Hop til hovedindhold

2024-09-20

Få adgang til nogens Arc-browser uden at de overhovedet besøger en hjemmeside

  • En sikkerhedsforsker opdagede en sårbarhed i Arc's app, der tillader vilkårlig JavaScript-udførelse på andre brugeres browsere ved at manipulere creatorID-feltet.
  • Svagheden blev rapporteret, rettet, og en dusør på $2.000 blev tildelt inden for en dag, med en CVE (CVE-2024-45489) tildelt senere.
  • Arc reagerede ved at tage fat på privatlivsproblemer, slukke for Firebase og iværksætte et bug bounty-program for at forbedre sikkerheden.

Reaktioner

  • Browser Company, skaberne af Arc, afslørede en betydelig sårbarhed, der tillod adgang til brugernes browsere uden at besøge en specifik hjemmeside. Problemet er blevet rettet, og ingen brugere blev påvirket.
  • Virksomheden planlægger at forlade Firebase, etablere et bug bounty-program og styrke deres sikkerhedsteam, herunder ansætte en ny senior sikkerhedsingeniør.
  • Den hændelse har udløst diskussioner om tilstrækkeligheden af den $2.000 bug bounty, hvor mange foreslår, at den bør være betydeligt højere i betragtning af sårbarhedens alvor.

3K gratis SVG-ikoner for populære mærker

Reaktioner

  • SimpleIcons.org har udgivet en samling af 3.000 gratis SVG-ikoner for populære brands, hvilket har tiltrukket betydelig opmærksomhed fra tech-fællesskabet.
  • Samlingen er bemærkelsesværdig for sit omfattende udvalg og brugervenlighed, men brugere rådes til at tjekke licensaftaler for at undgå potentielle varemærkekrænkelser.
  • Udgivelsen har sat gang i diskussioner om de juridiske konsekvenser ved brug af brandlogoer uden eksplicit tilladelse, hvilket understreger vigtigheden af at forstå intellektuelle ejendomsrettigheder.

GitHub-notifikationsmails plejede at sende malware

  • Angribere udnytter GitHub-notifikationsmails til at distribuere malware ved at oprette og hurtigt slette problemer på offentlige repositories.
  • Malwaren, kaldet "LUMMASTEALER," stjæler følsomme data såsom kryptovaluta-tegnebøger og gemte legitimationsoplysninger ved at narre brugere til at køre en ondsindet PowerShell-kommando.
  • Angrebet udnytter svagheder i Windows' håndtering af downloadede filer og kode-signering certifikater, og forbedringer i GitHubs notifikations-e-mails kunne afbøde sådanne trusler.

Reaktioner

  • GitHub-notifikationsmails er blevet udnyttet til at distribuere malware, hvilket vækker bekymring om sikkerheden.
  • Diskussioner understreger vigtigheden af at genkende advarselstegn, såsom mistænkelige domæner og kommandoer, der kræver shell-input, for at undgå at falde for svindelnumre.
  • Diskussionen understreger, at selv erfarne brugere kan blive narret, hvilket fremhæver behovet for forbedrede sikkerhedsforanstaltninger på GitHub.

Visuel guide til SSH-tunneling og port forwarding (2023)

  • Blogindlægget giver en dybdegående guide om port forwarding og tunneling, der dækker anvendelsestilfælde, konfiguration og begrænsninger.
  • Vigtige emner inkluderer kryptering af usikre forbindelser, adgang til webadministrationspaneler via SSH og brug af SSH-jumphosts til at nå interne servere.
  • Vigtige konfigurationer og kommandoer for lokal, fjern og dynamisk port forwarding er detaljeret, sammen med begrænsningerne og de potentielle sikkerhedsrisici ved SSH-tunneling.

Reaktioner

  • I 2024 anbefales det at konfigurere ~/.ssh/config med LocalForward, RemoteForward og ProxyJump for at optimere SSH-forbindelser og spare tid.
  • Dette setup muliggør problemfri SSH-, SCP- og RSYNC-operationer til en målserver via et alias og videresender specifikke porte til lokal og fjernadgang.
  • Brug af 0.0.0.0 i stedet for localhost eller 127.0.0.1 kan eksponere porte på alle netværksgrænseflader, så sørg for at have de rette firewall-indstillinger for at opretholde sikkerheden.

Linux/4004: starter Linux på Intel 4004 for sjov, kunst og uden profit

  • En teknologientusiast lykkedes med at starte Debian Linux på en 4-bit Intel 4004 mikroprocessor fra 1971, hvilket viser kapabiliteterne af denne historiske CPU.
  • Projektet involverede at skabe et specialudviklet udviklingskort og skrive en 4004-emulator til at køre en MIPS R3000-emulator, hvilket demonstrerede betydelig hardware- og softwareoptimering.
  • Dette resultat fremhæver potentialet i lav-end hardware og markerer en milepæl i computerens historie, idet det skubber grænserne for, hvad ældre teknologi kan opnå.

Reaktioner

  • Dmitry har med succes startet Linux på en Intel 4004 mikroprocessor, en bedrift der viser de ekstreme grænser for Turing-komplethed og beregningskapacitet.
  • Projektet fremhæver den historiske betydning af Intel 4004, den første kommercielt tilgængelige mikroprocessor, og demonstrerer dens evne til at køre moderne software, omend ekstremt langsomt.
  • Dette resultat har tiltrukket betydelig opmærksomhed på grund af dets tekniske kompleksitet og nyheden ved at køre et moderne operativsystem på sådan et underdimensioneret og gammelt stykke hardware.

Zb: Et tidligt stadie byggesystem

  • zb er et tidligt stadie build-system udviklet af Roxy Light, der sigter mod brugervenlige reproducerbare builds og afhængighedsstyring.
  • Vigtige funktioner inkluderer et velkendt Lua-scriptsprog, kraftfulde byggefunktioner, support til ikke-deterministiske builds, kompatibilitet med Nix og understøttelse af flere platforme (Windows, Linux, macOS).
  • zb har nået en betydelig milepæl ved ikke længere at være afhængig af Nix, med en ny backend, der understøtter indholds-adresserede afledninger og "Intensional Model" fra The Purely Functional Software Deployment Model.

Reaktioner

  • Zb er et tidligt stadie build-system designet til at forenkle build-modellen ved kun at understøtte indholds-adresserede derivationer, hvilket adskiller sig fra Nix's tilgang.
  • Systemet sigter mod at løse interoperabilitetsproblemer med Nix, såsom manglen på krydsbutiksreferencer og behovet for en Nix-evaluator til at opnå Nixpkgs-derivater.
  • Zb introducerer et JSON-RPC-baseret offentligt API til at køre builds, hvilket potentielt kan gøre infrastrukturområdet lettere at administrere og integrere.

Kontekstuel søgning

  • Kontekstuel hentning introduceres for at forbedre hentningstrinnet i Retrieval-Augmented Generation (RAG) ved at bruge kontekstuelle indlejringer og kontekstuel BM25, hvilket reducerer mislykkede hentninger med op til 67%, når det kombineres med genrangering.
  • Metoden forbedrer nøjagtigheden af hentning, hvilket fører til bedre ydeevne i efterfølgende opgaver såsom kundesupport og juridisk analyse, og kan implementeres ved hjælp af den medfølgende kogebog.
  • Traditionel RAG mister ofte konteksten ved at opdele dokumenter i mindre stykker; Contextual Retrieval løser dette ved at tilføje styk-specifik forklarende kontekst før indlejring og oprettelse af BM25-indekset.

Reaktioner

  • Anthropic har introduceret prompt-caching for at forbedre omkostningseffektiviteten af deres kontekstuelle hentningsproces, som er en metode til at forbedre Retrieval-Augmented Generation (RAG) resultater ved at udvide chunks ved hjælp af en stor sprogmodel (LLM).
  • Prompt caching giver udviklere mulighed for at spare omkostninger ved at gemme tilstanden efter at have kørt et stort dokument gennem en model, i stedet for at regenerere hver del hver gang, hvilket gør det til en betydelig opdatering for dem, der arbejder med RAG-arbejdsgange.
  • Indlægget fremhæver, at selvom kogebogen giver en guide til en specifik RAG-arbejdsgang, ligger den virkelige innovation i den omkostningsbesparende funktion ved prompt caching, som blev introduceret for en måned siden.

Derfor bruger Apple JPEG XL i iPhone 16, og hvad det betyder for dine fotos

  • iPhone 16 introducerer JPEG XL, et næste-generations billedformat, der tilbyder bedre kvalitet og mindre filstørrelser sammenlignet med standard JPEG'er.
  • JPEG XL understøtter bredt farvespektrum og HDR-billeder, tilbyder op til 32 bit pr. kanal og kan reducere filstørrelser med op til 55% samtidig med at den visuelle kvalitet bevares.
  • På trods af sine fordele er JPEG XL endnu ikke bredt adopteret, med begrænset støtte fra de store browsere, men Apples inkludering i iPhone 16 Pro kan muligvis fremme en bredere adoption.

Reaktioner

  • Apples integration af JPEG XL i iPhone 16 forbedrer billedkvaliteten og lagringseffektiviteten, hvilket tilbyder op til 55% bedre komprimering end standard JPEG'er.
  • Dette er særligt fordelagtigt for ProRAW-billeder, som er store og nu kan lagres mere effektivt, selvom det i øjeblikket er begrænset til de nyeste iPhone-modeller.
  • En bredere adoption af andre virksomheder, såsom Samsung, indikerer en lovende fremtid for JPEG XL, på trods af nogle bekymringer om kompatibilitet og økologisk påvirkning.

CuPy: NumPy og SciPy til GPU

  • CuPy er et GPU-accelereret array-bibliotek, der er kompatibelt med NumPy og SciPy, designet til at køre på NVIDIA CUDA og AMD ROCm platforme, hvilket gør det muligt for eksisterende Python-kode at udnytte GPU-beregning.
  • Det giver adgang til lavniveau CUDA-funktioner, hvilket letter integrationen med CUDA C/C++-programmer, Streams og CUDA Runtime API'er.
  • CuPy kan installeres via pip, conda eller Docker, med specifikke versioner tilgængelige for forskellige CUDA- og ROCm-versioner, og udvikles under MIT-licensen af Preferred Networks og bidragydere fra fællesskabet.

Reaktioner

  • CuPy fremhæves som en drop-in erstatning for NumPy, der tilbyder GPU-acceleration og kompatibilitet med AMD GPU'er, hvilket gør det attraktivt for højtydende databehandling.
  • CuPy arbejder sammen med NumPy og PyTorch mod en fælles delmængde af deres API, hvilket muliggør kodeinteroperabilitet på tværs af disse biblioteker, selvom fuld overensstemmelse stadig er under udvikling.
  • CuPy giver betydelige ydeevneforbedringer til beregningsopgaver, såsom egenværdiberegninger i kvantemekanik, og understøtter in-place operationer svarende til NumPy, hvilket gør det til et kraftfuldt værktøj til GPU-accelereret computing.

DirectX adopterer SPIR-V som fremtidens udvekslingsformat

Reaktioner

  • DirectX adopterer SPIR-V som sit fremtidige udvekslingsformat, i tråd med industrien, hvor HLSL er dominerende i Vulkan.
  • Dette træk forventes at lette overgangen for Vulkan-fokuserede projekter og forbedre kompatibiliteten, især inden for spiludvikling.
  • Der er bekymringer om virkningen på WebGPU's WGSL og de bredere implikationer for shader-sprog og industristandarder.

Træning af sprogmodeller til selvkorrektion via forstærkningslæring

  • Forskere introducerede SCoRe, en multi-turn online reinforcement learning (RL) metode til at forbedre selvkorrektion i store sprogmodeller (LLMs) ved hjælp af selv-genererede data.
  • SCoRe adresserer begrænsningerne ved superviseret finjustering (SFT) ved at træne under modellens egen distribution, hvilket forbedrer selvkorrektion med henholdsvis 15,6% og 9,1% på MATH og HumanEval benchmarks.
  • Dette fremskridt er betydningsfuldt, da det reducerer behovet for flere modeller eller ekstern supervision, hvilket gør selvkorrektion mere effektiv og virkningsfuld.

Reaktioner

  • En ny artikel diskuterer træning af sprogmodeller til selvkorrektion ved hjælp af forstærkningslæring (RL), en metode hvor modeller lærer af deres fejl for at forbedre fremtidig præstation.
  • Denne tilgang sammenlignes med OpenAI's o1-model, som også bruger RL til at forfine sin ræsonnering og rette fejl, selvom de præcise metoder og detaljer adskiller sig.
  • Artiklen fremhæver udfordringen ved at guide modeller til at anvende selvkorrigerende teknikker i stedet for at forsøge at få svaret rigtigt i første forsøg, et væsentligt skridt i forbedringen af sproglige modellers nøjagtighed og pålidelighed.

Fundamenter: Hvorfor Storbritannien er stagneret

  • Storbritanniens økonomi er stagneret på grund af restriktioner på investeringer i bolig, transport og energi, med reallønsvækst stagnerende i 16 år.
  • Høje infrastrukturudgifter, restriktive boligpolitikker og dyr energi har bidraget til den økonomiske afmatning.
  • Mulighederne omfatter fjernelse af barrierer for private investeringer, forenkling af planlægningsprocesser og vedtagelse af succesfulde internationale modeller, såsom Sydkoreas tilgang til atomkraft.

Reaktioner

  • Artiklen tilskriver Storbritanniens økonomiske stagnation til historiske regeringspolitikker, herunder statslige investeringer efter Anden Verdenskrig og konservativ privatisering i 1980'erne.
  • Critikere hævder, at privatisering har ført til et langsigtet fald, og bruger eksempler som de dårlige resultater hos vandselskaber.
  • Diskussionen fremhæver også indflydelsen fra højreorienterede tænketanke og sammenligner Storbritanniens økonomiske kontekst med andre lande, idet der lægges vægt på restriktive planlægningssystemer og utilstrækkelige investeringer i infrastruktur som nøglefaktorer.

Openpilot – Operativsystem til robotteknologi

  • openpilot er et operativsystem til forbedring af førerassistance i over 275 understøttede biler, der kræver en comma 3/3X-enhed og et kompatibelt bilsele.
  • Softwaren følger ISO26262 sikkerhedsretningslinjer, gennemgår grundige tests og udgives under MIT-licensen, hvilket understreger dens alfa-kvalitet og kun til forskningsformål.
  • Brugerdata, inklusive optagelser fra vejvendte kameraer og andre sensorlogfiler, uploades som standard for at forbedre systemet, med muligheder for at deaktivere dataindsamling og tilvælge logning fra førervendte kameraer.

Reaktioner

  • Openpilot, udviklet af Comma.ai, er et avanceret førerassistancesystem (ADAS), der tilbyder håndfri køreassistance, hvilket øger førerens selvtillid og opmærksomhed på lange ture.
  • Systemet er kompatibelt med over 275 bilmodeller og integrerer med eksisterende bilsensorer, hvilket giver funktioner som vognbaneassistent og afstandsassistent, selvom det ikke er en fuldt selvkørende løsning.
  • På trods af minimal venturekapitalfinansiering og et lille team har Comma.ai skabt et profitabelt produkt, hvor Openpilot er open-source og licenseret under MIT, hvilket sikrer gennemsigtighed og støtte fra fællesskabet.

Tre Mile Island atomkraftværk genstarter i Microsoft AI-strømaftale

Reaktioner

  • Three Mile Island atomkraftværk vil genstarte for at drive Microsofts AI-operationer, med Constellation, der investerer 1,6 milliarder dollars for at bringe det online inden 2028, hvilket vil levere 835 megawatt energi.
  • Handlen understreger pålideligheden af atomkraft sammenlignet med sol- og vindenergi, især under langvarige ugunstige vejrforhold.
  • Diskussionen omfatter overvejelser om atomkraftens høje startomkostninger, lave brændstofomkostninger på lang sigt og bekymringer om offentlig sikkerhed, med henvisning til tidligere hændelser som Three Mile Island, Fukushima og Tjernobyl.

Visualisering af vejrudsigter gennem landskabsbilleder

  • En ny metode visualiserer vejrudsigter gennem landskabsbilleder, hvilket gør det mere intuitivt og mindre stressende end traditionelle numeriske data.
  • Landsskabsbilledet indeholder forskellige vejrelementer, såsom vindretning, temperatur, skydække og nedbør, sammen med ikke-vejrrelaterede begivenheder som fødselsdage og helligdage.
  • Implementeret ved hjælp af Python og Pillow-biblioteket, er systemet designet til en 296x128 E-Ink skærm og opdateres hvert 15. minut ved hjælp af et ESP32 udviklingskort.

Reaktioner

  • Et projekt visualiserer vejrudsigter gennem landskabsbilleder med det formål at skabe en stemning frem for at give præcise vejrrapporter.
  • Brugere har delt forskellige implementeringer, herunder brug af OpenAI's DALL-E til at generere billeder baseret på aktuelle vejroplysninger og integration med mikrokontrollere.
  • Projektet har vakt interesse på grund af dets kreative tilgang til visualisering af vejret, med forslag til forbedringer som offline-funktionalitet og direkte sensorinterfacing.