ここに毎週共有に値するテクノロジー関連のコンテンツを記録し、金曜日に公開します。
この雑誌オープンソース、ようこそ投稿。それに誰が採用しているかサービス、プログラマー募集情報を公開します。提携のご連絡お願いいたします。メールで連絡([email] 保護された])。
表紙の画像
今年から利用が開始されるテンセント本社敷地、俗称「ペンギン島」は、オフィスビルだけでなく、複数のアパートメントビルも含まれます。バイア)
axios 毒害とハリウッド式の詐欺
先週、有名なソフトウェアライブラリaxiosが毒を盛るハッカーは発行トークンを入手し、直接新しいバージョンをリリースしました。その中にはwürmが組み込まれていました。
ソフトウェア毒入れるのは古くない話だ。新しいのはトークンがどうやって漏れたかだ。裏側の話はまさにハリウッド映画みたいで、完全に防ぐことができない。
axiosはJSライブラリの中で最も広く使われているものの一つで、週間ダウンロード数はほぼ1億回に近く、今回の投毒による感染範囲は広い。
さらに、マルウェアの悪質度は高い。根据公式のクリア説明不幸中毒した場合、すべてのキー、トークン、資格情報を無効に。このマルウェアはすべてのディレクトリをスキャンし、キーを収集して送信します
。皆さんにお知らせしますが、axiosのような非常に人気のあるソフトウェアライブラリは、各段階で完全な保護が施されており、各行のコードが厳重に審査されています。今回の攻撃は、これらの保護をすべて突破するための計画的な社会工学的攻撃でした
。攻撃のターゲットは主なメンテナであるJason Saaymanでした。彼自身によると、事件の経過は以下の通りです
。彼らは私の状況に合わせてこのプロセスをカスタマイズし、具体的な手順は以下の通りです
- 。彼らはある会社の創業者になりすまして私に連絡を取り、その創業者の外見を模倣しただけでなく、その会社自体も模倣しました。
- 彼らはその後、私に実際の Slack ワークスペースへの参加を誘った。このワークスペースは同社のブランドアイデンティティを使用しており、名前も信頼に値するものだった。Slack のワークスペースは非常に巧みに設計されており、LinkedIn の投稿を共有するための専用チャンネルが設けられている。これらの LinkedIn 投稿は最終的に同社の実際のアカウントに投稿されるものだと推測する。全体として非常にリアルな効果を生み出している。彼らはさらに、同社のチームメンバーを推測する架空のアカウントや他のオープンソースソフトウェアのメンテナーを推測する架空のアカウントも作成した。
- 彼らは私との面会を安排し、それをコミュニケーションの目的としていた。会議はマイクロソフトの Teams 上で行われた。参加者は一団の人々らしく思われた。
- 会議では、私のシステム上の何かが古いと指摘された。Teams に関連していると思い、不足しているコンポーネントをインストールしたが、結果としてリモートアンチウイルスツール(RAT)だった。
- すべてが非常に秩序整っており、正規に見え、行動様式も専門的だった。
攻撃は台本に沿っており、各ステップが計画され、十分な準備と練習が行われていたことがわかる。完全あなたに合わせて作成、待ち受けているわ。
詐欺師は非常に忍耐強く、大きな初期コストを投じています。まず、ある会社の創業者を装ってあなたに連絡し、信頼性を高めるために偽りの会社ウェブサイトを作成します。次に、あなたを彼らの Slack ワークスペースに招待し、さまざまな議論、プロジェクト文書、宣伝資料が含まれており、本物のように見えます。最も手強いのは、彼らがあなたに Teams ソフトウェア上で会社のビデオ会議に参加してもらうことです。一群詐欺師が直接現れ、一緒に会議をします。
会議が始まったばかりで、司会者は突然「不思議なことに、あなたのシステムは私たちと違うんですね。マイクロソフトのプラグインが古いのでは?最新版を送りますよ」と言いました。そうして、あなたは送られてきたインストールパッケージを受け取り、他の参加者たちがあなたを待っているのを見て、特に考えずにダブルクリックで実行しました。ああ、そうやって感染しましたか。発行されたトークンは一秒で漏洩していました。
