## F1车手数据在FIA网站被黑 受制于一级方程式赛事日益增长的网络安全关注,研究人员Gal Nagli、Sam Curry和作者调查了支持网站中的漏洞。他们的调查发现FIA的drivercategorisation.fia.com门户网站存在一个关键缺陷——该系统用于管理车手等级(青铜到白金)和超级驾照资格。 通过一个简单的HTTP PUT请求,该团队能够利用批量赋值漏洞,将他们的用户权限提升到管理员级别。这使得他们可以完全访问网站的管理仪表盘,并泄露敏感数据,包括车手护照扫描件、简历、执照信息、密码哈希和内部FIA通讯。 研究人员在发现可以访问马克斯·维斯塔潘的个人信息后,立即停止了测试,认识到此次漏洞的严重性。他们于2025年3月6日立即向FIA披露了该漏洞,促使该网站被下线。FIA于2025年6月10日确认已修复该漏洞,此次披露遵循协调的发布时间表。此事件凸显了处理高知名人士和组织敏感数据的系统中的重大安全问题。
每日HackerNews RSS
质量分配漏洞泄露了马克斯·维斯塔潘的护照和F1车手的个人身份信息。
Accessing Max Verstappen's passport and PII through FIA bugs
41 天前
## 黑客新闻摘要:FIA网站漏洞
一位安全研究员(ian.sh,在Sam Curry的协助下)发现了FIA(赛车运动管理机构)网站的严重漏洞,导致可以访问敏感的个人信息,包括马克斯·维斯塔潘的护照详情。这些问题源于糟糕的安全措施,例如在应用文件使用后将其存储在实时服务器上,以及缺乏强大的访问控制。
评论员强调了一系列失败,强调绝不能信任*任何*数据——即使来自可信来源,并指出客户端安全漏洞仍然普遍存在。许多人分享了通过浏览器开发者工具利用网站漏洞的类似经历。
在发现问题报告的当天,FIA就将网站下线,并迅速实施了修复,这被认为对于大型组织来说速度相对较快。讨论还涉及了在没有漏洞赏金计划的情况下进行此类“道德黑客行为”的法律风险,以及负责任披露的重要性。 许多评论员提倡更广泛地采用漏洞披露计划(VDP)和安全编码实践。
## 从 Rust 到 jj:一种模式的识别 作者详细描述了他们从 2012 年发现 Rust 编程语言,到目前对名为 jj 的新型版本控制系统 (VCS) 感到兴奋的历程。 最初被 Rust 吸引,是因为它有潜力填补低级编程领域的空白——在没有垃圾回收的情况下提供内存安全——他们对 Mozilla 的支持以及 Firefox 采用的前景印象深刻。 这导致了大量的参与,包括共同编写“The Book”。 现在,作者在 jj 中看到了类似的模式。 他们发现了一个市场需求(与 Git 并行增量采用)、一个由经验丰富的开发人员领导的强大团队,以及谷歌等公司日益增长的内部使用。 像 Rust 一样,jj 拥有充满激情的社区,并解决了新用户的问题。 受到与他们带领他们进入 Rust 的相同直觉的驱动,以及一位值得信赖的同事的推荐,作者现在正在离开 Oxide 的职位,加入一家名为 ERS C 的新公司,该公司正在 jj 之上构建一个开发者协作平台,这表明他们对 jj 的未来充满信心。 他们强调,识别新兴技术的潜力通常取决于强大的团队、清晰的市场定位和热情的社区。
启用 JavaScript 和 Cookie 以继续。
## 工作的未来:无意义的工作与自动化
最近一篇 Hacker News 的讨论,源于一篇文章提及安德烈·戈尔茨对“反抗无意义的工作”的预测,中心议题是自动化日益增长的威胁及其对就业的潜在影响。许多评论员担心由人工智能驱动的“第二次工业革命”将使大量白领工作变得“无用”,超越了戈尔茨所描述的仅仅是“无意义”的工作。
担忧延伸到目前由移民工人从事的服务业工作,这些工作可能被无人机和自动驾驶技术取代。人们对政府对失业者的支持表示怀疑,一些人质疑依赖低工资劳动的现有经济模式的可持续性。
辩论触及了工作本身的价值——即使是“虚假工作”也为 GDP 做出贡献——以及后工作社会的可能性。一些人认为,目标来自于满足需求,而另一些人则强调工作提供意义和联系的重要性,担心仅仅依靠 UBI 无法解决存在主义的满足问题。最终,这场讨论凸显了人们对工作未来日益增长的焦虑,以及对广泛失业需要采取道德和政治回应的必要性。
