我们(Nebula Security)刚刚发布了一个nginx远程代码执行的零日漏洞。该漏洞影响了数十家财富500强公司,我们已立即向nginx团队披露了这一信息。自2014年以来,这是第三个被评为“重大”的nginx漏洞。(<a href="https://x.com/nebusecurity/status/2067623683427045541" rel="nofollow">https://x.com/nebusecurity/status/2067623683427045541</a>)
要检查您的服务器是否受到影响:
```
1. 您正在运行NGINX开源版本v1.31.0或v1.31.1
2. 您的NGINX配置启用了HTTP/3 / QUIC
```
立即采取行动:
```
1. 将NGINX升级到v1.31.2或更高版本
2. 如果您无法立即升级,请禁用QUIC / HTTP/3,直到您可以修补
```
顺便提一下:这是我们在一个月内发现的第二个nginx远程代码执行零日漏洞,使用的是我们的安全代理VEGA。(请查看我们的第一个nginx RCE:<a href="https://x.com/nebusecurity/status/2057071579876753643" rel="nofollow">https://x.com/nebusecurity/status/2057071579876753643</a>)。我们将进行HN发布,但希望尽早传播关于这个RCE的信息。
同时,如果您有兴趣在您的代码库上尝试VEGA,请联系 etenz@nebusec.ai。
返回首页
一周热榜
我越多地使用Claude Code生成大量系统,就越觉得我们缺少许多实践和工具。
首先让我感到烦恼的是缺乏对提示的跟踪。系统应该执行的操作有很多小输入,但这些输入似乎非常短暂。因此,我开始在代码库中跟踪这些提示。
另一个观察是,如果想要获得良好的代理输出,就需要在上下文窗口中提供大量信号。对上下文窗口中输入内容的严格把控似乎是关键。使用人工智能生成输入文件可能是危险的,因为这会为人类信号增加熵/噪声。
我开始采取的一种做法是以特定方式组织我的项目:
- /specs - 纯人类信号,例如产品愿景、需求、设计等。
- /prompts - 代理配方,例如技能、职位、AI模式。
- /references - 可以在上下文窗口中使用的参考资料(品牌资产、文档、Figma导出、数据集等)。
- /plans - 项目的代理计划。通常这些计划会有多个迭代。
- /build - 从计划和提示交互中构建的代码库和传统单一代码库。
(我在GitHub上有一个公共的AGENTS.md,地址是rekallai/craft)
我对这个结构还不完全满意。随着使用的增加,我觉得/plans这个名称有些不准确(例如,我经常有想要在代码库或其他数据集上生成的报告)。
我非常好奇其他开发者(那些接受代理编码的人)是如何组织他们的项目的。我的目标是将这在我的团队中标准化。
如果你有一台时间机器,而你唯一能用它的目的就是去看未来的自己死去,你会使用它吗?为什么会或为什么不呢?
我一直在开发一个名为Deconvolution的全面Rust图像去卷积和恢复库。Deconvolution实现了28种不同的图像去卷积/恢复方法,涵盖了从实用的模糊去除技术到研究级科学成像算法。
功能特点:
- 顶层函数使用image::DynamicImage并返回图像
- 逆滤波器、维纳滤波、理查森-卢西、约束、近端、克里洛夫、最大似然估计恢复
- 盲理查森-卢西、盲最大似然、参数化点扩散函数(PSF)估计
- 2D卷积核、3D卷积核、2D传递函数、3D传递函数、2D/3D模糊
- 高斯、运动、失焦、显微镜模型,支持工具,PSF/OTF转换
- 边缘渐变、窗函数、范围归一化、噪声信噪比(NSR)估计
- 确定性模糊、噪声、合成夹具生成
- 支持2D图像数组和3D体积的ndarray
当然,这个项目仍在进行中 :)
我开始意识到,在工作中很难找到那些说话有用或者表达简洁的人。(我在这方面也有责任)。我部分归咎于裁员,因为人们感到需要不断展现出很高的工作效率。
我该如何改善我的表达方式,使我的言辞简洁且有意图?我希望在发言时能够吸引大家的注意。我想做一个寡言的人,但即便沉默也能让人感受到我的参与感。
我的团队(大约40名编写代码的成员)正在评估用于AI辅助代码审查的工具。市场上似乎有很多选择,因此在开始一系列免费试用之前,我想向有经验的人请教一下。
你们使用哪些工具或服务?你们是仅用于代码审查,还是也用于其他目的,比如事件响应或分支管理?你们为什么选择这些工具,喜欢或不喜欢它们的哪些方面?
我在使用像Claude Code这样的工具时,难以进入那种黄金“构建者”状态。能够从零开始使用这些工具创建软件确实很酷,但输出的结果……我不知道,感觉并不像是我自己做的。也许是因为所需的努力太少,或者是因为我心里明白,基本上任何人只要有合适的提示都可以复制这些,软件本身也不再是一件特别的事情。
有没有人能够在使用这些工具时找到那种“满足感的状态”?因为我很想再次找到它。
当我在Chrome中打开一个新浏览器标签页时,出现的动态Google涂鸦让我分心。这个涂鸦是关于足球/世界杯的动画。我希望它不要动。
metiq.space的概念源于与朋友们玩《全球大亨》时,意识到实时全球数据是多么分散。船舶、飞机、卫星、港口、天气、危险、基础设施、网络和公共数据集都存在,但它们通常分散在不同的工具和地图中。
我们的目标是构建一个互动的3D地球仪,可以通过经纬度和高度来可视化实时公共数据。地表数据保留在地球仪上,而飞机、卫星及其他高空物体则可以在真实的3D空间中呈现,而不是被压缩到地图上。
最终的成果是一个互动的地球仪,展示了地球、空中、海洋、太空、网络、防御、基础设施、政治等多种信息,且这个列表还在不断扩展。
目前,大部分开发工作集中在数据过滤和去重上。
也许人们会对发明和使用更先进的算法和数据结构产生更多兴趣,这些算法和数据结构能够使用更少的内存?