这门系统安全课程全面概述了该领域,深入探讨了隔离技术、权限分离和处理错误代码等关键领域。它还涵盖了网络/分布式系统、移动设备和网络安全,并着重关注人为因素和隐私。 课程内容包括可信硬件、CPU侧信道、缓冲区溢出防御以及WebAuthn等现代身份验证方法。客座讲座涉及供应链安全、网络安全政策和现实世界的信息安全挑战。 整个学期,学生将完成五个实验——分别侧重于缓冲区溢出、权限分离、符号执行、浏览器安全以及ACME/WebAuthn,并进行一次期中测验,涵盖前半部分的内容。阅读材料涵盖了从基础论文(1984年)到最新出版物(2024年)的各种来源。期末考试侧重于课程的后半部分,允许携带笔记本电脑。
每日HackerNews RSS
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
麻省理工学院计算机系统安全 (2024) (csail.mit.edu)
7 分,barishnamazov 发表于 1 小时前 | 隐藏 | 过去 | 收藏 | 1 条评论
tptacek 发表于 8 分钟前 [–]
这门课很有趣;值得注意的是,这里有几个包含 1-2 个单元的主题,在领域内是完整的专业方向,包括:
* 内存安全和利用(“缓冲区溢出”部分虽然已经过时了 20 年,但对于入门课程来说非常合适)
* WebPKI/证书
* 消息安全和消息加密系统
* 微架构安全和硬件侧信道。
关于这些主题的多个完整课程才能将你培养到“从业者”级别的专业知识。
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
这位作者回应了关于其财富和与大型科技公司关系的批评,澄清他们实际上*避免*了长期参与。虽然曾在谷歌、脸书和推特实习,但他们因道德问题(例如脸书的使命)而离开,并且并未从这些公司积累大量财富。他们的收入主要来自漏洞奖励、加密货币工作和节俭的生活。 相反,他们创立了两家公司——comma.ai 和 tiny corp,专注于开源机器人技术和普及人工智能模型训练所需的计算能力(特别是 petaflops)。他们的目标是挑战英伟达的统治地位,认为软件而非硬件才是关键。 作者充满激情地倡导建设更美好的未来,批评那些从事有害技术工作的人,例如监控和操纵性平台设计。他们认为,将重点从以利润驱动的“劣质化”转移到开放、可访问的技术,就能产生重大影响。
一个黑客新闻的讨论围绕着一篇关于如何退出在线参与的文章(链接至geohot.github.io)。一位评论者OgsyedIE指出,作者关于人工智能和权力动态的论点中似乎存在矛盾。
作者最初认为未来取决于*谁控制*人工智能——拥有“root”权限,就像黑客入侵系统一样。然而,他们之前曾认为人工智能的智能最终将不可避免地导致人类被剥削,无论谁拥有它。
OgsyedIE认为这构成了一个虚假的二分法:要么人工智能超越人类组织能力并占据主导地位,要么它会达到极限并保持服从。他们看不到中间地带,强调了作者最初关注于*控制*某种可能最终无法控制的事物的矛盾之处。讨论涉及人工智能重塑权力结构的可能性。
IRISC:一个ARMv7汇编解释器和计算机架构模拟器
IRISC: An ARMv7 assembly interpreter and computer architecture simulator
19 小时前
很抱歉,如果没有启用 JavaScript,irisc-web 无法正常工作。请启用它以继续。
## IRISC:通过网络模拟器学习ARMv7汇编
rtybanana创建了IRISC,一个旨在教授ARMv7汇编语言和计算机体系结构的网络应用程序。该工具既可以作为解释器,也可以作为模拟器,允许用户逐步执行指令并可视化计算机如何执行低级代码。
IRISC旨在方便初学者和有经验的程序员使用,只需要对计算机科学概念有最基本的了解。内置教程会引导用户学习基础知识。
目前,由于模拟计算机硬件的复杂性,IRISC在笔记本电脑或更大的屏幕上体验效果最佳——不支持移动设备。创建者希望用户会觉得它既有趣又具有教育意义。你可以在polysoftit.co.uk找到它。
## 代码贡献价值的变化
近期大量低质量、AI生成的拉取请求(pull requests)促使人们重新评估开源贡献模式,尤其是在tldraw项目中。作者最初提议自动关闭外部PR,这一举动获得了开发者社区的意外支持,他们面临着类似的问题。
然而,核心争论不在于*是否*接受AI辅助代码——作者自己也在使用它——而在于当代码生成很容易自动化时,外部代码贡献是否具有价值。传统价值在于贡献者对代码库*和*问题的理解,这通过深思熟虑的迭代和设计输入来体现。
这个问题被AI工具加剧了,这些工具基于定义不明确的问题(甚至源于作者自己生成的AI错误报告!)创建看似有效的PR。这些贡献缺乏关键上下文,并且经常解决不存在的问题,需要维护者付出大量精力来理清。
最终,作者认为在代码唾手可得的世界里,最有价值的贡献现在集中在报告、讨论和深思熟虑的参与上——将实际编码留给核心团队,他们拥有必要的上下文和对项目的关怀。在出现更好的工具来管理这种新形势之前,可能需要转向限制外部贡献。
黑客新闻 新的 | 过去的 | 评论 | 提问 | 展示 | 工作 | 提交 登录
如果编写代码是容易的部分,为什么我要让别人来写呢? (tldraw.dev)
11 分,作者 todsacerdoti,3 小时前 | 隐藏 | 过去的 | 收藏 | 3 条评论
RobinL,2 小时前 | 下一个 [–]
发现自己一直在点头认同。我认为越来越有必要将来自未知外部人员的 PR 视为一种问题,而不是 PR(类似于文章中描述的“先提出问题”策略)。即使代码不可合并,用户使用可用的解决方案来指定他们想要的东西,实际上是非常有价值的。
AI-love,3 小时前 | 上一个 [–]
你是说像 AI 还是其他人?
coldtea,2 小时前 | 父级 [–]
他指的是其他人。它提出的愚蠢观点是“既然我们有了 AI,为什么还要接受对 FOSS 项目的人工贡献?”
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系方式
搜索:
Please provide the content you want me to translate. I need the text to be able to translate it to Chinese.
1806年,乔治·帕克牧师被谋杀引发了一桩复杂的案件,最终在24年后发现了理查德·赫明斯的遗骸。帕克负责收取备受痛恨的十分之一税(一种支付给教会或地主的10%税),并且不断提高要求,从135英镑增加到包括额外的“收款费用”,加剧了当地的怨恨。 三名农民——托马斯·克鲁斯、约翰·巴内特和乔治·班克斯——以及治安法官埃文斯上尉,雇佣赫明斯杀害帕克。为了让赫明斯噤声,他们又雇佣詹姆斯·泰勒谋杀赫明斯,并将尸体藏在克鲁斯的谷仓里。 然而,一个法律漏洞使这四人得以逃脱起诉:只有直接的凶手才能被审判,而泰勒已因自然原因去世。这场丑闻,加上对十分之一税更广泛的不满,最终导致了1836年的十分之一税交换法案,用基于全国粮食价格的更公平的“谷物租”取代了该制度。这需要详细的教区地图——在当时非常准确——来确定新税收的土地所有权。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
什么是十分一地图 (2021) (mapreading.co.uk)
5 分,由 thomasjb 发表于 2 小时前 | 隐藏 | 过去 | 收藏 | 讨论
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
尽管人工智能快速发展,但其经济可行性日益受到关注。纽约时报专栏作家兼经济学家塞巴斯蒂安·马拉比预测,OpenAI可能在18个月内面临财务破产,理由是预计将出现巨额亏损——2025年可能高达80亿美元,到2028年将增加到400亿美元——尽管目标是在2030年实现盈利。 这源于极高的基础设施成本,特别是数据中心(仅OpenAI预计就需要1.4万亿美元),以及商业模式依赖于目前免费的服务,用户很容易转换。虽然投资者通常弥合创新与盈利之间的差距,但人工智能公司烧钱的速度*太*快了。 像微软和Meta这样的成熟科技巨头处境更好,它们拥有现有的收入来源来支持人工智能开发。这种情况凸显了整个行业可能存在的8000亿美元“黑洞”,表明并非所有人工智能先驱的未来都有保障,即使像OpenAI这样获得创纪录投资的公司也是如此。
一份最新报告指出,OpenAI可能在2027年中耗尽现金,这在Hacker News上引发了讨论。然而,评论员普遍认为这篇文章是推测性的,缺乏财务模型,尤其是在潜在广告收入方面。
许多人认为,OpenAI会在面临财务困境*之前*采取预防措施,例如增加广告、停止新模型训练或寻求进一步的资金。有些人甚至开玩笑说,如果OpenAI出售其硬件投资,可能会涌入大量廉价的GPU和内存。
这场讨论凸显了人工智能开发的高成本,一位用户指出Anthropic也面临着巨大的亏损,据报道,该公司在2025年的AWS支出超过了其收入。尽管存在担忧,但许多人仍然保持乐观,强调人工智能的变革潜力,并将其发展轨迹与Meta等公司进行有利比较。最初的报告源自《纽约时报》的一篇*评论文章*。
## 传统软件开发的终结 Effectful Technologies 首席执行官 Michael Arnaldi 认为,人工智能正在从根本上改变软件开发,使许多传统编码变得过时。像“Ralph”这样的技术,它使用人工智能代理进行迭代循环,仅仅是个开始——高级用户已经在使用人工智能迅速“复制”整个公司。 重点不应该放在*哪个*人工智能模型最好,而应该放在开发有效*流程*来利用它们。一个拥有“足够好”模型的良好流程,将始终胜过一个没有流程的更优模型。这种转变正在很大程度上秘密进行,因为掌握先进技术的人们理解其颠覆性影响。 Arnaldi 通过仅用两个小时构建一个类似于彭博终端的 Polymarket 分析工具,并且没有编写任何代码来证明这一点。他现在正在构建一个开源会计应用程序(“Accountability”),以进一步证明这一点,只使用基本工具并记录整个过程。 这不是*软件工程*的终结,而是一种转型。工程师将从*编写*代码转变为*设计*生成代码的系统,专注于更高层次的思考和架构直觉。我们正在进入一个“软件工业革命”,稀缺性将被丰裕和可负担性所取代,需要对当前实践和团队结构进行彻底的重新评估。
## 软件开发领域的变迁
最近一篇Hacker News上的帖子引发了关于LLM对软件开发影响的争论。作者声称使用AI快速复制了彭博终端的核心功能,暗示该领域正在发生根本性转变。然而,许多评论者对此提出异议,认为虽然LLM令人印象深刻,但它们并不能完全取代熟练的开发者。
讨论的核心在于两种类型的程序员:一种是连接业务需求和技术实现的“翻译者”,另一种是已经扎根于特定领域的“业务程序员”。LLM赋予了后者力量,使他们能够生成以前需要大量编程专业知识才能完成的代码。
人们对依赖于不理解其原理的AI生成代码,从而创建“黑盒”系统表示担忧。 还有人指出,彭博终端等工具的真正价值在于专有数据、可靠性和网络效应——这些是LLM难以复制的方面。 一种普遍的观点是,编码作为一项*差异化技能*正在减弱,但软件*开发*——包括设计、调试和所有权——将仍然至关重要,需要更全面的技能组合。 许多人也批评了低质量、AI生成内容的泛滥,这助长了炒作。
## 氛围探索:无计划构建
本文详细介绍了一种名为“氛围探索”的新型软件开发方法,其目标*并非*预先定义。作者使用 Termux、Claude Code,以及快速构建-测试-迭代循环,在一部五年前的 Android 手机上完全构建了一个 WebGL 大理石游戏“Inertia”——一切都源于提示:“创建一个利用加速度计的创意网页游戏。”
与“氛围编码”(AI 实现已知想法)不同,氛围探索涉及通过迭代的 AI 辅助原型设计*发现*产品。作者最初并非打算创建一个大理石游戏;它是在六次迭代中产生的,每一次都响应于前一版本的不足。
速度和环境所有权是此过程的关键。直接在手机上开发,利用加速度计作为核心输入,并避免沙盒生成器或云端 IDE,可以获得即时反馈和完全的工具自由。作者设想利用分析、自动化测试和模拟用户来自动化人类反馈循环,最终创建一个完全自主的开发周期。该项目展示了 AI 如何不仅可以*构建*你想要的东西,还可以*帮助你弄清楚你想要什么*。
你可以在提供的链接中玩最终游戏并探索代码演变。
## macOS 亮度逐渐提升与深色模式的兴起
多年来,“浅色模式”一直是默认设置——电脑就是以浅色为标准。然而,最近的分析显示,macOS 的浅色模式在过去 16 年里一直在稳步变亮。通过分析 macOS 截图库的截图并计算平均亮度,作者证明了 UI 亮度持续增加,从雪豹 (2012) 的 71% 跃升到像 Tahoe 这样的最新版本的 100%。
这种亮度增加与作者持续使用深色模式相对应,最初觉得深色模式不吸引人,但最终为了避免过于明亮的显示屏而不得不使用。这一趋势凸显了设计上可能存在的偏向更亮元素的倾向,这源于对视觉上“更干净”的亮色选项的自然偏好。
作者指出深色模式的一个缺点——窗口之间缺乏对比度——并表达了对中灰色 UI 作为舒适替代方案的渴望。最终,他们呼吁设计师抵制最大化亮度的冲动,并考虑更平衡的色彩方案的优势,甚至建议将大胆的 50% 灰色作为起点。
## 黑客新闻讨论:亮模式越来越亮
最近黑客新闻上的一场讨论集中在观察到电脑界面上的亮模式越来越亮。用户们争论这个趋势的原因和影响,许多人表示感到不适和眼睛疲劳。
一些评论员指出从桌面电脑到笔记本电脑/手机的转变是一个关键因素。由于移动设备的亮度可以轻松调节,设计师们感觉可以更自由地最大化屏幕亮度,假设用户会在需要时自行调暗。另一些人则提到了历史背景,回忆起早期更暗的界面时代(如DOS),并对受Macintosh驱动的向纸质美学风格转变表示遗憾。
一个反复出现的主题是适当的亮度和对比度设置的重要性,一些人提倡颜色校准和自动亮度功能。然而,许多人发现即使是这些解决方案也不够充分,尤其是在现代高亮显示器上。
讨论还涉及设计选择,抱怨现代用户界面缺乏颜色变化,以及创建真正舒适的暗模式的困难。一些用户甚至建议使用“灰色主题”作为一种潜在的妥协方案。最终,共识似乎是个人偏好差异很大,一种适用于所有人的亮/暗模式方法不太可能让每个人都满意。