2024-02-21

32 篇热帖

1. Insecure vehicles should be banned, not security tools like the Flipper Zero (saveflipper.ca)

文章主要内容是许多网络安全与技术专业人士联名致信加拿大政府,反对拟议中禁止Flipper Zero等设备的政策。他们认为该政策基于对技术的误解,不仅无法有效解决汽车盗窃问题,反而会产生多重负面后果。

核心反对理由:

  1. 技术理解错误与实施不可行:Flipper Zero等工具本质上是软件定义无线电,该技术已存在多年,且广泛应用于智能家居、无人机、手机网络及工业控制系统中。禁止此类技术几乎不可能实现,并可能严重抑制加拿大经济。
  2. 削弱国家安全与阻碍安全研究:该政策错误地将安全工具视为敌人,而忽略了不安全产品才是根本问题。这类工具是安全研究人员发现产品漏洞的关键,有助于推动制造商提升产品安全性。禁止它们会刑事化安全研究,产生寒蝉效应,最终导致产品安全性下降。
  3. 与现有立法冲突:加拿大刚通过的《维修权法案》(C-244)和《互操作性法案》(C-294)旨在保障用户维修和分析设备的权利。全面禁止此类工具将与这些新法律精神相悖,损害合法用途。
  4. 司法资源浪费:政策的模糊性和广泛性将导致大量诉讼,浪费司法资源。这些资源更应用于促进网络安全专家、汽车制造商、保险公司和司法系统之间的合作,共同制定并强制推行无钥匙启动系统等的安全标准。

建议的替代方案:

信函倡导应将重点从禁止工具转向提升产品本质安全,并建立行业与专家间的协作机制,从而从根本上预防车辆盗窃犯罪。

联名签署情况:

该信函获得了大量来自网络安全、科技行业及学术界专业人士的联署,包括首席信息安全官、安全研究人员、软件工程师、企业高管等,显示出业界对该政策的普遍反对意见。

2. Gemma: New Open Models (blog.google)

Gemma 是谷歌推出的新一代开放模型系列,基于 Gemini 模型相同的研究和技术构建。它由谷歌 DeepMind 和其他团队共同开发,旨在支持开发者与研究人员负责任地构建人工智能。

核心信息

  • 模型规模:提供 Gemma 2B 和 Gemma 7B 两种尺寸,每种均有预训练和指令调优变体。
  • 设计原则:以谷歌 AI 原则为核心,通过自动化技术过滤敏感数据,并结合人类反馈强化学习(RLHF)确保安全性。
  • 性能表现:作为轻量级模型,在关键基准测试中超越了许多规模更大的开源模型,同时保持高标准的输出安全与可靠性。

开发者支持

  • 工具链:支持 JAX、PyTorch 和 TensorFlow(通过 Keras 3.0)等主流框架,并提供推理与监督微调(SFT)工具。
  • 资源:发布可立即使用的 Colab 和 Kaggle 笔记本,并集成 Hugging Face、NVIDIA NeMo 等工具。
  • 硬件优化:在 NVIDIA GPU 和谷歌 Cloud TPU 上实现优化,确保行业领先性能。
  • 部署:可在笔记本、台式机、物联网设备、移动设备及云端运行,支持 Vertex AI 和 Google Kubernetes Engine 等平台。

负责任 AI 工具包

  • 包含安全分类、调试工具及基于谷歌经验的最佳实践指南,帮助构建安全的 AI 应用。

可用性与许可

  • 模型权重全球开放,允许各类组织在遵守责任条款的前提下进行商业使用和分发。
  • 通过 Kaggle、Colab 免费层及谷歌云积分(新用户 300 美元,研究人员最高可申请 50 万美元集体额度)支持开发。

未来方向

  • 谷歌将持续扩展 Gemma 模型家族,推出针对不同应用的变体,并举办相关活动促进社区交流与创新。
3. Keep your phone number private with Signal usernames (signal.org)

Signal最新推出用户名功能,旨在进一步保护用户隐私,核心更新包括:

  • 默认隐藏手机号:你的手机号将默认不再对所有Signal聊天对象可见,仅对你手机通讯录中已存你号码的联系人显示。
  • 使用用户名替代手机号:用户可以创建唯一用户名(需以至少两位数字结尾)作为联系方式,无需分享手机号即可建立连接。用户名非公开显示,不作为社交身份标识。
  • 控制手机号查找权限:新增隐私设置,可选择允许所有人、或仅限知道你用户名的人通过手机号在Signal上找到你,甚至完全禁止通过手机号查找。

操作路径

  • 设置手机号隐私:设置 > 隐私 > 电话号码
  • 创建/管理用户名:设置 > 个人资料
  • 生成连接二维码/链接:个人资料 > 二维码或链接

技术细节

  • 用户名采用定制化加密算法处理,Signal无法轻易获取或生成用户名。
  • 用户名可随时更改或删除,变更不会通知联系人。
  • 此功能目前处于测试阶段,将在数周内全面推出。为确保隐私设置生效,聊天双方均需使用最新版Signal应用。

所有功能均为可选,用户可根据需求自由配置隐私保护程度。

4. iMessage with PQ3 Cryptographic Protocol (security.apple.com)

iMessage PQ3 后量子密码协议总结

核心概述与目标

iMessage 推出 PQ3,一项重大的密码安全升级,旨在防御未来量子计算机的攻击。PQ3 被认为是首个达到 “Level 3 安全级别” 的大规模消息协议,其保护措施超越了所有其他广泛部署的消息应用。

背景与威胁

  • 历史升级:iMessage 自2011年起默认提供端到端加密,并持续升级密码学(如2019年从RSA切换至椭圆曲线密码学,使用Secure Enclave保护密钥)。
  • 量子威胁:现有经典公钥算法(如RSA、ECC)可能被未来足够强大的量子计算机破解。
  • “现在收割,以后解密”攻击:攻击者可先大量收集当前加密数据,等待未来量子计算机出现后解密。因此,需要后量子密码学(PQC) 来防护。

安全等级定义与PQ3的定位

文章将消息应用安全分为几个等级:

