请启用 JavaScript 和 Cookie 以继续。
请启用 JavaScript 和 Cookie 以继续。
一名安全研究人员在 MSI 笔记本电脑和台式机预装的 MSI Center 软件中发现了严重漏洞。通过对应用程序的可执行文件进行反编译,研究人员发现了一个实现不安全的命名管道(`MSI_SERVICE_2`),这使得任何经过身份验证的用户都能以 `LocalSystem` 权限执行命令。
这些命令可用于操作注册表、修改 Windows Defender 设置或执行任意代码。该系统依赖过时的 3DES 加密和薄弱的注册流程,甚至可以通过 SMB 协议被利用,从而在网络上实现远程代码执行(RCE)。
漏洞报告过程最初遇到了一些障碍,研究人员提交的报告因对方邮箱满载而被退回。在获得 Gamers Nexus 的协助联系到相关负责人后,研究人员发现 MSI 的响应非常迅速,在两天内修复了该漏洞。尽管研究人员尚未因其重大的安全贡献获得任何漏洞赏金,但目前正在等待该发现的 CVE 编号。该漏洞已在 MSI Center 2.0.70.0 版本中得到修复。
本文指出,“威胁建模”常被滥用为流行语,但它实际上应成为评估安全性的实用且动态的框架。
一个合格的威胁模型必须定义以下内容:
1. **资产**:我们需要保护什么?
2. **参与者**:谁想造成伤害?
3. **攻击场景**:他们如何才能得逞?
4. **缓解措施**:我们采取了什么措施来阻止他们?
5. **假设**:我们认为理所当然的前提是什么?
6. **关系**:系统组件之间如何交互?
7. **已接受的风险**:我们选择不处理哪些威胁?
作者指出,尽管一个不完美的威胁模型(如 Matrix 的模型)也比没有好,但高质量的模型需要绘制系统依赖关系并记录假设。这一过程能防止“未知的未知”,并帮助工程师做出更好的设计选择,例如优先使用通行密钥(passkeys)而非密码。
除了架构之外,威胁建模还充当着“胡扯探测器”。通过明确定义风险,并将意识形态上的危言耸听与技术现实(例如后量子密码学争论)区分开来,从业者可以做出客观决策,而不是陷入恐惧、不确定和怀疑(FUD)之中。归根结底,威胁建模的意义在于构建直观的纵深防御,而非追求抽象的学术完美。
Tinkerfont 是一款专为设计师和开发人员打造的浏览器扩展程序,旨在无需修改代码即可在实时网页上快速检查、测试和替换字体。 Tinkerfont 源于在客户项目或接手代码库时对排版进行轻松实验的需求,提供流畅的工作流程。主要功能包括: * **检查:** 右键点击任意文本,即可查看其字体族、字重、字号、颜色和对比度。 * **检测:** 查看页面上使用的所有字体族的详细列表。 * **替换:** 即时测试来自 Bunny Fonts 的 1,900 多种开源字体,或上传您自己的本地字体文件。 * **范围与持久化:** 将更改应用于特定页面元素,并按主机名保存规则。 该扩展程序秉持隐私至上的原则,完全免费,无需注册账户,所有数据均存储在您的本地设备上。它适用于 Chrome 和 Firefox 浏览器,利用 Manifest V3 和 mutation observers 技术,确保字体替换在动态网页和单页应用中保持稳定。 您可以在 [mighil.com/tinkerfont](https://mighil.com/tinkerfont) 获取文档、安装链接及更多详细信息。
本文探讨了关于 2026 年维基百科删除 Odin 编程语言词条的争议。在经过“删除讨论”(AfD)流程后,贡献者们认为该语言因缺乏可靠的独立来源而不具备知名度;对此,该语言的创建者“GingerBill”及其同行 Casey Muratori 公开抨击维基百科,将其贴上“被意识形态俘获的机构”这一标签。
作者认为,这些关于“激进派把关”的指控毫无根据,并指出编辑们的共识是基于既定的可验证性程序准则,而非政治偏见。文中强调了现代非正式编程生态(知识多存在于 Discord、个人博客和 GitHub 中)与维基百科对传统、可验证媒体的依赖之间存在脱节。
