## 介绍 install.md:AI 驱动的软件安装 该提案介绍 `install.md`,这是一种标准化的 markdown 文件,专为 LLM 可执行的安装指令设计。核心思想是将软件安装从人类转移到 AI 代理,认识到它们快速增长的能力。当前文档以人为中心,阻碍了安装等任务的自动化。 `install.md` 提供了一种结构化格式——包括产品描述、目标、成功标准和详细的 TODO 列表——LLM 可以解释并自主执行。这允许用户只需将文件(通过 URL 或粘贴)提供给 LLM,然后 LLM 适应用户的环境并处理安装过程,可以选择逐步批准。 Mintlify 正在引领这项工作,为其用户自动生成 `install.md` 文件,并将其托管在 `/install.md`。该格式是开源的,并且适用于现有的 CLI 和脚本,提供了一种比直接执行未知代码更安全的替代方案。虽然它不能替代复杂的安装向导,但 `install.md` 为大多数软件安装提供了一种轻量级、适应性强的解决方案,简化了开发者和用户的流程。
每日HackerNews RSS
## Install.md:LLM 可执行安装的新标准 - 摘要
Mintlify 提出了一种名为“install.md”的标准化 markdown 格式,用于软件安装说明,旨在被大型语言模型 (LLM) 直接执行。这一想法源于审计冗长复杂的安装脚本(如使用 `curl | bash` 的脚本)的困难,并旨在通过以人类可读的散文形式表达安装步骤来提高透明度。
核心论点是 LLM 可以可靠地遵循这些指令,从而提供更可审计的过程——用户可以理解安装的*意图*,并可能批准每个步骤。然而,该提案引发了争论。 提出的担忧包括 LLM 本身固有的确定性丧失、潜在的误解以及依赖人工智能进行关键系统更改的安全风险。
讨论的替代方案包括使用 LLM *生成* 传统的安装脚本以供人工审查、缓存生成的脚本以及利用 LLM 改进现有的包管理系统,如 Nix。 虽然有些人认为这是一种冒险的过度复杂化,但支持者认为这代表着向“散文运行时”转变,以及软件安装更易访问的未来。 Mintlify 团队承认这些担忧,并计划迭代该提案。
这个Python脚本从二进制数据源(如闪存转储)中提取并保存图形为SVG文件。它将二进制数据解析为指定大小的“槽”,然后将每个槽解释为定义图形的一系列笔画。 该脚本为每个图形计算边界框,并生成表示笔画的SVG文件。它提供以下选项: * 指定输入二进制文件、输出目录、槽起始偏移量和槽大小。 * 根据文件大小自动检测槽的数量。 * 过滤掉点太少的槽。 * 控制SVG输出中是否翻转Y轴。 最后,它报告成功导出的SVG数量,以及用于提取的参数。核心函数`write_svg`处理SVG文件内容的创建。
Hacker News上有一篇帖子讨论了“Drawbot”,这是一种面向儿童的小型笔式绘图仪(atredis.com)。最初的帖子和后续评论主要集中在该设备的简单性和扩展潜力上。
用户推测未来的迭代版本,建议的功能包括与大型语言模型连接的语音识别以生成绘画,或集成“turtle graphics”系统来编程绘画。一位评论者赞赏了对该设备的详细拆解。
值得注意的是,由于Hacker News常规 repost 系统出现技术问题,该帖子是重新发布,用户“dang”对此进行了确认。 讨论强调了对易于使用的创作工具的兴趣,以及人工智能在物理教育设备中的整合潜力。
曼迪安发布了一份全面的Net-NTLMv1彩虹表数据集,以突出这种存在数十年的不安全身份验证协议持续构成的风险。尽管自2012年起已被弃用(漏洞自1999年已知),但Net-NTLMv1在许多环境中仍然出乎意料地普遍存在。 此次发布大大降低了演示该协议弱点的门槛。以前需要昂贵的硬件或第三方服务,现在这些表允许安全专业人员使用现成的消费级硬件(低于600美元)在12小时内破解哈希。 这些表利用了已知的明文攻击,在攻击者获得没有扩展会话安全性的Net-NTLMv1哈希时恢复密码哈希。成功利用可能导致权限提升,以及关键的,通过DCSync攻陷域控制器。 该数据集可通过Google Cloud获得,并包含用于验证的校验和。曼迪安鼓励防御者利用这些表主动识别并**禁用Net-NTLMv1**,并缓解身份验证强制攻击,强调采取协作方法来消除这一重大的安全威胁。
