## Claude 代码安全:AI 驱动的漏洞检测 Anthropic 发布了 **Claude 代码安全**的有限研究预览版,这是 Claude 代码中的一项新功能,旨在主动识别并帮助修复软件漏洞。与依赖已知模式的传统静态分析工具不同,Claude 代码安全 *像人类安全研究人员一样* 推理代码,从而发现常规方法常常遗漏的复杂、上下文相关的缺陷。 该系统不会自动应用修复;相反,它会标记潜在问题,并提供严重程度评级和建议的补丁,以供**人工审查和批准**。多阶段验证过程可最大限度地减少误报,置信度评分可帮助团队确定优先级。 Claude 代码安全经过广泛的研究开发——包括在开源代码中发现 500 多个先前未检测到的漏洞——旨在增强防御者对抗日益复杂、AI 驱动的攻击的能力。 目前,此预览版面向企业和团队客户提供(开源维护者可获得加速访问),旨在寻求协作反馈,以完善该工具并促进负责任的部署,从而构建更安全的编码环境。
每日HackerNews RSS
## Anthropic 发布 AI 驱动的漏洞检测
Anthropic 发布了“Claude Code Security”,这是一款旨在识别软件漏洞的 AI 工具,加入了 OpenAI (Aardvark) 和 Google (BigSleep) 在这一新兴领域的行列。虽然该技术显示出潜力——Anthropic 声称已发现 500 个“高危”漏洞——但人们对其发现的准确性仍然持怀疑态度。
讨论的重点是 DARPA AIxCC 竞赛强调的可量化指标(成本/漏洞、误报率)。专家建议,最有效的方法是将 LLM 与现有的安全工具(如 Semgrep 和 CodeQL)结合起来,创建由人工监督引导的“虚拟安全工程师”代理。
许多评论员指出,为频繁变化的的代码库扩展这些扫描的挑战,以及恶意行为者滥用的可能性。关于独立的 AI 漏洞扫描器是否可行,存在争论,鉴于前沿实验室专注于将此功能集成到更广泛的编码代理中。最终,许多人认为 AI 将自动化安全领域的“繁琐工作”,增强而非取代人类专业知识。
小乐趣语言
Lil' Fun Langs
2 天前
本文档记录了大量小型编程语言实现,主要集中在 ML 家族(Haskell、OCaml、Scala 等)中,展示了用极少量的代码可以实现多少功能。项目规模从不足 70 行(Hirrolot 的 CoC,一个构造演算的实现)到约 30,000 行(MicroHs,一个几乎完整的 Haskell 编译器)。 许多项目专注于类型推断(算法 W、THIH)、代数数据类型和模式匹配等核心特性。 多个项目旨在实现自举编译——用语言自身编译语言——展示了最小可行语言子集(mlml、AQaml)。一个共同的主题是利用现有的工具(如 LLVM)进行代码生成,从而使小型编译器能够输出高效的本机代码(Harrop MiniML)。 除了核心语言之外,项目还探索了诸如代数效应(Eff、Frank)、线性类型(Austral)和基于能力的安全性等高级概念。 MicroHs 以其近乎完整的 Haskell 实现而脱颖而出,可以从 C 启动,而 MinCaml 尽管省略了多态性,但仍实现了令人印象深刻的性能。 该集合突出了功能丰富性、性能和代码大小之间的权衡,为理解编译器设计和语言实现提供了宝贵的资源。
## Lil' Fun Langs: 黑客新闻精选
黑客新闻上的一场讨论展示了一系列小型、个人编程语言。 几位开发者分享了他们的项目,引发了人们对创建极简语言的挑战和乐趣的兴趣。
