2024 03 27 HackerNews

2024-03-27 Hacker News Top Stories #

一句话摘要 #

  1. The Francis Scott Key Bridge in Baltimore, Maryland Has Collapsed 马里兰州巴尔的摩的弗朗西斯·斯科特·基桥因遭货船撞击后坍塌,造成大规模伤亡。
  2. Baltimore’s Key Bridge struck by cargo ship, collapses 巴尔的摩的弗朗西斯·斯科特·基桥在货船撞击后倒塌,导致多人失踪,搜救行动持续进行中。
  3. Google’s First Tensor Processing Unit: Architecture 文章详细介绍了谷歌首个张量处理单元(TPU v1)的架构,展示了其在人工智能领域的技术创新。
  4. Flipping Pages: New Linux vulnerability in nf_tables and exploitation techniques 揭示了Linux内核中nf_tables的双重释放漏洞,以及如何利用这一漏洞在多个Linux版本上执行无文件的root shell攻击。
  5. Launch HN: Aqua Voice Aqua Voice是一款通过语音输入编辑文档的工具,能够根据用户的指令进行文本编辑和风格保持。
  6. Tech Debt: My Rust Library Is Now a CDO 作者讨论了自己如何将Rust库转变为“技术债务”,并探讨了Rust生态系统中技术债务抵押化的问题。
  7. ZenHammer: Rowhammer attacks on AMD Zen-based platforms 研究表明AMD Zen 2和Zen 3系统上的DDR4和DDR5设备容易受到Rowhammer位翻转攻击,增加了安全风险。
  8. Canva has acquired Affinity in an effort to compete with Adobe 设计工具公司Canva收购了Affinity套件,旨在扩大市场份额并增强与Adobe的竞争实力。
  9. Sega Saturn Architecture – A practical analysis (2021) 文章深入分析了Sega Saturn游戏机的内部架构,包括CPU、内存、图形处理器和音频系统等。
  10. Show HN: Tracecat – Open-source security alert automation / SOAR alternative Tracecat是一个开源的安全警报自动化平台,提供企业级开源工具和AI基础设施,旨在简化安全团队的工作流程。

The Francis Scott Key Bridge in Baltimore, Maryland Has Collapsed #

https://twitter.com/sentdefender/status/1772514015790477667

推特用户 OSINTdefender 发布消息称,马里兰州巴尔的摩的弗朗西斯·斯科特·基桥据报道在最近几分钟内被一艘大型集装箱船撞击后坍塌;已宣布为大规模伤亡事件,据称有十几辆车和许多人掉入水中。这一事件发生于 2024 年 3 月 26 日

HN 评论 1 comments | 作者:repelsteeltje | 16 hours ago #

https://news.ycombinator.com/item?id=39825033

这篇评论讨论了一艘货轮撞击巴尔的摩的基桥并导致垮塌的事件。

评论中提到了视频分析和推测,认为货轮可能经历了引擎故障、失去动力、重新启动动力等过程,并最终导致撞桥。

评论还谈到了船舶的推进与操纵系统、对于 100,000 吨货轮在紧急情况下的应对等方面的观点。

另外还讨论了巴尔的摩港口的经济损失和相关信息。

最后,评论中还涉及了其他评论者对于货轮操控、撞桥原因的推测和讨论。

整体观点涉及了技术细节、船舶操作、事故原因等多个方面。

Baltimore’s Key Bridge struck by cargo ship, collapses #

https://www.wbaltv.com/article/baltimore-bridge-collapse-key-bridge/60303975

这篇文章报道了巴尔的摩的弗朗西斯·斯科特·基桥(Francis Scott Key Bridge)在一艘货船撞击后倒塌的事件。

事故发生后,搜救行动仍在进行,目前确认有六人失踪,搜救工作持续进行。初步调查显示这并非有意为之。

州长宣布进入紧急状态。货船“达利”撞击了这座 1.6 英里长的桥梁,横跨巴尔的摩环城高速公路(Interstate 695)和帕塔普斯科河。

桥梁于凌晨 1:30 倒塌,视频显示整个结构在多个位置崩塌。船只在离开巴尔的摩港口时失去推进力,导致撞击桥梁。搜救人员正在努力搜寻幸存者。州长和总统表示将提供所有必要资源,并承诺重建桥梁。

对于这场悲剧,政府已宣布进入紧急状态,以便迅速调动联邦资源。整个事件令人震惊,对于失踪者的家人来说是个痛苦的日子。

HN 评论 874 comments | 作者:tbihl | 10 hours ago #

https://news.ycombinator.com/item?id=39827266

  • 评论中有关船只引擎故障导致动力丧失、船舵失控、船舶对齐漂移、经济灾难等观点;
  • 讨论船只推进和转向系统的工作原理,以及操纵员在紧急情况下的反应;
  • 提到船只可能因柴油发电机故障导致动力丧失,最终撞上桥墩;
  • 讨论船只舵和螺旋桨的作用,以及在倒车时的操控挑战;
  • 对船只操纵和船员培训进行比较,强调自动驾驶系统的重要性。

Google’s First Tensor Processing Unit: Architecture #

https://thechipletter.substack.com/p/googles-first-tpu-architecture

这篇文章详细介绍了谷歌的第一个张量处理单元(Tensor Processing Unit,TPU)的架构。文章首先回顾了 TPU v1 项目的目标,即开发一款特定应用集成电路(ASIC),在推断方面相较于 GPU 具有 10 倍的性价比优势,并且要快速构建、高性能、规模化、适用于新工作负载,同时具有成本效益。接着解释了张量处理单元之所以被称为 TPU,因为它旨在加速涉及张量的操作,特别是向量和矩阵运算。

文章详细描述了 TPU v1 采用的架构,基于 1978 年 H.T Kung 和 Charles E. Leiserson 提出的脉动阵列(Systolic Arrays)概念。通过脉动阵列的方式高效执行矩阵乘法运算,实现了高效的计算。TPU v1 的硬件结构包括矩阵乘法单元、累加器、激活功能、统一缓冲区等组件,以及使用 8 位 x8 位整数乘法进行计算,避免了更为复杂的浮点计算。

此外,文章还介绍了 TPU v1 的指令集设计,包括读取主机内存、读取权重、矩阵乘法/卷积、激活和写入主机内存等关键指令。TPU v1 的设计旨在提高推断效率,相较于当时的 GPU 和 CPU,在推断速度和能效方面取得了显著优势。最后,文章指出 TPU v1 的设计是为了提高推断效率,而非用于训练,为后续 TPU 版本的改进奠定了基础。

总体而言,这篇文章详细解释了 TPU v1 的架构、设计原理和性能优势,展示了谷歌在人工智能领域的技术创新和领先地位。

HN 评论 178 comments | 作者:c_joly | 1 day ago #

https://news.ycombinator.com/item?id=39822184

  • 有人认为谷歌应该将 TPU 团队拆分为独立公司,成为英伟达唯一可信的竞争对手,软件支持仅次于英伟达。
  • 有人认为英伟达的优势在于保留的制造空间、高度集成的软件、现有的硬件架构和客户关系,但这些优势在某种程度上都存在弱点。
  • 有人指出在机器学习工作负载中,GPU 比 CPU 快得多,而 TPU 对某些模型架构效果很好,但对一些新模型可能比 CPU 慢。
  • 有人认为 Nvidia 拥有大量高度优化的 CUDA 内核,这让他们即使在硬件上不如 AMD 也能表现出色。
  • 有人讨论了 AMD 和 Intel(通过 Habana)在性能上可与 H100 相媲美的 GPU,以及亚马逊的 AWS“Trainium”芯片。
  • 有人提到 Groq 公司已经推出了令人印象深刻的产品,而 TPU 则被认为是相对稀缺的计算资源。
  • 有人认为 CUDA 存在问题,而 Nvidia 的软件是他们不使用 GPU 进行机器学习任务的原因。
  • 有人讨论了 AMD 的固件问题以及与 ROCm 相关的支持。
  • 有人指出 TPU 在 AI 领域的采用率远远落后于 TPU,并且 TPU 拥有强大的软件支持。

Flipping Pages: New Linux vulnerability in nf_tables and exploitation techniques #

https://pwning.tech/nftables/

这篇博文讲述了如何利用 Linux 内核中 nf_tables 中的双重释放漏洞来利用 KernelCTF Mitigation、Debian 和 Ubuntu 实例,使用新颖的技术如 Dirty Pagedirectory,而无需为不同内核目标重新编译漏洞利用。作者展示了在至少 v5.14 到 v6.6.14 之间几乎所有 Linux 内核上投放通用 root shell 的新技术。

此漏洞利用是可能的,因为利用是数据为主,KSMA 环境。目标内核包括 Ubuntu 内核、最近的 Debian 内核以及其中最强化的 Linux 内核之一(KernelCTF 防护内核)。此外,作者提供了概念验证源代码(也可在 Github 上的 CVE-2024-1086 PoC 存储库中找到)。

作者还挑战自己,使漏洞利用支持无文件执行(有助于 CNO 并避免在渗透测试中被检测),并且不对磁盘进行任何更改(包括将 /bin/sh 设置为 SUID 0 等)。

文章旨在作为原始 Dirty Pagetable 博文的补充指南,考虑到在作者开始撰写本博文时没有任何博文涵盖实际部分(例如用于利用漏洞的 TLB 刷新)。文章还提供了有关受影响内核版本的信息,漏洞利用的工作原理,技术背景和相关概念。

HN 评论 97 comments | 作者:Unroll0201 | 9 hours ago #

https://news.ycombinator.com/item?id=39828424

根据您提供的链接,这篇帖子中的评论观点可以归纳为以下几点:

  • 对漏洞利用的技术和工作表示赞赏;
  • 对漏洞的攻击向量和影响进行了讨论;
  • 讨论了是否披露漏洞而不是出售给公司的道德问题;
  • 对政府机构与犯罪分子合作的看法;
  • 讨论了用户命名空间的启用和安全性问题;
  • 对现代安全防护措施下漏洞利用的可能性进行了讨论。

Launch HN: Aqua Voice #

Aqua Voice 是一个使用语音输入进行文档编辑的工具,可以让用户仅通过语音来编辑文档。与将用户说的话转录成文字不同,Aqua Voice 会写下用户的本意。

该工具能够根据用户的指令进行文本编辑、重述、简化以及填补空缺,同时保持文本的原始语气和风格。它还可以自动去除文本中的无关填充词,使得文稿更加专业和精炼。

Aqua Voice 在日常任务处理方面表现出色,在实时文本转录准确率方面胜过其他服务。尽管在演讲转录方面表现不佳,但这是因为它将冗长的演讲重新表述为更简明的语言,而非错误识别单词。

用户可以免费使用 1000 个令牌,之后每月收费 10 美元。

HN 评论 116 comments | 作者:the_king | 9 hours ago #

https://news.ycombinator.com/item?id=39828686

这篇帖子中评论的观点归纳如下:

  • 有用户希望能够用语音输入来进行数据录入,尤其在需要测量时双手忙碌的情况下。
  • 有人认为产品的展示需要更具吸引力,比如直接告诉用户可以输入多少字,而不是使用“1000 tokens”这样的术语。
  • 有人认为产品在学术界有市场,不需要过多的比较表格,而是应该突出产品的相关性。
  • 有用户希望产品能够在移动端作为原生应用使用,或者成为类似 macOS 的全局实用工具,以便在任何应用程序中“输入文字”。
  • 有人认为产品对医疗行业的影响可能很大,可以提高医生的工作效率。
  • 有用户对产品的演示印象深刻,认为产品的核心功能在短短 36 秒内得到了充分解释,展示方式简洁明了。
  • 有人希望产品能够提供更多控制权,比如开源或提供源代码,以及关于数据隐私和保留政策的说明。
  • 有用户认为产品对于神经非典型人群来说是个福音,希望产品能够提供更多本地运行的选项。
  • 有人提出产品在移动端使用时存在延迟,希望未来能够改进。
  • 有用户希望产品能够支持上传音频文件进行转录,然后再进行编辑和校正。
  • 有人提到产品的错误率降低到 5% 以下的潜力,感到非常惊讶。
  • 有用户认为产品对于特定人群(如患有诵读障碍的孩子)来说是一个改变游戏规则的工具。
  • 有人希望产品能够提供 API,以便将其集成到任何应用程序中,并希望产品的延迟能够更快。
  • 有用户希望产品能够与其他语音识别工具(如 Talon、Microsoft 的 Voice Access、Dragon 等)进行比较,并关注产品的延迟情况。

