## Litellm 包供应链漏洞 在 PyPI 上发现了 `litellm==1.82.8` 的一个严重安全漏洞。该包包含一个恶意 `.pth` 文件 (`litellm_init.pth`),会在 Python 解释器启动时*自动*执行一个窃取凭据的脚本——无需导入语句。 该脚本会收集大量敏感信息,包括环境变量(可能暴露 API 密钥和密钥)、SSH 密钥、云提供商凭据(AWS、Azure、GCP、Kubernetes)、加密钱包、数据库凭据和 CI/CD 密钥。然后,它使用 AES-256 和硬编码的 RSA 公钥加密此数据,并将其泄露到 `https://models.litellm.cloud/`。 该漏洞利用了 Python 自动执行 `site-packages/` 中的 `.pth` 文件的功能。有效载荷使用双重 Base64 编码进行混淆。 **影响:** 安装 `litellm==1.82.8` 的系统面临完全凭据泄露的高风险。 **建议:** 已经请求从 PyPI 上删除该包。用户应立即检查 `site-packages/` 目录中是否存在 `litellm_init.pth` 文件,并**轮换所有可能在受影响系统上暴露的凭据**。
每日HackerNews RSS
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
litellm 1.82.8 PyPI 包中的恶意 litellm_init.pth – 凭据窃取器 (github.com/berriai)
733 分,theanonymousone 1 天前 | 隐藏 | 过去 | 收藏 | 1 条评论 帮助
dang 1 天前 | 下一个 [–]
评论已移动至 https://news.ycombinator.com/item?id=47501426,该帖子发布得更早。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
启用 JavaScript 和 Cookie 以继续。
对不起。
## zswap 与 zram:压缩交换的快速指南 对于大多数 Linux 用户来说,**zswap 是压缩交换的首选方案**。它位于你的磁盘交换*之前*,在 RAM 中压缩页面,并自动将不常用的数据移动到磁盘,提供优雅的性能下降。 **zram** 则相反,是一个压缩的块设备,*充当*交换的 RAM 磁盘。虽然看似相似,但它缺乏 zswap 与内核内存管理的智能集成。当 zram 填满时,可能会导致性能问题——系统挂起或低效地交换到较慢的存储——而没有自动驱逐。 **主要区别:** * **分层:** zswap 自动在 RAM 和磁盘之间分层数据。zram 具有硬性容量限制。 * **集成:** zswap *与*内核的回收过程协同工作。zram 被视为标准的块设备。 * **稳定性:** zswap 在压力下会优雅地降级。zram 可能会导致挂起或 LRU 反转(热数据交换到磁盘)。 **zram 在什么情况下可能有用?** * **嵌入式系统:** 磁盘存储不可用时。 * **无盘系统:** 与嵌入式系统类似。 * **特定的安全需求:** 将敏感数据完全保存在 RAM 中。 **避免:** 同时运行 zram *和*磁盘交换——通常会降低性能。如果使用 zram,请将其与用户空间 OOM 管理器(如 systemd-oomd)配对。 **未来:** 内核开发者正在积极努力增强 zswap,可能最终消除对 zram 的需求。对于大多数用户来说,坚持使用 zswap 和磁盘交换可以提供性能和稳定性的最佳平衡。
## 揭穿 Zswap 和 Zram 的误解:总结
一篇近期文章挑战了人们对 `zswap` 和 `zram` 的常见认知,它们是 Linux 内核用于内存压缩和交换管理的特性。虽然通常建议使用 `zram`(基于压缩 RAM 的交换)来保护 SSD,但作者认为 `zswap`(使用磁盘交换作为压缩 RAM 的后端)通常更优,*尤其*是在 SSD 具有较慢的同步写入速度时——这是无 DRAM SSD 的常见问题。
