curl 项目遭遇 AI 生成的虚假漏洞报告攻击
2025-05-08 13:45 by 银色金属恋人
curl 项目正与大量由 AI 生成的虚假漏洞报告作斗争,curl 作者 Daniel Stenberg 认为这是针对该项目的 DDoS 攻击。Stenberg 称至今没有看到一份 AI 帮助下完成的漏洞报告是有效的。5 月 4 日的一份安全报告令 Stenberg 倍感崩溃,因为报告引用了不存在的函数,而且不适用于当前版本。甚至还有安全报告包含了 AI 提示命令。Stenberg 希望管理漏洞报告的平台 HackerOne 能使用更多攻击打击 AI 生成的漏洞报告,他计划封禁递交此类报告的用户。
Ars:Open source project curl is sick of users submitting “AI slop” vulnerabilities
#开源
2025-05-08 13:45 by 银色金属恋人
curl 项目正与大量由 AI 生成的虚假漏洞报告作斗争,curl 作者 Daniel Stenberg 认为这是针对该项目的 DDoS 攻击。Stenberg 称至今没有看到一份 AI 帮助下完成的漏洞报告是有效的。5 月 4 日的一份安全报告令 Stenberg 倍感崩溃,因为报告引用了不存在的函数,而且不适用于当前版本。甚至还有安全报告包含了 AI 提示命令。Stenberg 希望管理漏洞报告的平台 HackerOne 能使用更多攻击打击 AI 生成的漏洞报告,他计划封禁递交此类报告的用户。
Ars:Open source project curl is sick of users submitting “AI slop” vulnerabilities
#开源
今天出生的人更可能遭遇极端气候事件
2025-05-08 14:30 by 西塔甘达
根据《自然》上的一项研究,气候危机的负担将主要由年轻世代而非年长世代承担。分析显示,在 1.5°C 升温情景下,2020 年出生的人群中约 52% 的人将面临前所未有的热浪暴露风险,而在 1960 年出生的人群中,这一比例仅为 16%。研究结果强调了减缓温室气体排放以减轻气候变化对年轻世代影响的紧迫性。“前所未有“的暴露定义为在没有人为导致气候变化的世界中,遭遇相同极端事件的概率小于万分之一。研究人员指出,全球 1960 年出生者中约16%(1300万人)将面临前所未有的终生热浪暴露风险。与此同时,如果全球变暖到 2100 年比工业革命前水平升高 1.5°C,2020 年出生的人中约 52%(6200万人)将经历前所未有的热浪暴露风险,如果升温达到 3.5°C,这一比例将升至 92%。
doi.org/10.1038/s41586-025-08907-1
中国科学报: “20后”比“60后”更容易遭遇极端气候事件
#地球
2025-05-08 14:30 by 西塔甘达
根据《自然》上的一项研究,气候危机的负担将主要由年轻世代而非年长世代承担。分析显示,在 1.5°C 升温情景下,2020 年出生的人群中约 52% 的人将面临前所未有的热浪暴露风险,而在 1960 年出生的人群中,这一比例仅为 16%。研究结果强调了减缓温室气体排放以减轻气候变化对年轻世代影响的紧迫性。“前所未有“的暴露定义为在没有人为导致气候变化的世界中,遭遇相同极端事件的概率小于万分之一。研究人员指出,全球 1960 年出生者中约16%(1300万人)将面临前所未有的终生热浪暴露风险。与此同时,如果全球变暖到 2100 年比工业革命前水平升高 1.5°C,2020 年出生的人中约 52%(6200万人)将经历前所未有的热浪暴露风险,如果升温达到 3.5°C,这一比例将升至 92%。
doi.org/10.1038/s41586-025-08907-1
中国科学报: “20后”比“60后”更容易遭遇极端气候事件
#地球
Gmail 停止支持 3DES 加密的传入 SMTP 连接
2025-05-08 17:08 by 人猿泰山之挚友金狮
Google 官方博客宣布,Gmail 将从 5 月 30 日起停止支持 3DES 加密的传入 SMTP 连接。5 月 30 日之后,仍然使用 3DES 加密 SMTP 连接的邮件系统将无法将邮件传输给 Gmail 帐号。Google 表示此举旨在改进安全,确保用户不会受到过时加密方法潜在漏洞的影响。Google 建议邮件系统配置到更安全的 TLS 加密方法。Gmail 是用户数最多的电邮系统。
