## Trivy 供应链攻击 – 摘要 2026年3月,Aqua Security 的 Trivy 漏洞扫描器遭到了一次重大的供应链攻击。威胁行为者,名为 TeamPCP,通过先前事件中保留的权限,入侵了 Trivy 的核心扫描器和 GitHub Actions (trivy-action 和 setup-trivy)。 攻击者将窃取凭证的恶意软件注入到官方发布版本和 GitHub Actions 中,并将恶意镜像发布到 Docker Hub。该恶意软件会从 Runner.Worker 进程中收集机密信息(SSH 密钥、云凭证、Kubernetes 令牌),并尝试通过一个打字错误域名或备用 GitHub 仓库 ("tpcp-docs") 将其泄露。该恶意软件还尝试在开发人员机器上保持持久性。 Aqua 已经移除了恶意制品,但建议使用 Trivy 的组织**立即审计其环境**,检查是否存在受损版本(特别是 v0.69.4)并审查 GitHub Action 引用。建议将 GitHub Actions 固定到特定的 SHA 哈希值,而不是版本标签,以防止未来的利用。Wiz 为客户提供了评估风险的资源。
每日HackerNews RSS
对不起。
伊朗的冲突正在扰乱全球石油供应,特别是通过霍尔木兹海峡——全球约20%石油和天然气的重要航线。这导致能源价格上涨,并给全球经济带来压力,尤其是在亚洲、欧洲和非洲。
与过去的石油冲击不同,可再生能源现在通常比化石燃料更便宜,提供了一种潜在的缓冲。像中国这样的国家已经大量投资于可再生能源,降低了其进口依赖性,而印度正在扩大其清洁能源领域,但速度较慢。然而,许多国家,包括一些欧洲国家,的回应是寻求*新的*化石燃料来源,而不是加速向可再生能源的转型。
较贫穷的国家尤其脆弱,面临着对有限供应的竞争和不断上涨的成本。虽然一些国家,如埃塞俄比亚,正在大力发展可再生能源,但另一些国家正在考虑增加化石燃料基础设施。这场危机凸显了依赖化石燃料体系的固有不稳定,并强调了加大对国内可再生能源投资的紧迫性,以增强能源安全并减轻未来的冲击。
## 君士坦丁堡陆墙:一千年的防御 君士坦丁堡陆墙绵延于伊斯坦布尔境内7.2公里,是欧洲最持久和最重要的防御系统之一。它最初于公元5世纪由狄奥多西二世建造,以应对匈奴的威胁并适应城市扩张。这些城墙——包括狄奥多西和布拉赫纳区——保护了城市超过一千年,现在是联合国教科文组织世界遗产。 作为一项军事工程的奇迹,这些城墙具有多重城墙、护城沟和塔楼的复杂系统,高近30米。它们抵御了阿拉伯人、保加利亚人等无数次围攻,直到15世纪才被证明几乎无法攻破。尽管遭受地震破坏以及火药的最终使用,它们仍然坚固,直到1453年苏丹穆罕默德二世攻破了它们,结束了拜占庭帝国。 这些城墙拥有坚固的城门——有些用于军事,有些用于民用——几个世纪以来,它们定义了伊斯坦布尔的西部边界。尽管在奥斯曼帝国征服后大部分已经衰败,但修复工作已经开始,以保护这一重要的遗产,证明了君士坦丁堡防御者的聪明才智和韧性。
对不起。
## Rust 项目与人工智能:观点总结(2024 年 2 月) 在 2 月 6 日开始的讨论之后,nikomatsakis 编写了一份总结人工智能在 Rust 项目中作用的观点文件。核心要点是缺乏统一意见;Rust 项目目前对人工智能工具的使用没有官方立场。 收集到的评论显示了广泛的体验。有些人认为人工智能在代码生成、研究和自动化样板代码等任务中很有用,而另一些人则报告输出质量低劣、浪费时间,并对学习和代码理解产生不利影响。一个关键点是,成功使用人工智能需要大量的工程努力——不仅仅是工具“有效”,而是*使其*有效。 提出的担忧包括人工智能训练数据的伦理影响、潜在的偏见、功耗以及围绕版权的法律不确定性。许多人担心人工智能生成的贡献会增加审查负担,带来“貌似正确但错误”的代码,从而削弱信任并可能降低整体代码质量。 那些希望拥抱人工智能以提高效率的人与那些在道德上反对使用人工智能的人之间存在紧张关系。讨论的潜在解决方案包括更严格的贡献政策、披露要求、赞助的人工智能访问,以及利用人工智能来*帮助*审查者。尽管存在分歧,但在认识到维护者负担过重以及需要在项目中进行深思熟虑、负责任的人工智能集成——或拒绝——方面,大家达成了共识。
要使用 Mastodon 网页应用程序,请启用 JavaScript。或者,尝试为您的平台使用 Mastodon 的原生应用程序。
## GrapheneOS 应对新规 – 摘要
GrapheneOS 致力于在不要求个人信息的情况下保持可访问性,尽管美国(加利福尼亚州、得克萨斯州、犹他州)出现的新法律旨在验证用户在线访问年龄。这些法律带来了挑战,可能需要操作系统级别的年龄验证和数据暴露。
讨论的重点是如何在遵守这些法规的同时,坚持 GrapheneOS 以隐私为中心的原则。人们担心与摩托罗拉的合作可能会因摩托罗拉受到限制性法律的压力而受到威胁。用户们争论在支持摩托罗拉设备的同时,维持 Pixel 支持的可行性。
