关于 新闻 版权 联系我们 创作者 广告 开发者 条款 隐私 政策与安全 YouTube 的运作方式 测试新功能 © 2026 Google LLC
每日HackerNews RSS
抱歉。
技能光谱 SkillSpector
3 天前
**SkillSpector** 是一款安全扫描工具,旨在 AI 智能体技能安装前识别其中的漏洞和恶意模式。研究表明,26.1% 的此类技能包含漏洞,5.2% 具有明显的恶意企图;SkillSpector 通过提供 0-100 的风险评分和明确的安全建议来降低此类风险。
**主要功能:**
* **两阶段分析:** 结合快速静态分析(模式匹配、AST 和 OSV.dev CVE 查询)与可选的基于大模型的语义评估,以提高精准度。
* **全面覆盖:** 可检测 16 个类别中的 64 种漏洞模式,包括提示词注入、数据窃取、权限提升、工具滥用及供应链威胁。
* **灵活部署:** 支持扫描 Git 存储库、URL、目录或压缩文件。输出报告格式支持终端、JSON、Markdown 或 SARIF。
* **可扩展架构:** 可通过命令行工具或 LangGraph API 轻松集成到开发流程中。
SkillSpector 具有高度可配置性,用户可选择大模型提供商(OpenAI、Anthropic 或 NVIDIA)进行深度语义分析,或选择仅进行静态扫描以实现更快的离线执行。该项目开源(Apache 2.0 协议),有助于确保 AI 智能体在经过验证的安全工具集下运行。
这段关于 Hacker News 的讨论主要围绕 **SkillSpector** 展开,这是一款用于验证 AI 智能体“技能”的工具。虽然有人认为此类工具提供了一层有益的安全保障,但也有不少人持高度怀疑态度。
批评者指出,技能本质上就是可执行代码;如果智能体拥有广泛的权限(如访问互联网或执行命令),没有任何自动化验证器能保证绝对安全。用户将其比作杀毒软件,警告称这会产生一种虚假的安全感,并强调切勿运行来源不可信的可执行代码。
此外,对于利用大语言模型(LLM)来监管其他 LLM 的方法,也存在质疑。评论者认为,如果一个智能体足够聪明以至于能绕过安全机制,那么验证器也很容易被欺骗。除了技术上的担忧,一些贡献者还质疑依赖这些工具的专业可行性,认为“大模型监管大模型”的安全措施在利益相关者眼中可能显得很“滑稽”,且不足以应对 AI 供应链攻击所固有的风险。总之,大家的共识是:尽管增加安全层是件好事,但这些工具并非万能药。
Apple 推出了 **RAW 9**,这是其 Core Image 处理流水线的一次重大升级,在去马赛克和降噪方面带来了显著改进。RAW 9 利用分块 CoreML 模型和 Apple 神经网络引擎,在 iOS、iPadOS、macOS 和 visionOS 27 上,尤其是在低光照、高噪点场景中,能够生成更锐利、更清晰的图像。 要实现 RAW 9,开发者应使用 `CIRAWFilter` API,并将 `decoderVersion` 设置为 `version9` 以启用该功能。系统目前支持数百种相机型号,可通过 `supportedCameraModels` 检查兼容性。 为获得最佳性能,Apple 建议: * **交互式编辑:** 使用 `scaleFactor` 进行预览,保持 `cacheIntermediates` 开启,并使用基于 Metal 的视图。 * **导出:** 关闭 `cacheIntermediates` 并利用 `context` 内存限制选项来提高效率。 此外,Apple 增强了 `CIImageProcessor` API,增加了对显式输出分块大小和临时缓冲区管理的支持。这些功能在将 CoreML 模型与自定义图像处理集成时,可最大限度地减少内存开销并提高性能。通过采用这些更新,开发者可以为用户提供顶尖的 RAW 图像质量和响应迅速的编辑工具。
抱歉。
**架构师循环 (Architect-Loop)** 是一个自动化的软件开发框架,它利用双智能体系统来执行复杂的工程和研究任务,无需 API 密钥或额外的 Token 费用。通过利用您现有的 Claude 和 ChatGPT (Codex) 订阅,它避免了智能体工作流程中常见的“简单共享文件”协作陷阱。
**工作原理:**
* **架构师 (Claude Fable):** 担任监督者。它将项目拆分为独立的“切片”,定义只读的验收准则,并进行最终评判。它从不编写代码,从而确保了严格的质量控制。
* **构建者/研究员 (GPT-5.5 Codex):** 在独立的 Git 工作树中并行执行工作。构建者必须对规范提出异议以确保准确性,且在物理层面被限制无法篡改准则文件。
