这篇由两部分组成的博客系列详细介绍了在 VSCode 扩展程序(SARIF 查看器和实时预览)以及 VSCode 本身中发现的三个漏洞(CVE-2022-41042,获得 7,500 美元奖励)。核心问题在于 VSCode Webviews——沙盒化的 UI 面板——以及攻击者如何可能绕过其安全限制来危及用户系统。
扩展程序中的漏洞允许进行任意本地文件泄露,可能包括 SSH 密钥等敏感数据。利用方式包括 HTML/JavaScript 注入(通过 SARIF 查看器中数据的不安全渲染)、实时预览的本地 HTTP 服务器中的路径遍历,以及 DNS 重绑定和 `srcdoc` iframe 等技术来绕过内容安全策略 (CSP) 限制。
该研究强调了安全的 Webview 配置的重要性:严格的 CSP、有限的 `localResourceRoots` 以及对 `postMessage` 通信的谨慎处理。即使配置良好的 Webviews 也并非万无一失,后续博客文章将详细介绍一个允许沙盒逃逸的 VSCode 错误。作者为构建 VSCode 扩展程序的开发者提供了实用的建议,以防止类似的漏洞,强调纵深防御原则。
每日HackerNews RSS
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
逃避配置错误的 VSCode 扩展 (2023) (trailofbits.com)
12 分,作者 abelanger 1 天前 | 隐藏 | 过去 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
我们检测到您的浏览器已禁用 JavaScript。请启用 JavaScript 或切换到受支持的浏览器以继续使用 x.com。您可以在我们的帮助中心查看受支持的浏览器列表。帮助中心 服务条款 隐私政策 Cookie 政策 版权信息 广告信息 © 2026 X Corp.
## Polymarket 与 AI 驱动的内幕交易检测:摘要
Hacker News 上的一讨论集中在使用 AI,特别是 Compound AI,来分析 Polymarket(预测市场)的数据。核心想法是识别潜在的“内幕人士”——那些拥有特权信息的人——并利用他们的知情投注。
对话强调了预测市场固有的张力:虽然因汇总信息而被誉为“真相机器”,但也吸引了内幕交易。参与者争论这是否是一个缺陷或一个特征,指出即使引发伦理问题,内幕人士也能提供有价值的信号。
几个要点浮出水面:Polymarket 的合法性值得怀疑,其商业模式鼓励内幕人士参与。复制交易(模仿成功交易者)很受欢迎,但由于交易延迟而面临挑战。预测市场的价值超越了赌博,为对冲和分析提供数据,但信号可能嘈杂且难以解释。最终,讨论的问题是 Polymarket 是否是一个合法的预测工具,还是仅仅是一个利用内幕信息获利的平台。
OpenScan 为所有人提供价格实惠的开源3D扫描仪。我们的社区驱动项目结合了摄影测量和模块化硬件,以创建高质量的3D模型。从爱好者到专业人士,OpenScan 赋能全球用户在各个领域探索3D扫描。加入我们,让3D扫描变得普及,并推动数字保存和创作的边界。
## OpenScan 总结
OpenScan (openscan.eu) 是 Hacker News 上讨论的一个 DIY 3D 扫描解决方案。该设备自动化了摄影测量所需的大量照片拍摄过程——一种从图像创建 3D 模型的技术。
用户们讨论了 OpenScan 的可扩展性,特别是对于家具等大型物体。有人提出了手动引导摄影测量、NERF/高斯溅射以及使用 iPhone LiDAR 等替代方案。虽然 LiDAR 适用于大型物体,但 OpenScan 旨在提供一个自包含的解决方案,尽管成本更高。
该设备的价格(经典版 203 欧元起,迷你套件 170 欧元)受到了质疑,一些人指出需要 3D 打印部件和树莓派。专有的云服务很方便,但不如 Meshroom 或 Epic Games’ RealityScan 等开源选项。用户还指出,图库示例主要使用云服务,并且模型下载不可直接获得。
最终,讨论强调了 3D 扫描中成本、便利性和质量之间的权衡,一些人认为高分辨率单反相机设置可以获得更好的结果,但会增加复杂性。
## AI 聊天机器人的基础设施瓶颈
尽管人工智能模型性能取得了快速进展,但支持聊天机器人的基础设施——特别是处理流式响应——却明显滞后。一个关键问题,正如简单刷新页面导致上下文丢失等令人沮丧的体验所表明的那样,源于依赖于无状态协议,如服务器发送事件 (SSE)。
目前,许多聊天机器人使用 SSE 来流式传输 token,但连接中断时(例如刷新页面)会丢失所有进度。虽然将每个 token 存储在数据库中可以*工作*,但这是一种笨拙的解决方法。
更好的方法是利用实时发布/订阅消息平台。这些平台天生就处理重新连接、多个设备和在线状态感知,从而提供无缝的体验。它们不是流式传输每个 token 的变化,而是允许进行高效的更新——持续连接的客户端实时接收 token,而重新连接的客户端则获得到流中当前点的完整更新。
核心问题不在于 SSE 与 WebSocket 的对比,而是需要与现代人工智能能力相匹配的基础设施。发布/订阅提供了一个更强大、更高效的解决方案,让开发者能够专注于人工智能体验,而不是与连接管理和数据持久性作斗争。最终,工具和基础设施需要不断发展,才能跟上人工智能模型本身的进步。
## 聊天机器人UI刷新问题:黑客新闻总结
最近黑客新闻上出现了一场关于聊天机器人UI令人沮丧的问题的讨论:刷新页面时丢失实时流式响应。原发帖人指出,即使拥有大量资金的Anthropic(Claude)等主要参与者也未能解决这个看似基本的问题。
评论员指出,问题并非Server-Sent Events(SSE)——通常用于流式传输的技术——固有的,而是工程设计不足。 存在解决方案,例如持久化状态并有效地重新建立连接。 一些开发者已经成功地使用SSE和HTMX实现了强大的流式传输,利用Go通道和数据库存储来维护上下文。
多名用户报告了与ChatGPT类似的问题,并提到了UI错误和输入丢失。Gemini被认为体验相对较好,但并非完美。 核心问题是在刷新后保持与后端服务器的连接并恢复流式响应,而无需完全重启。
最终,这场讨论强调了聊天机器人UI缺乏完善,尤其考虑到将这些工具集成到日常工作流程中的推动。
包括波普鸡、Wingstop和肯德基在内的八家大型连锁餐厅已退出“更佳鸡肉承诺”(BCC),并加入了“可持续鸡肉论坛”(SCF)。这些公司认为,BCC专注于生长速度较慢的鸡种在环境上不可持续,会产生更多的温室气体排放。他们旨在通过SCF改善福利,同时最大限度地减少环境影响并满足需求。 然而,动物福利组织如Anima International和英国人道联盟谴责此举将利润置于动物福利之上,称SCF是“虚假福利”的公关噱头。他们认为,生长速度较慢的鸡肉供应不足是由于缺乏合同,而非实际短缺。 英国家禽委员会对此决定表示欢迎,理由是生产成本增加和规划延误。虽然外卖鸡肉店正在增长,但超市仍然是最大的家禽购买者,并继续支持BCC。
## KFC、Nando's 与鸡只福利:黑客新闻摘要
一篇BBC文章,详细介绍了肯德基、Nando's等公司放弃一项鸡只福利承诺,引发了黑客新闻的讨论。核心问题是利润与伦理/质量标准之间的权衡——创新不一定能带来*更好*的产品,只是更具盈利能力的产品。
用户们争论现代鸡肉的质量,一些人指出快速生长的品种脂肪含量增加和“木质胸肉”问题。其他人分享了养鸡的经验,强调了它们的智力(或缺乏)以及潜在的虐待行为。一个关键点是,优先考虑速度和成本而非福利的影响,以及因集约化养殖方式而导致的抗生素耐药性问题。
一些评论员质疑GDP作为衡量幸福感的有效性,指出其虚高的成本(如美国医疗保健)以及优先考虑市场交易而非真正价值。 还有关于大规模农业在没有抗生素的情况下可持续性的讨论,以及肯德基质量的下降,一些用户报告说它已经变得“无法食用”。
## AUR 安全事件与 PKGBUILD 审查 2025年7月,Arch Linux 团队移除了三个上传到 Arch 用户仓库 (AUR) 的恶意软件包。AUR 是一个社区驱动的构建脚本 (PKGBUILD) 集合,允许用户轻松安装官方仓库中没有的软件。虽然通常可靠,但 AUR 的开放性意味着任何人都可以上传脚本,从而产生潜在的安全风险。 PKGBUILDs 本质上是 bash 脚本,定义了如何构建和安装软件。关键元素包括元数据(软件包名称、版本、描述)以及用于准备、构建、检查和打包软件的函数。 审查 PKGBUILDs 对于安全性至关重要。用户应验证源代码的可信度,仔细检查构建步骤中是否存在意外命令(尤其是下载或 `sudo` 使用),并仔细检查任何安装脚本或 pacman 钩子,因为这些脚本以 root 权限运行。 如果 PKGBUILD 看起来可疑,用户可以在 #archlinux-aur IRC 频道或论坛寻求建议。AUR 依赖于社区的警惕性,虽然系统需要改进,但它仍然是一个宝贵的资源。该事件强调了在使用 AUR 时用户意识和主动安全实践的重要性。
## AUR 包审查与安全讨论
一篇 Hacker News 讨论围绕着审查 Arch 用户仓库 (AUR) 中的软件包。一个关键要点是**质量与安全**之间的联系:编写不良的软件包(例如,在构建脚本中使用 `sudo`,直接移动文件而不是打包它们)通常是潜在安全风险的指标,*并且*会导致升级/卸载问题。
对话强调了 AUR 的固有风险——它依赖于用户提交的内容——以及免责声明是否足够。一些人认为它与从盗版网站下载一样危险,而另一些人则认为它是一个宝贵的资源,*如果* 用户在安装前认真审查 `PKGBUILD` 脚本。
AUR 维护者抱怨经常收到构建不良的软件包,指出缺乏对指南的遵守和测试。尽管如此,许多人仍然认为 AUR 优于 PPAs 或 COPR,因为它可以从源代码本地构建。 讨论还涉及在系统更新期间持续审查 AUR 包的困难。
## 漏洞披露与潜水保险公司的回应
作为一名潜水教练和平台工程师,我在科科斯岛旅行期间发现了一家大型潜水保险公司会员门户网站的一个严重安全漏洞。该门户网站分配了连续的用户ID,并使用静态的默认密码——一种容易被利用来访问敏感个人数据的组合,包括未成年人的个人资料。
我于2025年4月负责任地披露了该漏洞,遵守了标准的30天禁运期,并联系了保险公司和马耳他的国家网络安全机构(CSIRT Malta),因为该公司总部设在那里。虽然保险公司解决了技术问题,但他们的反应却带有防御性,试图用法律威胁和限制性保密协议来压制我。他们甚至暗示*我*报告漏洞是在犯罪。
尽管漏洞已被修复,但没有确认受影响的用户已被通知——这可能违反了GDPR。这一事件凸显了一种令人担忧的模式:组织优先考虑声誉管理而非数据安全,并惩罚研究人员而不是促进合作。这种“寒蝉效应”会阻碍负责任的披露,并最终损害用户。这段经历强调了需要明确的漏洞披露政策、对研究人员的感谢,以及在数据泄露时对透明度和用户通知的承诺。
## 构建合适的开发者社区:Facebook vs. Google 构建开发者产品的公司通常致力于培养社区,认识到它在用户成功、内容创作和竞争优势方面的价值。然而,并非所有社区都是一样的。理解你正在构建*哪种*类型的社区至关重要。 把它看作是在选择一个“Facebook”——一个用于连接和持续互动的空间——或者一个“Google”——一个用于快速解答和高效解决问题的资源。 “Facebook”社区围绕更广泛、自包含的技术、开源项目或共同理念蓬勃发展,鼓励成员建立关系。“Google”社区专注于特定的工具或库,优先快速解决技术问题。 最初,大多数开发者社区都从“Google”开始,专注于提供有用的文档、可搜索的存档和清晰的产品路线图。通过随时可用的支持建立信任是基础。 虽然一个社区*最终*可以包含这两个方面(比如Stack Overflow及其元社区),但理解这种核心区别有助于优先考虑工作。对你的技术和受众进行现实评估将决定是否能够建立一个繁荣的“Facebook”,或者专注于成为最好的“Google”才是最有价值的道路。
一场 Hacker News 的讨论围绕着“社区”在技术领域的含义,以及它是否能被*创造*出来。最初的发帖者,一位前开发者关系专业人士,质疑平台是为了培养真正的联系,还是仅仅为了扩大用户群,并指出谷歌和脸书在这方面存在相似之处。
评论者普遍认为,技术往往*调解*关系,而不是创造真正的社区。一位用户建议“被 captive 的受众”更准确,而另一位则指出“家庭”也被类似地用于营销。
一个关键的观点是,你不能*创造*一个社区,而是应该*服务*一个现有的社区,通过支持和参与来促进它的发展。作者澄清他们的重点是围绕技术*建立*社区,并提供了诸如持续参与和利用现有群体的实用建议。
八年未用后,一位用户重新访问Facebook,对其变化感到震惊。信息流不再以朋友或关注的页面为主,而是充斥着人工智能生成的年轻女性“诱惑照”以及低质量、旨在吸引互动的内容——通常带有暗示性或关系主题。
该用户注意到难以区分真实帖子和人工智能生成的帖子,并指出明显的缺陷,如无意义的文字和标志。他们质疑这种体验是否仅限于他们的算法,或者是一个普遍问题,尤其对于不活跃的用户。
对潜在的剥削性内容盛行感到不安,包括看起来像青少年的图像,该用户迅速注销,认为Facebook已经沦为一个令人不安的景象,充斥着算法驱动、低质量的内容,旨在获取最基本的互动。他们对平台的现状及其对用户的影响表示担忧。
## Facebook 沦为“垃圾内容” - 摘要
最近的 Hacker News 讨论强调了一种日益增长的观点:Facebook 的信息流已经演变成低质量、AI 生成的内容和煽动性内容,尤其是对于多年未积极使用该平台的用戶。许多评论员报告说,他们看到的信息流与经常参与互动的用戶的信息流形成了鲜明对比,这表明算法默认情况下会为不活跃帐户提供通用、引人注目的内容。
核心问题似乎是,从与朋友和家人联系转向通过耸人听闻或无关紧要的帖子来最大化互动。虽然有些人仍然觉得 Facebook 群组和 Marketplace 有价值,但整体体验被描述为令人沮丧且充斥着“垃圾”。
一些用户也注意到 Instagram 和 YouTube 存在类似问题,指出了一种更广泛的趋势,即算法驱动的内容优先考虑互动而非真正的联系。随着人们寻求更有意义的在线互动,更小、更精选的在线社区和直接消息传递应用程序越来越受欢迎。 讨论还涉及对 Facebook 商业模式、其对信息质量的影响以及潜在的监管审查的担忧。