每日HackerNews RSS

一位安全研究人员在 YouTube 的“Ask Studio”AI 助手功能中发现了一个“提示词注入”漏洞。攻击者只需留下包含隐藏指令的评论,就能强迫 AI 在其官方摘要中显示恶意信息或欺骗性链接。 该漏洞之所以危险,是因为创作者无需直接与攻击者互动。他们只需与 YouTube 自身的界面交互,就会触发 AI 自动处理这些恶意评论。由于 AI 将注入的内容作为其权威输出呈现,创作者往往会对其盲目信任。研究人员演示了攻击者如何通过诱导创作者点击 AI 生成的恶意链接,从而窃取私密视频的标题。 尽管研究人员报告了该缺陷,但 Google 拒绝将其归类为安全漏洞,声称这需要“社会工程学”手段。研究人员对此表示异议,指出该漏洞利用的是用户对 Google 产品本身的信任,而非攻击者。他们敦促 Google 将用户生成的内容视为不可信数据,并在 AI 内部强制执行严格的边界,以防止未来再次被利用。在此之前,建议创作者在与 AI 生成的摘要交互时保持谨慎。

最近的一篇文章指出 YouTube 的“Ask Studio”人工智能功能存在漏洞,恶意攻击者可以通过在视频评论中使用提示词注入(prompt injection)来窃取私密视频标题。攻击者只需在评论中嵌入指令,诱导人工智能生成恶意链接;创作者一旦点击该链接,其私密视频的元数据就会被发送到外部服务器。 Hacker News 社区的讨论集中在三个主要议题: * **工程与“劣质软件”(Slop)之争:** 评论者讨论了软件开发是否能被称为“工程”。许多人认为,与土木或机械工程相比,软件开发缺乏专业执照、问责制和“安全第一”的文化,这导致了为了满足公司绩效评估(GRAD)而“掩盖漏洞”的系统性倾向。 * **提示词注入的本质:** 专家们就提示词注入是否可修复展开了辩论。一些人认为这是大语言模型(LLM)无法彻底根除的根本缺陷;另一些人则建议采取技术缓解措施,例如严格区分用户生成数据与指令,或限制人工智能对私人账户数据的访问权限。 * **机构的冷漠:** 批评人士对谷歌在收到漏洞报告后表现出的不以为然感到沮丧。许多人认为,科技行业为了利润而忽视安全漏洞的倾向是一种“腐烂”,需要监管干预以确保公共安全和数据保护。

唐纳德·特朗普拒绝续签《美墨加协定》(USMCA),造成了严重的经济不确定性,威胁到北美供应链的稳定性。尽管有些人认为这只是暂时的政治策略,但专家指出,北美自由贸易协定(NAFTA)和《美墨加协定》这类贸易协定的真正价值,在于其为企业提供的长期可预测性。 北美汽车工业的一体化程度尤为深厚,零部件在组装过程中会多次跨越国境。行业领袖强调,这些区域性供应链对于全球竞争力和产品价格优势至关重要;试图拆解这些供应链很可能会导致产品成本上升且创新能力下降。 经济学家保罗·克鲁格曼(Paul Krugman)及其他分析师认为,北美内部的贸易争端主要是由政治言论而非经济现实驱动的。他们指出,美国与其邻国有着深度的相互依赖关系,这些邻国同时也是美国最大的出口市场。虽然对于中国产品通过“后门”进口的担忧是合理的,但专家认为将加拿大和墨西哥视为竞争对手是一个错误。与其追求保护主义壁垒,重点应放在维持区域稳定,并建立一个统一、具有竞争力的阵线,以应对全球经济挑战。

抱歉。

按非主键(如 `created_at`)进行分区通常会造成“抽象泄漏”。由于数据库要求分区键必须包含在每个唯一约束中,你被迫修改主键(例如 `PRIMARY KEY(id, created_at)`),这会降低点查询性能并使应用查询变得复杂。开发人员最终不得不为每个查询都“附加”不必要的日期过滤条件,以强制触发分区修剪,从而将存储决策变成了一种强制性且易出错的应用契约。 建议按**主键**进行分区。由于主键已存在于大多数查询中,你无需修改应用代码即可获得自动分区修剪。 如何管理增长和保留策略: 1. **使用后台服务**处理 DDL,例如将 `MAXVALUE` 的全量分区拆分为新的有界范围。 2. **按需与时间对齐**:如果需要基于时间的保留策略,请使用该服务查询对应特定日期的 ID 边界。这既能保持模式整洁,又能实现相同的保留目标。 3. **自动化**:构建一个小服务来处理库存、边界选择和保留删除。 这种方法将主键作为事实的唯一来源,避免了因使用次优分区键而带来的“性能税”。

**Windows CE Dreamcast Community Edition** 是一个旨在将世嘉 Dreamcast 主机内隐藏的、精简版 Windows CE 2.12 运行时转换为功能完备、支持多任务处理的桌面环境的项目。 主要功能包括: * **DCWin 桌面:** 一个由 Dreamcast 的 PVR2/Direct3D 硬件驱动的窗口化外壳,具备任务栏、开始菜单以及窗口管理(移动、调整大小、最小化/最大化)功能。 * **内置应用程序:** 包含资源管理器、任务管理器、计算器、时钟以及各种系统测试工具。 * **独立的构建系统:** 该项目包含了必要的 SH-4 PE 编译器和 CE 镜像工具链。通过一次 CMake 调用即可完成从源码编译到生成可引导 `.gdi` 文件的所有流程,无需额外的 SDK 或 CD 密钥。 * **网络功能(开发中):** 具备一个通用链接垫片(`mppp.dll`),旨在通过传统的拨号协议栈实现以太网连接(支持宽带适配器或通过 SPI 连接的 W5500 模块)。 该项目使用世嘉原厂 "Dragon" SDK 二进制文件作为核心内核,而外壳、驱动程序和网络垫片均为自行开发。它能够生成兼容 GDEMU、MODE 等硬件解决方案或物理光盘的引导镜像。

抱歉。

请启用 JavaScript 并关闭所有广告拦截器

抱歉。

**Curveball** 是一款基于 Rust 开发的工具,专为开源游戏《Neverball》生成复杂的 3D 形状而设计。虽然《Neverball》内置了原生的曲线生成器(`curve.c`),但其功能仅限于圆形弧线。Curveball 通过一种独特的“挤出(extrusion)”抽象概念,让用户能够创建复杂的几何体,从而扩展了这一功能。 在《Neverball》中,3D 对象(画笔)必须是凸多面体,并由半空间的交集定义。手动生成这些对象容易出错,因此 Curveball 使用凸包算法(`chull`)实现了自动化流程。该工具的核心在于定义 2D 轮廓并沿路径进行挤出。通过利用 Frenet 标架来处理旋转和方向,Curveball 可以根据用户定义的简单轮廓和路径,生成种类繁多的形状。 除了标准的挤出功能外,该工具还支持“Curve Classic”、“Curve Slope”和“Rayto”等专用几何类型,以满足各种地图制作需求。Curveball 提供网页版和桌面下载版,为《Neverball》关卡设计师提供了一种强大且灵活的解决方案,助力构建更复杂、更具创意的游戏环境。

抱歉。

作者认为,对象关系映射器(ORM)往往会加剧性能和架构问题,特别是“属性蔓延”和过度对象膨胀。 随着数据库表增长到包含数百个属性,ORM(通常默认获取整个实体)的表现就像 `SELECT *` 查询一样,迫使系统浪费资源将庞大的行数据转换为对象。外键的“有害”使用进一步加剧了这一问题,可能引发非预期的深层关联查询,从而严重拖累性能。 作者指出,虽然可以通过复杂的投影和精细的配置来缓解这些问题,但这些“修复”方案需要开发者对底层 SQL 有深刻的理解。最终,作者认为由于 ORM 并未真正实现数据库抽象,开发者直接使用 SQL 会更好。这样不仅绕过了代码到查询的转换开销,还省去了学习 ORM 数据映射机制(这些机制往往晦涩难懂)的必要。

Hacker News 上关于 ORM(对象关系映射)的长期争论,核心在于它们究竟是有用的工具,还是会阻碍性能的“渗漏抽象”。 **“反 ORM”观点:** 批评者认为,ORM 促使开发者将数据库仅仅视为对象存储,而非关系型系统。通过隐藏 SQL,ORM 往往会导致低效查询(如 N+1 问题),并掩盖了数据库引擎的强大功能。他们认为,由于开发者最终仍需了解 SQL 来解决复杂的性能问题,使用 ORM 反而增加了不必要的复杂性,并“束缚”了数据模型。 **“支持 ORM”观点:** 支持者认为,对于占应用程序逻辑大部分的 CRUD(增删改查)操作而言,ORM 是至关重要的生产力工具。他们认为 ORM 提供了标准化的类型安全,处理了繁琐的样板代码,并起到了领域建模的“强制引导”作用。支持者强调,现代高质量的 ORM 提供了“逃生舱”,允许开发者在必要时编写原始 SQL,同时又不失对象填充和迁移管理带来的生产力优势。 **结论:** 大多数参与者达成了务实的中间立场:将 ORM 用于标准 CRUD 任务以节省时间,但不要在复杂且对性能要求极高的查询中依赖它们。

### 摘要:“隐形”恶意软件威胁 一位开发者最近在其 `tailwind.config.js` 文件中发现了一个隐蔽的后门,该位置通常很少被开发者审计。这种恶意软件与朝鲜关联组织“Void Dokkaebi”有关,它通过多层混淆技术隐藏了一个与 TRON 区块链进行通信的命令与控制(C2)信标。 尽管使用了 Malwarebytes 和 macOS 内置保护等标准安全工具,但恶意代码仍未被检测到。感染扩散到了同一 VSCode 工作区内的多个仓库,攻击者甚至重写了本地 Git 历史记录以掩盖痕迹。作者在生产环境中发现了不明进程的运行证据,且提交日志中出现了自己从未编写过的代码。 **给开发者的主要建议:** * **审计配置文件:** `tailwind.config.js`、`next.config.js` 和 `vite.config.js` 等文件不应包含复杂的逻辑、`eval`、`atob` 或大型混淆字符串。 * **监控进程:** 使用 `ps aux | grep node` 频繁检查是否存在不明的 Node 进程。 * **假设完全受损:** 如果发现可疑代码,请立即轮换所有 API 密钥、SSH 密钥和环境变量机密。 * **检查日志:** 使用 `git reflog` 查看本地历史记录与远程提交之间是否存在差异。

对不起。

请启用 JavaScript 和 Cookie 以继续。

这篇 Hacker News 讨论探讨了信息验证的“失效模式”,其导火索是关于名人死亡的虚假报道。主要议题包括: * **验证的负担:** 参与者认为,事实核查的力度必须与声明带来的潜在风险相匹配。虽然娱乐新闻可以随意对待,但涉及健康或治理的声明则需要严谨的证据。 * **人工智能与信息可靠性:** 评论者担心,像 Google Gemini 这样的人工智能模型正变得“轻信”,它们优先考虑网络上的热门叙事(例如“硬骨挤压/bonesmashing”趋势),而非事实真相。这造成了一种反馈循环,即人工智能既摄入又传播虚假信息。 * **系统性不信任:** 用户建议应默认不信任新闻来源甚至科学研究,并主张获取直接证据或经同行评审的复核。 * **问责制的缺失:** 一个反复出现的担忧是,随着人工智能生成的“垃圾内容”增加,人为错误和虚假信息会被仅仅归咎为软件“漏洞”,从而进一步削弱机构的问责制。 最终,用户认为人工智能驱动的内容兴起可能会迫使社会采取更具批判性的媒体素养,将信息视为本质上不可靠的,直到经过独立核实为止。

抱歉。

更多

联系我们 contact @ memedata.com