MemeData

Notepad++ 供应链攻击分析 Notepad++ supply chain attack breakdown 3 天前

## Notepad++ 供应链攻击总结 (2026年2月) 2026年2月，Notepad++开发者披露其更新基础设施遭到入侵，源于2025年6月至9月期间的托管服务提供商事件，攻击者保持访问权限至2025年12月。此次攻击涉及复杂的供应链妥协，利用多种感染链，并在四个月（2025年7月至10月）内频繁轮换C2服务器、下载器和有效载荷。目标包括越南、萨尔瓦多和澳大利亚的个人，以及菲律宾（政府）、萨尔瓦多（金融）和越南（IT服务提供商）的组织。攻击者使用通过恶意更新提供的NSIS安装程序，经常利用合法软件，如ProShow和Lua解释器来执行有效载荷。识别出三个不同的链条：第一个使用Metasploit下载器和Cobalt Strike Beacon；第二个修改系统信息收集并使用不同的C2 URL；第三个使用DLL侧载，并使用Chrysalis后门。值得注意的是，攻击者每月调整战术，使得检测变得困难。卡斯珀斯基成功阻止了已识别的攻击。该事件凸显了软件供应链相关的风险以及健全安全措施的重要性。已发布详细的入侵指标（IOC），包括URL和文件哈希，以帮助检测和修复。

## Notepad++ 供应链攻击总结 Notepad++，一款流行的文本编辑器，在2025年6月至12月期间遭受了一次供应链攻击。攻击者控制了官方WinGUp更新程序，向在此期间更新的用户分发了一个包含名为Chrysalis后门的恶意安装程序。此次攻击凸显了更新机制作为高价值目标所带来的风险，因为恶意代码将从受信任的来源以完全的用户权限运行。由于标准端点保护通常不会标记来自合法发布者的软件，因此检测起来很困难。讨论的重点是改进软件安全实践。建议包括组织采用分阶段推出和网络监控，个人通过包管理器进行加密验证，以及Windows上对更好的包管理解决方案的需求。许多评论者提倡增加应用程序的沙箱化，类似于移动操作系统的方法，以限制潜在损害。该事件强调了保持警惕和不忽视异常系统行为的重要性。建议用户使用Winget等包管理器直接从EXE文件安装，绕过受损的更新程序。

太空中的数据中心毫无意义。 Data centers in space makes no sense 3 天前

启用 JavaScript 和 Cookie 以继续。

## 太空数据中心：一个质疑的讨论最近关于在太空建设数据中心的提议在Hacker News上引发了争论，主要集中在其可行性上。许多评论员质疑其逻辑，指出太空散热的巨大挑战——地球上的数据中心已经为此苦苦挣扎。人们对硬件的辐射损伤、设备发射和更换的成本，以及所需冷却系统的庞大规模表示担忧。一些人为这个想法辩护，将其视为确保人类在发生全球灾难时生存的更大使命的一部分，从而能够保存知识。另一些人则提出了潜在的好处，例如降低延迟或提高安全性。然而，怀疑论依然存在，许多人强调了埃隆·马斯克的记录，并质疑其经济可行性。地下数据中心和改进的陆地冷却方法也被提出。最终，共识倾向于认为，在当前的技术和成本下，这个想法是不现实的，一些人认为它源于科幻幻想，而非实际工程。

从我第一款硬件产品发货500台中所学到的经验教训 Lessons learned shipping 500 units of my first hardware product 3 天前

## Brighter：硬件困境与经验教训的一年 2025年1月，作者离开了软件工程，启动了“Brighter”——一款由成功的40万美元众筹活动资助的高流明灯。制造500个初始单元比预期的要困难得多。初步测试显示，灯的流明输出未达到50,000流明的目标，需要快速重新设计以提高输出——最终*超过*到60,000流明。生产因流程中途实施的意外“解放日”关税而进一步复杂化，导致成本飙升。工厂沟通不畅导致散热器模具存在缺陷，从而延误了生产。随后的组装发现电气问题，原因是PCB标签被调换。尽管存在这些障碍，第一批灯在12月发货，获得了积极的初步评价和一家初创公司的批量订单。然而，质量控制问题浮出水面——由于DFM错误导致旋钮刮伤，以及由于不精确的组装规范导致电缆过短。这些问题通过昂贵且最后一刻的修复以及为客户提供免费更换来解决。这次经历凸显了软件和硬件开发之间的巨大差异：对精细规划的需求（甘特图变得至关重要）、详细的会计以及持续的供应商沟通。作者学会了拥抱墨菲定律，严格测试一切，并优先进行面对面的供应商访问。尽管面临挑战，但这次发布仍然令人满意，证明了早期验证（预订网站）和具有弹性的商业模式的价值。

OpenClaw（又名Moltbot）无处不在，并且是一场灾难。 OpenClaw (a.k.a. Moltbot) Is Everywhere All at Once, and a Disaster 3 天前

该网站正在使用安全服务来保护自身免受在线攻击。您刚才的操作触发了安全解决方案。提交特定词语或短语、SQL命令或格式错误的数据等行为可能会触发此阻止。

FlashAttention-T：迈向张量化注意力 FlashAttention-T: Towards Tensorized Attention 3 天前

启用 JavaScript 和 Cookie 以继续。

## FlashAttention-T：优化注意力机制一篇最新的论文探讨了“FlashAttention-T”，旨在进一步优化大型语言模型（LLM）中的注意力机制。Hacker News上的讨论围绕着对更高效注意力的持续追求，超越Transformer的标准二次复杂度。一些评论员强调了对替代方案的研究，如RNN（RWKV、线性RNN、状态空间模型），它们在训练和推理方面具有潜在优势，尽管在并行化和处理长上下文方面存在挑战。一个关键点是计算成本和性能之间的权衡——虽然高阶注意力（如n^10）*可能*能够捕捉更复杂的模式，但由于内存限制，目前不切实际。 FlashAttention-T的核心思想是通过战略性地管理计算来提高GPU利用率，从而实现5-17%的速度提升。关于人工智能本身是否应该优化这些低级内核，存在争论，并举例说明了人工智能驱动的内核优化已经在进行中（AlphaTensor、AlphaEvolve）。最终，这场对话强调了持续努力，以平衡模型复杂度、计算效率和对真正可扩展的AI架构的追求。

布鲁斯·施奈尔：人工智能与背叛的规模化 AI and Trust (2023) 3 天前

## 信任的两面与人工智能的未来我们 постоянно 依赖信任，常常在不知不觉中——从手机闹钟叫醒我们，到复杂的系统使航空旅行成为可能。这种信任并非个人信任（“人际信任”），而是基于可靠性和可预测性（“社会信任”），由法律和技术等系统强制执行。两者都至关重要，但社会信任能够扩展到复杂的社会，从而实现陌生人之间的合作。演讲者认为，随着人工智能的兴起，我们将混淆这两种类型的信任。企业将利用这一点，将人工智能呈现为“朋友”，而它们仅仅是受利润驱动，而非道德驱动的服务。真正的可信赖性需要透明度和问责制，而市场无法提供这些。因此，政府监管至关重要——不是监管人工智能本身，而是监管*控制*人工智能的组织。这包括建立人工智能透明法、安全法规，以及采用“数据受托人”模式，让公司对保护用户数据负责。至关重要的是，需要公共拥有的AI模型来平衡企业控制，并确保人工智能服务于公众利益。最终，政府的作用是建立和维护社会信任，确保人工智能成为可靠的服务，而不是被剥削的工具。

这场黑客新闻的讨论围绕布鲁斯·施奈尔2023年的文章《人工智能与信任》，以及在人工智能和企业剥削日益加剧的世界中，信任问题日益严重。用户重温这篇文章，认识到它随着人工智能的快速发展而展现出的先见之明。一个关键主题是，由于追求利润最大化和将风险转嫁给消费者的意愿，各个市场（从食品生产到医疗保健）的信任正在系统性地侵蚀。这被描述为一种“道德风险”，短期收益超过长期后果。几位评论员强调需要一种类似于医生和律师对客户责任的“信托”模式，要求人工智能开发者将用户隐私置于利润之上。其他人批评了当前的“最大化”心态，即创新是由剥削而非真正的利益驱动，以及扭曲系统以获取短期收益的倾向。对话还涉及人际信任和社会信任之间的区别，以及在与表现为人类但实际上是系统的AI互动时所面临的挑战。最终，这场讨论描绘了一幅普遍不信任的图景，并呼吁进行系统性变革。

我成了维护者，结果只获得了一个关于图书馆学的糟糕视角。 I became a maintainer and all I got was a lousy perspective on librarianship 3 天前

黑客新闻新的 | 过去的 | 评论 | 提问 | 展示 | 招聘 | 提交登录我成了一个维护者，却只得到对图书馆学的糟糕看法 (hughrundle.net) 13 分，来自 yboulkaid 1 天前 | 隐藏 | 过去的 | 收藏 | 讨论指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系搜索：

Anthropic人工智能工具引发软件及更广泛市场的抛售。 Anthropic AI tool sparks selloff from software to broader market 3 天前