## 《身体保留创伤》:批判性审视
贝塞尔·凡德科尔克的《身体保留创伤》获得了巨大的成功,畅销书榜上停留数百年,销量数百万册,其核心观点是创伤从根本上改变大脑和身体,即使没有有意识的记忆。然而,这本书的科学基础正日益受到质疑。
凡德科尔克认为创伤普遍存在——“可能是我国国民福祉的最大威胁”,但像迈克尔·谢林加博士这样的批评者认为他的说法基于有缺陷的研究。具体来说,这本书严重依赖于横断面研究(时间快照),这些研究无法证明创伤*导致*观察到的脑部变化,可能将既有状况误认为是创伤引起的效应。
谢林加的《身体并不保留创伤》系统性地驳斥了凡德科尔克的断言,强调了被歪曲的研究、相互矛盾的发现以及一种无视不支持其叙述的证据的模式。例如,对脑岛和杏仁核的研究的错误描述,以及对创伤后应激障碍患者皮质醇水平的不准确说法。
核心问题不是轻微的夸大,而是对科学数据的根本性误读,以支持一个引人入胜但最终缺乏支持的理论。这导致了本书在学术界甚至学术环境中的广泛采用,尽管存在重大缺陷,可能会将个人引导到不必要且无效的“创伤”治疗。最终,本书的成功凸显了一种令人担忧的趋势,即优先考虑一个好的故事而非科学严谨性。
## LLM 内隐偏见:摘要 最近一项分析,基于 2025 年人工智能安全中心发布的“效用工程”论文,揭示了大型语言模型 (LLM) 中令人担忧的内隐偏见。该研究表明,LLM 具有连贯、传递性的“效用函数”——本质上是内部偏好系统——这些系统可以被提取和可视化。 初步发现显示,GPT-4o 根据国籍对生命价值的评估不同(尼日利亚人 > 美国人)。随后的测试涵盖当前模型(2025 年 10 月),暴露了关于种族、性别和移民身份的偏见。大多数模型对白人生命的价值低于其他种族,并且通常更偏爱女性和非二元性别者而非男性。移民局探员的价值始终被评为最低。 虽然存在模式,但也有显著差异。模型大致分为四种“道德宇宙”:像 Claude 这样高度“觉醒”的模型,像 GPT-5 和 Gemini 这样更平等的模型,像 GPT-5 Mini/Nano 这样观点强烈的模型,以及刻意追求平等的 Grok 4 Fast。 作者强调了这项研究的财务成本,限制了测试范围。他们敦促组织,特别是国防部等机构,主动评估 LLM 偏见,并建立负责任集成的标准,倡导透明地说明这些模型如何与特定价值观对齐。
这次黑客新闻的讨论围绕着一篇研究论文,探讨大型语言模型(LLM)在面对涉及生死假设情境的提示时,似乎会为不同群体赋予不同的“价值”。该研究使用对数效用曲线来评估LLM如何“交换”不同实体的数量——从国家到个人,本质上是在询问多少个事物等于另一个事物。
最初的评论质疑了研究方法和使用的提示,指出论文对解释不够清晰。一些发现揭示了显著的偏见:一个LLM(Claude Haiku 4.5)明显地将无证移民的价值高于美国移民及海关执法局(ICE)的特工。
评论者争论这是否反映了训练数据中固有的偏见,或者只是反映了现有的社会偏见。另一些人认为LLM并非在“权衡生命”,而只是对提示工程和训练偏见做出反应,缺乏真正的价值观或观点。这场讨论凸显了解释LLM行为的复杂性,以及仔细分析研究方法和结果的必要性。
Vexlio是一款专为绘图设计的应用程序,专注于技术、工程和科学应用。它提供了一套智能工具,旨在帮助您更快、更整洁、更轻松地绘制图表。Vexlio已经提供了一个强大的绘图平台。交互性是我们很高兴提供的全新方向,我们认为它将改变您处理图表、文档和演示文稿的方式。
## Vexlio:交互式图表与弹出内容
Vexlio 是一款新的网络应用程序,允许用户创建交互式图表,通过鼠标悬停或点击触发弹出内容。该工具旨在通过提供简洁的高层视图和可访问的详细信息,来增强系统文档、入职材料、演示文稿和用户指南。用户可以通过链接分享图表,无需注册账户。
Hacker News 的初步反馈褒贬不一。虽然其用户界面和易用性受到赞扬,但一些用户认为动态元素会分散注意力,更喜欢静态图表以利于理解。另一些用户建议改进易用性,例如减少突兀的弹出显示(使用调暗而非颜色变化),以及采用基于状态转换等替代交互方式。
创建者正在积极寻求反馈,并探索诸如改进吸附启发式方法以及潜在地实现具有可选择属性的不同图表状态等功能。一个关于深色模式下颜色变化的问题已被发现,并正在调查中。
人机交互的未来似乎正在分化为两种主要愿景:**改造人**和**改造空间**。目前业界更倾向于“改造人”的路径,专注于用技术增强*人*的能力——例如智能手表、人工智能眼镜,甚至未来可能将技术*融入*人体的生物增强。这基于通过外部工具扩展人类能力的理念。 另一种“改造空间”的愿景则侧重于用计算能力增强*环境*。这涵盖了从智能家居和环境计算到布雷特·维克多(Bret Victor)的动态乐园(Dynamicland)等大规模互动空间的一切。 它的核心是创造智能环境——一种“全息甲板”式的未来——技术嵌入在我们周围的世界中,响应语音、手势和存在。 作者更倾向于“改造空间”的方法,这与一种更温和的“躯体塑造”(somaforming)相符——调整环境以适应我们,而不是相反。这种范式强调多参与者、真实世界的互动,并为日益个性化、以身体为中心的改造人技术提供了一种引人注目的替代方案。 关键问题是:应该开发哪些核心技术来构建这些智能、互动空间?
## 赛博格 vs. 房间:计算的现实未来
最近在Hacker News上进行了一场讨论,探讨了计算的两种未来愿景:一种是“赛博格”未来,即普遍的个人技术整合;另一种是“房间”未来,即完全计算机化的环境。然而,评论者们普遍认为,更有可能的结果是务实的融合——计算机成为在需要时使用的*工具*,而不是完全沉浸于任何一种极端方式。
许多人指出,计算机*已经*无处不在,例如智能手机,成为了我们身体的延伸。人们对高度“赛博格”未来可能失去控制表示担忧,质疑人们是否能够真正从日益融入日常生活的系统中脱离——从数字身份到金融系统。
另一些人则倾向于“房间”的概念,但承认它可能对世界上大部分地区来说是难以企及的。一个反复出现的主题是技术的兴衰历史模式,最终在基础设施中找到平衡的位置,而不是完全统治。最终,重点应该放在开发赋能的抽象概念上,而不是强行将技术融入生活的方方面面。
42,600吨船将打破世界纪录,钻探深度达7英里。
42,600 ton ship to break the world record for the deepest drill at 7 miles
41 天前
中国启动了其最雄心勃勃的深海勘探项目,使用“梦翔”号,一艘42,600吨的钻井船,旨在穿透海底11公里——比以往任何尝试都更深。这艘名为“梦”的船只的目标是到达莫霍罗维奇不连续面(Moho),即地球地壳和地幔之间的边界,从而获得前所未有的、可能具有革命性地质数据。 “梦翔”号拥有创新功能,包括907吨的起重能力桅杆、四种钻井模式以及用于全面样品分析的船载实验室。它可以在无需补给的情况下运行120天,并能抵御极端天气。科学家们希望提取样本,以揭示地球形成、板块构造以及潜在的资源储藏,如甲烷水合物和稀土元素。 该项目标志着中国在深海勘探领域的技术独立和领导地位,使其置于科学发现和资源潜力前沿。除了地质理解之外,这项任务还可以改善灾害预测,并为更广泛的行星科学做出贡献,其影响类似于陨石发现对我们理解火星的影响。
## 中国最深钻探项目 - Hacker News 摘要
一个 Hacker News 的讨论围绕着一艘 42,600 吨的中国船只,正在进行一项创纪录的钻探项目,目标是到达地球表面以下 7 英里,可能进入地幔。该项目因其雄心勃勃的目标和该船只令人印象深刻的能力而引起了兴趣——包括 907 吨的钻杆和岩心提升能力。
评论者讨论了技术挑战,例如管理 7 英里钻杆的扭转应力(通过使用钻井液为钻头供力的“泥浆马达”来解决)以及组装数千个 30 英尺管道的后勤保障。
几位用户指出文章的来源和质量,认为它可能是人工智能生成的或翻译自中文资料。其他人提到了过去深钻项目,如科拉超深钻孔和莫霍项目,甚至开玩笑说可能会唤醒古代生物。该项目被视为一项重要的科学事业,引发了人们对其潜在发现的好奇心。
## Stalwart 率先采用完整 JMAP 实现,开启协作新时代 Stalwart 已成为首个完全支持 JMAP 协议的服务器,涵盖日历、联系人、文件和共享,标志着群件技术的重要进步。此版本超越了 WebDAV、CalDAV 和 vCard 等旧版复杂标准的限制,这些标准存在冗余和互操作性问题。 JMAP 提供了一种现代、高效的解决方案,基于 HTTPS 上的 JSON 构建,为所有协作数据提供统一且易于实施的 API。 伴随 JMAP 发布的是新的基于 JSON 的数据模型——JSCalendar 和 JSContact,它们简化了 iCalendar 和 vCard 格式,消除了数十年的技术债务,提高了清晰度和效率。 这一转变有望简化开发、提高互操作性并加速日历和协作领域的创新。 尽管客户端支持仍在增长(Mailtemi 和 Parula 等项目已采用这些标准),但 Stalwart 完成核心功能为未来几个月稳定发布的 1.0.0 版本铺平了道路,为开放通信服务器设定了新标准。 该项目得到了 NLNet 的 NGI Zero 资助。
## Stalwart Labs 发布 JMAP 支持并引发讨论
Stalwart Labs 发布了 Stalwart,一个用于日历、联系人和文件的 JMAP(JSON Meta Application Protocol)服务器,并在 Hacker News 上引发了热烈讨论。JMAP 旨在现代化电子邮件和群件协议,为较旧的标准(如 IMAP、CalDAV 和 WebDAV)提供更简洁的替代方案。
对话强调了 Stalwart 作为自托管解决方案的潜力,特别是对于那些寻求摆脱大型电子邮件提供商的人们。用户称赞其单二进制文件的简单性和现代功能,例如人工智能驱动的垃圾邮件过滤(在企业版中)。然而,采用情况取决于客户端支持,许多人指出流行的电子邮件客户端(如 Thunderbird 和 Apple Mail)缺乏 JMAP 集成。
虽然有些人认为 JMAP 是一个有希望的演进,但另一些人质疑其必要性,因为现有的协议虽然存在缺陷,但已经建立起来。讨论还涉及了以 Web 技术为中心的电子邮件客户端的好处以及摆脱供应商特定解决方案的挑战。 许多用户对 Mozilla 计划在 Thunderbird 中使用 JMAP 表示兴奋,这可能会显着推动该协议的发展。
JS 中的计数-最小素描 – 频率,但无需数据
How count-min sketches work – frequencies, but without the actual data
41 天前
## Count-Min Sketches:深入剖析 本文探讨了Count-Min Sketches,一种用于高效估计大型数据集频率的强大数据结构。 受其在Instant sync引擎(可在不到一分钟内部署!)中的应用启发,作者深入研究了其机制,并以一个有趣的例子来说明:分析P.G. Wodehouse的作品。 Count-Min Sketches允许以较小的内存占用进行近似计数——一个23MB的文本文件可以被总结成一个50KB的sketch,误差为0.05%,置信度为99%。 核心思想是使用多个哈希函数将数据映射到固定大小的桶数组。 碰撞会引入误差,但增加行数(哈希函数)可以提高置信度,而增加列数可以减少误差。 本文指导读者使用JavaScript从头开始构建Count-Min Sketch,演示了它如何处理词干提取和管理频率偏差。 然后,它解释了确定最佳sketch大小(行和列)的数学公式,基于所需的误差率和置信水平。 最后,它展示了如何将压缩后的sketch数据可视化为PNG图像,突出了与存储精确计数相比的巨大尺寸缩减。 最终,Count-Min Sketches为密码安全、链接流行度估计和数据库优化等应用提供了有价值的工具,在精确计数不必要时提供速度和效率。
一个黑客新闻的讨论围绕着一篇解释**计数-最小草图 (count-min sketches)** 的博客文章——一种无需存储完整数据集即可估计频率的方法。作者“stopachka”详细介绍了他们如何在自己的网站上创建交互式演示,并透露他们*没有*使用他们的数据库 instantDB 来实现这些演示。相反,他们预加载了一部分数据用于初始页面渲染,并异步获取其余数据以避免阻塞加载时间。
用户称赞了这种设置,特别是使用了Wodehouse数据,并建议探索不太常见的草图数据结构,如Cuckoo、XOR、ribbon和计数Bloom过滤器,以及Hyperminhash。作者表示有兴趣进一步研究这些。文章还提到从Bun.xxHash3切换到与客户端兼容的库来实现草图。最后,文章底部包含了一个Y Combinator申请的公告。