Eclypsium 使用工业 X 射线机调查假冒硬件的普遍性,起初关注 FTDI USB 转 UART 电缆。一根可疑且有故障的电缆促使他们与从 DigiKey 购买的经过验证的真品电缆进行比较。
X 射线分析显示出显著差异:真品电缆具有接地铺层、退耦无源元件和强大的应力消除等设计元素——这些都是高质量制造的标志。可疑电缆缺少这些特性,表明生产标准较低或可能存在知识产权被盗的情况。
即使对于专家来说,识别假冒产品也并非总是容易的,但其影响是严重的。除了有故障的电缆之外,关键基础设施(如网络设备或服务器)中的受损硬件可能会引入后门和漏洞,被网络攻击者利用。
Eclypsium 强调了复杂且快速扩张的供应链中日益增长的风险,尤其是在人工智能数据中心对组件的需求不断增加的情况下。他们强调需要以硬件为重点的安全措施,并提供一份白皮书,详细说明供应链安全的重要性。
每日HackerNews RSS
## 黑客新闻讨论:假冒FTDI USB线缆
最近黑客新闻上出现了一场讨论,围绕着一篇详细分析可疑FTDI USB线缆的X光报告。虽然一些评论员认为该报告带有分析公司营销的色彩,但核心问题——看似简单的通讯线缆中集成芯片的潜在危险——引起了许多人的共鸣。
分析显示,一根线缆使用了更大、更复杂的芯片,有许多未使用的引脚,表明它是一个通用微控制器*模拟*FTDI芯片,而非真品。其他人则根据混乱的布线和元件摆放,与正品线缆干净、整洁的布局进行对比,正确地识别出了假冒产品。
讨论强调,现代USB线缆通常包含令人惊讶的强大芯片(一些甚至带有ARM核心),引发了对潜在安全风险的担忧,例如记录击键或供应链攻击。 许多用户分享了相关文章和视频,展示了即使在基本线缆中隐藏的复杂性。 谈话还涉及FTDI积极阻止克隆以及使用替代制造商的好处这一备受争议的历史。 最终,该报告提醒人们,信任硬件越来越困难,并且存在隐藏漏洞的可能性。
作者的编码过程随着像Claude-code这样的人工智能编码助手出现而发生了根本性的转变。他们现在主要专注于“雕琢”人工智能*生成*的代码,而不是从头开始编写。这包括完善输出——去除冗余、改进结构并确保可重用性——这个过程需要批判性思维和对项目目标的更广泛理解。
虽然人工智能擅长根据现有模式生成技术上可靠的代码,但它缺乏创造力、大胆和识别根本缺陷的能力。作者强调持续需要人工监督,充当“雕塑家”以防止人工智能生成代码变得臃肿和无效。本质上,人工智能提供原材料,但人类判断对于将其塑造成完善、实用和可维护的最终产品至关重要。
高带宽闪存 (HBF) 正在迅速发展,根据韩国KAIST金正浩教授的说法,预计到2038年可能在市场规模上超过高带宽内存 (HBM)。三星、SanDisk和SK海力士等公司正在积极致力于将HBF集成到针对英伟达、AMD和谷歌的产品中,最早可能在2027/2028年发布。
HBF被设想为低于HBM的分层存储解决方案,作为网络SSD的高容量缓冲,在不依赖主机处理器的情况下,为GPU创建更快的路径。目前的原型展示了令人印象深刻的带宽——高达1.638 TBps的512GB单元,这通过堆叠3D NAND层和使用穿硅通孔 (TSV) 实现。
标准化工作正在进行中,一个联盟正在形成以推动HBF的采用。虽然美光、英伟达和AMD保持沉默,但谷歌表现出兴趣。SK海力士预计本月将发布原型,而Kioxia已经展示了一个使用PCIe Gen 6的5TB模块。
