Sign up to save your podcasts
Or
Share Hacker News 每日播报 2025-09-06
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Hacker News 每日播报 2025-09-06
欢迎收看 Hacker News 每日播报,今天我们将探讨汉堡王的安全漏洞风波、朝鲜网络攻击的新 playbook、理解 LLM 所需的数学基础、最古老的交易记录、AI 监控的禁令呼吁、电子游戏中的模糊特效、比原子弹还贵的 B-29 轰炸机、在树莓派集群上运行 30B 大模型、开源世界的“封建主义”,以及 Z.AI 最新发布的 GLM-4.5 模型。
我们黑了汉堡王:认证绕过如何导致得来速音频监控
一篇详细披露汉堡王母公司(RBI)得来速系统安全漏洞的报告,在发布后迅速引发了法律挑战。安全研究员 bobdahacker 发现,通过认证绕过漏洞,攻击者可能实现对得来速通道的音频监控。然而,这一发现并未换来感谢,而是来自汉堡王委托的 DMCA 版权侵权投诉。
投诉方声称,研究报告未经授权使用“Burger King”商标,会误导公众,并指责安全研究内容“宣扬非法活动并散布虚假信息”,损害了其品牌声誉。面对潜在的法律纠纷,尽管研究团队坚信其工作符合道德规范和公共利益,但最终还是选择撤下文章,以避免卷入昂贵的法律诉讼。
这一事件再次凸显了负责任的安全披露所面临的困境。许多观点认为,安全研究人员发现并公开漏洞,本应促进系统安全,却常常遭遇法律威胁而非企业的积极响应。这种“解决提出问题的人”的做法,无疑会对整个安全研究社区产生“寒蝉效应”,让更多人不敢公开披露漏洞。当然,也有观点从企业角度分析,认为企业有权保护自己的品牌和声誉,而未经授权使用商标确实可能给对方留下法律上的把柄。然而,一家网络安全公司被用来对付安全研究人员,其行为的合理性也引发了广泛质疑,这让我们不得不重新审视技术与法律交汇点上的伦理与平衡。
“Kim”转储如何揭露朝鲜的凭证窃取策略
一份名为“Kim”的罕见数据泄露,为我们揭开了朝鲜关联黑客组织 Kimsuky (APT43) 的神秘面纱。这份泄露包含了其内部运作的大量细节,从 Bash 历史记录到编译好的恶意软件,证实了该组织长期针对韩国机构进行凭证窃取,并揭示了一个令人担忧的新趋势:一种融合了朝鲜目标与中国工具、基础设施的混合操作模式。
Kimsuky 的攻击策略
这次泄露事件引发了关于操作安全(OpSec)失败的讨论,即便是国家级的黑客组织,也可能因简单的操作失误而暴露。同时,这种“文化伪装”和“基础设施借用”的策略,使得网络攻击的归因变得异常复杂,也为防御者带来了更大的挑战。报告中揭示的技术细节,如 Rootkit 的实现和 AiTM 钓鱼的精妙之处,为安全社区提供了宝贵的实战情报和防御建议。
理解大型语言模型(LLM)所需的数学知识
对于有技术背景但对 AI 不甚了解的人来说,理解 LLM 的工作原理似乎需要高深的数学知识。然而,一篇文章指出,如果你掌握了高中数学,尤其是向量和矩阵,你就已经具备了理解 LLM 推理过程的大部分基础。
核心数学概念
这篇文章因其清晰易懂而广受好评,成功地将复杂的概念简化。讨论中,有技术专家进一步补充,在嵌入空间中,通常使用余弦相似度(而非欧氏距离)来衡量向量间的相似性,因为它更关注方向而非长度。也有人指出,虽然文章为了简化而暂时忽略了激活函数,但正是这些非线性函数让神经网络能够学习复杂的模式。总的来说,这篇文章为我们提供了一个扎实的数学基础,帮助我们从底层理解 LLM 的运作方式。
史上最古老的交易记录
一块公元前 3100 年的苏美尔泥板,记录着麦芽和大麦的账目,被戏称为“最古老的交易数据库”。它稳定运行了 5000 年,“零停机”,持久性远超当今任何数据库。这引出了一个有趣的问题:我们现代的数据库能存储如此古老的日期吗?
