第39届混沌通信大会(39C3)汇集了诸多富有洞察力的演讲,其中一些重点介绍了关键的安全漏洞。一个尤其令人担忧的报告揭示了如何利用相对廉价的设备轻易截获来自卫星的未加密数据,包括财务细节。
另一场演讲揭示了“零点击”漏洞的原理,演示了黑客如何在无需用户交互的情况下攻陷设备,并以WhatsApp和iMessage为例进行了说明。进一步加剧安全担忧的是,研究表明Spectre等CPU漏洞仍然是一个重大威胁,甚至允许数据泄露于共享云服务器上的虚拟机之间——强调了专用服务器的优势。
除了网络安全,对无人机战争的历史回顾也揭示了它们令人惊讶的长期使用历史,可以追溯到一战时期的侦察用途,并演变为现代作战应用。总而言之,39C3展示了攻击者的聪明才智以及日常技术中普遍存在的漏洞。
每日HackerNews RSS
黑客新闻 新的 | 过去的 | 评论 | 提问 | 展示 | 工作 | 提交 登录
我最喜欢的39C3演讲 (asindu.xyz)
8 分,由 max_ 1小时前 | 隐藏 | 过去的 | 收藏 | 2 条评论 帮助
KerrickStaley 7分钟前 | 下一个 [–]
顺便说一句,C3除了演讲之外还有很多事情发生!艺术、电子小玩意和各种演示、人们实时黑客项目、即兴见面会,还有动感的 техно 音乐 :) 如果有机会,我鼓励人们亲自参加;仅仅在线观看演讲只是体验的一小部分。回复
jmclnx 5分钟前 | 上一个 [–]
> CPU是永久的漏洞
这个看起来很有趣,需要去看看!回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
## CNN 旅行本周:发现与修复之旅 本周,CNN 旅行聚焦令人惊叹的旅程和非凡之地。探索斯里兰卡被重新发现的宏伟建筑 **杰塔瓦纳拉玛亚**,以及土耳其保存完好的罗马城市 **以弗所**——其规模是迪士尼乐园的十倍。在巴塞罗那,**圣家堂**在建造144年后即将完工。 除了地标之外,本期通讯还介绍了鼓舞人心的个人故事。一位男子重走了他父亲在 20 世纪 80 年代的环球自行车旅行路线,而另一些人则找到了意想不到的家——一位修复了一艘失事的游艇,另一位在意大利蒙眼购买了一处房产。 本期综述还关注了当前的旅行问题,包括日本滑雪事故的增加以及一张病毒式照片导致澳大利亚一处美景关闭。此外,还有一段跨大西洋爱情故事的温馨故事,源于一次偶然的相遇。
黑客新闻 新的 | 过去的 | 评论 | 提问 | 展示 | 工作 | 提交 登录
1700年历史的巨型建筑,几乎被遗忘 (cnn.com)
12 分,由 simonebrunozzi 发表于 2小时前 | 隐藏 | 过去的 | 收藏 | 1 条评论 帮助
jihadjihad 38分钟前 [–]
TFA 是一个指向此处更长文章的摘要:https://archive.ph/1Mg8f 回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
客户端挑战:您的浏览器已禁用 JavaScript。请启用 JavaScript 以继续。网站的必要部分无法加载。这可能是由于浏览器扩展、网络问题或浏览器设置造成的。请检查您的连接,禁用任何广告拦截器,或尝试使用不同的浏览器。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
太空竞赛被遗忘的主题公园 (jstor.org)
6 分,by anarbadalov 1 小时前 | 隐藏 | 过去 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
一场关于价值连城的刚果矿产数据的争端正在比利时特尔弗伦的非洲博物馆酝酿。去年,刚果政府与得到杰夫·贝佐斯和比尔·盖茨支持的科博尔德金属公司达成协议,以数字化博物馆中详细记录该国丰富的钴、铜和钽矿藏的档案,旨在利用人工智能确定新的矿区。 然而,博物馆拒绝直接将档案移交给科博尔德金属公司,而是倾向于一个由欧盟支持的、与刚果地质部门合作的科学数字化流程。他们认为这些档案是公共财产,而非私人公司资产。 据报道,特朗普政府曾向博物馆施压,要求其向科博尔德金属公司提供访问权限,试图利用刚果的矿产财富。虽然美国大使馆与比利时官员进行了接触,但比利时目前支持博物馆的立场,强调与刚果正在进行的数字化工作,并反对私人实体获得独家访问权。这些档案本身包含比利时在刚果及周边国家矿业运营的历史数据,并且在获得刚果政府许可的情况下,已经可以供研究人员访问。
“数据有重量”的观念引发了对数据存储物理学的深入研究。 硬盘驱动器通过重新排列现有原子来存储数据——质量变化可以忽略不计——而固态硬盘(SSD)在填满时*确实*会从技术上讲增加重量。 这是因为SSD通过向存储单元添加电子来存储数据。