Google Blog:Gmail will soon stop support for the 3DES encryption cipher for incoming SMTP connections
#加密技术
2025-05-08 17:08 by 人猿泰山之挚友金狮
Google 官方博客宣布,Gmail 将从 5 月 30 日起停止支持 3DES 加密的传入 SMTP 连接。5 月 30 日之后,仍然使用 3DES 加密 SMTP 连接的邮件系统将无法将邮件传输给 Gmail 帐号。Google 表示此举旨在改进安全,确保用户不会受到过时加密方法潜在漏洞的影响。Google 建议邮件系统配置到更安全的 TLS 加密方法。Gmail 是用户数最多的电邮系统。
Google Blog:Gmail will soon stop support for the 3DES encryption cipher for incoming SMTP connections
#加密技术
三分之二全球暖化是最富有 10% 人口造成的
2025-05-08 18:05 by 梦书迷宫
个体对气候的影响是不平等的。根据发表在《Nature Climate Change》期刊上的一项研究,三分之二全球暖化是最富有 10% 人口造成的,这些人对全球暖化的贡献是平均水平的 6.5 倍,而最富有 1% 人口和 0.1% 人口的贡献分别是平均水平的 20 倍和 76 倍。对于极端事件,最富有 10% 人口对全球每月百年一遇极端高温事件增加的贡献是平均水平的 7 倍,对亚马逊干旱的贡献是平均水平的 6 倍。美国和中国最富有 10% 人口的排放导致脆弱地区的极端高温事件增加了两到三倍。
www.nature.com/articles/s41558-025-02325-x
#地球
2025-05-08 18:05 by 梦书迷宫
个体对气候的影响是不平等的。根据发表在《Nature Climate Change》期刊上的一项研究,三分之二全球暖化是最富有 10% 人口造成的,这些人对全球暖化的贡献是平均水平的 6.5 倍,而最富有 1% 人口和 0.1% 人口的贡献分别是平均水平的 20 倍和 76 倍。对于极端事件,最富有 10% 人口对全球每月百年一遇极端高温事件增加的贡献是平均水平的 7 倍,对亚马逊干旱的贡献是平均水平的 6 倍。美国和中国最富有 10% 人口的排放导致脆弱地区的极端高温事件增加了两到三倍。
www.nature.com/articles/s41558-025-02325-x
#地球
苹果高管称 Safari 上的搜索量首次下降
2025-05-08 18:20 by 龙牙
苹果服务部门高级副总裁 Eddy Cue 在 Google 搜索反垄断案件中作证时表示,由于用户越来越多地使用 AI,上个月苹果 Safari 浏览器上的搜索量首次下降。AI 搜索引擎最终将取代 Google 等标准搜索引擎,他希望未来在苹果的 Safari 浏览器中添加 OpenAI、Perplexity 和 Anthropic 的 AI 服务作为搜索选项。不过他补充说,他认为 Google 仍应是默认选项。该消息导致 Alphabet 市值蒸发约 1500 亿美元。Google 官方博客发表声明,对 Eddy Cue 的说法提出了异议,称来自苹果平台的搜索查询量在继续增长。
blog.google/products/search/statement-press-reports-about-search-traffic/
澎湃:苹果Safari浏览器上的搜索量首次下降
#苹果
2025-05-08 18:20 by 龙牙
苹果服务部门高级副总裁 Eddy Cue 在 Google 搜索反垄断案件中作证时表示,由于用户越来越多地使用 AI,上个月苹果 Safari 浏览器上的搜索量首次下降。AI 搜索引擎最终将取代 Google 等标准搜索引擎,他希望未来在苹果的 Safari 浏览器中添加 OpenAI、Perplexity 和 Anthropic 的 AI 服务作为搜索选项。不过他补充说,他认为 Google 仍应是默认选项。该消息导致 Alphabet 市值蒸发约 1500 亿美元。Google 官方博客发表声明,对 Eddy Cue 的说法提出了异议,称来自苹果平台的搜索查询量在继续增长。
blog.google/products/search/statement-press-reports-about-search-traffic/
澎湃:苹果Safari浏览器上的搜索量首次下降
#苹果
食用超加工食品或有害健康
