18 篇热帖
以下是对原文的总结:
车辆互联是 Rivian 车辆的核心功能。用户可以选择禁用所有车辆互联功能,阻止车辆数据外传。
禁用互联的后果:
禁用方法:
重要提示:
总而言之,虽然可以禁用车辆数据收集,但会牺牲部分车辆功能,并需要单独处理订阅服务取消。
好的,以下是根据您提供的文本生成的摘要,中文,且字数控制在800字以内:
本文揭露了LinkedIn 秘密扫描用户浏览器扩展的现象,并分析了其带来的隐私问题、潜在法律风险以及更广泛的网络安全影响。
核心发现:
技术细节:
chrome-extension:// URL 发送请求,检测特定扩展是否存在。法律背景与后续:
总结:
LinkedIn 秘密扫描浏览器扩展的行为,不仅侵犯了用户的隐私,还可能违反欧盟的法律法规。这种行为暴露了浏览器指纹识别技术在构建用户画像方面的潜在风险,以及平台之间数据整合可能带来的更广泛的网络安全问题。文章呼吁对这种行为进行更严格的监管,并提醒用户注意保护个人隐私。
希望这个摘要满足您的要求。
This document summarizes a security announcement regarding a Linux kernel vulnerability (CVE-2026-31431) known as "CopyFail". The discussion took place on the oss-security mailing list.
Vulnerability Details:
72548b093ee38a6d4f2a19e6ef1948ae05c181f7.fafe0fa2995a0f7073c1c358d7d3145bcc9aedd8)ce42ee423e58dffa5ec03524054c9d8bfd4f6237)a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5)Workaround:
0001-crypto-disable-authencesn-module-for-CVE-2026-31431.patch) is being used, though the sender notes they are not an expert in IPSec and consider it the "lesser evil."Distribution Notification:
Additional Notes:
Openwall Projects Mentioned (as context):
The email is posted on a mailing list associated with Openwall, a project known for various security-focused software, including:
2026年4月30日,流行的深度学习框架 PyPI 上的 'lightning' 包 (版本 2.6.2 和 2.6.3) 遭到供应链攻击。受影响的软件包广泛应用于图像分类器、LLM 微调、扩散模型和时间序列预测等领域。
攻击方式:
攻击者在恶意版本中隐藏了一个名为 _runtime 的目录,其中包含经过混淆的 JavaScript 载荷。该载荷在模块导入时自动执行,旨在窃取凭据、认证令牌、环境变量和云端密钥,并试图污染 GitHub 仓库。攻击者使用 Dune 小说主题命名,创建名为 "EveryBoiWeBuildIsaWormBoi" 的公共仓库。
威胁行为者:
本次攻击被认为是与之前的 "mini Shai-Hulud" 攻击活动同一威胁行为者所为,其 IOC 结构保持一致。
跨生态系统传播:
与 "mini Shai-Hulud" 相比,本次攻击的入口点是 PyPI,但恶意载荷仍然是 JavaScript,并通过 npm 进行蠕虫传播。当恶意软件发现 npm 发布凭据时,它会将 setup.mjs 丢弃器和 router_runtime.js 路由程序注入到可以使用该令牌发布的每个包中,并修改版本号。
数据窃取:
恶意软件通过四个并行通道窃取数据:
目标数据:
恶意软件针对本地文件、环境变量、CI/CD 管道和云服务商中的凭据,包括:
持久化机制:
恶意软件通过 Claude Code 和 VS Code 的钩子系统实现持久化:
.claude/settings.json 中添加 SessionStart 钩子,指向 .vscode/setup.mjs。.vscode/tasks.json 中添加 folderOpen 任务,执行 .claude/setup.mjs。setup.mjs 是一个自包含的 Bun 运行时引导程序,下载 Bun 并执行 router_runtime.js(14.8 MB 载荷)。如果拥有 GitHub 写入访问权限的令牌,还会将名为 "Formatter" 的恶意 GitHub Actions 工作流推送到受害者的仓库。
受影响的软件包:
lightning@2.6.2lightning@2.6.3IOC (Indicators of Compromise):