## 高带宽闪存:潜在的RAM替代品?
最近的Hacker News讨论集中在“高带宽闪存”(HBF)技术上,该技术旨在大幅提高闪存带宽——可能达到1.638 TBps,容量为512GB。其核心思想是显著增加闪存通道,突破当前限制。
虽然前景可观,但人们对NAND闪存有限的写入周期表示担忧。然而,支持者认为HBF的使用场景偏向于推理,模型会被重复加载和查询,从而最大限度地减少写入。长远愿景是*用*HBF*取代*RAM,利用其速度(1.5TB/s),尽管存在固有的延迟挑战。
像Kioxia和Nvidia这样的公司已经在探索将高IOPS SSD直接连接到GPU,并将任务卸载到NVMe驱动器上,暗示着一种利用闪存进行更多用途的转变,而不仅仅是存储。
讨论还涉及NVMe闪存驱动器价格最近的上涨,这归因于人工智能公司可能垄断供应——有说法称大规模的预先采购正在影响市场供应。
欧洲日益关注实现“数字主权”——摆脱对少数几家美国主导的云服务提供商(如亚马逊、微软和谷歌)的依赖,这些公司控制着欧洲市场约70%的份额。 这一举措源于对技术故障、网络攻击、地缘政治紧张局势,甚至可能影响关键数字基础设施访问的故意行为造成的潜在中断的担忧。 最近发生的事件,包括AWS和Cloudflare的宕机,以及影响数据中心停电的情况,表明依赖少数全球公司存在脆弱性。 作为回应,欧盟正在制定框架和立法——例如《云和人工智能发展法案》,以优先考虑欧洲对欧洲数据的控制。 整个大陆都在开展倡议,从瑞典的数字停电准备项目到德国石勒苏益根州用开源替代品取代微软,以及多个国家合作开发开源工具。 目标是将数字基础设施与物理基础设施同等重要,确保即使在危机情况下也能保持韧性和可访问性。 最终,政府和个人都被鼓励在选择数字服务时,优先考虑安全性、开放性和控制权,而不仅仅是追求最低的价格。
## Qrystal Uplink SDK 摘要
Qrystal Uplink 提供官方SDK,方便监控您的物联网设备(特别是基于ESP32的系统)的健康和连接状态。这些SDK简化了向Qrystal Uplink服务发送定期“心跳”信号,以实现实时状态跟踪。
主要功能包括自动SSL/TLS加密、连接池和NTP时间同步。SDK适用于 **Arduino**(适合初学者原型设计)、**ESP-IDF**(生产部署,性能)和 **MicroPython**(Python开发者,广泛的板卡支持)。
入门需要注册Qrystal Uplink并获取设备ID和令牌。SDK会返回特定的状态码来指示心跳成功或失败——涵盖WiFi连接、凭证错误和服务器问题等问题——从而实现强大的错误处理。该项目是开源的,并采用MIT许可证。
黑客新闻 新的 | 过去的 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
Show HN: 我用 C++ 为 ESP32/Arduino 构建了一个失效闭锁的看门狗 (github.com/weareqrystal)
4 分,由 mikayelgr 1 天前发布 | 隐藏 | 过去的 | 收藏 | 讨论
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
启用 JavaScript 和 Cookie 以继续。
美国移民及海关执法局(ICE)正在向各公司征求关于“大数据”和“广告技术”产品的信息,以加强其调查能力。 这份发布在《联邦公报》上的请求旨在识别用于管理和分析ICE在刑事、民事和行政案件中处理的日益增长的数据量的工具。 具体而言,ICE对位置数据服务和类似于数字广告中使用的技术感兴趣,同时承认监管和隐私方面的考虑——尽管细节仍然模糊。 这是“广告技术”首次出现在ICE的信息请求中。 此举凸显了执法部门利用商业开发的数据工具的日益增长的趋势。 ICE之前曾与Palantir签订合同(使用他们的“Gotham”系统)进行数据分析,并从Webloc和Venntel等公司购买位置数据。 值得注意的是,Venntel最近因未经适当同意出售位置数据而受到联邦贸易委员会的行动,其数据销售现在受到限制。 ICE的请求表明其继续对利用这些数据来源进行调查感兴趣。
