该网站正在使用安全服务来保护自身免受在线攻击。您刚才的操作触发了安全解决方案。 提交特定词语或短语、SQL命令或格式错误的数据等行为可能会触发此阻止。
每日HackerNews RSS
Will I ever own a zettaflop?
54 分钟前
黑客新闻 新的 | 过去的 | 评论 | 提问 | 展示 | 工作 | 提交 登录
我能拥有一台zettflop的计算机吗? (geohot.github.io)
9 分,surprisetalk 1小时前 | 隐藏 | 过去的 | 收藏 | 1 条评论 帮助
androiddrew 1分钟前 [–]
以目前硅的价格,不可能。
回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
## Trivy 供应链攻击总结 (2026) 2026年3月,一场复杂的供应链攻击破坏了Aqua Security的Trivy漏洞扫描器。攻击者将窃取凭证的恶意软件注入到官方Trivy发布版中,使其能够静默地从CI/CD环境中窃取明文API密钥。关键在于,攻击并未利用代码漏洞,而是利用了Trivy访问包含暴露密钥的环境变量的权限。 受损的二进制文件通过流行的GitHub Actions(trivy-action和setup-trivy)传播,影响了数百万个流水线。现有的密钥管理工具(Vault、AWS、Doppler等)效果不佳,因为它们在运行时检索密钥,使其暂时以明文形式可用——这正是恶意软件的目标。 VaultProof通过采用“分密钥”架构提供了一种解决方案。它不是暴露完整的密钥,而是分发加密份额,确保环境中不存在明文密钥。即使使用像Trivy这样受到破坏的工具,也没有任何东西可以被窃取,从而完全破坏了攻击模型。这凸显了保护*使用中*的密钥,而不仅仅是静态密钥的解决方案的必要性。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
Trivy 供应链攻击如何从密钥管理器中窃取凭据 (vaultproof.dev)
7 分,来自 Rial_Labs 1 小时前 | 隐藏 | 过去 | 收藏 | 1 条评论 帮助
Rial_Labs 1 小时前 [–]
作者在此。在分析 Trivy 攻击后构建了 VaultProof。
凭据窃取之所以有效,是因为密钥在从密钥管理器检索后,以明文形式存在于 CI/CD 环境中。如果需要,我很乐意深入探讨 Shamir 架构或攻击机制。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
这项研究调查了训练样本顺序如何影响神经网络的学习,这种现象在理想贝叶斯模型中没有被考虑。核心思想是将每个训练样本视为一个向量场,指示参数更新的方向。通过计算这些向量场的“李括号”——一种衡量它们非交换性的数学运算——研究人员可以量化交换两个训练样本的影响。 李括号揭示了根据更新顺序,最终参数值的差异,并且其大小与学习率的平方成正比。这意味着即使是微小的顺序改变也会随着时间的推移而累积。该研究明确计算了在CelebA数据集上训练的卷积神经网络(一种修改后的MXResNet)的这些李括号。 结果表明,交换样本*确实*会扰动网络对测试数据的预测(logits),并且这种扰动的大小在训练过程中会发生变化。这项工作基于先前研究,确定了李括号与神经网络中隐式偏差的联系,并提供了一种在实践中分析顺序依赖性的具体方法。
黑客新闻 新的 | 过去的 | 评论 | 提问 | 展示 | 工作 | 提交 登录
训练示例谎括号 (pbement.com)
6 分,由 pb1729 1小时前 | 隐藏 | 过去的 | 收藏 | 1 条评论 帮助
E-Reverance 3分钟前 [–]
这能用于批量过滤吗?回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
您的请求已被阻止,原因是网络策略。请登录或在此处创建帐户以恢复浏览。如果您正在运行脚本或应用程序,请在此处注册或使用您的开发者凭据登录。此外,请确保您的User-Agent不为空,并且是独特且具有描述性的,然后重试。如果您正在提供替代的User-Agent字符串,请尝试改回默认设置,因为这有时会导致阻止。您可以在此处阅读Reddit的服务条款。如果您认为我们错误地阻止了您,或者想讨论更轻松地获取所需数据的方式,请在此处提交工单。联系我们时,请提供您的Reddit帐户以及以下代码:019d749c-367d-73cc-941b-1dbd69112b22。
一位 Hacker News 用户“speckx”分享了一份令人担忧的报告,内容是 BunnyCDN 在 15 个月内悄无声息地丢失了生产文件(提供了 Reddit 链接)。 这篇帖子引发了关于可靠 CDN 和对象存储选项的讨论。
一位评论者“reddalo”表示,在听到这个消息后,对使用 BunnyCDN 犹豫不决,尤其是在他们将服务迁移到欧洲的情况下。 他们还报告了使用 Hetzner 对象存储的负面体验,称其不可靠。 目前,他们希望 Scaleway 会是一个更好的选择。
另一位用户指出报告的时间点,提到了最近一篇关于有人*转投* BunnyCDN 而放弃 Cloudflare 的帖子,暗示需要仔细评估这项服务。 这次讨论强调了数据安全的重要性以及寻找可靠基础设施提供商的挑战。
机器人吃汽车
Robots Eat Cars
2 小时前
## 机器人优先架构的兴起
汽车行业正经历着根本性转变,日益模仿先进机器人的架构——以特斯拉和波士顿动力等公司为代表。特斯拉正在将其工厂从汽车生产(Model S/X已停产)转变为大规模生产人形机器人(Optimus,目标到2027年达到每年100万台),预示着更广泛的行业趋势。
这种转变是由向集中式计算、区域控制器和软件定义执行器转变推动的,从而显著简化了线束——特斯拉的设计比福特等竞争对手简洁得多。福特现在也正在为其未来的电动汽车采用类似的架构。
除了人形机器人,这种“机器人优先”方法还扩展到建筑、物流和国防等不同领域,需要更高的数字化和自主性。预计机器人组件产量将激增,尤其来自目前主导供应链的中国供应商。重要的是,电动执行器的进步正在挑战传统的液压系统,提供更高的效率和数据驱动的维护。
最终,核心架构——以及其中的有利可图的机会——适用于广泛的应用领域,使拥有强大知识产权的组件供应商有望实现显著增长。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
机器人吃汽车 (endeff.com)
16 分,由 JMill 1小时前发布 | 隐藏 | 过去 | 收藏 | 1 条评论 帮助
Terr_ 5分钟前 [–]
> 线控转向
回顾 Therac-25 案例研究 [0],我想提前强调以下区别:
1. 技术 X 不安全。
2. 技术 X 不安全,因为即使在最好的意图下,也可能出错太多。
3. 技术 X 在没有强大的质量保证和安全互锁措施的情况下是不安全的,并且制造商面临太大的经济压力来偷工减料。
[0] https://en.wikipedia.org/wiki/Therac-25 回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
## 亲属关系的代价:非洲的葬礼与经济停滞 在撒哈拉以南非洲,葬礼通常是极其奢华的活动,往往耗费家庭数千美元——这对于中位收入较低的国家来说是一笔巨大的负担。这不仅仅是对长辈的文化尊重,而是一个根植于根深蒂固的亲属网络中的复杂体系。在像加纳这样的母系社会,大家族在死后“拥有”尸体,导致尸体在筹集资金用于盛大、为期数天的葬礼时,长期存放在太平间。 这些葬礼充当了家庭忠诚度的“代价信号”。花费体现了对群体的承诺,而该群体传统上提供医疗保健和安全等基本服务。然而,这个体系需要持续的财富再分配,阻碍了个人的经济发展。人们期望分享收入,拒绝可能会面临社会排斥。 这形成了一种财富被积极*破坏*而非投资的循环,阻止了资本积累和经济“腾飞”。虽然现代金融工具,如手机银行,为一些人提供了一定程度的财务隐私和摆脱困境的机会,但亲属关系的强大义务仍然是繁荣的重要障碍。最终,奢华的葬礼是社会秩序优先考虑集体义务而非个人经济增长的一个明显症状。
一篇关于许多非洲家庭昂贵丧葬习俗的博客文章引发了黑客新闻的讨论,凸显了传统与现代之间的 tension。原文详细介绍了这些习俗给家庭带来的巨大经济负担。
评论者们争论说,现代、个人化的选择——例如为葬礼设定财务界限——是否会以牺牲强大的家庭和社会联系为代价。一位用户分享了个人经历,称设定预算可以防止过度消费,而另一位用户则告诫不要用西方视角否定文化习俗。
对话还涉及了对比鲜明的社会问题:传统的经济压力与一些西方文化中家庭关系破裂的可能性。一位版主介入,鼓励尊重和好奇的讨论,并劝阻轻率的争论。
## Instant 1.0:AI 编码应用开源后端 Instant 1.0 是一个完全开源的后端,旨在赋能开发者构建带有 AI 代理的全栈应用程序。它致力于成为 AI 编码应用的最佳后端,提供无限、不冻结的应用部署,内置同步引擎以实现离线功能和实时更新,以及身份验证、文件存储和流等基本服务。 其核心架构利用基于 Postgres 的多租户数据库,将所有数据存储在单个“三元组”表中,以实现可扩展性和成本效益。基于 Clojure 的同步引擎使用客户端的 IndexedDB 和服务器端新颖的“主题”失效系统来管理实时更新和离线功能。 主要功能包括独特的查询语言 (InstaQL),简化数据交互,以及使用部分索引和 Count-Min 草图来优化大规模性能。Instant 允许开发者——及其代理——快速构建和部署功能丰富的应用程序,而无需管理传统基础设施的复杂性。该系统设计为可编程的,使代理能够通过 API 或 CLI 自动化应用程序的创建和管理。
## Instant 1.0 发布 - AI 驱动的后端
Instant,一个为 AI 编码应用设计的开源后端,已发布 1.0 版本。该平台旨在提供关系查询*和*实时能力——一种具有挑战性的组合——并获得了积极的早期反馈。
虽然有些人质疑在简单 CRUD 应用之外对这种工具的需求,以及潜在的厂商锁定,但开发者澄清 Instant 是完全开源的 (github.com/instantdb/instant)。用户对其潜力感到兴奋,尤其是在原型设计方面,尽管有人指出控制台界面可以改进。
此次发布凸显了 Instant 支持“vibecoded”应用的能力,可能将其用例扩展到最初关注的本地优先开发之外。发布期间报告的文档问题已得到解决。
这次Hacker News讨论的中心是网上儿童性虐待素材(CSAM)令人不安的问题,特别是其普遍性以及如何解决。一个主要担忧是,在不查看的情况下识别非法图像的困难,尤其对于像Matrix这样可以通过联合托管成为不知不觉的宿主的服务。
用户讨论了问题的规模,质疑这是否是少数几个活跃的犯罪者造成的,还是一个更广泛的问题。有人呼吁研究这种行为的根本原因——犯罪者的“入职”过程——以及预防措施,而不仅仅是关注检测和删除。
对话还涉及人工智能生成图像加剧问题的可能性,以及需要更好地统计有关对儿童有有害吸引力的人群的比例,以了解问题在于内容制作者还是更广泛的人群。
## 大型追踪数据的 Protobuf 流式处理:摘要 本文探讨了高效处理基于 Protobuf 的大型追踪数据的方法,尤其是在 Perfetto、Tonbandgerät 和 CircumSpect 等工具的上下文中。这些工具使用 Protobuf 的 `TracePacket` 消息来表示基于时间的数据,通常会产生数 GB 大小的追踪文件。 核心挑战在于 Protobuf 的序列化过程,它要求在序列化为二进制格式之前将整个消息加载到内存中。这对于非常大的追踪数据来说是不切实际的。作者提出了一种解决方案:**流式处理**——在生成时连续地将 `TracePacket` 消息写入磁盘,并在后处理时单独读取它们,从而绕过对完整内存中表示的需求。 通过理解 Protobuf 的线格式,可以实现这一点。消息被序列化为键值对,并利用变长整数(varints)进行高效编码。包含重复 `TracePacket` 消息的 `Trace` 消息遵循可预测的模式,允许增量编码和解码。通过在每个 `TracePacket` 前手动添加键和长度指示符,可以将其附加到文件中。解码涉及读取键、长度,然后解码 `TracePacket` 本身。 作者提供了 Rust 代码片段,演示了如何使用 `prost` 等库来实现渐进式序列化和反序列化,简化 varint 编码和消息处理。这种方法显著降低了内存消耗,并能够高效处理海量追踪数据集。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
重复protobuf字段的渐进式编码和解码 (schilk.co)
5 分,来自 quarkz02 1小时前 | 隐藏 | 过去 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索: