每日HackerNews RSS

Dependabot 现在会等待新版本在注册表中发布至少三天后,才会开启版本更新的拉取请求(pull request)。这一冷却时间目前为默认设置,无需额外配置。新版本发布往往是供应链攻击的切入点,攻击者可能在维护者和社区发现问题之前,就将受损或有问题的版本推送至依赖更新中。设置短暂的延迟可以留出时间让潜在风险显现,从而降低您在版本发布伊始就合并错误版本的可能性。 以下是几点注意事项: * 此默认设置仅适用于版本更新。安全更新仍会立即开启,确保关键修复不会被延迟。 * 您始终拥有控制权。可通过 `.github/dependabot.yml` 文件中的 `cooldown` 选项设置不同的时间窗口或完全禁用该功能。 * 此默认设置适用于 GitHub.com 上所有受支持生态系统的 Dependabot 版本更新,并将于 GitHub Enterprise Server (GHES) 3.23 版本中生效。 如需了解更多信息,请参阅关于 Dependabot 冷却时间的文档。

“累加式编辑”(Accretive editing)是一种常见的 AI 失误模式,即 AI 在更新文档时,倾向于在原有文本后添加附录,而非通过重写来确保准确性。当被要求更新信息时,大语言模型往往会将过时的细节与新信息并列保留,导致文档杂乱且令人困惑。 这种行为源于模型的架构。与优先考虑读者获取最新、简洁信息需求的人类作者不同,大语言模型侧重于根据输入预测最可能的后续词元(token)序列。因此,仅仅要求 AI“少写点”或“避免花哨用词”往往收效甚微,因为模型只会将过时的信息融入更短或结构不同的句子中。 为缓解这一问题,用户应将提示词策略从负面约束(不要做什么)转向功能性指令(如何思考)。通过明确要求模型替换过时文本,并制作出一份仿佛从一开始就撰写无误的最终文档,用户可以促使 AI 将清晰度和准确性置于历史信息保留之上。归根结底,目标是强制模型将旧内容视为待取代的素材,而非需要延续的叙事。

为了提升性能和互操作性,ClickHouse 发布了 **pg_re2**,这是一个将 RE2 正则表达式引擎集成到 PostgreSQL 的插件。 RE2 基于有限自动机构建,而非标准 POSIX 正则表达式所使用的回溯算法,因此能够提供一致且可预测的执行时间。基准测试显示,与 PostgreSQL 原生函数相比,pg_re2 的性能提升了 1.8 倍至 8.6 倍,在索引和表扫描方面表现尤为显著。 除了速度优势,pg_re2 还解决了 PostgreSQL 和 ClickHouse 之间语法不兼容的关键问题。由于在标志处理、字符类和反斜杠序列(如 `\b`)等方面存在差异,当通过 `pg_clickhouse` 将查询从 Postgres 下推至 ClickHouse 时,相同的正则表达式往往会产生不同的结果。通过采用 pg_re2,开发者可以确保正则表达式在两个环境中表现一致,从而在整个数据平台中实现稳定的性能和可靠的查询结果。 该插件包含了一套与 ClickHouse 中功能完全对应的完整函数库,为在两个系统间迁移数据的用户提供了统一的正则处理体验。您可以通过 PGXN 或 GitHub 安装 pg_re2,以利用这些性能和兼容性优势。

请启用 JavaScript 并关闭广告拦截器

抱歉。

请提供您需要翻译的内容。

当前大语言模型的开发倾向于通用型的“聊天机器人”,旨在实现广泛的用途。这往往导致模型出现模式单一、创造力受限以及目标偏差等问题。这些模型在替代人力方面日益强大,但却无法通过永久学习或模仿特定个人价值观来真正赋能知识工作者。 为了应对这一现状,我提议开发“守护天使”(Guardian Angels,简称 GAs):作为用户延伸的个性化数字孪生体。与标准聊天机器人不同,GAs 的设计目标包括: * **模仿主体:** 通过基于用户私人语料(邮件、笔记、日志)进行微调,GAs 能够提供反映用户特定风格、价值观和偏好的高质量产出。 * **利用主动学习:** 通过“动态评估”和主动获取信息,GAs 可以实时从错误中学习。它们作为自主智能体,仅在涉及高价值决策时向用户咨询,从而在保持人工监督的同时,避免“自动化疲劳”。 * **优先考虑安全性:** 通过固化单一用户的身份,GAs 能够避免“混淆代理”问题并抵御提示词注入,充当防御性、加密安全的屏障,以对抗合成宣传和诈骗。 其目标是促使用户从工作瓶颈转变为自身人工智能基础设施的“首席执行官”,从而实现生产力的指数级增长,而非仅仅是渐进式的辅助。

