启用 JavaScript 和 Cookie 以继续。
每日HackerNews RSS
## 纳什维尔图书馆推出记忆实验室 – 摘要
纳什维尔公共图书馆最近推出了一家“记忆实验室”,旨在帮助居民将旧家庭电影、照片和其他媒体数字化。这在Hacker News上引发了一场关于个人档案服务挑战和潜在商业模式的讨论。
许多用户表示希望帮助人们保存家族历史——从VHS磁带和MiniDV录像带到老化的数字文件——但难以找到可持续的资金来源。想法包括非营利模式、捐赠活动,以及用于存储和自动备份的SaaS订阅服务。人们对数据长期保存的“永久性问题”以及自助数字化对技术水平较低的人来说的可访问性表示担忧。
一些评论员强调了现有的“记忆实验室”网络和当地图书馆的倡议。其他人分享了DIY解决方案,例如使用特定硬件(Canopus ADVC-110、VHS转换器)和软件(FFmpeg)进行数字化,并强调了为长期保存进行多次备份(HDD、LTO)的重要性。 讨论还涉及了记忆保存的社会方面,包括研讨会和社区数字化活动,以帮助人们分享和理解他们的家族历史。
## Telnyx Python SDK 供应链攻击 - 2026年3月27日 2026年3月27日,恶意版本(4.87.1 & 4.87.2)的Telnyx Python SDK被短暂发布到PyPI,作为更广泛的供应链攻击的一部分,该攻击也影响了Trivy、Checkmarx和LiteLLM。这些受损版本包含恶意代码,具体利用了83.142.209.203:8080的C2服务器,并采用WAV隐写术进行有效载荷传递。 恶意软件包在~7小时内从PyPI上移除。**如果您在3月27日03:51-10:13 UTC之间安装或升级了`telnyx`软件包,或者没有固定版本,您可能受到影响。** **受影响的用户应立即降级到版本4.87.0或更早版本(`pip install telnyx==4.87.0`),并轮换所有密钥**(API密钥、数据库凭据等),这些密钥可以从受影响的环境中访问。 重要的是,Telnyx平台和API**没有**受到损害;此事件仅限于Python SDK的发布。 随着调查的进行,将发布进一步的入侵指标。 如需帮助,请联系[email protected]。
对不起。
## OpenBSD 与 AI 生成代码:版权争论
LWN.net 上的一篇文章详细介绍了 OpenBSD 项目对接受使用 AI 辅助创建的文件系统驱动程序(“vibe-coded”)的犹豫,引发了关于版权和许可的争论。 核心问题不在于代码质量,而在于是否可以在不损害 OpenBSD 许可的情况下合法地集成它。
主要担忧在于 AI 生成作品缺乏明确的版权所有权。 由于当前的版权法要求人类作者,因此该代码不受保护,但 OpenBSD 担心这并不等同于公共领域地位。 他们担心该代码可能源自受版权保护的材料(例如原始 EXT4),从而可能引入许可冲突。
评论员们争论 AI 是作为工具(如编译器)还是更具问题性的“复制”机制。 有人认为提示词*是*作者身份,而另一些人则指出 AI 训练数据中可能无意中包含受版权保护的代码。 还有人认为,关注版权会分散对评估代码实际质量和可维护性的注意力。 最终,这种情况凸显了 AI 生成内容周围的法律灰色地带及其对开源项目的影响。
## TeamPCP 供应链攻击持续:Telnyx 被攻破 威胁行为者 TeamPCP 持续进行的供应链攻击活动仍在继续。继 Trivy、Checkmarx 和 LiteLLM 受到影响后,PyPI 上的官方 Telnyx Python SDK 最近被恶意版本(4.87.1 和 4.87.2)攻击,这些版本于 3 月 27 日上传。 TeamPCP 的策略涉及窃取受信任的安全工具的凭据,并利用这些凭据将恶意代码注入到这些工具访问的软件包中。这使他们能够在多个生态系统中传播,收集受损环境中的敏感数据。 Telnyx 的恶意载荷将可执行代码隐藏在看似无害的 `.wav` 音频文件中——这种技术最初是在一个 Kubernetes 擦除器中观察到的。在 Windows 上,它会安装一个持久化的 dropper;在 Linux/Mac 上,它会通过 Python 脚本泄露数据,并在发送到攻击者的命令和控制服务器(83.142.209.203:8080)之前对其进行加密。 **建议立即采取的措施:** 移除 Telnyx 版本 >=4.87.1 并固定到 4.87.0。如果已受损,请轮换所有凭据并检查 Windows 启动文件夹中是否存在 `msbuild.exe`。 这是一个持续的情况,预计会有进一步的更新。
对不起。
## DOOM 通过 DNS:安全概念验证
Adam Rice 演示了一种令人惊讶的能力:完全通过 DNS 记录运行经典游戏 DOOM。他利用 DNS TXT 记录宽松的安全机制——这些记录设计用于基于文本的数据,如电子邮件身份验证——有效地将 DNS 变成了一个分布式文件系统。
该过程涉及对 DOOM 的文件进行 Base64 编码,将其分割成块,并将这些块存储在 DNS 区域内的约 2,000 个 TXT 记录中。一个修改后的 DOOM C# 移植版“managed-doom”至关重要,它允许游戏直接从内存加载,而无需访问磁盘。一个 250 行的 PowerShell 脚本查询这些记录,重新组装数据并启动游戏。
虽然这是一个有趣的实验,但“DOOM 通过 DNS” 强调了一个严重的安全性问题。DNS 基础设施可能被滥用于恶意软件分阶段部署、秘密载荷传递和逃避检测,因为这种技术很难在取证方面被标记出来。该项目强调了由于缺乏对存储数据的验证,一个几十年历史的看似良性协议如何能够被重新用于恶意目的。完整的项目可在 GitHub 上获取。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 工作 | 提交 登录