  • Level 0/1:无端到端加密或仅使用经典加密,无后量子安全。
  • Level 2(如Signal的PQXDH协议):仅在初始密钥建立时使用后量子密码。若会话密钥后续被泄露,仍存在风险。
  • Level 3(PQ3目标):在初始密钥建立和持续的消息交换中均使用后量子密码,并具备快速自动修复密钥泄露的能力,最大限度限制单次泄露的影响。

PQ3协议设计要求与关键技术实现

1. 设计目标

  • 端到端后量子保护:从对话开始就提供保护。
  • 缓解密钥泄露影响:限制单次密钥泄露可解密的消息数量。
  • 混合设计:结合新后量子算法与经典椭圆曲线算法,确保安全性不低于现有协议。
  • 控制消息大小:优化以避免过度增加网络开销。
  • 形式化验证:通过数学证明确认协议安全性。

2. 初始密钥建立

  • 每个设备向Apple服务器注册两个公钥:一个Kyber-1024后量子封装公钥和一个经典P-256椭圆曲线公钥
  • 发送方首次发送消息时,即使接收方离线,也能利用这两个公钥生成后量子加密密钥。
  • 采用混合设计:结合椭圆曲线迪菲-赫尔曼密钥交换和Kyber密钥封装生成初始会话密钥,攻击者必须同时攻破两种算法才能破解。

3. 后量子棘轮机制(核心创新)

为实现持续的安全和后泄露安全,PQ3结合了三个“棘轮”:

  • 对称棘轮:为每条消息生成唯一加密密钥,提供前向保密(保护过去消息)。
  • ECDH棘轮:定期引入新的椭圆曲线密钥材料,提供经典后泄露安全(即使过去密钥泄露,未来消息仍安全)。
  • Kyber KEM棘轮(关键):定期引入新的后量子密钥材料,提供后量子后泄露安全。为控制开销(后量子密钥尺寸较大),该棘轮条件性执行(约每50条消息或至少每7天触发一次,而非每条消息)。

4. 其他技术细节

  • 消息加密:使用Padmé启发式算法进行填充以隐藏消息长度信息,然后用AES-CTR进行对称加密。
  • 消息认证:每条消息使用设备Secure Enclave内的ECDSA P-256私钥签名,提供强认证和防篡改。
  • 后向兼容:未来可通过软件更新提高后量子棘轮频率,且向后兼容。

安全验证与评估

  • 形式化验证:协议经过严格的形式化数学验证。
  • 独立审计:由苏黎世联邦理工学院(使用Tamarin工具)和滑铁卢大学的密码学专家团队进行了独立分析,证明了协议在经典和量子攻击者面前的保密性。
  • 代码审查:领先的第三方安全咨询公司对PQ3源代码进行了独立评估,未发现安全问题。

结论与意义

PQ3代表了iMessage密码安全的重大飞跃。它通过结合后量子初始密钥建立三个持续棘轮机制(特别是用于自我修复的后量子棘轮),并辅以最成熟的密钥透明系统(Contact Key Verification),定义了当前对抗“现在收割,以后解密”攻击和未来量子计算机的全球最先进消息保护标准。

8. Planner programming blows my mind (www.hillelwayne.com)

Picat语言中的规划器编程概览

语言概述

Picat是一种研究性编程语言,旨在结合逻辑编程命令式编程约束求解。其规划器(planner)模块允许程序定义初始状态动作函数终止条件,从而通过内置的best_plan等函数自动寻找达到目标状态的最优动作序列,无需手动编写搜索算法。

核心概念演示

文章通过一个网格寻路问题逐步展示规划器的用法:

  1. 基础实现:定义网格上的起点和目标点,规划器自动找到从起点到目标的最短路径(每个移动成本为1)。
  2. 添加障碍:通过在动作函数中增加约束条件,可让规划器绕过特定坐标。
  3. 多目标支持:将目标设为一个列表,规划器需按顺序到达所有目标点。通过添加一个“标记”动作,在到达目标后将其从目标列表中移除。
  4. 成本最小化与目标顺序:修改“标记”动作,允许规划器在经过目标点时即刻“拾取”它,而无需按固定顺序,从而找到访问所有目标点的总最短路径。

规划器关键要素

要使用规划器,需提供:

  • 起始状态:包含所有必要信息的初始数据结构。
  • 动作函数:定义状态转换。每个动作有当前状态、下一状态、动作名称和成本。通过回溯(?=>定义)支持多种可能动作。
  • 终止函数:判断当前状态是否为最终状态。

进阶功能与集成

  • 成本控制与变体:可使用best_plan设置成本上限(Limit),或使用best_plan_nondet获取所有最优计划。
  • 约束集成:规划器可与Picat的约束求解模块(cp)无缝结合。文章展示了如何解决NP完全的集合划分问题:通过规划器迭代移除数字,同时利用约束求解器在剩余数字中寻找等和划分。
  • 序列约束sequence函数可用于限制动作的时序顺序。

适用场景与评价

作者认为Picat在解决特定计算问题(尤其是涉及搜索、规划与约束的复合问题)上非常强大优雅。但作为研究语言,其文档和错误提示不够完善,不建议用于生产环境。它更适合作为工具箱语言,用于快速原型设计或解决单次性的复杂问题。此外,文章简要提及了规划领域其他相关语言(如GOAP、PDDL)的背景。

9. Stop postponing things by embracing the mess (www.deprocrastination.co)

文章标题:停止拖延,拥抱混乱

摘要

本文探讨了人们因期待“完美的明天”而陷入拖延的普遍心理,并提出了通过改变心态、拥抱现实混乱来打破拖延循环的实用方法。

核心问题:对“明天”的过度简化与期待 我们的大脑倾向于将未来简化,认为明天会有更多时间、更容易改变、更高效。然而,当“明天”成为“今天”,现实往往是混乱的(如意外、疲惫、打断)。当今天与想象中的“完美生产力日”不符时,我们会自我批评,并将每一个不完美作为分心和拖延的借口。这种心态使我们变得脆弱,因为生活中几乎每天都有计划外的状况。