Tech Debt: My Rust Library Is Now a CDO #

https://lucumr.pocoo.org/2024/3/26/rust-cdo/

这篇文章讨论了技术债务(Tech Debt)的问题,作者将自己的 Rust 库转变为了 CDO(Collateralized Debt Obligation)。

文章中提到,Rust 生态系统创造了一个环境,似乎解决技术债务的一种方法是将其抵押化。作者描述了一个场景:当一个库成为技术债务时,其他人开始意识到这一点,导致库被添加到 RUSTSEC 数据库,引发一系列问题。

维护者需要处理这些债务,可以选择转向其他替代方案,但有时并不是很理想。最终,作者将另一个库的代码合并到自己的库中,将这些技术债务转变为“AAA”评级。

文章最后提到了 CDO(Collateralized Debt Obligation)这一金融工具,解释了其在 2007 年金融危机中的情况。

HN 评论 219 comments | 作者:Tomte | 10 hours ago #

https://news.ycombinator.com/item?id=39827645

评论中的观点归纳如下:

  • 作者放弃了最受欢迎的 YAML 解析器,未指定其他维护者,可能导致问题;
  • 有人认为某些库可能在功能上完整,无需更改;
  • 代码永远不完整,环境总在变化;
  • 安全问题取决于当前环境;
  • 应该询问作者是否愿意维护或自行分叉;
  • 作者有权决定项目命运,他已尝试寻找维护者;
  • 单一维护者项目风险较高;
  • Rust 生态系统可能面临类似金融泡沫的风险。

ZenHammer: Rowhammer attacks on AMD Zen-based platforms #

https://comsec.ethz.ch/research/dram/zenhammer/

这个网页是关于名为"ZenHammer: Rowhammer Attacks on AMD Zen-based Platforms"的研究内容。研究表明,尽管已部署了 TRR(Target Row Refresh)缓解措施,但仍然可以在 AMD Zen 2 和 Zen 3 系统上触发 DDR4 设备上的 Rowhammer 位翻转。这一结果证明了 AMD 系统与英特尔系统一样容易受到 Rowhammer 攻击的影响,考虑到当今 x86 桌面 CPU 市场份额约为 36%,这极大地增加了攻击面。这对于野外的 DRAM 设备来说构成了重大风险,因为以前的研究表明,Rowhammer 攻击在浏览器、智能手机、虚拟机之间甚至网络上都是可行的。此外,研究还表明,ZenHammer 首次能够在 DDR5 设备上触发 Rowhammer 位翻转。

研究结果显示,在 Zen 2 和 Zen 3 系统上出现了大量位翻转。Zen 3 上的设备比 Coffee Lake 更容易受到攻击,简化了利用过程。研究人员能够从以前的工作中在这些设备的 7/6/4 上构建页表、RSA 公钥损坏和 sudo 漏洞利用,平均只需 164/267/209 秒。

研究人员通过采用 DRAMA 技术对 AMD 系统的秘密 DRAM 地址函数进行了逆向工程。他们发现定时例程必须更改以获得更可靠的结果。通过观察到必须在恢复 DRAM 地址函数之前对物理地址应用物理偏移,以应对系统地址重映射,他们完全恢复了地址函数。然而,使用这些地址函数在 AMD Zen 2 和 Zen 3 的 10 台设备中只能获得很少的位翻转。

研究还探讨了不同的围栏类型和围栏调度策略如何影响 AMD Zen 系统上的 Rowhammer 模式。研究人员提出了六种不同的基于模式的和避免缓存的围栏调度策略,并在设备上进行了 6 小时的测试,以确定设备的最佳策略。

最后,研究人员尝试在 AMD Zen 4 上逆向工程 DDR5,并评估了十个 DDR5 设备。在这十个设备中,ZenHammer 在一个设备上触发了约 42,000 次翻转。这是关于在野外的商品系统上首次公开报告 DDR5 位翻转。然而,考虑到 ZenHammer 在十台设备中有九台无法触发翻转,他们得出结论需要进行更多研究以找到更有效的 DDR5 设备模式。

HN 评论 130 comments | 作者:transpute | 1 day ago #

https://news.ycombinator.com/item?id=39819599

这篇评论主要讨论了关于 AMD Zen 平台上的 Rowhammer 攻击的观点。

作者指出 ECC 内存对于将 Rowhammer 从安全问题转变为可靠性问题仍然非常有效。

对于个人服务器所有者来说,只要服务器配备了 ECC 内存,他们能够通过检测不可纠正的 ECC 错误导致的机器停机来减少安全风险。云服务提供商在多租户主机上提供虚拟机时,安全威胁模型可能会有所不同。

总的来说,避免没有 ECC 的机器是明智的选择。此外,关于 DDR2 是否免疫 Rowhammer 攻击以及现代巡逻读取引擎如何应对 Row 风格的攻击等问题也引起了讨论。

作者还提到 AMD 已经开始在大多数 Ryzen CPU 上禁用 ECC,并对 AMD 在消费者市场上采用的市场分割方法表示了不满。最后,评论中还提到了关于是否应该要求所有计算机使用 ECC 内存以减少安全风险的看法。

Canva has acquired Affinity in an effort to compete with Adobe #

https://finance.yahoo.com/news/canva-acquires-affinity-design-suite-004813952.html

根据您提供的链接,这篇文章是关于 Canva Inc.收购了备受 Mac 用户欢迎的创意软件 Affinity 套件,这是 Canva 迄今为止规模最大的收购,旨在与 Adobe Inc.竞争。Canva 是一家提供设计工具的公司,通过这次收购,他们希望扩大自己的市场份额并增强与 Adobe 的竞争实力。这次收购被认为是 Canva 迈出的重要一步,以进一步巩固其在设计软件领域的地位。

文章还提到了 Canva 的创始人和首席执行官 Cliff Obrecht 的一些看法,他表示这次收购将有助于 Canva 提供更多功能和工具,以满足用户的需求,并进一步推动公司的增长。Affinity 软件套件在设计领域享有盛誉,被广泛应用于创意设计和图形处理领域,这次收购将使 Canva 能够整合这些先进的功能和工具,为用户提供更多选择和更好的体验。

总的来说,这次收购对于 Canva 和设计领域的发展都具有重要意义,有望为用户带来更多创新和便利。

HN 评论 229 comments | 作者:achow | 19 hours ago #

https://news.ycombinator.com/item?id=39824191

  • 有人担心 Canva 收购 Affinity 后会转向订阅模式,可能会改变原有的非订阅模式。
  • 有人认为 Canva 可能会将 Affinity 软件变得更糟,类似于 Adobe 的订阅模式。
  • 有人对 Canva 的企业功能表示怀疑,认为 Canva 目前还不够灵活。
  • 有人担心 Affinity 可能会被迫改变,认为大公司只关心利润。
  • 有人认为教育者不应因学生使用 Canva 而降低评分,应该注重内容本身。
  • 有人对 Canva 的收购表示担忧,担心可能会改变 Affinity 的定价模式。
  • 有人对 Adobe 和 Affinity 之间的软件性能进行了比较,认为 Adobe 更好。
  • 有人因为不喜欢 Adobe Creative Cloud 而选择使用 Affinity 和 DxO Photolab。
  • 有人认为 Adobe 产品更好,但也有人因为讨厌 Adobe 作为公司而选择其他产品。
  • 有人因为讨厌 Adobe 的订阅模式和臃肿而选择其他软件。

Sega Saturn Architecture – A practical analysis (2021) #

https://www.copetti.org/writings/consoles/sega-saturn/

这篇文章是关于《Sega Saturn 架构 | 实用分析》的详细分析。文章介绍了 Sega Saturn 主机的内部工作原理,包括 CPU、内存、图形处理器、音频系统、操作系统等方面的详细信息 #

  • CPU:Sega Saturn 使用了 Hitachi SuperH 或 ‘SH’ CPU,具有 32 位数据总线和 ALU、16 个通用 32 位寄存器等特点。文章还提到了 Sega 对 CPU 的不满,导致 Hitachi 推出了第二版 CPU SH-2。
  • 内存:Sega Saturn 包含 2 MB RAM,分为 SDRAM 和 DRAM 两个部分,用于不同目的。
  • 图形处理:Sega Saturn 包含两个专有 GPU,VDP1 和 VDP2,分别负责绘制精灵和背景,以及渲染大型平面和进行变换。
  • 音频系统:包括 Motorola 68EC000 控制器和 Saturn Custom Sound Processor (SCSP),用于处理音频数据和效果。
  • 操作系统:Sega Saturn 启动时会执行 Initial Program Loader (IPL),然后进入交互式 shell,允许用户播放音乐和管理存档等功能。
  • 游戏:Sega Saturn 游戏使用 2x CD-ROM 阅读器加载,游戏遵循 ISO 9660 标准存储数据,同时还会存储音轨以供游戏执行时流式传输音频。

文章还详细介绍了 Sega Saturn 的 CD 光盘工作原理、图形处理中的可见性问题、透明度问题以及音频系统的工作原理。整体来说,这篇文章提供了 Sega Saturn 主机内部架构的深入了解。

HN 评论 150 comments | 作者:StefanBatory | 14 hours ago #

https://news.ycombinator.com/item?id=39825901

  • 评论指出 Sega Saturn 的设计背后存在日本和美国团队之间的冲突,导致最终产品是一个 2D 控制台内部混合了未完成的 3D 控制台元素,缺乏清晰设计方向。
  • 评论提到 Saturn 的硬件设计师认为 3D 是未来趋势,但由于 Sega 内部专注于 2D 游戏,Saturn 设计旨在在 2D 游戏上表现出色,同时具备一定的 3D 游戏能力,但未能及时适应 3D 市场需求。
  • 讨论了 Saturn 在 3D 方面的缺陷,如缺乏纹理映射和半透明效果,认为若加入这些特性,Saturn 可能会成为一款可行的 3D 控制台。
  • 提到 Sega 在市场竞争中的策略失误,包括 32X 的推出和 Saturn 的仓促上市,导致开发者和消费者困惑和不满。
  • 讨论了 Saturn 的设计与其他 90 年代游戏机的挑战,认为 PlayStation 在设计上更具前瞻性和成本效益,而 Saturn 未能充分利用 Sega 在 3D 游戏方面的优势。

Show HN: Tracecat – Open-source security alert automation / SOAR alternative #

https://github.com/TracecatHQ/tracecat

这个 GitHub 地址是关于一个名为 Tracecat 的项目,它是一个面向安全团队的开源自动化平台,旨在构建类似于 Tines / Splunk SOAR 的功能,具有企业级开源工具、开源 AI 基础设施和 GPT 模型以及注重从业者体验的 UI/UX。

Tracecat 旨在简单而强大,使安全自动化对所有人都可访问,尤其是对人手不足的中小型团队。该项目提供了构建 AI 辅助工作流、丰富警报以及快速关闭案例等功能。

此外,它还包括案例管理、团队协作、AI 基础设施、安全性等功能。Tracecat 支持云端部署和本地部署,目前处于公共 Alpha 阶段,建议等待公共 Beta 版本发布后再用于生产环境。

项目采用 Apache-2.0 许可证,计划提供付费云版本和自托管分布式版本。

HN 评论 52 comments | 作者:neochris | 1 day ago #

https://news.ycombinator.com/item?id=39819458

  • 评论中提到了对传统 SOAR 产品高昂成本的担忧,希望提供针对小型公司的解决方案。
  • 有关案例管理和日志存储的技术决策,以降低成本并增加性价比。
  • 讨论了如何说服 SOC 团队使用开源工具而不是购买已建立的 SOAR 工具。
  • 提到了对产品的安全性和团队的安全计划的担忧。
  • 建议在产品中实现自动化和 Jira-like 跟踪,以及 AI 功能可能会引起管理层兴趣。
  • 强调了对好的集成和支持的需求,以及对自托管的反对态度。
  • 讨论了产品的商业化计划,包括云版本和价格范围。
  • 提到了“AI-native”可能是炒作,但产品本身很有趣。