2025-05-08 18:32 by 沉船岛
根据一项最新研究结果,摄入超加工食品(如含糖饮料、薯片和包装饼干)可能与多种不良健康结局相关。研究显示,每天额外摄入 100 克超加工食品,将提高患高血压、心血管事件、癌症、消化系统疾病、死亡等风险。研究人员指出,常见的超加工食品包括工业生产的面包、含糖饮料、薯片、巧克力糖果、糖果、包装饼干等。研究发现,食用超加工食品与高血压、心血管事件、癌症、消化系统疾病以及全因死亡风险相关。每日每增加 100 克超加工食品的摄入,高血压风险上升 14.5%,心血管事件风险上升 5.9%,癌症风险上升 1.2%,消化系统疾病风险上升 19.5%,全因死亡风险上升 2.6%。研究人员还观察到肥胖/超重、代谢综合征/糖尿病、抑郁/焦虑等风险的升高。中山大学的 Xiao Liu 表示,越来越多证据表明,摄入全食、简单原料和符合当地文化的健康饮食(如地中海饮食或DASH饮食)有益健康。
EurekAlert:食用超加工食品可能危害健康
#科学
2025-05-08 18:32 by 沉船岛
根据一项最新研究结果,摄入超加工食品(如含糖饮料、薯片和包装饼干)可能与多种不良健康结局相关。研究显示,每天额外摄入 100 克超加工食品,将提高患高血压、心血管事件、癌症、消化系统疾病、死亡等风险。研究人员指出,常见的超加工食品包括工业生产的面包、含糖饮料、薯片、巧克力糖果、糖果、包装饼干等。研究发现,食用超加工食品与高血压、心血管事件、癌症、消化系统疾病以及全因死亡风险相关。每日每增加 100 克超加工食品的摄入,高血压风险上升 14.5%,心血管事件风险上升 5.9%,癌症风险上升 1.2%,消化系统疾病风险上升 19.5%,全因死亡风险上升 2.6%。研究人员还观察到肥胖/超重、代谢综合征/糖尿病、抑郁/焦虑等风险的升高。中山大学的 Xiao Liu 表示,越来越多证据表明,摄入全食、简单原料和符合当地文化的健康饮食(如地中海饮食或DASH饮食)有益健康。
EurekAlert:食用超加工食品可能危害健康
#科学
霸王龙的直系祖先从亚洲跨越陆桥来到美洲
2025-05-08 23:04 by 动物庄园
根据发表在 Royal Society Open Science 上的一项研究,霸王龙是在北美洲演化,但其直系祖先来自亚洲,在 7000 多万年前跨过连接两大洲的陆桥来到美洲。当时地球正经历一段气候变冷的时期,霸王龙及其近亲可能比其它恐龙更适应较冷的气候,可能是因为它们有羽毛或更温血的生理结构。北美已经发现了数十块霸王龙化石,但亚洲至今没有发现。研究人员的模型显示,霸王龙直系祖先跨过了西伯利亚和阿拉斯加之间的白令海峡。
DOI 10.1098/rsos.242238
EurekAlert:T. rex’s direct ancestor crossed from Asia to North America
#科学
2025-05-08 23:04 by 动物庄园
根据发表在 Royal Society Open Science 上的一项研究,霸王龙是在北美洲演化,但其直系祖先来自亚洲,在 7000 多万年前跨过连接两大洲的陆桥来到美洲。当时地球正经历一段气候变冷的时期,霸王龙及其近亲可能比其它恐龙更适应较冷的气候,可能是因为它们有羽毛或更温血的生理结构。北美已经发现了数十块霸王龙化石,但亚洲至今没有发现。研究人员的模型显示,霸王龙直系祖先跨过了西伯利亚和阿拉斯加之间的白令海峡。
DOI 10.1098/rsos.242238
EurekAlert:T. rex’s direct ancestor crossed from Asia to North America
#科学
盖茨称马斯克需要为杀死最贫困儿童负责
2025-05-08 23:35 by 总门谷
比尔盖茨指责马斯克(Elon Musk)通过大幅削减美国国际援助而杀死了世界最贫困的儿童。盖茨宣布将在未来二十年加速慈善捐赠,到 2045 年关闭盖茨基金会。他在接受采访时表示马斯克此举是出于无知。盖茨举例说,马斯克终止了对莫桑比克加沙省一家医院的拨款,这笔拨款被用于防止妇女将艾滋病传染给婴儿。而马斯克以为这笔拨款是用于为巴勒斯坦加沙的哈马斯提供避孕套。盖茨基金会每年的预算将增至 100 亿美元,盖茨计划只给子女保留不到 1% 的财富。盖茨说,马斯克称美国国际开发署为“犯罪组织”,但他根本不了解该机构的职责和运作方式。
Ars:Elon Musk is responsible for “killing the world’s poorest children,” says Bill Gates