谷歌的 Mandiant 发布了彩虹表,以加速弃用 Net-NTLMv1 协议,这是一种仍在许多系统中使用的、历经数十年的身份验证方法。 此举并非揭示*新的*漏洞——这些表已有多年可用,甚至可以追溯到 2000 年代初——而是提供了一种易于访问的资源,用于识别和解决仍然依赖于不安全协议的系统。
讨论强调了安全专业人员反复遇到这种易于利用的弱点时的沮丧,尤其是在遗留环境中。 虽然赋予“脚本小子”权力令人担忧,但主要目标是为 IT 部门提供具体的证据,以证明升级的必要性。
评论员指出微软历史上令人困惑的命名惯例以及表的大小(8TB),同时也指出谷歌自身弃用协议的历史,以及这可能促使采取行动,而之前的警告未能奏效。 最终,此次发布被视为推动最终消除长期存在的安全风险。
大型语言模型(LLM)在自动化和智能体开发方面潜力巨大,但它们偶尔未能持续产生结构化输出(如JSON、XML或代码)阻碍了实际应用。虽然LLM *通常* 生成有效的语法,但其概率性本质给依赖它们执行数据提取和工具调用的开发者带来了可靠性问题。
本手册旨在解决这一挑战,提供一份关于确保确定性、结构化LLM输出的全面且*更新*的资源。它涵盖了底层机制、最佳工具和技术、系统构建/扩展、速度和成本优化以及输出质量改进。
本手册由Nanonets-OCR和docstrange团队创建,旨在整合当前分散在研究论文、博客和代码仓库中的快速发展信息,既作为学习指南,也作为开发者的实用参考。
## LLM 结构化输出:摘要
最近的 Hacker News 讨论强调了“LLM 结构化输出手册”(nanonets.com)作为开发者有价值的资源。该指南详细介绍了确保大型语言模型 (LLM) 产生可预测格式输出的技术,这对于可靠地集成到更大的系统(如代理和管道)中至关重要。
主要收获包括“受约束的非确定性”的优势——即使内容不总是准确,也能保证语法的正确性。这对于资源受限的环境特别有用,例如在 Raspberry Pi 等设备上本地运行模型,在严格的输出约束下(例如“是”或“否”),即使是小型模型也可以有效。
讨论还指出了几个辅助结构化生成的库:Outlines、Guidance 和 XGrammar。TOML 和 TOON 等 JSON 的替代方案也被探索,以期获得更好的可靠性和效率,但支持它们优越性的证据尚有争议。基于正则表达式的 XML 模式强制执行是另一种可行的方法,尤其是在代码生成方面。最终目标是避免解析错误,并确保从 LLM 获得一致且机器可读的输出。
“大脑”病毒于1986年出现,信息为“欢迎来到地牢”,是已知首个针对个人电脑的病毒,因媒体报道而声名鹊起。该病毒由来自巴基斯坦拉合尔的一家商店的阿姆贾德和巴西特·阿尔维兄弟开发,其故事最近由阿姆贾德·阿尔维在2023年讲述。 这个故事是“目击历史”系列的一部分,该系列致力于通过第一手视角探索历史上的关键时刻。该系列涵盖了广泛的主题——从希特勒之死和柏林墙倒塌等历史事件,到科学突破和文化现象。 “目击历史”提供了对有影响力人物生活的洞察,并揭示了令人惊讶的故事,为塑造我们世界的事件提供了一个独特的视角。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
大脑:电脑病毒 [音频] (bbc.com)
16 分,由 andsoitis 6小时前发布 | 隐藏 | 过去 | 收藏 | 1 条评论
jmkni 5小时前 [–]
Mikko Hyppönen 关于“大脑”的精彩演讲 - https://www.youtube.com/watch?v=cf3zxHuSM2Y 回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
## 向高管沟通工程方案:摘要 Kooth的CTO安娜·希普曼概述了一份工程师寻求领导层支持的实用指南。核心挑战在于弥合技术方案与高管优先事项之间的差距。高管专注于高层目标——公司方向、资源分配、结果和风险管理——并向董事会、股东和客户等利益相关者负责。 成功的沟通需要理解高管的思考方式。方案必须展示明确的商业价值,与整体公司目标(如增加利润或提高客户保留率)保持一致,而不仅仅关注工程改进。预想关键问题:成本、投资回报率、替代方案、风险以及对其他团队的影响。 一个“翻译层”至关重要。必须用以业务为中心的语言取代工程术语,时间线应与高管的规划视野(通常是年,而不是周)保持一致。鉴于高管时间有限,简洁、以结果为导向的沟通至关重要。通过主动解决潜在问题,并从商业影响的角度提出请求,工程师可以显著提高获得批准的可能性,并推动项目成功。
一个 Hacker News 的讨论围绕着 refactoring.fm 的一篇文章“工程师到管理层的翻译层”。核心话题是如何向非技术领导层沟通技术细节。
一些评论者建议避免为非技术人员工作作为解决方案,而另一些人则认为有必要将技术目标转化为商业价值——并争论这种翻译应该朝哪个方向进行。一位评论员指出,优秀的领导者会促进这种翻译,而优秀的工程师会预见到这种需求。
一个反复出现的主题是质疑需要“翻译器”的 CTO 是否真正适合这个角色。甚至有人开玩笑地猜测是否可以使用 AI 模型来自动化翻译过程。最后,提供了一个原始文章的非付费版本链接。
1979年9月,来自东德的斯特雷尔齐克一家和韦泽尔一家,利用自制热气球,进行了一次大胆的逃往西德的行动。彼得·斯特雷尔齐克和根特·韦泽尔渴望自由,花费了一年多的时间,精心策划并制造了热气球,克服了无数挫折,包括一次失败的首次尝试,这引起了东德当局的警觉。
面对戒备森严的边境和射杀逃亡者的命令,他们用搜集到的材料制造了两只热气球,巧妙地设计了燃烧系统并充气了巨大的飞行器。他们的第一次尝试未能到达边境,但第二次,更大的热气球成功地载着八个人——包括四个孩子——飞越了墙壁。
尽管面临热气球燃烧和气温冰冻等挑战,他们最终安全降落在巴伐利亚。这次逃亡引发了东德加强安保措施,并成为了抵抗的象征。这个故事后来被电影《夜渡》(1982)和《气球》(2018)所记录,而热气球本身现在陈列在巴伐利亚博物馆中。
## 东德气球逃脱 - 摘要
一个黑客新闻的讨论集中在1979年斯特雷尔齐克一家和韦泽尔一家从东德使用自制热气球的惊人逃脱事件。故事通过维基百科链接和2018年的德国电影《气球》突出,详细描述了他们为自由而进行的胆冒险飞行,以及随后为应对此事件而收紧的边境安全。
评论者分享了与这个故事的个人联系,回忆起通过迪士尼改编版本在童年时接触到它,以及冷战时期令人不寒而栗的气氛。讨论延伸到更广泛的主题,如专制主义、自由的吸引力以及共产主义政权下生活的严峻现实。几位用户指出人们为逃脱所付出的努力,并将其与当前的移民模式进行对比。
对话还涉及其他相关的逃脱尝试,例如使用皮划艇前往菲律宾的一次,以及由三兄弟进行的一次,以及一个播客节目介绍的关于气球逃脱事件。最终,该帖子强调了克服压迫制度所需的勇气和足智多谋,以及这一历史事件的持久意义。
## 独立客户虚拟机 (IGVM) 项目概要
该项目定义了 IGVM 文件格式,这是一种标准化方法,用于打包启动跨各种虚拟化平台(包括利用 AMD SEV-SNP 和 Intel TDX 实现增强隔离的平台)所需的全部信息。 基本上,IGVM 文件包含用于构建初始客户状态的加载器命令,以及用于验证文件完整性和授权来源的安全测量。
该格式在 `igvm_defs` crate 中定义,并在 `igvm` 中提供 Rust 实现。
该项目积极鼓励贡献,要求签署贡献者许可协议 (CLA) 以确保适当的使用权。 它还遵守微软开源行为准则和商标使用指南。 CLA 要求详情由机器人自动管理,并在提交拉取请求时进行处理。
微软推出了一种新的独立客户虚拟机 (IGVM) 文件格式,引发了 Hacker News 的讨论。该格式旨在将虚拟机的整个状态——固件、磁盘、网络——打包到一个文件中,类似于 OVA。
然而,一个关键问题是当前的软件支持:它是否可以与流行的虚拟机管理程序(如 QEMU、KVM、VirtualBox 或 VMware)一起使用?目前,关于兼容性的细节很少。
评论者表达了怀疑,一些人认为这是对现有格式(如 libvirt XML)的不必要的重新发明。 还有人开玩笑说微软未来会将 CoPilot 集成到虚拟机中。 一个争议点是“独立”的命名,一位用户指出该项目实际上是由微软维护的。 链接的 QEMU 文章提供了一个更清晰的解释,表明“独立”指的是与虚拟机管理程序无关,而不是项目独立性。
@lwn 目前正遭受前所未有的严重爬虫攻击。这是一次涉及数万个地址的DDoS攻击,不幸的是,这影响了网站的响应速度。我有很多想做的事情,但防御来自AI的恶意攻击绝不在其中。我*真的*不想在LWN和读者之间设置障碍,但可能不得不这样做。(又是一个糟糕的一天,抱歉)
## LWN 遭受大规模抓取攻击 - 摘要
LWN.net,一个重要的 Linux 内核开发新闻来源,最近遭受了一次大规模的抓取攻击,峰值达到数万个独立 IP 地址。该事件引发了关于攻击来源和动机的争论,最初的猜测指向了积极收集训练数据的 AI 公司。
虽然有人认为存在恶意意图——可能是一项协调一致的实时监控网站的行动——但许多人认为攻击源于编写不良或配置错误的抓取程序,可能由利用住宅代理服务的较小实体部署。如此持续抓取的成本很高,表明这是一项经过深思熟虑的、有组织的行动,但并不一定是由大型 AI 参与者发起的。
讨论强调了 AI 模型缺乏对服务器负载的考虑,以及“易于洗钱”知识产权的潜力。解决方案包括技术缓解措施,如阻止 IP 地址和修改 JavaScript,以及对肇事者采取法律行动。攻击自行平息,但该事件凸显了日益严重的网页抓取问题及其对小型网站的影响。
## 数字“垃圾”时代 我们的环境被精心设计以最大化消费,而社交媒体就是一个典型例子。像TikTok这样的平台,凭借其无尽的“为你推荐”页面,优先考虑保持用户参与度——以网站停留时间衡量——而非优质内容。这创造了一种无限滚动的幻觉,隐藏了诸如时间之类的指标,并助长了无意识的消费。 对持续内容的需求导致了低质量、易于制作的大量内容涌现,被称为“垃圾”,这反映了当需求超过供应时,市场如何用更便宜的替代品填补空白。90-9-1规则——只有一小部分用户*创作*内容——被“为你推荐”页面加剧,降低了努力和好奇心的价值。算法提供轻松的娱乐,使知识变得可有可无,并扼杀了真正的创造性投入。 最终,创造力是无法 масштабировать 的,依赖于人类创作者的平台面临着根本问题:他们无法*强迫*人们创作。Vine的衰落故事证明了创作者的力量,而像TikTok这样的平台现在积极压制集体创作者的影响力,以避免类似的命运。解决方案?回归有意识的“网络冲浪”——在算法推荐之外,按照我们自己的意愿主动寻找优质内容。
## Hacker News 讨论: “垃圾内容”的兴起
一篇 Hacker News 讨论围绕着一篇最近的文章展开,该文章强调了低质量、AI 生成的内容在网络上日益普遍——被称为“垃圾内容”。核心论点是,由 TikTok 等平台驱动的高效内容消费,可能超过了原创、创意作品的供应。
对话迅速分化成几个相关点。用户们争论原始文章中使用的例子是否准确,质疑关于盘子大小影响饮食习惯的主张的科学依据。 讨论集中在算法在推广成瘾、低质量内容中的作用,以及创作者是否被迫将参与度置于艺术完整性之上。
许多评论者对在线内容标准下降感到沮丧,哀叹语言的滥用和 AI 生成材料的兴起。 一些人提出了缓解问题的策略,例如策划个性化信息流或寻找更旧、更高质量的内容。 另一些人则承认“垃圾内容”的不可避免性,并提倡关注个人享受并断开与持续不断的网络信息流的连接。 最终,该帖子反映了对在线内容未来以及 AI 对创造力影响的更广泛的焦虑。