OpenClaw 2026.3.28 之前的版本包含一个与设备配对相关的权限提升漏洞。具体来说,`/pair approve` 命令路径未正确验证用户权限,允许具有配对权限但*没有*管理员访问权限的用户批准设备请求,从而授予更广泛的访问权限,甚至包括管理员级别的访问权限。 此缺陷源于 `extensions/device-pair/index.ts` 和 `src/infra/device-pairing.ts` 文件中缺少范围验证。成功利用可能允许未经授权的用户获得更高的权限。该漏洞被追踪为 CWE-863(不正确的授权)。 OpenClaw 项目已通过提交 (e403decb6e20091b5402780a7ccd2085f98aa3cd) 和安全公告 (GHSA-hc5h-pmr3-3497) 提供了补丁,并在 VulnCheck.com 上进行了详细说明。建议用户升级到 2026.3.28 版本或更高版本以减轻此风险。
每日HackerNews RSS
## OpenClaw 漏洞摘要
OpenClaw,一个AI代理框架,被发现存在权限提升漏洞。该漏洞并非完全控制系统,但允许已拥有网关访问权限的客户端,通过批准具有更广泛权限的设备请求来提升权限至“operator.admin”。 估计有135,000个公开暴露的实例受到影响,其中63%未启用身份验证,显著增加了风险。
OpenClaw的创建者澄清,该漏洞的利用范围并不像最初担心的那样广泛,需要预先存在的访问权限。 然而,人们仍然担心该项目的安全实践以及潜在的滥用,特别是考虑到它的受欢迎程度以及用户绕过安全功能的容易程度。
该事件凸显了快速开发的AI工具的风险以及对健全安全措施的需求。 讨论围绕责任、项目开发过程以及收益是否超过固有的安全风险展开。 许多用户正在采用缓解策略,例如在沙盒环境中运行OpenClaw或使用有限的用户帐户。
## Claude 使用套餐发布促销 - 摘要 为庆祝新的使用套餐,Anthropic 为 Pro、Max 和 Team 计划的订阅者提供一次性使用额度。额度金额与您的订阅价格相符,并在您点击“领取”横幅后自动应用(在“使用情况”页面内)。 **资格:** 您必须在 2026 年 4 月 3 日之前订阅,并已启用额外使用量(通过 Claude 的网页版)。此优惠不包括 Enterprise 和 Console 帐户。 **重要日期:** 在 2026 年 4 月 3 日至 4 月 17 日之间领取您的额度。额度在领取后 90 天过期。 **使用:** 额度适用于所有 Claude 模型(Claude、Code、Cowork)和您计划内的第三方产品。额度用完或过期后,启用的额外使用量将按标准费率计费,除非在您的设置中禁用。
## Claude 使用额度困惑
Anthropic 向在 2026 年 4 月 3 日前注册的 Pro、Max 和 Team 计划订阅者提供 20 美元的额度。然而,许多用户报告称无法申领该额度,体验各不相同——有些人立即收到,有些人延迟后收到,有些人则完全没有收到。
有猜测认为,除了声明的订阅日期外,还存在隐藏的资格要求,例如之前没有收到过额度。一些人认为启用“额外使用”是必需的,但另一些人声称在禁用额外使用的情况下也收到了额度。一个关键的讨论点是 Anthropic 最近关于第三方连接器使用(如 OpenClaw)的更改,一些人认为该额度是为了鼓励用户切换到为这些工具付费的“额外使用”。
用户还指出该额度在 90 天后到期,并且现有额度有 12 个月的有效期,这引发了对未使用资金的担忧。普遍的看法是,Anthropic 的定价和使用政策正变得越来越复杂,并且可能具有操纵性。
对不起。
## mtproto.zig: 一款高性能 Telegram 代理 mtproto.zig 是使用 Zig 编程语言构建的快速、安全且抗审查的 Telegram 代理。它的目标是绕过深度包检测 (DPI) 并提高连接稳定性。 主要功能包括**先进的 DPI 规避技术**,例如 TLS 1.3 虚假握手、动态记录大小调整、TCPMSS 操作和分层 TLS。它支持**多用户访问控制**,具有独立的、基于密钥的身份验证和防重放保护。性能通过**零拷贝 S2C 加密**进行优化,该加密委托给 Telegram 数据中心,从而降低 CPU 使用率。 该代理提供**Telemt 兼容性**,并可选支持 MiddleProxy,用于常规 DC 和媒体中继 (DC203)。它会自动从 Telegram 服务器更新其配置,并支持通过 Cloudflare API 进行**IPv6 跳跃**以规避封禁。 部署流程简化,提供 Dockerfile 和安装脚本,方便在 VPS 服务器上进行设置。它专注于安全性,仅使用 Zig 标准库并采用依赖注入以确保线程安全。详细的工程说明和基准测试可在 `GEMINI.md` 中找到。
一位开发者在Hacker News分享了“Mtproto.zig”,这是一个用Zig编程语言构建的高性能Telegram代理,旨在规避深度包检测(DPI)审查,例如俄罗斯使用的审查。该项目利用Zig的速度和实现低级网络绕过技术的能力。
讨论的重点是代理的有效性——是否能与HTTPS流量融合受到了质疑——以及它的应用范围。一些人建议将其扩展为一个更通用的VPN协议,并从SoftEtherVPN和Tor等项目汲取灵感。另一些人则赞赏这种专注、特定于应用程序的方法,尤其对于注重安全的用戶以及人工智能代理的兴起。
创建者澄清该代理在完全断网的情况下无法工作,但*可以*与Starlink等替代连接方式一起使用。 此外,还出现了一场关于人工智能在项目开发中的潜在用途的讨论,引发了关于人工智能生成代码的透明度和信任度的争论。
## 如何编写难以维护的代码:总结
本文以戏谑的口吻,详细描述了创建极其复杂且难以理解的代码的技术,使得未来的维护成为一场噩梦——并保证原始程序员持续就业。核心原则是让维护者难以掌握“大局”并安全地进行更改。
关键策略包括:过时或误导性的注释、晦涩难懂的缩写、方法的功能与其名称不符、以及避免封装。作者提倡通过复制粘贴来实现代码重复,并且*绝不*注释变量。
进一步的“最佳实践”包括:长且不间断的代码行、不一致的命名约定、以及故意混淆逻辑。鼓励忽略异常、重载运算符、以及使用环境依赖的代码。
最终,这篇文章批判了优先考虑编译器便利性而非可维护性的语言设计,并提出了可视化和理解代码结构的工具——具有讽刺意味的是,是为了对抗它所提倡的创建问题的行为。这是一次对不良编码习惯及其后果的讽刺性审视。
一个黑客新闻的讨论围绕着一篇1999年的文章《如何编写不可维护的代码》。文章和后续评论强调了创建难以理解和修改代码库的技术。
关键点包括将类设为“final”以防止扩展(尽管可以轻松反转),使用过多的未定义缩写,以及优先考虑简洁性而非清晰性。评论者分享了继承此类代码的经验,有人回忆起一个痛苦的SAS转换项目,另有人需要使用LLM才能开始理解一个复杂的系统。
讨论还涉及编程语言中合理的默认值——特别是类是否应该默认是final。一些用户建议利用LLM故意生成“slop maxed”(写得糟糕的)代码以供娱乐,并分享了相关资源链接,包括一个GitHub仓库,将该文章翻译成适用于Java的Claude技能。整体基调是幽默地认识到软件开发中的常见反模式。
对不起。
正在验证您的浏览器。网站所有者?点击此处修复。 Vercel 安全检查点 | sin1::1775259138-zXVriD6O5rfP70JmxXFAn2yUD1OmXG9B 启用 JavaScript 以继续。 Vercel 安全检查点 | sin1::1775259138-zXVriD6O5rfP70JmxXFAn2yUD1OmXG9B
对不起。
## 音乐的制造式病毒式传播 最近一篇《公告牌》杂志的采访揭示了混沌善行项目(Chaotic Good Projects)的运作方式,这是一家专门为音乐人创造病毒式传播的数字营销机构——包括像 Dua Lipa 这样的大牌明星,以及 Geese 和 Cameron Winter 这样的独立艺术家。他们的手段包括制造数百个虚假粉丝账号,并通过协调一致的发布来“控制讨论”,本质上是在模拟真实的互动。 这篇文章突显了音乐行业的一个转变,在这个转变中,“被听到”现在很大程度上依赖于算法操纵,而不是传统的推广方式。混沌善行旨在创造一种粉丝的“滚雪球效应”,并认识到,真正的联系——即粉丝自行发现并与音乐建立深厚联系——最终是持久成功的必要条件。 然而,这引发了关于真实性和有机增长价值的质疑。虽然艺人可能会从提升的曝光率中受益,但对制造炒作的依赖可能会稀释真正的艺术联系,并可能疏远那些重视发现和独立品味 的粉丝。该机构的方法虽然可能有效,但也凸显了一个日益增长的担忧:在现代音乐领域,真正的粉丝群体是否越来越难以与精心构建的幻觉区分开来?
对不起。
FurtherAI 致力于解决从商业保险文件中提取数据的复杂挑战,特别是“索赔记录”——这些详细的索赔历史报告对于保费定价至关重要。这些文件格式极其不一致,变化很大,通常跨越数百页,数据分散在多个表格中。 最初使用标准提取 API 的尝试因这些不一致性而失败。仅仅改进提取*模型*是不够的。突破性进展来自于一个自我纠错的 AI 代理。该代理没有被规定严格的提取策略,而是被赋予了提取、视觉检查文件以及——至关重要的是——*验证*自身工作(对照文件总额和内部一致性)的工具。 这种由清晰的“正确”定义而非具体指令引导的代理驱动循环,将行数的准确性从 80% 显著提高到 95%。关键在于使 AI 能够调试其自身输出,识别并纠正重复索赔或错误解释文件结构等错误——这些是人类会注意到的问题。这种方法比大量的提示工程更有效,并且预计随着 AI 模型的发展将进一步改进。FurtherAI 现在在该任务上实现了人类级别的准确性,大大加快了传统的手动且耗时的流程。
对不起。
对不起。