心态转变:接受并拥抱混乱 解决方案是接受完美时刻永远不会到来,放弃“等待最佳状态”的幻想。应认识到任何不完美都是常态,并练习“重置”:无论遇到睡过头、会议取消还是例行安排被打断,都快速调整心态,利用当下已有的条件(哪怕只有30分钟)立即开始行动。这种态度能将原本可能浪费的时间转化为有效的产出,从而减少内疚感,提升成就感。

具体行动原则:

  1. 不要执着于完美流程:理想的晨间或晚间流程可能成为束缚。应灵活对待,接受有时无法按计划进行。
  2. 不要将工作妖魔化或扩大化:避免将任务视为必须连续数小时完成的庞大工程。将其分解为15-30分钟的小任务块,并在不同时间和状态下完成,这会使工作显得更易管理。
  3. 接受注意力的波动:工作时注意力水平自然起伏,起始专注度较低是正常的。关键是不要在注意力分散时彻底放弃(如玩手机),而是稍作停顿后继续。
  4. 将生产力视为一个连续范围:摒弃“要么100%高效,要么0%高效”的极端思维。设定一个可实现的下限目标(如今天至少达到50%的生产力),完成即为成功,这有助于积累正向反馈。
  5. 追求“不完美的正确行动”:不存在完美的开始方式。拖延往往源于对“完美起步”以保护自尊的追求。实际上,人类成就是不断试错的积累。任何不完美的行动都优于为了追求完美而停滞不前。行动本身有助于澄清任务并巩固投入的决心。

总结 日常生活本质上是复杂且不完美的。改变拖延的关键在于调整期望:不要期待流程完美、注意力时刻集中、起步方式无懈可击。转而接受混乱,利用现有条件,立即采取不完美的行动。

10. Kagi Sidekick (alpha) (sidekick.kagi.com)

Kagi Sidekick (alpha) 摘要

Kagi Sidekick 是一个处于测试阶段的服务,旨在为个人或文档网站快速集成具有 Kagi 智能功能和 AI 能力的搜索。

核心功能与集成

  • 简化集成:仅需数行代码即可为网站添加高级搜索功能。
  • 技术处理:由 Kagi 负责处理索引、嵌入、向量搜索以及与页面内容的 AI 聊天等复杂技术问题。
  • 轻量级方案:通过其提供的轻量级 Web Components(约 20kB min+gzip)或针对 Docusaurus、Hugo、VitePress 的插件进行集成。
  • 参考示例:Kagi 在其官方文档网站 help.kagi.com 提供了演示。

服务定位与特点

  • 免费与付费模式
    • 对小型/个人网站提供免费服务。
    • 对商业网站提供定价合理的搜索方案。
  • 附加价值:网站在选择加入(opt-in)后,将自动被索引并显示在 Kagi 搜索结果中。
  • 当前状态:处于需求评估阶段,用户可注册表达兴趣,并在产品正式发布时收到通知。反馈可在专门的讨论区提交。

获取更新

可通过关注 KagiHQ 官方社交媒体或加入其 Discord 社区获取最新动态和进行讨论。

14. LED Matrix Earrings (mitxela.com)

本文详细介绍了“LED矩阵耳环”的完整制作过程,这是一个利用微小0201尺寸LED灯珠制作发光耳环的硬件项目。

项目目标与挑战:项目初衷是将尽可能多的0201 LED置于耳钉大小的平面上。核心挑战在于将电路板面积缩小至原设计的九分之一(从3mm间距缩至1mm),并消除边界,这对布线提出了极高要求。

电路板设计与制造:为降低成本,作者未采用昂贵的HDI板,而是创新性地自制了“电路板三明治”:将两块双层板通过外围焊接垫对齐并压合,实现类似盲孔/埋孔的四层结构。主显示区域为9毫米直径圆内排列的52颗0201 LED(8x8矩阵去角)。工艺上,通过钢网印刷焊膏,并首次尝试使用贴片机放置0201元件。尽管贴片机超出其标称精度,但经过校准后成功完成放置,仅需手动微调个别歪斜元件。

功能实现与调试:电路与固件基于之前的CH32V003徽章设计。主要难题是功耗过高导致电池电压下降触发复位。解决方案包括:降低芯片时钟频率至1.5MHz、添加并联去耦电容(22μF和0.1μF)、将显示占空比降至约0.25%,最终将总电流降至8mA左右,使微型电池得以支撑。

成品与应用:最终成品成功安装于市售耳钉的金属部件上。项目包括一对耳环的制作,并进行了实际佩戴展示。所有技术细节、电路设计及源代码均与作者之前的LED徽章项目相同并已开源。

更新:后续还完成了一颗损坏LED的更换维修。

15. Launch HN: Retell AI (YC W24) – Conversational Speech API for Your LLM
16. Valve Makes All Steam Audio SDK Source Code Available Under Apache 2.0 License (www.phoronix.com)
17. Things I don't know about AI (blog.eladgil.com)

文章讨论了AI领域存在的诸多不确定性,作者从LLM市场结构、模型发展、基础设施和应用层等多个层面提出了开放性问题。

LLM市场结构:寡头化与开源影响 前沿大模型市场可能趋向寡头垄断,因训练成本极高,资金主要依赖云厂商(如微软对OpenAI、亚马逊/谷歌对Anthropic的投资)和主权国家。云厂商出于自身云业务收入增长(如Azure因AI收入增长)有持续投资的动力,这可能挤压新进入者。开源模型(如Meta的Llama)通过条款(如用户数限制)控制商业化,并可能改变AI基础设施的经济分配,将价值从基础模型公司转向云和推理提供商。

模型发展:性能、成本与架构权衡 模型存在不同取舍:追求极致性能(如超大上下文窗口的Gemini)与追求快速、低成本推理(如Mistral的小模型)。未来架构(如智能体模型)可能影响大语言模型的前景。各国政府可能支持本地AI公司以反映本土价值观,形成区域性市场(如中国的模型由大厂支持并走向开源)。

AI基础设施与云:市场分化与整合 AI云市场对初创公司(需要便捷工具和GPU)和企业(重视安全、合规、与现有云服务整合)需求不同。当前GPU短缺加速了新AI云提供商的采用,但GPU供应正常化后市场将面临调整。该领域公司众多,受反垄断监管影响,并购困难,未来可能走向“Snowflake模式”或“Cloudflare模式”的分化,并探讨服务整合方向。

