2024-01-12

50 篇热帖

1. US regulator considers stripping Boeing's right to self-inspect planes (on.ft.com)
3. Unity's Open-Source Double Standard: The Ban of VLC (mfkl.github.io)

Unity的开源双重标准:VLC被禁事件

VLC for Unity集成

  • 自2019年12月起,在Unity Store分发开源VLC for Unity集成的二进制文件。
  • 该集成为Unity游戏引擎和VLC多媒体引擎提供桥梁,允许在Unity游戏中基于VLC引擎构建自定义媒体播放器。
  • 支持跨平台,针对Windows、UWP和Android提供三个专用资产。

Unity Store禁令

  • 2023年夏末,Unity通过邮件通知禁止了发布者账户,立即生效。
  • 经过数月邮件协商,包括提出排除LGPL代码,Unity最终拒绝他们回归商店,即使移除所有LGPL代码。
  • Unity Store中存在数百个包括LGPL依赖项(如FFmpeg)的资产,但执法似乎随机,可能基于举报。

Unity的双重标准

  • Unity编辑器和运行时(包括用户游戏)依赖LGPL库,如Lame、libiconv、libwebsockets等。
  • Unity自身使用和受益于开源LGPL库,但禁止发布者通过Unity Store这样做,形成矛盾。
  • 游戏默认依赖LGPL代码(如glibc),进一步凸显双重标准。

Videolabs Store的推出

  • 为应对禁令,Videolabs在自家网站建立商店,允许现有和新客户购买VLC Unity插件二进制文件。
  • 用户仍可自行构建VLC for Unity,因为它是开源的。
  • 提供灵活多媒体咨询包,针对LibVLC和FFmpeg等技术问题,包括定制构建、错误修复和SDK集成。
  • 咨询服务分为3小时、10小时和24小时包,支持一次性购买或月度订阅。

其他产品与服务

  • Videolabs Store还包括LibVLCSharp商业许可证、LibVLC电子书。
  • 即将推出新产品如Kyber(超低延迟游戏/桌面流媒体和远程控制SDK)及Unreal等游戏引擎集成。
4. A supply chain attack on PyTorch (johnstawinski.com)

这篇文章详细描述了研究人员如何发现并利用PyTorch(一个被广泛使用的机器学习平台)中的一个关键CI/CD供应链漏洞。核心攻击链涉及滥用GitHub Actions中的自托管运行器。

漏洞背景与攻击入口: 研究人员发现,PyTorch的公开仓库使用了自托管运行器来执行GitHub Actions工作流。默认配置下,这些运行器允许任何曾对仓库有贡献的开发者(通过提交过已被合并的拉取请求)触发的工作流执行,且无需审批。攻击者可以通过提交一个简单的代码贡献(如修正错别字)成为贡献者,从而获得执行恶意工作流的权限。

攻击方法与技术:

  1. 获得执行权限:攻击者提交一个包含恶意代码的草稿拉取请求。由于PyTorch未设置对贡献者拉取请求的额外审批,该请求自动触发了工作流。
  2. 建立持久化控制:恶意工作流在自托管运行器上安装了另一个GitHub Actions自托管运行器代理,并将其连接到攻击者控制的私有仓库。这创建了一个隐蔽的命令与控制通道,绕过了EDR和防火墙检测(称为“Runner-on-Runner”技术)。
  3. 窃取敏感令牌:攻击者利用获得的根权限,等待一个拥有写入权限的GITHUB_TOKEN的正常工作流在该运行器上执行。由于运行器不是临时性的,攻击者能够从运行器文件系统的.git/config文件中窃取该临时令牌。
  4. 利用令牌横向移动
    • 隐藏痕迹:使用窃取的GITHUB_TOKEN删除了恶意工作流的运行日志。
    • 篡改发布版本:证明能够通过GitHub API修改PyTorch的官方发布页面,可以上传恶意预编译二进制文件或修改发布说明。
    • 窃取更高级别凭证:利用具有写权限的GITHUB_TOKEN触发另一个名为weekly.yml的工作流,并在此工作流上下文中注入恶意代码,从而窃取了存储为仓库机密的高权限GitHub个人访问令牌(PAT,如GH_PYTORCHBOT_TOKEN)和AWS访问密钥。

影响范围:

  • 窃取的PAT拥有对PyTorch组织内超过93个仓库(包括私有仓库)的访问权限,可用于向主分支注入恶意代码或污染其他相关项目。
  • 窃取的AWS凭证具有向PyTorch官方S3存储桶上传发布版本的写权限,这意味着可以污染通过PyTorch官网或pip安装的所有用户的下载源。
  • 总体而言,攻击者获得了篡改PyTorch官方发布、向其代码库注入后门以及访问底层云基础设施的完整能力,可能引发大规模的供应链攻击。

漏洞缓解与披露:

  • 根本缓解措施:对于公开仓库,应将自托管运行器的工作流审批设置更改为“要求所有外部协作者批准”。
  • 最佳实践:建议使用临时的、隔离的运行器,并避免在公开仓库中使用自托管运行器。
  • 披露过程:漏洞于2023年8月报告给Meta(PyTorch的母公司),但修复过程和沟通存在延迟和反复。最终支付了5000美元赏金。文章指出,此问题并非PyTorch独有,CI/CD供应链安全风险普遍存在。
5. Google lays off Bay Area workers, closes Mtn View child care center (www.sfgate.com)

谷歌于2024年1月10日(周三)晚宣布进行新一轮裁员,并决定关闭位于山景城总部附近的托儿中心。根据提交给相关部门的《工人调整和再培训通知》,此次裁员涉及多个部门,并将永久性关闭该幼儿园。

裁员与幼儿园关闭详情 谷歌向山景城提交的WARN通知显示,其将关闭一家托儿中心,并解雇该中心的全部73名员工,该中心计划于八月关闭。同日提交的另外三份WARN通知最初披露了在山景城裁员364人,在森尼韦尔裁员266人。但随后的更新文件澄清,实际在森尼韦尔裁员161人,在旧金山裁员105人。裁员预计从3月10日开始,最晚可能持续至10月。

受影响团队与规模 谷歌发言人向媒体确认,裁员涉及设计与服务、知识与信息产品、核心工程以及谷歌助手等多个团队,每个团队均有数百名员工被裁减。综合早先的报道,此次裁员总数可能超过1000人。谷歌截至2023年9月底共有约18.24万名员工。

公司回应与影响 谷歌发言人表示,此次调整是为了“负责任地投资于公司最重要的优先事项和未来的重大机遇”,旨在提高各团队效率。公司承诺将协助受影响的家长寻找替代的儿童保育服务。关闭拥有300个名额的托儿中心,可能对公司的在职父母员工及招聘工作造成影响,此前谷歌已缩减了其他员工福利。

工会反对与行业背景 代表谷歌员工的“Alphabet工人工会”在社交平台上称此次裁员“没有必要”,批评公司在季度盈利数十亿美元的同时继续解雇员工。此次裁员发生在谷歌一年前裁减1.2万名员工之后,是科技行业持续裁员潮的一部分,目前这一趋势仍未见结束迹象。

6. We need technology that is less immersive, not more (filiph.net)

文章探讨了技术沉浸性对社会发展的潜在负面影响。作者通过埃德加·赖斯·伯勒斯(《人猿泰山》作者)的例子说明,非沉浸式的媒介(如书籍)曾激励一代人投身航天探索,成为NASA工程师。相比之下,当代沉浸式技术(如3A游戏、VR)虽吸引人才,却将大量优秀工程师导向娱乐产业,而非解决更紧迫的工程问题(如气候、医疗等)。

作者指出,沉浸式游戏可能消耗用户大量时间,却未传授现实世界有价值的技能,甚至导致身心疲惫。尽管自己也是游戏玩家,但承认长期沉浸式游戏体验的弊端。

文章呼吁技术人才转向开发“低沉浸度”技术,例如专注于电子墨水屏、透明显示或物联网等能促进现实互动而非虚拟沉浸的应用。作者以自身离开谷歌、成为独立开发者的经历为例,鼓励人们打破职业惯性,选择更能推动社会实质进步的技术方向,尽管可能伴随薪资降低。

8. eBay agrees to $3M fine over couple's harassment case, civil suit continues (www.universalhub.com)

该网页内容并非实际的新闻文章,而是一个由Cloudflare提供的安全验证页面("Just a moment...")。页面主体内容提示用户“启用JavaScript和Cookies以继续”,并包含用于执行人机验证的复杂脚本代码。因此,无法提取关于“eBay同意就骚扰夫妇一案支付300万美元罚款”的新闻摘要。

10. Epistemic Learned Helplessness (2019) (slatestarcodex.com)

这篇文章探讨了“认知习得性无助”现象,即人们因无法可靠辨别论证真伪,从而选择拒绝接受任何看似合理但“异常”的观点。作者通过个人经历说明,即使是聪明人也容易被精心构建的论证说服——例如在伪历史学中,对立理论都能自圆其说,导致不断反转判断。最终,作者采取了一种“认知捷径”:不尝试自行评估论证,而是依赖权威共识(如专业考古学家),因为错误论证与正确论证听起来同样可信。

文章指出,普通人缺乏独立验证复杂论证的能力,因此采取防御性策略——拒绝接受任何“奇怪”的观点,这是一种合理的自我保护。相反,极端聪明或理性的人可能从未因轻信论证而“受伤”,因此缺乏这种警惕,有时会导致他们成为极端主义者(如恐怖分子),或陷入不可靠的理论。

以医学为例,医生倾向于忽略新研究,既因为研究质量参差不齐,也因为伪科学论证极具迷惑性。医学界通过严格的研究筛选机制提供了一种解决方案:不轻信任何未经反复验证的说法。

作者认为,认知习得性无助是一种有用的社会安全阀,虽然限制了思想开放性,但能保护大多数人免受误导。然而,那些未发展出这种无助的少数人(尽管可能更易误入歧途)也是推动社会质疑基本假设、实现进步的关键力量。

11. Ask HN: What is the current driver of tech layoffs?
12. Majority of debtors to US hospitals now people with health insurance (www.theguardian.com)

根据医疗账单分析师的数据,美国医院难以收回的“坏账”中,如今由拥有健康保险的患者所占的比例可能已达多数。这一变化与几年前的情况截然不同,当时有保险者的账单仅占医院视为“坏账”的十分之一左右。

关键数据与趋势

  • Kodiak Solutions公司的分析显示,2018年,医院坏账中仅有11.1%来自有保险但需自付费用的患者账户。而到2022年,这一比例飙升至57.6%
  • 转折点出现在2018-2019年左右,并在之后稳定在超过总坏账一半的水平。
  • 该分析基于Kodiak所掌握的全美超过1,800家医院的账单交易数据,约占全国医院总数的三分之一。

