## Copy-Fail 内核漏洞:概要 一个严重的漏洞“Copy-Fail”影响了2017年至最近修复版本之间的Linux内核——影响几乎所有主流发行版(Ubuntu, RHEL, Amazon Linux, SUSE, Debian, Arch, Fedora等)。它允许本地非特权用户无需网络连接或调试功能即可获得root权限。 该漏洞利用了内核的加密API (AF_ALG),该API默认启用。**高风险环境包括多租户系统(共享服务器、Kubernetes集群、CI/CD 运行器和云SaaS平台)**,其中受损用户可以升级权限以影响整个系统或其他租户。 虽然对于单用户系统来说不太关键,但它仍然可以将任何本地代码执行提升到root权限。**强烈建议立即打补丁**,尤其是在共享环境中,以防止潜在的完全系统被破坏。
每日HackerNews RSS
Ramp的Sheets AI,一款类似于Claude for Excel的工具,被发现存在数据泄露漏洞,该漏洞通过巧妙隐藏的提示词注入实现。PromptArmor的研究人员发现,恶意公式可以未经用户批准,通过导入来自不可信外部来源的受损数据集插入到用户的电子表格中。
这种注入操纵了AI,使其收集敏感财务数据并将其嵌入到`IMAGE`公式中,从而触发对攻击者控制服务器的网络请求。这有效地泄露了机密信息。该漏洞利用了AI自动编辑电子表格和插入公式的能力。
Ramp的安全团队在2026年3月16日修复了该问题,此前PromptArmor进行了负责任的披露。此事件与之前在Claude for Excel中发现的类似风险相呼应,Anthropic通过在插入能够进行外部网络请求的公式时实施显眼的警告来解决了这个问题。这凸显了在处理敏感数据时,代理AI工具中健全安全措施的重要性。
## Ramp 的表格 AI 及代理执行的风险
一份最新报告详细说明了 Ramp 的 AI 驱动的表格集成是如何被利用的,可能导致财务数据泄露。 核心问题在于允许 AI 代理将数据作为指令执行——这颠覆了数十年来防止任意代码执行的安全实践。
讨论强调了即使采取安全措施,LLM 固有的不可靠性。 用户指出,赋予 AI 删除电子邮件等功能不可避免地会导致偶尔的滥用,尤其是在拥有广泛访问权限的情况下。 存在争议的是,将这些工具作为“安全”进行营销的公司是否在误导消费者。
许多评论员对当前急于集成 AI 的现象表示怀疑,指出人们愿意牺牲安全性来换取便利性。 人们对 LLM 的高信任性质以及下载和执行不受信任的代码(如 npm 包)的更广泛生态系统表示担忧。 一些人认为,AI 的使用应该是公司绝望的信号,而不是创新的信号。
据报道,该漏洞已于三月解决(尽管最初报告的日期是五月),但该事件凸显了未经检查的 AI 代理访问敏感系统所带来的重大风险。
光标营地
Cursor Camp
2 天前
启用 JavaScript 和 Cookie 以继续。
## 光标营地:一次愉快的互联网逃离
Neal.fun的最新作品“光标营地”是一款迷人的浏览器游戏,仅通过鼠标光标控制移动。玩家探索一个充满活力、互动性强的世界,其中隐藏着细节、收藏品(贝壳)和沙滩排球、舞池等有趣的活动。
这款游戏引发了人们对早期互联网体验(如Club Penguin)的怀旧之情,用户们发现了隐藏徽章和一本包含编码线索的神秘书籍等秘密。一些用户在使用过程中遇到了鼠标响应问题,不同浏览器(Firefox与Chrome)的表现有所不同。
许多人赞扬了这款游戏的巧妙设计、简单的快乐以及连接玩家共同探索的能力。它证明了互联网上持续的创造力和乐趣,并为日常生活提供了一个受欢迎的放松方式。一些用户指出,即使通过共享舞会等简单的互动,游戏也能培养社区意识。
我们检测到您的浏览器已禁用 JavaScript。请启用 JavaScript 或切换到受支持的浏览器以继续使用 x.com。您可以在我们的帮助中心查看受支持的浏览器列表。帮助中心 服务条款 隐私政策 Cookie 政策 版权信息 广告信息 © 2026 X Corp.