应用层:即将到来的创新浪潮 ChatGPT引爆AI后,核心技术人员已率先创业。随着更多产品、设计师和PM意识到AI重要性,下一波应用创新(企业B2B应用、消费级应用、智能体)可能即将涌现。消费级AI应用当前较少,可能需要新的构建者加入。

18. Court blocks $1B copyright ruling that punished ISP for its users' piracy (arstechnica.com)

核心事件: 美国联邦上诉法院推翻了此前针对互联网服务提供商(ISP)Cox Communications的10亿美元版权侵权赔偿判决,但维持了其“帮助侵权”的认定,并下令就赔偿金额进行重新审理。

判决详情与关键理由:

  1. 推翻“替代责任”与高额赔偿:

    • 上诉法院推翻了地方法院陪审团关于Cox需承担“替代责任”的裁决。
    • 核心理由: 法院认为,作为ISP的Cox并未因其用户的侵权行为而“直接获利”。用户支付的是固定的互联网服务月费,无论其是否进行侵权活动,Cox的收入都不会因此增加。原告(索尼等唱片公司)未能证明用户选择或付费给Cox是出于对其实施版权侵权行为的直接鼓励或支持。
    • 因此,基于“替代责任”的前提被推翻,原10亿美元的赔偿判决被撤销,需由地方法院重新审理并确定赔偿金额。
  2. 维持“帮助侵权”认定:

    • 法院维持了陪审团关于Cox构成“帮助侵权”的认定。
    • 依据: 证据显示,Cox明知其网络上存在具体的、重复的版权侵权行为,也追踪到了具体用户,但为了避免收入损失,仍选择继续为这些用户提供服务,且其内部文件显示其对打击侵权的法律存在轻视态度。这被认为对侵权行为起到了“实质性的促进作用”。
  3. 新赔偿金额的考量因素:

    • 重新审理将主要确定新的赔偿金额。原10亿美元是一个笼统的数字,且可能受到了错误的“替代责任”认定的影响。
    • 法院指出,法定赔偿范围较广,陪审团在裁决时拥有较大的自由裁量权。在重新审理时,需综合考虑Cox因侵权获得的利润、节省的开支、侵权情节以及惩罚需要等因素,裁定一个“在具体情况下公平”的金额。

背景与影响:

  • 此案源于索尼、环球、华纳等唱片公司起诉Cox未能有效打击其网络用户的盗版活动,且未终止反复侵权用户的账户。
  • 包括电子前沿基金会(EFF)在内的团体曾支持Cox的上诉,认为原判决可能迫使ISP为避免巨额赔偿而过于激进地断开用户连接,影响民众的互联网接入。
  • 本案被发回弗吉尼亚州东区联邦地区法院进行后续审理。
19. XL: An Extensible Programming Language (xlr.sourceforge.io)

XL 是一种可扩展的编程语言,旨在轻松适应多样化的编程需求。其核心特性在于将传统语言中内置的功能(如整数算术、基本类型、循环)移至标准库中,使得程序员能够像添加函数或类一样,轻松扩展语言结构(如添加新的编程构造、优化或领域特定符号)。XL 目前处于开发中,虽有部分可工作组件,但尚不适合严肃的编程任务。

核心设计与可扩展性 XL 的可扩展性主要依赖于一个名为 is 的定义操作符。该操作符遵循 模式 is 实现 的语法,可用于定义变量、常量、函数、操作符、类型、数据结构乃至程序构造。例如,循环、条件判断等均可在标准库中用此语法定义,证明了该操作符的强大表达力。

语法与解析 XL 采用类似 off-side 规则(依赖缩进)的语法,摒弃了分号、大括号等传统分隔符。程序被解析为由叶节点(整数、实数、文本、符号)和内部节点(前缀、中缀、后缀、块)构成的同构解析树。运算符及其优先级通过外部语法文件动态配置,语言本身没有硬编码的关键字。这种设计使得解析器非常简洁,并支持强大的元编程能力。

标准库 XL 的标准库提供了其他语言中常见的编程特性,如输入输出、数学运算、循环和判断。将特性移入库中带来了灵活性、清晰性、可扩展性和可修复性等优势。例如,print 函数是一个类型安全、可变参数且可扩展的函数,其实现完全通过库中的模式匹配完成。

程序评估 XL 程序的执行分为解析、声明和评估三个阶段。声明阶段将所有定义存入上下文,评估阶段则按顺序处理语句。模式匹配是评估的核心,用于为表达式选择匹配的定义。XL 支持即时求值和惰性求值,并借鉴了函数式编程中的闭包、记忆化等概念。

类型系统 XL 的类型系统基于解析树的形状。一个值可以属于多个类型。类型通过 类型标注X:TX as T)与名称或表达式关联,并可通过 matching 函数从模式创建自定义类型。语言支持丰富的类型表达式,包括联合、交集、泛型容器(如数组、列表、映射)、数学类型(如向量、矩阵)以及用于管理资源的生命周期和所有权系统。类型接口与实现分离,支持信息隐藏。

编程范式 XL 的设计天然支持多种编程范式:

  • 面向对象编程:通过类型接口、继承(显式或隐式)、动态分派(基于模式匹配)和多重分派实现。
  • 函数式编程:支持高阶函数、匿名函数、柯里化和不可变值。
  • 泛型编程:通过泛型容器和算法、以及真泛型类型实现。
  • 契约式设计:可通过断言和错误处理机制实现前置、后置条件。
  • 分布式编程:如 ELFE 项目所示,通过向远程节点发送和评估代码片段实现透明分布式计算。
  • 反应式编程:如 Tao3D 项目所示,通过部分重新评估响应事件。
  • 逻辑编程声明式编程面向切面编程等范式也均可通过语言扩展实现。

实现与历史 XL 的实现面临将高级语言特性高效编译为机器码的挑战。其历史始于一个实验性语言(LX),后更名为XL,经历了与 Xroma、Mozart 等项目的融合,并不断重构其内部解析树表示(如确立简洁的 XL0 格式)。当前仓库整合了来自不同分支(如 XL2 编译器、Tao3D、ELFE)的代码,是一个正在重新整合的工作。XL 的长远目标包括完成类型推断系统、修复与 Tao3D 的接口、实现 Rust 风格的借用检查器以及引导(bootstrap)为本地编译器。

