方面的顾虑:** 有用户认为,投入精力去实现这样一套系统,不如将其用于改进数据库抽象层或进行安全审计。 * **替代策略:** 有读者建议采用更直接的防御措施,即在哈希处理前先将用户名与字符串进行加盐(salting)。 * **操作安全性:** 另有用户称赞了作者对客户端密钥轮换的关注,并指出能够实现零停机密钥轮换的系统非常罕见且极具价值。 总的来说,尽管社区认可其对稳健安全架构的重视,但对于作者提出的具体方法是否是抵御数据库级威胁最高效或最实用的方式,各方仍存在争议。

更多

联系我们 contact @ memedata.com