印度科学研究所机器学习助理教授 Prathosh AP 开发了一款名为“Vagdhenu”的创新工具,能够生成地道的梵文仪式吟诵(parayana)。通过对 18,000 首诗节进行模型训练,Prathosh 成功捕捉到了《薄伽梵往世书》中韵律悠久的古老精髓。 该项目取得了意想不到的全球性成功,获得了两百万次页面访问量,并被广泛用于宗教仪式和梵语口语练习。该工具最初旨在保护传统吟诵,如今已发展成为一位先进的导师。Prathosh 目前正在开发一套反馈系统,允许用户向机器朗读诗节,由机器识别并纠正其发音错误。通过这种技术与传统的融合,Prathosh 弥合了古老语言遗产与现代机器学习之间的鸿沟。

安全研究公司 Mindgard 披露了 Cursor AI 辅助 IDE(Windows 版)中一个关键且尚未修复的任意代码执行漏洞。该漏洞原理简单:当用户打开根目录下包含名为 `git.exe` 文件的项目时,Cursor 会在没有任何警告或提示的情况下自动执行该文件。 Mindgard 于 2025 年 12 月 15 日首次向 Cursor 报告了此漏洞。尽管被邀请加入 Cursor 的私有漏洞赏金计划,该报告最初被驳回,随后经复现确认,但之后便被置之不理。在经历七个月的沟通失败、后续跟进未获回复以及软件发布了 70 多个版本后,该漏洞在 Cursor 的最新版本中依然存在。 Mindgard 选择进行完全公开披露,理由是 Cursor 的沉默已使数百万用户和数千家公司面临风险。在补丁发布之前,建议用户仅在 Windows Sandbox 或虚拟机等隔离环境中打开不可信的存储库。企业托管系统可以实施基于路径的 AppLocker 策略,以限制从工作区目录执行未经授权的二进制文件。

Hacker News 的讨论聚焦于 Cursor IDE 中被曝出的一个安全漏洞:若新打开的仓库根目录下存在名为 `git.exe` 的二进制文件,该软件会自动执行它。批评者认为,这会导致用户在打开项目时即触发任意代码执行,并将其与早期 Windows 的“自动运行”(autorun)漏洞相提并论。 舆论观点不一: * **关于漏洞本身:** 许多用户指出,这是一个众所周知的 Windows “特性”——即在系统 PATH 之前优先搜索当前目录下的可执行文件,其他 IDE 和 Shell 也面临类似风险。有人认为对于一款 AI 驱动的工具来说这是严重的疏忽,另一些人则认为这是操作系统的底层问题,而非特定应用程序的缺陷。 * **关于披露过程:** 研究机构 Mindgard 报告称,Cursor 在长达六个多月的时间里无视了他们的发现,从而导致了此次公开披露。 * **关于“AI 垃圾内容”的争论:** 评论者对充斥着大量低质量、由大语言模型(LLM)生成的漏洞报告表示不满,并暗示这可能是导致 Cursor 忽略这一正当问题的原因。 最终,各方共识认为 Cursor 应使用绝对路径来调用 `git`,以降低此类风险。

本教程演示了如何将 DolphinDB 的高性能订单撮合模拟插件集成到现有的 C++ 回测框架中,为量化策略验证提供低延迟、高吞吐量的解决方案。 通过利用 **Swordfish 库**或 **DolphinDB C++ API**,机构既能保留现有基础设施,又能获得符合交易所规则(如“价格优先、时间优先”)的高精度撮合能力。 **系统设计的核心组件包括:** * **行情数据回放:** 利用 DolphinDB 的数据引擎模拟历史快照和 Level-2 逐笔数据。 * **统一接口:** 定义了用于配置、订单管理(下单/撤单)和事件驱动回调(行情数据、订单状态、成交通知)的 C++ 接口。 * **实现路径:** * **Swordfish:** 支持在本地运行撮合引擎,提供更高的性能并支持加速回测。 * **C++ API:** 连接至远程 DolphinDB 服务器,适用于网络延迟非核心考量因素的基础设施集成场景。 该方法为量化工程师提供了一座稳健、可扩展的桥梁,使其无需更换现有的 C++ 系统,即可针对算法和做市策略进行严谨且高时效性的模拟。

更多

联系我们 contact @ memedata.com