_runtime/start.py, _runtime/router_runtime.js, .claude/router_runtime.js, .claude/settings.json, .claude/setup.mjs, .vscode/tasks.json, .vscode/setup.mjs建议:
AppKittie 是一款利用人工智能技术提供 App Store 智能分析与研究工具。其主要功能旨在帮助用户发现趋势应用、分析排名、追踪增长模式并进行 App Store 研究。
核心功能与特点:
总而言之,AppKittie 旨在利用 AI 技术为用户提供深入的 App Store 数据分析和研究能力,助力用户更好地了解 App 市场趋势和 App 表现。
作为一名拥有八年软件工程经验的开发者,我一直对计算机的底层工作原理感到困惑。为了弥补这一知识空白,我决定通过模拟一台游戏机来学习。考虑到个人情感和相对简单的架构,我选择了经典游戏男孩。
学习基础与实践
在直接动手之前,我先完成了从 NAND 到泰特里斯课程,这让我对计算机的核心概念,如寄存器、内存和算术逻辑单元 (ALU) 有了深刻的理解。为了熟悉模拟器构建,我随后构建了一个 CHIP-8 模拟器 Fip-8。
经过几个月的努力,我最终完成了一个游戏男孩模拟器,名为 Fame Boy。它支持声音,可以在桌面和网页上运行,并可以流畅地运行《Pokémon Blue》。
Fame Boy 架构
为了实现跨平台运行,Fame Boy 采用了一种简单的接口,将模拟器核心与前端分离。该接口包括:
核心组件与设计理念
Fame Boy 的设计尽可能地模拟了真实游戏男孩的硬件结构。
stepper 函数,它将所有组件的步骤函数连接在一起,实现模拟器的整体运行。由于是单线程模拟,组件需要按顺序执行,stepper 函数负责同步它们。F# 的选择与领域建模
尽管我的 CHIP-8 模拟器是纯函数式的,但 Fame Boy 为了提高性能,使用了可变状态。我选择了 F#,因为它的类型系统非常适合对 CPU 指令进行建模。
我通过将 CPU 指令按照参考文档进行分组,并使用 type 定义来抽象指令的类型,实现了领域建模。例如,LoadInstr 类型定义了各种加载指令,From 和 To 类型分别定义了指令操作数的来源和目标。这种方法将 512 个 opcode 简化为 58 个指令。
性能优化
为了提高性能,我进行了多次优化。最初,我通过移除不必要的内存映射和数组操作,以及利用编译器优化,显著提高了 CPU 的运行速度。之后,我发现 APU(音频处理单元)对性能的影响更大,并最终采用了音频驱动模拟器的方式。
AI 的助力
在项目后期,我利用 AI 帮助我找到性能瓶颈并进行优化。AI 甚至在解决一个难以捉摸的计时问题时提供了关键的解决方案。
总结
通过构建 Fame Boy,我不仅深入了解了计算机硬件的工作原理,还体验了软件工程的乐趣。Fame Boy 模拟器可以在桌面和网页上运行,并且性能良好。我希望我的经验能够激励更多人探索计算机底层世界的奥秘。
WhatCable 是一款 macOS 菜单栏应用程序,旨在以通俗易懂的语言显示您连接到 Mac 的每根 USB-C 线缆的功能,并解释 为什么您的 Mac 充电速度可能较慢。
背景:
USB-C 接口隐藏了大量信息,各种线缆(从仅用于充电的 USB 2.0 线缆到 240W / 40 Gbps 的 Thunderbolt 4 线缆)外观都相同。macOS 已经通过 IOKit 暴露了相关信息,而 WhatCable 将这些信息以友好的菜单栏弹出窗口的形式呈现。
主要功能:
安装:
WhatCable.zip,解压缩,并将 WhatCable.app 拖到 /Applications 文件夹中。brew tap darrylmorley/whatcablebrew install --cask whatcable (安装菜单栏应用程序并自动设置 CLI 到 PATH)命令行界面 (CLI):
WhatCable 包含一个命令行工具,可以提供相同的功能:
whatcable:显示每个端口的人类可读摘要whatcable --json:结构化 JSON 格式,可用于管道处理whatcable --watch:实时流式更新(按 Ctrl+C 退出)whatcable --raw:包含底层的 IOKit 属性whatcable --versionwhatcable --help工作原理:
WhatCable 读取四类 IOKit 服务,不使用特权或私有 API。
局限性:
Okay, I'm ready. Please provide the content you want me to summarize. I will do my best to provide a concise, accurate, and markdown-formatted summary in Chinese, adhering to your requirements (less than 800 words, no personal opinions, focus on purpose/structure/functionality for technical content). Just paste the text here.
