2024 04 02 HackerNews

2024-04-02 Hacker News Top Stories #

一句话摘要 #

  1. LLaMA now goes faster on CPUs 为了提升在CPU上的运行效率,作者开发了84个新的矩阵乘法内核,显著加快了llamafile的提示评估时间。
  2. Xzbot: Notes, honeypot, and exploit demo for the xz backdoor GitHub项目提供了有关xz后门的笔记、蜜罐和漏洞演示,包括如何设置蜜罐和触发后门的指南。
  3. The Wi-Fi only works when it’s raining 作者通过调查发现,家中Wi-Fi仅在下雨时工作正常,原因是邻居的树枝在雨中弯曲,减少了对Wi-Fi信号的阻挡。
  4. A deep dive into email deliverability in 2024 文章深入探讨了2023年谷歌和雅虎宣布的新电子邮件安全标准,以及这些标准对2024年电子邮件投递率的影响。
  5. Show HN: Libmui is a macOS Classic widget lib for Linux Libmui是一个为Linux提供经典MacOS和GS/OS小部件库的开源项目,支持现代系统的异步设计。
  6. Upscayl – Free and Open Source AI Image Upscaler Upscayl是一个免费开源的AI图像放大器,支持Linux、MacOS和Windows系统,使用先进的AI算法提升图像质量。
  7. What we know about the xz Utils backdoor that almost infected the world 报道了xz Utils中发现的后门问题,这是一个几乎影响全球的供应链攻击,揭示了广泛使用的软件和系统的潜在威胁。
  8. XZ Backdoor: Times, damned times, and scams 文章讨论了xz/liblzma tarball中发现的后门问题,分析了可能的维护者Jia Tan的工作模式和时区,推测其真实身份。
  9. OpenAI removes Sam Altman’s ownership of its Startup Fund OpenAI宣布从其创业基金中移除Sam Altman的所有权,反映了管理和所有权结构的调整。
  10. Documentation for the AMD 7900XTX GitHub上的文档提供了AMD 7900XTX显卡的详细信息,包括系统架构、组件、寄存器转储等。

LLaMA now goes faster on CPUs #

https://justine.lol/matmul/

这个网页内容主要介绍了作者为了提高 llamafile 在 CPU 上的性能,编写了 84 个新的矩阵乘法内核。这些内核使 llamafile 能够更快地读取提示/图像。

相比于 llama.cpp,在使用 F16 和 Q8_0 权重在 CPU 上时,使用 llamafile 的提示评估时间应该会快 30% 到 500%。这些改进对 ARMv8.2+(例如 RPI 5)、Intel(例如 Alderlake)和 AVX512(例如 Zen 4)计算机效果最显著。作者的内核对于适合 L2 缓存的矩阵比 MKL 快 2 倍,尤其适用于少于 1,000 个标记的提示。

文章还介绍了 llamafile 项目的背景、在不同硬件上的性能提升,包括业余爱好者硬件、游戏硬件、苹果硬件和专业硬件。作者还分享了在不同硬件上运行 llamafile 的性能数据,以及对不同硬件的优化和性能提升。文章还提到了作者为了改进 llamafile 的性能而编写的矩阵乘法内核的源代码链接。

HN 评论 365 comments | 作者:lawrencechen | 20 hours ago #

https://news.ycombinator.com/item?id=39890262

  • 有人认为 Fortran 实现的 SGEMM 函数并不逊色于优化版本,现代编译器能够轻松应用优化;
  • 另一观点认为 Fortran 实现只是一个参考实现,无法与优化的 BLAS 库相媲美,因此 LLaMA 采用了自己的优化实现;
  • 有人指出现代编译器能够将优化应用到标准 BLAS Fortran 中,但不是对标准 BLAS 实现的背书;
  • 讨论了 Fortran 的并行特性,指出 DO CONCURRENT 不是并行构造;
  • 有人认为 AVX/FMA 和循环展开对于编译快速 GEMM 代码几乎没有帮助,Fortran 实现对于高性能 GEMM 来说是不足的;
  • 讨论了 LLaMA 的发展方向,尝试避免使用 cuBLAS,使用自己的内核。

Xzbot: Notes, honeypot, and exploit demo for the xz backdoor #

https://github.com/amlweems/xzbot

这个 GitHub 地址( https://github.com/amlweems/xzbot)包含有关 xz 后门(CVE-2024-3094)的笔记、蜜罐和漏洞演示。项目内容包括:

蜜罐(honeypot):用于检测利用尝试的虚假易受攻击服务器。 ed448 补丁(ed448 patch):用于使用自己的 ED448 公钥补丁 liblzma.so,以进行签名验证和解密负载。 后门格式(backdoor format):后门负载的格式,包括命令和加密的密文。 后门演示(backdoor demo):用于触发远程代码执行(RCE)的 CLI,假设知道 ED448 私钥。

此外,还提供了有关如何设置蜜罐、替换 ED448 公钥以触发后门、后门格式的详细说明,以及如何运行后门演示的指南。项目还包含了一些示例和参考链接。

HN 评论 270 comments | 作者:q3k | 6 hours ago #

https://news.ycombinator.com/item?id=39895344

这篇帖子中的评论观点归纳如下:

  • 该漏洞需要攻击者的私钥,是一种安全意识较高的漏洞;
  • 保持后门的长期性,避免被迅速发现和关闭;
  • 防止敌人利用漏洞攻击友好目标;
  • 可能是国家间间谍活动;
  • 有人认为是国家行为,而有人认为也可能是有组织犯罪;
  • 有人怀疑性能问题是否故意;
  • 评论者对技术细节感兴趣,希望进行详细技术分析。

The Wi-Fi only works when it’s raining #

https://predr.ag/blog/wifi-only-works-when-its-raining/

这篇博文讲述了作者遇到的一个奇怪的硬件问题:家里的 Wi-Fi 只有在下雨的时候才能正常工作。

故事发生在作者回家度假时,发现家里的网络连接只有在下雨时才能使用,而在雨停后就会变得不稳定。经过一番调查和排查,作者最终发现问题出在邻居家的一棵树上。树的枝叶在下雨时被雨水压弯,不再阻碍 Wi-Fi 信号传输,因此网络正常工作;而雨停后,树枝逐渐恢复原状,导致 Wi-Fi 信号受阻。

解决方法是升级硬件设备,用新的设备替换旧的,以提高信号抗干扰能力。最终,问题得以解决,网络恢复正常。整个故事展示了作者如何通过调试和解决问题,最终找到了导致 Wi-Fi 只在下雨时工作的原因。

HN 评论 147 comments | 作者:bonyt | 5 hours ago #

https://news.ycombinator.com/item?id=39896371

评论中的观点归纳如下:

专家用专业知识解释现实现象、网络问题与物理规律的关系;

故障排查中的有趣故事和技术细节;

网络连接问题的原因可能是设备故障、线路中断等;

用户分享了类似故障排查的经历和故事。

A deep dive into email deliverability in 2024 #

https://www.xomedia.io/blog/a-deep-dive-into-email-deliverability/

这篇名为"A Deep Dive into Email Deliverability in 2024"的文章探讨了 2023 年 10 月谷歌和雅虎宣布的新电子邮件安全标准,以防止垃圾邮件、网络钓鱼和恶意软件攻击。文章详细介绍了发送者必须遵守的新指南,主要涉及实施 SPF、DKIM 和 DMARC 等电子邮件身份验证标准。未遵守这些指南将导致电子邮件在 2024 年 4 月开始被阻止。

文章还介绍了影响因素,包括谷歌不断更新的算法和用户报告数据,以提高电子邮件过滤和用户体验。文章提到了如何实施这些指南以及如何保持合规性。此外,文章还提供了一些免费在线工具,帮助组织实施和遵守这些指南。

