arXivLabs是一个框架,允许合作者直接在我们的网站上开发和分享新的arXiv功能。个人和与arXivLabs合作的组织都认同并接受我们开放、社群、卓越和用户数据隐私的价值观。arXiv致力于这些价值观,并且只与秉持这些价值观的合作伙伴合作。您是否有为arXiv社群增加价值的项目想法?了解更多关于arXivLabs的信息。
每日HackerNews RSS
黑客新闻 新的 | 过去的 | 评论 | 提问 | 展示 | 工作 | 提交 登录
同位素证据表明星际天体 3I/Atlas 起源于寒冷和遥远的地方 (arxiv.org)
22 分,来自 bikenaga 1 天前 | 隐藏 | 过去的 | 收藏 | 1 条评论 帮助
dvh 1 天前 [–]
> 碳同位素组成表明 3I/ATLAS 大约在 10-12 亿年前吸积。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
## Apache FOP & GhostScript 漏洞摘要
一名安全研究人员发现了一个漏洞,该漏洞存在于使用 Apache FOP 将用户提供的 XML 转换为 PostScript,然后使用 GhostScript 生成 PDF 的应用程序中。虽然 GhostScript 包含用于安全性的沙箱,但 FOP 处理用户输入的方式存在缺陷,导致潜在的代码执行。
问题源于生成的 PostScript 代码中字符的转义不足。具体来说,精心构造的 XML 输入可以绕过 FOP 的转义机制并注入任意 PostScript 指令。FOP 的换行功能加剧了这一问题,该功能引入了进一步破坏转义逻辑的换行符。
通过利用这一点,研究人员可以注入诸如 `showpage` 和文件访问指令之类的命令,最终直接从服务器的文件系统中读取敏感文件(例如 Docker 挑战中的 flag)。一个关键的解决方法是使用不间断空格来防止 FOP 分割命令。
虽然完全逃逸沙箱是可能的,但研究人员成功利用该漏洞读取了一个 flag 文件。Apache FOP 不会修复底层问题,而是选择改进有关预期安全属性的文档。研究人员还利用了另一个 Windows 漏洞 (CVE-2025-46646) 以获得更广泛的文件系统访问权限。
黑客新闻 新的 | 过去的 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
绕过 Apache Fop PostScript 转义以访问 GhostScript (almond.consulting)
7 点赞 by notmine1337 1 天前 | 隐藏 | 过去的 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
(Empty input provided. There is nothing to translate.)
## GPU转码变得简单:ffmpeg-over-ip ffmpeg-over-ip 提供GPU加速的ffmpeg转码,无需GPU直通、共享文件系统或驱动对齐的复杂性。它允许应用程序通过将`ffmpeg`命令替换为`ffmpeg-over-ip-client`,即可利用远程GPU进行媒体服务器转码等任务。 该系统通过在具有GPU访问权限的服务器上运行,并在包含文件的机器上运行客户端来工作。客户端通过单个TCP端口将命令和文件I/O转发到服务器,服务器执行一个补丁后的ffmpeg。重要的是,文件*从不*驻留在服务器上,从而无需NFS、SMB或复杂的挂载。 包含支持NVENC、QSV和其他硬件加速方法的预构建二进制文件,简化了设置。多个客户端可以同时连接到单个服务器,每个客户端都有自己的ffmpeg进程,并受到HMAC身份验证的保护。它是一种简化解决方案,可在Docker、VM和远程机器等各种环境中利用GPU性能。
## FFmpeg-over-IP:远程GPU加速
Steelbrain发布了“ffmpeg-over-ip”的更新,该项目可以连接到远程FFmpeg服务器。这允许利用配备GPU的机器(如游戏笔记本电脑)来加速没有GPU的机器的视频转换,非常适合Plex或Jellyfin等媒体服务器。
