21天前
|
|
|
## Hacker News 中文精选 NO.20250315
一个基于 Hacker News 的中文日报项目,每天自动抓取 Hacker News 热门文章及评论,通过 AI 生成中文解读与总结,传递科技前沿信息。
---
## 使用几何代数计算地球半径:日落几何
本文介绍了一种利用日落照片计算地球半径的方法,并使用几何代数提供了一种替代分析方案。作者认为,相比传统的“长度和角度”方法,几何代数在公式化和解决三角问题方面更强大。
文章的核心在于分析日落时太阳及其在水面上的倒影所成的角度。由于地球是弯曲的,太阳倒影的角度会比在平面地球上看到的要小。通过测量这个角度差,并结合相机的高度,就可以推算出地球的半径。文章利用向量代数和几何代数,建立了一系列方程来描述这些几何关系,包括三角形关系、地平线条件和反射条件。其中,三角形由地球中心、相机和地平线构成,以及由地球中心、相机和太阳反射点构成。地平线条件指出视线与地球相切,反射条件则关联入射角和反射角。通过引入几何代数中的几何积概念,作者能够更简洁地表达和求解这些方程。几何积包含了点积和楔积,分别代表向量的投影和有向面积。
评论区对该方法的实际应用提出了质疑,指出大气效应和水面波浪会影响照片的准确性,传感器饱和也可能导致图像难以解释。有人认为,要获得类似的结果可能非常困难。此外,还有人建议使用更简单的方法,例如登上高山并使用星盘进行测量,这样数学计算会更简单,测量结果也会更准确。尽管存在实际困难,但该文章提供了一种有趣的视角,展示了几何代数在解决几何问题中的应用。
- 原文: [Sunset Geometry (2016)](https://www.shapeoperator.com/2016/12/12/sunset-geometry/)
- Hacker News: [https://news.ycombinator.com/item?id=43372431](https://news.ycombinator.com/item?id=43372431)
- 作者: Tomte
- 评分: 24
- 评论数: 5
- 发布时间: 2025-03-15 21:32:53
---
## Thera:基于神经热场的无混叠任意比例超分辨率技术
Thera 是一种新颖的超分辨率方法,它利用神经热场来实现无混叠的任意比例图像放大,其核心在于内置的物理观测模型,保证了在设计上的正确抗锯齿效果。该方法通过一个超网络来估计像素级的局部神经热场的参数,这些参数作用于全局学习到的组件,并通过热激活来缩放每个组件,最终生成一个适当模糊的连续局部神经场,再以适当的采样率进行栅格化,从而得到最终输出图像的一部分。
与以往的方法不同,Thera 通过其原理性的观测模型,在各种超分辨率基准测试中实现了最先进的性能。它在质量上有所提升,但文章中缺少性能基准,如果能提供一些基准数据,将更有助于评估其在实际应用中的可行性。该技术如果能应用于 30 年代和 40 年代的经典电影,例如 Marx Brothers 的作品,将会非常有趣。
评论中,有人希望看到 Thera 在类似 Wing Commander Privateer 这样的游戏中的应用效果。还有人提出,与其在大量的任意数据上进行训练,不如使用特定对象的高分辨率图像进行训练,例如使用建筑物的高分辨率照片来增强同一建筑物的旧照片,或者使用人物的家庭相册来放大该人物的旧照片。这种方法可以避免幻觉,并提高超分辨率的准确性。此外,还有人对结果图中是否包含原始图像提出了疑问。有人联想到,是否可以借鉴有损图像压缩的思路,在心理视觉最佳空间中生成输出,例如在频率空间(离散余弦变换)中使用感知均匀的色彩空间,从而优化模型,使其将更多的计算资源用于输出对人类视觉相关的细节。
- 原文: [Arbitrary-Scale Super-Resolution with Neural Heat Fields](https://therasr.github.io/)
- Hacker News: [https://news.ycombinator.com/item?id=43371583](https://news.ycombinator.com/item?id=43371583)
- 作者: 0x12A
- 评分: 68
- 评论数: 16
- 发布时间: 2025-03-15 18:39:31
---
## 致敬道格拉斯·亚当斯:一位真正知道他的毛巾在哪里的家伙
本文是对道格拉斯·亚当斯73岁诞辰的纪念,赞扬了他对科幻文学和文化产生的深远影响。文章指出,亚当斯的作品以幽默的方式探讨了存在的荒谬性,并影响了人们对技术和现实的看法。
亚当斯的作品,如《银河系漫游指南》,以其独特的幽默感和对宇宙的深刻思考而闻名。他将量子物理学与办公室政治相结合,在宇宙和世俗之间找到了幽默感。他帮助人们认识到,即使在地球可能被拆除以修建超空间高速公路的宇宙中,仍然有时间喝一杯好茶。
亚当斯对技术和社会的预见性令人惊叹。他没有预测智能手机和维基百科,而是帮助发明了使它们成为必然的文化框架。他的作品不仅仅是娱乐,还改变了人们对技术、灭绝和现实本质的思考方式。
文章还提到了亚当斯对后世的影响,例如Multiverse Employee Handbook这个播客,它深受亚当斯作品的启发。播客的创作者们认为,亚当斯教会了他们在面对存在主义的恐怖时如何欢笑。
评论区中,读者们分享了他们对亚当斯作品的喜爱和回忆。有人讲述了在高中备考期间沉迷于《银河系漫游指南》的故事,也有人推荐了亚当斯去世后出版的文集《怀疑的鲑鱼》。
一些评论员认为,《银河系漫游指南》的后几部作品不如第一部精彩,情节变得沉闷和令人沮丧。但也有人认为,亚当斯的作品对当今社会仍然具有启发意义,例如Multiverse Employee Handbook就体现了亚当斯作品中对资本主义制度和工作的荒诞性的思考。
还有评论员提到了亚当斯作品中的一些经典元素,例如“Total Perspective Vortex”和数字42。这些元素已经成为科幻文化中的标志性符号。总的来说,评论区充满了对亚当斯的敬意和怀念,以及对他作品的深刻解读。
- 原文: [So Long and Thanks for All the Words: A Toast to Douglas Adams](https://multiverseemployeehandbook.com/blog/adams-birthday-toast/)
- Hacker News: [https://news.ycombinator.com/item?id=43331706](https://news.ycombinator.com/item?id=43331706)
- 作者: 6forward
- 评分: 96
- 评论数: 34
- 发布时间: 2025-03-11 20:18:25
---
## Transformers迎来新突破:无需Normalization的DyT方法
一篇名为 "Transformers without Normalization" 的论文介绍了一种名为 Dynamic Tanh (DyT) 的新型 Transformer 架构,它无需传统的 Normalization 层,就能达到甚至超越现有模型的性能。这项研究挑战了长期以来认为 Normalization 层在现代神经网络中不可或缺的观念。
该论文提出用 DyT 替换 Transformer 中的 LayerNorm 或 RMSNorm 层。DyT 本质上是一个元素级的操作,公式为 `DyT(x) = tanh(αx)`。研究人员发现,Transformer 中的 Layer Normalization 实际上产生类似于 tanh 函数的输入输出映射。通过引入 DyT,Transformer 可以在不需要 Normalization 层的情况下,在各种任务中取得与标准化模型相当甚至更好的性能,而且通常不需要进行过多的超参数调整。该研究在包括视觉识别、生成、监督学习、自监督学习、计算机视觉和语言模型等多种设置下验证了 DyT 的有效性。
DyT 模块可以用几行 PyTorch 代码实现,它包含一个可学习的缩放因子 alpha 以及权重和偏置项。实验结果表明,在视觉领域的 ViT 和 ConvNeXt,自监督学习的 MAE 和 DINO,扩散模型 DiT,大型语言模型 LLaMA,语音自监督学习的 wav2vec 2.0,以及 DNA 序列建模的 HyenaDNA 和 Caduceus 等任务中,使用 DyT 的 Transformer 都取得了与标准化模型相似或更好的性能。
评论区对这项研究表现出浓厚的兴趣。有人认为,即使 DyT 没有显著提升模型能力,但由于其计算成本低于 RMSNorm,因此可以加速训练过程并降低成本。特别是在使用低精度格式(如 float8)时,Normalization 层会占用更多计算资源,而 DyT 可以有效缓解这个问题。还有人指出,移除 Normalization 层可以简化新架构的设计过程,并对 tanh 函数可能带来的其他影响表示关注,因为 Normalization 有时可以解决条件问题。也有人好奇 DyT 是否解决了梯度消失的问题。Yann LeCun 对能量模型情有独钟,有人猜测这项研究的最终目标是能量模型。
- 原文: [Transformers Without Normalization](https://jiachenzhu.github.io/DyT/)
- Hacker News: [https://news.ycombinator.com/item?id=43369633](https://news.ycombinator.com/item?id=43369633)
- 作者: hellollm
- 评分: 157
- 评论数: 22
- 发布时间: 2025-03-15 11:12:39
---
## RubyLLM:为 Ruby 开发者打造的 AI 交互新方式
RubyLLM 旨在提供一种简洁、优雅的方式,让 Ruby 开发者能够轻松地与 AI 模型进行交互,无需复杂的配置和回调。它试图用优美的 Ruby 代码来简化 AI 编程体验。
该库的核心目标是消除 AI 集成中的复杂性,让开发者专注于业务逻辑,而不是被繁琐的配置和回调所困扰。RubyLLM 避免了传统 AI 库中常见的配置地狱和回调地狱,提供了一种更直观、更易于理解的 API。开发者可以通过简单的 Ruby 代码,就能完成诸如文本生成、语义分析等 AI 任务。
RubyLLM 的设计理念是“约定优于配置”,它预设了一些常用的配置,开发者只需关注最核心的参数即可。同时,它也提供了灵活的扩展机制,允许开发者根据自己的需求进行定制。该项目使用 MIT 许可证,鼓励开发者自由使用和修改。
这个项目在 GitHub 上获得了相当数量的关注,拥有 915 个 star 和 15 个 fork,表明社区对这种简洁的 AI 集成方式有浓厚的兴趣。
评论中,有人称赞 Ruby 社区在拥抱 AI 方面一直走在前沿,RubyLLM 的出现进一步巩固了这一地位。也有人认为,RubyLLM 的简洁性使得 AI 技术更容易被 Ruby 开发者所接受和使用。
当然,也有一些评论指出,RubyLLM 目前可能只支持一些基本的 AI 功能,对于更复杂的 AI 任务,可能需要借助其他库或服务。还有人担心,过度简化可能会牺牲一定的灵活性和可定制性。
总的来说,RubyLLM 的出现为 Ruby 开发者提供了一个新的选择,它以简洁性和易用性为主要特点,降低了 AI 集成的门槛。至于它能否在实际项目中得到广泛应用,还需要进一步的观察和验证。
- 原文: [RubyLLM: A delightful Ruby way to work with AI](https://github.com/crmne/ruby_llm)
- Hacker News: [https://news.ycombinator.com/item?id=43331847](https://news.ycombinator.com/item?id=43331847)
- 作者: ksec
- 评分: 464
- 评论数: 97
- 发布时间: 2025-03-11 20:40:55
---
## 开源协作威胁情报中心 CRADLE
CRADLE Hub 是一个开源的协作平台,专为网络威胁情报分析师设计,旨在简化威胁调查流程。它集成了笔记记录、自动化数据链接、交互式可视化以及强大的访问控制功能。
CRADLE Hub 提供直观的仪表盘,可以集中管理信息并轻松访问相关笔记。其图表浏览器能够可视化并遍历工件之间的关系。富文本 Markdown 编辑器支持实时预览和扩展的 Markdown 功能,并提供智能链接辅助。
该平台还支持案例关联,通过路径查找探索案例之间的连接。用户可以轻松生成和导出全面的分析报告,并安全地共享匿名化的信息,同时保护敏感数据。CRADLE Hub 旨在为威胁情报研究人员提供一个开箱即用的协作知识管理解决方案。
评论中,有人直接指出了 CRADLE 的核心功能和目标用户,强调其为网络威胁情报分析师提供的便利。总体而言,CRADLE Hub 似乎是一个功能全面的工具,旨在帮助安全专业人员更有效地协作和分析威胁情报。
- 原文: [Cradle – Open-Source Collaborative Threat Intelligence Hub](https://cradle.sh/)
- Hacker News: [https://news.ycombinator.com/item?id=43371603](https://news.ycombinator.com/item?id=43371603)
- 作者: nofool
- 评分: 27
- 评论数: 1
- 发布时间: 2025-03-15 18:44:55
---
## Briar:一款点对点加密消息应用
Briar 是一款专为记者、社运人士等需要安全通信的人士设计的消息应用,它不依赖中心服务器,而是直接在用户设备间同步消息,即使在断网情况下,也能通过蓝牙、Wi-Fi 或存储卡保持通信。
Briar 的主要特点包括:端到端加密,防止内容被窃听或篡改;使用 Tor 网络隐藏用户 IP 地址和通信对象,抵抗元数据监控;无需中心服务器,避免审查和单点故障;支持蓝牙和 Wi-Fi 直连,在断网时也能通信。该应用还提供公共论坛和博客功能,每个订阅者都保存内容副本,防止内容被删除。Briar 旨在抵御具有全面监控能力、能控制通信渠道、部署恶意设备、但无法破解密码学的攻击者。
评论区中,一位用户分享了在没有 Wi-Fi 的航班上使用 Briar 进行家庭成员间通信的经验,并赞赏了其内置的 Bridge 功能,该功能可以避免流量被识别为 Tor 流量。该用户还提到,Briar 的蓝牙通信距离很远,但在 Android 设备上,由于操作系统和硬件的限制,Briar 并非真正的 Mesh 网络应用。此外,评论还表达了对 Briar 未能登陆 iOS 平台的遗憾,并希望 Signal 等应用也能考虑支持更多通信媒介。评论最后设想了一款具备 Mesh 网络、Tor 支持、VPN 友好、端到端加密、完全开源的跨平台消息应用。
- 原文: [Briar: Peer to Peer Encrypted Messaging](https://briarproject.org/how-it-works/)
- Hacker News: [https://news.ycombinator.com/item?id=43363031](https://news.ycombinator.com/item?id=43363031)
- 作者: CobaltFire
- 评分: 339
- 评论数: 128
- 发布时间: 2025-03-14 22:36:23
---
## Athena 月球着陆器在寒冷陨石坑中着陆:一次“滑垒”式的成功?
Ars Technica 的文章报道了 Intuitive Machines 公司的 Athena 月球着陆器在月球南极附近着陆,但由于高度计故障,着陆过程并不顺利,最终在一个寒冷的陨石坑中停止。尽管着陆姿态不佳,太阳能电池板被月壤覆盖,导致电力受限,但任务团队仍然在有限的时间内获取了一些有价值的数据。
文章详细描述了 Athena 着陆器的着陆过程,指出由于高度计失效,着陆器在不清楚自身高度的情况下撞击月球表面,并以“滑垒”的方式进入一个黑暗的陨石坑。陨石坑内的温度极低,加上太阳能电池板效率降低,着陆器的电力供应非常有限。尽管如此,任务团队仍然设法在13个小时内尽可能多地收集数据,包括月球南极地区的图像和数据,并测试了一些有效载荷。文章还对比了这次任务与 Intuitive Machines 之前的 Odysseus 任务,指出 Athena 在飞行过程中表现更加平稳,验证了甲烷推进系统和通信技术。
Intuitive Machines 的 CEO Steve Altemus 认为,尽管着陆不成功,但这次任务在很大程度上仍然是成功的。他强调,Athena 验证了多项关键技术,并为未来的月球任务积累了宝贵的经验。
评论区对这次任务的评价褒贬不一。一些人认为,着陆失败是不可接受的,Intuitive Machines 需要解决高度计问题。另一些人则认为,在太空探索中失败是常态,重要的是从失败中学习,并不断改进技术。还有人赞扬 Intuitive Machines 的勇气和创新精神,认为他们为私营企业参与月球探索做出了贡献。评论区也出现了一些关于任务目标和商业模式的讨论,一些人质疑在电力受限的情况下,任务能够实现多少科学目标,以及 Intuitive Machines 的商业模式是否可持续。总的来说,评论区的观点多样,反映了人们对这次任务的不同看法。
- 原文: [Athena landed in a dark crater where the temperature was -280° F / -173° C](https://arstechnica.com/space/2025/03/athena-landed-in-a-dark-crater-where-the-temperature-was-minus-280-f/)
- Hacker News: [https://news.ycombinator.com/item?id=43359412](https://news.ycombinator.com/item?id=43359412)
- 作者: 01-_-
- 评分: 188
- 评论数: 211
- 发布时间: 2025-03-14 11:46:11
---
## Deepnote 招聘:打造更好的数据科学 Notebook (欧洲)
Deepnote 正在招聘,旨在构建一个更优秀的数据科学 notebook,特别是在欧洲地区。他们致力于革新数据团队的协作方式,构建更强大的数据工具。
Deepnote 认为,数据工作既是科学和创造性的过程,也是工程实践。他们需要能够帮助团队探索、协作和分享的工具。Deepnote 正在构建一种新型的 notebook,将代码、查询、可视化、组织和共享整合在一起,为数据团队提供更高效的工作体验。