20. ASML dethrones Applied Materials, becomes largest fab tool maker (www.tomshardware.com)

摘要

ASML在2023年成为全球最大的晶圆厂设备制造商,超越了长期领先的Applied Materials。根据分析师Dan Nystedt的数据,ASML在2023日历年收入达298.3亿美元,而Applied Materials在同一时段收入为265.2亿美元。需要注意的是,两家公司的财年安排不同:ASML财年与日历年一致,而Applied Materials的财年结束于2023年10月29日,因此计算中使用了其2024财年第一季度的结果。虽然这不是完全一致的比较,但ASML以数十亿美元的优势胜出,反映了行业趋势。

ASML领先的主要原因包括:

  • 设备销售增长:ASML在2023年确认了53台Low-NA EUV Twinscan NXE工具的收入(每台约1.83亿美元,较2022年的40台增加),以及125台深紫外光刻工具的收入(较2022年的81台增加)。
  • 制裁影响:ASML在2023年大部分时间可以向中国客户销售设备,因为针对中国半导体行业的制裁仅在9月生效且仅限于特定工具;相比之下,Applied Materials的销售在一定程度上受到2023年10月美国出口规则的影响。

然而,这并非直接竞争,因为两家公司产品线不同:ASML专注于光刻设备,而Applied Materials生产外延、离子注入、沉积和选择性材料去除等设备。现代晶圆厂需要来自ASML、Applied Materials、KLA和Tokyo Electron等多家公司的设备,因此它们相互补充。ASML工具的销售增长也会带动Applied Materials设备的需求,预计两家公司将在未来几年共同受益于行业增长。

21. Readyset: A MySQL and Postgres wire-compatible caching layer (github.com)

Readyset: 一个与MySQL和Postgres协议兼容的缓存层

Readyset 是一个专为 Postgres 和 MySQL 设计的透明数据库缓存。它能在不重写应用程序或手动处理缓存失效的情况下,提供内存键值存储级别的性能和可扩展性。

核心特性

  • 透明加速:Readyset 位于应用程序和数据库之间,能够将复杂的 SQL 读取查询转换为极快的键值查找。
  • 自动同步:与其它缓存解决方案的关键区别在于,Readyset 利用数据库自身的复制流来自动保持缓存查询结果与源数据库同步,无需手动干预。
  • 广泛兼容:它完全兼容 Postgres 和 MySQL 的通信协议,因此可以直接与现有的 ORM 或数据库客户端一起使用。

快速开始

可以通过以下方式快速体验(约5分钟完成设置):

bash -c "$(curl -sSL https://launch.readyset.io)"

此外,也提供 Docker 镜像和 Linux 二进制文件的安装方式。更多细节可参考官方“入门指南”。

对于希望免去自运维麻烦的用户,Readyset Cloud 提供了一个托管服务,能轻松扩展数据库。

社区与支持

  • 官方文档:提供深入的使用说明。
  • 交互式演示:在线体验 Readyset 的功能。
  • 社区频道
    • Slack:用于社区讨论和团队互动。
    • GitHub:用于提交错误报告和功能请求。
    • 𝕏 (Twitter):获取产品更新和新闻。

参与贡献

欢迎社区贡献。可以通过以下途径参与:

  • 从源代码构建 Readyset 的指南。
  • 为首次贡献者准备的“Good first issues”。
  • 在 Slack 的 #source-code 频道讨论大型项目。

许可证

Readyset 采用 BSL 1.1 许可证,并在四年后转换为开源的 Apache 2.0 许可证。该软件可在任意数量的节点上免费使用。

22. Warning: $14k BigQuery charge in 2 hours (discuss.httparchive.org)

由于提供的文章内容不完整,仅显示了网页框架和导航元素,未包含实际文章正文,因此无法提取关键信息生成准确摘要。

23. Don't fall for the latest changes to the dangerous Kids Online Safety Act (www.eff.org)

《儿童在线安全法案》最新修正案仍违宪且危险

尽管法案提出了新修正案,但其核心仍为违宪审查法案,继续赋予州官员权力以打压其不喜欢的网络服务和内容。电子前沿基金会呼吁公众反对最新版本,并要求国会议员继续抵制。

最新修正案的核心问题

  1. “关怀义务”仍实质为“审查义务”
    新版法案将平台义务从“预防和减轻伤害”调整为“在设计功能创建和实施中行使合理注意”,但未改变本质。平台仍将因托管合法内容(如健康信息)而面临法律责任,可能导致过度审查。

  2. 设计功能责任扩大化
    新增对“设计功能”的定义,将无限滚动、自动播放、通知、个性化推荐等列为潜在需限制的功能。然而,这些功能本身受宪法第一修正案保护。法案试图通过监管功能间接审查内容,例如以“通知功能传播LGBTQ+内容”为由打压平台,而实质针对内容本身。

  3. 州检察长仍可推行政治议程
    虽取消了州检察长对“关怀义务”的执法权,但仍可通过法案其他条款(如设计功能责任)继续针对特定社区(如LGBTQ+青少年)。联邦贸易委员会(FTC)的审查权力也未受限制,少数联邦官员仍可决定何种内容对青少年有害。

持续危害的群体

  • LGBTQ+青少年:相关内容和身份信息可能被删除。
  • 寻求性健康与生殖权利信息的年轻人:搜索结果将受阻。
  • 历史上被边缘化群体的青少年:难以获取自身历史与经历的信息。
  • 参与社会议题的青年活动人士(如气候、枪支法律):无法在平台倡导和联络。
  • 寻求心理健康帮助的青少年:自杀、抑郁等讨论内容将被隐藏。
  • 试图应对成瘾问题的年轻人:无法获取所需资源。
  • 成人用户:不愿透露身份者将被迫与青少年一同进入“受限网络”。