电子有质量(每个9.11 × 10^-31千克),一个1TB的SSD,在完全写入时,理论上由于添加的电子会增加约2.43皮克(2430飞克)。 这是基于存储单元的数量、每个存储单元的电子数量以及单个电子的质量计算得出的。
然而,这种重量增加非常小——小到目前的技术无法测量。 灰尘或温度波动的影响会更大。 虽然HDD无论数据多少都保持恒定的重量,但SSD会经历微小的理论质量增加。 这是一个有趣的思维实验,突出了信息与物理基本定律之间的联系,但最终,这并不是一个实际问题。
一个黑客新闻的讨论挑战了一篇文章的核心观点,该文章认为数据在固态硬盘(SSD)上具有重量。主要论点是,虽然在SSD上存储数据涉及移动电子,但芯片内的*总*电子数量保持不变。向电容器板添加电子需要从另一个板上移除它们,以维持净零电荷——防止灾难性放电。
评论者认为,与硬盘驱动器(HDD)相比,数据相关的质量变化并没有根本区别,源于内部能量转移,而不是增加物质。一位用户甚至指出原文感觉“像LLM填充的”,暗示它可能被人工延长。进一步的讨论质疑数据清除方法(如`dd(1)`)或TRIM命令是否会因改变电子分布而影响可测量的重量差异。
## 纽约法案旨在追究聊天机器人责任
一项纽约法案(S7263)即将提交参议院审议,旨在追究聊天机器人运营者因在14个持证职业(包括医学、法律和工程)中提供的不准确或有害“实质性”建议而承担法律责任,以及未经授权的法律执业。如果通过,面向消费者的聊天机器人部署者将面临民事诉讼和潜在损害赔偿,即使有免责声明。
该法案对“所有者”的定义非常广泛,不仅包括OpenAI等大型人工智能公司,还包括医院、非营利组织,甚至利用人工智能API的小团队。 担忧集中在未定义的术语“实质性”上,这可能会抑制有帮助的聊天机器人回复——例如总结法律通知或解释医学术语——以避免法律风险。
批评者认为,该法案于2026年初起草,未能反映人工智能安全方面的最新进展,并可能不成比例地损害那些依赖经济实惠、易于获取的信息的人。 它还引发了关于言论自由和潜在事先审查的第一修正案问题。 法案生效后90天的时间窗口将迫使聊天机器人功能快速变化,预计会出现法律挑战。 该法案可能会显著重塑纽约人工智能信息获取的格局。
## 纽约考虑限制聊天机器人提供建议
纽约正在考虑一项法案,该法案可能禁止聊天机器人提供医疗、法律或工程建议。争论的中心在于潜在的不准确或有害信息,以及人工智能提供错误指导时缺乏问责制。
支持者认为这可以保护消费者,而反对者则认为这会阻碍信息获取,特别是对于那些无力支付专业服务的人。人们担心现行法律已经解决了未经授权的执业和欺骗行为,而该法案可能会扼杀创新和有用的消费者指导。
一个关键的争议点是,聊天机器人是否应该被要求达到与持照专业人士相同的标准,还是应该被视为像搜索引擎一样的信息工具。一些人认为问题不在于提供的信息,而在于聊天机器人可能产生的专业知识印象。另一些人强调人工智能可以 democratize 知识获取的潜力,为缺乏资源的人提供“总比没有好”的替代方案。该法案还面临批评,因为它可能为虚假诉讼打开大门。
谁编写了这些漏洞?深入研究125,000个内核漏洞
Who Writes the Bugs? A Deeper Look at 125,000 Kernel Vulnerabilities
3 小时前
## 内核漏洞分析:人为因素 – 摘要 本分析基于第一部分关于12.5万个内核漏洞的研究,调查*谁*引入漏洞,*何时*引入,以及如何改进流程。虽然漏洞的平均寿命为2.1年(竞争条件持续时间超过两倍),但关注人为因素揭示了关键见解。 值得注意的是,117位“超级审查者”发现漏洞的速度几乎是其他人的两倍。作者自行修复漏洞的速度是他人修复的三倍,突显了代码所有权的重要性。令人惊讶的是,周末提交的代码*更少*包含漏洞(-8%),但由于审查覆盖减少,修复时间长45%。 英特尔贡献了最多的漏洞,与他们的代码量成比例(提交代码的8.4%,约占漏洞的11%)。分析还表明,优先处理低关注子系统(如drivers/can)至关重要,因为那里的漏洞持续时间最长。 流程改进 – 将提交路由给超级审查者,提高提交消息质量,利用子系统特定模型,以及根据时间调整CI/CD – 可能会将平均漏洞寿命缩短35%。该研究强调,虽然VulnBERT等自动化工具很有价值,但利用人类专业知识和培养代码所有权对于内核安全至关重要。
一个 Hacker News 的讨论围绕着一篇分析 125,000 个 Linux 内核漏洞的博文(pebblebed.com)。虽然该文章试图识别漏洞引入的模式,但评论者对数据的统计有效性和潜在的误读表示怀疑。
多位用户警告不要得出明确的结论,强调影响漏洞率的因素的复杂性——不同的代码子系统、贡献者的经验以及测试环境。一位评论员特别指出,原始分析的语气类似于 LLM。
讨论出现转机,有人建议“解雇”引入最多漏洞的开发者,包括 Linus Torvalds,以提高内核的可靠性。这一提议受到了讽刺,说明了在不考虑更广泛的背景下,过度简化、数据驱动的决策的危险性。最终,该讨论强调了在使用指标评估软件质量时,细致解读的必要性。
## 优化C代码以适应CPU能力 当软件性能严重依赖于CPU特性时,在最大化速度的同时实现可移植性是一个挑战。关键在于利用编译器优化,而不是依赖于保证的ISA可用性。 像GCC和Clang这样的编译器可以针对特定的CPU架构(例如`-march=znver3`),自动利用可用的指令集来提高性能。Intel定义了微架构级别(v1-v4)来分类CPU能力,为优化提供了一个基线。您可以为最低公共分母(现在可能是v3/v4)构建,或者为较新/旧的处理器创建单独的构建。 为了更精细的控制,**间接函数 (IFUNCs)** 允许动态链接器在运行时选择最佳函数版本。现代编译器(带有C23的GCC/Clang)甚至可以使用诸如`[[gnu::target_clones("avx2,default")]]`之类的属性来自动执行此过程,自动创建AVX2和默认版本。 当自动矢量化失败或需要特定的内在函数时,需要手动优化。这涉及创建可移植的和优化的(例如,AVX2)版本,并使用`#ifdef __AVX2__`或编译器pragma (`#pragma GCC target("avx2")`)有条件地编译。运行时CPU检测 (`__builtin_cpu_supports("avx")`) 然后调度到适当的函数。 虽然功能强大,但这些技术也有局限性——MUSL libc缺乏IFUNC支持,并且由于编译器限制,Windows支持具有挑战性。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
更快的C软件,使用动态特性检测 (gist.github.com)
10 分,by todsacerdoti 57分钟前 | 隐藏 | 过去 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
(Empty input provided. There is nothing to translate.)
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
FLock Cams (deflock.org) 的交互式地图
48 分,由 anjel 40 分钟前发布 | 隐藏 | 过去 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
## 抽象与系统可靠性:关于 Oberon 项目的思考 本摘要反映了 Oberon 项目文档的第一部分,重点关注抽象在软件可靠性和正确性中的作用。作者认为,虽然抽象对于管理系统*内部*的复杂性很有用,但它们最终*会阻止*保证*系统层面*的可靠性。抽象隐藏了实现细节,关键属性(如性能)常常在这种简化中丢失。真正的系统层面理解需要直接检查底层组件, “穿透抽象的面纱”。 该文档提出了一种独特的系统演进方法:与其用新功能扩展现有抽象(导致“稀疏”或弱化的抽象),不如创建新的抽象。这允许系统有机增长,支持新功能而不会损害现有接口。虽然这可能会增加需要管理的抽象数量,但作者认为可以通过非破坏性更改和改进的工具来缓解。 最后,作者指出 Oberon 中的一种约定——复数模块名表示抽象数据类型——引发了对在编程语言中用含义重载名称的做法的思考,这可能源于使用纯文本编写代码的限制。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
关于 Oberon 项目的笔记 (sidhion.com)
3小时前 surprisetalk 发表于,9点赞 | 隐藏 | 过去 | 收藏 | 3条评论 帮助
Aldipower 8分钟前 [–]
Atari ST 上的 Oxyd 游戏完全用 Oberon 编写。一款令人上瘾的游戏。https://www.youtube.com/watch?v=tm6ZgMKBL38 回复
ofrzeta 3分钟前 | 父评论 [–]
我以为是用 Modula-2 编写的。Megamax 编译器很受欢迎。Oxyd 很棒,但出于某种原因,我更喜欢单色显示。回复
Aldipower 1分钟前 | 根评论 | 父评论 [–]
哦,“你绝对说对了”。它是用 Modula-2 编写的。我弄混了。但无论如何,都是相关的语言。:-) 回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索: