Hoppa till huvudinnehåll

2024-09-20

Få tillgång till någons Arc-webbläsare utan att de ens besöker en webbplats

  • En säkerhetsforskare upptäckte en sårbarhet i Arc:s app som möjliggör godtycklig JavaScript-exekvering på andra användares webbläsare genom att manipulera creatorID-fältet.
  • Svagheten rapporterades, åtgärdades och en belöning på 2 000 dollar utdelades inom en dag, med en CVE (CVE-2024-45489) tilldelad senare.
  • Arc svarade genom att ta itu med integritetsfrågor, stänga av Firebase och initiera ett bug bounty-program för att förbättra säkerheten.

Reaktioner

  • Företaget Browser Company, som tillverkar Arc, avslöjade en betydande sårbarhet som tillät åtkomst till användarnas webbläsare utan att besöka en specifik webbplats. Problemet har åtgärdats och inga användare påverkades.
  • Företaget planerar att lämna Firebase, starta ett bug bounty-program och stärka sitt säkerhetsteam, inklusive att anställa en ny senior säkerhetsingenjör.
  • Incidenten har väckt diskussioner om tillräckligheten av den bug bounty på 2 000 dollar, med många som föreslår att den borde vara betydligt högre med tanke på sårbarhetens allvar.

3K gratis SVG-ikoner för populära varumärken

Reaktioner

  • SimpleIcons.org har släppt en samling av 3 000 gratis SVG-ikoner för populära varumärken, vilket har väckt stor uppmärksamhet från teknikgemenskapen.
  • Samlingen är anmärkningsvärd för sitt omfattande utbud och användarvänlighet, men användare uppmanas att kontrollera licensavtal för att undvika potentiella varumärkesintrång.
  • Utgivningen har väckt diskussioner om de juridiska konsekvenserna av att använda varumärkeslogotyper utan uttryckligt tillstånd, vilket belyser vikten av att förstå immateriella rättigheter.

GitHub-notifieringsmejl användes för att skicka skadlig programvara

  • Angripare utnyttjar GitHub-notifieringsmejl för att sprida skadlig programvara genom att skapa och snabbt radera ärenden i offentliga arkiv.
  • Malwareprogrammet, som kallas "LUMMASTEALER," stjäl känslig data såsom kryptovalutaplånböcker och lagrade inloggningsuppgifter genom att lura användare att köra ett skadligt PowerShell-kommando.
  • Attacken utnyttjar svagheter i Windows hantering av nedladdade filer och kodsigneringscertifikat, och förbättringar i GitHubs notifieringsmejl skulle kunna mildra sådana hot.

Reaktioner

  • GitHub-notifieringsmejl har utnyttjats för att sprida skadlig programvara, vilket väcker oro kring säkerheten.
  • Diskussioner betonar vikten av att känna igen varningssignaler, såsom misstänkta domäner och kommandon som kräver skalinmatning, för att undvika att bli lurad av bedrägerier.
  • Konversationen understryker att även erfarna användare kan bli lurade, vilket betonar behovet av förbättrade säkerhetsåtgärder på GitHub.

Visuell guide till SSH-tunnling och portvidarebefordran (2023)

  • Blogginlägget erbjuder en djupgående guide om portvidarebefordran och tunnling, som täcker användningsområden, konfiguration och begränsningar.
  • Viktiga ämnen inkluderar att kryptera osäkra anslutningar, att komma åt webbadministrationspaneler via SSH och att använda SSH-jumphosts för att nå interna servrar.
  • Viktiga konfigurationer och kommandon för lokal, fjärr- och dynamisk portvidarebefordran beskrivs i detalj, tillsammans med begränsningarna och potentiella säkerhetsrisker med SSH-tunnling.

Reaktioner

  • I 2024 rekommenderas det att konfigurera ~/.ssh/config med LocalForward, RemoteForward och ProxyJump för att effektivisera SSH-anslutningar och spara tid.
  • Denna konfiguration möjliggör sömlösa SSH-, SCP- och RSYNC-operationer till en målserver via ett alias och vidarebefordrar specifika portar för lokal och fjärråtkomst.
  • Att använda 0.0.0.0 istället för localhost eller 127.0.0.1 kan exponera portar på alla nätverksgränssnitt, så se till att ha rätt brandväggsinställningar för att upprätthålla säkerheten.

Linux/4004: startar Linux på Intel 4004 för nöje, konst och ingen vinst

  • En teknikentusiast lyckades starta Debian Linux på en 4-bitars Intel 4004-mikroprocessor från 1971, vilket visar på kapaciteten hos denna historiska CPU.
  • Projektet innebar att skapa ett anpassat utvecklingskort och skriva en 4004-emulator för att köra en MIPS R3000-emulator, vilket demonstrerade betydande hårdvaru- och mjukvaruoptimering.
  • Denna prestation belyser potentialen hos lågpresterande hårdvara och fungerar som en milstolpe i datorhistorien, genom att tänja på gränserna för vad äldre teknik kan åstadkomma.

Reaktioner

  • Dmitry har framgångsrikt startat Linux på en Intel 4004-mikroprocessor, en bedrift som visar de extrema gränserna för Turingkompletthet och beräkningsförmåga.
  • Projektet belyser den historiska betydelsen av Intel 4004, den första kommersiellt tillgängliga mikroprocessorn, och visar dess förmåga att köra modern programvara, om än extremt långsamt.
  • Denna prestation har fått stor uppmärksamhet på grund av dess tekniska komplexitet och nyheten i att köra ett modernt operativsystem på en så underdimensionerad och gammal hårdvara.

Zb: Ett byggsystem i tidigt skede

  • zb är ett byggsystem i tidigt skede utvecklat av Roxy Light, som syftar till användarvänliga reproducerbara byggen och beroendehantering.
  • Viktiga funktioner inkluderar ett välbekant Lua-skriptspråk, kraftfulla byggmöjligheter, stöd för icke-deterministiska byggen, kompatibilitet med Nix och plattformsoberoende stöd (Windows, Linux, macOS).
  • zb har nått en betydande milstolpe genom att inte längre vara beroende av Nix, med en ny backend som stöder innehålls-adresserade derivationer och den "Intensionella Modellen" från Den Rent Funktionella Programvarudistributionsmodellen.

Reaktioner

  • Zb är ett tidigt byggsystem utformat för att förenkla byggmodellen genom att endast stödja innehålls-adresserade derivationer, vilket skiljer sig från Nix's tillvägagångssätt.
  • Systemet syftar till att lösa interoperabilitetsproblem med Nix, såsom bristen på korsreferenser mellan lagringsplatser och behovet av en Nix-utvärderare för att erhålla Nixpkgs-deriveringar.
  • Zb introducerar ett JSON-RPC-baserat offentligt API för att köra builds, vilket potentiellt kan göra infrastrukturen enklare att hantera och integrera.

Kontextuell hämtning

  • Kontextuell hämtning introduceras för att förbättra hämtningsteget i Retrieval-Augmented Generation (RAG) genom att använda kontextuella inbäddningar och kontextuell BM25, vilket minskar misslyckade hämtningar med upp till 67% när det kombineras med omrankning.
  • Denna metod förbättrar hämtningens noggrannhet, vilket leder till bättre prestanda i efterföljande uppgifter såsom kundsupport och juridisk analys, och kan implementeras med hjälp av den medföljande kokboken.
  • Traditionell RAG förlorar ofta sammanhang genom att dela upp dokument i mindre delar; Contextual Retrieval åtgärdar detta genom att lägga till chunkspecifik förklarande kontext innan inbäddning och skapande av BM25-indexet.

Reaktioner

  • Anthropic har infört prompt-caching för att förbättra kostnadseffektiviteten i deras kontextuella hämtprocess, vilket är en metod för att förbättra Retrieval-Augmented Generation (RAG) resultat genom att expandera segment med hjälp av en stor språkmodell (LLM).
  • Prompt-caching gör det möjligt för utvecklare att spara kostnader genom att lagra tillståndet efter att ha kört ett stort dokument genom en modell, istället för att återskapa varje del varje gång, vilket gör det till en betydande uppdatering för de som arbetar med RAG-arbetsflöden.
  • Blogginlägget framhäver att även om kokboken ger en guide för ett specifikt RAG-arbetsflöde, ligger den verkliga innovationen i den kostnadsbesparande funktionen för prompt-caching, som introducerades för en månad sedan.