经过测试发现:
尽管 Postgres 和 SQLite 的能力令人印象深刻,但这仍然无法满足像大英博物馆这样需要记录更古老文物的机构。这引发了关于如何存储超古老日期的讨论。现代数据库的日期范围限制是基于实际应用和标准日历系统设计的,而对于远古时期,日历本身就充满不确定性。
大家提出了几种解决方案:
这个话题提醒我们,苏美尔泥板拥有无与伦比的“持久性”,但缺乏现代数据库的“功能性”。在高度标准化的技术领域,总有边缘案例需要我们跳出常规思维去探索解决方案。
AI 监控应在为时已晚前被禁止
DuckDuckGo 创始人 Gabriel Weinberg 发文疾呼,AI 监控带来的隐私危害远超我们经历过的在线追踪,必须立即立法禁止。他认为,用户与聊天机器人的对话包含了比搜索查询更深入、更私密的个人信息,如思维过程和沟通风格,这为商业和意识形态操纵提供了前所未有的可乘之机。
文章指出,聊天机器人已被证明比人类更具说服力,其记忆功能可以根据用户历史对话进行微调,从而进行更微妙、更个性化的影响。近期 Grok 泄露私密聊天记录、Perplexity AI 代理易受攻击等事件,都表明隐私泄露和不当实践正在迅速蔓延。
Weinberg 以 DuckDuckGo 提供的匿名 AI 服务为例,证明尊重隐私的 AI 是可行的。他敦促国会抓住机会,制定专门针对 AI 的联邦隐私法案,避免重蹈在线追踪监管不力的覆辙。
虽然原文评论区未开放,但可以预见,这一话题会引发关于技术与隐私平衡、监管的必要性与挑战、以及 AI 伦理和社会影响的激烈讨论。如何在推动技术创新的同时,有效保护用户隐私,是我们这个时代面临的严峻挑战。
电子游戏中的模糊效果(以及最佳模糊算法的原理)
模糊(Blur)是现代游戏和 UI 设计中不可或缺的视觉元素,从景深效果到毛玻璃界面,无处不在。但要在实时渲染中实现高效且美观的模糊,却是一项充满挑战的工程任务。
文章带领我们从最基础的模糊算法开始探索:
这篇文章通过交互式 WebGL 演示,生动地展示了不同算法在视觉效果和性能之间的权衡。它揭示了图形编程的一个核心挑战:如何在数学理论的优雅与硬件现实的限制之间找到最佳平衡点。从 Box Blur 的简单粗暴到 Gaussian Blur 的数学优美,再到对性能的持续关注,我们得以一窥图形程序员为创造流畅视觉体验所付出的智慧与努力。
那款比原子弹还贵的二战轰炸机
二战时期,有一款武器的研发和制造成本甚至超过了研发原子弹的曼哈顿计划,它就是波音 B-29“超级堡垒”轰炸机。这款飞机的总成本按今天计算高达 556 亿美元,它不仅终结了战争,还为现代民航时代奠定了基础。
B-29 之所以如此昂贵,是因为它集成了多项革命性技术:
然而,B-29 的研发过程充满坎坷。其强大的发动机因冷却问题频繁起火,生产初期也因质量问题导致大量飞机无法飞行。美国陆军航空兵团不得不发起“堪萨斯战役”,对飞机进行大规模返工,才使其最终投入战场。
B-29 在太平洋战场扮演了关键但充满争议的角色,它执行了对日本城市的燃烧弹轰炸,并投下了两颗原子弹。战后,B-29 的技术遗产得以延续,其增压舱和大型机身设计直接催生了波音首款大型客机——波音 377“同温层巡洋舰”,开启了现代航空旅行的时代。这个故事不仅是一段军事历史,更是一部关于人类在极端条件下如何推动技术极限、应对工程挑战,并最终塑造世界的史诗。
Qwen3 30B 模型在四台树莓派 5 上达到 13 token/s 的速度
在四台树莓派 5 组成的集群上,以每秒 13 个 token 的速度运行一个 30B 参数的大型语言模型,这听起来像科幻小说,但如今已成为现实。一位开发者利用 distributed-llama 项目,成功地将量化后的 Qwen3 30B A3B 模型部署到了这个低成本、低功耗的硬件集群上。
