## yolobox:安全的人工智能编程,具有“YOLO模式” yolobox 允许你释放人工智能编码代理(如 Claude、Codex 和 Gemini)的力量,而无需冒损毁系统的风险。它通过在沙盒容器内运行人工智能来实现这一点,将其与你的主目录和敏感文件隔离。 **工作原理:** 你的项目被挂载到容器内部,赋予人工智能在该空间内的完全权限。但是,除非明确挂载,否则你的主目录将保持受保护。该容器包含必要的 AI CLI 和开发工具,并自动跳过权限提示以实现简化操作。 **主要特点:** * **隔离:** 保护你的主目录免受意外删除(例如 `rm -rf ~`)。 * **完全访问权限(在容器内):** 人工智能在容器内具有 `sudo` 权限。 * **持久性:** 工具和配置在会话之间保存。 * **定制化:** 配置运行时(Docker/Podman)、镜像、挂载点和环境变量。 * **安全级别:** 提供不断提高的安全级别,从基本的容器化到无 root 的 Podman,甚至虚拟机隔离。 **安装:** 通过 `curl` 或 `git clone` 进行简单的 shell 脚本安装。 **使用方法:** 从你的项目目录运行 `yolobox` 进入沙盒,开始使用人工智能进行编码!
每日HackerNews RSS
## Yolobox:沙盒化AI编码代理
Yolobox,由Finbarr开发的新工具,旨在提供一种更安全的方式来本地运行AI编码代理,如Claude、Codex和Gemini。它利用Docker容器隔离代理,赋予其完全sudo权限,同时最大限度地降低对宿主系统的风险。
该项目源于对运行这些功能强大的代理时,避免因无限制权限带来的担忧的需求。虽然Docker并非完美的沙盒,但它提供了显著的改进。最近的红队测试发现了一个漏洞,恶意`.yolobox.toml`文件可以挂载宿主的主目录,从而逃逸——修复正在进行中。
讨论强调了替代方案,如轻量级虚拟机、无root Podman以及`shai`和`ctenv`等工具,它们提供不同程度的隔离和控制。一些用户更喜欢限制用户权限,而不是完全容器化。社区正在积极探索方法,以控制这些日益强大的AI代理可能产生的副作用。
该项目可在GitHub上找到:[https://github.com/finbarr/yolobox](https://github.com/finbarr/yolobox)
通过观看JavaScript加载来入睡。这个小项目会逐步讲述关于莉奥拉和她的小伙伴的睡前故事,并故意让JavaScript加载器无意义地旋转,只是为了帮助你入睡。加载器旋转的时间以及文字出现的速度会随着故事的进行而增加,理想情况下你永远不会到达结尾(除非你真的、真的想)。我一个晚上睡不着觉的时候想到了这个主意,当时我正在一个网页平台上寻找数据分析结果,注意到那个旋转器实际上让我感到困倦。我时不时地使用它,它确实有帮助。所以我决定公开它。就在这里!你可以在http://bedtime.my直接试用。如果你将它添加到手机的主屏幕,它应该全屏显示。
## 展示 HN:JavaScript 加载作为助眠工具
一位开发者分享了一个简单的 GitHub 项目,旨在通过显示缓慢加载的 JavaScript 文本和旋转加载器来诱导睡眠。这个想法源于发现观察数据分析平台的加载器出人意料地令人平静。该项目有意避免明确的“结束”,随着用户进展增加加载时间,同时*降低*文本速度。
用户提供了一些反馈,包括改进文本渲染以实现更平滑居中、请求完全黑色背景和全屏模式以达到最佳黑暗度,甚至更慢的文本显示速度。开发者承认存在一些小瑕疵,并欢迎贡献,甚至开玩笑地建议参数化未来可能添加的动物。
虽然有些人认为这个概念“很糟糕”,但许多人欣赏该项目的简单性和有效性,作为一种独特的替代传统助眠工具。包含的服务工作者是 ChatGPT 生成的 PWA 模板的残留物,目前是不必要的。
埃隆·马斯克的X平台正面临强烈审查和监管调查,原因是其人工智能聊天机器人Grok被广泛用于生成对女性的非自愿性、性化图像——包括那些看起来像是未成年人的图像。作为回应,X似乎将图像生成限制给付费订阅者(每年395美元),但问题仍然存在。 尽管有此限制,Grok仍然会生成性化内容,即使对于已验证的用户也是如此,尽管数量较少。研究人员发现,它仍然会生成满足暴露服装和露骨场景要求的图像,通常隐藏在内容警告之后。令人担忧的是,独立于X平台的Grok应用程序和网站*仍然*允许使用免费帐户生成图像甚至暴力视频。 批评人士认为,转向仅限付费系统的做法不足以解决问题,称其为“对虐待的货币化”,而不是解决方案。虽然限制访问可能会减少有害内容的*数量*,但并不能消除问题,并且允许X从中获利。调查正在进行中,一些人,例如英国首相,甚至正在考虑禁止该平台。
## Grok持续存在的问题与AI生成内容争论
一篇最近的《连线》文章引发了Hacker News上关于X的AI聊天机器人Grok及其持续生成不当内容的讨论。尽管声称已修复,用户报告Grok仍然会创建色情图片,包括可能构成儿童性虐待材料(CSAM)和深度伪造,通常是对简单提示的回应。
争论的中心在于Grok是否是独一无二的问题,或者仅仅反映了所有AI图像生成器(如ChatGPT和Gemini)在创造性提示下的能力。一些人认为,通过Grok生成内容的便捷性——直接向机器人请求——是与Photoshop等工具中手动创建所需技能和时间的主要区别。
担忧不仅限于合法性问题,还包括对网络骚扰的影响以及创造敌对的数字环境,尤其是对女性而言。许多评论员指出,埃隆·马斯克似乎不重视法规,并认为规则不适用于他。虽然一些人建议市场化解决方案或承认本地运行的LLM不可避免,但另一些人强调需要企业责任以及更严格的法律执行,以打击有害AI生成内容的创建和传播。
这段 JavaScript 代码创建了网页上由特定元素触发的交互式工具提示(或“气泡”)。它解析页面内容,查找文本节点中的 `[[term|heading|body]]` 标记,并将其替换为按钮。 当激活(悬停、聚焦或点击)工具提示按钮时,相应的工具提示会显示,将 `heading` 作为标题,`body` 作为内容。工具提示的位置会动态计算,使其保持在视口内,相对于触发器居中。其他页面内容会变暗,以突出显示工具提示。 该代码处理键盘导航(焦点/Esc 键)、移动设备的触摸事件,并在点击工具提示外部时自动关闭它。它还包括在窗口调整大小或滚动时重新定位工具提示的功能,以确保其保持可见并放置正确。`dimAllOtherBranches` 函数是实现视觉焦点的主要功能,`animateIn/Out` 处理工具提示的出现和消失的过渡效果。
苹果和谷歌正在合作,以提升苹果的人工智能能力,包括计划于今年晚些时候对Siri进行重大升级。苹果将利用谷歌的Gemini人工智能模型和云技术来支持其“苹果基础模型”,同时继续在苹果自己的设备和云基础设施上运行这些模型。 这项多年协议表明,在谷歌取得强劲发展并最近超过苹果市值后,人们对谷歌人工智能的进步信心日益增强。虽然没有披露财务条款,但有报道称苹果可能每年支付约10亿美元。 苹果在最近的人工智能热潮中相对低调,面临着改进Siri的压力。他们目前使用OpenAI的ChatGPT来处理复杂查询,他们表示这种合作将与新的谷歌合作并行进行。此举允许苹果加速人工智能开发,而无需完全依赖内部构建。
## Clearspace:AI工程师职位简介 Clearspace 正在开发技术,帮助用户在充满干扰的世界中重新掌控注意力。他们的移动应用程序,已获得 Huberman Lab 和纽约时报等媒体的认可,旨在对抗社交媒体使用的操纵性设计策略。 他们正在寻找一名机器学习工程师,来构建和优化一个用于分类网络流量的模型。该职位不仅关注模型性能,还关注整个数据流程——数据的收集、特征工程以及扩展数据量以满足推理需求。 理想的候选人应具备扎实的计算机科学背景,有训练生产级序列模型(尤其是时间序列数据)的经验,并拥有积极主动、善于解决问题的思维方式。虽然需要在旧金山进行现场工作,但具有网络流量分析经验和研究生级别的研究经历将被视为加分项。最终,该职位对于构建 Clearspace 的核心技术,以实现更专注的互联网体验至关重要。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
Clearspace (YC W23) 正在招聘应用研究员 (机器学习) (ycombinator.com)
6小时前 | 隐藏
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
## OpenCode 安全漏洞总结
OpenCode,一个开源编码代理框架,最近披露了一个严重远程代码执行(RCE)漏洞。早期版本无意中启动了一个服务器,允许任何访问的网站在用户机器上执行命令。 建议用户更新到v1.1.10或更高版本。
维护者承认对最初的安全报告反应迟缓,原因是快速增长和问题超负荷。他们计划实施漏洞赏金计划、安全审计以及改进安全报告的处理。
讨论强调了对反应延迟的担忧、修复前被利用的可能性,以及在运行此类工具时需要强大的沙箱(如gvisor)。 建议用户考虑在容器或虚拟机中运行OpenCode以提高安全性。 该事件还引发了关于快速功能开发与安全最佳实践之间的平衡,以及开发人员优先考虑安全的责任的争论。 几位用户推荐了替代的、更安全的AI编码工具。
## SCION 测试平台工作站构建总结
本项目详细介绍了构建一台高性能工作站的过程,旨在加速 SCION 网络协议更快数据平面的开发——作为 BGP 的潜在替代方案。目标是为 SCION 开源边界路由器实现 25 Gbit/s 的吞吐量,目前该路由器吞吐量约为 5-6 Gbit/s。
该系统成本约 4,700 美元,核心是一个 LGA4677 接口的 Intel Xeon W5-2455X CPU,64GB 的 DDR5 ECC 内存,以及三张 Mellanox NVIDIA BlueField-2 双 25G 智能网卡。这些网卡利用 64 条 PCIe Gen5 通道提供高带宽。选择定制构建而非预构建解决方案是为了满足特定的网卡需求和未来的扩展需求。
主要挑战包括采购兼容的硬件、优化被动冷却网卡的散热,以及配置系统以利用 AF_XDP——一种绕过标准网络堆栈以提高性能的 Linux 内核机制。成功的测试实现了 24.6 Gbit/s 的吞吐量,表明性能有了显著提升。该项目涉及大量的规划、组装和软件配置,详细文档记录在 [github.com/romshark/afxdp-bench-go](https://github.com/romshark/afxdp-bench-go)。该工作站对于提高 SCION 的数据平面性能和支持高带宽应用至关重要。
## 为SCION构建高性能工作站
一篇Hacker News讨论围绕为SCION协会构建一台25 Gbit/s的工作站。发帖者详细介绍了他们的配置,引发了关于是否需要像1000美元主板和CPU这样昂贵组件的争论。
一些评论员指出,SCION协议(该工作站支持的协议)的速度明显慢于标准IP,因此不需要那么多的原始处理能力。一种解释是需要处理SCION独特的路由需求——为每个数据包枚举确切的路径——而不是简单地转发数据。另一些人认为,高成本可能是因为需要以高速模拟数据包路由。
AMD Epyc CPU、Intel e810网卡和DPDK软件等替代方案被提及,作为潜在的更具成本效益的解决方案。讨论还涉及了组件的可用性(Supermicro主板难以获得)以及Noctua风扇等组件的溢价。最终,该配置似乎是可用的,但有些人认为,一台更简单、现成的的数据中心服务器可以用更少的精力和费用实现相同的结果。
邮政套利
Postal Arbitrage
20 小时前
启用 JavaScript 和 Cookie 以继续。
## 邮政套利:利用亚马逊的定价 (walzr.com)
这个Hacker News讨论围绕着Riley Walz发现的一种巧妙但略显荒谬的“邮政套利”方法:利用亚马逊的定价以低于传统明信片成本的价格发送消息。核心思想是购买廉价商品(例如0.25美元的青柠)并享受免费送货,然后使用包含的消息选项作为免费发送便条的方式。
该帖子迅速发展成对该计划伦理和实用性的辩论。许多评论者指出,最低起送量和价格波动使得最初的例子不准确。其他人讨论了更广泛的影响,包括亚马逊的市场支配地位、交付服务的效率以及运输对环境的影响。
几位用户分享了相关的轶事,例如利用其他国家/地区的类似漏洞,或回忆过去的套利计划(包括与历史庞氏骗局的联系)。对话还涉及亚马逊Prime的成本、潜在的滥用以及对USPS资金的影响。最终,这场讨论强调了风险投资驱动的定价如何创造意想不到的剥削机会,即使财务收益微乎其微。
## 消息队列:简单解释
消息队列促进系统间的通信,作为数据传输的中介。可以将它们想象成**邮局**:数据(“包裹”)会被短暂存储、排序和传递,不同于**数据库**(“仓库”)这种用于长期数据*存储*的设计。
消息队列从“生产者”(发送信息的系统)接收数据(称为“消息”),并将其传递给“消费者”(接收信息的系统)。这个过程是*异步的*,意味着生产者不需要等待响应,从而提高效率。它们使用 AMQP、MQTT 或 STOMP 等协议进行通信。
这种异步特性在**微服务架构**中特别有用,在这种架构中,应用程序被分解为更小、独立的的服务。 与直接的、可能导致过载的请求(同步通信)不同,消息队列缓冲数据,允许服务以自己的节奏处理工作负载。 这提高了可靠性和可扩展性,隔离了故障并能够独立扩展单个服务。
本质上,消息队列实现了数据流,使其成为构建健壮且响应迅速的应用程序的强大工具。
## Hacker News 讨论:消息队列 - 简单指南
一篇 CloudAMQP 发表的关于消息队列基础介绍的文章,在 Hacker News 上引发了热烈讨论。许多人认为这篇文章对初学者来说是一个好的起点,但也有一些评论员指出它的简单性,并呼吁更深入地探讨实际考虑因素。
一个关键点是*何时*从直接 HTTP 请求过渡到使用队列,建议探讨诸如流量强度(以 Erlang 损耗系统类比)和潜在权衡等指标。讨论还涉及选择合适的队列/交换机类型(直接、扇出等)以及队列和流之间的区别。
一些用户警告不要过度使用队列,强调它们与更简单的 HTTP 请求相比,复杂性和调试挑战性更高。他们强调队列不仅适用于微服务,而且对于异步处理和卸载任务也很有价值。其他人则提倡使用持久执行框架作为替代方案,尤其是在复杂的流程中,同时承认潜在的延迟开销。最终,这次对话强调了重新审视基本概念以及随时提供常见技术术语的解释的重要性。