该系统包括一个运行修改版FFmpeg的服务器(配备GPU)和一个处理本地文件I/O请求的客户端,使FFmpeg不知道它没有访问本地文件系统。单个服务器可以为多个客户端提供服务。该项目捆绑了一个静态FFmpeg构建,并使用配置文件和密码保护简化设置。
讨论强调了对类似概念的实验(如rffmpeg和ffmpeg-commander),避免复杂文件系统共享的好处,以及与Plan 9分布式系统方法的比较。虽然有些人质疑在软件转码能力存在的情况下是否有必要,但作者强调了移动设置和利用现有硬件等用例。该项目旨在易于使用和控制,为直接修改FFmpeg以实现网络功能提供了一种方便的替代方案。
勒丘恩筹集10亿美元,用于构建理解物理世界的AI。
Yann LeCun raises $1B to build AI that understands the physical world
2 天前
## AMI 启动,获得 10 亿美元资金,致力于“世界模型”人工智能 Meta 前首席人工智能科学家 Yann LeCun 在巴黎联合创立了 Advanced Machine Intelligence (AMI),获得了超过 10 亿美元的资金,用于开发人工智能“世界模型”。LeCun 认为,当前人工智能的发展,专注于像 ChatGPT 这样的大型语言模型 (LLM),是实现真正人类水平智能的死胡同。他认为,人工智能需要理解*物理*世界,而不仅仅是语言,才能真正地推理和规划。 AMI 估值 35 亿美元,旨在创建具有持久记忆、可控性和安全性的 AI 系统,目标行业包括制造业、生物医学和机器人技术。该公司将在巴黎、蒙特利尔、新加坡和纽约等地全球运营。 这项举措代表着对 OpenAI 甚至 LeCun 前雇主 Meta 所倡导的 LLM 方法的重大反*对*。虽然承认 LLM 的实用性,但 LeCun 将其视为一种临时趋势,认为世界模型对于真正的人工智能发展至关重要,并且最好独立商业化。他获得了 Zuckerberg 的祝福,离开了 Meta 来追求这一愿景。
## AI辅助编程:熟练度等级 人工智能的编程*能力*正在迅速提升,但要充分发挥其*益处*,需要培养有效利用它的技能。这种进步并非追求最高的SWE-bench分数,而是弥合人工智能*能够*做的事情与我们如何*应用*它之间的差距。 作者概述了**八个**AI辅助编程熟练度等级。它从基本的**代码补全**(等级1)等功能开始,逐步发展到利用AI驱动的IDE进行多文件编辑(等级2)。**上下文工程**(等级3)——优化提示的清晰度——至关重要,并演变为**复合工程**(等级4),将经验教训编码为未来会话的规则。 等级5-7通过**定制工具和技能**(MCPs)解锁显著收益,赋予人工智能访问数据库、API和测试框架的权限,并最终**编排后台代理**以自主处理任务。当前的边界,**等级8**,涉及完全自主的代理团队直接协调,但管理复杂性仍然存在挑战。 关键要点是,每一层都建立在上一层之上,通过改进的模型来放大收益。在团队范围内投资熟练度——确保每个人不会被速度较慢的同事拖累——至关重要。未来指向更自然的界面,如语音控制,但核心原则仍然是:迭代开发,由越来越强大和自主的人工智能代理提供支持。
## 代理工程水平:摘要
这次Hacker News讨论围绕一篇博客文章,该文章概述了在软件开发中使用AI代理的“水平”。作者提出一个从基础提示(1级)到完全自主代理团队(8+级)的进阶过程,这些团队能够以最少的人工干预完成复杂的任务。
一个关键要点是捕捉决策的*原因*,而不仅仅是决策的*内容*的重要性。仅仅将规则编纂化是不够的;理解选择背后的权衡至关重要,并且最好将这些信息与代码本身一起保存在版本控制(如Git历史记录)中。
许多评论者强调验证成本是实现更高自动化水平的主要障碍。产生更多的代码需要更彻底的测试,并且保持质量成为一个重大挑战。关于当前模型是否真正准备好实现完全自主,存在争论,一些人认为最近的进展(如Claude Opus 4.6)正在迅速改变格局。
