研究人员保罗·拉罗萨(Paul LaRosa)发现了 AMD Windows 自动更新程序中存在一个关键安全漏洞,该程序通过不安全的 HTTP 连接获取软件。此缺陷允许攻击者拦截更新并在用户系统上执行恶意代码。尽管远程代码执行风险十分严重,但 AMD 耗时 124 天才发布修复程序,远超行业标准。 此外,AMD 以中间人攻击属于政策豁免范围为由,拒绝向拉罗萨支付预期的 10,000 美元漏洞赏金。即便在打补丁之后,安全专家仍感到担忧;更新后的软件仍依赖薄弱的 CRC32 校验和,而非强大的加密签名来验证文件完整性。这一事件凸显了一个令人不安的趋势:大型供应商往往更倾向于缩减漏洞赏金支出,而非进行迅速且全面的安全补救,从而使用户面临陈旧安全做法带来的风险。
每日HackerNews RSS
抱歉。
玛雅·赫鲁斯卡(Maïa Hruska)的《卡夫卡式:十位伟大作家翻译二十世纪》(Kafkaesque: Ten Great Writers Translate the Twentieth Century)探讨了豪尔赫·路易斯·博尔赫斯和普里莫·莱维等全球作家如何解读卡夫卡的作品。赫鲁斯卡精辟地阐述了这些流亡作家如何在动荡的政治局势和个人困境中,通过翻译这位终极“局外人”来寻求心灵的“避风港”。 然而,该书存在一个明显的疏漏:它忽略了薇拉·缪尔(Willa Muir)和埃德温·缪尔(Edwin Muir)夫妇的奠基性贡献。作为从1920年代到1940年代工作的苏格兰侨民,缪尔夫妇是卡夫卡在英语世界最初传播的主要构建者。尽管近期的学术趋势批评缪尔夫妇的译文过于“归化”或平滑,但正是他们的工作让几代读者接触到了卡夫卡独特的文学声音。 赫鲁斯卡的做法恰恰呼应了她在书中批评的某种“卡夫卡式”的抹除,她完全忽视了这对夫妇,未能承认他们曾在贫困和知识偏见中进行的抗争。缪尔夫妇曾担心自己的人生沦为脚注,甚至被扭曲成某种传说;然而,他们流传至今的译作仍然是文学史上至关重要但目前被低估的基石,理应从学术遗忘的“废纸堆”中被抢救出来。
抱歉。
关于 新闻 版权 联系我们 创作者 广告 开发者 条款 隐私 政策与安全 YouTube 的运作方式 测试新功能 © 2026 Google LLC
抱歉。
技能光谱 SkillSpector
3 天前
**SkillSpector** 是一款安全扫描工具,旨在 AI 智能体技能安装前识别其中的漏洞和恶意模式。研究表明,26.1% 的此类技能包含漏洞,5.2% 具有明显的恶意企图;SkillSpector 通过提供 0-100 的风险评分和明确的安全建议来降低此类风险。
**主要功能:**
* **两阶段分析:** 结合快速静态分析(模式匹配、AST 和 OSV.dev CVE 查询)与可选的基于大模型的语义评估,以提高精准度。
* **全面覆盖:** 可检测 16 个类别中的 64 种漏洞模式,包括提示词注入、数据窃取、权限提升、工具滥用及供应链威胁。
* **灵活部署:** 支持扫描 Git 存储库、URL、目录或压缩文件。输出报告格式支持终端、JSON、Markdown 或 SARIF。
* **可扩展架构:** 可通过命令行工具或 LangGraph API 轻松集成到开发流程中。
SkillSpector 具有高度可配置性,用户可选择大模型提供商(OpenAI、Anthropic 或 NVIDIA)进行深度语义分析,或选择仅进行静态扫描以实现更快的离线执行。该项目开源(Apache 2.0 协议),有助于确保 AI 智能体在经过验证的安全工具集下运行。
这段关于 Hacker News 的讨论主要围绕 **SkillSpector** 展开,这是一款用于验证 AI 智能体“技能”的工具。虽然有人认为此类工具提供了一层有益的安全保障,但也有不少人持高度怀疑态度。
批评者指出,技能本质上就是可执行代码;如果智能体拥有广泛的权限(如访问互联网或执行命令),没有任何自动化验证器能保证绝对安全。用户将其比作杀毒软件,警告称这会产生一种虚假的安全感,并强调切勿运行来源不可信的可执行代码。
此外,对于利用大语言模型(LLM)来监管其他 LLM 的方法,也存在质疑。评论者认为,如果一个智能体足够聪明以至于能绕过安全机制,那么验证器也很容易被欺骗。除了技术上的担忧,一些贡献者还质疑依赖这些工具的专业可行性,认为“大模型监管大模型”的安全措施在利益相关者眼中可能显得很“滑稽”,且不足以应对 AI 供应链攻击所固有的风险。总之,大家的共识是:尽管增加安全层是件好事,但这些工具并非万能药。
Apple 推出了 **RAW 9**,这是其 Core Image 处理流水线的一次重大升级,在去马赛克和降噪方面带来了显著改进。RAW 9 利用分块 CoreML 模型和 Apple 神经网络引擎,在 iOS、iPadOS、macOS 和 visionOS 27 上,尤其是在低光照、高噪点场景中,能够生成更锐利、更清晰的图像。 要实现 RAW 9,开发者应使用 `CIRAWFilter` API,并将 `decoderVersion` 设置为 `version9` 以启用该功能。系统目前支持数百种相机型号,可通过 `supportedCameraModels` 检查兼容性。 为获得最佳性能,Apple 建议: * **交互式编辑:** 使用 `scaleFactor` 进行预览,保持 `cacheIntermediates` 开启,并使用基于 Metal 的视图。 * **导出:** 关闭 `cacheIntermediates` 并利用 `context` 内存限制选项来提高效率。 此外,Apple 增强了 `CIImageProcessor` API,增加了对显式输出分块大小和临时缓冲区管理的支持。这些功能在将 CoreML 模型与自定义图像处理集成时,可最大限度地减少内存开销并提高性能。通过采用这些更新,开发者可以为用户提供顶尖的 RAW 图像质量和响应迅速的编辑工具。
抱歉。
**架构师循环 (Architect-Loop)** 是一个自动化的软件开发框架,它利用双智能体系统来执行复杂的工程和研究任务,无需 API 密钥或额外的 Token 费用。通过利用您现有的 Claude 和 ChatGPT (Codex) 订阅,它避免了智能体工作流程中常见的“简单共享文件”协作陷阱。
**工作原理:**
* **架构师 (Claude Fable):** 担任监督者。它将项目拆分为独立的“切片”,定义只读的验收准则,并进行最终评判。它从不编写代码,从而确保了严格的质量控制。
* **构建者/研究员 (GPT-5.5 Codex):** 在独立的 Git 工作树中并行执行工作。构建者必须对规范提出异议以确保准确性,且在物理层面被限制无法篡改准则文件。
该系统具有**“先遣侦察”研究流程**,即在派遣专业研究小组之前,先进行初步搜索以规划主题。这确保了输出内容的循证性,并强制要求提供引用。
**核心优势:**
* **安全性:** 构建者无法提交更改;架构师手动验证差异和准则指令。
* **高效性:** 使用独立的工作树来防止依赖冲突。
* **透明度:** 所有状态均存储在仓库中(无“幽灵”内存),且长时间运行的进程包含内置的存活状态检查。
这份 Hacker News 讨论聚焦于 DanMcInerney 的一个项目,旨在通过多智能体架构将“Fable”AI 的令牌(token)使用量减少 80%:即利用 Fable 作为协调者/审查者,并将实现任务委派给更高效的 Codex 模型。
讨论帖的主要观点包括:
* **“规划者-执行者”模式:** 许多用户证实,使用复杂且昂贵的模型进行高层规划和架构审查,同时使用更便宜、更专业的模型进行实际编码,是管理智能体令牌成本的一种常见且有效的工作流程。
* **工作流程集成:** 评论者讨论了集成这些不同智能体的难度,指出 Claude Code 和 Codex 等当前工具通常被设计为同时处理规划和执行,这使得外部协调显得“笨拙”。
* **性能与可靠性:** 参与者分享了对不同模型“智能”水平的迥异体验。一些人称赞 Fable 在处理复杂智能体任务上的表现,而另一些人则认为它容易产生幻觉或判断力不足,因此更倾向于使用 Codex 等模型在技术实现上那种严谨、机械的表现。
* **怀疑态度:** 批评者认为,这类“奇巧”的省令牌方法往往是暂时的,因为模型提供商最终会将这些效率提升直接集成到他们的平台中。
```
每日推杆
今日日历
关于每日推杆
每日一洞迷你高尔夫。
第 31 号 · 2026 年 6 月 12 日
如何游玩
抓取球,向后拖动,然后松开。拉得越远击球力度越大。
在其他任何地方拖动以环顾四周;捏合或滚动以缩放。
以尽可能少的杆数将球打进洞。
落水会让你回到原来的位置。
每天一个新洞。以你的首次完成成绩为准。往日的球洞可在日历中查看。
统计数据
日历
太平洋时间每天午夜更新一个新洞。模型由 Kenney 提供 (CC0)。
```
抱歉。
自2011年起,雷诺集团便开始推广电励磁同步电机(EESM)技术,最初应用于Kangoo Z.E.和Zoe车型。多年来,该技术在功率、能效和设计方面均取得了显著演进。 第一代(5A/5AL系列)电机曾为Twingo Electric等早期车型提供动力。2021年,雷诺推出了第二代EESM(6A系列),并首次应用于Megane E-Tech车型。这些电机更加轻量化、紧凑,且功率大幅提升,最高输出可达160千瓦。自此,该技术成为品牌的核心基石,为Scenic E-Tech、Renault 5 E-Tech和Renault 4 E-Tech等多款获奖车型提供动力。 创新仍在继续,2025年底发布的Alpine A390车型即是例证。该车型采用了开创性的三电机布局,由一台前置6AM电机与双电机后驱系统组成,均在克里昂(Cléon)工厂生产。这一先进系统总输出功率约为345千瓦(470马力),标志着雷诺在追求EESM工程卓越道路上的又一重要里程碑。
雷诺汽车为其电动车转向采用无稀土的电励磁同步电机(EESM),这一举措在 Hacker News 上引发了关于效率、维护和技术创新的热烈讨论。
**权衡取舍:** 尽管 EESM 消除了对稀土磁体的依赖,但它面临两个历史性障碍:与永磁(PM)电机相比能源效率较低,以及滑动电接触(电刷/滑环)可能带来的维护问题。雷诺声称其现有的 EESM 效率可达 92%,虽然略低于顶级永磁电机,但从供应链独立性和减少环境影响的角度来看,这被视为一种可接受的权衡。
**讨论焦点:**
* **维护:** 批评者担心长期耐用性,指出有刷电机通常需要维护。支持者则反驳称,雷诺的设计已在长里程的实际使用中证明了可靠性,且有人指出新车型正转向无刷设计。
* **工程:** 爱好者指出 EESM 技术在工业应用中已非常成熟,但将其实施于汽车尺寸和扭矩密度仍是一项复杂的工程挑战。
* **行业背景:** 评论者强调,宝马等其他制造商也在采用无磁体设计,通常将其与感应电机结合使用,以优化不同速度范围内的效率。
{山脉、树木、名称}* 平移并缩放一个程序生成的无限景观。每一个名称都会化作一棵树。 {山脉、树木、名称}* 无限的程序化景观。每一个名称都会化作一棵树。 拖动以平移 · 滚动或双指张合以缩放
抱歉。
Depthfirst 开发了一种能够进行深度代码库分析的自主安全代理,以极低的成本发现了 FFmpeg 中的 21 个零日漏洞。与通用编码代理不同,该安全代理利用自动化威胁建模、数据流分析和验证护栏,能够精确定位具体且可复现的漏洞。 该代理的发现包括 21 个漏洞(涵盖堆/栈溢出及整数问题),其中许多漏洞已潜伏 15 至 20 年之久。值得注意的是,其中 8 个漏洞已被分配了 CVE 编号,其余漏洞则处于内部跟踪状态。 团队重点指出了 AV1 RTP 解包程序中一个关键的堆缓冲区溢出漏洞(CVE-2026-39210),该漏洞展示了攻击者如何通过单个未经身份验证的 183 字节数据包实现远程代码执行(RCE)。通过利用 FFmpeg 的内存管理机制,该代理证明了即使是经过严密审计的大型代码库,也容易受到复杂的自动化分析攻击。这一成果强调了从理论漏洞报告向自动化、可操作的漏洞复现的转变,为保护关键基础设施免受“零点击”攻击提供了强有力的新工具。
一份近期报告指出 FFmpeg 存在 21 个“零日”漏洞,这在 Hacker News 上引发了关于软件安全、人工智能漏洞发现的有效性以及开源维护者责任的热烈讨论。
批评者认为,FFmpeg 长期以来存在内存损坏漏洞,在没有稳健沙箱保护的情况下处理不受信任的数据十分危险。尽管一些参与者认为该报告对“零日”一词的使用属于耸人听闻,但另一些人则强调了其对媒体管道和闭路电视(CCTV)系统构成的真实风险。
此次讨论突显了行业内的文化分歧:
* **维护者倦怠:** 开发人员对那些只负责报告漏洞却不提供修复方案的“追求名声”的研究人员表示不满,并指出处理这些报告是一项繁重且无报酬的工作。
* **人工智能与工具的争议:** 尽管 AI 工具现在可以生成有效的漏洞报告,但关于谁应该承担修补复杂遗留 C 代码这一艰巨工作的争议依然存在。
* **安全与实用主义:** 用户为 FFmpeg 辩护,称其为不可替代的“瑞士军刀”式工具。他们认为,由于目前没有可行的替代方案,安全负担应由用户通过实现沙箱(如虚拟机、容器)来承担,而不是要求开发人员重写整个项目。