事件概述:
苹果公司在最近的 Apple Support 应用 (版本 5.13) 更新中,意外地将包含 Claude.md 文件的代码泄露给用户。此后,苹果发布了紧急更新 (版本 5.13.1) 以移除这些文件。
主要内容与细节:
总结:
苹果意外泄露 Claude.md 文件,暴露了其内部使用 Claude Code 的事实,并引发了关于软件开发流程、AI 工具使用以及企业信息安全等问题的广泛讨论。 这也提醒了开发者在利用 AI 工具加速开发时,务必进行充分的代码审查和安全评估。
Okay, please provide the content you want me to summarize. I'm ready when you are. Once you paste the content, I will generate a concise, accurate summary in markdown format and Chinese language, adhering to your specifications (less than 800 words, no personal opinions, focus on key points and functionality, etc.).
OpenWarp 是一个基于 Warp 的社区分支,旨在增强 Warp 的能力,并提供“自带提供商”(BYOP)功能,让用户拥有对 AI 交互的更大控制权。它通过 genai 适配层原生支持多种 API 协议、自定义模型和系统提示词,并提供原生多语言支持。
核心功能与特点:
工作流程:
OpenWarp 的使用主要包含三个步骤:
技术细节:
~/.config/openwarp.toml 文件中。常见问题解答:
获取方式:
可以通过克隆仓库本地构建,或关注 GitHub 接收更新。
git clone -b openWarp https://github.com/zerx-lab/warp
watchTowr Labs 发布了一篇关于 cPanel/WHM 中身份验证绕过漏洞 (CVE-2026-41940) 的研究报告。该漏洞影响所有当前支持的 cPanel/WHM 版本,并且已知已经被利用。
核心问题:
该漏洞源于会话加载和保存过程中的缺陷,允许攻击者绕过身份验证。具体来说,攻击者可以构造特定的 Cookie 和 Basic Authentication 请求,将恶意数据注入到会话文件中,从而获得未经授权的访问权限。
漏洞细节:
/var/cpanel/sessions/raw/ ) 和 JSON 缓存文件 ( /var/cpanel/sessions/cache/ )。原始文件存储键值对,而缓存文件存储 JSON 序列化的会话数据。\r\n )。<ob> (一个 32 位十六进制密钥),则密码不会被编码,而是以明文形式写入原始文件。<ob> 部分,从而保证密码不被编码。Modify::new 和 Modify::save 函数,通过发送一个错误的 cp_security_token 请求,将注入的 CRLF 序列写入 JSON 缓存文件中,从而使这些注入内容成为顶级键。缓解措施:
检测与防御:
watchTowr Labs 发布了 Detection Artifact Generator 帮助防御者识别易受攻击的主机。该工具可以检测会话文件中的恶意注入。
总结:
该漏洞是一个严重的身份验证绕过漏洞,影响了大量使用 cPanel/WHM 的服务器。 尽快应用补丁是至关重要的。 watchTowr Labs 的研究强调了主动威胁管理的重要性,以及利用自动化技术来快速响应新兴威胁。
本文由经济分析师和数据专家阿齐兹·桑德吉 (Aziz Sunderji) 撰写,探讨了过去几代美国父亲角色发生的巨大转变。
父亲参与育儿时间的大幅增长 (Fùqīn Cānyù Yù'ér Shíjiān De Dàfú Zēngzhǎng)
与他们的“沉默一代”祖父相比,千禧一代的父亲每天积极参与育儿的时间几乎增加了四倍。与他们的婴儿潮一代父母相比,育儿时间已增加一倍以上。现代父亲将更多的时间投入到家庭生活中,减少了每天的办公室工作时间超过一小时,并减少了30分钟的电视时间。1965年,典型已婚父亲每天仅花费半小时左右参与育儿,而如今,千禧一代的父亲通常花费超过80分钟进行换尿布、阅读、玩耍、接送孩子上学等活动。
历史背景与社会变迁 (Lìshǐ Bèijǐng Yǔ Shèhuì Biànqīng)
这种育儿时间的变化并非生物学上的必然,而是工业革命的产物。世界范围内,父亲的育儿角色一直在变化,这与母亲的角色变化相比更为显著。随着女性劳动力参与率的提高,越来越多的家庭转变为双薪家庭,育儿责任需要由家庭成员承担,父亲承担了大部分。然而,这种解释存在缺陷。母亲的育儿时间并未下降,反而大幅增加。
观念的转变与“精细育儿” (Guāniàn De Zhuǎnbiàn Yǔ “Jīngxì Yù'ér”)
文章指出,父亲育儿时间增加的原因除了女性就业之外,还包括以下因素:
育儿责任的分配 (Yù'ér Zérèn De Fēnpèi)
尽管父亲的育儿时间显著增加,但母亲仍然承担着更多的育儿责任,尤其是在医疗保健和心理方面。母亲也更容易感到育儿的压力。
父亲的角色与生活 (Fùqīn De Júelè Yǔ Shēnghuó)
父亲的角色从单纯的“养家糊口”转变为“养家糊口、共同育儿、换尿布、接送孩子、辅导功课”等多重角色。虽然父亲减少了睡眠、休闲时间,并感到压力,但他们也更倾向于认为生活“接近完美”,并愿意做出很少的改变。
总结 (Zǒngjié)
现代美国父亲的角色发生了深刻的变化,育儿时间大幅增加,观念也在不断转变。这既是社会经济变迁的结果,也是个人选择和价值观的体现。虽然母亲仍然承担着更多的育儿责任,但父亲在家庭中的作用日益重要,共同构建着现代家庭的形象。
本文探讨了网站设计过程中常见的冲突,以及如何以用户为中心进行决策。以下是文章的主要观点:
1. 网站的真正目的:
2. 专家悖论:
3. 更好的提问方式:
总结:
网站不应被视为艺术品、愿望清单或个人品味的反影,而应被视为一个工具,并且这个工具是为用户而设计的。 决策者应以用户为中心,尊重设计师的专业知识,以确保网站能够有效地实现其目的。
发布日期:2026年4月29日
本文是作者对DuckDB系列文章的第二篇,是对之前“DuckDB小试牛刀”文章的补充。如果对DuckDB不熟悉,建议先阅读前一篇。
主要内容:
本文探讨了DuckDB的全文搜索 (FTS) 功能。作者拥有使用Elasticsearch和Postgres等其他FTS解决方案的经验,因此将分享DuckDB FTS的快速体验。
全文搜索基础知识:
=、ilike或正则表达式)更全面和可配置的查询。DuckDB FTS的特性:
k₁: 衡量词频的重要性(词频越高是否更重要?)。b: 衡量文档长度的重要性(文档越长是否更重要?)。现有DuckDB FTS的局限性:
ts_headline 功能可以实现这一点。snowballstemmer库解决了词干提取过程中遇到的问题。设置:
INSTALL fts; LOAD fts;。实际应用示例:
作者使用Python和uv工具预处理了大量的.eml格式的邮件文件,将其转换为JSON格式,并导入到DuckDB数据库中。
CREATE TABLE emails AS SELECT * FROM read_json('*.eml.json'); 创建表并导入数据。ALTER TABLE emails ADD COLUMN id INTEGER; UPDATE emails SET id = rowid;PRAGMA create_fts_index('emails', 'id', 'subject', 'body'); 创建FTS索引。SELECT id, body, fts_main_emails.match_bm25(id, 'talk') AS score FROM emails WHERE list_unsubscribe = '' AND precedence NOT IN ('bulk', 'list', 'junk') AND score IS NOT NULL ORDER BY score DESC;conjunctive参数进行精确匹配查询。b 和 k₁ 参数来优化查询结果。总结:
DuckDB的FTS功能虽然不如Postgres或Elasticsearch完善,但对于初步探索数据来说已经足够强大。如果需要更高级的功能,可以考虑将数据迁移到其他数据库。DuckDB快速搭建和使用的特点使其成为一个有吸引力的选择。
后续计划:
作者计划继续撰写DuckDB系列文章,下一篇可能探讨DuckDB的向量搜索功能。
本文档总结了 DBOS 对 Postgres 单机性能的基准测试结果,旨在解答关于 Postgres 是否能够满足工作流执行系统需求的问题。测试重点关注 Postgres 的写入性能,因为工作流执行需要频繁地向数据库写入数据,包括输入、输出、以及步骤结果的检查点。
主要发现:
测试环境:
测试内容:
性能瓶颈分析:
结论:
Postgres 的可扩展性令人印象深刻,能够支持高写入负载和大量工作流。对于大多数应用场景,单台 Postgres 服务器已经足够。如果需要更高的性能,可以通过分片到多台 Postgres 服务器来实现。DBOS 致力于简化和优化持久化工作流的开发和部署。
相关链接: