## macOS 恢复模式漏洞 - 摘要
一名研究人员发现了 macOS 恢复模式 Safari 浏览器中的两个安全漏洞。第一个漏洞影响 macOS Sequoia 及更早版本(CVSS 8.5),允许对系统分区进行任意写入,可能通过精心设计的网页内容实现 root 权限的持久化。通过利用 Safari 的下载设置和恢复模式卷挂载的一个特点,恶意文件(如 LaunchDaemons 的 .plist 文件)可以直接保存到系统磁盘,即使未启用 FileVault。
第二个漏洞发现于 macOS Tahoe 26.0(CVSS 4.6),源于一个限制较少的“Web Browser”版本。它允许通过“打开文件…”对话框进行无限制的文件读取,暴露 Safari 可以访问的敏感数据。
这两个漏洞都通过 Apple 的漏洞赏金计划报告给 Apple。Apple 最初承认了这些报告,但淡化了其严重性,认为 FileVault 是一个缓解因素。然而,研究人员认为许多用户会禁用 FileVault,使得这些漏洞具有重要意义。
截至 2026 年 1 月 3 日,macOS Tahoe 26.3 已悄然修复了这两个问题,防止通过“打开文件…”对话框访问文件,并限制对系统目录的访问。研究人员等待了六个月,超过了标准披露时间框架,以确保有足够的时间进行修复。
每日HackerNews RSS
对不起。
这段代码演示了如何使用`freestyle-sandboxes`库来创建和管理虚拟机(VM),用于软件开发任务,并由Bun提供支持。它展示了四个不同的用例,模仿了流行的AI开发者工具。 首先,从一个模板创建一个VM,运行`bun run dev`开发服务器。其次,从一个Git仓库初始化一个VM,然后将其fork成三个独立的VM,每个VM通过AI代理分配一个特定任务(API、UI、测试)。第三,从一个仓库创建一个VM,运行linting和测试,并利用AI来审查代码差异,自动创建一个GitHub pull request审查,并附带批准或修改请求。最后,创建一个具有空闲超时功能的持久化VM,用于持续交互,使用AI处理用户消息并提供响应——非常适合对话代理。 这些示例突出了`freestyle-sandboxes`在构建自动化工作流程和AI驱动的开发环境方面的灵活性。
## Freestyle:编码代理的沙箱 - 摘要
Freestyle (freestyle.sh) 是一个为“编码代理”构建的云平台,提供强大的、隔离的虚拟机 (VM),旨在大规模复制人类开发者的环境。与专注于简单工具的先前的代理工作流程不同,Freestyle 提供具有硬件虚拟化的完整 Linux VM,旨在支持复杂的 AI 任务。
一项关键创新是**快速内存分叉**——在 500 毫秒内创建正在运行的 VM 状态的精确副本,从而实现并行测试和实验。这使得代理能够同时探索多种解决方案,对于 UI 模糊测试或调试等任务至关重要。
为了实现这种性能,Freestyle 在其自身的裸机基础设施上运行,绕过了传统云提供商的限制。他们优先考虑电源和灵活性,支持 systemd 和 eBPF 等功能。
虽然承认沙箱市场竞争激烈,但 Freestyle 通过其对完整 VM 功能、快速分叉和以开发者为中心的方法的关注来区分自己。他们还提供内置的 Git 主机,以实现无缝的代码管理。该平台面向*构建*基于代理的工具的平台,而不是个人开发者,并优先考虑对代理活动的外部控制和可观察性。
一项最近发表在《智力》杂志上的德国研究调查了什么使人们能够准确判断他人的智力。研究人员发现,一个人的智力与其准确评估他人智力的能力之间存在很强的相关性,即使是通过短视频也能判断。 这项研究涉及198名参与者,还表明更强的感知情绪能力和更高的生活满意度与更好的判断准确性相关。准确的判断者在评估他人时,会关注清晰的表达和复杂的词汇。 有趣的是,性别、同理心、开放性和社交好奇心*没有*显著影响判断准确性。虽然研究结果强调了认知和社会情感能力在社会评估中的作用,但研究人员提醒,从视频中判断智力可能不能完全反映现实世界的互动。该研究的参与者主要由大学生(许多是心理学专业)组成,这也表明研究结果可能不能完全推广到更广泛的人群。
此底座替换旨在成为生产力和信息中心,远不止一个简单的应用程序启动器。它提供对系统控制的快速访问,例如亮度、蓝牙和网络状态,以及用于跟踪人工智能使用情况(Claude、Codex 等)、电池寿命和系统性能的工具。 除了功能之外,它还集成了有用的生活方式功能:休息提醒、月相显示、每日趣闻,甚至轮换引言。用户可以快速执行诸如计算、URL 缩短、颜色选择和笔记捕获等任务,而*无需*切换应用程序。 本质上,它旨在通过将基本信息和常用操作直接带到您的桌面上,以简洁、紧凑和有趣的方式来最大限度地减少干扰并最大限度地提高效率。
Please provide the content you want me to translate. I need the text to be able to translate it to Chinese. Just paste it here, and I will give you the Chinese translation.
## macOS TCP 漏洞总结
macOS (版本 26 起) 中最近发现的一个漏洞会导致 TCP 网络在系统运行约 49.7 天后失效。这是由于内核处理 TCP 时间戳时发生整数溢出造成的。虽然不是严重的崩溃,但该漏洞会导致 TCP 连接中断,需要重启才能修复。
该问题主要影响长时间运行且网络活动频繁的系统。 遇到此问题的用户报告的症状包括无法建立新连接,但仍能维持 ping 连接。 有人推测,让 Mac 进入睡眠状态或许可以防止此漏洞,因为它会重置 TCP 堆栈。
Apple 已经承认该漏洞,并正在努力寻找一个不依赖重启的解决方案。 许多用户已确认过去也遇到过类似问题,并且已经创建了工具来监控即将发生的溢出。 最初详细描述该漏洞的博客文章因过于戏剧化且可能由 AI 生成而受到批评,其技术分析中存在一些不准确之处。
SOC 2 合规性:Type 1 和 Type 2 认证进行中。为机构团队提供企业级数据安全。进行中 校准证明报告:可导出报告,显示随时间推移的可衡量判断力提升。专为 LP 和利益相关者设计。进行中 Slack 集成:捕获团队对话中的预测。标记消息,Convexly 将自动跟踪。即将推出 Chrome 扩展程序:在浏览时记录预测。无需离开工作流程,即可通过一键捕获明确的判断。即将推出 移动应用程序:随时随地记录决策。当想法最清晰时,通过手机快速捕获。即将推出 投资组合视图:将所有未决决策视为一个投资组合。一览风险、预期价值和集中度。即将推出 企业团队:SSO、审计日志、基于角色的访问控制以及为大规模嵌入决策智能的组织提供专用支持。计划中 以及更多:API 访问、自定义评分规则、条件预测以及根据用户需求定制的集成。
幽灵辣椒是一款免费、注重隐私的语音转文本应用程序,适用于macOS (14.0+, Apple Silicon)。它完全在本地运行——没有云连接或数据共享——使用首次启动时下载的开源模型(WhisperKit用于转录,Qwen 2.5用于清理)。
使用方法很简单:按住Control键录音,松开键进行转录,并将文本粘贴到任何应用程序中。一个小型的菜单栏应用程序处理操作,没有Dock图标。
幽灵辣椒使用本地大型语言模型智能地去除填充词并纠正语音错误。它可定制,允许用户调整清理提示和麦克风设置。它基于WhisperKit和LLM.swift等技术构建,优先考虑用户隐私,不记录任何转录内容。热键功能需要辅助功能权限,IT管理员可以通过MDM配置文件进行管理。
## 幽灵辣椒:macOS本地、私密语音转文本应用
MattHart88推出了幽灵辣椒,一款用于macOS的本地语音转文本应用,强调隐私,所有数据保存在用户电脑上。该项目引发了热烈讨论,揭示了令人惊讶的类似工具拥挤的局面,其中许多是最近由个人开发者构建的。
用户分享了使用现有解决方案(如Handy、MacWhisper和WhisperFlow)的经验,强调了本地处理(隐私、控制)与云端选项(准确性、速度)的优势。一个关键的讨论点围绕模型大小、性能和语言支持之间的权衡,Parakeet作为Whisper的一个受欢迎的替代方案出现。
