美联社调查显示,卫生及公共服务部秘书罗伯特·F·肯尼迪的顾问们正在积极利用“让美国再次健康”(MAHA)运动,为自身和推广另类健康产品的行业带来经济利益。像德尔·比格特里这样的顾问公然向保健品行业示好,暗示MAHA的目标将增加他们的利润——2024年这个市场规模达693亿美元。
调查发现,一个资金充足的团体正在推动“反科学”政策,包括将生牛奶销售合法化的立法,并经常引用对生产者的经济效益。像生牛奶农场主马克·麦卡菲这样的人,他的公司曾多次因与疾病相关的召回事件而面临问题,正在积极游说这些变革,同时他的业务也实现了大幅增长。
MAHA运动中的关键人物,包括比格特里和肯尼迪助手凯西和卡利·米恩斯,与健康公司存在直接的经济联系,并通过竞选工作、出版协议和筹款从该运动中获利。这引发了人们对他们倡导破坏既定科学共识的动机的质疑,特别是他们可能会从由此产生的医疗保健格局转变中获得经济利益。
每日HackerNews RSS
## 本地LLM:隐藏的安全风险
研究表明,本地运行的大型语言模型(LLM),如gpt-oss-20b,比先进的云端模型更容易受到恶意提示的攻击。攻击者可以通过将恶意请求伪装成无害的功能(“彩蛋”)或利用“认知超载”来操纵这些模型生成危险代码,成功率高达95%。
这些攻击主要表现为两种形式:在代码中植入隐藏的后门,从而授予攻击者远程访问权限;以及在开发人员编码期间实现代码的即时执行。生成的代码通常看起来是合法的,从而绕过初步审查并可能在生产系统中持续存在。
与内置安全监控的云端LLM不同,本地模型缺乏这种监督,造成了关键的测试盲点。它们较弱的推理能力和对齐性使其更容易受到攻击。
为了降低这些风险,开发人员应将所有AI生成的代码视为不可信。关键防御措施包括静态代码分析以标记危险模式、沙盒执行环境、持续监控恶意活动,以及由专注于策略违规的更简单的模型进行的“二次审查”。确保新兴的LLM辅助软件开发流程安全需要改变思维方式并采取主动安全措施。
## Hacker News 讨论:本地 LLM 的安全风险
一篇近期文章强调了一种“安全悖论”——本地大型语言模型 (LLM) 虽然能提供数据隐私,但由于推理和对齐能力较弱,可能比大型云端模型*更*容易受到恶意提示的攻击。核心问题是提示注入:攻击者可以构造输入,欺骗 LLM 生成有害代码或执行意想不到的命令。
许多评论者认为提示注入是*任何* LLM 的根本风险,无论大小或位置。真正的问题不在于模型本身,而是直接将不受信任的数据(如文档或用户输入)输入 LLM 的系统,而缺乏适当的保护措施。
讨论的解决方案包括对代码执行进行强大的沙箱隔离、静态分析,以及至关重要的是,避免让 LLM 处理不受信任的内容。 几位用户强调代码审查和安全系统设计的重要性,而不是依赖 LLM 本身“知道”什么是安全的。 还有人指出 Vibekit 和 Anthropic 的沙箱功能等工具,作为潜在的缓解策略。
讨论还涉及了本地控制和模型能力之间的权衡,一些人认为,如果结合谨慎的实施,本地 LLM 在隐私方面的优势可以超过增加的安全风险。
## 从发霉恐慌到发酵基础设施
十年的家庭发酵实践——从酸菜到萨拉米——让我意识到,将发酵视为烹饪是一种错误。它需要被视为基础设施,需要仔细监控和控制。最初的肉类腌制实验突显了风险,特别是湿度波动和潜在的危险霉菌,促使我转向配备温度和湿度控制器的控制室。
关键的挑战不是*测量*条件,而是理解这些测量结果的*含义*。受到食品行业HACCP计划(危害分析与关键控制点)的启发,我开发了一款名为“Fermento”的应用程序,用于跟踪发酵过程,识别潜在危害,并定义关键限制。
Fermento 作为一个动态决策树运作,适应每个发酵阶段并优先考虑相关的检查。它强调可追溯性而非精确性,重视记录*实际*发生的情况,而不是追求完美条件。虽然自动化是一个目标,但我认为手动数据输入很有价值,认识到发酵是关于受控变化,而不是防止变化。最终,Fermento 旨在提供安心——以及为质疑自制美食安全的邻居提供可靠的保障。
## 软件设计与腐烂:摘要
一位软件工程师详细介绍了他们深入研究如何精细控制萨拉米香肠和科帕肉等肉类的熟成过程,强调了“为腐烂的事物设计软件”出乎意料的复杂挑战。该项目涉及传感器、自动湿度控制(甚至包括安装冷水管!)、以及数据记录——所有这些都通过Grafana和Prometheus等工具进行监控。
作者强调要优化*变化*而非追求完美,承认这些传统工艺的容错性。他们戏谑地指出将复杂的软件解决方案应用于古老技术的不合理性,但认为数据和控制是有价值的。
这次讨论引发了热烈的讨论,评论者分享了他们自己的自动化项目(例如洗手液工厂!)、酸面包酵母的技巧,以及对工程师致力于这一小众但引人入胜的技术应用的赞赏。一个关键的收获是精度与直觉之间的平衡——知道何时测量,以及何时依靠“人类的舌头”作为传感器。
## Patina:基于 Rust 的 UEFI 固件实现
Patina 是一个 Rust 项目,旨在用 Rust 替换传统上用 C 编写的核心 UEFI 固件组件,通过 Rust 的内存安全特性增强安全性和稳定性,同时保持启动性能。目前处于 Beta 阶段,Patina 寻求社区反馈和贡献,用于平台测试和集成。
该项目支持 aarch64、x64 和原生目标,构建通过 `cargo make` 管理。鼓励开发者遵循“入门”文档([https://OpenDevicePartnership.github.io/patina/](https://OpenDevicePartnership.github.io/patina/))并定期更新他们的 Rust 工具链(在 `rust-toolchain.toml` 中指定)。
Patina 的路线图侧重于三个关键领域:**稳定化**(错误修复和性能优化)、**扩展**(添加新组件和 MM Core 支持)和 **生态系统集成**(固件和 Rust 社区协作)。持续集成包括测试、基准测试(使用 `cargo make bench`)和覆盖率分析 (`cargo make coverage`)。欢迎贡献以加速这些领域的进展。
## Patina:基于Rust的UEFI固件
一个名为**Patina**的新项目,是UEFI固件的Rust实现,可在GitHub上从OpenDevicePartnership(主要为微软项目)获得。它被定位为TianoCore的替代品,并引发了关于使用**uefi-rs** crate与其交互的讨论——这是一个令人惊讶地符合人体工程学的Rust UEFI开发API,允许动态内存分配和简化的协议交互。
多位评论者分享了使用**uefi-rs**进行项目(如Linux启动加载程序“Candyboot”和PXE启动)的经验,强调了它在`no_std`环境中的易用性和强大功能。
对话涉及UEFI安全性的复杂性、微软在安全启动密钥颁发中的作用,以及绕过微软密钥的可能性——尽管通常需要他们的签名证书来验证更新。**Patina**被描述为微软早期“Mu”项目的重大发展,是DXE Core规范的完整Rust实现。
目前,**Patina**尚未在物理硬件上运行,但存在项目可以在QEMU/KVM环境中构建和运行它。
立陶宛维尔纽斯机场因来自白俄罗斯的气球走私尝试激增而临时夜间关闭。携带白俄罗斯香烟——比欧盟便宜——的数十个气球进入立陶宛领空,导致航班从周二晚上11点起至周三早上6点30分暂停,以确保航空安全。 这被描述为今年最严重的入侵事件,类似事件频繁发生;仅今年就有超过500个气球进入立陶宛,波兰也发现了超过100个。陆地边境口岸也曾短暂关闭。 立陶宛总理英加·鲁吉涅建议白俄罗斯合作并防止未来事件发生,强调这种情况的特殊性以及保护战略地点的必要性。当局有权击落气球,这些事件在之前的俄罗斯无人机活动嫌疑之后引发了对空域安全的担忧。