Varför Apple använder JPEG XL i iPhone 16 och vad det betyder för dina foton

  • iPhone 16 introducerar JPEG XL, ett nästa generations bildformat som erbjuder bättre kvalitet och mindre filstorlekar jämfört med standard-JPEG.
  • JPEG XL stöder bred färgrymd och HDR-bilder, erbjuder upp till 32 bitar per kanal och kan minska filstorlekar med upp till 55% samtidigt som den visuella kvaliteten bibehålls.
  • Trots sina fördelar har JPEG XL ännu inte fått stort genomslag, med begränsat stöd från större webbläsare, men Apples inkludering i iPhone 16 Pro kan uppmuntra till bredare användning.

Reaktioner

  • Apples integration av JPEG XL i iPhone 16 förbättrar fotokvaliteten och lagringseffektiviteten, med upp till 55 % bättre komprimering än standard-JPEG.
  • Detta är särskilt fördelaktigt för ProRAW-bilder, som är stora och nu kan lagras mer effektivt, även om det för närvarande är begränsat till de senaste iPhone-modellerna.
  • En bredare adoption av andra företag, såsom Samsung, indikerar en lovande framtid för JPEG XL, trots vissa farhågor om kompatibilitet och ekologisk påverkan.

CuPy: NumPy och SciPy för GPU

  • CuPy är ett GPU-accelererat arraybibliotek kompatibelt med NumPy och SciPy, designat för att köras på NVIDIA CUDA och AMD ROCm-plattformar, vilket gör det möjligt för befintlig Python-kod att utnyttja GPU-beräkning.
  • Det ger tillgång till lågnivåfunktioner i CUDA, vilket underlättar integration med CUDA C/C++-program, Streams och CUDA Runtime API:er.
  • CuPy kan installeras via pip, conda eller Docker, med specifika versioner tillgängliga för olika CUDA- och ROCm-versioner, och utvecklas under MIT-licensen av Preferred Networks och community-bidragsgivare.

Reaktioner

  • CuPy lyfts fram som en direkt ersättning för NumPy, med GPU-acceleration och kompatibilitet med AMD GPU:er, vilket gör det attraktivt för högpresterande databehandling.
  • CuPy, tillsammans med NumPy och PyTorch, arbetar mot en gemensam delmängd av deras API, vilket möjliggör kodinteroperabilitet mellan dessa bibliotek, även om fullständig överensstämmelse fortfarande pågår.
  • CuPy ger betydande prestandaförbättringar för beräkningsuppgifter, såsom egenvärdesberäkningar inom kvantmekanik, och stöder in-place-operationer liknande NumPy, vilket gör det till ett kraftfullt verktyg för GPU-accelererad databehandling.

DirectX adopterar SPIR-V som framtidens utbytesformat

Reaktioner

  • DirectX antar SPIR-V som sitt framtida utbytesformat, i linje med industrins trend där HLSL dominerar i Vulkan.
  • Detta drag förväntas underlätta övergången för Vulkan-fokuserade projekt och förbättra kompatibiliteten, särskilt inom spelutveckling.
  • Det finns oro över påverkan på WebGPU:s WGSL och de bredare konsekvenserna för shader-språk och industristandarder.

Träna språkmodeller att självkorrigera via förstärkningsinlärning

  • Forskare introducerade SCoRe, en flerstegs online-förstärkningsinlärningsmetod (RL) för att förbättra självkorrigering i stora språkmodeller (LLMs) med hjälp av självgenererad data.
  • SCoRe åtgärdar begränsningarna med övervakad finjustering (SFT) genom att träna under modellens egen distribution, vilket förbättrar självkorrektion med 15,6% och 9,1% på MATH- och HumanEval-benchmarkerna, respektive.
  • Denna framsteg är betydande eftersom det minskar behovet av flera modeller eller extern övervakning, vilket gör självkorrektion mer effektiv och verkningsfull.

Reaktioner

  • En ny artikel diskuterar träning av språkmodeller att självkorrigera med hjälp av förstärkningsinlärning (RL), en metod där modeller lär sig av sina misstag för att förbättra framtida prestationer.
  • Denna metod jämförs med OpenAI:s o1-modell, som också använder RL för att förfina sitt resonemang och korrigera fel, även om de exakta metoderna och detaljerna skiljer sig åt.
  • Artikeln belyser utmaningen med att vägleda modeller att anta självkorrigerande tekniker istället för att försöka få rätt svar på första försöket, ett betydande steg i att förbättra språkmodellers noggrannhet och tillförlitlighet.