值得注意的例子包括 **Admiran**,一种纯函数式、惰性语言,编译为 x86-64 汇编 (6.7k SLOC),灵感来自 Miranda。 讨论涉及了 Miranda 的历史和最近的开源复兴。 **Newt** 是一种 7kloc 自托管语言,编译为 JavaScript,具有双向类型检查和 Web 游乐场。 其他提到的项目包括 **Loon**,一种基于括号的 Lisp,**Fluent** (包括 IDE 4k 行),和 **SectorLISP** (223 行汇编)。
一个共同的主题是构建有用的标准库以及在小型代码库中提供良好的错误消息的难度。 开发者还讨论了垃圾回收与引用计数等功能的权衡,以及设计语言以避免使用 Shift 键的吸引力。 这次对话强调了这些项目作为学习练习和语言设计探索的价值。
## 本周 F-Droid (2026 年 2 月 20 日) - 摘要 F-Droid 正在积极对抗围绕谷歌 Android 锁定计划的虚假信息,尽管公关宣传暗示相反,但该计划*仍然*计划继续进行。为了提高意识,F-Droid 和其他几个应用程序(包括 IzzyOnDroid 和 Obtainium)现在显示警告横幅,鼓励用户表达担忧。 **F-Droid Basic** 收到了一次重要的 alpha 更新 (2.0-alpha3),新增了已安装应用程序的 CSV 导出、安装历史记录、镜像选择以及屏幕截图阻止等功能。Beta 访问需要在 F-Droid 应用程序内切换“允许 beta 更新”。 值得注意的应用程序更新包括 **Buses**(两年来的首次更新)、**Conversations** & **Quicksy**(改进了被封禁用户处理和对平板电脑的支持)以及 **Dolphin Emulator**(主要版本更新,包含详细的更改日志)。**ProtonVPN** 完全切换到 WireGuard,应用程序大小减少了 40%。 随着 Nextcloud Hub 26 Winter 的发布,多个 **Nextcloud** 应用程序也得到了更新。 移除了五个应用程序,并添加了一个新的应用程序,**NeoDB You**。本周共有 287 个应用程序收到更新。F-Droid 鼓励社区贡献并欢迎捐赠以支持其工作。
## oapi-codegen 与 GitHub 安全开源基金 oapi-codegen 项目(根据 OpenAPI 规范生成 Go 代码)参与了 GitHub 安全开源基金,以加强其安全实践并扩大维护者团队。该项目认识到其关键地位——处理 API 交互中的敏感数据——旨在确保生成的代码值得信赖并防止漏洞。 该资金(1万美元)提供了专门的时间来解决安全漏洞,此前由于单人维护者的工作量而面临挑战。这包括改进 GitHub 权限以控制发布,努力遵循 OpenSSF 最佳实践,以及探索威胁建模、模糊测试和漏洞处理。 该项目通过研讨会和问答环节促进了学习,并提供了一个宝贵的同伴群体来分享经验。有趣的是,合并贡献的暂时放缓实际上*提高了*安全性,降低了引入潜在有害代码的风险。 最终,该基金使 oapi-codegen 能够自信地招募新的维护者,并继续为开发者提供安全且维护良好的工具。预计将公开分享进一步的学习和改进。
黑客新闻 新的 | 过去的 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
从 `oapi-codegen` 在 GitHub 安全开源基金中的经验教训 (jvt.me)
20 分,作者 zdw 1 天前 | 隐藏 | 过去的 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系方式
搜索:
