Hacker News
Alberta startup sells no-tech tractors for half price
Ursa Ag:以复古技术满足美国农民对简易农机的需求 (Ursa Ag: Meeting American Farmers' Demand for Simple Farm Machinery with Retro Technology)
以下是对文章内容的总结:
加拿大公司Ursa Ag正在制造一种独特类型的农机,它迎合了美国农民对简单、易于维修且价格合理的农机日益增长的需求。该公司以大约一半的价格销售其拖拉机,与John Deere等传统品牌相比,价格更具优势。
核心特点:
- 引擎: Ursa Ag的拖拉机采用1990年代的12气门Cummins柴油引擎,这些引擎经过翻新,以150马力和260马力的两种规格提供。
- 机械化设计: 拖拉机完全采用机械控制,没有ECU或专有软件,燃料喷射系统采用Bosch P-泵。驾驶室也经过简化,配备了气动座椅和基本控制装置。
- 价格: 150马力型号起价129,900加元(约95,000美元),260马力型号为199,900加元(约146,000美元)。
背景与原因:
- 维修权之争: Ursa Ag的出现与John Deere的“维修权”争议密切相关。农民们发现他们无法在没有授权经销商软件的情况下修理自己的设备,这引发了诉讼和立法。
- 对简单性的需求: 许多农民对现代拖拉机日益增长的复杂性和成本感到不满,他们更倾向于使用维护良好的旧款设备。Ursa Ag旨在满足这种需求,提供具有全新外观、保修和简单引擎理念的机器。
- 广泛的零件供应: 12气门Cummins引擎在北美被广泛应用,因此零件易于获取,维修成本降低,减少了因设备故障造成的停机时间。
现状与未来:
- 需求旺盛: 在一次采访后,来自美国农民的400个咨询请求表明了市场需求。
- 生产挑战: Ursa Ag目前规模较小,供应链和经销商网络尚未完善,无法满足所有订单。该公司预计到2026年产量将大幅增加,但能否实现这一目标仍有待观察。
- 美国市场: Ursa Ag尚未在美国建立经销商,但计划进入美国市场,并已准备好向美国发货。
总结:
Ursa Ag的成功表明,在农机行业长期以来对复杂性和成本的追求之后,对简单、可靠和易于维修的农机仍然存在巨大的需求。 该公司能否扩大生产并满足整个大陆的需求,将决定其未来的发展。
(Chinese Translation: 总结了文章内容,重点介绍了Ursa Ag公司生产的拖拉机特点、出现的原因以及目前面临的挑战和机遇。)
|
|
I am building a cloud
背景:
exe.dev 正在启动一项新的云服务项目,并于 2024 年 4 月 22 日宣布融资。项目创始人,同时也是 Tailscale 的联合创始人,表示此次启动并非为了追求挑战,而是源于对现有云服务的强烈不满。
核心问题:对现有云服务的批判
创始人对当前云服务存在以下核心不满:
- 错误的抽象层: 现有的云服务在抽象层设计上存在问题,限制了用户对计算机的控制和灵活性。VM 绑定 CPU/内存资源是一种不合理的限制。
- PaaS 平台的局限性: PaaS 平台虽然提供了更高级的抽象,但牺牲了灵活性,并可能存在难以发现的限制,导致项目开发受阻。
- 磁盘性能瓶颈: 远程块设备在 SSD 时代导致 IOPS 性能大幅下降,导致云基础设施性能受限。
- 高昂的网络费用: 云服务商对网络出流量收取高额费用,限制了用户的成本效益。
- API 设计糟糕: 现有的云服务API设计不合理,导致需要使用如 Kubernetes 这样的工具来缓解问题,但 Kubernetes 本身也只是在现有云架构之上进行补救,无法解决根本性问题。
解决方案:exe.dev 的愿景
exe.dev 旨在构建一个全新的云服务,其核心理念是:
- 更灵活的资源管理: 用户可以直接购买 CPU、内存和磁盘资源,并根据需要运行 VM。
- 本地 NVMe 磁盘: 提供本地 NVMe 磁盘,并通过异步复制实现数据可靠性,大幅提升磁盘 IOPS 性能。
- 全球分布: 在全球范围内部署数据中心,为用户提供低延迟访问。
- Anycast 网络: 使用 Anycast 网络技术,改善用户访问体验并为未来创新打下基础。
- 重视基础架构: 从底层开始构建,重新审视每一层软件栈的设计,探索最佳的网络连接方式。
驱动因素:Agent 技术的兴起
创始人认为,随着 Agent 技术的兴起,人们将编写更多的软件,对计算资源的需求将大幅增加。现有的云服务在处理如此大规模的软件需求时将面临更大的挑战,因此需要一个更易于管理、更高效的云服务。
已发布的功能:
exe.dev 已经发布了第一步解决方案,解决了VM资源隔离问题,用户可以获得CPU和内存资源,并运行他们想要的VM。同时,提供TLS代理和身份验证代理,确保VM的安全。
未来展望:
exe.dev 计划持续完善云服务,包括提供静态 IP、优化用户体验、支持自动历史磁盘快照等功能。该项目致力于打造一个用户真正想使用的云服务。
总结:
exe.dev 旨在通过重新设计云服务的底层架构,解决现有云服务存在的诸多问题,为用户提供更灵活、更高效、更经济的计算资源。该项目的成功与 Agent 技术的发展和对计算资源需求的增长密切相关。
|
We found a stable Firefox identifier linking all your private Tor identities
Firefox 浏览器 IndexedDB 漏洞摘要 (Firefox Browser IndexedDB Vulnerability Summary)
近期,研究人员发现了一个影响所有基于 Firefox 的浏览器的隐私漏洞。该漏洞允许网站通过分析 IndexedDB 返回条目的顺序来推断出一个独特的、确定性的、且在整个进程生命周期中稳定的标识符,即使在用户期望更强隔离的环境中也是如此。
主要问题:
- 稳定标识符: 网站可以创建多个 IndexedDB 数据库,检查返回的顺序,并将其用作浏览器进程的指纹。
- 跨域追踪: 即使是无关的网站也能观察到相同的标识符,从而在同一浏览器运行时追踪用户活动。
- 私密浏览模式失效: 在 Firefox 的私密浏览模式下,该标识符甚至可以在所有私密窗口关闭后仍然存在,只要 Firefox 进程还在运行。在 Tor 浏览器中,即使使用“新建身份”功能(旨在清除 Cookie、历史记录并使用新的 Tor 电路),该标识符也会持续存在。
- 影响预期: 该漏洞破坏了用户对私密浏览模式和隐私浏览器的期望,即无关网站不应能识别同一浏览器实例,且私密会话结束后状态应消失。
技术细节:
该漏洞源于 indexedDB.databases() API 的实现方式。在私密浏览模式下,该 API 返回的数据库元数据顺序并非基于数据库的创建顺序,而是基于内部存储结构,并通过全局哈希表将数据库名称映射到 UUID。这种映射在 Firefox 进程的整个生命周期中保持稳定,导致返回的顺序成为一个确定性的函数,依赖于 UUID 值、哈希函数行为和哈希表的内部结构。
修复方案:
Mozilla 已经发布了修复程序,包含在 Firefox 150 和 ESR 140.10.0 版本中 (Mozilla Bug 2024220)。修复方案的关键在于避免暴露源于内部存储布局的熵值,例如通过对结果进行排序来返回规范化的顺序。
影响评估:
- 跨域追踪: 无关网站可以推断出他们正在与同一 Firefox 或 Tor 浏览器进程交互,从而在不使用 Cookie 或其他共享存储的情况下追踪用户活动。
- 同域追踪: 在 Firefox 私密浏览模式下,标识符可能在所有私密窗口关闭后仍然存在,从而允许网站识别看似全新的私密会话。
- Tor 浏览器影响: 该漏洞严重削弱了 Tor 浏览器的隔离性,使其无法完全断开用户活动之间的联系。
- 指纹识别能力: 该标识符具有高容量,理论上可以区分大量的并发浏览器实例。
总结:
该漏洞强调了在浏览器设计中考虑隐私的重要性,即使看似无害的 API 也可能成为跨站追踪的途径。 通过规范化输出,浏览器可以消除这种熵值,恢复预期的隐私边界。
|
Apple fixes bug that cops used to extract deleted chat messages from iPhones
Apple 发布软件更新修复 iPhone 和 iPad 上的通知缓存漏洞
核心内容:
苹果公司于 2026 年 4 月 22 日发布了针对 iPhone 和 iPad 的软件更新,旨在修复一个安全漏洞。该漏洞允许执法部门提取已删除或自动消失的消息内容,即使这些消息已在消息应用程序中删除。
漏洞详情:
- 问题根源: 消息应用程序的通知(显示消息内容)会被设备缓存长达一个月。
- 利用方式: 联邦调查局 (FBI) 已经利用该漏洞,通过法医工具从 iPhone 中提取已删除的 Signal 消息。即使消息已在 Signal 应用中删除,其内容仍然存储在设备的数据库中,因为此前曾以通知的形式显示过。
- Signal 的反应: Signal 总裁 Meredith Whittaker 在 Bluesky 上表示,Signal 已经向 Apple 提出了解决此问题的请求,强调“删除消息后的通知不应保留在任何操作系统通知数据库中”。
Apple 的回应:
- 官方声明: Apple 在其网站上的安全公告中表示,该漏洞导致“标记删除的通知可能会意外地保存在设备上”。
- 修复措施: 此次更新修复了该问题,并回溯性地应用于运行较旧 iOS 18 版本的 iPhone 和 iPad。
- 原因不明: 苹果尚未立即回应关于为何最初会记录通知内容的询问。
影响与背景:
- 隐私担忧: 隐私倡导者对 FBI 绕过安全功能的做法表示担忧,因为许多用户(特别是高危用户)依赖自动删除消息的功能来保护其对话隐私。
- 自动删除功能: 像 Signal 和 WhatsApp 这样的消息应用程序允许用户设置自动删除消息的定时器,以便在设备被执法部门扣押的情况下保护对话内容。
联系方式:
TechCrunch 记者 Lorenzo Franceschi-Bicchierai 鼓励提供有关执法部门如何使用法医工具在 iPhone 和 Android 设备上进行操作的信息。联系方式包括 Signal (+1 917 257 1382)、Telegram 和 Keybase (@lorenzofb) 以及电子邮件 (lor...@techcrunch.com)。
|
Over-editing refers to a model modifying code beyond what is necessary
AI 代码辅助工具的过度编辑问题研究与改进
摘要: 本文探讨了当前 AI 代码辅助工具(如 Cursor, GitHub Copilot, Claude Code 等)普遍存在的“过度编辑”问题,即在修复简单 bug 时,模型倾向于对代码进行不必要的、大规模的重写。这种现象增加了代码审查的难度,可能导致代码库质量下降。文章通过构建数据集、定义指标、实验对比,研究了过度编辑的程度,并探索了通过训练模型来提升其编辑忠实度的方法。
核心内容:
1. 过度编辑问题:
- 定义: 模型修改代码超出修复问题所需范围,导致输出功能正确但结构与原始代码差异过大。
- 示例: 修复一个简单的 off-by-one 错误,模型却重写整个函数,添加了不必要的检查、转换和逻辑。
- 影响: 增加代码审查负担,降低代码可读性,可能导致代码库质量下降。
- 与测试的关联: 过度编辑是“brown-field”场景下的问题,与代码正确性测试无法直接关联。
2. 过度编辑的衡量:
- 数据集: 基于 BigCodeBench,通过程序化方式引入 400 个错误 (例如:翻转比较运算符,交换加减号),确保错误是最小修复所需的反转操作。
- 指标:
- Token-level Levenshtein Distance (基于 Token 的编辑距离): 衡量模型输出与原始代码之间的差异,比字符级别的编辑距离更精确。
- Added Cognitive Complexity (新增认知复杂度): 衡量模型修改后代码的可读性,理想情况下,修复后的复杂度应与原始代码相同。
3. 模型实验结果:
- 总体情况: 即使是先进的模型 (如 GPT-5.4) 也存在过度编辑问题。Claude Opus 4.6 在 Pass@1 准确率和编辑距离方面表现最佳。
- Reasoning vs. Non-Reasoning 模型: 在没有明确指令的情况下,Reasoning 模型更容易过度编辑。
- Prompting 效果: 明确提示模型“尽可能保持原始代码和逻辑”可以显著降低过度编辑,提高 Pass@1 准确率,尤其对 Reasoning 模型效果明显。
4. 训练改进:
- 数据集: 使用程序化生成的数据集和通过模型自蒸馏生成的数据集进行训练。
- 方法: 对 Qwen3 4B 2507 Instruct 模型进行微调,对比了以下方法:
- SFT (监督微调): 直接在生成的数据集上进行微调,效果不佳,容易过拟合。
- rSFT (拒绝采样监督微调): 训练时只使用编辑距离最小的样本,效果比 SFT 略好。
- DPO (偏好优化): 基于模型输出的偏好进行优化,效果中等。
- RL (强化学习): 使用结合编辑距离和功能正确性的奖励函数进行训练,效果最佳,且在更大模型 (Qwen3 14B) 上也有效,且不会导致灾难性遗忘。
- LoRA: 使用 LoRA (低秩适应) 技术,在保持模型原有能力的基础上,通过少量新增参数调整编辑风格,效果接近于全量微调,且更高效。
结论:
- 过度编辑是当前 AI 代码辅助工具普遍存在的问题。
- Prompting 和模型训练可以有效降低过度编辑,提升代码编辑的忠实度。
- 强化学习是提升模型编辑忠实度的有效方法,且能有效避免灾难性遗忘。
- LoRA 技术可以有效降低训练成本,实现风格调整。
未来展望:
- 进一步研究如何量化和评估 AI 代码辅助工具的编辑质量。
- 探索更有效的模型训练方法,以提升模型编辑忠实度。
- 将这些改进应用于更复杂的代码生成场景,例如 agentic evaluation paradigms.
关键词: AI 代码辅助,过度编辑,代码审查,强化学习,LoRA,模型微调。
|
Technical, cognitive, and intent debt
大型语言模型与软件开发新趋势:债务、认知与验证
本文探讨了大型语言模型 (LLM) 对软件开发领域带来的变革性影响,提出了关于系统健康、认知过程、代码验证等多个方面的思考。
1. 系统健康的三层债务:
Margaret-Anne Storey 提出了系统健康的三层模型:
- 技术债务 (Technical Debt): 存在于代码中,由为了快速实现而牺牲未来可维护性做出的权衡造成的。限制了系统变更的能力。
- 认知债务 (Cognitive Debt): 存在于团队成员的认知中,当对系统理解的消退速度超过了知识积累的速度时产生。限制了团队对变更的理解能力。
- 意图债务 (Intent Debt): 存在于系统文档及设计文档中,由于目标和约束条件记录不清晰或维护不当而产生。限制了系统能否持续反映最初的设计意图,并阻碍了人类和 AI 代理有效演进系统的能力。
2. Kahneman 的双系统认知模型与 AI (System 3):
借鉴 Kahneman 的“思考,快与慢”理论,Shaw 和 Nave 将 AI 视为第三种认知系统 (System 3)。System 1 是直觉的快速决策,System 2 是经过深思熟虑的分析。 System 3 的引入带来了 "认知放弃 (cognitive surrender)" 的现象,即对 AI 生成的推理不加批判性地依赖,绕过了 System 2 的思考过程。 与此相对的是 "认知外包 (cognitive offloading)",即在思考过程中有策略地将认知任务委托给外部代理。
3. 代码图标的误解与 HTML 的影响:
文章指出,一些图标中使用 “< >” 来表示代码,这源于对 HTML 或 XML 的联想,而非编程语言本身的语法。这反映了人们对编程语言和标记语言的混淆。
4. 验证的重要性与代码代理的未来:
Ajey Gore 提出,当代码代理使编码变得“免费”时,验证成为新的瓶颈。随着微服务的数量增加,"正确" 的定义变得复杂且依赖于上下文。 验证成为了代码代理无法替代的关键判断环节。
- 转变组织结构: 未来的组织结构应以验证为中心,不再侧重于代码编写,而是强调定义验收标准、设计测试用例和监控结果。
- 从“我们交付了什么?”到“我们验证了什么?”: 团队的关注点应从产出转向结果的正确性。
- 重新定义角色: 原本负责功能开发的工程师将转变为验收标准定义者、测试用例设计者和结果监控者。
5. 代码的未来:编程语言的演变:
David Cassel 总结了关于代码未来的几种观点:
- 全新语言: 一些人正在探索专为 LLM 设计的全新编程语言。
- 现有语言: 另一些人认为,严格类型语言 (如 TypeScript 和 Rust) 更适合与 LLM 结合使用。
6. 领域驱动设计 (DDD) 与 “通用语言 (Ubiquitous Language)":
文章强调了人类与 LLM 合作构建有意义的抽象的重要性,这与领域驱动设计中的“通用语言”概念相符。通过 LLM 共同成长和塑造语言,可以清晰地表达代码的意图,降低复杂性,并使代码更易于理解。 核心在于选择能够清晰反映解决方案结构和问题本质的名称。
|
|
Youth Suicides Declined After Creation of National Hotline
https://www.nytimes.com/2026/04/22/science/988-youth-suicides-decline.html
|
Website streamed live directly from a model
翻书:一个生成式视觉互联网 (Flipbook: A Generative Visual Internet)
以下是对“Flipbook”内容的摘要:
Flipbook 是一个旨在构建一个生成式视觉互联网的概念。它不仅仅是现有的互联网内容展示平台,而是力图创造一个全新的、以视觉为核心、由人工智能驱动的网络体验。
核心理念:
- 生成式内容: Flipbook 的关键在于其内容并非预先存在,而是由人工智能模型生成的。这意味着用户可以获得动态、个性化且不断变化的视觉体验。
- 视觉互联网: 强调视觉信息作为互联网的主要组成部分,打破了传统以文本为主导的模式。
- 无缝体验: 旨在提供流畅、直观的浏览体验,用户可以在视觉内容中自由探索和互动。
关键特征(基于所提供信息推断):
虽然提供的文本非常简短,但可以推断 Flipbook 具有以下潜在特征:
- 动态视觉: 生成的内容预计是动态的,例如动画、视频或其他形式的动态图像,而非静态图片。
- 人工智能驱动: 人工智能模型负责生成视觉内容,可能涉及图像生成、视频生成、风格迁移等技术。
- 探索性浏览: 用户可以预期能够以一种非线性的、探索性的方式浏览和发现视觉内容。
- 个性化: 生成的内容可能根据用户偏好和互动进行定制。
图像补充:
提供的 /flipbook-unfurl.jpg 图像暗示了 Flipbook 的名称可能来源于翻书的概念,并且可能涉及一种展开或展现的视觉效果。 这可能表示用户可以逐步探索或展开视觉内容,就像翻阅一本翻书一样。
总结:
Flipbook 旨在创建一个由人工智能生成、以视觉为核心的互联网。它超越了传统的互联网模式,提供动态、个性化和探索性的视觉体验。 该项目目前处于概念阶段,但其目标是重新定义我们与互联网互动的方式。
|
Parallel agents in Zed
Zed 新功能:并行代理与线程侧边栏概览
Zed 软件编辑器发布了新功能,允许开发者在同一窗口中并行运行多个代理(Agents),并通过新的线程侧边栏进行控制和监控。该功能以 Zed 标志性的 120fps 运行,支持自定义代理,并且所有代码均为开源。
主要功能与改进:
- 并行代理(Parallel Agents): 允许开发者在同一窗口中同时运行多个代理,从而更高效地进行软件开发。
- 线程侧边栏(Threads Sidebar):
- 提供所有线程的概览,按项目分组。
- 允许开发者为每个线程选择不同的代理。
- 支持跨项目工作,允许代理在多个仓库中读取和写入。
- 可以隔离工作树。
- 提供快速访问功能,如停止、存档和启动线程。
- 默认布局调整: 线程侧边栏成为主要导航方式,默认情况下,线程侧边栏位于左侧,与代理面板相邻,项目面板和 Git 面板位于右侧。用户可以在设置中自定义面板位置。
- 人机协作: 强调开发者应将 AI 工具与人工编码相结合,而非完全依赖或禁用 AI。Zed 的并行代理设计基于“代理式工程”(Agentic Engineering)理念,旨在通过结合人工工艺和 AI 工具来构建更好的软件。
- 易用性改进: 经过多次用户体验迭代和内部讨论,优化了多线程管理体验,即使在处理多个项目和代理时,也能保持组织性和效率。
如何开始使用:
- 下载或更新到最新版本的 Zed。
- 通过左下角的图标或快捷键
option-cmd-j (macOS) / ctrl-option-j (Linux/Windows) 打开线程侧边栏。
总结:
Zed 的新功能旨在提升开发者使用 AI 工具进行软件开发的效率和体验,通过并行代理和线程侧边栏,提供更强大的控制和组织能力,鼓励人机协作,并最终帮助开发者构建更可靠、易于维护的软件系统。
|
Scores decline again for 13-year-old students in reading and mathematics
13 岁学生阅读和数学成绩再次下降:2022-23 年度国家评估中心数据摘要
以下是对国家教育统计中心 (NCES) 发布的 2022-23 学年针对 13 岁学生进行阅读和数学长趋势评估 (LTT) 的摘要。
主要发现:
- 成绩下降: 2023 年,13 岁学生的平均阅读成绩下降了 4 分,数学成绩下降了 9 分,与 2019-20 学年相比。与十年前相比,阅读成绩下降了 7 分,数学成绩下降了 14 分。
- 分位数变化: 在所有选定的百分位数(10%、25%、50%、75%、90%)上,13 岁学生的阅读成绩均在 2023 年下降了,数学成绩也下降了。数学成绩的下降幅度在低分位学生中更为明显。
- 学生群体: 许多学生群体在阅读方面成绩下降,几乎所有学生群体在数学方面成绩下降。男性和女性、符合和不符合国家学校午餐计划 (NSLP) 的学生、以及东北部和中西部地区的学生,阅读成绩均有所下降。 黑人、西班牙裔和白人学生,以及所有地区学校的学生,数学成绩均有所下降。
- 性别差距: 在数学方面,女性学生的成绩下降幅度(11 分)大于男性学生(7 分),导致性别成绩差距扩大。白人和黑人学生之间的数学成绩差距也扩大了。
- 出勤率: 2023 年,报告过去一个月内缺课 5 天或以上的 13 岁学生比例翻倍,达到 10%。缺课较少的学生通常成绩较高。
- 阅读频率: 报告过去一个月内“几乎每天”进行自主阅读的学生比例下降到 14%,低于 2020 年和 2012 年。高分位学生比低分位学生更倾向于报告更频繁地进行自主阅读。
- 数学课程: 与 2012 年相比,报告正在学习代数的 13 岁学生比例下降,而学习普通数学的学生比例上升。与 2020 年相比,数学课程类型的变化不显著。
- 调查问卷: 学生在评估期间还填写了调查问卷,内容包括阅读频率、数学课程类型以及缺课天数等。调查结果表明学生体验与成绩之间可能存在关联,但 NAEP 评估并非旨在确定因果关系。
评估方法:
- 本次评估由 NCES 实施,是 NAEP 长趋势评估的一部分。
- 评估对象为来自全国各地的 8700 名 13 岁学生(通常为 8 年级)。
- 结果基于统计显著差异。
- 结果报告年份是指学校学年结束的年份。
总结:
本次评估结果显示,13 岁学生的阅读和数学成绩在 2022-23 学年继续下降,低分位学生和某些学生群体受到的影响更大。学生出勤率下降和自主阅读频率降低可能与成绩下降有关。
|
Surveillance vendors caught abusing access to telcos to track people's locations
全球电信基础设施漏洞被滥用,用于追踪用户位置:安全研究报告
安全研究人员发现,有两个独立的间谍活动正在利用全球电信基础设施中已知的漏洞来追踪人们的位置。研究人员表示,这两次活动很可能只是大规模利用监控供应商访问全球电话网络的一个缩影。
主要发现:
- 间谍活动利用漏洞: Citizen Lab发布了一份新报告,详细介绍了这两次新的间谍活动。这些活动由Citizen Lab未指名的“幽灵”公司执行,它们伪装成合法的移动运营商,利用这些网络访问权限来查找目标的定位数据。
- SS7和Diameter协议的漏洞: 这些活动利用了 Signaling System 7 (SS7) 和 Diameter 协议的漏洞。SS7是一种用于2G和3G网络的协议,Diameter则用于4G和5G网络。虽然Diameter被设计为更安全的替代方案,但由于实施保护措施不完善,攻击者仍然可以利用它,甚至回退到利用SS7协议。
- 关键电信提供商: 这两项间谍活动都依赖于三个特定的电信提供商作为“监控的入口和传输点”:
- 以色列运营商 019Mobile
- 英国提供商 Tango Networks U.K.
- 信天堂岛运营商 Airtel Jersey (现为 Sure 公司网络的一部分)
- 目标人群: Citizen Lab表示,第一项间谍活动针对了全球范围内的多个“高知名度”目标,表明有不同的政府客户参与了这些活动。
- 攻击手段:
- 第一项活动: 主要利用SS7漏洞,如果失败则尝试利用Diameter漏洞。
- 第二项活动: 通过向特定目标发送特殊的短信(SIMjacker攻击),直接与目标SIM卡通信,无需用户知晓。这些短信被用于将目标手机变成定位追踪设备。
- 普遍性: 研究人员强调,这两次活动只是冰山一角,全球范围内可能存在数百万起类似的攻击。
各方回应:
- Sure 公司: 声明公司不直接或知情地将访问信令权限出租给旨在定位或追踪个人或截获通信内容的组织,并表示已经采取了措施来防止信令服务的滥用。
- 019Mobile 公司: 表示无法确认Citizen Lab指出的基础设施属于该公司。
- 可能的幕后黑手: 研究人员认为,幕后可能是一家以色列商业地理情报提供商,拥有专业的电信能力,例如Circles (后被NSO Group收购)、Cognyte和Rayzone等。
总结:
此次报告揭示了全球电信基础设施存在的安全漏洞,以及监控供应商利用这些漏洞进行间谍活动的普遍性。这些活动对个人隐私和安全构成了严重威胁,并呼吁加强对SS7和Diameter协议的安全性,以及电信运营商的防护措施。
|
Arch Linux Now Has a Bit-for-Bit Reproducible Docker Image
Arch Linux 可重现 Docker 镜像发布
摘要:
Arch Linux 团队宣布发布了首个可重现的 Docker 镜像,该镜像以 repro 标签在 Docker Hub 上提供 (https://hub.docker.com/layers/archlinux/archlinux/repro)。
主要内容:
相关链接:
|
Workspace Agents in ChatGPT
ChatGPT 工作区代理介绍 (ChatGPT Workspace Agents Introduction)
以下是对原文内容的摘要:
核心功能:
ChatGPT 引入了“工作区代理”(Workspace Agents),这是 GPT 的进化版本,旨在帮助团队处理复杂的、长期的工作流程。 这些代理运行在云端,可以共享和改进,并可以与 ChatGPT 和 Slack 集成。
主要特点:
- 共享与协作: 团队可以共同构建、使用和改进代理,提高协作效率。
- 自动化工作流程: 代理可以自动执行各种任务,例如准备报告、编写代码、回复消息等,减少人工操作。
- 集成工具: 代理可以连接和使用各种工具,从 CRM 系统到 Slack 频道,实现跨工具的工作流程。
- 记忆功能: 代理具备记忆功能,能够记住以往的学习和交互,并根据这些信息进行改进。
- 权限控制: 管理员可以控制代理可以使用的工具和数据,确保安全性和合规性。
使用方法:
用户可以在 ChatGPT 侧边栏的“代理”选项中开始创建代理。ChatGPT 会引导用户逐步定义工作流程,连接工具,添加技能,并进行测试。 也可以使用预定义的模板,如财务、销售、市场营销等,快速搭建代理。
示例代理:
OpenAI 内部已经构建了一些示例代理,供用户参考:
- 软件评审代理 (Software Reviewer):审核软件请求,检查是否符合政策,并生成 IT 工单。
- 产品反馈路由代理 (Product Feedback Router):监控反馈渠道,并生成优先级票据和产品总结。
- 每周指标报告代理 (Weekly Metrics Reporter):自动收集数据,生成图表和报告。
- 潜在客户外联代理 (Lead Outreach Agent):研究潜在客户,评分,并生成个性化的邮件。
- 第三方风险管理代理 (Third-Party Risk Manager):评估供应商风险。
技术细节:
- 底层技术: 工作区代理由 Codex 驱动,运行在云端。
- 安全性: 提供企业级的监控和控制,管理员可以控制代理的访问权限和数据来源。
- 合规性: 提供合规性 API,管理员可以查看代理的配置和运行情况。
未来发展:
- 未来将支持更多工具和触发器。
- 将提供更强大的仪表盘来监控和改进代理的性能。
- 将在 Codex 应用中支持工作区代理。
- 管理员将在管理控制台中可以查看组织内所有代理的信息。
可用性与定价:
工作区代理目前处于研究预览阶段,适用于 ChatGPT Business、Enterprise、Edu 和 Teachers 计划。 在 2026 年 5 月 6 日之前免费,之后将采用基于信用的定价模式。
总结:
工作区代理旨在帮助团队更高效地完成工作,通过自动化、共享和协作,减少协调工作的时间,并专注于更有价值的创造性活动。
|
Surveillance Pricing: Exploiting Information Asymmetries
总结:数据监控定价的兴起与挑战 (Summary: The Rise and Challenges of Surveillance Pricing)
本文探讨了数据监控定价的兴起及其对消费者权益的影响,并分析了应对这一问题面临的法律和宪法挑战。
历史背景:
- 过去,零售商品通常没有固定价格,顾客和店员通过讨价还价来确定价格。
- 19世纪70年代,约翰·瓦纳梅克创立了第一家百货公司,引入了固定价格标签,极大地提高了市场效率。
数据监控定价的出现:
- 随着互联网、社交媒体和数据收集技术的发展,商家能够获取消费者以前无法想象的信息,包括购买历史、地理位置和个人特征。
- 这使得商家能够实施“数据监控定价”,即根据个人信息对不同消费者收取不同的价格。
- 这种定价模式与过去的讨价还价不同,因为商家掌握了所有信息。
数据监控定价的现状:
- 数据监控定价并非新现象,美国资本主义长期存在针对消费者的各种剥削手段。
- 近年来,Ticketmaster(动态定价)、Uber(高峰期定价)、Orbitz(根据Mac用户定价)、Staples、Target(基于GPS定价)和Instacart(不同顾客价格差异高达23%)等公司都采用了各种数据监控定价策略。
- 这些策略利用信息不对称,在消费者最无助的时候获取最大利润。
应对措施与挑战:
- 完全禁止数据监控定价是一种直接的解决方案,但无法解决数据经纪人、在线行为广告、信息不对称和消费者孤立等根本问题。
- 单纯的信息披露也无法有效保护消费者,因为消费者缺乏专业知识和资源来理解和应对数据影响。
- 纽约州通过了《算法定价披露法》,要求使用个人数据定价的企业进行披露,但该法案被批评为缺乏实际效力。
- 联邦立法(例如《停止人工智能价格欺诈和工资操纵法》和《单一公平价格法》)提供了更具影响力的解决方案,包括禁止数据监控定价和赋予州检察长和私人物民提起诉讼的权利。但这些法案通过的可能性较低。
- 第一修正案挑战: 商家以第一修正案为由,挑战了纽约州的披露法,认为该法构成对言论的限制。最高法院的 Sorrell v. IMS Health 案,将数据收集视为言论自由,使得数据隐私法规面临法律风险。
- 为了避免 Sorrell 案的陷阱,立法应避免针对特定说话者和内容,而是专注于规范经济活动和行为。
结论:
数据监控定价加剧了对消费者隐私的侵犯,对个人自由构成威胁。解决数据监控定价问题需要更广泛的措施,包括规范数据收集和使用、加强消费者保护以及避免第一修正案的误用。单纯的信息披露不足以应对这一问题,需要更加有力的立法和监管。
|
Our newsroom AI policy
内容摘要:新闻机构关于人工智能使用政策
以下是对提供内容的摘要,旨在总结其主要观点和关键细节,字数控制在800字以内。
核心原则:可问责性是不可谈判的。
该文档阐述了新闻机构关于使用人工智能工具的政策,强调了对准确性和完整性的责任。该机构明确表示,使用AI工具的作者对最终作品负全部责任,该责任无法转移给同事、编辑或工具本身。这是一种自始至终的责任承担,是机构编辑运营的共同义务。
内容要点:
- 来源可靠性: 任何引述、观点或引语必须源于直接的访谈、转录、已发表的声明或经过记者审查的文档。AI工具不得被用于生成、提取或总结材料,然后将其归因于特定来源,无论是直接引用、释义还是对某人观点的描述。
- 禁止AI生成内容作为真实记录: 新闻机构不发表基于AI生成摘要的内容,记者不得将任何材料表述为“已审查”,除非他们已经直接审查过该材料。
- 视觉内容: 图像、音频和视频内容由编辑和艺术团队制作,或来自摄影服务和通讯社。创意团队可以使用AI工具在某些视觉材料的制作中,但创意方向和编辑判断由人类主导。机构不发表AI生成的图像、音频或视频作为真实事件的记录,也不会以改变其意义的方式篡改纪录媒体。
- 合成媒体的披露: 如果在报道AI的背景下使用合成媒体,必须明确标识为AI生成,并且在材料附近放置此披露信息。
- AI工具使用披露: 任何在编辑流程中使用AI工具的作者必须向其编辑披露该使用情况。
- 政策历史: 这些标准自AI工具可用以来一直指导新闻机构的编辑工作。违反这些标准将受到处罚。
- 公开透明: 该机构选择公开此政策,旨在让读者了解他们遵守的规则,而不仅仅是信任这些规则的存在。
总结:
该政策旨在确保新闻机构在利用人工智能工具的同时,维护其新闻报道的准确性、可靠性和透明度。 重点在于人类的责任和判断,并对AI工具的使用和潜在风险设定了明确的界限,以保障新闻内容的真实性和可信度。 该机构强调了对所有使用AI工具的作者的严格问责制,并承诺遵守最高的新闻道德标准。
最后更新日期:2026年4月22日
|
|
Sam Altman's Creepy Eyeball-Scanning Company Gets in Bed with Zoom and Tinder
https://gizmodo.com/sam-altmans-creepy-eyeball-scanning-company-gets-in-bed-with-zoom-and-tinder-2000748013
|