这个实验展示了分布式计算在边缘 AI 领域的巨大潜力。通过将一个对于单台树莓派来说过于庞大的模型拆分到四台设备上,每台设备分担一部分计算负载,最终实现了流畅的推理速度。这个速度对于一个 30B 参数的模型在如此廉价的硬件上运行来说,是一个非常了不起的成就。
这一成果在开发者社区中引发了对未来的遐想:
这项工作不仅展示了软硬件优化的前沿,也为我们描绘了一个更加去中心化、人人皆可触及的 AI 未来。
“撤资跑路”、分叉与开源世界的“封建主义”
开源世界并非一片净土,其权力结构日益呈现出一种“封建主义”的特征。大型云服务商如同领主,免费享用着开源软件的成果,而投入资源开发软件的小公司和贡献者则处于相对弱势的地位。当矛盾激化时,便上演了一幕幕“撤资跑路”(rug pulls)与“分叉”(forks)的权力博弈。
这场博弈中最激烈的争论焦点之一是 SSPL(服务器端公共许可证)是否属于开源许可证。一方认为,SSPL 只是对 AGPL 的现代化更新,以适应云服务时代,OSI 等机构的拒绝是出于商业利益考量。然而,绝大多数观点认为,SSPL 的条款过于宽泛和模糊,要求提供服务所需的所有相关软件的源代码,这在实际操作中几乎不可能遵守,并且违反了“许可证不得限制其他软件”的开源定义。
这场讨论揭示了开源世界中商业利益与社区精神之间持续的紧张关系。对于用户和贡献者而言,选择项目时应警惕贡献者许可协议(CLA),并关注项目的治理结构是否中立、多元,以避免陷入单一公司主导的风险之中。
GLM-4.5 与 Claude Code 强强联手
Z.AI 推出了专为 Agent 应用设计的旗舰级大模型系列——GLM-4.5。该系列采用高效的 MoE(Mixture-of-Experts)架构,旨在提供卓越的推理、编码和 Agent 能力,并在成本效益上取得了显著突破。
GLM-4.5 的核心亮点
为了验证其在真实世界中的编码能力,Z.AI 将 GLM-4.5 集成到 Claude Code 框架中,并与 Claude 4 Sonnet 等顶尖模型进行了全面的基准测试。结果显示,GLM-4.5 在工具调用可靠性和任务完成率方面表现出强大的竞争力,在多数场景下能提供与 Claude 4 Sonnet 相当的体验。Z.AI 还公开了所有测试用例和 Agent 轨迹,以供行业验证,展现了其技术自信和对社区透明的承诺。GLM-4.5 的发布,无疑为 AI 编码和 Agent 领域带来了新的强大选择。
相关链接:
- We hacked Burger King: How auth bypass led to drive-thru audio surveillance
- How the “Kim” dump exposed North Korea's credential theft playbook
- The maths you need to start understanding LLMs
- Oldest recorded transaction
- AI surveillance should be banned while there is still time
- Video Game Blurs (and how the best one works)
- The World War Two bomber that cost more than the atomic bomb
- Qwen3 30B A3B Hits 13 token/s on 4xRaspberry Pi 5
- Rug pulls, forks, and open-source feudalism
- GLM 4.5 with Claude Code
View all episodes
By Agili 的 Hacker Podcast欢迎收看 Hacker News 每日播报,今天我们将探讨汉堡王的安全漏洞风波、朝鲜网络攻击的新 playbook、理解 LLM 所需的数学基础、最古老的交易记录、AI 监控的禁令呼吁、电子游戏中的模糊特效、比原子弹还贵的 B-29 轰炸机、在树莓派集群上运行 30B 大模型、开源世界的“封建主义”,以及 Z.AI 最新发布的 GLM-4.5 模型。
我们黑了汉堡王:认证绕过如何导致得来速音频监控
一篇详细披露汉堡王母公司(RBI)得来速系统安全漏洞的报告,在发布后迅速引发了法律挑战。安全研究员 bobdahacker 发现,通过认证绕过漏洞,攻击者可能实现对得来速通道的音频监控。然而,这一发现并未换来感谢,而是来自汉堡王委托的 DMCA 版权侵权投诉。
投诉方声称,研究报告未经授权使用“Burger King”商标,会误导公众,并指责安全研究内容“宣扬非法活动并散布虚假信息”,损害了其品牌声誉。面对潜在的法律纠纷,尽管研究团队坚信其工作符合道德规范和公共利益,但最终还是选择撤下文章,以避免卷入昂贵的法律诉讼。
这一事件再次凸显了负责任的安全披露所面临的困境。许多观点认为,安全研究人员发现并公开漏洞,本应促进系统安全,却常常遭遇法律威胁而非企业的积极响应。这种“解决提出问题的人”的做法,无疑会对整个安全研究社区产生“寒蝉效应”,让更多人不敢公开披露漏洞。当然,也有观点从企业角度分析,认为企业有权保护自己的品牌和声誉,而未经授权使用商标确实可能给对方留下法律上的把柄。然而,一家网络安全公司被用来对付安全研究人员,其行为的合理性也引发了广泛质疑,这让我们不得不重新审视技术与法律交汇点上的伦理与平衡。
“Kim”转储如何揭露朝鲜的凭证窃取策略
一份名为“Kim”的罕见数据泄露,为我们揭开了朝鲜关联黑客组织 Kimsuky (APT43) 的神秘面纱。这份泄露包含了其内部运作的大量细节,从 Bash 历史记录到编译好的恶意软件,证实了该组织长期针对韩国机构进行凭证窃取,并揭示了一个令人担忧的新趋势:一种融合了朝鲜目标与中国工具、基础设施的混合操作模式。
Kimsuky 的攻击策略
这次泄露事件引发了关于操作安全(OpSec)失败的讨论,即便是国家级的黑客组织,也可能因简单的操作失误而暴露。同时,这种“文化伪装”和“基础设施借用”的策略,使得网络攻击的归因变得异常复杂,也为防御者带来了更大的挑战。报告中揭示的技术细节,如 Rootkit 的实现和 AiTM 钓鱼的精妙之处,为安全社区提供了宝贵的实战情报和防御建议。
理解大型语言模型(LLM)所需的数学知识
对于有技术背景但对 AI 不甚了解的人来说,理解 LLM 的工作原理似乎需要高深的数学知识。然而,一篇文章指出,如果你掌握了高中数学,尤其是向量和矩阵,你就已经具备了理解 LLM 推理过程的大部分基础。
核心数学概念
这篇文章因其清晰易懂而广受好评,成功地将复杂的概念简化。讨论中,有技术专家进一步补充,在嵌入空间中,通常使用余弦相似度(而非欧氏距离)来衡量向量间的相似性,因为它更关注方向而非长度。也有人指出,虽然文章为了简化而暂时忽略了激活函数,但正是这些非线性函数让神经网络能够学习复杂的模式。总的来说,这篇文章为我们提供了一个扎实的数学基础,帮助我们从底层理解 LLM 的运作方式。
史上最古老的交易记录
一块公元前 3100 年的苏美尔泥板,记录着麦芽和大麦的账目,被戏称为“最古老的交易数据库”。它稳定运行了 5000 年,“零停机”,持久性远超当今任何数据库。这引出了一个有趣的问题:我们现代的数据库能存储如此古老的日期吗?
