## 导弹防御:一个复杂的资源分配问题
最近的冲突凸显了导弹防御的挑战,其本质是一个复杂的资源分配问题。虽然看似简单,仅仅拥有足够的拦截器并非解决之道。单个拦截器的可靠性有限——美国系统的杀伤概率约为56%——且有效性随着针对单个弹头的部署数量而提高。
然而,成功并非保证。至关重要的是,*探测*和*跟踪*弹头(P(track))至关重要;拦截器对未被发现的目标毫无用处。对手会主动攻击跟踪系统,即使是探测方面的轻微故障也会大幅降低杀伤概率。
此外,问题随着多个来袭弹头和诱饵而升级。“武器-目标分配”问题——优化分配拦截器以最大化资产保护——是NP完全问题,这意味着解决方案的复杂性随着威胁数量呈指数级增长。虽然可以使用现代算法解决,但攻击方通过部署弹头和诱饵来决定问题的大小,从而造成重大的防御挑战。 目前美国的能力针对性很窄,即使是防御中等程度的攻击也需要大幅增加拦截器库存和近乎完美的跟踪能力。
每日HackerNews RSS
## NanoClaw & OneCLI:安全的代理访问
NanoClaw,一个代理平台,正在通过集成OneCLI作为其默认凭证和代理层来增强安全性。这解决了授予代理访问敏感系统固有的风险——例如,AI代理删除用户整个邮箱的事件。
此前,NanoClaw 在内存中管理密钥。现在,它利用OneCLI的Agent Vault,确保代理*绝不*直接处理API密钥。每个代理都在自己的隔离Docker容器内运行,OneCLI通过网关控制访问,仅在请求期间注入凭证。
OneCLI允许制定细粒度的策略,超越简单的凭证管理,包括速率限制(例如,限制每小时的邮件删除数量)以及未来的功能,如限时访问和审批流程。这可以防止失控的操作,并提供可审计的控制。
本质上,NanoClaw提供运行时隔离(容器),而OneCLI提供凭证和策略隔离。两者都是开源的,提供了一个强大的框架,可以在不向关键系统暴露不必要的风险的情况下,安全地利用AI代理的力量。
## NanoClaw 与代理安全未来 - 摘要
NanoClaw,一种新工具,因采用 OneCLI Agent Vault 而备受关注,引发了关于人工智能代理和 CLI 工具安全性的讨论。虽然这是朝着更好的安全实践迈出的一步,但评论员表示,CLI 本质上比 OAuth 等先前的方案具有较弱的安全模型,尤其是在密钥轮换和 API 访问控制方面(特别是对于 REST、GraphQL 和 JSON-RPC)。
对话围绕着从 CLI *向* 利用 OpenAPI 规范和基于代理的安全解决方案的潜在转变展开。人们对 OneCLI 等工具缺乏安全审计以及数据泄露的风险表示担忧。
用户正在试验“爪子”(代理),用于执行诸如自动化信息收集、总结数据和自动化简单工作流程(从天气简报到代码部署)等任务,这突出了便利性,但也承认了令牌消耗成本。一个关键的需求是更用户友好的访问控制,例如 1Password 风格的代理操作批准,以及更好的隔离,以防止即使具有 root 权限的恶意操作。
最终,讨论指向一个快速发展的领域,其重点正在转向用于人工智能代理的安全、基于策略的代理和基于意图的访问控制。
路过儿时的工作场所,引发了一种顿悟:建立和*维持*友谊似乎比以往任何时候都更难。作者在家庭逐渐扩大和五年远程工作的情况下,渴望更深入的、面对面的联系,并注意到一种转变,从用社交媒体来补充人际关系,到将其视为替代品。
为了对抗这种“友谊衰退”,作者尝试了发起双语玩乐小组和“与朋友一起工作”计划,最初都成功地创造了互动。然而,作者意识到,持续而有意义的联系需要大量的*时间*——这是繁忙的成年人稀缺的资源。
与老朋友重新建立联系也面临着生活阶段和距离的挑战。最终,解决方案在于有意识地行动:主动出击的惊喜电话和即兴的“拜访”,以培养现有的情谊。关键在于?不要被动地等待联系,而是积极地*创造*它,认识到真正的友谊需要超越在线互动轻松的努力。