Grunder: Varför Storbritannien har stagnerat

  • Storbritanniens ekonomi har stagnerat på grund av restriktioner på investeringar i bostäder, transport och energi, med en reell löneutveckling som har varit stillastående i 16 år.
  • Höga infrastrukturkostnader, restriktiva bostadspolicies och dyr energi har bidragit till den ekonomiska avmattningen.
  • Åtgärder inkluderar att avlägsna hinder för privata investeringar, effektivisera planeringsprocesser och anta framgångsrika internationella modeller, såsom Sydkoreas tillvägagångssätt för kärnkraft.

Reaktioner

  • Artikeln tillskriver Storbritanniens ekonomiska stagnation till historiska regeringspolicier, inklusive statliga investeringar efter andra världskriget och konservativ privatisering på 1980-talet.
  • Kritiker hävdar att privatisering har lett till en långsiktig nedgång och använder exempel som de dåliga prestationerna hos vattenbolag.
  • Diskussionen belyser också inflytandet från högerorienterade tankesmedjor och jämför Storbritanniens ekonomiska kontext med andra länder, med betoning på restriktiva planeringssystem och otillräckliga investeringar i infrastruktur som nyckelfaktorer.

Openpilot – Operativsystem för robotik

  • openpilot är ett operativsystem för att förbättra förarassistans i över 275 stödda bilar, vilket kräver en comma 3/3X-enhet och en kompatibel bilsele.
  • Programvaran följer ISO26262 säkerhetsriktlinjer, genomgår rigorösa tester och släpps under MIT-licensen, vilket betonar dess alfa-kvalitet och att den endast är avsedd för forskningsändamål.
  • Användardata, inklusive kamerabilder som vetter mot vägen och andra sensorloggar, laddas upp som standard för att förbättra systemet, med alternativ att inaktivera datainsamling och välja att delta i loggning av kameror som vetter mot föraren.

Reaktioner

  • Openpilot, utvecklat av Comma.ai, är ett avancerat förarassistanssystem (ADAS) som erbjuder handsfree-körhjälp, vilket ökar förarens självförtroende och uppmärksamhet under långa resor.
  • Systemet är kompatibelt med över 275 bilmodeller och integreras med befintliga bilsensorer, vilket ger funktioner som filhållning och avståndshjälp, även om det inte är en helt självkörande lösning.
  • Trots minimal riskkapitalfinansiering och ett litet team har Comma.ai skapat en lönsam produkt, där Openpilot är öppen källkod och licensierad under MIT, vilket säkerställer transparens och stöd från samhället.

Tre Mile Island kärnkraftverk startar om i Microsoft AI-energideal

Reaktioner

  • Three Mile Island kärnkraftverk kommer att startas om för att driva Microsofts AI-verksamhet, med Constellation som investerar 1,6 miljarder dollar för att få det online till 2028, vilket kommer att tillhandahålla 835 megawatt energi.
  • Affären understryker kärnkraftens tillförlitlighet jämfört med sol- och vindkraft, särskilt under långvariga ogynnsamma väderförhållanden.
  • Diskussionen inkluderar överväganden av kärnkraftens höga initiala kostnader, långsiktigt låga bränslekostnader och allmänhetens säkerhetsbekymmer, med hänvisning till tidigare incidenter som Three Mile Island, Fukushima och Tjernobyl.

Visualisera väderprognoser genom landskapsbilder

  • En ny metod visualiserar väderprognoser genom landskapsbilder, vilket gör det mer intuitivt och mindre stressande än traditionella numeriska data.
  • Bildlandskapet kodar olika väderelement, såsom vindriktning, temperatur, molntäcke och nederbörd, tillsammans med icke-väderhändelser som födelsedagar och helgdagar.
  • Implementerad med Python och Pillow-biblioteket är systemet utformat för en 296x128 E-Ink-skärm och uppdateras var 15:e minut med hjälp av en ESP32-utvecklingskort.

Reaktioner

  • En projekt visualiserar väderprognoser genom landskapsbilder, med målet att skapa en stämning snarare än att ge exakta väderrapporter.
  • Användare har delat olika implementeringar, inklusive att använda OpenAI:s DALL-E för att generera bilder baserade på aktuella väderdata och integrera med mikrokontroller.
  • Projektet har väckt intresse på grund av sitt kreativa tillvägagångssätt för vädervisualisering, med förslag på förbättringar som offline-funktionalitet och direkt sensorgränssnitt.