核心原因:高自付费用的复杂医保产品 分析师指出,这一趋势反映了带有高额自付费用(如高免赔额)的复杂健康保险产品的广泛普及。

  • 患者面临“天文数字”般的自付费用,其金额常相对于其收入而言难以承受。
  • 高免赔额健康计划自2003年合法化后,在雇主提供的保险中占比已稳定在约30%
  • 以奥巴马医改的个人保险计划为例,2024年允许设定的单人最高自付费用上限高达9,450美元(不含保费),预计到2030年将增长至14,100美元

广泛影响与连锁反应

  • 医疗债务影响深远:超过1亿美国人背负某种形式的医疗债务,迫使许多家庭做出艰难牺牲。
  • 为追讨债务,医院采取激进的催收措施,包括将债务转交给催收机构、通过法院扣押工资、在患者房产上设置留置权以及向信用机构报告债务,这严重影响了患者的未来就业和住房前景。

责任归属与潜在解决方案

  • 批评者认为,问题的根源在于保险公司设计的医保计划,迫使医院成为了债务催收方。“患者责任”的概念是支付方(保险公司)创造的。
  • 美国医院协会正在探讨多种解决方案,包括将医院完全从计费过程中移除,要求保险公司直接收取患者的分摊费用。
  • 然而,连业内人士也坦承,即使是专业人士也难以看懂复杂的医院账单。

对“坏账”定义的质疑

  • 医院通常将“坏账”定义为患者有能力支付但选择不支付的款项。然而,批评者指出,医院很少对患者的支付能力进行筛查。
  • 有大量证据表明,许多有医疗债务的患者实际上是低收入人群,如果他们申请,本应有资格获得折扣或免费医疗。
  • 债务减免组织RIP Medical Debt的经验表明,当他们用第三方收入数据比对时,发现大多数欠债患者实际上符合获得免费或折扣医疗的条件。
13. Executives at eBay sent live spiders and cockroaches to critical bloggers (www.bbc.com)
14. Engineer Used Water Pump to Get $1B Stuxnet Malware into Iranian Nuclear Plant (www.securityweek.com)

事件背景 Stuxnet恶意软件于2010年曝光,普遍被认为是美国和以色列为破坏伊朗核计划而开发,旨在通过感染工业控制系统(ICS)破坏伊朗核离心机。该软件具有蠕虫特性,曾感染数十万设备并对数百台机器造成物理损坏。

荷兰情报部门的角色 根据荷兰《人民报》历时两年的调查,荷兰情报与安全总局(AIVD)在美国和以色列的要求下,于2005年招募了一名在迪拜重型运输公司工作的36岁荷兰工程师埃里克·范·萨本(Erik van Sabben)。范·萨本具备技术背景,且在伊朗经商并娶了伊朗妻子,被认为适合执行任务。值得注意的是,荷兰政府似乎未被通报此次行动的全部细节。

恶意软件的植入方式 调查指出,范·萨本可能通过在伊朗纳坦兹核设施安装一台水泵来部署Stuxnet。一旦水泵接入系统,恶意软件便能在网络中传播。不过,此前有报道称Stuxnet是通过USB闪存盘植入的,目前尚不清楚实际采用的是哪种方式或是否两种方式均被使用。对此,曾深入分析Stuxnet的研究员拉尔夫·兰纳(Ralph Langner)指出“水泵无法携带Stuxnet副本”,对水泵作为载体表示质疑。

工程师的后续情况 范·萨本在Stuxnet攻击发生两周后于阿拉伯联合酋长国因摩托车事故去世。其家人表示,他在攻击发生前后似乎曾陷入恐慌。

行动成本与专家质疑 前中央情报局局长迈克尔·海登(Michael Hayden)曾向调查人员透露,Stuxnet的开发成本在10亿至20亿美元之间。然而,网络安全专家科斯丁·拉乌(Costin Raiu)和米科·许波宁(Mikko Hypponen)对此数字表示怀疑。此外,由于该信息仍属机密,海登未能确认Stuxnet是否确实通过水泵部署。

相关背景与影响 此前已有报道称荷兰情报部门招募了一名伊朗工程师来植入Stuxnet。该恶意软件的复杂性与破坏力使其成为网络战中的标志性事件,后续还出现了针对类似工业控制系统的新型漏洞和针对伊朗基础设施的疑似网络攻击事件。

15. A Technical Dive into PostgreSQL's replication mechanisms (airbyte.com)

PostgreSQL复制机制技术深入

PostgreSQL是一个开源的关系数据库管理系统,复制是确保数据高可用性、负载均衡和数据激活的关键机制。复制涉及将数据库对象(如表)复制到多个位置,可以是同步或异步,在字节、块或逻辑级别进行。

核心复制机制

Write-Ahead Log (WAL)

  • WAL是PostgreSQL复制的基础,它记录所有数据文件(如表、索引)的更改,确保更改在写入磁盘前先被日志记录。
  • WAL以追加方式存储,支持崩溃恢复、时间点恢复和I/O优化。
  • 每条WAL记录对应一个字节或块级别的更改,由日志序列号(LSN)标识。WAL文件存储在pg_wal目录中,默认最大为16MB。
  • 数据写入时,先保存到WAL缓冲区(由wal_buffers设置),缓冲区满后刷新到磁盘作为WAL段。

逻辑解码与CDC

  • 逻辑解码将WAL文件转换为可读的高级操作格式(如INSERT、UPDATE、DELETE),便于复制。
  • 例如,原始记录“文件B的字节A改为C”可解码为“表T的行R更新为值V”。
  • 解码后的逻辑更改记录可由发布者(publisher)发布给订阅者(subscriber)。WAL Sender进程将已提交的WAL段数据流式传输到订阅的备用服务器,实现变更数据捕获(CDC)。

复制槽(Replication Slots)

  • 复制槽是持久数据结构,用于跟踪复制进度,确保WAL数据不会过早删除或回收。
  • 每个订阅者有对应的复制槽,存储其最近接收的WAL记录的LSN。当复制槽活跃时,PostgreSQL会保留所有必要的WAL段,防止数据丢失。
  • 复制槽分为物理(用于物理复制)和逻辑(用于逻辑复制)两种。

物理复制 vs 逻辑复制

物理复制

  • 在字节级别复制主服务器的磁盘二进制数据,包括WAL。
  • 典型用于主-副本架构,支持流式复制,适合高可用性设置。

逻辑复制

  • 在事务级别复制逻辑更改记录(如INSERT、UPDATE、DELETE)。
  • 支持过滤特定表、行或列,比物理复制更灵活。
  • 适合将事务数据同步到数据湖或数据仓库。
  • 注意:逻辑复制不复制数据库模式(schema)和DDL命令,模式更改需手动同步;不一致会导致复制错误,建议先在订阅者应用添加性模式更改。

实现逻辑复制的方法

PostgreSQL服务器之间复制(主-副本模式)

  1. 配置主数据库
    • 编辑postgresql.conf,设置wal_levellogical,调整max_replication_slotsmax_wal_senders以适应副本数量。
    • 创建具有复制权限的用户角色:CREATE ROLE replicator WITH REPLICATION LOGIN PASSWORD 'password';
    • 编辑pg_hba.conf,允许复制角色从副本IP地址连接。
  2. 创建发布(Publication)
    • 在主数据库上:CREATE PUBLICATION my_publication FOR TABLE table1, table2;
  3. 创建订阅(Subscription)
    • 在每个备用服务器上:CREATE SUBSCRIPTION my_subscription CONNECTION 'host=master_ip dbname=db_name user=replicator password=password' PUBLICATION my_publication;
    • 可选:使用pg_dumppg_restore初始化备用数据库快照。
  • 此方法适合PostgreSQL间复制,但逻辑复制会引入复制延迟,不适合实时要求高的场景。

使用Airbyte复制到外部数据存储

  • Airbyte是开源数据移动工具,通过源和目标连接器构建EL管道。
  • PostgreSQL源连接器经过认证,性能良好,支持CDC。
  • 步骤
    1. 在PostgreSQL上创建复制槽、发布和复制身份。
    2. 通过Airbyte UI设置PostgreSQL源连接器和目标连接器(如BigQuery、Snowflake、Redshift)。
  • 详细指南可参考Airbyte文档。

Neon与Airbyte集成

  • Neon是无服务器PostgreSQL平台,支持云原生可扩展性(如自动扩展、计算存储分离)和数据库分支。
  • Neon支持逻辑复制,与Airbyte CDC解决方案完全兼容。
  • 结合Neon和Airbyte Cloud,可提供可扩展、可靠且低成本的OLTP和复制解决方案。

WAL配置建议

  • wal_compression:压缩WAL以减少空间使用,适用于同步间隔较长的情况,但会增加CPU开销。
  • max_wal_size:设置WAL在检查点之间的最大磁盘使用量,默认1GB;应足够大以确保平滑复制。
  • min_wal_size:设置WAL文件回收或删除的限制,默认80MB;调整以优化磁盘空间和性能。

相关资源

PostgreSQL通过其强大的复制机制和灵活的功能,支持多样化的用例,结合工具如Airbyte可扩展数据同步到分析环境。

16. Generating SVG for the prime knots (prideout.net)

文章讲述了如何基于高斯代码(Gauss Code)通过编程生成所有单分量、9个及以下交叉数的素扭结的SVG图表。作者的目标是从扭结的列表出发,程序化创建可缩放的矢量图,并最终将其以CC0协议公开。

主要流程:

  1. 数据准备: 从印第安纳大学的KnotInfo获取高斯代码,并依据Lou Kauffman的方法添加定向信息,生成增强版高斯代码的JSON文件。此时得到的是组合嵌入,包含每个顶点的顺时针邻接列表,但尚无坐标。
  2. 构建半边数据结构: 为了确定面,构建了半边数据结构。通过绕每个4度顶点遍历来发现各个面,结果保存在JSON文件中。
  3. 布局与绘图核心: 需要一种能生成美观、无交叉边、且结果唯一的平面布局方法。作者没有采用传统的力导向布局,而是使用了圆填充(Circle Packing)算法
    • 理论基础: 基于Koebe-Andreev-Thurston定理(任何球面三角剖分都有对应的圆填充),并采用Stephenson和Collins描述的算法。该算法将组合嵌入转换为圆填充,圆的相切关系精确对应图的连接关系。
    • 具体应用: 为了简化渲染,算法应用于组合嵌入的“元图”。原图中的每个面、顶点和边都成为元图中的一个顶点。由此产生三种类型的圆:面圆、交叉点圆和弧线圆。
  4. 生成SVG: 根据圆填充结果,使用贝塞尔曲线绘制扭结的投影,并处理渲染细节。

关键技术细节:

  • 外表面选择: 外表面的选择会影响图表美观。作者发现,选择边数较多的面作为外表面通常能获得较好效果,避免最外层圆过大导致交叉点不清晰。
  • 渲染交叉点: 为表现经典的“上下交叉”效果(即在交叉处使用缺口区分),作者没有简单地截断曲线,而是在下交叉线上方绘制白色“涂改线”来遮盖,实现更美观的视觉效果。
  • 线条粗细: 线条粗细随包围圆变化,因此不能直接使用SVG描边,而是将笔画转换为填充区域。这借助了Simon Cozens的bezier库中的偏移功能实现。
  • 输出格式: SVG是理想格式,具有绘制曲线能力强、可无损缩放、文件体积小等优点。图表也提供JPEG版本。

项目产出与资源:

  • 最终生成包含所有单分量9交叉及以下素扭结(及其镜像)以及部分10交叉扭结的图表。
  • SVG图表支持点击放大查看单个扭结。
  • 相关的JSON数据文件(增强高斯代码、半边数据结构)已公开。
  • 代码基于已有的库实现(如SAGE库中的定向算法、PADS库中的圆填充算法)。
  • 整个作品以CC0协议进入公有领域。
17. How virtualisation came to Apple Silicon Macs (eclecticlight.co)

虚拟化技术在苹果硅Mac上的发展

背景与开端

2020年6月苹果宣布首批苹果硅Mac前,业界曾推测苹果可能通过虚拟化层支持旧软件。随后,苹果明确虚拟化将成为支持多样化应用的三大支柱之一(与通用App和Rosetta 2并列),最初主要针对Linux和Docker等场景。

技术基础建设

  • Hypervisor支持:苹果早在2014年的OS X 10.10 Yosemite中就引入了虚拟化核心需求——Hypervisor的C API,支持用户空间虚拟化,无需内核扩展。
  • VirtIO扩展:2018-2019年,为苹果硅Mac准备的VirtIO相关内核扩展(如AppleVirtIO、AppleVirtualGraphics)开始出现,并随系统更新快速发展。
  • 虚拟化框架:macOS Big Sur引入了Virtualization和ParavirtualizedGraphics框架,并正式推出“虚拟化扩展”,基于Arm AArch64虚拟化架构,提供EL2 hypervisor级别支持,实现阶段二地址转换和异常捕获等高级功能。

关键进展与发布

  • 2021年:macOS Monterey首次公开支持在苹果硅Mac上进行轻量级的macOS和Linux虚拟化。
  • 2022年:macOS Ventura增加了virtiofs支持,实现了宿主机与虚拟机之间的文件夹共享。
  • 2023年:macOS Sonoma进一步增强了虚拟显示等功能,并引入了更多内核扩展(如AppleVirtIONeuralEngineDevice、AppleVideoToolboxParavirtualization)。

当前挑战与限制

尽管技术逐步成熟,仍存在一些待解决问题:

  • Apple ID支持:虚拟机内登录Apple ID的功能尚不可用。
  • 并发限制:苹果对任何Mac运行macOS虚拟机的数量限制为最多两个,即使硬件资源充足。
  • 嵌套虚拟化:尚不支持在虚拟机内再运行虚拟机。
  • 键盘布局:许多非美国地区用户无法在macOS虚拟机中使用ISO键盘布局。

总结

虚拟化技术在苹果硅Mac上经历了从底层API支持、内核扩展引入,到系统框架完善和公开始发支持的渐进过程。目前已在macOS和Linux虚拟化方面实现基本功能,但仍有功能限制和用户体验问题有待未来解决。

18. Tree.fm: Tune in to Forests Around the World (www.tree.fm)

Tree.fm:聆听全球森林之声

Tree.fm 是一个在线平台,允许用户收听来自世界各地的随机森林录音,旨在为用户提供一个通过自然声音放松身心、逃离日常压力的机会。该项目由全球各地的用户贡献森林录音,并与 Sounds of the Forestaporee 合作提供声音文件。

平台不仅关注个人放松体验,还倡导环境保护意识。它指出气候变化和政府决策正破坏全球森林,呼吁用户通过“赠送森林”或提交自己的录音等方式参与,以帮助保护和恢复森林资源,为子孙后代留下自然遗产。

  • 核心功能:随机播放全球森林环境音,供用户放松与沉浸。
  • 参与方式:鼓励用户提交个人录制的森林声音,或通过平台赠送森林礼物。
  • 合作与来源:声音文件来自合作项目,封面图像主要来自 unsplash.com(非实际对应森林)。
  • 平台延伸:Tree.fm 也是 “New Now → pro planet products” 的一部分,并通过社交媒体(Twitter, Instagram, Tiktok)保持互动。

(注:文章提及提交表单可能有技术故障。)

19. Changes we're making to Google Assistant (blog.google)

Google Assistant 功能调整概述

Google 宣布对 Google Assistant 进行一系列调整,旨在聚焦质量与可靠性,提升跨设备使用体验。这些变更主要基于七年来的用户反馈,目的是优化最受欢迎的功能,并投资于底层技术。

主要变更内容

1. 移除低使用率功能

  • 目的:专注于用户喜爱的体验,提升核心功能。
  • 措施:逐步停止支持一些使用率较低的功能。Google 提供了替代方案建议(如有)。
  • 时间:自 1月26日起,当用户尝试使用这些功能时,会收到即将停用的通知。

2. 调整 Google 应用内麦克风图标的行为

  • 现状:麦克风图标可直接触发 Assistant 完成操作(如“开灯”、“发消息”)。
  • 变更后:麦克风图标将主要用于语音搜索,返回搜索结果。这是其最主流的用途。
  • 影响范围:包括 Pixel 手机搜索栏中的麦克风,它将启动语音搜索而非 Assistant。
  • Assistant 激活方式:仍可通过以下方式正常使用:
    • 说“Hey Google”。
    • 在 Android 手机上长按 Home 键或电源键(特定型号)。
    • 在 iOS 上打开 Google Assistant 应用。

3. 应用版本更新提示

  • 目的:确保用户使用的是最新、最佳版本的 Google Assistant。
  • 措施:如果用户正在使用较旧的 Google 应用版本(v12 及更早版本),系统将提示其进行升级。

总结与用户反馈

Google 承认这些变更可能带来不便,并将努力确保平稳过渡。这些优化均由用户反馈驱动,并鼓励用户通过说“Hey Google, send feedback”来分享意见。

21. Show HN: Run Stable Diffusion Directly on iPhone (apps.apple.com)

本文呈现的是一个综合性的移动端应用推荐页面,内容以游戏应用为主,并涵盖了音乐、视频、工具等类别。其主要结构和内容可总结如下:

1. 核心内容与目的 该页面旨在向用户推荐各类移动应用,特别是游戏应用。它通过分类标签和编辑推荐的方式,引导用户发现和尝试新的应用。

2. 应用推荐分类 页面将应用推荐划分为多个板块,主要包括:

  • 游戏推荐:占据页面绝大部分篇幅,推荐了大量手机游戏。类型多样,涵盖:
    • MOBA/战术竞技:如《王者荣耀》、《和平精英》。
    • 开放世界/角色扮演:如《原神》、《崩坏:星穹铁道》、《逆水寒》。
    • 射击游戏:如《三角洲行动》、《暗区突围》。
    • 策略/卡牌:如《三国志·战略版》、《金铲铲之战》。
    • 休闲/派对游戏:如《蛋仔派对》、《开心消消乐》、《元梦之星》。
    • 独立游戏:如《迷失岛4》、《心灵渡船》、《无尽旅图》等,强调其艺术性与独特玩法。
    • 模拟/经营:如《梦幻西游》、《我的花园世界》。
  • 音乐与创作工具:推荐了多款用于音乐制作、DJ打碟的应用,如《Auxy Studio》、《Groovepad》、《edjing Mix》等。
  • 视频娱乐:推荐了包括《腾讯视频》、《爱奇艺》、《哔哩哔哩》、《芒果TV》在内的主流视频平台。
  • 其他工具与教育:涉及记账应用(如《阿柴记账》)、儿童教育应用(如《Dora:探索与玩耍》)以及健身应用(如《Active Arcade》)。

3. 推荐形式

  • 编辑精选:页面多次使用“编辑呈现”、“编辑挚爱”、“主打推荐”等标签,突出由编辑团队挑选的应用。
  • 专题聚合:如“我们喜爱的独立游戏”、“发挥你的节奏感”、“电影之夜”等,将同类应用汇集推荐。
  • 关联推荐:例如在推荐《王者荣耀》游戏时,会关联推荐《王者荣耀世界》这款新作。

4. 内容特征 页面内容完全是应用广告和推荐信息,不包含任何关于“在iPhone上运行Stable Diffusion”的技术性描述或讨论。其本质是一个移动应用商店的编辑推荐频道或营销页面,旨在促进各类应用的下载和使用。

22. Pixar to undergo 20% layoffs in 2024 (techcrunch.com)

Pixar 2024年裁员计划及背景分析

裁员规模与时间
据TechCrunch报道并经公司确认,皮克斯动画工作室(Pixar)计划于2024年进行裁员。内部消息显示裁员幅度可能高达20%,即从现有1300人的团队缩减至不足1000人,但皮克斯官方否认具体数字,称最终受影响人数将根据制作进度和未来影片的人员需求确定。裁员并非立即执行,而是随工作室减少内容产出逐步推进。

裁员关联背景

  • 流媒体业务调整:部分裁员涉及此前为迪士尼流媒体平台Disney+扩招的人员,该平台尚未实现盈利。迪士尼2023年第四季度流媒体亏损同比收窄(从15亿美元降至3.87亿美元),但持续亏损仍是挑战。
  • 迪士尼整体成本削减:迪士尼计划通过重组实现75亿美元成本节约,目标在2024年第四季度前使流媒体业务扭亏为盈。皮克斯作为迪士尼子公司,此次裁员属于集团成本管控的一部分。

皮克斯电影表现与市场挑战

  • 近年票房压力:皮克斯多部电影票房未达预期,如《光年正传》《青春变形记》等,仅《青春变形记》后续通过流媒体播放提升影响力。分析师指出,2017年《寻梦环游记》是其最后一部全球票房超5亿美元的原创作品。
  • 观众偏好变化:行业策略分析师Brandon Katz认为,皮克斯面临观众从“热衷知名IP”转向“续集疲劳”的挑战,且此前将《心灵奇旅》《夏日友晴天》等直接投放Disney+的做法,削弱了观众对影院上映的期待。
  • 预算压力:皮克斯单部影片预算常超2亿美元,而竞争对手如照明娱乐(7500万-1亿美元)和梦工厂(7000万-1.45亿美元)成本更低,高预算要求票房表现必须强劲。

