苹果公司最近发布了iOS 26.3,以修复dyld(其动态链接器)中的一个关键零日漏洞(CVE-2026-20700)。该漏洞自iOS最初版本以来影响所有iOS版本。谷歌威胁分析小组发现了此漏洞,它允许具有内存写入权限的攻击者执行任意代码——本质上赋予他们对设备的控制权。 苹果确认此漏洞已被积极利用于针对特定个人的“高度复杂的攻击”中,可能作为更大的漏洞利用链的一部分。该攻击利用dyld漏洞以及WebKit漏洞,创建了一条通往完全设备控制的“零点击”路径。 安全专家将dyld比作安全“门卫”,而此漏洞绕过了关键的安全检查。这种复杂程度让人联想到商业间谍软件行业开发的漏洞,例如潜伏者(Pegasus)和掠食者(Predator)背后的那些。虽然此更新解决了其他错误,但dyld/WebKit链代表了iOS 26.3解决的最重大威胁。
每日HackerNews RSS
苹果公司最近发布了针对iOS系统中一个存在十年的“零日”漏洞的补丁,这意味着该漏洞在修复程序可用之前,苹果公司并不知道,并且可能已经被利用。该漏洞可能被商业间谍软件利用,引发了对设备安全的担忧。
Hacker News上的讨论澄清,“零日”指的是供应商未知的漏洞。用户正在质疑此更新的范围,指出它可能无法涵盖所有设备(例如较旧的iPad或运行较旧iOS版本的设备),并对需要升级旧设备表示沮丧。
一些评论员强调了创建无bug软件的固有困难,并赞扬了苹果相对于Android厂商的安全性能,而另一些人则指出了GrapheneOS等开源选项。该漏洞似乎需要用户交互才能利用,并非简单的锁屏绕过,但物理访问可能有助于漏洞利用。
Viva.com,一家主要的欧洲支付处理公司,遭遇了一个关键的邮件投递问题:他们的验证邮件缺少自2008年以来就已成为标准的“Message-ID”头部(RFC 5322)。这导致Google Workspace自动拒绝这些邮件,阻止使用公司邮箱地址的用户注册。 作者在创建账户时遇到了这个问题,并使用Google的邮件日志搜索发现了问题。一个解决方法是使用个人Gmail地址,因为Gmail的容错性更高。然而,向Viva.com的支持团队报告此错误,得到的回复却轻描淡写——确认账户已验证,而不是承认潜在的技术缺陷。 这凸显了欧洲金融科技基础设施中令人担忧的模式:文档不完整、未处理的边缘情况以及支持团队缺乏技术理解,这可能源于竞争不足。作者强调了可靠的支付处理的必要性,特别是对于希腊的IRIS等本地系统,并希望像Stripe这样的供应商能够扩张,从而提高整体标准。 解决方案很简单:在所有传出的交易邮件中包含Message-ID头部。
一家主要的欧洲支付处理商Viva.com正在发送违反RFC 5322标准的邮件验证消息,缺少必需的“Message-ID”头部。这导致Google Workspace拒绝这些邮件,阻止用户验证他们的账户。
尽管提交了详细的错误报告,Viva.com的支持团队却驳回了这个问题,声称验证不是问题,因为用户*已经*拥有经过验证的电子邮件地址。最初的发布者通过使用Gmail地址来规避这个问题,而Gmail显然拥有更宽松的接收基础设施。
这次讨论强调了遵守电子邮件标准的重要性,大型公司对技术问题缺乏响应的令人沮丧之处,以及基于声誉的电子邮件过滤可能对可传递性产生影响。一些评论员认为Google可能过于严格,而另一些人则指出Viva.com的整体无能以及金融机构内部更广泛的ITIL问题。
退出
Quitting
12 小时前
这段回忆录摘录详细描述了作者与吸烟的复杂关系,始于青少年时期,作为应对尴尬和寻求自我认同的一种方式。起初,吸烟是一种表演——炫耀自己毫不费力地很酷,但很快就演变成一种真诚的、挥之不去的需要。 作者将香烟描绘成一种并非愉悦的放纵,而是一种持续的、抽象的满足感,一种填补内心空虚和投射理想身份的方式。吸烟提供了一种自主和控制感,是自我选择行为的可见标志。尽管认识到健康风险,戒烟却让人感到恐惧,代表着潜在的自我丧失以及围绕这种仪式建立的生活的瓦解。 最终,作者“愚蠢地”戒掉了烟,没有借助任何工具,意识到这种成瘾既是生理上的,也是心理上的。他描述了失去围绕吸烟构建的思想世界的悲伤,以及害怕变得不被过去那个自己认出的恐惧。现在已经戒烟五百多天,他反思着挥之不去的渴望,以及对曾经的自己的出人意料的同情。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
辞职 (thepointmag.com)
9 分,由 NaOH 2小时前发布 | 隐藏 | 过去 | 收藏 | 1 条评论
TminusZ 1小时前 [–]
你最后一支烟就是你点燃另一支烟的原因
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
Tyr 的未来,一个为 Arm Mali 硬件设计的 Rust GPU 驱动程序
The Future for Tyr, a Rust GPU Driver for Arm Mali Hardware
12 小时前
## Tyr:基于Rust的Arm Mali GPU驱动 – 2026路线图
Tyr项目旨在利用Rust为Arm Mali硬件创建现代、安全的GPU驱动。在2025年于Linux Plumbers Conference上成功演示可玩SuperTuxKart之后,团队正专注于将工作贡献到上游,特别是考虑到新的驱动程序需要用Rust编写的DRM子系统要求。
目前,一个基本的Tyr驱动已包含在6.18内核中,一个更实用的原型存在于主线之外。虽然原型可以运行桌面环境和游戏,但关键领域需要改进:电源管理、GPU恢复以及Vulkan兼容性(通过PanVK)。
Rust内核基础设施的缺失阻碍了进展,特别是在内存分配(GEM shmem)、GPU虚拟内存(GPUVM)和设备初始化方面。解决这些问题,以及整合Nova驱动团队的工作至关重要。未来的开发还包括一个新的作业提交组件(“JobQueue”)来取代存在问题的`drm_gpu_scheduler`,旨在实现C和Rust驱动程序之间的无缝互操作性。
最终,Tyr旨在提供高性能、安全和节能的GPU驱动,利用Rust的优势服务于移动和嵌入式市场的重要部分。
## Arm Mali 的 Rust GPU 驱动:摘要
一个新的基于 Rust 的 GPU 驱动,名为 Tyr,正在为 Arm Mali 硬件开发中。这源于 Linux 内核的 DRM 子系统正在考虑要求新驱动程序使用 Rust 编写,这一举措受到 Asahi Linux 项目在 Apple Silicon 上的成功推动。
讨论强调了内核开发的一次转变,可能由于 Rust 的内存安全优势而逐步淘汰 C 用于新驱动程序。虽然一些人对 Asahi 项目当前的开发进度和上游努力表示担忧,但另一些人则指出了最近的进展,包括在 M3 Mac 上的启动。
一个关键点是,这不是强制迁移;现有的 C 驱动程序将继续受到支持,但新的贡献可能会优先考虑 Rust。这也会影响其他需要支持未来驱动程序的平台,包括 Windows 和 BSDs。该项目旨在为更可靠的 GPU 驱动程序提供基础,解决崩溃和稳定性问题。
## AI 编程助手真正的瓶颈
关注哪个大型语言模型(LLM)——GPT-5.3、Opus、Gemini 等——在编码方面“最好”具有误导性。最大的性能限制因素不是模型本身,而是“控制系统”——管理用户输入、输出和工作区更改的接口。
目前的编辑工具存在问题:OpenAI 的 ‘apply_patch’ 在非 Codex 模型中经常失败,而 ‘str_replace’ 脆弱且容易出错。即使像 Cursor 这样的高级解决方案,其神经网络方法也存在局限性。作者开发了 “Hashline!”,一种为代码的每一行标记唯一标识符的系统,允许模型可靠地引用更改,而无需重现整个文件。
在 16 个模型上的基准测试表明,Hashline 一致优于现有方法,一些模型的成功率提高了 *十倍*。这表明,更好的控制系统可以带来超过典型模型升级的收益,并强调模型失败往往不是因为理解能力,而是因为 *表达* 更改的有效性。
然而,Anthropic 和 Google 等供应商正在积极阻止独立的控制系统开发,这可能会阻碍进展。作者认为,开源、社区驱动的方法至关重要,因为它使所有模型受益,并在最具影响力的点上促进创新:工具边界。
最近一篇Hacker News上的帖子讨论了一种显著提升15个大型语言模型(LLM)编码性能的方法——仅仅通过改变向它们提供代码上下文的方式。关键不在于模型更新,而是一种名为“Harness”的新机制,用于传递代码片段。
讨论的中心在于不同的代码行引用方法。虽然行号简单,但一位评论员指出,如果文件在LLM读取和写入之间发生变化,它们就会变得不可靠。原始文章中提出的基于哈希的系统通过唯一标识每一行来解决这个问题,从而防止因修改而导致覆盖。
另一位用户俏皮地建议,未来可能会出现“LLM的VI”——一种利用模型训练时所使用的文本导航技术,并可能具有光标上下文感知功能的界面。核心要点是,巧妙的上下文管理可以在不改变模型本身的情况下,大幅提升LLM的编码能力。
Please provide the content you want me to translate. I need the text to be able to translate it to Chinese.
## 美国网络防御正在瓦解:黑客新闻摘要
最近的黑客新闻讨论凸显了对美国主要网络防御机构——网络安全和基础设施安全局(CISA)现状的深切担忧。核心论点是CISA正被蓄意削弱,导致美国面临电力网和选举等关键基础设施遭受攻击的脆弱性。
评论员指出,故意的人员配置问题、阻碍机构运作的政策变化以及缺乏确认的领导层是这种衰退的证据。一些人认为,这是由政治议程驱动,旨在破坏对选举的信任或为进一步的政府控制制造借口。另一些人则认为,这是一种更广泛的模式,即优先考虑个人利益而非国家安全,官员们偏袒有利于亿万富翁或特定行业的政策,即使这些政策相互矛盾。
像Volt Typhoon组织这样的攻击者采用的关键策略是“就地生存”——使用现有的Windows工具来保持多年不被发现,从而避免传统的恶意软件签名。这强调了对高级检测方法和强大的凭证保护的需求。
总体情绪是警惕,许多人担心美国对重大网络攻击准备不足,而且现任领导层要么无能,要么正在积极地导致问题发生。
卡尔·萨根是一位多产的科学家和传播者,最著名的是他的著作《宇宙》和同名 PBS 系列节目。然而,他 1995 年的著作《魔鬼出没的世界:科学是一根黑暗中的蜡烛》作为批判性思维指南,至今仍具有特别重要的意义。 书中,萨根概述了一套“辨别谬论工具包”——九条评估论点和避免欺骗的原则。这些原则包括独立验证、鼓励辩论、质疑权威、考虑多种假设以及应用奥卡姆剃刀原则。该工具包强调可证伪性和严格测试,旨在抵消可能导致接受错误观念的固有的人类偏见。 萨根告诫说,这些工具需要审慎运用,但有效使用时,它们可以加速科学创新和理解。通过积极挑战我们自己的信念和仔细审查信息,我们可以保护自己免受虚假信息的影响,并防止理性衰退——萨根认为这种理性衰退可能危及文明本身。
这次黑客新闻的讨论围绕卡尔·萨根的“谬误检测工具包”和批判性思维展开。一个关键点是,萨根的框架虽然有价值,但可能过于轻易地否定那些缺乏*当前*检测手段的理论。用户们争论着,无法证伪某事物是否等同于它的不存在,以萨根的“车库里的龙”类比——一条无法检测到的龙实际上不存在——作为焦点。
一些评论者认为,缺乏当前的检测方法不应排除调查,并举例说明引力子和暗物质,它们虽然缺乏直接观测证据,但仍有理论基础。另一些人强调,非凡的主张需要非凡的证据。
对话还涉及可证伪性的细微之处以及过早否定想法的危险,仅仅因为它们难以验证。一个反复出现的主题是,需要应用萨根的整个工具包,而不仅仅是孤立的工具,并避免草率下结论。讨论还简要涉及了关于评论投票和人身攻击的网站指南。
黑客新闻 新的 | 过去的 | 评论 | 提问 | 展示 | 工作 | 提交 登录