## ICE 用户追踪工具与策略疑虑
一篇Wired.com文章详细描述了ICE(美国移民及海关执法局)对用户追踪工具的信息请求(RFI),在Hacker News上引发了激烈的讨论。核心担忧在于潜在的监视增加及其对公民自由的影响,尤其是在最近的事件,例如备受争议的抗议活动中亚历克斯·普雷蒂被枪击事件之后。
许多评论者表达了愤怒,将之与历史上滥用权力的行为相提并论,并指责协助ICE的科技公司是在助长法西斯主义。有人呼吁科技工作者积极抵制贡献这些工具,担心它们会被用于抹黑个人并为未来的暴力行为辩护。
一个重要的讨论主题围绕执法部门的问责制,人们对蒙面特工以及对公民采取行动缺乏后果表示担忧。一些人主张提高透明度和法律追究,而另一些人则指出阻碍监督的系统性问题。讨论还涉及更广泛的政治氛围以及科技公司在支持潜在的专制做法中的作用。一些评论被标记,突显了该话题的敏感性和政治性。
## 波兰能源网遭新型恶意软件攻击
波兰的能源网最近成为一种此前未知的擦除型恶意软件的目标,引发了Hacker News上的讨论。虽然此次攻击似乎未能造成重大破坏——2015年乌克兰遭受类似攻击导致23万人在六小时内断电——但该事件引发了对网络战争升级的担忧。
评论员推测俄罗斯可能在幕后,考虑到波兰作为向乌克兰提供援助的关键物流枢纽地位。一些人认为这是一种故意“燃烧”漏洞并了解西方防御能力的行为。另一些人则指出,这是一种更广泛的俄罗斯对欧洲的网络攻击和信息战模式,可以追溯到多年以前。
一个关键的争论集中在成功攻击关键基础设施的潜在影响上,一些人认为即使是短暂的中断也可能是毁灭性的。关于安全责任的讨论也很多,一些人指责基础设施管理者无能,而另一些人则强调攻击的复杂性。这场对话凸显了一种日益增长的认识,即欧洲已经与俄罗斯陷入数字战争。
## KAOS:Kubernetes原生AI代理编排
KAOS是一个在Kubernetes上部署和管理AI代理的框架。它简化了代理工作流的构建,具有**代理图**用于分布式网络、通过标准**模型上下文协议 (MCP)** 实现**工具访问**,以及支持**多代理协调**,包括具有自动委托的层级系统等功能。
KAOS代理可以作为Kubernetes资源轻松部署,使用专用的**CLI**和**可视化仪表盘**进行监控和调试。代理暴露一个**兼容OpenAI的`/v1/chat/completions`端点**,方便无缝集成。
安装涉及安装CLI (`pip install kaos-cli`)并通过Helm部署KAOS Operator。配置通过YAML文件完成,定义代理、工具(MCP服务器)和模型API(如Ollama)。
KAOS提供了单代理、多代理系统和层级结构的示例,以及全面的测试流程。它采用Apache 2.0许可证发布。
## KAOS:Kubernetes 代理编排
开发者 axsaucedo 最近发布了 KAOS (github.com/axsaucedo),这是一个用于在 Kubernetes 上大规模部署和管理分布式多代理系统的框架。 最初为代理副驾驶构建,KAOS 现在支持 A2A 通信、MCP 服务器和模型推理等应用。
该框架具有 Golang 控制平面,用于管理自定义资源定义 (CRD),Python 数据平面处理核心功能,React UI 用于管理和调试,以及完整的 CI/CD 管道。
虽然该框架因解决代理*部署*问题而受到赞扬,但有评论员指出,真正的挑战在于定义*有用*的代理操作——KAOS 尚未完全解决这个问题。 尽管如此,该项目旨在简化跨多个服务管理大量代理的复杂性,并可供测试和贡献。
需要注意的是,这与 KaOS Linux 发行版是不同的。
许多带有同意横幅的网站存在跟踪问题,导致Google Ads转化效果衡量出现偏差。跟踪脚本在用户接受同意之前就触发,Google同意模式v2未配置,或者转化事件被完全阻止。当发生这种情况时,Google Ads会收到不完整的数据。您的广告系列会基于部分信息进行优化,转化跟踪报告不准确,再营销受众无法正确建立。 了解Google Ads跟踪失败的完整原因 →