## LLM 与网络安全未来:实验总结 近期实验表明,像 Opus 4.5 和 GPT-5.2 这样的大型语言模型 (LLM) 在攻击性网络安全方面的能力正在迅速提升。作者挑战这些代理为 QuickJS(一种 JavaScript 解释器)中的零日漏洞开发利用程序,并设置了各种约束和目标(shell 启动、文件写入、C2 连接)。 两款代理在 6 种场景中成功创建了超过 40 个不同的利用程序,其中 GPT-5.2 解决了 *所有* 挑战。值得注意的是,GPT-5.2 甚至设计了一条新的利用链,以绕过多种安全缓解措施并将文件写入磁盘,成本约为 50 美元的代币。 关键要点是“工业化”入侵的潜力——成功不再受黑客技能限制,而是受 *代币吞吐量* 限制。LLM 可以在给定环境、工具和验证方法的情况下有效地“搜索”解决方案。利用程序开发尤其适合这一点,因为环境易于构建,验证也很简单。 虽然当前的 LLM 擅长利用程序 *开发*,但像初始访问和在网络中维持持久性这样的任务更加复杂,需要实时交互并承担立即失败的风险。然而,作者认为 LLM 能力的持续进步表明,即使这些任务也可能变得自动化。 作者敦促人工智能公司和安全机构优先评估模型对 *真实* 漏洞的应对能力,并公开分享结果,超越 CTF 和合成数据。这将提供对 LLM 潜力的更清晰理解,并为网络能力日益受到计算资源驱动的未来做好准备。
每日HackerNews RSS
## LLM 与漏洞利用的未来:摘要
一篇近期文章探讨了大型语言模型 (LLM),如 GPT-5.2 和 Opus 4.5 如何“工业化”漏洞生成,意味着发现漏洞的能力越来越受计算资源(令牌吞吐量)而非熟练黑客的限制。作者展示了 LLM 可以自主发现并验证漏洞,甚至绕过地址空间布局随机化和沙盒等复杂的安全措施。
然而,评论员指出,这些漏洞目前利用的是*已知*的弱点和部署中的漏洞,而非安全机制的全新突破。虽然技术上并非开创性,但 LLM 显著降低了漏洞开发的门槛。
有趣的是,许多人认为这*最初*可能会提高安全性。增加的压力将迫使更好地实施现有缓解措施,并推动对形式化漏洞建模的投资。讨论强调了不对称性:攻击者只需要一个成功的漏洞,而防御者必须保护一切。
最终,共识是 LLM 是攻击和防御的强大工具,关键在于有效地利用它们——包括自动化测试和验证——以保持领先地位。LLM 辅助黑客的兴起强调了数据安全和健壮系统设计日益重要。
## 空间天气简报 - 2026年1月19日
空间天气预测中心 (SWPC) 于2026年1月19日发布了G4(强)地磁暴预警,开始时间为美国东部标准时间下午2:38(协调世界时19:38),原因是日冕物质抛射 (CME) 冲击到达。预计G4级别将持续到晚上。
目前,还生效了一级R1无线电干扰,可能导致向阳面高频无线电通信微弱衰减,以及低频导航信号的短暂中断。
SWPC提供广泛的数据和预测,与空间天气现象相关——包括太阳耀斑、地磁暴和太阳风——以及它们对电力网、GPS和卫星运行等技术的影响。资源包括实时观测、预测模型和针对各个行业的警报。您可以在[https://services.swpc.noaa.gov](https://services.swpc.noaa.gov) 找到更多信息。
## 太阳辐射事件总结 (2026年1月19日)
2026年1月19日,地球受到一次显著的太阳辐射事件影响,被归类为G4级地磁暴,由太阳的日冕物质抛射触发。虽然并非灾难性事件,但它有可能扰乱电力网、GPS、卫星运行以及高频无线电通讯等技术。
此次风暴还引发了壮观的极光景象,在异常低纬度地区可见——包括柏林、慕尼黑,以及可能出现的西雅图。专家指出,这类事件大约每11年太阳周期发生九次,集中在活动高峰期。
人们对航空旅行辐射暴露以及长距离输电线路的脆弱性表示担忧。然而,对于大多数人来说,主要影响是可能目睹罕见而美丽的自然现象。 NOAA空间天气预测中心和极光预警应用程序等资源可用于跟踪风暴的进展。
一项由曼彻斯特大学进行的大规模研究,调查了超过25,000名青少年(年龄11-14岁),挑战了社交媒体和电子游戏直接*导致*心理健康问题的普遍观点。这项发表在《公共卫生杂志》上的为期三年的#BeeWell项目发现**没有证据**表明增加屏幕使用时间会导致男孩或女孩的焦虑或抑郁率更高。 虽然承认在线体验*可能*有害(例如欺凌或负面内容),但研究表明,这种关系比简单的“屏幕时间等于心理健康问题”更为复杂。有趣的是,玩游戏更多的女孩倾向于较少使用社交媒体,而有情绪困扰的男孩通常会减少游戏时间。 该研究强调,仅仅关注青少年花在网上*多少*时间,会忽略影响他们福祉的关键因素,为家长和教育工作者提供了一个更细致的视角。
