每日HackerNews RSS

一名安全研究人员在 MSI 笔记本电脑和台式机预装的 MSI Center 软件中发现了严重漏洞。通过对应用程序的可执行文件进行反编译,研究人员发现了一个实现不安全的命名管道(`MSI_SERVICE_2`),这使得任何经过身份验证的用户都能以 `LocalSystem` 权限执行命令。 这些命令可用于操作注册表、修改 Windows Defender 设置或执行任意代码。该系统依赖过时的 3DES 加密和薄弱的注册流程,甚至可以通过 SMB 协议被利用,从而在网络上实现远程代码执行(RCE)。 漏洞报告过程最初遇到了一些障碍,研究人员提交的报告因对方邮箱满载而被退回。在获得 Gamers Nexus 的协助联系到相关负责人后,研究人员发现 MSI 的响应非常迅速,在两天内修复了该漏洞。尽管研究人员尚未因其重大的安全贡献获得任何漏洞赏金,但目前正在等待该发现的 CVE 编号。该漏洞已在 MSI Center 2.0.70.0 版本中得到修复。

本文指出,“威胁建模”常被滥用为流行语,但它实际上应成为评估安全性的实用且动态的框架。 一个合格的威胁模型必须定义以下内容: 1. **资产**:我们需要保护什么? 2. **参与者**:谁想造成伤害? 3. **攻击场景**:他们如何才能得逞? 4. **缓解措施**:我们采取了什么措施来阻止他们? 5. **假设**:我们认为理所当然的前提是什么? 6. **关系**:系统组件之间如何交互? 7. **已接受的风险**:我们选择不处理哪些威胁? 作者指出,尽管一个不完美的威胁模型(如 Matrix 的模型)也比没有好,但高质量的模型需要绘制系统依赖关系并记录假设。这一过程能防止“未知的未知”,并帮助工程师做出更好的设计选择,例如优先使用通行密钥(passkeys)而非密码。 除了架构之外,威胁建模还充当着“胡扯探测器”。通过明确定义风险,并将意识形态上的危言耸听与技术现实(例如后量子密码学争论)区分开来,从业者可以做出客观决策,而不是陷入恐惧、不确定和怀疑(FUD)之中。归根结底,威胁建模的意义在于构建直观的纵深防御,而非追求抽象的学术完美。

抱歉。

Tinkerfont 是一款专为设计师和开发人员打造的浏览器扩展程序,旨在无需修改代码即可在实时网页上快速检查、测试和替换字体。 Tinkerfont 源于在客户项目或接手代码库时对排版进行轻松实验的需求,提供流畅的工作流程。主要功能包括: * **检查:** 右键点击任意文本,即可查看其字体族、字重、字号、颜色和对比度。 * **检测:** 查看页面上使用的所有字体族的详细列表。 * **替换:** 即时测试来自 Bunny Fonts 的 1,900 多种开源字体,或上传您自己的本地字体文件。 * **范围与持久化:** 将更改应用于特定页面元素,并按主机名保存规则。 该扩展程序秉持隐私至上的原则,完全免费,无需注册账户,所有数据均存储在您的本地设备上。它适用于 Chrome 和 Firefox 浏览器,利用 Manifest V3 和 mutation observers 技术,确保字体替换在动态网页和单页应用中保持稳定。 您可以在 [mighil.com/tinkerfont](https://mighil.com/tinkerfont) 获取文档、安装链接及更多详细信息。

本文探讨了关于 2026 年维基百科删除 Odin 编程语言词条的争议。在经过“删除讨论”(AfD)流程后,贡献者们认为该语言因缺乏可靠的独立来源而不具备知名度;对此,该语言的创建者“GingerBill”及其同行 Casey Muratori 公开抨击维基百科,将其贴上“被意识形态俘获的机构”这一标签。 作者认为,这些关于“激进派把关”的指控毫无根据,并指出编辑们的共识是基于既定的可验证性程序准则,而非政治偏见。文中强调了现代非正式编程生态(知识多存在于 Discord、个人博客和 GitHub 中)与维基百科对传统、可验证媒体的依赖之间存在脱节。 最终,文章认为像 GingerBill 这样的网红利用此类争议进行“流量收割”。通过将一次标准的程序性拒绝描绘成针对“意识形态游乐场”的文化战争,这些人物迎合了特定受众的偏见。作者总结道,虽然维基百科的规则可能难以顾及现代编程的细微之处,但关于阴谋和迫害的指控,很大程度上是一种表演性、反主流的在线文化的产物——这种文化比起建设性地参与规则讨论,更倾向于制造愤怒诱饵。

这场讨论聚焦于维基百科删除 **Odin 编程语言**条目一事,突显了两种不同知识与权威哲学之间的冲突: * **维基百科视角:** 维基百科作为“三级来源”,严格执行**知名度**和**可供查证**原则。一个条目若要保留,必须依赖权威的二级来源(如学术期刊或主流媒体)。支持者认为,这些规则是抵御“低信任度”数字环境中垃圾信息、人工智能生成的虚假信息以及自我推广的重要保障。他们主张,如果一个主题真正重要,那么它在百科全书中的缺失是第三方报道的失职,而非维基百科审核的问题。 * **支持收录视角:** 批评者认为,维基百科对“陈旧”传统媒体的依赖是一种有缺陷的过时模式。他们建议在现代社会,专业社区、GitHub 指标以及实际生产中的应用(例如 Odin 被用于专业视觉特效软件)应足以证明其相关性。他们将删除过程视为一种官僚主义,甚至是“滥用职权”的体系,该体系将对规则的死板遵守置于提供信息的实际效用之上。 归根结底,这场辩论在承认为了防止平台被“噪音”淹没而必须保持标准这一实际需求的同时,也暴露了人们对维基百科把关机制的深刻不满。

正在建立安全连接... 请启用 JavaScript 以继续。 请求 ID: f0e7ec8a160e9bfb8993c00d3141b201

对不起。

由于人工智能推理需求超过了英伟达 Blackwell GPU 的供应,相关成本正在飙升。Wafer 认为,AMD 的 Instinct MI350 系列提供了一个极具吸引力且性价比更高的替代方案,其每块 GPU 的价格约为英伟达竞品的 2.75 分之一,且拥有相当的硬件规格。 尽管英伟达的“首日”软件支持仍然是一项重要优势,但“CUDA 护城河”正在迅速瓦解。Wafer 表明,在 AMD 平台上实现高性能推理,更多地取决于优化,而非硬件本身的局限性。通过采用 AMD Quark 的 MXFP4 量化、选择战略性框架(sglang)以及对内核回退(kernel fallbacks)进行自定义调整等技术,Wafer 在 GLM5.2 模型上实现了惊人的吞吐量。 在基准测试中,Wafer 在 MI355X 上达到了 2626 tok/s/node 的总吞吐量,以不到一半的成本实现了 B200 性能的 80%。尽管目前 AMD 的技术栈需要更多的手动配置和工程投入,但 Wafer 证明,通过适当的优化,AMD 硬件能够提供最佳的推理性能价格比,有效地缩短了与英伟达在实时性能上的差距。

关于“性价比正在变得更高、更便宜”(wafer.ai)这一话题,Hacker News 上的讨论主要集中在 AMD 硬件作为数据中心内 Nvidia 替代方案的可行性与成本效益上。 讨论要点如下: * **供需关系:** 尽管 Nvidia 仍是行业标准,但用户认为在 Nvidia 供应受限的情况下(尤其是在美国境外),AMD 是一个可行的替代选择。 * **效率指标:** 参与者认为“每瓦性能”与“每美元性能”同样关键。高功耗带来的不仅是电费问题,更会造成冷却和电力供应等基础设施方面的挑战。 * **基准测试的怀疑:** 批评者指出,所谓的“性能”往往依赖于激进的模型量化(如 MXFP4),这可能会导致准确率大幅下降。许多评论者对业界缺乏基准测试透明度的标准表示不满。 * **实际效用:** 讨论强调了“基准测试作弊”(即针对特定高吞吐量指标进行优化)与生产环境大模型服务实际需求之间的鸿沟;后者更看重稳定性和准确性,而非单纯的输出速度。 总而言之,这一讨论反映了市场对于人工智能硬件领域引入竞争的日益渴求,以平衡高昂成本和供应垄断局面。

GITHUB × 2026 世界杯 将你的 GitHub 数据转化为 99 分制的“世界杯风格”球员卡。 试试 torvalds、sindresorhus 或你自己的用户名。 已生成 150,990 张卡片 运作方式 ↗ 96 ST (前锋) TORVALDS 82 速度 77 盘带 92 射门 58 防守 87 传球 95 身体 94 CM (中场) THEPRIMEAGEN 78 速度 83 盘带 91 射门 56 防守 87 传球 94 身体 86 ST (前锋) PEWDIEPIE 77 速度 75 盘带 95 射门 75 防守 91 传球 69 身体 GITFUT.COM @pewdiepie-archdaemon 95 CM (中场) BROWNE 77 速度 81 盘带 90 射门 58 防守 90 传球 93 身体

为了确保本地开发环境与生产环境的一致性,Encore 将基础设施直接集成到了其运行时中,而不是依赖外部的 Docker 容器。此前,基于 Go 的 Encore 应用使用的是内存版 Redis;而在开发新的 Rust 运行时以避免管理辅助进程的复杂性时,团队需要一种原生的解决方案。 Encore 的开发者通过将 `miniredis` 库移植到 Rust 来解决了这个问题。该实现作为运行时内部的一个库运行,提供了一个功能完备的 Redis 服务器,支持通过标准 Redis 通信协议进行事务、Lua 脚本和发布/订阅等复杂操作。通过嵌入服务器,Encore 允许开发者在代码中声明缓存基础设施,无需手动设置;运行时会自动检测环境,并根据情况在托管的 Redis 连接与本地内存实例之间进行切换。 为了保证高保真度,团队通过运行原始 Go 实现的集成测试套件来验证了该 Rust 移植版本,并逐字节对比了响应结果。这确保了应用逻辑在开发和生产环境中表现一致。最终,这种方法消除了管理本地依赖的繁琐,同时保持了生产部署所需的严格运维标准。

点击“第二步”即表示您知悉并同意本网站将在您的设备上运行开源内核漏洞利用程序。若运行成功,该程序可能会执行以下操作:在 Firefox 的私有数据存储中创建临时文件;向 /bin/su 和 /data/local/tmp/su 写入文件;修改您的设备壁纸;进行可能影响设备稳定性的系统级更改。 此内核漏洞利用程序处于实验阶段,可能不稳定。它可能导致意外行为、系统崩溃、数据损坏或永久性数据丢失。在继续之前,您应该:备份所有重要数据;明确此操作可能会对您的设备进行系统级修改;仅在您拥有或已获得明确测试许可的设备上进行操作;并对可能发生的任何损坏、不稳定或数据丢失承担全部责任。除非您完全理解相关风险,否则请勿继续。 我已了解相关风险,并同意在此设备上运行该漏洞利用程序。

Leanstral 1.5 是一个用于 Lean 4 证明工程的全新开源(Apache-2.0)模型。它拥有 119B 总参数(6B 激活参数),在形式化验证领域展现出顶尖性能,且成本仅为同类竞争模型的一小部分。 该模型在各项主要基准测试中表现卓越:在 miniF2F 上达到满分(100%),在 FATE-H/X 上创下新纪录,并解决了 PutnamBench 中的 587/672 道难题。值得注意的是,它实现了极高的成本效益——平均每道题仅需约 4 美元,远低于其他方案数百美元的成本。Leanstral 1.5 展现了强大的测试时扩展能力,在高达 400 万个 token 的推理预算下仍能保持稳定的推理性能。 除数学领域外,Leanstral 1.5 还能验证复杂的代码属性并发现现实世界的漏洞。它成功验证了 AVL 树的 O(log n) 复杂度,并在开源 Rust 代码库中发现了 11 个真实存在的漏洞,其中包括此前未被报告的边界情况。 Leanstral 1.5 经过严谨的三阶段训练过程(包括多轮证明环境和代码代理工作流),现已通过 Hugging Face 和免费 API 接口开放使用。它针对“Mistral Vibe”进行了优化,使开发人员能够将形式化验证无缝集成到现有的代码库和工作流程中。

这篇 Hacker News 的讨论围绕 **Leanstral 1.5** 的发布展开,这是一个专为形式化验证和定理证明而设计的模型。 讨论的主要议题包括: * **效率与前沿模型的对比:** 许多用户称赞 Mistral 专注于开发高质量、高效率的专业模型。尽管它们可能无法与庞大的“前沿”模型竞争,但由于具有高性价比、可本地运行以及性能可预测等优势,它们在 OCR 或代码验证等特定任务中极具价值。 * **形式化验证的实用性:** 用户探讨了 Lean(一种函数式编程语言及定理证明器)在增强软件可靠性方面的潜力。虽然一些批评者认为发布中列举的错误检测示例过于基础,但支持者指出,其核心价值在于确保形式化正确性,而不仅仅是发现简单的漏洞。 * **市场策略:** 讨论中围绕 Mistral 的利基市场方法究竟是可持续的商业模式,还是陷入了“商品化陷阱”展开了热烈辩论。 * **社区反馈:** 讨论还涉及了自我推广的伦理问题,用户就如何在不引发“垃圾信息”担忧的情况下有效地分享开发工具提供了建议。

更多

联系我们 contact @ memedata.com