仅仅关注食物加工程度可能会产生误导,因为“超加工食品”将豆类和软糖等多种食品归为一类。虽然加工具有益处——保鲜、方便以及养活不断增长的人口——但哈佛大学的沃尔特·维莱特等专家认为,关于超加工食品的研究“具有误导性”,提倡关注整体饮食模式,如植物性饮食和地中海饮食。 最近的研究仔细比较了超加工食品和微加工食品,控制了关键营养素,以分离加工对摄入的影响。研究人员发现,准备未加工食品需要明显更长的时间,但厨师们个人更喜欢它们以促进长期健康。 一个关键问题是人们是否会本能地过度食用超加工食品,从而导致研究中出现大量的、随意食用的份量。有趣的是,参与者常常难以区分两者。 “超加工食品”的概念源于巴西流行病学家卡洛斯·蒙特罗,他观察到一个悖论:尽管传统上被指责的成分消费量下降,但肥胖率却在上升,这促使他调查高度加工食品的作用。
## Atomic-Spectra.net – 网站更新 (2021-2025) Atomic-Spectra.net 经历多次更新,重点在于性能、功能和内容。最近的改进包括提升网站速度的代码更改,以及一项新的客户端功能,允许用户将图像文件与元素光谱进行比较 – 正在等待识别的神秘光谱!由于经济困难,网站管理员目前正在寻找全职工作(C++/PHP/JS/SQL/HTML/CSS技能,亚利桑那州凤凰城或远程),这影响了托管能力。 此前,该网站于2024年过渡到共享主机,导致资源密集型功能(如波长表和格罗特里安图)暂时禁用。社区通过捐赠帮助维持网站运营,并创建了一张新的摄影元素周期表。 持续开发包括升级相机设备以拍摄详细光谱照片、交互式抽认卡以及视觉光谱识别指南。已采取安全措施以应对黑客攻击。该网站继续扩展其资源,并链接到相关项目(如PrimaryOdors)以及在教育视频中的应用。服务器维护计划于2025年10月1日进行。
Hacker News新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交登录
Visible Spectra of the Elements (atomic-spectra.net)
42 分,djoldman 1 天前 | 隐藏 | 过去 | 收藏 | 2 评论 帮助
esafak 1 天前 | 下一个 [–]
一种有趣的方式来指纹识别物质。回复
SiempreViernes 1 天前 | 上一个 [–]
这太酷了!回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
关于硅谷上层圈子中同性男士拥有显著且可能不成比例的影响力,长期以来流传着各种传言——通常被称为“同性恋科技黑帮”。 最初,这一说法被认为是恐同的猜测,但随着越来越多的业内人士承认同性社交圈内存在着一种人脉和晋升模式,这一观点逐渐获得认可。 有报告指出,在同性男士中,专业和人际关系都高度集中,并且公开出柜——或迎合该群体——可能有利于融资和成功。 这并非一定涉及排斥,而是一种强大且自我强化的网络。 最近的一些事件,例如Y Combinator创始人与领导层亲密照片的曝光,加剧了这一讨论,尽管解释各不相同,从无害的社交聚会到刻意寻求影响力都有。 尽管有些人否认存在一个刻意的“阴谋集团”,但人们普遍认为,在硅谷中越来越需要理解——甚至可能参与——这个已经建立起来的网络。
## Hacker News 上关于“Gay Tech Mafia”的讨论
一篇最近的《连线》文章声称一个强大的同性恋男性网络正在影响科技行业,这在 Hacker News 上引发了争论。核心讨论围绕文章是否延续了有害的刻板印象,或者强调了对封闭权力结构的合法担忧。
许多评论者承认,科技行业存在紧密联系的网络,这得益于共同的社交圈子(体育联盟、派对等)和内部推荐——这是一种常见做法,但可能导致排斥。一些人将其与现有的“老男孩网络”如兄弟会相提并论。
然而,大量的批评集中在文章的框架上,人们担心它具有阴谋论色彩,并且可能因为将权力动态*与*性取向联系起来,而不是解决更广泛的裙带关系和权力集中问题而带有恐同色彩。 还有人指出,LGBTQ+ 创始人在风险投资中的代表性不足,这与“黑手党”的说法相矛盾。
这场辩论也涉及新闻伦理,特别是彼得·蒂尔被公开性取向的过去争议,以及公众利益与隐私之间的平衡。最终,这场对话凸显了在科技行业内讨论权力、身份和包容性的复杂性。
这篇文章认为,大量快速构建的应用,通常利用大型语言模型,并非降低了进入科技行业的门槛,而是*凸显*了现有的、至关重要的门槛——**品味**。作者是一位经验丰富的开发者,观察到大量缺乏创意、执行力差的项目涌入Hacker News等平台,这源于一种错觉,即任何人都可以轻松创造出有价值的东西。
核心问题不在于大型语言模型的使用本身,而在于缺乏技能*和*敏锐的品味。技能可以帮助人们克服饱和领域的挑战,而品味决定了一个想法是否能引起观众的共鸣。历史上,Hacker News更看重有趣的概念,而非技术上的完美——一个简单、时机合适的想法就能蓬勃发展。
现在,创作的简易性意味着更多的低质量项目争夺关注,造成噪音。作者以OpenClaw为例,说明即使存在技术缺陷,只要“品味”足够好,也能获得关注,这表明引人入胜的想法可以弥补不足。最终,作者认为这股浪潮会消退,因为创作者会学会优先考虑质量,并理解什么才能真正吸引观众的兴趣。
卡尔·波普尔(1902-1994)深刻影响了20世纪思想,特别是他提出的*可错性*概念——科学进步并非来自证明理论,而是来自严格尝试证伪理论。这一原则超越了科学领域,影响了他对极权主义的分析,他敏锐地感受到在战前奥地利兴起的威胁,促使他移居新西兰。 波普尔颇具争议地认为,极权主义的知识根源不在于新的意识形态,而在于古代哲学,特别是柏拉图的哲学。在他的重要著作《开放社会及其敌人》中,他批判了柏拉图对一个僵化分层的社会,由“哲学家国王”统治并强制执行“高贵谎言”以维持控制的愿景——他认为这种蓝图在20世纪的大屠杀中得到了回响。 在经历了大屠杀中家庭的悲惨损失后,波普尔热烈倡导一个以批判性思维和拥抱变革为特征的“开放社会”。他将之与压制异议和依赖教条神话的“封闭社会”形成对比。尽管承认对柏拉图的其他解读,波普尔认为他的分析突出了寻求“阻止一切变革”的危险,强调了持续质疑和公开对话对于一个公正和自由世界的重要性。
最高法院罕见地驳斥了特朗普总统,裁定他无权单方面征收关税。特朗普曾辩称,1977年《紧急经济权力法》赋予了他广泛的权力,并警告如果受到挑战将产生“灾难性”后果。然而,六名大法官多数意见认为,宪法赋予国会监管关税的权力,而该法律并未授予总统如此广泛的权力。
这一决定是对特朗普过度使用行政权力的重要制约,法院在移民等领域在很大程度上允许了这种做法。虽然法院经常允许特朗普的议程在法律斗争中继续推进,但此案明确限制了他的权力。随着关于出生权公民和联邦任命等问题的进一步挑战仍在进行中,这项裁决可能预示着总统在不久的将来将面临更多挫折。
## 特朗普关税被最高法院裁定无效 - 摘要
美国最高法院裁定特朗普时期通过《国际紧急经济权力法案》(IEEPA) 实施的全球关税无效。这一裁决引发了对约1700亿美元关税收入合法性的质疑,以及是否会向进口商退款——最终影响承担了这些成本的消费者。
讨论的中心是潜在的利益冲突,指控像霍华德·卢特尼克和他的公司 Cantor Fitzgerald 这样的人通过提供“关税退款产品”来预期这一结果而获利。人们也对潜在的欺诈行为以及特朗普政府的财务交易表示担忧,并提及了过去的联邦调查局报告以及与杰弗里·爱泼斯坦的关联。
许多评论员认为,这一裁决并不能完全解决问题,理由是可能存在重新实施关税的漏洞,以及质疑已收取的资金是否会退还。普遍对政府的反应表示怀疑,并担心会继续采取潜在的非法行动。这场辩论延伸到对总统权力过大、宪法限制以及金钱对政治的影响等更广泛的担忧,一些人表达了对美国政治体系的信心丧失。