最新

你最近关心什么？感觉整个世界在方向上如此错位，而工作似乎都只是为了服务某种深奥的人工智能，它只会剥夺各种工艺的美感。你自己的生活和幸福感又在什么地方找到了快乐和意义呢？

我使用 pwru 的内核 vmlinux 头文件（6.10 版本）进行编译，但我的实际内核版本是 6.6。在内核版本变更（6.10 -> 6.6）时，`iov_iter` 中的 `iov` 字段名变成了内部匿名结构 `__iov`。因此，如果我按照 6.10 版本的字段名进行提取和编译，就无法在当前系统上运行，反之亦然。我想请问，对于这种内核结构的变化，是否有更正式或官方的解决方案？我目前的解决方案是直接自定义两个不同版本的 `iov` 匿名结构，然后通过 `bpf_core_field_exists` 来判断两种获取 `iov` 的方式是否兼容。

大家都在训练 AI 拒绝。我们对一个模型进行了后训练，以打破这种限制。 Anthropic 和 OpenAI 公开的模型都经过明确的防护，以拒绝冒犯性任务。而它们专注于网络安全（cyber-focussed）的模型则仅限于企业使用。这使得中小型企业（SMEs）和中型市场（mid market）面临重大漏洞的风险。 在网络安全领域，AI 既可以作为攻击工具，也可以作为防御工具。最糟糕的情况是，只有攻击者才能获得访问权限。 与此同时，目前大多数现有的 AI 网络安全工具都只是包装器。问题在于，它们仍然继承了基础模型的防护机制，并且会沿用其拒绝行为。 对于这个项目，我们对一个模型进行了后训练，该模型基于十年的夺旗赛（capture-the-flag contests）数据。这个模型不会对所有人开放，但我们相信负责任的中小型企业和中型市场公司也需要访问这些工具，以便识别其系统中的关键漏洞，而不仅仅是大型企业。 我们开发了两种通过命令行界面（CLI）运行的模式： * **安全扫描（Security scan）**：对您的本地代码库进行只读审计，查找漏洞。它只报告可以关联到特定文件和行的内容，避免您陷入基于“感觉”的发现。 * **渗透测试（Pen test）**：一种主动的攻击模式，将在沙盒环境中尝试破解实时系统。它通过运行漏洞利用程序来证明每个漏洞，并显示发送的请求以及您的代码返回的响应，而不是一个置信度分数。目前需要申请才能使用。 为了展示扫描的效果，我们将其指向了 Bank of Anthos，并发现了一个在转账路径中的整数溢出漏洞：amount 是一个整数，amount + fee 可能溢出为负数，导致余额检查通过，从而转移了您并不拥有的资金。此外，还发现了常见的认证和敏感信息泄露问题。（Bank of Anthos 是 Google 的开源银行应用程序。它是一个已知的应用程序，其中一部分故意设计得很弱，这也是其目的：您可以克隆它并自行重新运行扫描，而不是依赖截图。） **Harness 的工作原理：** 除了模型本身，我们还构建了 harness 来支持它。harness 在一个多代理的集群（multi-agent swarm）上运行：一个协调器（orchestrator）将任务分配给并行运行的子代理（subagents），每个子代理负责一部分，然后合成一份报告。 CLI 是一个本地二进制文件（可通过 brew/curl 安装）。它在本地读取您的代码，然后通过 TLS 将上下文发送到我们的推理 API。您可以对其进行 tcpdump，就能确切地看到发送了什么以及发送到哪里。安装是免费的；您可以免费运行最多 200 万个 token 的扫描，之后需要为超出部分的 token 付费。 为了完全透明，这是 Cosine（YC W23）旗下的一个产品。 **待讨论问题：** 工具安全性，例如域名验证是一种证明控制权但未必证明授权的方法。考虑到这一点，您将如何限制渗透测试工具的使用？

作为我们 EDAcation 项目的一部分，我们正在为 VSCode 构建一个扩展，以促进数字硬件设计。我们构建了一个 FPGA 查看器集成到 VSCode 中，但既然 VSCode 本质上就是一个网页浏览器，我们想为什么不将其作为一个独立的网站发布呢？所以我们就这样做了，您可以在链接的网页上亲眼看到结果。 您可以查看各种 iCE40 和 ECP5 FPGA，以及可视化各种 PnR 结果。我们包含了一些示例设计，但如果您熟悉 Nextpnr，也可以上传您自己的设计。 所有数据都保留在本地，查看器完全在您的浏览器中运行。芯片渲染器是用 Rust 编写并编译为 WebAssembly 的。如果您愿意，可以查看代码，我们的所有项目都是完全开源的。 我们的目标是让数字硬件设计更容易上手，而这个项目也符合这一使命。期待听到您的意见！