对话还涉及对更好的工具和代理编排及上下文管理标准化需求,超越特定供应商的解决方案。最终,讨论强调选择正确的方法取决于具体需求,并优先考虑稳定性而非单纯的速度。
## 从废墟中思考:摘要 本文探讨了被殖民和边缘化人民所经历的失败的持久影响,特别关注作者的伊朗巴赫蒂亚里族背景以及石油开采对其土地的影响。作者的父亲传授了一个重要的教训:以“坦然的面孔”面对不可避免的失败——一种保持脆弱和暴露的意愿,拥抱从苦难中获得的知识。 文章借鉴了弗兰茨·法农的作品,认为失败不仅仅是一种被动体验,而是理解世界的一个关键视角。这是那些历史上被殖民力量“摧毁”的人所共有的处境,也是产生独特知识和抵抗形式的催化剂。 作者将这一概念与卡尔巴拉悲剧和特立尼达的霍赛仪式等历史事件联系起来,展示了哀悼和纪念如何成为生存和政治行动的强大工具。最终,文章倡导一种“悲观的希望”——即使在不可能的情况下也要继续斗争——以及一种能够设想在系统性不公正的废墟之外的生活的激进想象力。因此,失败不是终结,而是批判性思考的一种方法和未来可能性基础。
这场 Hacker News 讨论围绕 *cabinetmagazine.org* 上题为“失败作为方法”的文章展开,该文章提出批判性思维最好是从“失败者”的立场出发。
核心争论在于如何面对过去的苦难和失败。一些评论者同意文章的观点——从破碎中学习可以富有成效,而沉溺于过去的辉煌可能会阻碍现在和未来的进步。另一些人则质疑对全球悲剧表达的关注是否真诚,认为这往往是表演性的,而非促成真正的行动。
一个关键点是,推动变革是困难的,需要投入的努力和牺牲舒适的意愿。许多评论者强调教育和团结的重要性,以激发集体行动。另一些人则捍卫在没有明确解决方案的情况下感受悲伤的合理性,并质疑是否*需要*行动来验证真挚的情感。最终,这个帖子探讨了承认苦难、个人责任以及积极改变的可能性之间的复杂关系。
## 开源机器学习的简单幻觉
一位大学教授的建议——“如果出现错误,那是你的错”——对于大多数软件来说是适用的,但在开源机器学习基础设施方面却不成立。作者在尝试廉价地对Kimi-K2-Thinking(一个拥有1万亿参数的模型)进行后训练时,亲身体验了这一点。尽管Hugging Face上有现成的模型,但一个可用的训练流程却出乎意料地难以实现。
最初使用LLaMA-Factory和Hugging Face的Transformers库的尝试充满了错误,从由于冗余量化导致的无法解释的压缩延迟,到需要一个特定的、未记录的PyTorch设置才能解决GPU内存管理问题。进一步的障碍包括GPU上的权重分布不均匀、LoRA与量化权重的不兼容,以及由于不可微分的MoE门而阻止训练的关键断言错误。
最终,作者实现了训练——尽管速度明显较慢且成本高于使用专用API——方法是绕过抽象层并直接解决底层问题。这次经历凸显了开源ML堆栈中隐藏的“债务”,错误可能潜藏在深层的依赖关系中。虽然开源旨在 democratize AI,但作者认为,构建可靠的基础设施通常需要放弃修补,转而拥抱定制开发。
## 开源权重 vs. 真正的开源 AI:总结
最近 Hacker News 上的一场讨论集中在“开源权重”和真正的“开源”AI 模型之间的区别。虽然“开源权重”允许用户下载和修改模型,但它被比作反编译的共享软件——你可以使用和修改它,但无法从头开始重现它。这与完全开源的模型(如 OLMo)不同,后者旨在实现完全透明,包括训练过程。
核心论点是,“开源权重”提供了有价值的可用性和性能,通常优于完全开源模型,这使得它们对初创公司具有吸引力。然而,真正的民主化需要访问整个“训练堆栈”——数据、方法和基础设施——以便完全可重现和迭代。
人们对由于版权问题、巨大的计算成本以及对数据标注的伦理上常常令人质疑的人工劳动依赖性而重现模型的实用性表示担忧。尽管存在这些挑战,贡献者认为在软件和基础设施方面提高透明度,以及预训练过滤技术的进步,将是向前迈出的重要一步,即使完全开放数据不太可能实现。
## Autonoma 的彻底转型:从头重写 经过 1.5 年的开发和多次转型(企业搜索、代码代理、质量保证测试),Autonoma 正在重建其产品,尽管最近获得了客户和资金。 核心原因? 最初的一个令人遗憾的决定,即为了速度而牺牲代码质量,放弃测试和严格的 TypeScript。 最初,“无测试”的方法对于小型团队来说是可行的,但迅速导致了充满错误且难以维护的代码库,最终导致失去了一个客户。 认识到造成的损害,Autonoma 现在正在采用测试驱动开发方法,并使用严格的 TypeScript。 这次重写还涉及重大的技术栈转变。 他们正在放弃 Next.js 及其存在问题的服务器动作——引用了异步行为、测试困难和全局顺序执行的问题——转而使用 React 与 tRPC 以及 Hono 后端,以提高效率和降低成本(将资源使用量从 8GB 降低到接近免费)。 编排由 Kubernetes 原生的 Argo 处理,因为它在管理复杂的状态化工作流方面具有可靠性和可扩展性。 虽然具有挑战性,但这种方法避免了像 useworkflow.dev 和 Temporal 这样较新的工作流工具的限制。 Autonoma 欢迎反馈,并计划在几周内发布新产品。
## 黑客新闻讨论:丢弃18个月的代码
一场黑客新闻讨论围绕着一位开发者决定放弃18个月的工作并重新开始一个项目。最初的问题源于领导层的决定,**禁止编写测试**,认为这能加快最初的发布速度。然而,这导致了一个混乱、充满bug的代码库,并最终失去了客户。
核心争论围绕着测试的价值。许多评论者强烈主张测试对于维护代码质量和在初始开发*之后*实现快速迭代至关重要。一些人承认,在创业公司非常早期的阶段,跳过测试可能是合理的,优先考虑上市速度,但强调忽视测试的长期成本。
几位用户强调了“版本2问题”——重写的过度工程化倾向,最终创造出更糟糕的产品。其他人讨论了理解业务背景以及就测试进行知情的成本效益分析的重要性。讨论还涉及了人工智能在测试生成中的作用以及潜在的平衡转变。最终,共识强烈倾向于测试对于可持续软件开发是必要的。
## 民主化企业知识:企业上下文层 构建一个全面、自我更新的公司知识库——“企业上下文层”(ECL)—— 令人惊讶地是可以实现的。尽管围绕复杂解决方案(如知识图谱)存在炒作,但最近的实验表明,仅使用 1,000 行 Python 代码和一个 GitHub 仓库就能取得成功。 挑战在于超越简单的文档检索,去*理解*公司的细微差别:产品消歧、发布细节、内部流程和冲突信息。现有的解决方案难以实现这种整体视图。 关键在于使用 AI 代理映射组织的各个方面——产品、人员、流程——并且至关重要的是,为每个声明*引用来源*,创建一个可追溯、可验证的知识库。这种方法不追求可读性,而是追求准确性和上下文。 该实验涉及 20 个代理生成 6,000 次提交,跨 1,020 个文件,映射从客户旅程到功能标志清单的所有内容。 结果系统超越了现有的检索系统,甚至可以识别出最适合路由到专业团队的敏感问题。 这并非一个产品,而是一种实践——所有公司内部 AI 代理的基础层,由机器构建和维护,并且随着 LLM 的改进而日益普及。 未来设想将从定制 AI 代理转向利用共享的、机器维护的上下文层来获取所有组织知识。
最近的 Hacker News 讨论围绕着“企业上下文层”(ECL)——一种旨在利用人工智能代理捕获和利用公司内部知识的系统。核心思想,在链接的文章中有详细说明,是超越简单的知识检索(如 RAG 系统),转向理解规则*存在的原因*,而不仅仅是规则*是什么*。
评论者强调了 ECL 改善传统知识管理的潜力,指出目前的系统往往会丢失决策背后的推理过程。然而,人们也对这些系统如何处理不断变化的信息表示担忧——特别是,它们如何检测到规则背后的*推理*何时失效。
讨论还涉及可扩展性(公司发展是否需要更多代理?)、开源替代方案以及使用云服务可能出现的过度工程问题。 许多用户对这种方法表示兴奋,特别提到像 Cursor 这样利用类似概念的工具具有令人印象深刻的能力。 最终,对话表明 ECL 代表着企业知识管理领域一个充满希望但可能复杂的演进。