每日HackerNews RSS
## NPM 包安全问题 - 摘要
近期报告指出,Node 包管理器 (NPM) 生态系统存在重大安全问题:超过 86,000 次恶意包的下载。这些包利用安装过程中的生命周期脚本漏洞,可能使攻击者获得系统访问权限。
讨论的重点是如何缓解此风险。解决方案包括在 Docker 容器中沙箱化 `npm` 命令——限制对环境变量和文件系统的访问,以及采用替代包管理器,如 `pnpm`,默认禁用脚本执行。 依赖项归档(直接在项目内部管理它们)和使用自定义包注册表也被建议为更可靠,但可能更复杂的解决方案。
一个关键点是现代 JavaScript 项目中依赖项的数量众多,使得彻底审计变得困难。 一些人提倡减少对第三方包的依赖。 最终,这场讨论强调了 JavaScript 开发社区内提高安全意识和采用更安全实践的必要性。
关于按住版权联系我们创作者广告开发者条款隐私政策和安全性YouTube的工作原理测试新功能© 2025 Google LLC
## Aisuru僵尸网络:从DDoS到数据收集
Aisuru僵尸网络最初以大规模DDoS攻击而闻名,峰值接近每秒30太比特,现在已将其重点转向一项更有利可图的业务:将其70万多台受感染的物联网设备作为住宅代理出租。 代理数量的激增正在助长大规模数据收集,主要用于训练人工智能(AI)模型。
这些代理允许网络犯罪分子和数据抓取者匿名化其流量,伪装成合法用户并逃避检测,同时从网站收集数据。 代理网络的增长是“疯狂的”,一些供应商近几个月的容量增加了10-200倍。 Luminati/Bright Data和IPidea(以“HK Network”运营,拥有众多子品牌)等主要参与者主导着市场。
这种转变正在破坏用户的互联网服务,因为受感染设备产生的大量流量可能会使网络过载。 美国和欧洲的当局正在调查中,互联网服务提供商正在共享黑名单。 僵尸网络的运营商甚至在其恶意软件中嵌入了一句嘲讽——对域名“fuckbriankrebs[.]com”的请求。
最终,Aisuru体现了一种日益增长的趋势:僵尸网络正在超越破坏,成为蓬勃发展的人工智能行业对数据无止境需求的的关键基础设施,引发了对数据隐私和互联网稳定性的担忧。
## Aisuru 僵尸网络转变焦点
一份最新报告指出,Aisuru 僵尸网络活动发生了转变。它最初以分布式拒绝服务 (DDoS) 攻击而闻名,现在主要充当住宅代理服务。这意味着受感染的物联网设备——如安卓手机和智能电视——正被用于通过普通用户的 IP 地址路由互联网流量,掩盖请求的来源。
最初的 DDoS 攻击可能是为了宣传这项代理服务。用户们正在对网上出现的“住宅代理”网站数量众多表示担忧,这些网站通常接受加密货币并以类似的方式运作,现在被认为是由像 Aisuru 这样的僵尸网络提供支持。
这一发展引发了关于识别受感染设备以及这些隐藏代理网络日益普及的问题。Y Combinator 也在宣传其 2026 年冬季申请期。
## Microsoft 365 中管理 Copilot 此信息适用于与 Microsoft 帐户一起使用的 Microsoft 365 应用程序(如 Outlook.com)。Copilot 可以在 Word、Excel、PowerPoint 和 Outlook 中禁用,但方法各不相同。 在 Word、Excel 和 PowerPoint(Windows 和 Mac – 2412/2501 版本及更高版本)中,使用应用程序设置中的“启用 Copilot”复选框(文件 > 选项 > Copilot,或应用程序菜单 > 首选项 > 写作和校对工具 > Copilot)。此设置是每个应用程序和每个设备的。 Outlook 使用“启用 Copilot”切换按钮,可通过快速设置(Android、iOS、Mac)或设置(Web、新 Windows Outlook)访问。此设置将在使用相同帐户登录的所有设备上同步。 如果“启用 Copilot”复选框不可用,则可以通过帐户隐私设置(文件 > 帐户 > 帐户隐私 > 管理设置,或应用程序菜单 > 首选项 > 个人设置 > 隐私)禁用 Copilot,但这也会禁用其他功能,如建议的回复和设计器。 更改后请务必重启应用程序。目前,Copilot 无法在 Word、Excel 或 PowerPoint 的 iOS、Android 或 Web 版本中关闭。
## Copilot 无法关闭 & 微软的数据收集
一则 Hacker News 讨论集中在无法在 Word、Excel 和 PowerPoint 的网页版中禁用 Microsoft Copilot。用户表达担忧,认为这是故意的,源于微软需要用户数据来“喂养”其 AI 模型并提升参与度指标。