关键见解是,即使使用 `zswap`,*一些*磁盘交换实际上也可以 *减少*磁盘 I/O,方法是防止内核积极回收文件缓存。单独使用 `zram` 如果填满可能导致抖动,迫使内核丢弃有用的缓存文件。
文章强调了与 `zram` 一起调整用户空间 OOM killer 的重要性,并强调了正在进行的工作,以创建一个“虚拟交换空间”,将 `zswap` 与其后端存储分离,从而可能简化配置。最终,最佳选择取决于硬件——`zswap` 在快速 SSD 上表现出色,而 `zram` 仍然适用于缓慢或不存在磁盘交换的选项。文章强调理解内核的内存管理原理,而不是依赖过时的“保护 SSD”建议。
## 通过 `wget | dd` 安装 Linux 发行版:深入研究 本文详细介绍了作者使用直接写入磁盘管道 `wget | dd` 创建 Linux 发行版安装方法的过程。受到“curl | sh”争论和避免小额云存储成本的启发,作者探索了通过直接将磁盘镜像流式传输到设备(如 `/dev/sda`)来绕过传统的安装方法。 该过程从复制旧的 Raspberry Pi 镜像写入方法(下载,然后 `dd`)发展到完全消除中间文件。这是因为 Unix 将设备视为文件,允许直接写入。作者随后着手解决重新镜像正在运行的 VM 的挑战,发现覆盖已挂载的操作系统磁盘是可行的,但风险很高——导致大约 78% 完成时崩溃。 解决方案?启动到救援镜像(如 Contabo 提供的 Debian)以获取访问权限并在未挂载的系统上运行 `wget | dd` 命令。这引发了进一步的自动化尝试,质疑甚至救援镜像的必要性,并思考完全内存交换以实现完整、自包含安装的可能性。作者利用 NixOS 的自动化镜像创建工具来简化流程。
## Linux 发行版通过 `wget | dd`:一则 Hacker News 摘要
一则 Hacker News 讨论围绕着一篇博客文章展开,文章详细介绍了如何创建一个最小的 Linux 发行版,使其能够仅通过 `wget | dd` 命令运行——本质上是下载并直接写入磁盘镜像。作者成功构建了一个包含 `busybox`、`wget` 和 `dd` 的 6.1MB initramfs 来实现这一点。
对话探讨了写入已挂载文件系统的固有风险,用户建议使用只读重新挂载、`pivot_root`、kexec 以及利用 initramfs 环境等解决方法。 许多评论者分享了类似的“粗糙”但可用的系统替换方法,包括使用网络启动、基于 rsync 的更新,甚至使用软盘时代的技巧。
讨论强调了在受限环境(如某些 VPS 提供商)中配置系统所面临的挑战,以及对更简单、更直接的安装方法的需求。 虽然承认这种方法的“YOLO”精神,用户也指出了潜在的陷阱和更安全的替代方案。 作者确认该系列文章的后续部分将解决一些提出的问题。
冰场:每小时45美元只为站着。
TSA:0美元每小时保障你的安全。
ICE: $45 an Hour to Stand There. TSA: $0 an Hour to Keep You Safe
39 天前
## DHS 两级关闭:不平等的薪酬制度 最近影响国土安全部(DHS)的关闭事件,暴露了联邦雇员待遇方面的一大差异。由于“一个宏伟法案”中专门划拨的资金,ICE 特工继续全额领薪,而 TSA 官员、海岸警卫队人员以及 DHS 内部的其他人员已经超过 37 天没有收到工资。 这场危机源于国会对 ICE 执法协议的僵局,导致针对性的关闭,而国防部和教育部等其他机构的资金仍在继续。这导致超过 400 名 TSA 员工辞职,严重削弱了春季旅行高峰期的机场安保。航空公司正面临巨额财务损失——可能高达数十亿美元,旅客则面临大规模延误和取消。 尽管局势混乱,国会却休会两周,工资仍在继续发放,这凸显了一种制度:民选官员在宪法上得到收入保障,而基本工作人员却难以负担基本生活必需品。埃隆·马斯克提议支付 TSA 工资等私人资金的提供,凸显了这种功能失调,并引发了对美国治理状况的质疑。这种情况并非崩溃,而是一种有意的设计,揭示了 DHS 内部的明确优先级——以及一个被选择支付工资,而另一些人被抛在后方的制度。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
ICE:每小时45美元只为站着。TSA:为保障您的安全每小时0美元 (botonomous.ai)
18点 由 botonomous 1天前 | 隐藏 | 过去 | 收藏 | 1条评论 帮助
pseudohadamard 21小时前 [–]
你不得不承认特朗普做得不错,他做了一件几周前还看似不可能的事情:让人们对TSA员工产生同情。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
## 记忆稀疏注意力 (MSA):将 LLM 扩展到 1 亿 Token
本文介绍了一种名为记忆稀疏注意力 (MSA) 的新框架,旨在克服大型语言模型 (LLM) 的上下文长度限制。当前的 LLM 在处理长上下文(超过 1-128K 个 Token)时面临注意力瓶颈,而现有的解决方案(如 RAG 或线性注意力)则会面临准确性下降或缺乏端到端训练的问题。
MSA 实现可扩展、端到端可训练的性能,上下文长度可达 1 亿个 Token。关键创新包括**稀疏注意力**与**文档级别的 RoPE** 结合,实现近线性的复杂度;**KV 缓存压缩**和**内存并行推理引擎**,以实现高效的吞吐量(2x A800 GPU 上实现 1 亿 Token);以及**内存交错**,以提高多跳推理能力。
在长上下文问答和 NIAH 基准测试中的评估表明,MSA 优于现有的 RAG 系统和领先的长上下文模型,在从 16K 扩展到 1 亿 Token 时,性能下降小于 9%。该框架将检索和生成集成到一个可微分的流程中,为 LLM 中解耦记忆容量和推理能力提供了一条有希望的途径。
微软最近宣布了一项7点计划来“修复”Windows 11,许多人将其视为一次救赎。然而,批评者认为这仅仅解决了表面的问题,而操作系统在过去几年里经历了人为的劣化。
自2021年Windows 11发布以来,微软积极整合了其Copilot AI聊天机器人——最初强制添加到任务栏,随后蔓延到核心应用程序中——并在开始菜单、锁屏界面和文件资源管理器中注入了广告。隐私问题也日益严重,微软系统地消除了创建本地帐户的解决方法,要求使用微软帐户才能访问操作系统,并自动启用OneDrive同步,无需用户同意,有时会导致文件丢失。备受争议的Windows Recall功能最初以未加密的形式存储敏感数据。
公布的“修复”侧重于移除强制功能,如Copilot,并减少广告,但关键的是*不包括*解决核心隐私问题、遥测数据收集或强制采用微软帐户。许多人认为这是一种公关手段,修复了可见的烦恼,同时保持了有利于微软数据收集和服务的做法。此外,Windows 10的生命周期结束以及Windows 11严格的硬件要求正在迫使用户升级或购买新设备。
## Qite.js:一个轻量级前端框架 Qite.js 是一个为喜欢直接使用 HTML 并反感 React 等现代 JavaScript 框架复杂性的开发者设计的框架。它通过**消除构建步骤、虚拟 DOM 和 npm 依赖**来优先考虑简洁性,允许开发者用纯 JavaScript 与 HTML 一起编写 UI 逻辑。 Qite.js 将 **DOM 视为真理之源**,直接操作它,而不是依赖抽象。组件附加到现有的 HTML 元素上,更改会立即反映——不涉及差异化或重新渲染。它利用声明式状态规则来管理 UI 可见性和行为,避免复杂的条件逻辑。 主要特性包括组件层次结构,其中子组件发出由父组件处理的事件,用于管理组件状态的内置字段和标志,以及使用原生 HTML `<template>` 元素进行动态组件创建。Qite.js 是 **SSR 优先** 的,可以无缝集成到服务器渲染的应用程序中,并在需要时可以用于 SPA。它是一个强大且自给自足的解决方案,用于构建专注于清晰度和效率的严肃应用程序。
对不起。
加载中