本摘要详细介绍了最大化Claude能力的进阶技巧。为了防止Mac上执行长时间任务时进入休眠模式,请使用`caffeinate -dimsu`。Claude经常会总结粘贴的较长文本;查看完整提示的解决方法是使用bash历史记录(`!sleep 100`然后向上箭头)。
“Ultrathink”现在始终处于激活状态。虽然“Ralph”旨在自动化复杂任务,但它通常很繁琐,需要设置文件和仔细的提示(“你就是代理。完成工作。”)。监控单独的聊天对于Ralph的成功至关重要。
**主要功能包括:** **自定义子代理**,用于专注的任务(研究、评论),**Hooks**,用于自动化操作(例如运行Prettier),**Skills** – 可重用的代码/提示包(推荐Vercel的React skill),以及**MCP**,用于直接连接到外部服务(GitHub、Slack、数据库)。
最后,`-p`标志启用**无头模式**,用于脚本编写和自动化,非常适合PR审查或自动回复。立即开始实验;如有需要,可以使用详细指南。
GitClassic – 像2015年一样浏览GitHub GitClassic 动态 Explore Go Pro 登录 像2015年一样浏览GitHub。 🚫 零JavaScript 你的浏览器不是运行时。这只是HTML。 🧹 没有AI垃圾 没有Copilot提示。没有“AI摘要”。只有代码。 🏃 极快 页面小于50KB。可在2G网络下工作。你奶奶也能用。 我构建这个是因为现代GitHub让我的笔记本电脑风扇仅仅为了阅读README就开始旋转。 这是没有47MB JavaScript、我没有要求的AI建议以及到处显示“Copilot可以帮助你编写代码”横幅的GitHub。 关于
## GitClassic:一个轻量级的 GitHub 界面
开发者 Chris 构建了 **GitClassic** (gitclassic.com) 来应对 GitHub 日益臃肿的问题——加载速度慢和过多的 JavaScript,包括 Copilot。它是一个只读的、服务器渲染的 HTML 界面,让人联想到 2015 年左右的 GitHub,旨在即使在慢速连接下也能实现速度和可访问性。未使用 JavaScript,并且无需帐户即可查看公共仓库。
GitClassic 使用 Node 在 Lambda 上构建,并针对 GitHub API 进行缓存,仅用 3 小时就完成了构建。目前,它允许浏览公共仓库、文件和 README 文件。提供通过 GitHub OAuth 访问私有仓库的“Pro”版本,价格为每年 20 美元(使用 50% 的“HACKERNEWS”促销代码)。
早期的反馈强调了 API 速率限制的潜在问题(通过 GitHub 登录解决以获得更高的限制)以及某些仓库的解析错误。开发者正在优先添加对 Issues 和 Pull Requests 的支持,旨在重现旧版 GitHub 的更快速体验。
Greenland Crisis
2 天前
## 格陵兰在黑客新闻上的讨论
一篇关于格陵兰的维基百科文章引发了黑客新闻上的一个帖子,展开了一场复杂的讨论,内容涵盖地缘政治战略到美国国内政治。最初的帖子引发了对格陵兰缺乏科技初创企业的评论,并迅速演变为更广泛的话题。
许多评论员对特朗普前总统对收购格陵兰的兴趣表示担忧,将其与他的外交政策联系起来,并质疑其对北约的潜在影响。一些人认为,美国的意图源于战略重要性——控制北极航运路线,并对抗俄罗斯以及日益强大的中国。另一些人则认为美国已经拥有足够的访问权限,并且追求所有权会破坏国际关系。
一个反复出现的主题是独立格陵兰的经济可行性,它严重依赖丹麦的支持。人们对美国的潜在动机表示担忧,包括资源开采和军事扩张。几位用户辩论了吞并或不同形式的隶属关系(如自由联合公约)的可能性,以及对全球安全的潜在后果。
最终,这场讨论凸显了人们对美国外交政策的担忧、不断变化的地缘政治格局以及格陵兰主权的未来。