彭博社需要帮助？请联系我们我们检测到您的计算机网络存在异常活动要继续，请点击下面的框来确认您不是机器人。为什么会发生这种情况？请确保您的浏览器支持 JavaScript 和 cookies，并且没有阻止它们加载。更多信息请查看我们的服务条款和 Cookie 政策。需要帮助？关于此消息的咨询，请联系我们的支持团队并提供以下参考ID。阻止参考ID：fb99f468-0143-11f1-bed6-6418229cafc3 通过彭博社订阅，随时掌握最重要的全球市场新闻。立即订阅

## Anthropic AI 与市场反应 - Hacker News 总结近期一篇关于 Anthropic AI 工具的彭博社文章引发了 Hacker News 的讨论，并伴随了一次超出软件公司的显著市场抛售。讨论的中心是大型语言模型 (LLM) 是否对像 OpenEvidence 这样专注于数据、提供医学研究语义搜索（通过精选、可信来源）的专业公司构成威胁。一些人认为 LLM 可以被引导使用可靠来源，而另一些人则认为 OpenEvidence 的独特价值在于其专有数据、医生网络和可追溯性——这些是 LLM 目前所缺乏的。担忧也蔓延到 Thomson Reuters 和 RELX（法律数据提供商），它们可能面临类似的颠覆，因为 AI 可能会绕过它们的界面。讨论还涉及软件工程的更广泛影响，一些人预测随着 AI 赋能内部开发，对基础 CRUD 开发人员的需求将下降。存在关于 AI 是否会 *增加* 或 *减少* 竞争以及资本在未来初创公司中的作用的争论。最后，另一条消息提到 PayPal 跌幅 20%，原因是盈利未达预期和 CEO 变更，与 AI 讨论没有直接关系。

当 Rust ≠ 性能：开发者体验的一课 When rust ≠ performance. a lesson in developer experience 3 天前

## Oxen 通过代码精简实现性能提升 20 倍 Oxen 是一款数据版本控制工具，致力于追求卓越性能，并定期使用多太字节数据集对命令进行基准测试。虽然 `add` 命令速度很快，但 `commit` 命令即使是一个理论上简单的操作，也需要超过 50 分钟。性能分析显示，`commit` 命令的 90% 时间都花在了获取暂存 RocksDB 的锁上。根本原因是什么？由于不同代码层之间存在过多的数据克隆和重复的数据库打开，导致线程竞争。尽管职责分离定义明确，但每一层都重复获取相同的文件信息。一个 PR 消除了这种冗余的数据访问，从而实现了 **20 倍的速度提升**。这凸显了一个关键教训：看似孤立的功能会对整个系统产生影响。此外，团队注意到 RocksDB 针对写入进行了优化，并不适合他们并行且读取密集型的提交过程。这段经历强化了“少即是多”的原则，尤其是在对性能敏感的应用中。

## Rust、性能与开发者体验最近一篇 suriya.cc 的文章引发了 Hacker News 的讨论，质疑了“Rust = 性能”的自动假设。作者发现，移除代码——特别是减少由于数据在层之间传递而引起的不必要的 `.clone()` 和 `db.open()` 调用——*提升*了他们的 Rust 项目的性能。这表明性能提升并非语言本身固有的，而是依赖于程序员的技能、设计选择和编译器优化。评论者争论 Rust 是否保证性能，许多人同意它提供了*工具*来实现性能，但不会自动实现。一些人指出 Rust 最初的吸引力在于为不熟悉系统级编程的程序员提供并发安全性，从而带来性能提升的感知。另一些人指出，该语言的复杂性反而可能阻碍优化，并且细致的内存管理仍然至关重要。最终，这场对话强调了 Rust 是一种强大的*工具*，但实现最佳性能需要深思熟虑的编码实践，无论使用哪种语言。

## 氛围编码是如何扼杀开源的 How Vibe Coding Is Killing Open Source 3 天前

一项最新研究表明，使用像GitHub Copilot这样的LLM聊天机器人*生成*代码的“氛围编程”对开源生态系统构成重大威胁。核心问题在于开发者与开源项目的直接互动减少。开发者不再理解和参与库的使用，而是依赖于聊天机器人的输出，可能偏向于LLM训练数据中流行的代码，而非*最佳*代码。这会减少项目网站的流量，阻碍资金和社区发展，类似于对Spotify等平台上艺术家报酬的担忧。此外，LLM不会回馈它们所使用的项目——没有错误报告，没有社区参与。早期数据表明，“氛围编程”并没有显著提高生产力，甚至可能*增加*错误并降低开发人员的技能。虽然人工智能技术本身并非负面，但该研究警告说，将开发委托给LLM最终可能会扼杀创新，并损害对开源至关重要的协作精神，尤其是在JavaScript和Python等生态系统中。

每日HackerNews RSS