## 友谊衰退:摘要
一篇Hacker News讨论探讨了现代生活中随意社交联系的减少以及建立和维持友谊的挑战。 几个因素被提及:舒适的居家生活减少了外出社交的需求,科技和屏幕时间带来的隔离效应,以及现代生活——工作、家庭和通勤——带来的压力,导致人们用于培养关系的精力和时间减少。
评论者指出,社交规范发生了变化,自发互动减少,精心策划的在线联系增加。 一些人建议,有意识的努力,例如定期、轻松的聚会,或者仅仅是无需严格安排地联系朋友,可能会有所帮助。 还有人指出,有了孩子后维持友谊的困难,因为 priorities 发生了变化。
一个反复出现的主题是共同经历和地理位置的重要性。 许多用户强调了当地社区和共同爱好的价值。 最终,讨论表明,重建社交联系需要有意识的努力,以及在现代生活的干扰中优先考虑现实世界互动的意愿。
## Litellm 包供应链漏洞 在 PyPI 上发现了 `litellm==1.82.8` 的一个严重安全漏洞。该包包含一个恶意 `.pth` 文件 (`litellm_init.pth`),会在 Python 解释器启动时*自动*执行一个窃取凭据的脚本——无需导入语句。 该脚本会收集大量敏感信息,包括环境变量(可能暴露 API 密钥和密钥)、SSH 密钥、云提供商凭据(AWS、Azure、GCP、Kubernetes)、加密钱包、数据库凭据和 CI/CD 密钥。然后,它使用 AES-256 和硬编码的 RSA 公钥加密此数据,并将其泄露到 `https://models.litellm.cloud/`。 该漏洞利用了 Python 自动执行 `site-packages/` 中的 `.pth` 文件的功能。有效载荷使用双重 Base64 编码进行混淆。 **影响:** 安装 `litellm==1.82.8` 的系统面临完全凭据泄露的高风险。 **建议:** 已经请求从 PyPI 上删除该包。用户应立即检查 `site-packages/` 目录中是否存在 `litellm_init.pth` 文件,并**轮换所有可能在受影响系统上暴露的凭据**。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
litellm 1.82.8 PyPI 包中的恶意 litellm_init.pth – 凭据窃取器 (github.com/berriai)
733 分,theanonymousone 1 天前 | 隐藏 | 过去 | 收藏 | 1 条评论 帮助
dang 1 天前 | 下一个 [–]
评论已移动至 https://news.ycombinator.com/item?id=47501426,该帖子发布得更早。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
启用 JavaScript 和 Cookie 以继续。
对不起。
## zswap 与 zram:压缩交换的快速指南 对于大多数 Linux 用户来说,**zswap 是压缩交换的首选方案**。它位于你的磁盘交换*之前*,在 RAM 中压缩页面,并自动将不常用的数据移动到磁盘,提供优雅的性能下降。 **zram** 则相反,是一个压缩的块设备,*充当*交换的 RAM 磁盘。虽然看似相似,但它缺乏 zswap 与内核内存管理的智能集成。当 zram 填满时,可能会导致性能问题——系统挂起或低效地交换到较慢的存储——而没有自动驱逐。 **主要区别:** * **分层:** zswap 自动在 RAM 和磁盘之间分层数据。zram 具有硬性容量限制。 * **集成:** zswap *与*内核的回收过程协同工作。zram 被视为标准的块设备。 * **稳定性:** zswap 在压力下会优雅地降级。zram 可能会导致挂起或 LRU 反转(热数据交换到磁盘)。 **zram 在什么情况下可能有用?** * **嵌入式系统:** 磁盘存储不可用时。 * **无盘系统:** 与嵌入式系统类似。 * **特定的安全需求:** 将敏感数据完全保存在 RAM 中。 **避免:** 同时运行 zram *和*磁盘交换——通常会降低性能。如果使用 zram,请将其与用户空间 OOM 管理器(如 systemd-oomd)配对。 **未来:** 内核开发者正在积极努力增强 zswap,可能最终消除对 zram 的需求。对于大多数用户来说,坚持使用 zswap 和磁盘交换可以提供性能和稳定性的最佳平衡。
## 揭穿 Zswap 和 Zram 的误解:总结
一篇近期文章挑战了人们对 `zswap` 和 `zram` 的常见认知,它们是 Linux 内核用于内存压缩和交换管理的特性。虽然通常建议使用 `zram`(基于压缩 RAM 的交换)来保护 SSD,但作者认为 `zswap`(使用磁盘交换作为压缩 RAM 的后端)通常更优,*尤其*是在 SSD 具有较慢的同步写入速度时——这是无 DRAM SSD 的常见问题。
关键见解是,即使使用 `zswap`,*一些*磁盘交换实际上也可以 *减少*磁盘 I/O,方法是防止内核积极回收文件缓存。单独使用 `zram` 如果填满可能导致抖动,迫使内核丢弃有用的缓存文件。
文章强调了与 `zram` 一起调整用户空间 OOM killer 的重要性,并强调了正在进行的工作,以创建一个“虚拟交换空间”,将 `zswap` 与其后端存储分离,从而可能简化配置。最终,最佳选择取决于硬件——`zswap` 在快速 SSD 上表现出色,而 `zram` 仍然适用于缓慢或不存在磁盘交换的选项。文章强调理解内核的内存管理原理,而不是依赖过时的“保护 SSD”建议。
## 通过 `wget | dd` 安装 Linux 发行版:深入研究 本文详细介绍了作者使用直接写入磁盘管道 `wget | dd` 创建 Linux 发行版安装方法的过程。受到“curl | sh”争论和避免小额云存储成本的启发,作者探索了通过直接将磁盘镜像流式传输到设备(如 `/dev/sda`)来绕过传统的安装方法。 该过程从复制旧的 Raspberry Pi 镜像写入方法(下载,然后 `dd`)发展到完全消除中间文件。这是因为 Unix 将设备视为文件,允许直接写入。作者随后着手解决重新镜像正在运行的 VM 的挑战,发现覆盖已挂载的操作系统磁盘是可行的,但风险很高——导致大约 78% 完成时崩溃。 解决方案?启动到救援镜像(如 Contabo 提供的 Debian)以获取访问权限并在未挂载的系统上运行 `wget | dd` 命令。这引发了进一步的自动化尝试,质疑甚至救援镜像的必要性,并思考完全内存交换以实现完整、自包含安装的可能性。作者利用 NixOS 的自动化镜像创建工具来简化流程。
## Linux 发行版通过 `wget | dd`:一则 Hacker News 摘要
一则 Hacker News 讨论围绕着一篇博客文章展开,文章详细介绍了如何创建一个最小的 Linux 发行版,使其能够仅通过 `wget | dd` 命令运行——本质上是下载并直接写入磁盘镜像。作者成功构建了一个包含 `busybox`、`wget` 和 `dd` 的 6.1MB initramfs 来实现这一点。
对话探讨了写入已挂载文件系统的固有风险,用户建议使用只读重新挂载、`pivot_root`、kexec 以及利用 initramfs 环境等解决方法。 许多评论者分享了类似的“粗糙”但可用的系统替换方法,包括使用网络启动、基于 rsync 的更新,甚至使用软盘时代的技巧。
讨论强调了在受限环境(如某些 VPS 提供商)中配置系统所面临的挑战,以及对更简单、更直接的安装方法的需求。 虽然承认这种方法的“YOLO”精神,用户也指出了潜在的陷阱和更安全的替代方案。 作者确认该系列文章的后续部分将解决一些提出的问题。
冰场:每小时45美元只为站着。
TSA:0美元每小时保障你的安全。
ICE: $45 an Hour to Stand There. TSA: $0 an Hour to Keep You Safe