未来计划与流媒体进展
皮克斯计划2024年推出《头脑特工队2》,2025年上映新片《埃利奥》。同时,Disney+将在美国整合Hulu内容,以增强流媒体竞争力。迪士尼高管近期展示跨平台广告技术,试图通过广告支持模式提升流媒体收益。

行业裁员先例
2023年初,皮克斯已裁员75人,包括《光年正传》相关高管及资深动画师,此为迪士尼裁员7000人、削减55亿美元成本计划的一部分。

总结
皮克斯裁员反映了迪士尼整体战略调整,核心在于应对流媒体亏损、控制制作成本,并适应观众行为变化。未来皮克斯将通过精简内容、调整发行策略及平衡原创与续集电影,以维持在动画市场的竞争力。

23. Carta's 83b Oversight: A Tax Trap for Married Startup Employees (2023) (www.khanna.law)

Carta 83(b) 选举功能缺陷:对已婚员工的税务风险

问题概述

Carta 平台在管理员工股票期权时,其 83(b) 选举功能存在一项关键合规缺陷,可能对已婚且居住在夫妻共同财产州(如加利福尼亚州、德克萨斯州、华盛顿州)的创业公司员工造成严重税务后果。

核心问题

  • IRS 规定:在夫妻共同财产州,已婚员工提交 83(b) 选举表格时,必须由配偶共同签署
  • Carta 的疏漏:平台允许员工在早期行权时进行 83(b) 选举,但未提供配偶签名途径,也未明确提示此要求,导致其功能不符合 IRS 规定。
  • 潜在后果:若未获配偶签名,IRS 可能宣告选举无效,员工未来可能面临意外的高额税负。

风险细节

  • Carta 未提供配偶签名的选项。
  • 未显著警告用户此合规要求。
  • 公司无法禁用该功能以避免风险。
  • 作为主流股权管理平台,此缺陷影响范围较大。

解决方案

  1. 手动提交 83(b) 表格
    • 从 IRS 官网下载表格填写。
    • 确保配偶签署。
    • 在早期行权后30 天内邮寄至 IRS。
  2. 咨询法律专业人士:确认是否受夫妻共同财产州规则影响。

总结

此缺陷使已婚员工面临税务风险,Carta 尚未修复。受影响员工应避免依赖平台功能,转而手动处理,并寻求法律建议以确保合规。

24. A vision for the alleviation of water scarcity in the US Southwest (caseyhandmer.wordpress.com)

缓解美国西南部水资源短缺的愿景

美国西南部面临严峻的水资源短缺危机。洛杉矶以东数小时车程的帝国谷(包括棕榈泉、高产农业区及索尔顿湖)与洛杉矶合计每年消耗超过500万英亩-英尺(MAF)的科罗拉多河水,而该河因气候变化流量持续下降。加州历来依赖其优先水权和区域影响力应对问题,但现代农业发展与人口增长已使水资源不堪重负。索尔顿湖因蒸发导致水位下降、盐度升高(已不适宜鱼类生存),引发严重的环境与公共健康问题(如粉尘导致的呼吸道疾病),成为加州的环境耻辱。

然而,廉价太阳能的普及为这一困境提供了突破性解决方案。作者提出,在尤马附近建造一座太阳能驱动的反渗透海水淡化厂,可从根本上缓解西南部水资源危机。该项目的核心构想如下:

系统设计

  • 厂址位于尤马西部沙漠,毗邻现有灌溉渠及科罗拉多河。
  • 通过两条管道取水:一条延伸至加利福尼亚湾获取海水(盐度约3%),另一条从索尔顿湖引水。
  • 反渗透淡化技术将原水分为两部分:淡水(用于供水)和浓缩卤水(盐度约6%)。

资源化利用

  • 淡水注入地区灌溉渠,既可调控索尔顿湖水位、实现湖水淡化,又能保障科罗拉多河下游供水(包括墨西哥用水)。
  • 浓缩卤水输送至卤水处理设施(可设于美墨两国),利用当地丰富的太阳能和地热能提取锂、钠、镁、氯化物等金属矿物。处理后的稀卤水返回海洋,经充分混合后排放,环境影响可控。

多重效益

  1. 供水保障:该系统年产能可达5 MAF淡水,相当于加州全部科罗拉多河配额,可部分供给洛杉矶市政用水(通过连接科罗拉多河输水道与科切拉运河)。
  2. 环境修复:稳定索尔顿湖水位,减少粉尘污染,逐步恢复其生态系统,有望发展为类似太浩湖的宜居景观。
  3. 经济收益
    • 水销售收入(按1000美元/英亩-英尺计算,年收入约50亿美元)。
    • 矿物提取收入(如镁的年产量可达1000万吨以上,价值超500亿美元;还可回收农业肥料中的磷等稀缺资源)。
    • 区域土地价值提升。
  4. 产业协同:支撑当地农业、矿产开发及城市发展,加强美墨合作。

技术可行性

  • 项目无需突破性新技术,仅需规模化应用成熟的太阳能光伏、反渗透淡化及卤水处理工艺。
  • 太阳能发电效率远超农业(每英亩土地的能源产出率高出100倍),使得在沙漠小面积建设太阳能电站即可支撑大规模淡水生产。
  • 近年来太阳能成本急剧下降(2023年全球新增装机约450吉瓦),已使淡化水成本不再受能源主导,进入“水资源丰裕时代”。

总结:加州应凭借其工业基础、环保意识及创新精神,推动该太阳能淡化项目,一举解决水资源短缺、修复索尔顿湖生态、促进产业发展并增强粮食安全,为西南部开辟可持续的未来。

25. 'Meditations' by Marcus Aurelius – Stoicism in Modern Language [video] (www.youtube.com)

视频摘要:马可·奥勒留《沉思录》- 用现代语言重新诠释斯多葛哲学

基本信息

  • 标题:Meditations by Marcus Aurelius - The Complete 12 Books on Stoicism in Today's Language
  • 频道:Legendary Lore
  • 订阅者:138K
  • 观看次数:1,601,180次
  • 点赞数:约39,766
  • 发布日期:2023年9月12日
  • 时长:约2小时
  • 视频ID:f3hLZCuh8yM

内容概述

该视频是马可·奥勒留《沉思录》全部12卷的现代化语言重制版音频朗读。《沉思录》原为罗马皇帝马可·奥勒留的个人哲学日记,记录了他遵循斯多葛原则进行的自我反思和哲学思考,并非面向公众的作品。尽管其作为私人日记的性质使内容存在重复性,但其中蕴含的智慧在今天仍具有深远意义,为应对生活挑战、通过理性保持内心平静以及追求有德行的生活提供了永恒的建议。

章节时间戳

时间 章节内容
0:00 引言与背景设定
1:31 第一卷:感恩与反思
8:06 第二卷:指导原则
14:40 第三卷:欣赏生命与自然的细微之处
22:04 第四卷:寻找内心宁静
34:17 第五卷:日常生活指南
45:20 第六卷:探索宇宙
57:23 第七卷:相互关联的现实
1:09:39 第八卷:找到真正的道路
1:21:00 第九卷:在复杂世界中真实地生活
1:30:04 第十卷:在存在中寻找平衡
1:39:37 第十一卷:发现真实的自我
1:49:32 第十二卷:拥抱当下
1:55:47 结语

视频描述

该视频深入探索古罗马最伟大皇帝之一马可·奥勒留的思想,用现代化的语言重新诠释其哲学著作《沉思录》。这一版本保留了原著真实、诚实和深思的本质,同时使文本更易理解,在古代智慧与当代生活之间架起了桥梁。视频可作为了解古罗马和斯多葛哲学的历史视角,也可作为应对现代生活复杂性的冥想指南。

相关标签

#MarcusAurelius #Meditations #StoicPhilosophy #AncientWisdomModernized #Stoicism #Audiobook

推荐视频(相关)

该页面还展示了多个相关推荐视频,涵盖斯多葛主义、马可·奥勒留思想、卡尔·荣格心理哲学等主题,包括:

  • Massimo Pigliucci 的斯多葛人生课程
  • Daily Stoic 频道的《沉思录》阅读指南
  • 马基雅维利《君主论》完整朗读
  • 斯多葛自律与清晰思维指南
27. Did a 1997 merger ruin Boeing? (finshots.in)

1997年合并是否毁了波音?

核心观点

波音在1997年与麦道公司(McDonnell Douglas)合并后,企业文化发生根本性转变,从工程与质量导向转向成本与股东价值优先,这一转变被认为是导致其后续一系列安全事故与质量问题的根源。

合并前后的文化冲突

  • 合并前:波音被称为“工程师的公司”,决策权在工程师手中,安全与质量是首要原则,成本控制并非核心目标。
  • 合并后:麦道的文化主导了新公司。麦道前CEO成为波音CEO,公司重心转向股东价值、成本节约与外包,管理层总部从西雅图(工程所在地)迁至芝加哥。技术图纸产出速度翻倍,工程严谨性下降。

关键转折与后果

  • 2018年危机:面对空客A320neo的竞争压力,波音选择在现有737基础上进行低成本改造(737 Max项目,仅投入25亿美元,而非研发新飞机的200亿美元),以加快交付速度、避免飞行员重新培训。但这一过程中质量与安全被忽视
  • 致命事故:2018年两起737 Max坠机事故导致数百人死亡,暴露了设计缺陷与安全文化缺失。
  • 持续问题:近年来波音多款飞机出现松动螺栓、零部件安装错误等制造缺陷,2024年1月阿拉斯加航空737 Max 9舱门脱落事件再次引发全球审查。

当前影响与未来挑战

  • 737 Max是波音最畅销机型,其订单占公司未交付订单的76%,但公众信任已严重受损。
  • 系统性质量问题(如生产线松动螺栓、错误钻孔)表明制造流程管控不足。
  • 波音面临重建安全声誉与恢复行业信心的长期挑战。

结论

文章认为,1997年合并带来的文化转变——从工程卓越转向财务优先——是波音衰落的结构性根源。短期成本削减与速度压力最终以安全和质量为代价,导致持续的技术事故与品牌危机。

28. Keycloak open redirect: wildcard redirect URIs can be exploited to steal tokens (securityblog.omegapoint.se)

Keycloak开放重定向漏洞分析 (CVE-2023-6927)

漏洞概述

该文章详细分析了CVE-2023-6927漏洞,该漏洞允许攻击者创建恶意的Keycloak授权请求URL,绕过重定向URI验证。攻击者可借此窃取受害者的授权代码或访问令牌,具体影响取决于客户端配置。