该系统具有**“先遣侦察”研究流程**,即在派遣专业研究小组之前,先进行初步搜索以规划主题。这确保了输出内容的循证性,并强制要求提供引用。
**核心优势:**
* **安全性:** 构建者无法提交更改;架构师手动验证差异和准则指令。
* **高效性:** 使用独立的工作树来防止依赖冲突。
* **透明度:** 所有状态均存储在仓库中(无“幽灵”内存),且长时间运行的进程包含内置的存活状态检查。
这份 Hacker News 讨论聚焦于 DanMcInerney 的一个项目,旨在通过多智能体架构将“Fable”AI 的令牌(token)使用量减少 80%:即利用 Fable 作为协调者/审查者,并将实现任务委派给更高效的 Codex 模型。
讨论帖的主要观点包括:
* **“规划者-执行者”模式:** 许多用户证实,使用复杂且昂贵的模型进行高层规划和架构审查,同时使用更便宜、更专业的模型进行实际编码,是管理智能体令牌成本的一种常见且有效的工作流程。
* **工作流程集成:** 评论者讨论了集成这些不同智能体的难度,指出 Claude Code 和 Codex 等当前工具通常被设计为同时处理规划和执行,这使得外部协调显得“笨拙”。
* **性能与可靠性:** 参与者分享了对不同模型“智能”水平的迥异体验。一些人称赞 Fable 在处理复杂智能体任务上的表现,而另一些人则认为它容易产生幻觉或判断力不足,因此更倾向于使用 Codex 等模型在技术实现上那种严谨、机械的表现。
* **怀疑态度:** 批评者认为,这类“奇巧”的省令牌方法往往是暂时的,因为模型提供商最终会将这些效率提升直接集成到他们的平台中。
```
每日推杆
今日日历
关于每日推杆
每日一洞迷你高尔夫。
第 31 号 · 2026 年 6 月 12 日
如何游玩
抓取球,向后拖动,然后松开。拉得越远击球力度越大。
在其他任何地方拖动以环顾四周;捏合或滚动以缩放。
以尽可能少的杆数将球打进洞。
落水会让你回到原来的位置。
每天一个新洞。以你的首次完成成绩为准。往日的球洞可在日历中查看。
统计数据
日历
太平洋时间每天午夜更新一个新洞。模型由 Kenney 提供 (CC0)。
```
抱歉。
自2011年起,雷诺集团便开始推广电励磁同步电机(EESM)技术,最初应用于Kangoo Z.E.和Zoe车型。多年来,该技术在功率、能效和设计方面均取得了显著演进。 第一代(5A/5AL系列)电机曾为Twingo Electric等早期车型提供动力。2021年,雷诺推出了第二代EESM(6A系列),并首次应用于Megane E-Tech车型。这些电机更加轻量化、紧凑,且功率大幅提升,最高输出可达160千瓦。自此,该技术成为品牌的核心基石,为Scenic E-Tech、Renault 5 E-Tech和Renault 4 E-Tech等多款获奖车型提供动力。 创新仍在继续,2025年底发布的Alpine A390车型即是例证。该车型采用了开创性的三电机布局,由一台前置6AM电机与双电机后驱系统组成,均在克里昂(Cléon)工厂生产。这一先进系统总输出功率约为345千瓦(470马力),标志着雷诺在追求EESM工程卓越道路上的又一重要里程碑。
雷诺汽车为其电动车转向采用无稀土的电励磁同步电机(EESM),这一举措在 Hacker News 上引发了关于效率、维护和技术创新的热烈讨论。
**权衡取舍:** 尽管 EESM 消除了对稀土磁体的依赖,但它面临两个历史性障碍:与永磁(PM)电机相比能源效率较低,以及滑动电接触(电刷/滑环)可能带来的维护问题。雷诺声称其现有的 EESM 效率可达 92%,虽然略低于顶级永磁电机,但从供应链独立性和减少环境影响的角度来看,这被视为一种可接受的权衡。
**讨论焦点:**
* **维护:** 批评者担心长期耐用性,指出有刷电机通常需要维护。支持者则反驳称,雷诺的设计已在长里程的实际使用中证明了可靠性,且有人指出新车型正转向无刷设计。
* **工程:** 爱好者指出 EESM 技术在工业应用中已非常成熟,但将其实施于汽车尺寸和扭矩密度仍是一项复杂的工程挑战。
* **行业背景:** 评论者强调,宝马等其他制造商也在采用无磁体设计,通常将其与感应电机结合使用,以优化不同速度范围内的效率。
{山脉、树木、名称}* 平移并缩放一个程序生成的无限景观。每一个名称都会化作一棵树。 {山脉、树木、名称}* 无限的程序化景观。每一个名称都会化作一棵树。 拖动以平移 · 滚动或双指张合以缩放
抱歉。