このレベルの不正に感嘆させられる。
は、つい先日見たインドのニュースを思い出させます。作り話の度合いは過去に及ばず、ハリウッド映画みたいです
。去年のクリスマス、インド新デリーの77歳の老婆が「警察署」からのWhatsAppビデオ通話を受け取りました。ビデオの右下に手話通訳が入っていたんです
。警察は彼女に、銀行が彼女の口座に資金洗浄の記録を見つけたと伝え、調査が必要だとし、協力しなければ口座資金が没収されると脅し、遠隔地での裁判所の調査ヒアリングに出席するよう通知しました
。その後、メディアが「警察署」のセットの写真を公開し、どれほどリアルかお見せします
。最初の3枚の写真はインドの警察署で、最後の1枚はパキスタンの警察署です。それらは同じ建物にあり、部屋が隣接しています。この2つの国は現実的に対立していますが、それでも詐欺師は両方を騙すことができます。
事件そのものに戻ると、数日後、老婆はオンラインの公聴会に参加した。裁判所で行われ、「裁判官」が直接進行した。彼は資金記録を確認し、「警察官」の証言を聞き、老婆にいくつか質問した。
最後に、「裁判官」は老婆に、当局が彼女の全財産が合法かどうかを確認する必要があると伝えた。彼女は毎日警察署と連絡を取り、質問に答え、問題が解決するまで続けなければならなかった。
次にこの事件の最も見どころのある部分がある。16日間連続して、老婆はカメラを通じて毎日警察署と連絡を取り、どれほど詐欺師が悪質だったかを見てみてください。
この16日間で、老婆は偽りの警察署で交代で勤務する警官たちに次第に好意を持つようになった。彼女は彼らを自分の子供たちと呼ぶようになった。そして彼らも逆に彼女を「母」と呼ぶようになった。
夜、彼女は最も若い将校と一緒にインド教の宗教書を読んだ。この将校は彼女に、特に感動した段落を送ってほしいと言った。
「彼らは家族のように感じた」、老婆は思い出した。「彼らは言った『おばさん、早く問題を解決したい。私たちは昼夜を問わずおばさんのためにお仕事している』」
あらやだ、詐欺師は朝から晩まで16日間、老婆と膝を寄せて話し、古典を読み、人生の問題について相談し、深夜まで続いた。もし映画化したら、どれほど感動的だろう。
老婆は全く疑わず、自らの投資を喜んで売却し、偽警察局の口座に計9回合計160万ドルを送金した。
次の日、彼女が「警察局の子どもたち」と再び連絡を取ろうとしたが、つながらなかった。
上記の2つのケースから、今のインターネット詐欺はどれほど行き詰まっているか、完全に精密なターゲットにした「脚本殺人」であり、成功率が非常に高いことがわかる。AIが加われば、真偽をほとんど区別することができないだろう。
ウェブ開発には一つのルールがある:クライアントからのすべてのリクエストは信頼できず、悪意のあるリクエストと仮定しなければならない。今後、現実の生活もそうだろう:すべての見知らぬ人は信頼できず、悪意のある詐欺と仮定しなければならない。
算力は依然として不足
最近、3つの出来事が起こり、算力は現在依然として非常に厳しい状況であることを示している。
まず最初に、OpenAIがビデオ生成サービスのSoraを終了させました。主な理由は計算資源が不足しているためで、会社は計算リソースを主要業務に割り当てる必要があります。
次に、Anthropic社は正式に月額プランをサードパーティサービス(例えばOpenClaw、OpenCodeなど)に使用することを禁止しました。
理由は、月額プランが満額利用された場合、消費される計算資源がサブスクリプション料金をはるかに超えるためです。会社の計算資源は非常に貴重で、自社製品(例えばClaude Code)を優先的に確保する必要があり、外部製品がデータセンターの負担を増やすことはできません。
さらに、記事によると、GitHubの今年前3ヶ月のコード提出量は昨年同時期の14倍です!