## 立陶宛机场因香烟走私气球而关闭
近期事件导致立陶宛机场关闭,原因是香烟通过气球走私激增。走私者从白俄罗斯发射大量气球,利用两国香烟价格的巨大差异——立陶宛约为5欧元,而白俄罗斯约为2欧元。
该行动依赖于盛行风将气球带过边境,然后由团队回收有效载荷。虽然看似效率低下,但香烟的低成本使得即使有损失也能获得可观的利润。一些人推测这可能是俄罗斯或白俄罗斯为了测试欧洲空域防御而进行的一次试探性行动,利用了可信的否认性。
讨论表明,追踪是通过GPS定位器实现的,回收团队也部署在预测的飞行路径沿线。高需求和利润率,加上完全拦截的难度,使得这种非常规的走私方法出人意料地可行。这种情况凸显了由经济差距和技术进步推动的走私日益增长的趋势。
纽约市已成为美国首个要求连锁餐厅菜单上对含糖饮料和零食进行警告标识的城市,依据本月实施的“甜蜜真相法案”。一个黑色三角形内的白色小勺子现在出现在超过50克添加糖的食品旁边——这是每日推荐摄入量上限。 该举措旨在帮助消费者做出更健康的选择,效仿之前成功的钠含量警告。然而,最初的反应不一。许多顾客没有注意到新的标识,有些人即使注意到了也不认为会改变他们的订单。人们担心这个小而简单的图标不够醒目。 研究人员正在研究其影响,预计根据以往经验,菜单标注对快餐店的影响有限,结果会比较温和。该法律目前适用于包装饮料和喷泉饮料,不包括奶昔等。一项待议的州法律可能会扩大其范围。虽然将通过罚款来执行合规性,但公共卫生倡导者仍然乐观,希望这些警告——加上公众意识宣传活动——能够鼓励更健康的饮食习惯,并激励其他城市效仿。
一项由英国广播公司主导、欧洲广播联盟协调的大型国际研究显示,在被询问新闻相关问题时,领先的AI助手(ChatGPT、Copilot、Gemini和Perplexity)的回答普遍存在不准确之处。在18个国家和14种语言中,45%的AI回答包含重大问题,包括错误的信息来源(31%)和事实错误(20%),其中Gemini表现最差。 这项研究证实,这些问题并非孤立事件,而是系统性和多语言的。 鉴于AI助手越来越多地被用于新闻消费,尤其是年轻受众(25岁以下人群中,15%的人使用),这令人担忧。 虚假信息会侵蚀公众信任,并可能影响民主参与。 为了解决这个问题,欧洲广播联盟发布了“AI助手新闻诚信工具包”,以改进回答并提高媒体素养。他们还敦促监管机构执行现有法律,并倡导对AI工具进行持续的独立监控。 英国广播公司的一项独立研究表明,许多用户*信任*AI新闻摘要,并且错误地将错误归咎于新闻提供者,这凸显了对新闻品牌声誉造成损害的潜力。
## Chezmoi 设置总结 Chezmoi 是一个基于 Go 的点文件管理工具,在 GitHub 上开发([https://github.com/twpayne/chezmoi.git](https://github.com/twpayne/chezmoi.git))。构建和运行它需要 Go 1.24 或更高版本。 **开始使用:** 1. **克隆仓库:** `git clone https://github.com/twpayne/chezmoi.git` 2. **进入目录:** `cd chezmoi` 3. **构建:** `make` 4. **测试:** `make test` (需要各种工具,如 `age`、`git`、`python3` 等 – 如果未找到,测试将被跳过)。 可以使用 `make smoke-test` 运行全面的冒烟测试套件。