#盖茨
2025-05-08 23:35 by 总门谷
比尔盖茨指责马斯克(Elon Musk)通过大幅削减美国国际援助而杀死了世界最贫困的儿童。盖茨宣布将在未来二十年加速慈善捐赠,到 2045 年关闭盖茨基金会。他在接受采访时表示马斯克此举是出于无知。盖茨举例说,马斯克终止了对莫桑比克加沙省一家医院的拨款,这笔拨款被用于防止妇女将艾滋病传染给婴儿。而马斯克以为这笔拨款是用于为巴勒斯坦加沙的哈马斯提供避孕套。盖茨基金会每年的预算将增至 100 亿美元,盖茨计划只给子女保留不到 1% 的财富。盖茨说,马斯克称美国国际开发署为“犯罪组织”,但他根本不了解该机构的职责和运作方式。
Ars:Elon Musk is responsible for “killing the world’s poorest children,” says Bill Gates
#盖茨
华为透露首款运行 HarmonyOS 5 的笔记本电脑
2025-05-09 00:03 by 火星之女
华为透露了首款搭载 HarmonyOS 5 的笔记本电脑。它拥有的微软 Windows 许可证已在今年 3 月过期。新电脑尚未命名,它搭配了华为的 AI 助手小艺(Celia),能执行创建幻灯片、总结会议摘要以及检索本地文档信息等功能。HarmonyOS 5 提供了 MS Office 的替代 WPS,阿里巴巴旗下的企业协作平台钉钉,社交媒体小红书,视频分享网站哔哩哔哩,以及字节跳动旗下的飞书等流行娱乐和办公应用。《南方日报》报道称,到年底 PC 版 HarmonyOS 操作系统将支持逾 2000 款应用。
SCMP:Huawei unveils first laptop running self-developed HarmonyOS as Windows licence expires
#游戏
2025-05-09 00:03 by 火星之女
华为透露了首款搭载 HarmonyOS 5 的笔记本电脑。它拥有的微软 Windows 许可证已在今年 3 月过期。新电脑尚未命名,它搭配了华为的 AI 助手小艺(Celia),能执行创建幻灯片、总结会议摘要以及检索本地文档信息等功能。HarmonyOS 5 提供了 MS Office 的替代 WPS,阿里巴巴旗下的企业协作平台钉钉,社交媒体小红书,视频分享网站哔哩哔哩,以及字节跳动旗下的飞书等流行娱乐和办公应用。《南方日报》报道称,到年底 PC 版 HarmonyOS 操作系统将支持逾 2000 款应用。
SCMP:Huawei unveils first laptop running self-developed HarmonyOS as Windows licence expires
#游戏
罗马天主教选择首位美籍枢机为教宗
2025-05-09 12:29 by 龙岛
罗马天主教会选出美国籍枢机 Robert Prevost 为新任教宗,其封号为良十四世(Pope Leo XIV)。69 岁的新任教宗发表演讲呼吁信众与全球罗马天主教徒构筑桥梁,以对话和平团结人类。Prevost 出生于芝加哥,职业生涯早期在芝加哥的圣奥古斯丁修道会工作;1985 年派至秘鲁服务,1988 年至 1998 年间历任教区司铎、教区官员、神学院教师和行政人员等职。他精通英语、西班牙语、意大利语、法语和葡萄牙语,可读拉丁语和德语。2023年由教宗方济各擢升为枢机。他是首位美国出身的教宗,也是首位奥古斯丁会出身的教宗。
en.wikipedia.org/wiki/Pope_Leo_XIV
#新闻
2025-05-09 12:29 by 龙岛
罗马天主教会选出美国籍枢机 Robert Prevost 为新任教宗,其封号为良十四世(Pope Leo XIV)。69 岁的新任教宗发表演讲呼吁信众与全球罗马天主教徒构筑桥梁,以对话和平团结人类。Prevost 出生于芝加哥,职业生涯早期在芝加哥的圣奥古斯丁修道会工作;1985 年派至秘鲁服务,1988 年至 1998 年间历任教区司铎、教区官员、神学院教师和行政人员等职。他精通英语、西班牙语、意大利语、法语和葡萄牙语,可读拉丁语和德语。2023年由教宗方济各擢升为枢机。他是首位美国出身的教宗,也是首位奥古斯丁会出身的教宗。
en.wikipedia.org/wiki/Pope_Leo_XIV
#新闻
印度要求 X 在其境内屏蔽逾 8000 个账号
2025-05-09 15:44 by 梦书迷宫