一些人推测这是一种玩弄手段,旨在人为夸大内部性能数据,而另一些人则指出这是一种更广泛的数据收集趋势,伪装成有用的集成。一些评论员已经转而使用 LibreOffice 作为替代方案,但有些人会怀念 Word 的自动格式化等特定功能。
许多人批评 Copilot 的实际性能,指出其回复不准确且功能有限,尤其是在 Excel 和 Outlook 中。一个反复出现的主题是用户是产品,隐私被牺牲用于 AI 训练和定向广告。也有呼吁进行监管和抵制微软产品,以及对反竞争捆绑行为的担忧。
启用 JavaScript 和 Cookie 以继续。
一个黑客新闻的讨论强调了 Keith,他是 [chibiakumas.com](https://www.chibiakumas.com) 网站的创建者,该网站提供多平台 Z80 汇编编程教程——最初源于他用来构建游戏 ChibiAkumas 的脚本。用户称赞 Keith 广泛记录了各种复古和现代平台的汇编语言,从 FM-7 到 RISC-V。
对话涉及学习 Z80 或 6502 汇编与现代 x86 相比的相对容易程度,一些人提倡 RISC-V (RV32I/RV32E) 作为更简单、更实用的选择,因为它具有精简的指令集和现成的硬件。然而,其他人不同意,认为 RISC-V 更复杂。
Keith 的工作被广泛认为是宝贵的资源,他因致力于保护和教授这些编程技能而被描述为“互联网传奇”。他的网站上也有 RISC-V 的教程。
## 拿钱:关于创业公司股权的现实评估 最近的一次对话凸显了创业公司员工面临的常见困境:要约提供了一个变现部分股权的机会。尽管可能还有进一步的收益,但建议很明确:**拿钱**。 创业公司的成功很大程度上依赖于运气和时机,而不仅仅是努力工作。虽然相信你的公司会继续上升是诱人的,但即使是有前途的初创公司也可能失败。科技领域充满变数,泡沫会破裂。一笔可观的意外之财——可能高达数十万甚至数百万——可以带来财务自由和再投资的能力,从而分散风险。 不要陷入创业公司常见的“教徒般错觉”,认为持续的成功是理所当然的。流动性很有价值,特别是考虑到个人财务义务。不必为*每一个*可能的收益而优化;优先考虑当前福祉和减轻压力至关重要。 最终,将这次机会视为一场赌博——如果你面临着改变人生的巨额财富,那将是一场胜利——这鼓励了一种务实的态度。不要因为害怕错过未来潜在的财富而犹豫不决;确保你*今天*所拥有的。
## 黑客新闻讨论摘要:落袋为安
一场黑客新闻讨论源于一篇博文,讨论了在成功创业公司中出售部分股权的智慧——具体来说,是一个10%的报价。核心争论围绕风险管理、经验价值随着年龄的降低以及“零死亡”的概念。
许多评论者提倡*适度*落袋为安,强调现在有保证的收益优于未来可能更大但具有不确定性的回报。 几个人指出,随着年龄的增长,经验的价值会下降,使得当前的消费更有影响力。 还有人强调了分散投资以避免过度依赖于个人生计的重要性。
一个关键论点是,VCs由于拥有更大的投资组合,更擅长处理风险,而个人则受益于降低个人风险敞口。 一些人建议使用凯利公式来计算最佳出售百分比。 最终,共识倾向于在潜在收益与实现收益的安全性之间取得平衡,承认“一鸟在手,胜过双鸟在林”。 讨论还涉及财务独立的心理益处以及享受生活体验的重要性。