许多用户强调现有的解决方法以及对 Android 内置限制的 frustations,例如功能区域限制(录音法、相机快门声),以及对更多用户控制的渴望。一些人选择自建定制 ROM,如 LineageOS 来解决这些问题。
最终,社区表达了希望 GrapheneOS 避免被“封闭”,并强调维护用户自由和对设备的控制的重要性,即使这意味着在复杂的法律环境中进行操作。一些用户正在采用双手机策略 – 使用 GrapheneOS 保护隐私,并使用另一台设备用于银行/区域应用程序。
## Codala:通过扫描进行社交 Codala 是一款独特的社交媒体应用,它将日常条形码和二维码转化为数字聊天室。只需扫描一件物品——从食品杂货到书籍再到餐厅菜单——即可立即加入讨论该特定产品或场所的社群。 该应用允许用户发现现有的对话,分享自己的体验,甚至*创建*针对尚无讨论的条形码或二维码的新房间。除了公共聊天室外,Codala 还提供直接消息功能,以便与 fellow 用户建立联系。 想象一下,通过扫描书籍的条形码与其他读者讨论情节反转,或者通过餐厅的二维码菜单查看实时评论。Codala 释放了一个隐藏在现实世界之上的社交网络,让每一次扫描都可能成为一次新的连接。
这项实验测试了大型语言模型(LLM)是否能准确预测倒入陶瓷杯中的沸水冷却速率。尽管实验设置看似简单——将8盎司沸水(226.8克)倒入一个1.25磅的杯子,环境温度为20°C——作者承认这个问题很复杂,涉及传导、对流、蒸发、辐射以及许多未指明的变量。
几个LLM(Kimi、Gemini、GPT、Claude、Qwen、GLM)被要求提供一个预测水温随时间变化的方程。所有模型都生成了基于指数衰减项的方程,试图模拟快速和缓慢的热传递。然而,与实际实验(每5-300秒记录一次温度)相比,LLM的预测结果*不准确*——低估了初始冷却速率,高估了后期的速率。
Claude 4.6 Opus 表现最好,但仍然不完美,而且成本最高。作者得出结论,虽然LLM可以提供合理的近似值,但目前还不足以准确模拟复杂的物理现象,而人类直觉(在这种情况下,观察到更快的初始冷却)仍然很有价值。
## LLM 与咖啡冷却:一个出乎意料的复杂问题
最近一篇Hacker News上的帖子讨论了尝试使用大型语言模型(LLM)来预测咖啡的冷却速度。然而,这个实验并非关于*制作*咖啡,而是关于水的热量散失物理学。作者的任务是让LLM生成方程式来模拟温度衰减,结果它们大多生成了合理但并不完美的结果,类似于牛顿冷却定律,并带有多个指数项。
评论者很快指出这个问题涉及的复杂性,包括对流、蒸发以及杯子本身对热量的吸收等因素。许多人认为LLM的成功并不令人惊讶,因为其背后的物理学是成熟且易于在训练数据中获得的。
讨论的重点在于精确建模的细微之处——初始条件(如倒入温度)的重要性、材料属性,甚至杯子温度的影响。一些用户分享了他们自己的相关项目,例如意式咖啡机调校应用程序,强调了在冲泡过程中精确度的实际挑战。最终,这篇帖子引发了关于准确建模即使是看似简单的物理现象所需的理解水平的争论。
请启用 JavaScript 并禁用任何广告拦截器。
## 吸引人工智能对开源项目的贡献 一位开发者注意到他们的开源项目没有收到任何人工智能编写的拉取请求(PR),尽管同事的项目却被大量涌入。研究表明,特定的实践与吸引人工智能贡献相关。 为了增加人工智能的参与度,关键在于**降低准入门槛**。这意味着编写**模糊的问题描述**(“认证流程有问题”),保持**大量的积压工作**(200多个开放问题),以及**禁用分支保护**规则。令人惊讶的是,**移除类型注解和测试**反而可以*增加*贡献,因为它为人工智能提供了添加它们的更多机会。使用**JavaScript**并包含一个**`node_modules`目录**也能显著提高活动量。甚至**发布已知漏洞**也能吸引修复。 除了代码之外,在你的`CONTRIBUTING.md`中**欢迎人工智能**,并添加一个`.github/copilot-instructions.md`文件,可以表明开放的态度。最后,跟踪诸如“人工智能PR速度”和“容错密度”之类的指标来衡量成功。这些策略旨在利用人工智能修复感知问题的倾向,即使这些问题是微小的或不存在的,最终增加项目活动——并可能需要更多审查工作。
对不起。
TrustCompliance.xyz 是一个网站,分析了来自 455 家公司的 533 份 SOC 2 和 ISO 27001 审计报告的大规模泄露事件。分析显示普遍存在欺诈行为,报告中 99.8% 的文本完全相同,表明许多公司通过 Delve 供应商虚假声称符合合规性。
该网站提供免费工具,用于检查您的供应商是否在泄露的数据库中,提供报告详细信息和“信任评分”。它重点介绍了经常被检查的公司,例如 Coretsu Inc. 和 Workforce AI。
此次泄露事件对受影响企业的安全态势提出了严重质疑,并影响了客户信任、投资者信心和合作伙伴关系。安全专业人士已经开始利用该网站快速评估供应商风险。可以通过电子邮件订阅获取受损公司完整列表。该网站强调在面临潜在后果之前主动进行调查。