Depthfirst 开发了一种能够进行深度代码库分析的自主安全代理,以极低的成本发现了 FFmpeg 中的 21 个零日漏洞。与通用编码代理不同,该安全代理利用自动化威胁建模、数据流分析和验证护栏,能够精确定位具体且可复现的漏洞。 该代理的发现包括 21 个漏洞(涵盖堆/栈溢出及整数问题),其中许多漏洞已潜伏 15 至 20 年之久。值得注意的是,其中 8 个漏洞已被分配了 CVE 编号,其余漏洞则处于内部跟踪状态。 团队重点指出了 AV1 RTP 解包程序中一个关键的堆缓冲区溢出漏洞(CVE-2026-39210),该漏洞展示了攻击者如何通过单个未经身份验证的 183 字节数据包实现远程代码执行(RCE)。通过利用 FFmpeg 的内存管理机制,该代理证明了即使是经过严密审计的大型代码库,也容易受到复杂的自动化分析攻击。这一成果强调了从理论漏洞报告向自动化、可操作的漏洞复现的转变,为保护关键基础设施免受“零点击”攻击提供了强有力的新工具。
一份近期报告指出 FFmpeg 存在 21 个“零日”漏洞,这在 Hacker News 上引发了关于软件安全、人工智能漏洞发现的有效性以及开源维护者责任的热烈讨论。
批评者认为,FFmpeg 长期以来存在内存损坏漏洞,在没有稳健沙箱保护的情况下处理不受信任的数据十分危险。尽管一些参与者认为该报告对“零日”一词的使用属于耸人听闻,但另一些人则强调了其对媒体管道和闭路电视(CCTV)系统构成的真实风险。
此次讨论突显了行业内的文化分歧:
* **维护者倦怠:** 开发人员对那些只负责报告漏洞却不提供修复方案的“追求名声”的研究人员表示不满,并指出处理这些报告是一项繁重且无报酬的工作。
* **人工智能与工具的争议:** 尽管 AI 工具现在可以生成有效的漏洞报告,但关于谁应该承担修补复杂遗留 C 代码这一艰巨工作的争议依然存在。
* **安全与实用主义:** 用户为 FFmpeg 辩护,称其为不可替代的“瑞士军刀”式工具。他们认为,由于目前没有可行的替代方案,安全负担应由用户通过实现沙箱(如虚拟机、容器)来承担,而不是要求开发人员重写整个项目。
众议院近期通过了 H.R. 6028 号法案,即《立法机构部门澄清法案》。该法案旨在从根本上重组美国版权局,取消国会图书馆对版权局的监管权,将权力整合至版权局局长手中,并规定该局长须由总统任命并经参议院确认。 电子前沿基金会(EFF)及其他公共利益团体强烈反对该法案。他们警告称,此举将使一个对互联网政策、言论自由和用户权利具有重大影响的机构政治化。批评者认为,版权局素来倾向于维护大型娱乐业的利益,而非公共福祉;将其从肩负公共服务使命的国会图书馆中剥离,将削弱必要的权力制衡。 此外,尽管该法案可能重塑数字权利和版权法,但其在通过前并未举行公开听证会或进行充分辩论。电子前沿基金会等倡导者认为,版权局局长的选拔应以专业能力而非政治立场为先。他们敦促参议院否决该法案,主张版权政策应服务于公共利益,而非屈从于总统行政当局和行业说客的议程。
美国众议院近日通过了 H.R. 6028 号法案,即《立法机构部门澄清法案》。该法案通过口头表决方式获得通过,并在 Hacker News 上引发了激烈讨论。包括电子前哨基金会(EFF)在内的批评者认为,该法案将把大量权力转移给政治任命的行政职位,从而从根本上重塑美国版权局,并可能导致版权法因政治利益而被选择性执法。
讨论帖主要集中在以下三个主题:
1. **政治与结构性担忧:** 许多用户表示担忧,认为将版权局的控制权转向行政部门可能会导致任人唯亲或政治武器化。另一些用户则讨论了“口头表决”流程是否限制了透明度和问责制,因为它避免了对议员投票进行记录统计。
2. **版权的效用:** 讨论中出现了关于版权价值的严重分歧。一些人认为该制度是阻碍创新的“社会毒瘤”,而另一些人则将其视为保护创作者和开发者(如 GPL 协议)的重要工具。
3. **治理与立法程序:** 辩论双方就是否应将此项变革视为危险的权力整合,还是确保版权局对行政部门负责所必需的结构性完善,展开了激烈争论。
请启用 JavaScript 并关闭广告拦截器
最近的报告显示,受地缘政治不稳定和燃油成本上涨的驱动,法国和德国的电动汽车(EV)需求激增了 50%。Hacker News 的评论者们大多认为,这并非突如其来的转变,而是某种必然转型进程的加速。
主要讨论点包括:
* **技术转型:** 雷诺、宝马和日产等汽车制造商正转向采用电励磁同步电机(EESM),以消除对稀土金属的依赖;印度供应链在这一领域正日益融入欧洲和亚洲的制造体系。
* **基础设施与普及:** 尽管北欧地区(德国、丹麦、荷兰)的电动汽车基础设施十分完善,但南欧地区的基础设施普及情况依然碎片化。许多评论者指出,高昂的燃油价格起到了催化剂作用,促使那些持观望态度的人转向电动汽车,以摆脱通勤对波动剧烈的石油市场的依赖。
* **政策与未来展望:** 参与者讨论了当前的市场压力是否起到了事实上的碳税作用,迫使消费者放弃内燃机汽车。虽然有些人仍在等待固态电池技术的成熟,但另一些人认为,电动汽车维护和运营成本较低的长期趋势,使其成为应对未来地缘政治能源冲击的合理避险选择。