《Byte》杂志艺术家罗伯特·蒂尼去世,享年78岁 (arstechnica.com)
20点 由 rbanffy 2小时前 | 隐藏 | 过去的 | 收藏 | 1条评论
cmrdporcupine 18分钟前 [–]
80年代初,我在加拿大艾伯塔省农村的小学10岁时,这位艺术家的作品(以及图书管理员赠送给我的大量旧《Byte》杂志)是我通往另一个世界的入口。
安息吧。感谢所有令人惊叹的想象力,以及成为我职业生涯起步的一部分。
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
这个项目源于一种更直接地与氙气互动的愿望——氙气是航天器离子推进器的燃料,而不仅仅是在专业场合中使用它。氙气因其重量和惰性非常适合推进,但价格昂贵,人们正在探索碘等替代品。
作者找不到专门用于展示氙气的设备,因此购买了一套5支惰性气体管,并制作了一个定制的展示架。这个展示架需要一个高压射频电源(从等离子球上安全回收)、一种将能量耦合到气体中的方法(使用锡箔“帽子”)以及一个用于容纳所有组件的3D打印结构。
最终的展示装置允许作者电离每种气体,氖气最容易电离,而氙气则更困难,有时需要触摸才能启动。这个项目突出了射频能量和电容耦合的复杂性,并作为一个视觉上引人入胜且具有教育意义的桌面玩具,提供对电离气体行为的实践洞察。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
“贵族之冠” 惰性气体管显示器 (theshamblog.com)
23 分,Ivoah 36 分钟前 | 隐藏 | 过去 | 收藏 | 1 条评论
pfdietz 19 分钟前 [–]
> [氙气] 非常适合太空推进,因为它相当重(所以每个原子能获得更大的推力)
更具体地说,对于给定的排气速度和栅格间距,离子引擎的空间电荷限制推力密度(推力/面积)随着离子质量/电荷比的平方而变化。 因此,你真正想要的是重而单电荷的离子。 这与热火箭完全不同,在热火箭中,你想要低分子量的排气气体。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
展示HN:地理赛跑 – 仅凭一张巴士票从伦敦赛到东京
Show HN: Geo Racers – Race from London to Tokyo on a single bus pass
14 小时前
Please provide the content you want me to translate. I need the text to be able to translate it to readable Chinese.
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 工作 | 提交 登录
展示 HN: 地理竞速 – 仅用一张巴士票从伦敦到东京 (geo-racers.com)
8 分,作者 pattle,2 小时前 | 隐藏 | 过去 | 收藏 | 5 条评论
jen729w 0 分钟前 | 下一个 [–]
我喜欢这个想法,但整个界面对我来说非常卡顿。在我的 MacBook Air M1 上尝试了 Safari 和 Firefox。回复
baq 2 分钟前 | 上一个 | 下一个 [–]
着陆页上有一个巨大的登录表单,却没有展示正在发生的事情的视频,这简直是自毁。回复
jen729w 0 分钟前 | 父评论 | 下一个 [–]
该表单底部有一个“以游客身份继续”选项。但是的,我的第一印象也是如此。回复
b112 16 分钟前 | 上一个 | 下一个 [–]
登录屏幕溢出我的屏幕,并且无法缩小缩放。回复
fatcow 17 分钟前 | 上一个 [–]
真是个绝妙的主意!我喜欢它,会花一些大富翁游戏里的钱!回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索: