每日HackerNews RSS

Canva的新AI功能“Magic Layers”(魔法图层)被发现会自动将用户设计中的“巴勒斯坦”一词替换为“乌克兰”。该功能旨在分离图像元素以便编辑,但意外地修改了文本,特别是针对“巴勒斯坦”一词,而“加沙”等相关术语则未受影响。 这一问题由X(前身为Twitter)的一位用户发现并迅速传播,其他用户也证实了这一错误,之后Canva对此进行了处理。Canva已声明问题已解决,并正在实施进一步的安全措施以防止类似事件再次发生。 这一事件引发了对Canva的AI中存在偏见的担忧,并且对于该平台而言,这是一个重大的失误,尤其是在其扩展AI能力以与Adobe等行业领导者竞争之际。Canva为该错误造成的任何困扰表示歉意。

## Canva AI 与偏见问题 最近Canva的AI工具将设计中的“巴勒斯坦”替换为其他国家名称的事件,在Hacker News上引发了关于AI工具固有风险的讨论。用户指出,AI基于用户无法控制的数据集进行训练,容易受到操纵——无论是故意的,还是源于数据本身存在的偏见。 对话揭示了对AI回应中政治偏见的担忧,一些用户注意到不同模型(Claude、OpenAI、Grok)之间存在不一致,以及实现真正无偏结果的困难。另一些人指出LLM的概率性本质,将输出解释为模式匹配而非“思考”,并强调公司有责任确保为最终用户提供准确和无偏的结果。 这场辩论涉及AI操纵的法律影响以及对监管的需求,以及关于定义AI中的“思考”和技术发展时期望不断变化更广泛的讨论。最终,该讨论强调了在使用AI生成内容时进行批判性评估的重要性。

请启用 JavaScript 并禁用任何广告拦截器。

人工智能行业正面临日益严重的“算力危机”,成本上升且GPU可用性有限,这使得优化至关重要。然而,标准的GPU利用率指标(如来自`nvidia-smi`的指标)具有误导性——它们报告的是GPU*是否*在运行,而不是它*如何高效*地工作,通常即使在工作负载很小的情况下也会显示100%的利用率。这导致对更多硬件的投资浪费,并阻碍有效的优化。 Systalyze推出了**Utilyze**,一个免费的开源工具,通过跟踪算力和内存吞吐量作为硬件*实际*容量的百分比(计算SOL%和内存SOL%)来准确衡量GPU效率。与现有工具不同,Utilyze提供实时、准确的视图,且不会降低性能,从而识别当前性能与可实现潜力之间的差距。 通过基准测试,Utilyze显示了报告利用率和实际利用率之间的显著差异,揭示了大量的优化机会——在某些情况下,性能提升高达6-8倍。Systalyze的平台建立在Utilyze的测量基础上,可以自动识别和验证有影响力的优化。该公司鼓励社区贡献,以完善各种模型和硬件的可实现性能基准。最终,准确的测量被认为是严格、持续的人工智能性能改进的基础。

对不起。

GitHub Copilot 将于 2026 年 6 月 1 日过渡到基于使用量的计费方式,用每月提供的 **GitHub AI 额度** 替换当前的付费请求系统。此举旨在使定价与实际使用量保持一致,特别是随着 Copilot 发展成为一个更强大、更具“代理性”的平台,对计算资源的需求也随之增加。 计划定价(Pro、Pro+、Business、Enterprise)**不会**改变,但额度将根据订阅层级包含在内(例如,Copilot Pro 每月 10 美元包含 10 美元额度)。基于已发布的 API 费率,token 消耗(输入、输出、缓存数据)将决定额度使用情况。代码补全和 Next Edit 建议将不使用额度。 企业用户将受益于共享额度使用和在不同层级的新预算控制。将在 5 月初推出预览账单体验,帮助用户了解预计成本。最近实施的临时使用限制将在过渡后放宽。 这种转变将确保可持续且可靠的 Copilot 体验,为用户提供对支出的更多控制权,并根据需要购买额外额度的能力。