法案的持续威胁

KOSA本质上仍为审查法案,将迫使平台为规避法律风险而大规模过滤合法内容,并可能强制推行年龄验证机制。这不仅危害未成年人的第一修正案权利,也将影响所有用户。

电子前沿基金会持续呼吁公众抵制该法案,并联系国会代表阻止其推进

24. Data will not tell you what to do (mikkeldengsoe.substack.com)

数据不会告诉你该做什么。作者在数据领域工作15年后发现,最好的想法很少源于数据。数据可以给出确切答案,例如将按钮颜色从黄色改为绿色能提升0.15%的转化率,但它无法告诉你那些可能带来十倍影响的其他想法。

作者用电子游戏作比:起初地图大部分未知,若只探索已知的1%区域,便会错过前往奥妮克希亚巢穴等重大奖励。最佳想法通常复杂,需要坚持,且事后看来显而易见。

文章列举了三个案例:

  1. 一家金融科技公司最初认为机器学习无法解决数百万美元的欺诈损失。但一个团队坚持迭代,改进模型后,一名用户研究员发现欺诈者正在引导客户通过应用内警告界面。结合这两点洞察,最新迭代将欺诈减少了90%。
  2. 一家初创公司发送数百封推销邮件均无果,认为邮件推销无效。但他们忽略了,客户只有在迁移到新数据仓库时,才会考虑购买其基于角色的访问解决方案。
  3. 一位产品经理看到注册流失率翻倍且论坛抱怨众多,便推动团队聚焦注册流程优化。尽管团队反对,但她知道5%的注册率提升比推出他们计划中的新炫酷产品影响更大。问题基于直觉和数据被提出,这是探索的良好起点。

《The Moment of Clarity》一书质疑了麦肯锡等推崇的传统商业问题解决方法。研究表明,借鉴人类学、社会学、哲学和心理学的非线性方法,更能抵达“豁然开朗”的时刻。

作者认为,在不确定性更复杂的世界里,“决策表格”不再可靠,并提出了以下原则:

  • 直觉被低估:花时间亲自体验客户所处的环境,形成自己的见解。
  • 优先处理大问题:先绘制大局图,明确自身位置,集中精力解决影响最大的问题。
  • 以小赌注进行迭代:带着明确目标,通过小步迭代学习并前进。
  • 不要让数据拖慢你:如果获取确定性数据耗时过长,则应减少对数据的依赖。
  • 区分可逆与不可逆决策:90%的决策是可逆的“两扇门决策”,应快速行动。
  • 简洁即高效:冗长的文档和会议会拖慢所有人。力求简洁精准,将文档精简为一页,乃至一段。

结论是,数据不会告诉你该做什么,往往也没有单一答案。因此,应打包行囊,享受穿越不确定性的旅程。

25. LlamaCloud and LlamaParse (blog.llamaindex.ai)

LlamaCloud 与 LlamaParse:为 LLM 和 RAG 应用提供生产级数据管道

LlamaIndex 生态系统发布 LlamaParse,这是一项新一代的托管解析、摄取和检索服务,旨在为您的 LLM 和 RAG 应用程序带来生产级的上下文增强能力。

核心价值与目标 该服务让企业 AI 工程师能够专注于业务逻辑,而非数据处理,从而处理大量生产数据并显著提升响应质量。其核心是解决构建生产级 RAG 应用时面临的关键痛点,包括:结果准确性不足、调参复杂、难以处理含复杂格式(如表格、图表)的 PDF 文档,以及数据同步的挑战。

关键组件

  1. LlamaParse

    • 功能:专有的解析服务,擅长处理包含嵌入式对象(如表格、图表)的复杂 PDF 文档。
    • 技术:将复杂 PDF 解析为结构良好的 Markdown 格式,直接集成到 LlamaIndex 的高级 Markdown 解析和递归检索算法中。
    • 优势:使 RAG 系统能够准确回答基于表格和非结构化数据的问题,这是以往其他方法难以实现的。演示比较显示,相比基线 PDF 方法(如 PyPDF),LlamaParse 结合高级检索在准确率上有显著提升。
    • 状态:即日起以公开预览模式提供,支持 PDF 处理,每日有用量上限(1000页)。支持 Python SDK 调用。商业无限制使用需联系官方。
  2. 托管式数据摄取与检索 API

    • 功能:提供一个 API,让用户能轻松地为 RAG 应用加载、处理、存储和检索数据,并支持任何语言调用。
    • 主要组件
      • 摄取:通过 UI 或开源库声明管理式数据管道,连接 LlamaHub 中的 150+ 数据源(包括 LlamaParse)和 40+ 存储集成作为目标,自动处理同步与负载均衡。
      • 检索:通过易于使用的 REST API 访问基于开源库和用户存储系统的先进检索能力。
      • 测试平台:提供交互式 UI,用于在部署前配置、评估和优化摄取/检索策略,并内置评估环节。
    • 状态:目前处于私有预览阶段,仅向有限的企业设计合作伙伴开放访问。

合作伙伴与生态 发布之初已与多个重要生态伙伴达成合作,包括:

  • DataStax:将 LlamaParse 集成到 RAGStack 中,为企业提供隐私保护的开箱即用 RAG 解决方案。
  • MongoDB:实现将数据摄取到 MongoDB Atlas 向量数据库,并通过服务从中检索索引。
  • Qdrant:结合数据预处理、向量化、摄取与 Qdrant 提供全栈 RAG 解决方案。
  • NVIDIA:将 LlamaIndex 与 NVIDIA AI Enterprise 平台集成,以加速从数据处理到模型推理的全流程。

发布与获取

  • LlamaParse 已于今日起以公开预览模式(有使用上限)发布。
  • 托管式摄取与检索 API 目前为私有预览,正面向企业合作伙伴开放。
  • 官方强调该服务与向量数据库是互补关系,专注于数据解析和摄取层,并致力于集成更多存储提供商。

未来计划包括扩展对更多文档类型(如 .docx, .pptx, .html)和图表的支持。

26. Moore's Scofflaws (oxide.computer)

云计算行业定价模式与硬件软件关系分析

传统云服务定价策略变迁

早期AWS通过持续降价吸引客户,将计算基础技术进步(如晶体管密度、核心数、存储密度提升)带来的收益让利给用户。近年降价已成为历史,亚马逊转向通过延长服务器使用寿命来减少折旧、提高利润。