影响范围

漏洞影响所有配置了以通配符*结尾的重定向URI的OAuth 2.0客户端,存在于Keycloak 23.0.4之前的版本中。

OAuth 2.0背景

  • 浏览器应用推荐使用授权码流程+PKCE(Proof-Key for Code Exchange)。
  • 旧式的隐式授权流程(response_type=token)已被弃用。
  • 流程依赖基于浏览器的重定向来完成认证,redirect_uri参数用于身份验证后的回调。
  • 规范(RFC6749)要求必须对重定向URI进行简单字符串比较,且重定向URI必须是绝对URI
  • 若重定向URI验证被破坏,攻击者可构造恶意授权请求,将受害者的令牌或授权码发送到攻击者控制的站点。

Keycloak的重定向URI机制

  • Keycloak允许在客户端的重定向URI中使用通配符*,且只能用于URI末尾
  • 对于含通配符的URI,Keycloak不采用严格字符串比较,而是检查请求中的redirect_uri是否以配置的URI(去掉*)为前缀

漏洞利用与绕过技术

  1. 初始利用(CVE-2023-6291)

    • Keycloak在验证前会对redirect_uri进行多次URL解码。
    • 攻击者可利用HTTP基本认证格式(https://username:password@example.com),将原始的重定向URI(URL编码后)作为用户名,构造如http://localhost%253a8080%252fadmin%252fmaster%252fconsole%252f:@example.com的URI。
    • URL解码后,主机名仍是localhost,路径符合前缀要求,但浏览器最终会请求example.com
  2. 绕过第一个补丁(CVE-2023-6134 & CVE-2023-6927)

    • 补丁CVE-2023-6291移除了HTTP基本认证信息。
    • 攻击者转而使用response_mode=form_post,此时重定向URI写入HTML的action属性,可使用HTML实体编码@符号(@)来构造action属性,绕过基本认证信息的移除。
    • 后续补丁CVE-2023-6134对form_post模式下的输出进行了正确的HTML转义(如将&转为&)。
  3. 最终绕过(CVE-2023-6927)

    • 补丁仅修复了response_mode=form_post,但未涵盖其他模式。
    • Keycloak支持JWT安全授权响应模式(JARM),如form_post.jwt
    • 攻击者可使用response_mode=form_post.jwt,利用相同的HTML实体编码技术绕过补丁,将授权代码或令牌发送至攻击者服务器。

证明与影响

  • 漏洞在Firefox和Chrome中均可复现。Firefox会警告基本认证凭据,而Chrome不会。
  • 若客户端为公共客户端(未启用客户端认证),攻击者可直接用窃取的授权代码换取访问令牌。

时间线

  • 2023-11-30:向Keycloak提交初始漏洞报告。
  • 2023-12-05:Keycloak确认收到,但因与CVE-2023-6134和CVE-2023-6291重复而被搁置。
  • 2023-12-15:Keycloak 23.0.3发布,包含对上述两个CVE的补丁。
  • 2023-12-18:提交关于form_post.jwt响应模式的新漏洞报告,同日被接受并分配CVE-2023-6927。
  • 2024-01-08:Keycloak 23.0.4发布,包含针对此漏洞的补丁。

总结与建议

  • OAuth 2.0重定向URI中使用通配符*可能引入严重安全风险。
  • 强烈建议在实施OAuth 2.0认证时,对重定向URI采用严格的字符串匹配,避免使用通配符。
  • 即使此漏洞已修补,错误配置的重定向URI模式(如https://example.com*缺少尾部斜杠)仍可能被攻击者利用(例如注册example.com.attacker-domain.com子域名来绕过限制)。
29. Smart binoculars can identify 9k birds (www.digitalcameraworld.com)

施华洛世奇(Swarovski)推出了全球首款AI智能双筒望远镜——AX Visio 10x32,标志着高端观测设备进入新阶段。该产品结合了高性能模拟光学与数字智能技术,经过五年研发,由知名工业设计师马克·纽森(Marc Newson)操刀设计。

核心功能

  • 通过一键操作,可实时识别超过9000种鸟类及其他野生动物。
  • 内置摄像头支持拍摄照片和视频,并通过配套的“Swarovski Optik Outdoor App”即时管理、分享至智能手机。
  • App内置“分享发现”功能,用户可通过显示箭头标记引导他人定位观测对象。

技术特点

  • 由390个硬件部件构成,光学组件与机身符合施华洛世奇的可持续发展标准。
  • 数字功能通过App进行系统和软件更新持续优化,并开放编程接口供外部开发者扩展新功能。
  • 设计注重现代外观、直观操作及人体工学握持体验。

上市信息

  • 产品将于2024年2月上市,售价为4799美元/3820英镑。

该产品旨在革新自然观测体验,通过AI技术简化生物识别流程,促进野生动物观察的普及与互动。

30. Autophage rocket engine consumes plastic fuselage for fuel (www.theengineer.co.uk)

自噬火箭发动机:利用塑料机身作为燃料

自噬发动机在燃烧过程中利用废热,依次熔化自身的塑料机身,并将熔融塑料输送至燃烧室,与常规液体推进剂一同燃烧。该概念于1938年首次提出并获得专利,但直到2018年格拉斯哥大学与乌克兰第聂伯国立大学的合作研究,才首次实现受控点火。目前,在金斯顿大学的支持下,团队已证明可采用更高能的液体推进剂,且塑料机身能在不弯曲变形的情况下承受输送所需的力。

本周在佛罗里达州奥兰多举行的国际AIAA SciTech论坛上,团队展示了其研究成果。论文中描述了对“衔尾蛇-3”自噬发动机的测试:在一系列受控实验中产生了100牛顿推力。该发动机使用高密度聚乙烯塑料管作为自噬燃料源,与气氧和液丙烷混合物一同燃烧。测试表明,“衔尾蛇-3”能在自噬阶段保持稳定燃烧,塑料机身提供了高达五分之一的总推进剂。

测试还证实燃烧过程可控,展示了发动机的节流、重启和脉冲开关功能。项目负责人、格拉斯哥大学詹姆斯·瓦特工程学院的帕特里克·哈克尼斯教授表示:“这些成果是开发全功能自噬火箭发动机的基础步骤。未来火箭可具备广泛应用前景,助力英国发展成为航天产业的关键参与者。传统火箭结构质量占总质量的5%至12%,而测试显示‘衔尾蛇-3’可燃烧相似比例的自身结构质量作为推进剂。若能将部分质量转为有效载荷,将对火箭设计产生重要影响。”

在英国航天局及科学与技术设施委员会的新资金支持下,团队将继续推进自噬发动机的研发。

31. Fly through your shell history (github.com)

McFly:智能Shell历史搜索引擎

McFly 是一个用于 shell 历史记录的智能搜索工具,旨在替换默认的 ctrl-r 功能。它通过实时神经网络对历史命令进行优先级排序,提供更相关的建议,主要基于当前工作目录和最近命令上下文。

主要特性

  • 智能搜索:重新绑定 ctrl-r,启动全屏反向历史搜索,使用小型神经网络实时优化排序。
  • 增强历史记录:在 SQLite 数据库中记录命令的退出状态、时间戳和执行目录,同时保持标准 shell 历史文件兼容性。
  • 广泛支持:兼容 Zsh、Bash(3+)和 PowerShell(7+),支持 Unicode 字符和通配符 %(匹配任意字符)。
  • 快速安全:使用 Rust 编写,性能高且内存安全。
  • 可扩展设计:未来计划支持更多 shell 类型。

优先级排序机制

McFly 的核心是智能命令建议,排序因素包括:

  • 命令执行的目录(用户倾向于在相同目录重复运行命令)。
  • 命令执行前的上下文。
  • 命令的执行频率和最后运行时间。
  • 用户是否在 McFly 中选择过该命令。
  • 历史退出状态(避免建议失败命令)。

安装与配置

McFly 提供多种安装方式,覆盖 macOS、Linux 和 Windows:

  • 包管理器:支持 Homebrew、MacPorts、WinGet(Windows)。
  • 脚本安装:使用 curl 脚本或手动从 GitHub 下载二进制文件。
  • 源码编译:需安装 Rust 1.40+,从源码构建。
  • Zinit 集成:适用于 Zsh 用户。

配置通过环境变量或配置文件(如 ~/.mcfly)设置:

  • 界面定制:亮色/暗色模式、键绑定方案(默认 Emacs 或 Vim)、提示符自定义。
  • 搜索优化:模糊搜索(设置 MCFLY_FUZZY)、结果数量限制(默认 30)、排序方式(按排名或最后运行时间)。
  • 操作调整:无确认删除、禁用菜单界面、界面视图(顶部或底部)。
  • 存储与性能:数据库位置因系统而异;可设置 MCFLY_HISTORY_LIMIT 限制搜索记录数以优化启动速度。

其他功能与注意事项

  • 历史导出:使用 mcfly dump 命令将历史记录导出为 JSON 或 CSV,支持时间范围和正则表达式过滤。
  • 兼容性:在 iTerm2 中需关闭特定选项以避免界面问题;不解析 HISTTIMEFORMAT
  • 未来计划:可能添加命令选项自动补全、命令嵌入学习等改进。
  • 开发维护:作者寻求共同维护者;欢迎贡献,但避免过度复杂的 PR。

McFly 通过智能排序提升 shell 使用效率,适合频繁使用命令行的用户。

32. Coral Dev Board Micro (coral.ai)

Coral Dev Board Micro 是一个面向边缘计算领域的开发平台,主要包含以下内容:

面向软件开发者
该平台支持将智能模型部署到边缘设备。开发者可以使用基于标准的 MLIR 编译器工具链和模拟器,无缝地将 PyTorch、JAX 或 LiteRT 模型迁移到各种设备上。

面向硬件开发者
平台旨在支持下一代边缘设备的开发。通过灵活的参考设计和开源、基于 RISC-V 的架构,帮助开发者将高性能、超低功耗的 AI 能力集成到定制芯片中。

平台更新
提供关于 Coral 平台的最新动态和信息。

合作伙伴
Coral 生态系统正在不断扩展,拥有众多合作伙伴,共同协助用户将产品推向市场。

33. Attack of the Week: Airdrop Tracing (blog.cryptographyengineering.com)

文章标题: AirDrop追踪攻击事件

核心概述:
近期有报道称中国安全机构利用已知的AirDrop协议漏洞,通过彩虹表技术成功追踪AirDrop发送者,引发技术及政治层面的关注。该漏洞实则早于2019年由德国达姆施塔特技术大学研究人员发现,并通过逆向工程揭示AirDrop隐私缺陷,论文于2021年公开发表。此次事件之所以成为焦点,在于其被实际应用于识别“未授权”AirDrop传输内容的发送者,可能压制AirDrop在中国及香港的抗争材料传播用途。