请启用 JavaScript 并禁用任何广告拦截器。

启用 JavaScript 和 Cookie 以继续。

## Scratch 持续存在的 SVG 安全问题 Scratch 一直面临着源于其处理用户提交的 SVG 图像的安全漏洞。 核心问题在于将潜在的恶意 SVG 内容解析到主文档中,即使是短暂的,用于诸如边界框计算之类的操作。 Scratch 的策略一直是逐步改进 SVG 清理,但这种方法始终未能成功。 自 2019 年以来,已经发现了许多绕过方法,包括通过 `<script>` 标签、事件处理程序和 CSS `@import` 语句进行的 XSS 攻击。 更最近,出现了允许通过 `<image>` `href` 属性、CSS `url()` 函数,甚至像 `src()` 和 `image()` 这样的未来 CSS 功能进行 HTTP 泄漏的漏洞。 每次修复都会被绕过,这表明了基于 SVG 的攻击的复杂性和不断演变性。 作者认为,依赖复杂的清理是不可持续的,因为新的 CSS 功能和解析器不一致性不可避免地会产生新的漏洞。 一种更强大的解决方案,在 Scratch 的分支 TurboWarp 中实施,涉及在具有严格内容安全策略 (CSP) 限制的 iframe 内对 SVG 进行沙箱处理。 这利用了浏览器内置的安全机制,减少了对自定义解析的需求,并提供了一种更具未来防御性的防御措施。 最近的发现,甚至包括像 Claude 这样的 AI 模型,不断揭示新的漏洞,突出了持续存在的挑战。

## SVG 消毒问题:总结 最近 Hacker News 上出现了一场关于安全处理 SVG 的讨论,特别是关于潜在的安全漏洞,如跨站脚本攻击 (XSS)。核心问题在于 SVG 是一种标记语言,可以包含嵌入式脚本和外部资源链接,这在处理不受信任的来源时会带来风险。 讨论的解决方案包括实施强大的内容安全策略 (CSP)——甚至通过 `<meta>` 标签直接在 HTML 中实施——以及创建受限制的“安全”SVG 子集(如 tinyVG)。有些人建议浏览器层面上的更改,例如添加一个新属性来禁用动态功能,或者像对待图片 (`<img>` 标签) 一样对待 SVG,从而固有地阻止脚本。 一个关键的结论是,简单的消毒(例如基于正则表达式的脚本标签删除)通常是不够的。复杂性在于 SVG 功能中存在的众多潜在攻击向量。最终,一种分层方法,结合 CSP、仔细解析以及可能简化 SVG 配置文件,似乎是安全处理的必要手段。 讨论还强调了安全性和功能性之间的权衡,特别是关于动画和动态样式。

该节目在SVT Play播出,记录了麋鹿每年迁徙到夏季觅食地的过程。数千年来,这些雄伟的动物一直沿着相同的路线迁徙,观众可以连续第八个季节见证这一传统。 该系列节目一窥这场古老的旅程,记录了麋鹿前往更肥沃的牧场。自4月18日起,每天都会发布新剧集,持续报道正在进行的迁徙。这是一个观察自然奇观的机会,它已经在地貌上上演了数千年。

对不起。

苹果公司对于macOS 27即将到来的潜在变化出奇地坦诚,这可能是由于这些变化对企业用户的影响。预计将有两大转变。 首先,苹果可能会**最终移除对AFP文件共享协议的支持**,推动用户转向SMB3。这主要影响那些仍然使用较旧硬件(如Time Capsule或不支持SMB3的NAS系统)的用户——在不更换这些设备的情况下升级macOS将变得不可能。 其次,macOS 27很可能**需要TLS 1.2(或更优选1.3)才能连接到某些服务器**,这将影响MDM、应用程序分发和软件更新等服务。确定兼容性很复杂,需要使用苹果提供的特定诊断配置文件和终端命令进行详细的日志分析。 苹果目前正在评估这些变化的潜在影响,如果出现重大问题,可能会推迟实施。重要的是,这两个变化都不会追溯应用,允许继续使用旧系统,只要不升级到macOS 27即可。预计六月和七月将发布测试版,完整版预计在九月发布。

## 数学形式化的历史与批判 本文反思了数学形式化的发展历程,起因是对Lean当前热情的关注。作者是该领域的资深人士,提醒人们不要忘记数十年前的先期工作,强调了如AUTOMATH(可追溯至1968年)等系统,它们已经实现了显著的形式化成果——包括兰道的《分析基础》——尽管缺乏现代便利性。 作者承认Lean的优势——强大的社区、工具和库,但批评了依赖类型领域中 perceived 的“教条主义”和从众现象。他们强调,进步并非通过追随潮流实现,并指出LCF、HOL Light和Isabelle/HOL等替代方案,已经成功地形式化了复杂的定理。 一个关键论点集中在“命题即类型”与替代逻辑基础之间的争论上,倡导简单性和可读性。作者支持LCF通过抽象数据类型进行动态检查的方法,认为不需要像Lean和Coq等系统中常见的庞大“证明对象”。最终,本文认为应该根据实际需求(协作、现有库)来选择工具,但鼓励考虑Isabelle,因为它具有自动化和可读性,尤其是在人工智能工具越来越多地帮助简化证明和在系统之间进行翻译的情况下。作者还承诺未来会发表一篇专门介绍经常被忽视的Mizar系统的文章。

更多

联系我们 contact @ memedata.com