安全研究员 Ammar Askar 披露了 `github.dev`(VSCode 的网页版)中存在一个严重漏洞,攻击者可通过恶意链接窃取用户的 GitHub OAuth 令牌。
**漏洞说明:**
VSCode 的 webview 被隔离在 iframe 中,以防止跨域攻击。然而,为了维持 UI 功能,VSCode 允许这些 iframe 将键盘事件“冒泡”传递给主应用程序。研究人员发现,攻击者可以向 webview 中注入 JavaScript(例如通过 Jupyter Notebook),从而通过编程方式模拟键盘快捷键。
**攻击方式:**
通过触发特定的组合键(如 `Ctrl+Shift+A`),攻击者可以自动从存储库安装恶意的“工作区扩展”。一旦安装,该扩展即可窃取受害者的 GitHub 令牌,而该令牌拥有用户所有存储库(包括私有存储库)的完整读写权限。
**防护措施:**
研究人员警告称,如果您曾使用过 `github.dev`,浏览器很可能已存储了相应的身份验证信息,这使您面临点击指向恶意存储库链接的风险。建议用户清除浏览器中 `github.dev` 的站点数据,以重置安全握手信息。
每日HackerNews RSS
请在浏览器中启用 JavaScript 以使用此网站。 重新加载页面
抱歉。
关于 新闻 版权 联系我们 创作者 广告 开发者 条款 隐私 政策与安全 YouTube 的运作方式 测试新功能 © 2026 Google LLC
请启用 JavaScript 和 Cookie 以继续。
近期 AI 生成的搜索摘要趋势正在降低信息检索的质量。虽然这类摘要对简单查询很方便,但往往会“扁平化”复杂议题,抹去多元一手来源中的关键背景。 通过提供单一且听起来权威的答案,AI 摘要使用户不再倾向于验证信息或阅览原始内容。这导致人们对合成文本产生了危险的依赖,而这些文本可能存在细微错误或缺乏必要的警示,尤其是在处理复杂的医学、法律或技术咨询时。 此外,这种转变威胁到了开放网络的可持续性。当搜索引擎通过直接“回答”查询来拦截流量时,它们削弱了提供源材料的创作者。如果流量不再流向独立网站,支撑 AI 模型发展的生态系统最终将会枯萎。 搜索的真正准确性需要主动参与。搜索引擎与其提供预先打包的摘要,不如返回链接列表,赋予用户自行浏览、比较和综合信息的能力。虽然直接获取结果的方法需要付出更多努力,但它恢复了人类在区分共识、矛盾和细微差别方面的重要判断力——在这方面,AI 依然是根本不可靠的。
“蓝色地带”(Blue Zones)这一概念——指那些人们普遍长寿的地区——已从科学界的好奇心转向了一个充满争议、价值数十亿美元的健康产业。该术语于25年前被提出,用于描述撒丁岛和冲绳等地长寿人群聚集的区域,随后经作家丹·布特纳(Dan Buettner)和“蓝色地带”有限责任公司(Blue Zones LLC)的推广而广为人知。 然而,这一运动正面临越来越多的审查。批评者(尤其是生物学家索尔·纽曼)认为,原始数据存在文书错误和养老金欺诈问题。此外,人口统计证据显示,由于现代化进程,这些地区的长寿现象正在减少。科学界对此意见分歧,研究人员争论这些地带究竟是真正的生物学特例,还是仅仅因为记录不规范而产生的假象。 尽管最初的科学依据仍存争议,“蓝色地带”这一品牌已成为一个利润丰厚的商业实体,衍生出了书籍、纪录片以及一系列经过认证的生活方式产品。尽管存在质疑,专家们仍承认其核心理念——植物性饮食、身体活动和社区互动——依然是合理的健康建议。归根结底,寻找或“制造”新的蓝色地带已变得日益商业化,批评者警告称,对长寿这一“金蛋”的追逐,可能已凌驾于科学诚信之上。
抱歉。
安盛(AXA)最新的《心理健康》报告显示,全球心理健康水平正出现令人担忧的下滑,46%的受访者处于挣扎或萎靡状态。过度使用屏幕(日均超过五小时)等因素加剧了这一危机。 由于成本、时间及社会偏见等障碍,许多人选择避免寻求专业帮助,转而寻求人工智能的支持。虽然61%的用户会使用人工智能来处理心理健康问题,但体验参差不齐:尽管人工智能能提供即时、全天候的服务,但有28%的用户表示,人工智能的建议导致了有害行为。大多数用户保持着清醒的认识,承认人工智能无法替代人类的医学专业知识。 该报告还强调了这一衰退带来的重大经济影响,指出焦虑和抑郁是导致生产力损失和长期病假的主要诱因。然而,干预机会依然明确:84%的员工表示非常愿意参加公司赞助的心理健康项目。最终,调查结果强调,虽然技术为支持提供了新途径,但企业在消除心理健康偏见,以及提供长期健康所需的结构化专业护理方面发挥着至关重要的作用。
请启用 JavaScript 和 Cookie 以继续。
由斯坦福大学法学院朱利安·尼亚科(Julian Nyarko)教授领导的一项开创性研究表明,在回答复杂的法律问题时,人工智能生成的答案往往比人类法学教授撰写的答案更受青睐。在近 3000 组盲测对比中,教授们在 75% 的对决中选择了人工智能的回答。
这项研究由斯坦福大学、耶鲁大学、纽约大学和芝加哥大学的研究人员共同完成,旨在测试大型语言模型能否有效处理合同法中所需的细致入微且基于判断的推理。除了高质量的表现外,人工智能模型被判定为“教学有害”的比例仅为 3.5%,而人类撰写的回答这一比例为 12%。
研究结果表明,人工智能可以提供高质量、按需获取的支持,从而补充判断密集型学科的传统教学。尽管作者提醒不应不加批判地全面采用,但他们认为这些数据挑战了学术界对人工智能的普遍怀疑态度。研究人员呼吁,与其争论人工智能能否提供准确的法律见解,不如转向如何负责任地实施应用以促进学生学习。这项研究在理解人工智能如何安全地支持未来律师的复杂分析思维训练方面迈出了重要一步。
Anthropic 2025 年的研究报告《论大语言模型的生物学》(*On the Biology of a Large Language Model*)在“机制可解释性”领域取得了突破,使大语言模型不再是晦涩难懂的“黑箱”。通过克服“叠加”(superposition,即概念分散在神经元中)这一难题,研究人员利用电路追踪技术分离出了稀疏且人类可解读的特征。 这一方法揭示了大语言模型不仅是在预测下一个词,而是在执行真正的多步推理。通过绘制“德克萨斯州”如何触发“奥斯汀”等特征,研究人员可以直观地看到模型的内部“接线图”。有趣的是,这些模型往往会演化出“潜意识”算法——例如专门用于加法的路径——这与模型在被询问时给出的类人解释大相径庭。 这与 AlphaZero 等系统的发现相呼应,这些系统也能独立收敛于人类可识别的概念。理解这些内部机制具有变革性意义:它使我们能够检测意图、引导行为,并可能通过引导模型采用更高效的“思维”过程来优化学习算法。大语言模型不再不可捉摸,它们正日益展现出结构化、可解释的逻辑,为人类洞察人工智能的真实“思考”方式提供了前所未有的视角。
抱歉。