Deepnote 强调团队文化的建设,包括快速行动、持续学习、承担责任和协作。他们寻求渴望学习、勇于承担责任并乐于合作的伙伴。公司获得了 Y Combinator、Index Ventures 和 Accel 等知名机构的支持。
目前,Deepnote 正在招聘多个职位,包括位于布拉格的 Senior Product Designer,远程的 Senior Business Development Executive (B2B SaaS) 以及位于布拉格的 Head of Data / Solutions Engineer。他们希望有更多优秀的人才加入,共同构建数据工具的未来。
由于评论区没有评论,无法提供评论分析。
- 原文: [Deepnote (YC S19) is hiring to build a better data science notebook (Europe)](https://deepnote.com/join-us)
- Hacker News: [https://news.ycombinator.com/item?id=43371960](https://news.ycombinator.com/item?id=43371960)
- 作者: Equiet
- 评分: 1
- 评论数: 0
- 发布时间: 2025-03-15 20:00:10
---
## 用字体实现条纹背景的“硬核”排版
这篇文章介绍了作者尝试用字体来实现条纹背景效果的挑战,以及为了实现这种效果,在字距调整方面所做的努力。作者将背景图案编码到字体中,这使得字距调整变得异常复杂。
文章解释了传统字距调整的局限性,以及作者如何通过调整字体的内部参数来克服这些局限性。这种方法需要对每个字母对进行精细的调整,以确保条纹背景在不同的字母组合中保持连续和一致。作者分享了在实现这一目标过程中遇到的各种问题和解决方案,例如处理字母之间的空隙和调整字母的形状以适应背景图案。
这种做法的复杂性在于将两个独立的设计元素(字体和背景)结合在一起。虽然最终效果看起来不错,但评论中也出现了一些质疑的声音,有人认为这种方法过于复杂,并且不符合字体设计的初衷。更合理的做法可能是将字体作为负空间,然后使用 CSS 来实现背景效果。
评论区里,有人认为这种做法“自虐”,建议背景就应该用背景的方式实现,字体就应该只负责字体本身。也有人指出,即使是文章中提到的“良好”字距调整的例子,如“SALTY”一词,实际上字距也过小。还有人开玩笑说把标题看成了 “keming the hard way”(keming 是指错误的字距调整),觉得这个标题很聪明。另一些人则建议使用连字来解决某些字母组合的字距调整问题。一位老前辈回忆起过去用刀片手动排版的日子,表示这根本不算什么“硬核”方式。
- 原文: [Kerning, the Hard Way](https://home.octetfont.com/blog/kerning-hard.html)
- Hacker News: [https://news.ycombinator.com/item?id=43366479](https://news.ycombinator.com/item?id=43366479)
- 作者: todsacerdoti
- 评分: 198
- 评论数: 53
- 发布时间: 2025-03-15 03:47:12
---
## Firefox 分支概览:GNU IceCat、Floorp、LibreWolf 和 Zen
本文深入探讨了 Firefox 的几个主要分支,包括 GNU IceCat、Floorp、LibreWolf 和 Zen,这些分支的出现源于用户对 Mozilla 近期决策的不满,以及对 Chrome 垄断地位的担忧。文章分析了这些分支的特性和目标,为寻求替代浏览器的用户提供了更多选择。
Mozilla 近期的举动,例如宣布要“多元化”发展以及修改用户条款,引发了用户的不满,促使他们寻找替代方案。Firefox 分支并非新鲜事物,Debian 曾因商标问题维护过修改较小的 Firefox 分支。GNU 项目也曾推出 IceWeasel,后来更名为 IceCat,旨在移除非自由代码。
GNU IceCat 是历史最悠久的 Firefox 分支,它使用 LibreJS 阻止非自由 JavaScript,并包含 JShelter 扩展,以阻止浏览器指纹识别和用户跟踪。IceCat 还包含第三方请求阻止程序,以阻止未经用户同意的第三方资源连接。Floorp 则专注于提供更多定制选项和功能,例如垂直标签页和工作区管理。LibreWolf 旨在最大限度地提高隐私和安全性,默认情况下禁用遥测和跟踪功能。Zen 浏览器则专注于简洁和性能,提供了一个精简的用户界面。
评论区讨论了这些分支的优缺点,一些用户认为 IceCat 对自由软件的坚持值得称赞,但其严格的 JavaScript 阻止可能会影响浏览体验。另一些用户则更喜欢 Floorp 的定制性和功能性,或者 LibreWolf 的隐私保护。还有一些用户认为 Zen 浏览器更适合那些追求简洁和性能的用户。总的来说,评论反映了用户对不同 Firefox 分支的不同需求和偏好。
文章和评论都表明,Firefox 分支为用户提供了更多选择,可以根据自己的需求和偏好选择最合适的浏览器。这些分支在隐私、安全、定制性和性能方面各有侧重,满足了不同用户的需求。
- 原文: [A look at Firefox forks](https://lwn.net/Articles/1012453/)
- Hacker News: [https://news.ycombinator.com/item?id=43361959](https://news.ycombinator.com/item?id=43361959)
- 作者: sohkamyung
- 评分: 377
- 评论数: 241
- 发布时间: 2025-03-14 20:25:04
---
## 使用 GPU 破解 Akira 勒索软件加密文件
本文介绍了如何使用 GPU 破解 Akira 勒索软件的加密文件,重点在于通过暴力破解时间戳来恢复密钥。文章作者分享了其帮助一家公司在不支付赎金的情况下恢复数据的过程,并提供了完整的源代码。
文章指出,Akira 勒索软件有多个变种,作者遇到的变种从 2023 年末开始活跃。该变种使用当前时间(纳秒级)作为种子,通过 Yarrow256 算法生成随机数,用于加密密钥。每个文件使用不同的密钥,密钥保存在文件末尾,并使用 RSA-4096 加密。文件被分成多个块,每个块的一部分使用 KCipher2 加密,另一部分使用 Chacha8 加密。由于 VMware VMFS 文件系统仅记录秒级精度的文件修改时间,且 ESXi 主机日志文件可能只有秒级精度,这增加了破解的难度。
作者通过逆向工程发现,勒索软件使用四个时间戳生成密钥,并且密钥生成过程涉及 1500 轮 SHA-256 运算。尽管代码是用 C++ 编写的,但由于没有进行混淆,且错误信息中包含 Nettle 库的线索,使得逆向工程相对容易。作者提出了一种暴力破解方法,即生成两个时间戳,将其转换为种子并生成随机字节,然后使用这些字节作为 KCipher2 的密钥和 IV,加密已知的明文并与密文进行比较。
评论区讨论了该方法的实用性和局限性。一些人认为,该方法对于某些特定情况可能有效,例如当文件修改时间具有纳秒级精度时。然而,另一些人指出,由于时间戳的组合数量巨大,暴力破解可能需要很长时间,尤其是在文件系统只记录秒级精度的情况下。还有人建议,可以尝试利用其他信息,例如进程启动时间或系统日志,来缩小时间戳的搜索范围。此外,评论中也提到了其他勒索软件的破解方法,并讨论了如何提高防御勒索软件的能力。
- 原文: [Decrypting encrypted files from Akira ransomware using a bunch of GPUs](https://tinyhack.com/2025/03/13/decrypting-encrypted-files-from-akira-ransomware-linux-esxi-variant-2024-using-a-bunch-of-gpus/)
- Hacker News: [https://news.ycombinator.com/item?id=43365083](https://news.ycombinator.com/item?id=43365083)
- 作者: costco
- 评分: 211
- 评论数: 44
- 发布时间: 2025-03-15 01:45:33
---
## tj-actions/changed-files GitHub Action 被入侵,影响超过 2.3 万个仓库
StepSecurity 发现流行的 GitHub Action tj-actions/changed-files 遭到入侵,该 Action 被超过 23,000 个仓库使用。攻击者修改了 Action 的代码,并追溯更新了多个版本标签,使其指向恶意提交。
该事件的关键在于,被入侵的 Action 会将 CI/CD 密钥打印到 GitHub Actions 的构建日志中。如果工作流日志是公开可访问的(例如在公共仓库中),任何人都可以读取这些日志并获取暴露的密钥。StepSecurity 的 Harden-Runner 通过异常检测发现了这个问题,当工作流的网络流量中出现意外端点时,Harden-Runner 的行为监控功能捕获了这一异常。
目前,受影响的 Action 会执行一个恶意的 Python 脚本,该脚本从 Runner Worker 进程中转储 CI/CD 密钥。大多数现有的 Action 发布标签已被更新为指向恶意提交哈希 `0e58ed8671d6b60d0890c21b07f8835ace038e67`,表明多个版本遭到了追溯入侵。该恶意提交引入了漏洞利用代码,其中包含一个 base64 编码的字符串,解码后会执行内存转储操作,从而提取敏感信息。
文章还提供了恶意代码的详细分析,包括从内存中提取密钥的 Python 脚本。该脚本通过读取 `/proc/[pid]/maps` 和 `/proc/[pid]/mem` 文件来查找和读取 Runner.Worker 进程的内存区域,从而获取敏感信息。
评论区中,有用户指出,攻击者可能利用了 GitHub Actions 的供应链漏洞,通过入侵流行的 Action 来影响大量项目。一些用户建议使用 Subresource Integrity (SRI) 来验证 Action 的完整性,但也有人指出 SRI 并非万无一失,仍然存在被绕过的风险。还有用户讨论了如何检测和修复受影响的仓库,以及如何防止类似事件再次发生。
此外,评论中还强调了定期审查和更新依赖项的重要性,以及使用安全工具来监控和检测潜在的安全风险。一些用户分享了他们使用 StepSecurity Harden-Runner 的经验,认为它可以有效地检测和阻止恶意行为。总的来说,评论区对该事件表示担忧,并积极探讨应对措施和预防方法。
- 原文: [Tj-actions/changed-files GitHub Action Compromised – used by over 23K repos](https://www.stepsecurity.io/blog/harden-runner-detection-tj-actions-changed-files-action-is-compromised)
- Hacker News: [https://news.ycombinator.com/item?id=43367987](https://news.ycombinator.com/item?id=43367987)
- 作者: varunsharma07
- 评分: 93
- 评论数: 186
- 发布时间: 2025-03-15 06:29:46
---
## Peter Roberts 律师关于 YC 和初创公司移民问题的 AMA
Peter Roberts 是一位专门为 YC 和初创公司提供服务的移民律师,本次在 Hacker News 上进行了 AMA(Ask Me Anything)活动,回答了关于 TN 签证、H1B 签证、绿卡申请以及移民政策变化等诸多问题。他分享了对当前移民形势的看法,并为外国员工提供了实用的建议。
Roberts 律师在 AMA 中主要讨论了以下几个方面:首先,关于 TN 签证的未来,他分析了 USMCA 谈判可能对 TN 签证的影响,并建议考虑转换到 H1B 签证。其次,针对 H1B 签证持有者失业的情况,他提出了应对策略,强调了在 60 天宽限期内寻找新工作并提交移民文件的紧迫性。此外,他还就绿卡申请的漫长等待期、自由言论权利以及如何避免被错误地贴上“犯罪移民”标签等问题提供了建议。最后,他还提到了保护访问或参与 YC 活动的人员免受 ICE(美国移民及海关执法局)影响的措施。
评论区主要围绕以下几个问题展开:一是 TN 签证的风险,包括被拒入境甚至被拘留的可能性,以及如果 TN 签证被取消,现有持有者该如何应对。二是 H1B 签证的优势与劣势,例如转换雇主的影响,以及配偶持有 TD 签证是否会影响其申请 TN 签证。三是移民政策变化带来的不确定性,例如针对绿卡持有者言论的审查,以及如何保护自己免受 ICE 的影响。评论中也表达了对当前移民环境的担忧,以及对未来政策走向的关注。
总的来说,这次 AMA 涵盖了移民领域的诸多热点问题,Roberts 律师的专业解答为相关人士提供了有价值的参考。评论区的讨论则反映了大家对移民政策的实际关切和疑虑。
- 原文: [I'm Peter Roberts, immigration attorney who does work for YC and startups. AMA](https://news.ycombinator.com/item?id=43363056)
- Hacker News: [https://news.ycombinator.com/item?id=43363056](https://news.ycombinator.com/item?id=43363056)
- 作者: proberts
- 评分: 251
- 评论数: 388
- 发布时间: 2025-03-14 22:39:00
---
## Yann LeCun 对抗当前 AI 架构的观点分析
本文讨论了 Yann LeCun 对当前大型语言模型 (LLM) 架构的质疑,以及他对能量最小化等替代方案的倡导。LeCun 认为,仅靠文本学习无法构建准确的世界模型,多模态学习和与环境的互动对于真正的学习至关重要。
LeCun 认为,LLM 虽然有用,但无法解决通用人工智能 (AGI) 等更宏大的问题,因为 AGI 需要模型具备理解物理世界的能力,而这仅靠语言分析是无法实现的。他举例说,通过视觉来判断狮子的大小比阅读大量关于狮子的文本要容易得多。他提出的能量最小化架构旨在实现联合多模态学习,通过设置合理的损失函数并最小化它,来解决传统概率模型中计算归一化项的难题。
评论区对 LeCun 的观点进行了多角度的探讨。有人认为,AI 的发展是一个阶跃函数,每个阶段都呈现 S 曲线,LLM 目前正处于 S 曲线的后期,改进空间有限,需要新的算法突破。另一些人指出,LLM 的输出本质上是随机的,缺乏“我不知道”的选项,这源于 LLM 本质上是带有插值的巨型查找表。为了实现真正的 AI,需要采用不依赖可微性的架构,例如能量最小化,通过评估适应度分数(如内存使用或计算周期)来进行区分。还有人认为,LLM 的训练方式使其无法判断真假,也无法进行内省,因此无法知道自己不知道什么。
此外,还有观点认为,如果推理时权重是固定的,那么 AI 将会陷入僵局,需要一种循环架构,让模型输出能够自我更新并进行选择性操作,从而实现与模型的互动,就像从思想空间中抽样一样。最后,有人将 LLM 的训练方式重新定义为能量最小化,因为玻尔兹曼分布将物理学和信息论联系起来。总而言之,讨论涵盖了 LLM 的局限性、替代架构的潜力以及实现 AGI 的可能路径。
- 原文: [Ask HN: Any insider takes on Yann LeCun's push against current architectures?](https://news.ycombinator.com/item?id=43325049)
- Hacker News: [https://news.ycombinator.com/item?id=43325049](https://news.ycombinator.com/item?id=43325049)
- 作者: vessenes
- 评分: 299
- 评论数: 248
- 发布时间: 2025-03-11 03:41:37
---
## Peirce Edition Project:探索美国思想家查尔斯·S·皮尔士的著作
Peirce Edition Project 旨在整理、编辑和出版美国科学家和哲学家查尔斯·S·皮尔士的著作,皮尔士被公认为是世界最重要的思想家之一。该项目致力于研究皮尔士在科学推理、理性探究以及自然过程等方面的贡献,并以多卷本的编年体批判版本形式呈现。
该项目于 1975-76 年启动,长期目标是出版 30 卷皮尔士著作的印刷版,以及嵌入在协作研究平台中的电子版。该项目旨在记录皮尔士思想的发展,促进对其智力成长和跨学科影响的批判性研究。皮尔士的研究领域广泛,涵盖数学、大地测量学、物理学、化学、天文学、逻辑学、哲学、符号学、形而上学、宇宙学、科学史、语言学、词典编纂学和心理学等。
该项目隶属于印第安纳大学文学院的美国思想研究所 (IAT),该研究所专注于美国对哲学和人文学科的贡献。Peirce Edition 项目通过专业的编辑过程,为后代保存了重要的美国思想家的著作,并通过促进教学、研究、公共讲座和参与会议,促进对美国思想和文化的理解和传播。
该项目的工作包括重组、编辑和出版皮尔士的大量著作。自 1976 年以来,该项目一直在制作多卷本的皮尔士著作编年体批判版本。迄今为止,已出版了七卷(第 1-6 卷和第 8 卷)。目前的计划是继续印刷版,同时开发数字版。
该项目以最高的学术标准为指导,所有文本都经过严格的批判性编辑过程,包括多个阶段的校对和错误更正、与专家的咨询以及应用以文本理论为基础的一致的编辑程序。所有文本转录和学术和编辑工作的产品都按照作为国际和跨学科标准制定的标记指南进行编码。
目前没有评论内容可以分析。
- 原文: [Peirce Edition Project](https://peirce.indianapolis.iu.edu)
- Hacker News: [https://news.ycombinator.com/item?id=43360079](https://news.ycombinator.com/item?id=43360079)
- 作者: rnjailamba
- 评分: 10
- 评论数: 1
- 发布时间: 2025-03-14 14:21:42
---