能否解决《DOOM》?游戏引擎在 2k DNS 记录中 (core-jmp.org)
49 分,由 Einenlum 1 天前发布 | 隐藏 | 过去 | 收藏 | 2 条评论
相关内容:DNS 版《DOOM》 - https://news.ycombinator.com/item?id=47490705 (88 条评论) 帮助
quuxplusone 1 天前 | 下一个 [–]
这令人困惑。这只是将 AI 摘要粘贴在链接的原始文章 https://blog.rice.is/post/doom-over-dns/ 之上吗? 并且是昨天发布的 Github 仓库 https://github.com/resumex/doom-over-dns 的重述/解释——还是新的东西?回复
mrbluecoat 1 天前 | 上一个 | 下一个 [–]
昨天 (88 条评论):https://news.ycombinator.com/item?id=47490705 回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
## 管理人工智能的速度:工作流程瓶颈
人工智能如Claude的日益强大带来了一个新的挑战:*人类*工作流程。虽然Claude可以在几分钟内给出结果,但人们常常浪费时间等待,从而大大限制了生产力。仅仅优化提示是不够的——真正的瓶颈在于管理多个并行的人工智能会话。
关键在于**将状态外部化**。不要依赖记忆,而是在每次人工智能输出后立即仔细记录指令、审查笔记和后续问题。这将创建一个持久的记录,允许在会话之间无缝切换,而不会丢失上下文。
早期的人工解决方案尝试(例如使用带有自定义键绑定的文本编辑器)被证明过于繁琐。笔记记录和跟踪会话状态的摩擦导致信息丢失。解决方案,以工具“jc”为例,是一个专门的应用程序,可以简化此过程:将笔记集中在TODO文件中,提供清晰的通知,并优先处理任务。
最终,提高人工智能吞吐量并非关于更快的人工智能,而是关于使*人类*能够跟上速度——从*等待*人工智能到主动管理它。
## 黑客新闻讨论总结:“不要等待 Claude”
一篇最近的黑客新闻帖子引发了关于工作流程的争论,该流程建议持续并行使用像 Claude 这样的 LLM,而不是等待任务完成。作者提倡启动多个任务(2-3 个并发任务的 3-4 个项目),并在 Claude 处理时切换它们,目标是实现 5-7 分钟的循环时间。
然而,许多评论者表示怀疑。担忧集中在持续上下文切换的认知成本、对健康的潜在危害以及缺乏可证明的生产力提升上。几位用户强调了彻底审查的重要性,认为没有仔细监督的快速迭代适得其反。另一些人指出,LLM 可能会陷入循环或产生需要大量人工干预的错误结果。
一个关键的争论点是,所提出的工作流程是否真正高效,还是仅仅是一种*看起来*很忙的方式。许多人强调需要更小、更易于管理的任务和健全的验证方法。一些人还质疑作者不接受人工编写的代码贡献的说法,将其解读为过度依赖人工智能的迹象。
最终,讨论揭示了各种各样的经验和观点,许多人一致认为,这种方法的可行性取决于推理速度的提高和有效的审查流程。
## Netflix涨价与用户反应
Netflix正在全线提高订阅价格,最高涨幅达12.5%。这在Hacker News上引发了讨论,许多用户质疑其价值。一些评论者已经取消了订阅,理由是Linux支持差(分辨率问题、自动降级)以及内容质量下降。
一个反复出现的主题是对流媒体格局碎片化的不满,导致一些人重返DVD或利用当地图书馆。另一些人则越来越多地转向盗版,理由是易用性、更好的质量(码率/分辨率)以及避免平台限制和内容限制。
尽管有抱怨,许多人承认Netflix的韧性,认为它是一种相对“抗衰退”的娱乐选择。然而,一些人预测客户的不满情绪最终会积累,而另一些人则认为该公司正接近饱和点。这场讨论凸显了人们对流媒体服务的定价、内容策略和用户体验日益增长的不满。
Sup AI 准确率达到 52.15%,比集成模型中的每个模型高出 7 个百分点以上(p<0.001)。如果您需要准确的答案、更少的幻觉或研究级的工作,Sup AI 是您的唯一选择。声明:这些结果来自 Sup AI 独立评估(2025 年 12 月),未获得 AI 安全中心或 Scale AI 的官方认可。准确率分数是根据“人类的最后考试”中的 1,369 个随机问题计算得出。所有模型,包括竞争对手,均使用增强设置(自定义指令和网络搜索)进行评估,以最大限度地提高性能。比较反映了测试时可用的模型版本,包括可能会发生变化的“预览”版本。
对不起。
对埃尔帕索的一个本地问题——数据中心在缺乏充分社区参与的情况下被批准——感到沮丧的一位软件工程师决定利用他的技能来解决公民参与中的一个关键问题:获取信息。他观察到,尽管得到强大的社区支持,基层组织却始终因缺乏关于立法变更和政府会议的及时信息而处于劣势,而资金充足的团体则使用昂贵的跟踪平台。 这促成了FireStriker的创建,这是一个*免费*的公民参与平台,提供传统上为那些拥有大预算的人保留的工具。它将会员管理、活动策划和筹款与立法跟踪、主题监控和政府会议摘要结合在一起——所有这些都集成在一个系统中。 与现有解决方案相比,这些解决方案要么价格过高,要么分散,FireStriker旨在创造公平的竞争环境,使较小的组织能够有效地动员起来并为他们的事业辩护。该开发者将其作为一项个人项目,在日常工作之外进行,希望为那些致力于社区参与的人们提供必要的工具,确保他们不会仅仅因为缺乏资源而被边缘化。
对不起。
启用 JavaScript 和 Cookie 以继续。
对不起。