此文档似乎是一个碎片化的PDF文件,可能包含图形元素和文本。原始数据由PDF对象定义组成,包括压缩数据流(FlateDecode)以及用于渲染页面和表单的指令(XObjects)。 内容似乎定义了页面结构,可能包括旋转元素和具有特定坐标和绘图命令(如矩形和线条)的表单。 还有ProcSet定义,表明使用了PDF、文本和图像B功能。 然而,由于提供的片段高度编码且不完整,在没有完整且正确渲染的PDF文件的情况下,无法确定文档的*实际*内容——它最终显示哪些图像或文本。数据流包含二进制数据,需要PDF解释才能变为可读。
## 简单破坏行动手册 (1944) - Hacker News 讨论摘要
一份1944年 CIA “简单破坏行动手册” (PDF) 的链接在 Hacker News 上引发了热烈讨论。该手册详细介绍了微妙地破坏敌方组织的方法,评论员们惊讶地发现其相关性在现代职场中依然适用。
许多人注意到,描述中的“破坏”技巧——例如制造延误、散布谣言和普遍效率低下——在办公室中经常自然发生,并非出于恶意。一些人思考该手册是否是对组织行为的愤世嫉俗评论,或者仅仅是认识到有效的破坏必须具有可否认性。
对话扩展到更广泛的话题,例如职场效率低下、政府浪费以及官僚程序可能造成的无意伤害。几位用户分享了相关的解密文件,并链接到之前 HN 上关于同一主题的讨论。有人对访问该文件可能被监控表示担忧,但许多人驳斥了这些担忧,指出该文件已广泛传播。最终,该帖子突出了一种黑色幽默且发人深省的视角,展示了系统如何容易地从内部被破坏。
关于按住版权联系我们创作者广告开发者条款隐私政策和安全性YouTube的工作原理测试新功能© 2026 Google LLC
一个黑客新闻的讨论围绕着一个YouTube视频,该视频展示了2D光线追踪,灵感来自《平地》这本书,该书探讨了维度。 许多评论者推荐《平地》作为理解更高维度的绝佳资源,但有人指出它的维多利亚时代性别歧视和阶级主义,建议在给10岁的孩子看之前预览一下。 也有人建议观看动画电影改编版,作为更易于理解的选择。
对话也偏离到使用`yt-dlp`下载视频的技术问题,用户报告“403禁止”错误,并讨论了可能的解决方法,例如更新工具及其依赖项,或者被YouTube限制速率。 一句关于法律不平等应用的引言,最初被错误归因,后来被纠正,引发了进一步的讨论。 总而言之,这个帖子融合了对视频教育内容的赞赏,以及实际的故障排除和相关概念的离题探索。
## 隐藏的安卓设置检测虚假基站
一项新的安卓设置,目前仅Pixel 10(以及可能通过更新的Pixel 9 Pro)独有,旨在提醒用户手机连接到虚假基站时的情况。这解决了长期存在的安全漏洞,即连接缺乏加密,导致通信容易被拦截。
讨论强调了网络安全(HTTPS警报)和蜂窝网络安全之间的差异。虽然5G引入了一些保护措施,但这些措施是可选的,并且在漫游和证书管理方面面临挑战。人们对潜在的政府监控以及当局可能破坏系统表示担忧。
用户讨论了诸如禁用2G/3G回退以及使用“rayhunter”等工具来检测可疑基站的解决方法。然而,核心问题仍然存在:即使有加密,运营商和政府仍然可以通过搜查令访问数据。许多人认为,假设所有设备活动都在被监控是一种现实的立场,并且积极的安全措施,即使不完美,仍然是有价值的。这场辩论凸显了安全、便利和潜在监督之间的紧张关系。
🛡️ 安全验证 验证您是否为机器人 ⏳ 正在验证您的浏览器… 验证并继续 ✓ 验证完成 此页面将在稍后自动跳转…
## 黑客新闻讨论:哺乳动物进化与食蚁
最近一项研究(phys.org)指出,自恐龙时代以来,哺乳动物已经独立演化出食蚁能力12次。这引发了黑客新闻关于这种进化路径普遍性的讨论,并将其与“螃蟹化”现象相提并论——即蟹状形态的重复进化。
评论者认为蚂蚁数量众多,代表着巨大的生物量和蛋白质来源,是关键驱动因素。然而,对话很快演变成关于人类食物选择的争论。许多人质疑为什么人类优先选择大型动物农业而非昆虫消费,并提到了卡路里密度、易捕获性以及既定的文化偏好等因素。
一些用户指出了完全依赖昆虫为生后勤方面的挑战,而另一些人则幽默地建议公司才是最终的“人类消耗者”。讨论还涉及灾难性事件在驱动再进化中的作用,以及专注于“高效”食物来源的潜在缺点,质疑食蚁是否代表一种可持续的长期策略。 之前 HN 平台上关于该主题的讨论也被链接出来。