使用 Fish shell 的用户在测试期间可能会遇到警告;可以通过使用 `SHELL=bash` 或 `SHELL=zsh` 运行测试来避免这些警告。 **重要提示:** 严禁使用大型语言模型(如 ChatGPT)生成的贡献,违者将被禁止。详情请参阅 `CODE_OF_CONDUCT.md`。
## Chezmoi 禁止 LLM 生成的贡献
Chezmoi 项目已实施严格的禁令,禁止所有由大型语言模型 (LLM) 生成的贡献,包括使用 Copilot 等工具完成的代码。该政策规定,任何 LLM 生成的内容都将导致贡献者立即被禁止,且没有申诉渠道。
这一决定源于对用户利用 LLM 提交的低质量、无帮助贡献的沮丧。维护者引用了一个特别糟糕的 LLM 生成的播客作为催化剂,反映了对“垃圾”代码涌入的更广泛担忧。
此举引发了争论,一些人认为这是对有用工具的不可执行且过于严厉的反应。另一些人则支持这一决定,认为它可以保护项目免于浪费时间和提交低质量的内容。人们对准确检测 LLM 生成的内容以及潜在的误报表示担忧。
该政策代表了对依赖 LLM 进行贡献的坚定立场,优先考虑人工编写、经过充分理解的代码。这是一种有争议的方法,但维护者似乎决心执行它。
## Cloudflare CIRCL 库漏洞总结 2025年初,对 Cloudflare 的 CIRCL 加密库的一次审计发现其 FourQ 椭圆曲线实现中存在多个安全问题。核心漏洞源于对输入点验证不足,可能允许攻击者利用“无效点攻击”提取密钥。 具体而言,该库在点反序列化和标量乘法期间缺乏适当的检查。这使得攻击者能够引入精心构造的无效点,这些点位于具有易于暴力破解的子群阶的曲线上,从而损害 Diffie-Hellman 密钥交换(Curve4Q)的安全性。虽然 Edwards 曲线通常能抵抗这些攻击,但已识别出与 x 坐标为零的点相关的特定漏洞。 发现了七个问题,包括点验证、比较和余因子清除方面的缺陷。Cloudflare 在最初的报告通过其漏洞赏金计划和直接联系后解决了这些漏洞。修复工作主要集中在加强加密操作前后的点验证,使实现更符合 FourQ IETF 规范。这些改进降低了退化曲线攻击的风险,并加强了 CIRCL 库的整体安全性。
## 黑客新闻讨论:Cloudflare 的 Circl FourQ 实现及漏洞赏金问题
最近的黑客新闻讨论集中在 Cloudflare 的 Circl FourQ 实现中发现的一个加密漏洞(CVE-2025-8556)上。虽然 Cloudflare 的安全团队已经解决了这个问题,但对话很快转移到关于漏洞赏金计划的更广泛问题。
许多评论者对 HackerOne 等平台上的分诊流程表示沮丧,指出需要深入技术理解的复杂报告常常因为初始分诊人员难以评估而被驳回。这导致研究人员需要为分诊人员 *和* 具备相应能力的安保团队撰写报告,浪费了他们的时间。
人们对这些平台内的激励机制不一致表示担忧——大量低质量报告需要昂贵的过滤,以及顶级黑客甚至 *看到* 漏洞赏金就需要付费。建议包括让赏金平台从奖励中分成以改善沟通,并强调清晰的漏洞赏金计划范围。一些人提倡“好撒玛利亚人”法律来保护白帽黑客并提供有意义的奖励,而另一些人则质疑政府在这种领域的监管可行性。
最终,这场讨论凸显了对强大安全的需求、激励漏洞研究的挑战以及评估和解决安全漏洞的复杂性之间的紧张关系。
你好,我没有在quay.io或DockerHub上找到安全发布Security/CVE RELEASE.2025-10-15T17-29-55Z的新镜像。这是预期的吗?如果不是,你能否为这种安装方法推送一个新的发布版本?谢谢。👍React with 👍22Weetile, dpieski, expilu, justsomescripts, StrangePeanut 和 17 人。