の原因は明らかにAIプログラミングの急増であり、昨年初頭にはClaude Codeがありませんでした。GitHubのリソースはこの増加に対応するには全く不十分であり、そのためが絶えず故障を起こしています。
上の図に示すように、GitHubの過去3ヶ月の正常稼働率は89.47%に過ぎず、合格とされる数値は99.99%です
。以上の三つの事実は、主要なAIサービス会社が計算資源が非常に不足しており、ハードウェアもまだ不十分であることを示しています
。これは、ハードウェア価格の急騰がまだ終わっておらず、さらに上昇し続けると意味しており、GitHubは無料サービスを縮小し、全面的に有料化する可能性が高いです
。フロントエンドは繰り返しの労働でしょうか
。ある開発者が言っています、フロントエンドの本質は同じ作業である:ユーザーにデータを表示し、ユーザーがそのデータを処理させることである。
彼は、同じ問題を繰り返し解決する必要がないと感じた。
彼は「アダプティブブラウザ」を作成した。これはAIによってフロントエンドのUIを自動生成し、バックエンドはデータを提供し、ウェブページの用途の説明のみが必要である。
これがフロントエンドの結末となるのかもしれない。
Adobe はhostsファイルを変更
Adobe社の主要な製品は「クリエイティブクラウド」パッケージ(Creative Cloud)であり、Photoshop、Illustrator、Premiereなどの有名なソフトウェアが含まれている。
あるネットユーザーがインストールした後、驚いて発見したのは、インストーラーがhostsファイルを変更していたことだった。は彼のhostsファイルを変更しました。
上の図からわかるとおり、AdobeはhostsファイルにローカルのDNSレコードを追加しました。
なぜアプリケーションがシステムファイルを変更するのでしょうか?
情報筋によると、これはCreative Cloudがインストールされているかどうかをテストするためです。ユーザーが公式サイトを訪れると、上の図のドメインに対してリクエストが送信されます。そのドメインのDNSレコードはローカルにしか存在しないため、サーバーがリクエストを受け取った時点でCreative Cloudがインストールされていると判断されます。
こんな有名なソフトウェアが、「後門」のような解決策を考え出したとは、本当に面白いです。しかも、彼に金を払っている人間の対象なんて、本当に呆れません。
記事
1、MDN新フロントエンドの下層構造(英語)
MDNはインターネット最大のドキュメントサイトであり、本稿ではこのサイトのフロントエンドのアーキテクチャを紹介しています。思わずこれほど複雑だと思いました。
2、コードを書く人を殺せ(中国語)
著者は大手企業のフロントエンドプログラマーで、過去1年間の自分の変化を振り返り、手書きコードからAIプログラミングへと変わっていったことを語っています。AIはすべてを変え、『35歳で定年』という考えを消し去りました。(@wind-liang 投稿)
3、アンドロイドスマートフォンでSMSゲートウェイを構築する方法(英語)
著者は、中古のアンドロイドスマートフォンにSMSゲートウェイをインストールし、ネットワークを通じてSMSを送受信する方法(あなた自身のプランを使用)を紹介しています。
4、QEMU を用いたビッグエンディアンバイトオーダーテスト(英語)
C 言語の初心者向けチュートリアル、本機で QEMU 仮想マシンを通じて、10 行未満のプログラムを実行し、あるアーキテクチャがビッグエンディアンかリトルエンディアンかを確認できます。
6、Python の importtime 機能(英語)
Python は import 命令でモジュールをインポートしますが、これにはパフォーマンスのオーバーヘッドがあります。本稿では、各モジュールのロードにかかる時間を表示できる組み込みの importtime 機能について紹介します。
6、2000年コルスカ核潜艇災害(英語)
2000年8月、ロシアの核潜水艦「クルスク」は演習中に爆発して沈没し、118名の乗組員が全員死亡した。この事故は非常にゆっくりと進行し、現場は混乱し、救助作業も次々と遅延した。本稿は多くの写真を使って、その全過程を再現している。
ツール
今週、Googleは公式にiPhone用アプリをリリースし、オフラインで使用できるGemma 4モデルを提供した。インターネットに接続する必要なく、スマートフォンでも大規模モデルを使用できるようになった。
2、apfel
Macパソコンにはローカルの大規模モデルが組み込まれており、オフラインで使用できる。しかし、デフォルトではApple社の自社製品Siriのみがアクセスできる。このツールをインストールすると、コマンドラインから自分で呼び出すことができるようになる。
3、ドッキング
は、Linuxデスクトップに類似のAppleデスクトップのプログラムドックを追加します。
4、Tantivy
は、Rust言語で書かれた全文検索エンジンライブラリで、Apache Luceneを代替できます。の紹介記事を参照してください。
は、プラットフォームを超えたデスクトップアプリケーションで、スクリーンレコーディング後に紹介動画を作成するために使用され、さまざまな編集機能を提供します。
6、epub-tts
このオープンソースツールはepubファイルを音声ファイルに変換し、電子書籍をオーディオブックに変換します。
7、 NVTOP
Linuxシステム用のコマンドラインプログラムで、GPUグラフィックカードの状態を監視し、グラフィックカード専用のtopコマンドに相当します。
8、 dmcheck
あるテーマ用語のドメイン名の使用状況を確認します。( @PlayerYK 提携)
9、 Reze Studio
オープンソースのアニメーションカーブエディタウェブサイト。@AmyangXYZ 投稿)
10、gitlogue
このツールはGitリポジトリのコミット履歴をターミナルでアニメーション形式で再現し、スクリーンセーバーとして表示することもできます。
リソース
1、佛津
世界仏教古典デジタルプラットフォーム。(@xr843 投稿)
リアルタイム3Dで世界の航空機を表示します。@haojiang99 提出者)
このウェブサイトは画像でGPUグラフィックカードの発展史を展示しており、1996年のVoodooカードから2025年のRTX 5090グラフィックカードまでをカバーしています。
画像
中米のコスタリカはオレンジジュースを生産しており、大量のオレンジの皮が発生していました。以前はゴミとして埋め立てられていました。
環境保護団体が工場を説得し、12,000トンのオレンジの皮を荒れ地に広げ、肥料として利用するようにしました。
山頂にはオレンジの皮が覆われており、それ以外に何の処理も行われていません。
6ヶ月後、オレンジの皮が完全に腐り、黒い土壌となり、徐々に何かが生えてきました。
16年後、科学者が現場に戻ってきた時、すでに茂みの深い森林でした。
これは山を緑化する最も簡単な方法で、オレンジの皮を積み上げて腐らせるだけです。
アメリカ、フランス、日本など16の粒子物理研究所が共同で写真コンテストを開催し、写真家に物理研究所を撮影して物理学を一般に宣伝するよう招待しました。
上の写真はイタリア国立核物理研究所 (INFN) の低温探知器研究所で、物質を絶対零度よりわずかに上の温度に冷却できます。
上の写真の撮影地はフランスの重イオン国家加速器研究センターで、撮影された装置は線形加速器の電源システムです。
さらに多くの写真はこちら。
摘録
私たちは海辺で遊ぶと、砂が肌や靴、服、髪に付着する。
砂の主な成分は二酸化ケイ素で、岩石と同じである。岩石は粘着性がないのに、なぜ砂は粘着性があるのか?
実は、砂自体は粘着性がないが、親水性があり、水を吸う。人体も親水であり、暑い日に汗をかく。砂が湿ったものに触れると、水分子同士で粘着性が生じる。
肌には通常、油分や日焼け止めもあり、それらも砂を肌に付着させる。
また、肌には微細な皺があり、それらも砂を捉える。
結局として、砂を取り除くには、肌が乾いたらしくするか、水で洗うことです。
発言
1、
もし、コードを書く速度があなたの問題だと思っているなら、あなたが直面している問題はもっと大きいです。
-- Andrew Murphy、オーストラリアのプログラマー
2、
ある興奮がある、それは2017年に暗号通貨に触れたばかりの人だけが持っている興奮です。
-- Andrew Murphy、オーストラリアのプログラマー
3、
世論調査によると、アメリカの若者は結婚、子供、信仰に対する重視が、彼らの親より遥かに低く、伝統的な価値観——愛国心、宗教、コミュニティ、家族——にも冷淡である。
若者は市場と金銭を道徳の基準と捉えている。彼らにとって、市場が物事の価値、出来事の意味、誰が正しいか、誰が勝者か、誰が重要かを決定する。
-- 『市場予測の最悪の結果』
4、
私にとって、未来の都市は実際にはアムステルダムのような場所で、心地よい通りと自転車道が満ちており、デイリーのような場所ではなく、16車線の高速道路と俗っぽい高級ショッピングモールで働く被圧迫労働者階級の群れがある場所ではない。
5、
大学は博士課程生に論文を発表することを要求する。君が何を書き、どう書き、内容と研究分野が関連しているかどうか、系統は実際には気にしない。系統は論文が必要なのは、論文が資金の合理性を証明できるからであり、資金が系統の存在価値を証明できるからだ。学生はただこの目標を達成するための生産手段に過ぎない。
過去の振り返り
HDMI 2.2 映像はもう終わりかもしれません(#345)
賢い電球時計(#295)
摩天楼は人間に反する(#245)
結果を気にしないプロジェクトは作ったことがありますか?(#195)
(完了)