最终,文章认为像 GingerBill 这样的网红利用此类争议进行“流量收割”。通过将一次标准的程序性拒绝描绘成针对“意识形态游乐场”的文化战争,这些人物迎合了特定受众的偏见。作者总结道,虽然维基百科的规则可能难以顾及现代编程的细微之处,但关于阴谋和迫害的指控,很大程度上是一种表演性、反主流的在线文化的产物——这种文化比起建设性地参与规则讨论,更倾向于制造愤怒诱饵。
正在建立安全连接... 请启用 JavaScript 以继续。 请求 ID: f0e7ec8a160e9bfb8993c00d3141b201
由于人工智能推理需求超过了英伟达 Blackwell GPU 的供应,相关成本正在飙升。Wafer 认为,AMD 的 Instinct MI350 系列提供了一个极具吸引力且性价比更高的替代方案,其每块 GPU 的价格约为英伟达竞品的 2.75 分之一,且拥有相当的硬件规格。 尽管英伟达的“首日”软件支持仍然是一项重要优势,但“CUDA 护城河”正在迅速瓦解。Wafer 表明,在 AMD 平台上实现高性能推理,更多地取决于优化,而非硬件本身的局限性。通过采用 AMD Quark 的 MXFP4 量化、选择战略性框架(sglang)以及对内核回退(kernel fallbacks)进行自定义调整等技术,Wafer 在 GLM5.2 模型上实现了惊人的吞吐量。 在基准测试中,Wafer 在 MI355X 上达到了 2626 tok/s/node 的总吞吐量,以不到一半的成本实现了 B200 性能的 80%。尽管目前 AMD 的技术栈需要更多的手动配置和工程投入,但 Wafer 证明,通过适当的优化,AMD 硬件能够提供最佳的推理性能价格比,有效地缩短了与英伟达在实时性能上的差距。
GITHUB × 2026 世界杯
将你的 GitHub 数据转化为 99 分制的“世界杯风格”球员卡。
试试 torvalds、sindresorhus 或你自己的用户名。
已生成 150,990 张卡片
运作方式 ↗
96 ST (前锋)
TORVALDS
82 速度 77 盘带 92 射门 58 防守 87 传球 95 身体
94 CM (中场)
THEPRIMEAGEN
78 速度 83 盘带 91 射门 56 防守 87 传球 94 身体
86 ST (前锋)
PEWDIEPIE
77 速度 75 盘带 95 射门 75 防守 91 传球 69 身体
GITFUT.COM @pewdiepie-archdaemon
95 CM (中场)
BROWNE
77 速度 81 盘带 90 射门 58 防守 90 传球 93 身体
为了确保本地开发环境与生产环境的一致性,Encore 将基础设施直接集成到了其运行时中,而不是依赖外部的 Docker 容器。此前,基于 Go 的 Encore 应用使用的是内存版 Redis;而在开发新的 Rust 运行时以避免管理辅助进程的复杂性时,团队需要一种原生的解决方案。 Encore 的开发者通过将 `miniredis` 库移植到 Rust 来解决了这个问题。该实现作为运行时内部的一个库运行,提供了一个功能完备的 Redis 服务器,支持通过标准 Redis 通信协议进行事务、Lua 脚本和发布/订阅等复杂操作。通过嵌入服务器,Encore 允许开发者在代码中声明缓存基础设施,无需手动设置;运行时会自动检测环境,并根据情况在托管的 Redis 连接与本地内存实例之间进行切换。 为了保证高保真度,团队通过运行原始 Go 实现的集成测试套件来验证了该 Rust 移植版本,并逐字节对比了响应结果。这确保了应用逻辑在开发和生产环境中表现一致。最终,这种方法消除了管理本地依赖的繁琐,同时保持了生产部署所需的严格运维标准。
点击“第二步”即表示您知悉并同意本网站将在您的设备上运行开源内核漏洞利用程序。若运行成功,该程序可能会执行以下操作:在 Firefox 的私有数据存储中创建临时文件;向 /bin/su 和 /data/local/tmp/su 写入文件;修改您的设备壁纸;进行可能影响设备稳定性的系统级更改。 此内核漏洞利用程序处于实验阶段,可能不稳定。它可能导致意外行为、系统崩溃、数据损坏或永久性数据丢失。在继续之前,您应该:备份所有重要数据;明确此操作可能会对您的设备进行系统级修改;仅在您拥有或已获得明确测试许可的设备上进行操作;并对可能发生的任何损坏、不稳定或数据丢失承担全部责任。除非您完全理解相关风险,否则请勿继续。 我已了解相关风险,并同意在此设备上运行该漏洞利用程序。