技术细节:

  1. AirDrop协议机制

    • AirDrop允许苹果设备通过蓝牙和Wi-Fi点对点传输文件。
    • 接收方可选“仅限联系人”或“所有人”模式。在“仅限联系人”模式下,发送方需验证身份(通过Apple ID、电话号码或邮箱)。
    • 验证过程本应采用安全的私有集合交集(PSI)协议,但苹果未采用标准PSI,而使用SHA-256哈希截断方案:发送方将自身标识符(如邮箱、电话)哈希后发送,接收方比对联系人列表哈希以确认是否匹配。
  2. 漏洞根源

    • 哈希函数虽具单向性,但若标识符可枚举(如全球电话号码有限),攻击者可预先计算哈希值生成彩虹表,通过查询表反推原始标识符。
    • 苹果协议未引入盐值(salt)等随机化机制,加剧了字典攻击和彩虹表攻击的风险。
  3. 影响与利用

    • 中国机构宣称利用彩虹表技术破解哈希,从而追踪发送者身份。
    • 该漏洞已存在多年,苹果早在2019年已收到报告但未彻底修复。

背景与政治维度

  • AirDrop曾是香港和中国2019-2022年抗议活动中传播材料的关键渠道。
  • 苹果于2022年通过软件更新限制AirDrop“所有人”模式自动切换为“仅限联系人”,被批评为迎合监管需求。
  • 漏洞修复面临双重挑战:
    • 技术层面:PSI协议计算开销较大,可能影响设备电池和网络性能。
    • 政治层面:修复可能被视为对抗中国监管,威胁苹果在华商业利益。

可能的解决方案

  • 用户可临时关闭AirDrop或使用高随机性Apple ID,但非根本之策。
  • 长期技术修复需采用安全PSI协议(如研究人员提出的PrivateDrop方案),但苹果需权衡技术成本与政治风险。

结论
此次事件凸显了加密协议设计中的权衡难题,以及科技公司在隐私保护与地缘政治压力间的困境。尽管技术解决方案已存在,但苹果是否会实质性修复AirDrop仍取决于政治与商业考量。

34. Inner Speech (plato.stanford.edu)

内部言语:摘要

1. 内部言语是否等同于实际言语?

  • 实际言语观:认为内部言语是一种真正的、沉默的言语行为。支持者包括Carruthers、Vygotsky等。该观点需解释内部言语如何在具有想象性质的同时成为真正的语言标记。
  • 反驳:内部言语的听觉感官特性通常被认为是听觉-言语表象,因此可能是言语的表征而非言语本身。
  • 支持论证
    1. 发展证据:内部言语可能源自儿童的外部自我中心言语的内化。
    2. 现象学证据:我们在内部似乎可以执行言语行为(如断言、提问),这预设了它是一种言语。
    3. 功能与结构平行:内部言语与外部言语在目的(如专注、自我激励)和构造方式上存在系统性相似。
    4. 与想象言语的对比:内部言语与“想象说话”有区别,类似演员在舞台上的表演(表征性言语)与日常交谈(实际言语)的区别。

2. 内部言语与思想的关系

三种主要观点并非互斥:

  • 表达思想:内部言语表达(而非构成)独立存在的思想。这与“思想语言”假说或Levelt的语言产生模型相容。
  • 促进思想:内部言语在多种认知过程中起工具性作用:
    • 工作记忆:通过语音环路(复述)保持信息。
    • 引导注意力:作为一种自我导向的工具。
    • 执行功能:辅助计划、任务切换等。
    • 推理:在复杂推理中,对内部言语的解读可能是推理过程不可或缺的部分。
    • 抽象思维:为抽象概念提供“支架”。
    • 信息整合:由于语言的组合性,有助于整合不同心智模块的输出。
  • 作为思想的一部分:一些理论认为至少某些内部言语事件就是思想或思想过程的一部分。例如:
    • Frankish认为内部言语在决策过程中是关键组成部分。
    • Munroe认为当伴随“正确感”时,内部言语事件可以起到判断的作用。
    • Kompa认为任何在语义和句法上结构化的、并实质参与了言语产生系统的事件,都属于内部言语。

3. 内部言语的内容理论

探讨内部言语事件表征什么

  • 语音内容观:内部言语仅表征音素或音子(语音属性)。其依据包括:内部言语的听觉现象学、可用于判断押韵、有助于识别语言。Jackendoff认为意识体验仅由语音结构构成,意义是无意识的。
  • 语义内容观:内部言语仅具有语义内容(意义)。
    • Gauker认为内部言语是发生在大脑中的、非感觉的、具有语义内容的语言事件,伴随的听觉表象是对其的(有时是错误的)表征。
    • Bermúdez认为内部言语的听觉现象学是非表征性的,其唯一表征内容是意义。
  • 混合内容观:内部言语同时具有语音和语义内容。
    • 单状态观:单一心理状态绑定音义信息(如Carruthers的“事件文件”理论)。
    • 多状态观:内部言语由多个共现的不同心理状态(分别表征语义、句法、语音等)构成(如Martínez-Manrique & Vicente的“活动观”)。

4. 内部言语的语用学

  • 言语行为:争论内部言语事件能否是真正的言语行为。分析可能依赖于不同的言语行为理论(如基于惯例还是基于心理状态表达)。另有争论认为内部言语事件通常根本不是行动,因此不能是言语行为。
  • 会话:内部言语是否涉及一种内部的“对话”。有观点认为是大脑不同部分之间或与自己的交流。Grice的合作原则在内部语境下面临挑战。内部言语可以呈现类似对话的结构(如不同观点交替出现),有时甚至包含他人的声音。

5. 内部言语、元认知与自我认知

  • 元认知取向:内部言语由于其语言结构或与公共语言的联系,特别适合帮助我们认知自己的命题性思想。它使得原本非模态、无法内省的思想变得可意识(如Bermúdez, Clark, Jackendoff, Prinz)。
  • 推论主义取向:我们通过“倾听”或“推断”自己的内部言语来获知自己在想什么。例如:
    • Carruthers认为内部言语为我们无意识的思想状态提供了间接、可错的证据。
    • Byrne提出了“THINK”规则:如果内心声音谈论X,则相信自己正在思考X。
  • 批评:推论主义观点被批评为使我们与自己的思想距离过远,并面临语义不确定性等挑战。批评者提出了替代方案,如“实践知识”或强调表达的直接性。

6. 幻听、插入思想与内部言语

  • 幻听与内部言语:幻听体验可能与异常的内部言语产生有关,但其感知性强的特征又使其类似外部言语感知。神经成像显示幻听时语言产生和感知区域均被激活。
  • 解释模型
    • 内容解释:患者因内部言语的内容无法被纳入连贯的自我叙事而将其排斥为“异己”。
    • 比较器/预测编码模型:大脑在产生内部言语时生成感觉预测,并与实际感觉反馈比较。当预测与反馈不匹配时,便会产生失控感。该模型受到批评,尤其是在解释缺乏感觉特征的“插入思想”时面临困难。研究持续探索这些现象的最佳表征方式及其与内部言语的关系。
35. ESP32-C61: Delivering Affordable Wi-Fi 6 Connectivity (www.espressif.com)

ESP32-C61: 提供经济实惠的Wi-Fi 6连接

概述

ESP32-C61是Espressif Systems推出的新一代Wi-Fi 6 + 蓝牙5 (LE) 系统级芯片(SoC),旨在响应物联网设备对Wi-Fi 6技术的需求。该芯片优化了外设、改进了连接性并增加了内存选项,延续了ESP32-C2和ESP32-C3的成功。

无线连接

  • Wi-Fi 6支持:针对物联网设备优化,支持802.11ax模式(20MHz带宽)和802.11b/g/n模式(20/40MHz带宽)。关键特性包括OFDMA、MU-MIMO(提供可靠低延迟连接)和Target-Wake-Time(实现超低功耗应用)。
  • 蓝牙5 (LE):支持通过广播扩展和编码PHY进行长距离操作,以及2 Mbps高吞吐量PHY。此外,还支持BLE-Mesh 1.1协议。

系统和内存

  • CPU:单核32位RISC-V微控制器,主频高达160 MHz。
  • 内存:320KB片上SRAM、256KB ROM,并支持Quad SPI闪存。特别引入Quad SPI PSRAM支持(高达120MHz),方便开发者无需担心内存优化,同时增强未来升级能力。

安全

  • 核心安全特性:包括安全启动、闪存和PSRAM加密、加密加速器。
  • 硬件安全:ECDSA数字签名外设保护私钥免受软件访问。
  • 可信执行环境(TEE):通过访问权限管理(APM)硬件块和物理内存保护(PMP)提供灵活的应用安全管理。

优化的外设

  • 标准外设:I2C、I2S、SPI、UART、LED-PWM、ADC、计时器、DMA等。
  • 特殊外设
    • 事件任务矩阵:用于自动化触发任务。
    • 零交叉比较器:简化零交叉检测。

开发支持

  • 开发框架:通过成熟的ESP-IDF物联网开发框架支持,便于熟悉平台的开发者使用。
  • Matter支持:ESP-Matter SDK可用于创建基于ESP32-C61的Matter启用产品。
  • 通信协处理器选项:提供ESP-Hosted和ESP-AT固件,支持将ESP32-C61作为外部主机的通信协处理器。

总结

ESP32-C61结合了Wi-Fi 6、蓝牙5 (LE)、增强的安全性和灵活的内存选项,为物联网应用提供经济高效的解决方案,并支持广泛开发工具以加速产品部署。

36. Smalltalk simplicity and consistency vs. other languages (2022) [video] (www.youtube.com)

这篇内容是一个YouTube视频页面的HTML源代码,其中包含了关于视频《Smalltalk simplicity and consistency vs. other languages (2022)》的详细信息。

视频核心信息:

  • 标题: Smalltalk simplicity and consistency vs. other languages (2022)
  • 演讲者: Hernán Wilkinson
  • 频道: FAST - Fundación Argentina de Smalltalk
  • 发布日期: 2022年12月15日
  • 观看次数: 5,602次
  • 点赞数: 112
  • 时长: 约28分钟(根据自动生成的章节推断)

视频内容概述: 视频探讨了Smalltalk编程语言的独特设计哲学——简洁性与一致性,并将其与其他编程语言进行对比。

  • 主旨: 演讲旨在展示Smalltalk的一些使其区别于其他语言的特质,目的是为了凸显Smalltalk设计的优美,而非贬低其他语言。
  • 主要内容: 演讲会通过与其他语言的比较,来说明Smalltalk设计的简洁和一致之处。
  • 视频结构(自动生成章节):
    1. Introduction(引言)
    2. Programming languages(编程语言)
    3. Syntax(语法)
    4. Implementation(实现)
    5. Variables(变量)
    6. Objects(对象)

频道与上下文: 该视频来自FAST - Fundación Argentina de Smalltalk(阿根廷Smalltalk基金会)频道,该频道拥有923位订阅者。视频标签为 #Smalltalks2022,表明这是2022年Smalltalks活动的一部分。页面推荐的相关视频也多与Smalltalk及其他编程语言(如Elixir、Rust)的讲座、历史介绍等相关。

37. Bare Bones Software – BBEdit 15 is here (www.barebones.com)

升级信息

  • BBEdit 14 客户:若许可证购买于2023年7月1日或之后,可免费升级至BBEdit 15。
  • 付费升级:BBEdit 14客户(2023年7月1日前购买)需支付29.99美元;BBEdit 13.5.7或更早版本客户需支付39.99美元。

主要新功能

  • Minimap:新增Minimap面板,提供活动文本文档的高级概览,便于可视化文档结构和快速导航。
  • 可展开“Cheat Sheets”:基于Find窗口中的Grep Cheat Sheet概念,用户可创建自定义参考 sheets,用于文本标记和编辑;内置Markdown语法和BBEdit片段占位符的示例。
  • AI聊天工作表:将BBEdit的“工作表”界面与ChatGPT、Claude和Ollama集成,支持在BBEdit内直接对话,无需切换应用或复制粘贴;每个聊天工作表保留历史记录,并提供扩展机制以支持其他OpenAI API兼容服务(需相应服务的账户和API密钥)。
  • 项目工作区和设置改进:项目文档引入“工作区根目录”概念,自动选择正确目录用于版本控制操作,并改进语言服务器协议(LSP)服务器的行为和完成准确性;网站设置更易在项目窗口中访问,提升效率。
  • Text Factories新界面:重新设计Text Factory功能,所有变换操作列表化便于访问,组装步骤简化;新增“Run Unix Command”操作,将Unix命令直接存储在工厂中以提高可移植性。

其他更新

  • BBEdit 15包含近200项添加、更改和改进,完整详情请参阅官方更新笔记。
38. Ask HN: How can I make local dev with containers hurt less?
39. Wi-Fi 7 took off while everyone was looking at AI (www.theverge.com)

Wi-Fi 7:AI光环下的悄然崛起

在CES 2024展会上,当所有目光聚焦于人工智能(AI)时,一项关键的无线网络技术——Wi-Fi 7——正悄然搭载于众多新款笔记本电脑上,尤其是游戏本中,成为一项重要的升级。

核心技术优势:多链路操作(MLO)

Wi-Fi 7的显著优势之一是其多链路操作(MLO) 功能。该技术允许设备同时利用多个频段(如5GHz和6GHz)与路由器建立连接并智能分配数据流。这意味着,当某一频段拥堵时,设备可自动切换到另一频段,从而显著降低网络延迟。这对于无法使用有线网络且追求稳定、低延迟连接的竞技游戏玩家而言至关重要。

笔记本电脑:从高端到平价,普及进行时

众多厂商在CES上推出了搭载Wi-Fi 7的笔记本,标志着该技术开始进入主流消费市场。

  • 已上市的高端型号(一月发货):

    • Razer Blade 16 (16英寸):起售价 3,000美元
    • MSI Titan 18 HX A14V (18英寸):起售价 5,000美元(目前预售的顶配版本高达9,099美元)。
  • 即将上市的型号(三月及以后):

    • Lenovo Legion 7i:售价 2,099美元,计划三月发布。
    • HP Omen Transcend:售价 1,499.99美元,提供了更亲民的选择。
    • Dell Alienware:旗下两款游戏本获得了Wi-Fi 7支持。
    • Dell XPS:XPS 13和XPS 16也搭载了Wi-Fi 7。
  • 意外缺席者:Asus ROG 值得注意的是,游戏硬件巨头华硕(Asus) 在其发布的新款ROG(包括Zephyrus系列)游戏本中,规格表上均未列出Wi-Fi 7支持。这颇为令人意外,因为华硕曾是最早推出Wi-Fi 7路由器的公司之一。

Wi-Fi 7路由器:道路已铺好,但选择有限且昂贵

尽管Wi-Fi 7路由器在2023年已陆续上市(如Netgear和ROG推出的型号),为新技术的普及铺平了“道路”,但本届CES上发布的新增路由器型号并不多。Acer宣布了一款游戏路由器,MSI则推出了一款网状系统。总体而言,当前市场上的Wi-Fi 7路由器选择仍然较少且价格偏高,消费者在购买时需谨慎考虑。

总结

尽管AI主导了CES 2024的叙事,但Wi-Fi 7作为底层技术升级,已通过新款笔记本电脑——尤其是游戏本——正式登上舞台。其通过MLO技术降低延迟的特性,为移动游戏和高性能网络应用带来了实质性改善。随着Wi-Fi联盟完成标准认证,搭载Wi-Fi 7的“汽车”(笔记本电脑)已开始上路,与已铺设的“道路”(路由器)共同推动无线网络体验的代际提升。目前,该技术仍主要定位高端市场,但正逐渐向更广泛的消费群体渗透。

40. Asus Zenbook Duo 2024 (www.asus.com)

华硕 Zenbook Duo 2024 是一款革命性的双屏笔记本电脑,以其创新的设计和强大的功能为核心,旨在重新定义移动办公的生产力和多任务处理能力。

核心设计与显示

  • 双屏配置:配备两块14英寸、3K分辨率、120Hz刷新率的 ASUS Lumina OLED 触控屏,可组合提供高达19.8英寸的显示面积。
  • 灵活形态:采用可拆卸的全尺寸 ErgoSense 磁吸键盘(带触控板)和内置支架,支持笔记本、桌面、分享等多种使用模式。
  • 便携性:在提供双屏体验的同时,注重移动便携性。

性能与硬件

  • 强大内核:搭载最高至 AI 驱动的英特尔® 酷睿™ Ultra 9 处理器,内置专用 NPU 以支持 AI 计算,并集成 Intel Arc 显卡。
  • 存储与内存:最高配备 32GB LPDDR5x 内存和 2TB PCIe 4.0 SSD。
  • 连接与接口:支持 Wi-Fi 7蓝牙5.4,提供两个雷电4(支持充电和视频输出)、一个USB-A、HDMI 2.1及音频接口。
  • 散热技术:采用先进散热系统,确保 CPU 和 GPU 能在最高35W的功耗下稳定运行,不降频。

软件与交互体验

  • 智能手势控制:提供类似智能手机的直觉化手势操作,如六指下滑呼出工具栏、三指点击唤出虚拟触控板、五指外滑最大化窗口等。
  • 专用软件:配合智能软件,优化双屏工作流程。

续航与电池

  • 大容量电池:内置75Wh大容量电池,支持长效续航(官方数据:单屏视频播放约18.5小时,双屏约10小时)。
  • 快速充电:支持快充技术,49分钟可将电量充至60%。电池采用环保设计,寿命较前代提升约20%。

其他特性

  • 优质显示:屏幕具备高亮度(500尼特)、91%屏占比、专业色准、HDR及低蓝光认证。
  • 智能会议:配备 ASUS AI 摄像头和 AI 降噪技术。
  • 安全隐私:具有摄像头隐私开关和快速面部登录功能。
  • 耐用品质:通过美国军用标准 MIL-STD 810H 测试,确保可靠耐用。
  • 环境承诺:华硕在产品设计中注重环境、社会及治理(ESG)的可持续发展。
42. En Route: A Magazine About Trains in Japan [pdf] (www.tokyoweekender.com)

访问《En Route》杂志内容时遇到的安全验证页面

您提供的内容并非《En Route》杂志本身的实际内容,而是尝试访问其在线PDF文件时,由网站安全系统(Cloudflare)生成的验证页面。

核心信息

  1. 目标文件:页面尝试访问一个名为En_Route_2023.pdf的文件,该文件位于www.tokyoweekender.com网站上。
  2. 页面性质:这是一个 安全验证页面,其目的是在允许用户访问最终资源(PDF文件)之前,验证请求是否来自真实用户而非自动化程序。
  3. 技术实现
    • 页面通过JavaScript加载一个Cloudflare的挑战脚本,以完成验证。
    • 页面设置了严格的内容安全策略,限制脚本、样式等资源的来源,以增强安全性。
    • 包含一段复杂的、由Cloudflare生成的加密令牌和配置参数,用于执行验证流程。
  4. 用户交互:页面通常需要用户等待几秒钟或完成一个简单的人机验证(如点击),通过后才会自动跳转到目标PDF文件。如果浏览器禁用了JavaScript或Cookie,则会显示错误提示:“Enable JavaScript and cookies to continue”(启用JavaScript和Cookie以继续)。

总结

您所提供的内容是一个技术性的中间页面,而非《En Route》杂志的实质性内容(如文章、图片)。要访问该杂志的实际内容,通常需要正常通过此安全验证。

43. Recovering a dm-crypt Encryption Key with drgn (drgn.readthedocs.io)

摘要:使用drgn恢复dm-crypt加密密钥

概述

本文介绍了如何利用drgn工具从Linux内核的dm-crypt子系统中恢复主加密密钥,即使在密码丢失但设备仍处于打开状态的情况下。dm-crypt是内核的透明磁盘加密机制,密钥通常存储在内核空间,用户空间无法直接访问。drgn允许开发者遍历内核数据结构,从而提取敏感信息。

安全警告

  • 主密钥高度敏感,不应随意暴露。
  • 使用drgn调试需要root权限,root本身已具备多种访问敏感信息的方式(如加载内核模块或触发核心转储)。
  • 可采用内核锁定(kernel_lockdown)或内联加密等方案增强安全性。

实验设置

作者在运行Linux 6.7的虚拟机中配置dm-crypt:

  • 使用cryptsetup创建加密设备,默认采用AES-XTS-plain64算法和512位密钥。
  • 加密设备映射到/dev/dm-0

恢复步骤

1. 从设备映射器到加密API

  • 定位设备:通过drgn的for_each_disk()disk_name()辅助函数找到虚拟磁盘dm-0
  • 遍历结构
    • 磁盘的私有数据指向mapped_device结构。
    • 通过设备映射器表(dm_table)找到目标(dm_target)。
    • 目标的类型映射函数为crypt_map,指向dm-crypt配置(crypt_config)。
  • 获取配置crypt_config中包含加密API的上下文(cipher_tfm)。