总的来说,这篇文章强调了电子邮件提供商在 2024 年强制执行的新指南和最佳实践,以及这些措施对企业的影响。它解释了如何实施这些指南以及如何保持合规性,同时提供了一些在线工具来帮助实施和遵守这些指南。

HN 评论 201 comments | 作者:xoneill | 1 day ago #

https://news.ycombinator.com/item?id=39888383

  • 针对垃圾邮件问题,有人认为垃圾邮件与恶意内容难以区分,建议不要点击退订链接,而是点击垃圾邮件报告按钮,停止使用忽略垃圾邮件报告的大型电子邮件服务商。
  • 有人提出对企业实施“有针对性的投递失败”攻击,通过标记受害者的邮件为垃圾邮件,导致未来邮件被标记为垃圾或在到达真实客户之前被删除,可能对小公司造成打击。
  • 有人分享受害者的合法邮件模板被恶意发送者盗用的经历,强调恶意发送者会利用合法模板来绕过过滤器,最终导致受害者无法发送任何邮件。
  • 讨论了消费者权利和抵制角度,有人提到对大公司的负面体验导致将其所有邮件标记为垃圾邮件,强调少数投票也能在垃圾邮件领域产生影响。
  • 有人分享了针对邮件投递问题的解决方案,包括使用第三方服务进行批量发送邮件,以及配置 SPF、DKIM 和 DMARC 等措施来提高邮件投递率。

Show HN: Libmui is a macOS Classic widget lib for Linux #

https://github.com/buserror/libmui

这个 GitHub 项目是一个名为 libmui 的库,旨在为 Linux(以及其他系统?)提供经典的 MacOS 和 GS/OS 小部件库。

该库旨在复制许多 Macintosh Classic “Toolbox” API,虽然不是完整实现,但足以制作一些简单的应用程序,以及为 MII Apple //e 模拟器所需的所有部分。

它提供了一些经典的“管理器”,如窗口管理器、菜单管理器、控件管理器和列表管理器等,同时具有现代系统的异步设计,可以绘制到 ARGB 缓冲区,并具有智能的重绘机制以减少不必要的绘制。该库还包含标准的文件对话框、警报框等功能。libmui 的构建过程简单,只需在根目录运行“make”命令即可。

整体而言,该库提供了一种简单而灵活的 UI 库,旨在提供类似于经典 MacOS 界面的体验。

HN 评论 78 comments | 作者:buserror | 1 day ago #

https://news.ycombinator.com/item?id=39887313

这篇帖子中的评论观点包括对经典 macOS 界面的喜爱、字体选择的讨论、UI 设计的赞赏、对现代 UI 的批评、本地化对 UI 布局的影响、对 GUI 工具包的比较、以及对 Electron 的看法。

Upscayl – Free and Open Source AI Image Upscaler #

https://github.com/upscayl/upscayl

这个 GitHub 地址 https://github.com/upscayl/upscayl 是一个免费开源的 AI 图像放大器,适用于 Linux、MacOS 和 Windows 系统,采用了 Linux 优先的设计理念。

该项目名为 Upscayl,让您可以使用先进的 AI 算法放大和增强低分辨率图像,而不会失去质量,几乎就像魔术一样!Upscayl 是跨平台应用程序,Linux 用户可以更早获得预发布版本,但 Upscayl 本身适用于所有主要桌面操作系统。您需要具有 Vulkan 兼容的 GPU 才能放大图像。该项目提供了安装指南,包括 Linux、MacOS 和 Windows 系统的安装步骤。此外,还提供了 Wiki、教程、结果对比、开发指南、常见问题解答等内容。

Upscayl 使用 AI 模型来增强图像,采用 Real-ESRGAN 和 Vulkan 架构。项目后端完全采用 AGPLv3 许可证开源。如果您有兴趣,可以通过报告问题、修复代码、添加功能或捐赠来贡献。

HN 评论 65 comments | 作者:faebi | 1 day ago #

https://news.ycombinator.com/item?id=39887931

  • 有用户对 Real-ESRGAN 和 Upscayl NCNN 的比较,认为 Upscayl NCNN 有修复和功能增强,计划加入 CPU 支持。
  • 有用户认为 Real-ESRGAN 在图像增强方面仍是最佳算法,但 Upscayl NCNN 也在不断改进模型。
  • 有用户分享使用 RealESRGAN 放大图片的经历,包括修复照片并打印,以及将低分辨率图片放大用作壁纸等。
  • 有用户讨论 AI 模型在图像增强中的应用,指出 AI 模型在放大任务中会产生幻觉。
  • 有用户提到 MRI 扫描中使用 AI 增强图像信号,AI 模型在机器中运行且效果良好。
  • 有用户讨论图像增强软件的发展,以及对视频增强的需求和现有工具的评价。
  • 有用户探讨 AI 模型在图像处理中的应用,包括清理图像和放大图像等。
  • 有用户对 AI 模型的功能和效果进行讨论,提到不同模型会产生不同结果,建议尝试自定义模型以获得满意效果。

What we know about the xz Utils backdoor that almost infected the world #

https://arstechnica.com/security/2024/04/what-we-know-about-the-xz-utils-backdoor-that-almost-infected-the-world/

根据 Ars Technica 的报道,一名微软开发人员在 xZ Utils 中发现了一个被故意植入的后门,这是一个开源数据压缩实用程序,几乎存在于所有 Linux 和其他类 Unix 操作系统的安装中。这个后门几乎就要被合并到 Linux 的两大主要发行版 Debian 和 Red Hat 中,但幸运地被一位软件开发人员发现。这次事件被描述为迄今为止最成功的供应链攻击之一,是一个恶意、高效、授权的上游在广泛使用的库中的噩梦场景。

xz Utils 几乎存在于 Linux 系统中,提供了在几乎所有类 Unix 操作系统上进行无损数据压缩的功能。最近,一位微软的开发人员通过调试 Debian 系统的性能问题发现了与 xz Utils 更新相关的问题,最终发现这是由于有人故意在压缩软件中植入后门。这个后门修改了软件功能,可以操纵用于远程 SSH 连接的可执行文件 sshd,允许持有预定加密密钥的人将任意代码嵌入 SSH 登录证书中,并在受影响设备上执行。这种后门的制造者计划运行的代码尚不清楚,理论上可以实现各种功能,包括窃取加密密钥或安装恶意软件。

这个后门的制造过程经历了数年的发展,涉及到多个开源项目和开发者,最终在 2023 年和 2024 年的版本中实施。这次事件揭示了供应链安全的重要性,以及恶意行为对广泛使用的软件和系统的潜在威胁。

HN 评论 281 comments | 作者:thunderbong | 15 hours ago #

https://news.ycombinator.com/item?id=39891607

这篇帖子中的评论观点归纳如下:

    1. 讨论了如何通过消息传递等方式实现程序子组件之间的安全通信;
    1. 提到了 systemd 最近使用 dlopen 进行压缩库链接的变化;
    1. 讨论了使用 glibc 的 IFUNC 可能存在的问题;
    1. 强调了对 XZ 进行标准化测试的重要性以确保长期项目稳定性;
    1. 讨论了开源维护者和大公司需要改变开源维护的财务前景;
    1. 强调了依赖性和安全风险之间的权衡;
    1. 提出了开源项目需要更多人参与维护的观点;
    1. 讨论了面对地缘政治考量时的代码审查和移交维护的必要性。

XZ Backdoor: Times, damned times, and scams #

https://rheaeve.substack.com/p/xz-backdoor-times-damned-times-and

这篇文章讨论了最近在 xz/liblzma tarball 中发现的后门问题。文章指出,这个后门可能是由长期担任 xz 的维护者 Jia Tan 放置的,这是自由软件生态系统中信任被破坏的最大事件之一。

Jia Tan 一直保持相对神秘,除了他的名字(可能是假的)外,几乎没有人了解他。文章分析了 Jia Tan 的工作模式和时区,推测他实际上可能来自 UTC+02/03 时区,如东欧,以色列等地区。作者通过时间戳分析发现,Jia Tan 的工作时间通常是在早上 9 点到下午 6 点之间,这与他声称的 UTC+08 时区不符。

此外,通过假期安排也发现,Jia Tan 的工作时间更符合东欧人的习惯。

文章还提到了如何通过更改时区而非实际更改时间来伪造时间数据,以及如何分析提交记录中的时间戳来推断出更多信息。

HN 评论 167 comments | 作者:lamontcg | 23 hours ago #

https://news.ycombinator.com/item?id=39889286

在这篇帖子的评论中,有关于可能是国家支持的攻击、团队背后的操作、假设不只是“一个独行侠/单个人”等观点。

还有关于假期时间表和地点的讨论,以及有关于可能的攻击者身份和动机的推测。

此外,还有关于如何隐藏时间信息在 git 提交中的方法、对 FOSS 维护者的捐赠重要性等话题的讨论。

OpenAI removes Sam Altman’s ownership of its Startup Fund #

https://www.reuters.com/technology/openai-removes-sam-altmans-ownership-its-startup-fund-2024-04-01/

根据您提供的链接,这篇文章报导了 OpenAI 在 2024 年 4 月 1 日从其创业基金中移除了 Sam Altman 的所有权。

OpenAI 是一家人工智能研究实验室,旨在推动人工智能的发展。Sam Altman 是一位知名的企业家和投资者,曾担任 OpenAI 的董事会成员。这一决定意味着 OpenAI 将不再与 Sam Altman 有直接的所有权联系,这可能会对 OpenAI 的未来发展和战略方向产生影响。

这一举措可能反映了 OpenAI 在管理和所有权结构方面的调整,以适应其发展需求和目标。

HN 评论 29 comments | 作者:mfiguiere | 6 hours ago #

https://news.ycombinator.com/item?id=39895994

  • 有评论认为初代 GP 可能是为了转移责任或因合同义务而更换,但不清楚为何选择这种结构;
  • 另一观点指出在 Master-Feeder 模型中,GP 是管理者而非所有者,LP 才是所有者;
  • 有人质疑在法律文件中使用虚构姓名是否犯罪;
  • 有评论认为 OpenAI 应该转为营利模式,解决所有权问题;
  • 还有人关注 Altman 在基金中没有财务利益的说法。

Documentation for the AMD 7900XTX #

https://github.com/geohot/7900xtx

这个 GitHub 链接( https://github.com/geohot/7900xtx)包含有关 7900XTX 的文档,也称为 Navi31、gfx1100、Plum Bonito 或 amd744c。

文档中提到了一些术语和缩写,比如 PSP(Platform Security Processor)、SOS(Secure Operating System)、TA(Trusted Application)、KDB(Key DataBase)等。还包括了有关系统架构、组件、寄存器转储等方面的信息。

此外,还提供了有关安装 AMDGPU、重建 amdgpu 内核模块、启用调试打印等操作的指南。文档中还包含了一些链接,可以进一步了解相关信息。

HN 评论 129 comments | 作者:mpereira | 1 day ago #

https://news.ycombinator.com/item?id=39888020

  • 有人认为 AMD 的驱动程序存在问题,导致无法运行神经网络,影响了潜在的收益。
  • 有人支持 AMD 改进软件开发流程,认为需要来自不满顾客的压力。
  • 有人指出 AMD 在软件方面一直表现不佳,但在硬件方面取得成功。
  • 有人认为 AMD 可能不愿意投入开源,导致软件质量问题。
  • 有人希望更多公司介入 AI 领域,打破 Nvidia 的垄断,推动竞争与进步。