36 天前
## DHS 两级关闭:不平等的薪酬制度 最近影响国土安全部(DHS)的关闭事件,暴露了联邦雇员待遇方面的一大差异。由于“一个宏伟法案”中专门划拨的资金,ICE 特工继续全额领薪,而 TSA 官员、海岸警卫队人员以及 DHS 内部的其他人员已经超过 37 天没有收到工资。 这场危机源于国会对 ICE 执法协议的僵局,导致针对性的关闭,而国防部和教育部等其他机构的资金仍在继续。这导致超过 400 名 TSA 员工辞职,严重削弱了春季旅行高峰期的机场安保。航空公司正面临巨额财务损失——可能高达数十亿美元,旅客则面临大规模延误和取消。 尽管局势混乱,国会却休会两周,工资仍在继续发放,这凸显了一种制度:民选官员在宪法上得到收入保障,而基本工作人员却难以负担基本生活必需品。埃隆·马斯克提议支付 TSA 工资等私人资金的提供,凸显了这种功能失调,并引发了对美国治理状况的质疑。这种情况并非崩溃,而是一种有意的设计,揭示了 DHS 内部的明确优先级——以及一个被选择支付工资,而另一些人被抛在后方的制度。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
ICE:每小时45美元只为站着。TSA:为保障您的安全每小时0美元 (botonomous.ai)
18点 由 botonomous 1天前 | 隐藏 | 过去 | 收藏 | 1条评论 帮助
pseudohadamard 21小时前 [–]
你不得不承认特朗普做得不错,他做了一件几周前还看似不可能的事情:让人们对TSA员工产生同情。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
## 记忆稀疏注意力 (MSA):将 LLM 扩展到 1 亿 Token
本文介绍了一种名为记忆稀疏注意力 (MSA) 的新框架,旨在克服大型语言模型 (LLM) 的上下文长度限制。当前的 LLM 在处理长上下文(超过 1-128K 个 Token)时面临注意力瓶颈,而现有的解决方案(如 RAG 或线性注意力)则会面临准确性下降或缺乏端到端训练的问题。
MSA 实现可扩展、端到端可训练的性能,上下文长度可达 1 亿个 Token。关键创新包括**稀疏注意力**与**文档级别的 RoPE** 结合,实现近线性的复杂度;**KV 缓存压缩**和**内存并行推理引擎**,以实现高效的吞吐量(2x A800 GPU 上实现 1 亿 Token);以及**内存交错**,以提高多跳推理能力。
在长上下文问答和 NIAH 基准测试中的评估表明,MSA 优于现有的 RAG 系统和领先的长上下文模型,在从 16K 扩展到 1 亿 Token 时,性能下降小于 9%。该框架将检索和生成集成到一个可微分的流程中,为 LLM 中解耦记忆容量和推理能力提供了一条有希望的途径。
微软最近宣布了一项7点计划来“修复”Windows 11,许多人将其视为一次救赎。然而,批评者认为这仅仅解决了表面的问题,而操作系统在过去几年里经历了人为的劣化。
自2021年Windows 11发布以来,微软积极整合了其Copilot AI聊天机器人——最初强制添加到任务栏,随后蔓延到核心应用程序中——并在开始菜单、锁屏界面和文件资源管理器中注入了广告。隐私问题也日益严重,微软系统地消除了创建本地帐户的解决方法,要求使用微软帐户才能访问操作系统,并自动启用OneDrive同步,无需用户同意,有时会导致文件丢失。备受争议的Windows Recall功能最初以未加密的形式存储敏感数据。
公布的“修复”侧重于移除强制功能,如Copilot,并减少广告,但关键的是*不包括*解决核心隐私问题、遥测数据收集或强制采用微软帐户。许多人认为这是一种公关手段,修复了可见的烦恼,同时保持了有利于微软数据收集和服务的做法。此外,Windows 10的生命周期结束以及Windows 11严格的硬件要求正在迫使用户升级或购买新设备。