2. 下探加密API

  • 加密API结构:Linux内核加密API使用运行时多态性,通过转换对象(transformations)嵌套实现。
  • 逐层解析
    • crypt_config中的tfm(转换对象)开始,通过退出回调函数和getter函数逐层解包。
    • 使用crypto_skcipher_alg()crypto_skcipher_ctx()等函数访问底层实现。
    • 考虑AES-NI扩展和异步守护进程,解析simd_skciphercryptd_skcipher包装层。
  • 提取密钥
    • 最终找到xts_aesni_setkey函数,它将XTS密钥分为两部分:数据密钥和调整密钥。
    • 通过aes_xts_ctx()函数获取aesni_xts_ctx结构,其中包含crypt_ctxtweak_ctx,存储密钥材料。
    • 在drgn中模拟地址对齐逻辑,直接读取密钥值。

结论

  • 作者展示了如何利用drgn探索设备映射器和加密API的内核内部机制,即使对这些子系统不熟悉也能成功。
  • 不同系统配置(如加密算法或硬件支持)会影响加密API的数据结构表示。
  • 相关脚本已贡献到drgn的contrib目录,未来可扩展支持更多密码算法。

关键功能总结

  • drgn工具:用于动态遍历内核数据结构,支持内核探索和调试。
  • dm-crypt恢复流程:从设备映射器目标到加密API上下文,逐层提取密钥。
  • 安全机制:依赖内核权限和对齐处理,但密钥恢复凸显了内核调试的风险。

本文通过具体案例演示了内核子系统的逆向分析,强调了drgn在安全研究和故障排除中的实用性。

44. Decompilation of Paper Mario for N64 (papermar.io)

《纸片马力欧》N64版反编译项目公告:

  • 项目完成:已实现美国版、PAL版及iQue版100%反编译。
  • 版本覆盖:涵盖游戏所有主要地区发行版本。
  • 团队致谢:项目团队衷心感谢所有贡献者与支持者的努力。
45. The Wolfram Prompt Repository (2023) (writings.stephenwolfram.com)

Wolfram Prompt Repository (2023) 摘要

Wolfram Prompt Repository 是一个策展的公共提示集合,旨在为“LLM编程”提供构建块。提示是引导大语言模型执行特定任务的关键,在本质上是对LLM的“能力工程化”。

核心概念与集成

  • 提示的类别:初始提示主要分为三类:
    • 角色提示:让LLM扮演特定角色(如 @Yoda)。
    • 函数提示:对输入文本进行转换或操作(如 SummarizeActiveVoiceRephrase)。
    • 修饰符提示:以特定形式修改或格式化LLM的输出(如 YesNoHaikuStyled)。
  • 技术集成:该功能将内置于 Wolfram Language 13.3 版本,当前版本可通过安装 Wolfram/ChatbookWolfram/LLMFunctions 扩展使用。使用需配置OpenAI或其他LLM的API密钥。
  • 访问方式:提示可在Chat Notebooks中通过 @!# 等符号直接交互调用,也可在编程中通过 LLMPromptLLMResourceFunction 等函数使用。

技术架构与特性

  • 基于资源系统:提示以 ResourceObject 的形式存在于Wolfram资源系统中,与函数库、数据仓库等共享基础设施,支持缓存、更新和文档访问。
  • 高级功能:提示不仅是文本字符串,还可以是符号模板,支持:
    • 参数化:使用模板槽位。
    • 输出解释器:将LLM的原始文本输出转换为可计算的符号表达式。
    • LLM工具配置:定义LLM可调用的Wolfram Language工具 (LLMTool)。
    • LLM配置:如模型选择、温度等参数。
  • 价值:存储经过“提示工程”优化过的复杂提示,比每次使用时临时描述更可靠、高效,且支持版本迭代和共享。

仓库内容与提交

  • 现状:当前约有两百个提示,涵盖从娱乐(各种人设)到实用(文本转换、分析、格式化)的多种类别。
  • 自定义与提交:用户可通过填写Prompt Resource Definition Notebook 来创建和定义自己的提示。提交后可选择:
    • Submit to Repository:提交至官方仓库进行策展。
    • Deploy:私有部署或与特定对象共享。
  • 命名约定:遵循驼峰命名法,并根据类型使用不同语法形式(人设用名词短语,函数用动词短语,修饰符用过去分词形式)。

意义与展望 该仓库旨在构建一个“提示语言”的社区,通过共享和复用经过工程化的提示模块,更可靠、高效地引导LLM完成特定任务。随着发展,预计将形成提示的层级结构,甚至可能催生出不依赖LLM的直接计算实现。

46. We removed advertising cookies, here's what happened (blog.sentry.io)

文章摘要

Sentry于2023年7月移除了其网站上所有的广告Cookie及用户追踪,本文分享了这一决策的动机、带来的影响、遇到的挑战及应对策略。

移除动机与背景

  • 尊重隐私与用户需求:Sentry的核心用户是开发者,他们普遍注重隐私。移除Cookie符合公司“默认隐私”的价值观,并能取消令人厌烦的Cookie横幅。
  • 行业趋势:谷歌计划在2025年完全淘汰第三方Cookie,提前行动可以避免被动适应,并投入精力探索新的隐私友好型营销方法。
  • 现有数据可靠性下降:各种隐私法规(如GDPR/CCPA)和用户对追踪的拒绝,已使基于Cookie的追踪数据变得模糊和不可靠。

主要挑战与影响

移除所有追踪导致了一系列预期及未预期的问题:

  • 营销技术栈失效:归因模型、分析报告(如Google Analytics)、SEO报告、谷歌广告智能出价、再营销等功能严重受损或完全失效。
  • 具体技术问题:包括YouTube嵌入使用Cookie、谷歌广告的GCLID传递中断、机器人检测工具失效、Lookalike模型无法使用等。
  • 营销效果短期下滑
    • 定向能力减弱:依赖购买意向信号的展示、YouTube等广告系列定向变得模糊。
    • 竞价成本上升:谷歌搜索广告的单次点击成本(CPC)约上升30%。
    • 归因困难:不得不放弃首次触达/多触点归因,转向末次点击模型,且丢失了大量数据。

解决方案与适应策略

Sentry采取了一系列调整措施来应对挑战:

  • 广告定向
    • 用“互动再营销”取代传统再营销,针对中、下层营销漏斗(MOF/BOF)内容进行定向。
    • 将部分展示广告预算转向赞助商和特定发布商,以触及核心受众。
    • 更侧重于内容营销和品牌建设。
  • 广告竞价
    • 谷歌搜索:回归使用“增强型CPC”和“最大化点击”等更基础的竞价策略,更依赖否定关键词和区域数据进行人工优化。
    • YouTube:转向按千次可见展示付费(CPM)和按视频观看付费(CPV)策略,反而使视频观看量增长了13倍,品牌提及率也显著提升。
    • 展示广告:采用可见展示付费(CPM),虽CPM减半、展示量增加,但转化率下降,因此更侧重于品牌曝光。
  • 追踪、归因与报告
    • 技术迁移:建立新的底层数据表,并简化归因模型。
    • 数据回收:成功恢复了约50%的归因数据,足以进行方向性判断。
    • 引入自报告归因:通过“您是如何听说我们的?”调查问卷,发现了新的渠道洞察,弥补了数据缺失。
    • 工具更换:从Google Analytics切换至更注重隐私的Plausible分析工具。
  • 技术采购
    • 在评估新工具时,会严格审查其隐私合规性、是否依赖追踪脚本、Cookie使用情况以及数据共享政策。

总结与建议

尽管过程充满挑战,但Sentry基于其隐私价值观,认为此举是值得的。文章对考虑转向无Cookie营销的企业提出建议:

  • 可以做到:完全无Cookie的效果营销是可行的,但需要跨职能团队(业务分析、网站、法务、领导层)的紧密协作与对齐。
  • 会带来创造力:迫使企业重新构思定向、竞价、追踪和采购的方式。
  • 即时可行的建议
    1. 在转化流程中增加自报告归因调查。
    2. 采用转化API、哈希回传、离线上传等隐私友好型方案来训练广告算法。
    3. 开始测试和探索那些归因不那么直接、但更适合品牌建设的渠道。

最终,即使访客没有其他感受,他们至少少了一个需要关闭的Cookie横幅,这对整个网络而言也是一种胜利。

48. Mysticism and Empiricism (asteriskmag.com)

文章讨论了迷幻药疗法中主观体验(特别是神秘体验)与治疗效果之间的核心科学争议。关键内容总结如下:

1. 历史起源与测量工具

  • 1962年耶稣受难日实验:首次通过对照研究证明,迷幻药(裸盖菇素)能引发与宗教神秘体验无法区分的主观体验。该实验由Walter Pahnke设计。
  • 神秘体验问卷的诞生:为量化此类体验,Pahnke基于哲学家W.T. Stace的理论,开发了包含九个维度的问卷,后发展为广泛使用的神秘体验问卷。后续因子分析将其简化为一个核心的“神秘”因素,即询问体验者是否“遇见了神”或体验到“万物合一”。

2. 核心科学争议:主观体验是否为治疗关键?

  • “主观派”观点:大量临床研究表明,迷幻药对抑郁症、成瘾等疾病的持久疗效,与患者在治疗中经历的神秘体验强度显著相关。体验的“质量”(如无时间感、与万物合一、深刻认知感)被认为是预测和实现长期康复的关键。
  • “神经生物学派”观点:另一些研究认为,治疗效果主要源于迷幻药(通过血清素2A受体)诱导的神经可塑性增强——即大脑修复神经元损伤、形成新连接的能力。主观体验可能只是药物作用的附带现象,并非疗效必需。已有公司致力于研发能促进神经可塑性但不引发主观幻觉的化合物。

3. 解决争议的实验方向

  • 记忆消除实验:计划通过麻醉剂或遗忘药物,在服用迷幻药后完全消除患者对主观体验的记忆,以检验若无体验记忆,疗效是否依然持续。
  • 非致幻性化合物的临床试验:测试那些只增强神经可塑性而不引发幻觉的分子,看其疗效是否等同于传统迷幻药。

4. 总结与现状

  • 目前证据既支持主观体验的重要性,也支持神经机制的作用,两者可能共同贡献于疗效。
  • 若未来非致幻性化合物被证明同样有效,将引发关于首选治疗方案的伦理和医学讨论:是优先考虑能带来深刻人生意义的体验,还是选择更便捷、可及性更高且无心理风险的治疗?
  • 文章指出,理解迷幻药的确切机制虽然重要,但无论机制如何,其临床疗效本身已得到确证。测量主观体验的量表虽不完美,但仍是当前科学研究和治疗评估中的重要工具。
49. Ask HN: Are tech layoffs happening abroad?