印度政府下令 X/Twiiter 对印度用户屏蔽逾 8000 个账号,否则可能会面临巨额罚款,甚至可能拘留 X 在印度办事处的员工。被屏蔽的账号包括知名的国际新闻机构,而印度政府也没有给出屏蔽理由。X 表示它将遵守命令开始屏蔽相关账号。此举可能与印度和巴基斯坦之间的武装冲突有关,印度政府试图控制对这起冲突的叙事。
CNBC:X says India asked it to block 8,000 accounts, including those of global news outlets
#审查
2025-05-09 15:44 by 梦书迷宫
印度政府下令 X/Twiiter 对印度用户屏蔽逾 8000 个账号,否则可能会面临巨额罚款,甚至可能拘留 X 在印度办事处的员工。被屏蔽的账号包括知名的国际新闻机构,而印度政府也没有给出屏蔽理由。X 表示它将遵守命令开始屏蔽相关账号。此举可能与印度和巴基斯坦之间的武装冲突有关,印度政府试图控制对这起冲突的叙事。
CNBC:X says India asked it to block 8,000 accounts, including those of global news outlets
#审查
特定基因让花散发出臭味
2025-05-09 15:59 by 穹顶之下
有些植物吸引传粉媒介的方式并非依靠馥郁的甜香,而是浓烈的腐臭。一项新研究展示了植物是如何成功做到这一点的。研究人员报告,在细辛属植物(Asarum)的花朵中,一种通常用于解毒恶臭化合物的基因反而会演化出产生难闻气味的功能。这些发现揭示了植物会如何利用广泛保守的代谢途径来获取生态优势。气味难闻花朵的一个关键特征是它们会释放挥发性的恶臭化合物,特别是二甲基二硫 (DMDS) 和二甲基三硫 (DMTS) 等寡聚硫化物。这些化合物会模拟腐烂物质所发出的化学信号。这些演变出来的特性为了吸引各类传粉昆虫。
DOI 10.1126/science.adu8988
EurekAlert:对某个基因的简单调整可导致花朵散发腐臭气味
#科学
2025-05-09 15:59 by 穹顶之下
有些植物吸引传粉媒介的方式并非依靠馥郁的甜香,而是浓烈的腐臭。一项新研究展示了植物是如何成功做到这一点的。研究人员报告,在细辛属植物(Asarum)的花朵中,一种通常用于解毒恶臭化合物的基因反而会演化出产生难闻气味的功能。这些发现揭示了植物会如何利用广泛保守的代谢途径来获取生态优势。气味难闻花朵的一个关键特征是它们会释放挥发性的恶臭化合物,特别是二甲基二硫 (DMDS) 和二甲基三硫 (DMTS) 等寡聚硫化物。这些化合物会模拟腐烂物质所发出的化学信号。这些演变出来的特性为了吸引各类传粉昆虫。
DOI 10.1126/science.adu8988
EurekAlert:对某个基因的简单调整可导致花朵散发腐臭气味
#科学
Linux 发行版 AnduinOS 的维护者是微软华裔工程师
2025-05-09 17:40 by 金斯顿城·卷二:风暴之歌
模仿 Windows 11 主题的 Linux 发行版 AnduinOS 最近因为进入了 DistroWatch 排行榜而引起了关注,它的唯一维护者 Anduin Xue 公开了身份:他是一名微软工程师,但工作与 Windows 操作系统不相干。他是在空闲时间维护这个基于 Ubuntu 的发行版的,每个月只抽出几小时时间维护它,因此没有计划商业化,也没考虑接受捐赠。他来自中国,因此有人担心该发行版可能会含有后门。Anduin Xue 说发行版的源代码是公开的,为政府植入后门是很容易曝光的。他表示如果未来有赞助或企业合作,他可能会全职维护该发行版。
news.anduinos.com/post/2025/5/6/story-behind-anduinos-a-letter-from-anduin
#Linux
2025-05-09 17:40 by 金斯顿城·卷二:风暴之歌
模仿 Windows 11 主题的 Linux 发行版 AnduinOS 最近因为进入了 DistroWatch 排行榜而引起了关注,它的唯一维护者 Anduin Xue 公开了身份:他是一名微软工程师,但工作与 Windows 操作系统不相干。他是在空闲时间维护这个基于 Ubuntu 的发行版的,每个月只抽出几小时时间维护它,因此没有计划商业化,也没考虑接受捐赠。他来自中国,因此有人担心该发行版可能会含有后门。Anduin Xue 说发行版的源代码是公开的,为政府植入后门是很容易曝光的。他表示如果未来有赞助或企业合作,他可能会全职维护该发行版。
news.anduinos.com/post/2025/5/6/story-behind-anduinos-a-letter-from-anduin
#Linux
不可避免的内存安全(Memory Safety)之路
2025-05-09 19:20 by 光明之子
Shawn the R0ck 写道:“Memory safety 近年来成为热门话题。但在讨论“memory safety”时,我们需要先明确究竟在探讨什么、追求什么目标。你是在关注通过编译器完成静态分析(如 Clang Static Analyzer、rustc 等)来在编译阶段捕获潜在问题,还是更信任编译器让代码顺利编译,通过运行时机制(比如 Go 或 Java 中的垃圾回收)来解决所有问题?或者,你仅仅关注于安全加固的最终目标——即防止系统遭受攻击?内存安全问题的复杂性正反映了安全领域的本质:安全是一门交叉学科,融合了计算机科学和复杂性理论,这使得要完全掌控其复杂性变得异常困难。因此,企图通过单一或者几种 “memory-safe language” 重写现有软件,从而彻底杜绝所有安全隐患,并非现实可行的方案。
一门编程语言在设计时可能就倾向于提供内存安全机制,例如自动垃圾回收、数组边界检查等,这些机制在规范层面上勾画了一个理想状态。但在现实中,不同的实现者会出于需求和性能指标的考虑采取不同的策略。例如,虽然 Lisp 通常配备垃圾回收机制、支持灵活的数据操作和动态类型系统,但这并不意味着所有 Lisp 解释器都能完全消除内存安全问题。如果由于特定需求或追求性能而对部分安全检查作出妥协,那么内存越界或非法指针访问等安全隐患依然有可能出现。
同样,C/C++ 被长期视为“不安全”的语言,因为它允许程序员直接操作内存和执行指针运算。然而,通过严谨的工程化手段(如静态分析工具、严格的代码审查、运行时检测机制等),使得 C/C++ 在特定环境下无限接近无 Bug 状态也是可能的。本文将以 HardenedLinux 过去数十年中在对抗系统复杂性、提升内存安全方面的一些做法为背景进行探讨。总体来看,内存安全不仅关乎编译器或运行时单一环节的责任,而是需要在语言设计、工具支持、工程实践等多方面协同努力,以实现最终“系统不被攻陷”的安全目标。本文不涉足强制访问控制,沙箱,Linux内核加固等议题。”
hardenedlinux.github.io/system-security/2025/05/07/path-to-memory-safety-inevitable.html
#安全
2025-05-09 19:20 by 光明之子
Shawn the R0ck 写道:“Memory safety 近年来成为热门话题。但在讨论“memory safety”时,我们需要先明确究竟在探讨什么、追求什么目标。你是在关注通过编译器完成静态分析(如 Clang Static Analyzer、rustc 等)来在编译阶段捕获潜在问题,还是更信任编译器让代码顺利编译,通过运行时机制(比如 Go 或 Java 中的垃圾回收)来解决所有问题?或者,你仅仅关注于安全加固的最终目标——即防止系统遭受攻击?内存安全问题的复杂性正反映了安全领域的本质:安全是一门交叉学科,融合了计算机科学和复杂性理论,这使得要完全掌控其复杂性变得异常困难。因此,企图通过单一或者几种 “memory-safe language” 重写现有软件,从而彻底杜绝所有安全隐患,并非现实可行的方案。
一门编程语言在设计时可能就倾向于提供内存安全机制,例如自动垃圾回收、数组边界检查等,这些机制在规范层面上勾画了一个理想状态。但在现实中,不同的实现者会出于需求和性能指标的考虑采取不同的策略。例如,虽然 Lisp 通常配备垃圾回收机制、支持灵活的数据操作和动态类型系统,但这并不意味着所有 Lisp 解释器都能完全消除内存安全问题。如果由于特定需求或追求性能而对部分安全检查作出妥协,那么内存越界或非法指针访问等安全隐患依然有可能出现。
同样,C/C++ 被长期视为“不安全”的语言,因为它允许程序员直接操作内存和执行指针运算。然而,通过严谨的工程化手段(如静态分析工具、严格的代码审查、运行时检测机制等),使得 C/C++ 在特定环境下无限接近无 Bug 状态也是可能的。本文将以 HardenedLinux 过去数十年中在对抗系统复杂性、提升内存安全方面的一些做法为背景进行探讨。总体来看,内存安全不仅关乎编译器或运行时单一环节的责任,而是需要在语言设计、工具支持、工程实践等多方面协同努力,以实现最终“系统不被攻陷”的安全目标。本文不涉足强制访问控制,沙箱,Linux内核加固等议题。”
hardenedlinux.github.io/system-security/2025/05/07/path-to-memory-safety-inevitable.html
#安全
Linux 停止支持 486 和第一代奔腾处理器
2025-05-09 23:50 by 千与千寻
即将发布的 Linux 6.15 将停止支持有 36 年历史的 486 以及第一代奔腾处理器。微软早在 2001 年发布 Windows XP 后就停止了对 486 的支持。Linux 作者 Linus Torvalds 在内核邮件列表上表示是时候放弃支持 i486 了,不值得在 i486 上浪费开发精力。资深内核开发者 Ingo Molnar 解释说,为了支持已经很少有人使用的旧 x86-32 架构,内核开发者花费了很多力气去实现兼容性。这种兼容性粘合常常会带来需要大量精力解决的问题,这些时间本可以做其它事情。Linux 是在 2012 年停止支持 386。未来对 x86 CPU 的支持最低将是 P5 微架构的奔腾处理器。
ZDNet: Linux drops support for 486 and early Pentium processors - 20 years after Microsoft
#Linux
2025-05-09 23:50 by 千与千寻
即将发布的 Linux 6.15 将停止支持有 36 年历史的 486 以及第一代奔腾处理器。微软早在 2001 年发布 Windows XP 后就停止了对 486 的支持。Linux 作者 Linus Torvalds 在内核邮件列表上表示是时候放弃支持 i486 了,不值得在 i486 上浪费开发精力。资深内核开发者 Ingo Molnar 解释说,为了支持已经很少有人使用的旧 x86-32 架构,内核开发者花费了很多力气去实现兼容性。这种兼容性粘合常常会带来需要大量精力解决的问题,这些时间本可以做其它事情。Linux 是在 2012 年停止支持 386。未来对 x86 CPU 的支持最低将是 P5 微架构的奔腾处理器。
ZDNet: Linux drops support for 486 and early Pentium processors - 20 years after Microsoft
#Linux
墨西哥就地图将墨西哥湾改名为美国湾起诉 Google
2025-05-10 19:34 by 虚拟现实
墨西哥就 Google Maps 针对美国用户将“墨西哥湾(Gulf of Mexico)”改名为“美国湾(Gulf of America)”起诉 Google。美国众议院周四投票通过了改名法案,要求联邦机构将所有地图和文件中的“墨西哥湾”都改名为“美国湾”。墨西哥总统 Claudia Sheinbaum 表示,根据国际规则,墨西哥湾是一个多国共享的水域,其名称具有国际法律效力,而美国只有权将美国大陆架部分改名为美国湾,而不是给整片海域命名。现有美国领土有很大一部分两百年前是属于墨西哥,墨西哥湾就是这历史的一部分。
/.:Mexico Sues Google Over Changing Gulf of Mexico's Name For US Users
#Google
2025-05-10 19:34 by 虚拟现实
墨西哥就 Google Maps 针对美国用户将“墨西哥湾(Gulf of Mexico)”改名为“美国湾(Gulf of America)”起诉 Google。美国众议院周四投票通过了改名法案,要求联邦机构将所有地图和文件中的“墨西哥湾”都改名为“美国湾”。墨西哥总统 Claudia Sheinbaum 表示,根据国际规则,墨西哥湾是一个多国共享的水域,其名称具有国际法律效力,而美国只有权将美国大陆架部分改名为美国湾,而不是给整片海域命名。现有美国领土有很大一部分两百年前是属于墨西哥,墨西哥湾就是这历史的一部分。
/.:Mexico Sues Google Over Changing Gulf of Mexico's Name For US Users
研究发现使用 AI 可能会损害职业声誉
2025-05-10 21:21 by 人猿泰山之结缘蚁人
根据杜克大学研究人员在 PNAS 期刊上发表的一项研究,使用 AI 是一把双刃剑——生成式 AI 可能会提高部分人的生产力,但也可能会损害他们的职业声誉。研究发现,在工作中使用 ChatGPT、Claude 和 Gemini 等 AI 工具的员工会面临同事和上司对其能力和积极性的负面评价。研究团队对逾 4400 名参与者展开了四项实验,调查对使用 AI 工具的用户的预期和实际评价。研究揭示了人们对使用 AI 帮助完成工作的人存在一致的偏见。针对 AI 用户的社会污名并不局限于特定人群。
www.pnas.org/doi/suppl/10.1073/pnas.2426766122
#人工智能
2025-05-10 21:21 by 人猿泰山之结缘蚁人
根据杜克大学研究人员在 PNAS 期刊上发表的一项研究,使用 AI 是一把双刃剑——生成式 AI 可能会提高部分人的生产力,但也可能会损害他们的职业声誉。研究发现,在工作中使用 ChatGPT、Claude 和 Gemini 等 AI 工具的员工会面临同事和上司对其能力和积极性的负面评价。研究团队对逾 4400 名参与者展开了四项实验,调查对使用 AI 工具的用户的预期和实际评价。研究揭示了人们对使用 AI 帮助完成工作的人存在一致的偏见。针对 AI 用户的社会污名并不局限于特定人群。
www.pnas.org/doi/suppl/10.1073/pnas.2426766122
#人工智能
美国咖啡店限制客户将其作为办公场所
2025-05-10 21:44 by 美丽之星
美国咖啡店正采取措施限制客户长时间占据座位,将咖啡店当作远程办公场所使用的行为。纽约 Devocion 连锁店将 WiFi 开放限制在工作日两小时时段,周末则完全关闭。底特律 Alba 咖啡店自 2023年 开业以来一直没有提供 WiFi。部分咖啡店甚至用胶带封住了电源插座。华盛顿 DC 咖啡馆 Elle 一开始没有提供 WiFi,因网上的差评而改为 WiFi 开放时间限制在周一至周四上午 8 点至下午 3 点,使用时间上限为 90 分钟。当然也有咖啡店认识到部分客户有远程办公的需求。它们特地为远程办公的客户提供了单独的房间,按小时收费,如果额外消费的话可获得积分。
/.:Coffee Shops Ditch WiFi and Laptops To Limit Remote Work
#商业
2025-05-10 21:44 by 美丽之星
美国咖啡店正采取措施限制客户长时间占据座位,将咖啡店当作远程办公场所使用的行为。纽约 Devocion 连锁店将 WiFi 开放限制在工作日两小时时段,周末则完全关闭。底特律 Alba 咖啡店自 2023年 开业以来一直没有提供 WiFi。部分咖啡店甚至用胶带封住了电源插座。华盛顿 DC 咖啡馆 Elle 一开始没有提供 WiFi,因网上的差评而改为 WiFi 开放时间限制在周一至周四上午 8 点至下午 3 点,使用时间上限为 90 分钟。当然也有咖啡店认识到部分客户有远程办公的需求。它们特地为远程办公的客户提供了单独的房间,按小时收费,如果额外消费的话可获得积分。
/.:Coffee Shops Ditch WiFi and Laptops To Limit Remote Work
#商业
NASA 将天文观测数据音乐化
2025-05-10 21:54 by 全面启动
NASA 发布三则最新声音化作品,将哈勃太空望远镜(Hubble)、詹姆斯・韦伯太空望远镜(James Webb)、钱德拉 X 射线天文台(Chandra)、X 光偏振成像卫星(IXPE)等太空望远镜所搜集的观测资料,转译为音乐形式,带领听众用耳朵探索宇宙中最极端的天体:黑洞。这三段声音化作品分别呈现黑洞形成前的恒星状态、黑洞与伴星的动态交互作用,以及黑洞巨大能量喷流的壮观景象。
www.nasa.gov/missions/chandra/nasa-telescopes-tune-into-a-black-hole-prelude-fugue/
天文館:黑洞進行曲:NASA 將黑洞觀測轉譯為可聽見的宇宙
#NASA
2025-05-10 21:54 by 全面启动
NASA 发布三则最新声音化作品,将哈勃太空望远镜(Hubble)、詹姆斯・韦伯太空望远镜(James Webb)、钱德拉 X 射线天文台(Chandra)、X 光偏振成像卫星(IXPE)等太空望远镜所搜集的观测资料,转译为音乐形式,带领听众用耳朵探索宇宙中最极端的天体:黑洞。这三段声音化作品分别呈现黑洞形成前的恒星状态、黑洞与伴星的动态交互作用,以及黑洞巨大能量喷流的壮观景象。
www.nasa.gov/missions/chandra/nasa-telescopes-tune-into-a-black-hole-prelude-fugue/
天文館:黑洞進行曲:NASA 將黑洞觀測轉譯為可聽見的宇宙
#NASA