经过测试发现:
尽管 Postgres 和 SQLite 的能力令人印象深刻,但这仍然无法满足像大英博物馆这样需要记录更古老文物的机构。这引发了关于如何存储超古老日期的讨论。现代数据库的日期范围限制是基于实际应用和标准日历系统设计的,而对于远古时期,日历本身就充满不确定性。
大家提出了几种解决方案:
这个话题提醒我们,苏美尔泥板拥有无与伦比的“持久性”,但缺乏现代数据库的“功能性”。在高度标准化的技术领域,总有边缘案例需要我们跳出常规思维去探索解决方案。
AI 监控应在为时已晚前被禁止
DuckDuckGo 创始人 Gabriel Weinberg 发文疾呼,AI 监控带来的隐私危害远超我们经历过的在线追踪,必须立即立法禁止。他认为,用户与聊天机器人的对话包含了比搜索查询更深入、更私密的个人信息,如思维过程和沟通风格,这为商业和意识形态操纵提供了前所未有的可乘之机。
文章指出,聊天机器人已被证明比人类更具说服力,其记忆功能可以根据用户历史对话进行微调,从而进行更微妙、更个性化的影响。近期 Grok 泄露私密聊天记录、Perplexity AI 代理易受攻击等事件,都表明隐私泄露和不当实践正在迅速蔓延。
Weinberg 以 DuckDuckGo 提供的匿名 AI 服务为例,证明尊重隐私的 AI 是可行的。他敦促国会抓住机会,制定专门针对 AI 的联邦隐私法案,避免重蹈在线追踪监管不力的覆辙。
虽然原文评论区未开放,但可以预见,这一话题会引发关于技术与隐私平衡、监管的必要性与挑战、以及 AI 伦理和社会影响的激烈讨论。如何在推动技术创新的同时,有效保护用户隐私,是我们这个时代面临的严峻挑战。
电子游戏中的模糊效果(以及最佳模糊算法的原理)
模糊(Blur)是现代游戏和 UI 设计中不可或缺的视觉元素,从景深效果到毛玻璃界面,无处不在。但要在实时渲染中实现高效且美观的模糊,却是一项充满挑战的工程任务。
文章带领我们从最基础的模糊算法开始探索:
这篇文章通过交互式 WebGL 演示,生动地展示了不同算法在视觉效果和性能之间的权衡。它揭示了图形编程的一个核心挑战:如何在数学理论的优雅与硬件现实的限制之间找到最佳平衡点。从 Box Blur 的简单粗暴到 Gaussian Blur 的数学优美,再到对性能的持续关注,我们得以一窥图形程序员为创造流畅视觉体验所付出的智慧与努力。
那款比原子弹还贵的二战轰炸机
二战时期,有一款武器的研发和制造成本甚至超过了研发原子弹的曼哈顿计划,它就是波音 B-29“超级堡垒”轰炸机。这款飞机的总成本按今天计算高达 556 亿美元,它不仅终结了战争,还为现代民航时代奠定了基础。
B-29 之所以如此昂贵,是因为它集成了多项革命性技术:
然而,B-29 的研发过程充满坎坷。其强大的发动机因冷却问题频繁起火,生产初期也因质量问题导致大量飞机无法飞行。美国陆军航空兵团不得不发起“堪萨斯战役”,对飞机进行大规模返工,才使其最终投入战场。
B-29 在太平洋战场扮演了关键但充满争议的角色,它执行了对日本城市的燃烧弹轰炸,并投下了两颗原子弹。战后,B-29 的技术遗产得以延续,其增压舱和大型机身设计直接催生了波音首款大型客机——波音 377“同温层巡洋舰”,开启了现代航空旅行的时代。这个故事不仅是一段军事历史,更是一部关于人类在极端条件下如何推动技术极限、应对工程挑战,并最终塑造世界的史诗。
Qwen3 30B 模型在四台树莓派 5 上达到 13 token/s 的速度
在四台树莓派 5 组成的集群上,以每秒 13 个 token 的速度运行一个 30B 参数的大型语言模型,这听起来像科幻小说,但如今已成为现实。一位开发者利用 distributed-llama 项目,成功地将量化后的 Qwen3 30B A3B 模型部署到了这个低成本、低功耗的硬件集群上。
这个实验展示了分布式计算在边缘 AI 领域的巨大潜力。通过将一个对于单台树莓派来说过于庞大的模型拆分到四台设备上,每台设备分担一部分计算负载,最终实现了流畅的推理速度。这个速度对于一个 30B 参数的模型在如此廉价的硬件上运行来说,是一个非常了不起的成就。
这一成果在开发者社区中引发了对未来的遐想:
这项工作不仅展示了软硬件优化的前沿,也为我们描绘了一个更加去中心化、人人皆可触及的 AI 未来。
“撤资跑路”、分叉与开源世界的“封建主义”
开源世界并非一片净土,其权力结构日益呈现出一种“封建主义”的特征。大型云服务商如同领主,免费享用着开源软件的成果,而投入资源开发软件的小公司和贡献者则处于相对弱势的地位。当矛盾激化时,便上演了一幕幕“撤资跑路”(rug pulls)与“分叉”(forks)的权力博弈。
这场博弈中最激烈的争论焦点之一是 SSPL(服务器端公共许可证)是否属于开源许可证。一方认为,SSPL 只是对 AGPL 的现代化更新,以适应云服务时代,OSI 等机构的拒绝是出于商业利益考量。然而,绝大多数观点认为,SSPL 的条款过于宽泛和模糊,要求提供服务所需的所有相关软件的源代码,这在实际操作中几乎不可能遵守,并且违反了“许可证不得限制其他软件”的开源定义。
这场讨论揭示了开源世界中商业利益与社区精神之间持续的紧张关系。对于用户和贡献者而言,选择项目时应警惕贡献者许可协议(CLA),并关注项目的治理结构是否中立、多元,以避免陷入单一公司主导的风险之中。
GLM-4.5 与 Claude Code 强强联手
Z.AI 推出了专为 Agent 应用设计的旗舰级大模型系列——GLM-4.5。该系列采用高效的 MoE(Mixture-of-Experts)架构,旨在提供卓越的推理、编码和 Agent 能力,并在成本效益上取得了显著突破。
GLM-4.5 的核心亮点
为了验证其在真实世界中的编码能力,Z.AI 将 GLM-4.5 集成到 Claude Code 框架中,并与 Claude 4 Sonnet 等顶尖模型进行了全面的基准测试。结果显示,GLM-4.5 在工具调用可靠性和任务完成率方面表现出强大的竞争力,在多数场景下能提供与 Claude 4 Sonnet 相当的体验。Z.AI 还公开了所有测试用例和 Agent 轨迹,以供行业验证,展现了其技术自信和对社区透明的承诺。GLM-4.5 的发布,无疑为 AI 编码和 Agent 领域带来了新的强大选择。
相关链接:
- We hacked Burger King: How auth bypass led to drive-thru audio surveillance
- How the “Kim” dump exposed North Korea's credential theft playbook
- The maths you need to start understanding LLMs
- Oldest recorded transaction
- AI surveillance should be banned while there is still time
- Video Game Blurs (and how the best one works)
- The World War Two bomber that cost more than the atomic bomb
- Qwen3 30B A3B Hits 13 token/s on 4xRaspberry Pi 5
- Rug pulls, forks, and open-source feudalism
- GLM 4.5 with Claude Code