许多评论者注意到这种开发类型的周期性——反复构建类似的工具——以及开源项目合作的挑战。对话还涉及对实时转录、自定义词汇和移动版本等功能的需求。最终,幽灵辣椒为寻求在macOS上实现私密、本地语音转文本功能的用户提供了越来越多的选择。
该项目详细介绍了一种实验性视频编解码器“sinter”,完全使用Claude Code代理团队构建——模拟由五名编解码器专家组成的团队(包括在VP9、AV1、H.264和HEVC开发中举足轻重的 figures)。目标并非生产就绪的压缩,而是探索在没有先验经验的复杂领域中的一次性代理工作流程。 Sinter利用重叠变换、感知向量量化(PVQ)和rANS熵编码,旨在提供一种无专利的替代方案,以替代诸如H.264之类的成熟编解码器。虽然实现了具有竞争力的感知质量,但目前在压缩效率方面明显落后——在可比亮度质量下,文件大小是H.264的18.6倍。 模拟的专家团队确定,缺乏诸如亚像素运动补偿和B帧之类的功能是造成这一差距的关键因素。他们估计,在保证专利安全的情况下,可以实现对H.264尺寸的4-6倍的实际改进。通过12次迭代循环构建的约5,000行C代码库,展示了人工智能驱动的开发在专业领域中的潜力。
对不起。
## 伦敦中心:周末更新 本周,《伦敦中心》带来独家调查和更新,凸显伦敦日益严重的全球声誉危机。来自亚马逊雨林到迪拜,世界各地出现扭曲的认知,将这座城市描绘成社会崩溃的景象,这受到病毒式传播的视频和社交媒体炒作的影响。 该刊物详细描述了个人遭遇这些观点的情况,包括苏里南丛林居民和澳大利亚导游,他们都受到网络内容的影响。在本地,TikTok上鼓励在哈克尼进行学校“袭击”的趋势造成了混乱并引发了警方干预,同时,一名赌徒对基尔·斯塔默下了大额赌注。 《伦敦中心》继续调查备受争议的房东Criterion Capital,揭露了一起因小额债务而引发的暴力冲突。他们还报道了新的规划法规对伦敦节日场景的挑战,以及人工智能生成的法律上诉阻塞法院系统造成的影响。 该刊物强调其对事实报道和追究权力责任的承诺,并将其方法与点击诱饵内容创作者形成对比。他们鼓励读者贡献故事并订阅以支持他们的工作。
## 代理阅读测试:评估AI代码代理的网络理解能力 代理阅读测试是一项基准测试,旨在评估AI编码代理(如Claude Code、Copilot等)处理和理解网络内容的能力——这是利用在线文档的关键技能。它识别出“隐性失败模式”,即代理在处理截断内容、通过CSS隐藏的文本、客户端渲染以及类似选项卡等复杂页面结构时遇到的困难。 该测试向代理呈现10项真实的文档任务,并在页面中嵌入“金丝雀标记”。代理最初并不知道这些标记的存在;它们只有在完成任务后才会报告这些标记。这可以防止作弊行为,并侧重于实际的阅读能力。 测试涵盖的问题包括页面截断、CSS干扰、JavaScript依赖内容、选项卡信息以及处理重定向/错误。评分基于找到的金丝雀标记数量(每个1分)和定性问题的正确答案(每个1分),总分最高为20分。目前的代理通常得分在14-18之间。 该基准测试与“代理友好型文档规范”相辅相成,将重点从评估*针对*代理的文档转移到评估代理本身。