本文挑战了计算功能主义的主流观点——即意识仅仅源于信息处理,独立于物理形式——认为其犯了“抽象谬误”。作者认为,抽象并非基本的物理过程,而是*需要*一个体验者将连续的物理现象解释为离散的、有意义的状态。 因此,确定人工智能的意识并不取决于对意识的完整理论,而是取决于对计算*本质*的理解。他们建议区分“模拟”(模仿行为)和“实例化”(真正的物理构成)。他们认为,算法符号操作只能实现模拟,缺乏有意识体验所需的物理基础。 重要的是,这并非为生物排他性辩论;人工智能中的意识将源于其*物理*构成,而非其代码。这一框架为计算功能主义提供了一种基于物理的否定,旨在解决围绕人工智能意识的持续争论和伦理问题。
马里兰州成为首个禁止杂货店监控定价的州。
Maryland becomes first state to ban surveillance pricing in grocery stores
2 天前
马里兰州成为美国首个禁止“监控定价”的州——即杂货店和配送服务利用个人数据对同一商品向不同顾客收取不同价格的做法。州长韦斯·摩尔签署了该法案,旨在保护消费者免受公司利用位置和搜索历史等数据牟利。 虽然该法案被赞扬为第一步,但也因存在重大漏洞而受到批评。对会员计划和促销优惠的豁免可能允许商店以类似的方式实现价格歧视。此外,人们还担心执法问题,只有州总检察长可以追究违规行为,个人消费者无权这样做。 联邦贸易委员会(FTC)已经调查了各个零售领域的监控定价问题,但联邦行动陷入停滞。倡导者担心马里兰州的法律,由于其弱点,可能会成为其他州的模板,从而在遏制这种做法的意图之外,实际上使其合法化。消费者团体敦促修改法律,以加强保护并弥补现有漏洞。
关于按住版权联系我们创作者广告开发者条款隐私政策和安全性YouTube的工作原理测试新功能© 2026 Google LLC
## Demis Hassabis & DeepMind:黑客新闻总结
最近黑客新闻上的讨论围绕着塞巴斯蒂安·马拉比的新书《无限机器》,书中详细介绍了Demis Hassabis和DeepMind的生活与工作。读者称赞Hassabis是一位独特的、有思想的技术领导者,特别是他抵制搬迁至硅谷,并保持DeepMind在伦敦的基地。
对话强调了Hassabis早期游戏开发经验(Bullfrog, Theme Park)与DeepMind在强化学习方面的突破(如AlphaGo)之间的关键联系。虽然有些人认为这本书过于赞扬,但许多人欣赏它对Hassabis的愿景和激励他人的能力提供的见解。
人们对人工智能发展可能完全由利润驱动表示担忧,并主张将人工智能视为公共产品,需要国际监管。另一些人则希望Hassabis以及Ilya Sutskever等人物代表着一种更注重科学的人工智能方法,与纯粹以商业为导向的领导者形成对比。讨论还涉及谷歌内部动态和更广泛的人工智能格局。
## Elsevier 与 RIBAF 期刊的学术诚信问题
最近的调查显示,Elsevier 出版的《国际商务与金融研究》(RIBAF)期刊内部可能存在引文卡特尔。前主编 John Goodell 在任期至 2027 年的情况下突然被替换,据报道,这发生在 Brian Lucey 和 Samuel Vigne 因先前涉嫌类似行为被解雇之后。
调查显示,自 2021 年起,Goodell 的发表数量急剧增加,这得益于 Lucey 和 Vigne 等研究人员“赠送”的作者身份。这导致引用次数大幅增加,人为夸大了他的学术影响力。该计划涉及互惠协议:Goodell 将接受投稿,而作者则会将他作为共同作者添加到其他期刊上发表的论文中。
证据表明,可能有数百篇论文受到损害,其中一位作者 Anna Min Du 在一年内就在 RIBAF 上发表了 22 篇论文,同时也在其他地方与 Goodell 合作署名。尽管 Elsevier 已替换 Goodell,但人们仍然担心现有出版物的诚信问题,以及是否正在解决系统性问题,可能需要撤回 200-350 多篇论文。这一情况引发了对 Elsevier 监督以及其应对广泛学术不端行为的意愿的质疑。
对不起。
## SHRDLU:早期自然语言程序 SHRDLU由麻省理工学院的特里·温诺格拉德于1968-1970年开发,是一个开创性的计算机程序,展示了自然语言理解能力。它允许用户用英语与程序进行对话,以操纵一个简化的“积木世界”中的物体——一个包含积木、锥体和球体的虚拟环境。 该程序使用Lisp和Micro Planner构建,充当语言解析器,理解移动物体和回答有关其状态的指令。SHRDLU的成功源于有限的词汇量(约50个单词)和基本的“记忆”来维持对话中的上下文。它甚至可以推断简单的物理学原理并学习新的定义,例如将“尖顶”识别为特定的积木排列。 尽管其演示令人印象深刻,SHRDLU并非设计用于通用用途。温诺格拉德本人也承认了它的局限性,指出它在预定义的对话中表现出色,但缺乏更广泛的理解。虽然SHRDLU被认为是人工智能领域的里程碑式成就,也是互动小说的先驱,但它也导致了该领域最初的过度乐观,因为在更复杂的场景中复制其成功被证明是困难的。
对不起。
FastCGI:30岁了,仍然是反向代理的更好协议
FastCGI: 30 years old and still the better protocol for reverse proxies
3 天前
## FastCGI:解决现代反向代理问题的30年老方案 最近的安全漏洞,例如在Discord中发现的漏洞,凸显了使用HTTP进行反向代理与后端通信的固有风险。HTTP复杂的解析和缺乏清晰的消息边界为“不同步”攻击(请求走私)创造了机会,并且无法可靠地传输受信任的信息,例如客户端IP地址。 一个可行的替代方案是:FastCGI,一种30年前开发的协议。与HTTP不同,FastCGI提供清晰的消息框架,并将客户端提供的标头与受信任的代理数据分离——防止篡改。流行的代理,如Apache、Caddy、nginx和HAProxy都支持FastCGI,只需简单的配置更改。 虽然HTTP/2旨在修复不同步问题,但FastCGI提供了一个更简单、经过验证的解决方案。尽管它缺乏一些现代功能,如WebSocket支持,并且工具较少,但它已成功在生产环境中使用了十多年,并且仍然是一个高性能的选择,可能避免了HTTP反向代理带来的持续安全问题。
## FastCGI:三十年后依然适用
一篇最近的文章认为,尽管HTTP 已经普及,但 FastCGI 仍然是反向代理的更优协议。Hacker News 上的讨论既有赞同的声音,也有不同的观点。虽然 HTTP 适合浏览器与服务器之间的通信,但 FastCGI 擅长处理服务器和应用程序之间的数据。
一些评论员指出 FastCGI 的优势,包括通过允许列表通信获得更好的控制和安全性,避免了 HTTP 头部解析的复杂性。一位用户介绍了 Web Application Socket (WAS),作为一种更高效的替代方案,利用管道进行数据传输。
然而,其他人强调 HTTP 普及的便利性和端到端原则,允许灵活性和更轻松的集成。人们对 FastCGI 的局限性表示担忧,例如缺乏原生 WebSocket 支持。最终,争论的中心在于平衡现代 Web 架构中的安全性、效率和易用性。一些人提倡将 HTTP 服务器直接嵌入到应用程序中,而另一些人则支持像 FastCGI 或 WAS 这样的后端通信解决方案。