## Zig 0.16.0:首次预览异步 I/O 本摘要详细介绍了 Zig 0.16.0 中即将推出的新型异步 I/O 原语,并通过一系列示例进行演示。核心内容引入了一个新的 `std.Io` 接口,设计用于与现有分配器一起使用。实现 `std.Io`(例如 `std.Io.Threaded`)类似于设置分配器——在 `main()` 中完成一次,并在整个应用程序中传递。 示例展示了 `async` 和 `await` 如何将函数调用与其返回值解耦,从而实现并发操作。至关重要的是,演示强调了一个潜在的陷阱:在没有适当错误处理的情况下使用 `await` 可能会导致资源泄漏。解决方案是使用 `cancel` 来确保即使在错误情况下也能释放资源。 一个关键的区别在于 *异步* 和 *并发*。虽然 `async` 允许任务 *开始* 独立执行,但真正的并行执行需要 `concurrent`,如果资源不足,则可能失败。 目前的工作正在探索使用 IoUring 和 KQueue 与协程的更高效实现,但这取决于未来的语言增强。API 仍在不断发展,鼓励社区反馈以完善 I/O 接口,以实现实用且最佳的性能。
## 使用 `linear()` 实现现代 CSS 动画 传统上,贝塞尔曲线被用于控制 CSS 中的动画过渡。然而,一个新的工具——`linear()` timing function,可以在 CSS 中原生实现更动态的运动,例如弹簧和跳跃效果,避免了基于 JavaScript 动画的性能问题。 与预设的 `linear` 值不同,`linear()` 通过定义带有直线段的图形上的点来创建缓动曲线。虽然最初需要手动创建值,但 Linear() Easing Generator 和 Easing Wizard 等工具简化了这个过程,甚至允许使用来自真实弹簧物理的数据。 使用更多的点可以提高精度,但对文件大小的影响很小,并且可以通过压缩来减轻。关键注意事项包括:`linear()` 是基于时间的(需要持续时间),可能难以处理动画中断(出现卡顿),并且受益于 CSS 变量的重用。 浏览器支持良好(截至 2025 年底约为 88%),并且可以使用 `@supports` 为旧浏览器实现基于三次贝塞尔曲线的回退方案。最终,`linear()` 扩展了 CSS 动画的可能性,为传统方法提供了强大的替代方案。
我们检测到您的浏览器已禁用 JavaScript。请启用 JavaScript 或切换到受支持的浏览器以继续使用 x.com。您可以在我们的帮助中心查看受支持的浏览器列表。帮助中心 服务条款 隐私政策 Cookie 政策 版权信息 广告信息 © 2025 X Corp.
一名开发者发布了一个69.0MB的Windows 7 x86版本,作为“有趣的验证概念”,但由于缺少常用对话框和控件等关键文件,它基本不可用。 这引发了关于什么构成功能性操作系统的争论,并与Tiny Core (23MB) 和 Damn Small Linux (50MB) 等精简的Linux发行版进行了比较。
许多评论员指出,该项目的价值在于挑战和探索Windows架构,而非实际应用。 还有人强调了Tiny7、Tiny10和Tiny11等现有项目,它们提供更实用、更精简的Windows安装。 讨论还涉及Windows日益膨胀的问题、精简OS镜像对虚拟机和容器的吸引力,以及ReactOS等项目可能填补这一利基市场。 最终,这次发布被视为一项引人入胜的技术练习,展示了Windows可以去除多少内容,即使结果并非完全可用。
arXivLabs是一个框架,允许合作者直接在我们的网站上开发和分享新的arXiv功能。个人和与arXivLabs合作的组织都认同并接受我们开放、社群、卓越和用户数据隐私的价值观。arXiv致力于这些价值观,并且只与秉持这些价值观的合作伙伴合作。您是否有为arXiv社群增加价值的项目想法?了解更多关于arXivLabs的信息。
## 3I/Atlas:星际彗星与推测
一颗新近探测到的星际彗星,3I/Atlas,正在快速变亮,因为它接近太阳。这一发现引发了争论,从标准的彗星解释到更离奇的理论,包括它可能是一种外星星际探测器的猜测——一些人对此感到有趣,但其他人则认为这是耸人听闻。
讨论的中心是这颗彗星不寻常的轨迹,它接近火星和木星,引发了对其起源和可能性的质疑。一些人认为这些近距离接触在统计上不太可能,而另一些人则指出幸存者偏差——我们只能探测到那些确实接近的物体。
对话也涉及更广泛的主题,即科学好奇心与未经证实的说法,特别是关于Avi Loeb的工作,以及一种全球事件压倒性的感觉(“叙事叠加”)。尽管存在推测,但这颗彗星代表了一个研究起源于我们太阳系之外的物体的难得机会。这是迄今为止探测到的第三个星际物体。