克隆代码仓库不再是绝对安全的了。攻击者越来越多地使用“配置注入”技术:将看似无害的配置文件(如 `.vscode/tasks.json`、`.claude/settings.json` 或 `Gemfile`)武器化,以便在开发者打开文件夹、启动 AI 代理会话或安装依赖项时立即执行任意 Shell 命令。
这种技术以“Miasma”蠕虫为例,它避开了传统的依赖扫描器,因为它利用原生项目工具来启动“下载器(dropper)”脚本。虽然一些 IDE 使用信任提示,但开发者往往将其视为常规操作而忽略。像 npm 或 Composer 这样的包管理器通常会在没有任何警告的情况下自动运行这些命令。
**关键点:** 请将代码仓库的配置文件(dotfiles 和 IDE 设置)视为可执行代码。它们属于项目攻击面的一部分,在代码审查过程中需要与应用程序逻辑接受同等级别的严格检查。在打开不受信任的代码仓库之前,请使用 grep 搜索可疑模式(如 `folderOpen`、`SessionStart` 或顶层的 `system()` 调用),并确保您的审查流程不会跳过“脚手架”文件。如果您怀疑受到攻击,请立即轮换您的环境凭据(AWS、GitHub 等)。
每日HackerNews RSS
对不起。
Zig Structs of Arrays (2024)
12 小时前
抱歉。
请启用 JavaScript 和 Cookie 以继续。
这篇 Hacker News 帖子讨论了作者对大语言模型(LLM)削弱软件工程职业前景的担忧。讨论主要围绕三个核心主题:
* **工作稳定性与技术能力:** 评论者争论专业知识是否仍是职业保障。一些人指出,历史上的变迁(如市场崩盘或大量新开发者涌入)一再证明,技术精湛并不一定能保住职位。
* **质量与实用性:** 关于企业是优先考虑功能成果还是代码质量,各方观点不一。有人认为“外界”只关心产品能否正常运行,而另一些人则反驳称,构建糟糕的内部系统在压力下终将崩溃。
* **软件需求的未来:** 参与者对长期需求表示乐观。资深开发者认为工作需求不会短缺;相反,未来软件的复杂性可能会增加。许多人相信,通过克服当前人类在语境和沟通上的局限性,大语言模型将推动创建更复杂、更大规模的系统,而不是使软件开发过时。
智库称,年龄验证技术可能会使儿童面临更大的风险。 Age verification tech could put children at greater risk, says think tank
13 小时前
信息政策研究基金会(FIPR)对英国政府强制要求社交媒体进行严格年龄验证的提议表示“深切担忧”。尽管政府官员认为此类措施旨在保护儿童,但该智库警告称,这些政策可能会在无意中加剧数据泄露、勒索以及边缘化弱势群体等风险。 FIPR 指出,年龄验证的“技术手段”不仅低效且容易被有心用户规避,同时还赋予了科技巨头过大的权力。该组织指出,与在实体店出示身份证不同,强制性的数字年龄核查会留下永久且敏感的数据痕迹,可能侵犯言论自由和隐私。此外,此类系统可能存在不准确性,尤其是对少数群体和残障用户而言。 作为替代方案,FIPR 建议采用类似于电影分级的“标记与屏蔽”系统,允许家长在设备层面过滤内容。该智库强调,这些措施未能解决网络危害的根源——例如不良内容和成瘾性应用设计,并敦促政府重点关注平台监管,而非通过设置门槛强迫用户仅为进行交流就交出个人数据。
最近,一家智库发布并在 Hacker News 上分享的一份报告指出,年龄验证技术可能会无意中增加儿童面临的风险。
该平台上的评论者对这些强制措施背后的真实意图表示怀疑。许多人认为,推动年龄验证并非为了切实保护未成年人,而是将此作为实现强制性在线身份核查常态化的借口。
参与者提出了更有效且注重隐私的替代方案,例如实施标准化的网页标签,让家长能够利用现有工具根据年龄和类别过滤内容。然而,讨论中的普遍观点认为,这些法律的支持者不太可能采纳去中心化或由家长控制的方案。用户认为,由于这些举措的真正目的是更广泛的监控与控制,政策制定者会有意忽视那些切实可行且具有儿童保护作用的技术替代方案。
Thermo Fisher 的抗体数据中有多少是被篡改的? How much of Thermo Fisher's antibody data has been manipulated?
13 小时前
研究人员在赛默飞世尔科技(Thermo Fisher Scientific)的在线抗体目录中发现了超过450处被篡改的验证数据。Sholto David、Johan Duchêne 及本文作者的调查显示,这些蛋白质印迹(Western blots)存在条带重复、图像编辑软件留下的“笔触”以及重复的背景噪声模式——其中甚至有一张图像被用于数十种不同的产品。
这些“高级验证”图像旨在证明试剂功能符合预期。然而,这些明显的造假行为极其普遍,引发了对质量控制和研究可靠性的重大担忧。据估计,超过50%的商业抗体在实验室应用中失效,而不可靠的验证数据迫使科学家购买昂贵且无效的产品,导致项目延误和研究结果无法复现。
作者已将研究结果汇总至公共 Zenodo 存储库,旨在提醒科学界并鼓励对供应商提供的数据进行更深入的审查。他们敦促研究人员保持警惕,并在使用前对抗体进行独立验证。相关人员可通过专用报告表格贡献更多发现。
Hacker News 最新 | 过往 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
Thermo Fisher 的抗体数据有多少被篡改了?(reeserichardson.blog)
12 分,由 mhrmsn 发布于 3 小时前 | 隐藏 | 过往 | 收藏 | 1 条评论 | 帮助
DonsDiscountGas 13 分钟前 [–]
令人担忧但并不意外。他们提供约十万种抗体,几百起欺诈可能只是冰山一角。
> 使用 Google Lens、必应图片或 DuckDuckGo 进行“相似图片”搜索,揭露了我们尚未记录的数百起案例。
根据我的经验,这些搜索会返回任何抗体 PCR 的图像,而不只是背景完全一致的图像。很想听听其他人的看法。
回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
欧盟开源战略是欧洲推动技术主权的核心基石,旨在减少对欧盟以外供应商的依赖,并确保关键数字基础设施的安全。通过培育可持续的开源生态系统,欧盟致力于通过提高互操作性、透明度和创新能力,为公共行政部门、企业、中小企业和公民赋能。 尽管潜力巨大,但该生态系统仍面临结构性障碍,包括资金分散、维护挑战以及经济价值流向欧盟之外的趋势。为解决这些问题,该战略采取了全生命周期方针,支持从最初的研发到长期工业部署的各个环节。 主要目标包括: * **技术主权:** 扩大“开放互联网堆栈”规模,并在人工智能、云计算、网络安全和数字身份(如欧盟数字身份钱包 EUDI Wallet)等战略领域优先使用开源技术。 * **生态系统发展:** 为初创企业提供支持,通过维护工具增强安全性,并投资于开源技能培养。 * **公共行政:** 在采购中推行“设计时即开放”原则,加强开源项目办公室(OSPO)的建设,并鼓励可重复使用的公共数字资产。 * **全球影响力:** 在国际上推广欧洲的开源解决方案,并将这些社区融入全球标准化工作。 归根结底,该战略旨在使开源成为欧洲数字未来的基础性、安全且具竞争力的驱动力。
这项关于欧盟开源战略的讨论反映了科技界明显的怀疑态度。虽然该倡议旨在促进政府对开源软件(OSS)的应用,但贡献者们指出了几个结构性障碍:
* **执行差距:** 评论者认为,政府倾向于微软和谷歌等专有软件巨头,并经常通过漏洞规避“开源优先”的政策。
* **经济激励不足:** 开发人员指出,当前的资助机制模糊不清,往往偏向大型财团或学术机构,而非推动实际创新的独立维护者或中小企业。
* **法律风险:** 新的《欧盟产品责任指令》给将开源软件集成到商业产品中的企业带来了潜在责任,这可能会阻碍其应用。
* **市场准入:** 开源软件的转型面临着软件以外的挑战;用户强调,如果没有广泛的消费者可用性(例如预装 Linux 的硬件)以及与商业套件相当的用户友好性,该战略将仅限于小众领域。
归根结底,目前的共识是,虽然欧盟的战略是朝着正确方向迈出的一步,但它缺乏必要的激励措施、对小型贡献者的法律保护,以及取代根深蒂固的专有生态系统的决心,难以实现真正的变革。
球面沃罗诺伊图 (Spherical Voronoi Diagram) Jason Davies → 地图 外接圆 (Circumcircles) 德劳内三角剖分 (Delaunay triangulation) 沃罗诺伊图将空间划分为若干个区域,每个种子点对应一个区域。该区域内的所有点到对应种子点的距离,都比到其他任何种子点的距离更近。在本例中,空间为地球表面(近似为球体)。 此实现采用随机增量算法来计算球面点的三维凸包。球面点的三维凸包等同于这些点的球面德劳内三角剖分。 开发中!剩余事项: 正确处理共面点。 显示球面凸包(若点集均位于半球内,则为德劳内三角剖分的边界;否则为整个球体)。
抱歉。
首页
关于我
博客
联系方式
社区网站
更多
首页
关于我
博客
联系方式
社区网站
首页
关于我
博客
联系方式
社区网站
Ms365news 的博客
版权所有 © 2022 Ms365news.com - 保留所有权利
隐私政策
技术支持
本网站使用 Cookie。
我们使用 Cookie 来分析网站流量并优化您的网站体验。接受我们的 Cookie 使用即表示您的数据将被汇总到所有其他用户数据中。
拒绝
接受
Hacker News 最近的一场讨论强调了微软 365 的一项新政策:自 2026 年 7 月起,已移除用户许可所关联的数据将在 12 个月后被永久删除。
用户对这一变更表示严重担忧,指出这可能会对依赖前员工共享文件的组织造成重大干扰。许多评论者批评 OneDrive 生态系统固有的复杂性和不稳定性,并列举了文件自发报错和账户被锁定导致数据不可逆丢失的案例。
虽然有人认为企业应使用 SharePoint 而非个人 OneDrive 文件夹来存储关键的长期业务文档,但另一些人则认为其后端基础设施从根本上就不可靠。总体而言,社区将这项即将实施的政策视为潜在的数据管理难题,进一步加剧了对微软云存储服务的不信任。
**赛博朋克图书馆**是一个精选的非营利性公共领域文献收藏库,专注于数字隐私、密码学和无政府主义哲学。该图书馆旨在为对赛博朋克理念感兴趣的人士提供资源,收录了诸如《加密无政府主义者宣言》、《网络空间独立宣言》等开创性文本,以及涉及电子现金、监控和黑客伦理的著作。该项目强调信息的自由获取,并作为安娜档案(Anna’s Archive)和 LibGen 等更广泛资源库的补充。
Hacker News | 最新 | 过往 | 评论 | 提问 | 展示 | 招聘 | 提交 | 登录
**The Cypherpunk Library (cypherpunkbooks.com)**
28 分,由 yu3zhou4 发布于 56 分钟前 | 隐藏 | 过往 | 收藏 | 4 条评论 | 帮助
**tangerine67g** 10 分钟前 | 下一条 [-]
做得不错,很有趣的页面。我觉得不需要一个花哨的着陆页,https://www.cypherpunkbooks.com/collection 的内容可以直接放在 https://www.cypherpunkbooks.com/ 下面。这是一个信息类网站,我希望能直接看到收藏和信息,而不是只有一个带有动画的标题。
回复
**unprovable** 3 分钟前 | 上一条 | 下一条 [-]
不错——等不及看它如何成长了!
回复
**proxysna** 17 分钟前 | 上一条 | 下一条 [-]
看起来很棒,但在 Firefox 上只有 10 帧。
回复
**Hasan121212** 9 分钟前 | 上一条 [-]
酷
回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
19世纪60年代,英国面临一项重大的工程挑战:如何在百慕大维修铁甲战舰。由于当地多孔的砂岩地质,建造传统的干船坞成为不可能。为了解决这一问题,工程师们建造了当时最大的浮动干船坞——一座长380英尺、重8000吨的巨型钢铁结构。
该船坞设计为U型自持平台,利用压载舱和强力泵,能将像“勇士号”(HMS Warrior)这样重达1万吨的舰船托举出水面。1869年6月,这座庞然大物开启了一段横跨大西洋、长达4000海里的壮丽旅程。在当时最强大的几艘铁甲舰(包括“阿金库尔号”和“诺森伯兰号”)的拖拽下,并辅以船帆以减少阻力,该船坞最终成功抵达百慕大。它在百慕大作为英国皇家海军的关键枢纽服役了三十多年,直到1906年退役。该项目至今仍是维多利亚时代独创性的见证,成功地通过强调机动性与规模,克服了重大的地质限制。
Hacker News 上的一场讨论引起了人们对历史上“巨型维多利亚式浮动干船坞”的浓厚兴趣。一位用户询问该结构最初的 19 世纪设计图是否尚存,随后有回复指出,英国国家档案馆(邱园)是保存这些工程记录的主要机构。
具体而言,海军部记录 ADM 195/5 中包含 73 张照片,记录了该船坞于 1868 年在布莱克沃尔造船厂的建造过程、其运往百慕大的航程以及运营历史。百慕大国家博物馆进一步证实,档案馆中保存有该时代重要的合同和工程往来信件。这一发现激发了社区成员对于复制这种规模宏大的维多利亚时代海洋工程壮举的可行性的好奇心。