自建计算资源的兴起

随着云服务费用上涨,部分企业开始质疑租赁模式的合理性,考虑自建计算基础设施。Oxide公司基于运营公有云的经验认识到,特定规模的企业自建比租赁更经济。传统服务器厂商存在硬件软件分离交付的问题,阻碍硬件软件协同设计,且故障时容易出现责任推诿。

软件许可模式的弊端

企业基础设施软件常采用按核心数计费的许可模式,这种模式在芯片工艺进步主要体现在核心数增加的当下尤为不合理。软件供应商既未参与处理器研发也未购买硬件,却能通过对硬件征税获取额外收益。加上永久许可的取消,软件成本可能完全吞噬新一代CPU带来的性能提升,抑制企业升级高效基础设施的动力。

Oxide的创新解决方案

Oxide采用一体化交付模式:购买云计算机即包含全部必要的弹性基础设施软件(虚拟计算、存储、网络),且均为真正的开源软件。新功能随软件更新免费提供,硬件升级(如采用多核新CPU)只需支付硬件成本,无需额外软件许可费用。这种模式让摩尔定律(或莱特定律)的收益真正归属于计算资源使用者。

28. Video Game Module for Flipper Zero (shop.flipperzero.one)

Flipper Zero 是一款紧凑型多功能设备,专为访问控制系统设计。它内置了 NFC、RFID、sub-GHz 和红外技术,能够读取、模拟和分析各种无线协议。该设备主要用于安全研究、门禁系统测试和硬件交互,支持与物理环境进行通信。其设计强调便携性和集成性,适用于技术爱好者和安全专业人士进行无线信号探索和系统调试。

29. GaussianObject: Just Taking Four Images to Get a High-Quality 3D Object (gaussianobject.github.io)

GaussianObject:仅需四张图片获取高质量3D物体

核心贡献:GaussianObject 是一个仅需 4张输入图片 即可重建并高质量渲染3D物体的框架,其基于 高斯溅射 技术。该方法甚至能在无需COLMAP(即无需预先知道精确的相机位姿) 的条件下实现具有竞争力的质量。

关键挑战与解决方案

从极度稀疏的视角(仅4张图)重建3D物体面临两大挑战:

  1. 多视角一致性难以建立:可用于匹配的图像过少。
  2. 物体信息遗漏或压缩:视角覆盖不足导致信息缺失。

GaussianObject 的核心流程分为两个阶段以应对上述挑战:

1. 结构先验初始化与优化

  • 初始3D高斯生成:利用已知相机参数和物体掩码图像,通过构建视觉外壳 初始化一组3D高斯。
  • 结构优化:通过参考图像渲染损失进行优化,并引入浮游物消除 技术,显式注入结构先验,以提升多视角一致性,生成粗略的3D高斯表示。

2. 基于扩散模型的高斯修复

为补充遗漏的物体细节信息:

  • 修复模型训练:设计了一种 “留一法”自生成策略,结合对高斯添加3D噪声,生成成对的“损坏渲染图”与“参考图像”,用于训练一个基于扩散模型的 高斯修复模型
  • 信息补全:训练完成后,使用该修复模型对需要纠正的视图(通过距离感知采样识别)进行修复。修复后的图像与参考图像一同用于进一步优化3D高斯表示。

3. COLMAP-Free变体

该框架的一个重要变体允许在不依赖COLMAP预计算精确相机位姿的情况下工作,使其应用场景更广泛。

评估与结果

GaussianObject 在 MipNeRF360、OmniObject3D、OpenIllumination 以及作者自收集的无位姿图像等多个具有挑战性的数据集上进行了评估。结果表明,该方法仅从四个视角出发,即可实现卓越的渲染性能,并显著超越了之前的先进方法。

引用

@article{yang2024gaussianobject,
  title   = {GaussianObject: High-Quality 3D Object Reconstruction from Four Views with Gaussian Splatting},
  author  = {Chen Yang and Sikuang Li and Jiemin Fang and Ruofan Liang and
             Lingxi Xie and Xiaopeng Zhang and Wei Shen and Qi Tian},
  journal = {ACM Transactions on Graphics},
  number  = {6},
  volume  = {43},
  year    = {2024},
  month   = {December},
}
30. Exodus Bitcoin Wallet: $490k swindle (popey.com)

Exodus 比特币钱包诈骗事件摘要

事件概述

2024年2月,一个名为“Exodus”的假冒比特币钱包应用在 Canonical 的 Snap 商店上架。该应用存在了约6天,期间至少导致一名用户损失了9个比特币(当时价值约49万美元)。这不是Snap商店首次发生类似加密货币诈骗事件。

诈骗手法与技术分析

  • 伪装手段:诈骗应用模仿了官方Exodus钱包的界面、图标和描述,发布在“金融”分类下,看似正规。
  • 技术差异:官方Exodus钱包基于Electron技术开发,而诈骗应用使用Flutter框架构建,二进制文件小,捆绑库少。
  • 诈骗机制:该应用运行后会显示一个“恢复钱包”界面,诱导用户输入12个单词的助记词。一旦输入,应用会通过网络连接(已自动授权homenetwork接口)将助记词发送到外部API,从而窃取钱包资金。
  • 关键警告:官方Exodus永远不会索要用户的助记词或私钥。

事件发现与处理

  • 用户“castle”在论坛发帖称钱包被清空,引发了关注。
  • 社区成员和作者进行了技术分析,确认了应用的恶意性质。
  • 通过商店的“举报”功能和邮件报告给Canonical安全团队。
  • Canonical在报告当天(周日晚)将应用“隔离”,使其无法再被下载和搜索到。

核心问题与历史先例

  • 残留风险:应用虽已下架,但已安装的用户设备上仍然存在,构成持续风险。
  • 流程漏洞:Snap商店的自动化发布流程允许任何人快速注册名称并上传应用,缺乏有效的事前人工审核。
  • 历史事件
    • 2018年5月:有游戏应用被植入加密货币挖矿程序。Canonical通过推送干净的更新覆盖了恶意代码。
    • 2023年9月:假冒的“Ledger Live”应用导致用户损失1万美元。应用被下架,但未主动清理用户设备。
    • 2024年2月:即本次Exodus事件,损失巨大。

作者建议

紧急措施

  1. 强制认证:要求所有金融/加密货币类应用的发布者必须是官方开发者。
  2. 人工审核:对新应用名称注册、首次上传、接口连接请求实施人工审核。
  3. 主动清理:向所有仍安装已知诈骗应用的用户推送干净的应用更新或移除指令(参考2018年做法)。
  4. 用户指引:公布受影响的诈骗应用名单(文中列出多个),并指导用户使用 sudo snap remove --purge <应用名> 命令卸载。

长期改进

  1. 增加信任标识:为新发布者或新应用添加醒目标识,提示用户谨慎。
  2. 限制曝光:设定门槛,如安装数过少的应用不应出现在搜索结果中。
  3. 加强教育与提示:在商店界面明确提示安装新软件,尤其是财务类软件的风险。

总结

Snap商店的自动化流程在提高效率的同时,也降低了恶意软件发布的门槛,导致多次加密货币诈骗事件。尽管商店能够事后下架应用,但未能有效解决已安装恶意软件在用户设备上残留的问题。作者呼吁Canonical改进审核流程,并采取技术手段主动保护用户。

31. APL at Volvo (www.dyalog.com)

APL at Volvo: Hercules系统迁移案例摘要

系统概述与重要性 Volvo汽车公司的Hercules系统是其核心生产规划系统,用于生成月度主生产计划(MPS),详细规划未来13-15个月内各市场、工厂和周的生产数量。该系统不仅服务于MPS,还负责长期规划(可达9年)、订单分配所需的产能处理、预测核对,并将MPS分解为物料清单向供应商发送预测。该系统年处理约45万辆汽车(2011年数据),涉及瑞典哥德堡、比利时根特和中国成都的生产设施,其故障可能导致严重后果。系统本身规模庞大,拥有超过42.5万行代码、468个用户界面、290个数据库表,并与17个其他系统集成,被视为Volvo汽车运营的“心脏与虚拟灵魂”。

迁移必要性 Hercules系统基于IBM大型机VM和APL2运行已超过20年,其技术基础逐渐衰退,导致支持日益困难,且大型机运行成本高昂。Volvo希望统一公司内部的APL平台,以更好地支持未来应用。关键要求是保留现有功能和图形用户界面(GUI),即保留GDDM和3270屏幕,因此项目目标是在不重写系统的前提下,快速完成平台迁移。

项目执行与时间线 该项目由哥德堡的Aplensia公司与Mahindra Satyam合作,历时10个月完成,于2012年秋季成功上线。迁移过程确保了用户和运营无中断。

关键技术解决方案

  1. 代码迁移与工具化:团队开发了自动转换工具处理APL2与Dyalog的语法差异(如选择性赋值、格式化、错误捕获)。为便于管理,代码被重组并使用了命名空间。部分手动调整仍不可避免,工具负责诊断并提示这些情况。
  2. 数据与代码转移:使用SCAR(自包含数组)技术转移约30GB的生产数据和代码,过程高效,数据转移仅耗时约6小时。为缩短上线时间,提前一周进行全量转移,上线时仅同步变更数据。
  3. 用户界面保留:决策保留原有400多个3270屏幕,通过Windows上的3270终端仿真器实现,避免了界面重写风险。
  4. 文件存储系统替代:使用新开发的Dyalog File Server替代旧的Manugistics Sharefile,提供安全的客户端/服务器文件访问机制,需对大量数据访问的代码进行性能优化。
  5. 身份验证:实现了基于SSPI的集成Windows身份验证,用户无需为Hercules单独登录,直接使用Windows域凭证。
  6. 系统集成:所有与其他系统的文件交换从内部VCOM系统迁移至行业标准的WebSphere MQ。迁移分两步:上线前配置并测试所有出站集成;上线后分阶段切换入站集成。
  7. 批量处理与客户端架构:采用“胖客户端”模式,数据处理主要在用户工作站完成,服务器仅处理邮件发送、外部查询等任务。批量作业处理方案借鉴了现有其他Dyalog系统的成功实践。
  8. Excel集成:旧系统通过邮件附件发送数据到Excel,新系统利用Excel OLE对象直接打开并填充数据的工作表,并支持格式设置,提升了用户体验。

严格测试策略 测试基于“原有代码正确”的前提,重点验证手动修改部分。测试范围从底层逐行代码执行,到交互式用户功能对话,再到与外部系统集成的系统测试。最后进行了用户验收测试和为期两周的新旧系统并行运行。

迁移成果 迁移成功将Hercules系统从APL2大型机平台转移至Dyalog Windows平台,实现了技术平台的现代化,并预计每年可为Volvo汽车节省约300万瑞典克朗(约35万欧元)的运营成本。项目在保证业务连续性的前提下,高效地完成了这一复杂而关键的系统迁移。

32. The code worked differently when the moon was full (2021) (www.hanselman.com)

这篇技术文章讲述了.NET运行时中一个因时间计算引发的隐蔽bug。GitHub用户Sébastien报告了PortableThreadPool的爬山算法存在“滞后效应”:线程池的工作线程数呈现约每3-4周一次的周期性变化。通过分析,贡献者Kevin发现该周期与GetTickCount()函数的溢出时间(约49.7天)高度吻合,而POSIX平台的时间计算基于挂钟时间,导致所有机器在同一天出现相同行为。

问题根源在ShouldAdjustMaxWorkersActive函数中:当Environment.TickCount返回负值(因32位有符号整数溢出)时,时间间隔的有符号算术计算会导致条件判断始终为假,从而禁用爬山算法并使时间变量无法更新。

修复方案是将相关时间间隔的计算结果转换为无符号整数(uint),以避免符号位解释错误。此bug展示了时间相关代码中因整数溢出和符号处理不当可能引发的、需长时间观察才能发现的周期性问题。

关键点总结

  • 现象:线程池工作线程数周期性变化(~49.7天)。
  • 原因Environment.TickCount溢出为负值时,有符号整数时间计算错误导致算法失效。
  • 解决:使用无符号算术(uint)进行时间间隔比较。
  • 启示:时间计算需注意整数溢出和符号处理,尤其对于长周期运行的程序。