1
0Hacker News 今日精选:流行的 Axios 库遭遇供应链攻击,NASA 阿尔忒弥斯 2 号任务的安全性引发激烈讨论,同时 Ollama、谷歌和 Claude 社区也带来了 AI 领域的新动向。
Axios 遭遇供应链攻击,恶意版本植入木马
事件概述
JavaScript HTTP 客户端库 Axios 在 npm 上遭遇了一次复杂的供应链攻击。攻击者通过劫持维护者账户,发布了 axios@1.14.1 和 axios@0.30.4 两个恶意版本。这些版本通过一个名为 plain-crypto-js@4.2.1 的隐藏依赖,在用户安装时自动部署一个跨平台的远程访问木马 (RAT)。
攻击技术分析
攻击者手法精密,具有很强的反取证能力。恶意依赖包 plain-crypto-js 在 Axios 新版本发布前 18 小时就已发布,以规避安全扫描。它伪装成合法的 crypto-js 库,并包含一个混淆过的 RAT 投递器。该投递器会联系命令与控制服务器,根据受害者的操作系统(macOS、Windows 或 Linux)投递相应的载荷。
为了隐藏踪迹,恶意软件在执行后会删除自身,并将 package.json 文件替换为一个干净的诱饵文件,该文件报告一个旧的版本号,使开发者通过 npm list 等工具检查时难以发现异常。
恢复与防范建议
安装了恶意版本的用户应假定系统已被感染。建议立即降级 Axios 并固定版本,同时在 package.json 中配置 overrides 或 resolutions 防止依赖解析到恶意版本。
用户应手动检查并删除 node_modules 中的 plain-crypto-js 目录。若发现 RAT 相关的恶意文件,应从已知良好状态重建系统,并轮换所有受影响系统上的凭证,包括 npm 令牌、云访问密钥和 SSH 密钥。作为长期策略,在 CI/CD 流水线中使用 npm ci --ignore-scripts 可以阻止 postinstall 脚本的自动执行。
专家称 NASA 阿尔忒弥斯 2 号任务存在致命安全隐患
隔热罩的致命缺陷
“阿尔忒弥斯 2 号”(Artemis II)计划搭载四名宇航员绕月飞行,但其猎户座飞船的隔热罩存在严重安全隐患。在 2022 年的“阿尔忒弥斯 1 号”无人任务中,飞船返回地球时,隔热罩出现大块材料剥落,留下了深沟和孔洞,并非 NASA 最初声称的轻微“炭化材料损耗”。
美国国家航空航天局总检察长办公室 (OIG) 的报告指出三项可能导致宇航员丧生的问题:隔热罩剥落可能导致船体烧穿;剥落的碎片可能撞击并损坏降落伞舱;嵌入隔热罩的分离螺栓因加热模型缺陷而熔化,可能导致飞船在再入大气层时解体。
NASA 的应对与双重标准
NASA 承认找到了隔热罩损坏的根本原因,并声称通过调整再入轨迹足以解决问题,对任务安全性充满信心。然而,NASA 同时宣布将从“阿尔忒弥斯 3 号”开始更换新的隔热罩设计,这让外界感到困惑。
社区评论指出,如果商业载人飞船公司遇到同样问题,NASA 会立即要求重新设计并进行无人试飞验证。但对于自己的旗舰项目,NASA 似乎采取了双重标准。前宇航员 Charles Camarda 认为,NASA 正在重蹈“哥伦比亚”号和“挑战者”号的覆辙,用“玩具模型”为既定结论寻找支持,这种决策缺乏物理依据。
载人飞行的必要性受质疑
最初,“阿尔忒弥斯 2 号”是登月前唯一一次载人风险测试。但 NASA 增加了新的地球轨道任务,并将首次登月推迟到“阿尔忒弥斯 4 号”,这使得“阿尔忒弥斯 2 号”的载人飞行失去了原本的理由。该任务完全可以转为无人飞行,以获取数据并验证隔热罩模型,而不必危及宇航员生命。
文章认为,在耗资巨大的登月计划面临多重压力的情况下,NASA 的管理者可能为了维护项目进度和声誉,选择了“自圆其说”,而不是承认猎户座飞船需要一次真正成功的月球再入速度飞行测试。
Ollama 预览版利用 MLX 框架加速 Apple Silicon 设备
MLX 带来的性能提升
Ollama 的最新预览版 0.19 现已通过苹果的机器学习框架 MLX 在 Apple Silicon 设备上实现加速。MLX 利用 Apple 统一内存架构,为所有 Apple Silicon 设备带来了显著的速度提升。在 M5 系列芯片上,Ollama 还利用新的 GPU 神经网络加速器,提高了模型的响应速度和生成速度。
测试显示,使用阿里巴巴的 Qwen3.5-35B-A3B 模型,预填充性能从 1154 tokens/s 提升至 1810 tokens/s,解码性能也从 58 tokens/s 提升到 112 tokens/s。
新增特性与改进
新版本引入了对 NVIDIA NVFP4 格式的支持。这是一种低精度浮点格式,能在保持模型精度的同时,减少内存带宽和存储空间占用。
此外,Ollama 的缓存机制也得到改进,降低了内存占用,并采用更智能的淘汰策略,提高了编码和代理任务的效率。用户需要下载 Ollama 0.19 预览版,并确保 Mac 设备拥有超过 32GB 的统一内存来体验这些新特性。
CLAUDE.md:用一个文件精简 Claude 的冗余输出
项目定位:解决输出冗余
开源项目 CLAUDE.md 提供了一个简单的解决方案,用于减少大型语言模型 Claude 的输出冗余。用户只需在项目根目录放置一个名为 CLAUDE.md 的文件,就可以修改 Claude 的行为,使其输出更简洁、直接,平均可削减约 63% 的字数。
该方案旨在解决 Claude 输出中常见的客套话、重复内容、不必要的格式化以及过度工程化的代码建议等问题。这些问题都会消耗不必要的 tokens,增加成本。
核心能力与测试效果
CLAUDE.md 通过一系列规则强制执行更简洁的输出,例如要求答案总是在第一行、禁用免责声明、强制使用 ASCII 字符等。基准测试显示,在相同的提示下,使用 CLAUDE.md 后,Claude 的输出字数平均减少 63%。例如,一个代码审查任务的输出从 120 字减少到 30 字。
社区用户建议,应根据实际遇到的问题来制定具体规则,例如“当步骤失败时,立即停止并报告完整错误”,这种具体指令比泛泛的“保持简洁”更有效。
适用场景与局限
CLAUDE.md 最适用于高输出量的自动化流程,如代码生成或代理循环。对于单个简短查询,该方法可能不划算,因为 CLAUDE.md 文件本身会占用输入 tokens。此外,对于需要保证可解析输出的场景,使用 API 内置的 JSON 模式等结构化输出功能是更可靠的解决方案。
谷歌开源 2 亿参数时间序列基础模型 TimesFM
模型定位与核心能力
Google Research 推出了 TimesFM,一个用于时间序列预测的预训练基础模型。该模型参数量为 2 亿,能处理长达 16k 的上下文,并支持最长 1k 预测范围的分位数预测。TimesFM 已通过 Hugging Face 提供,并集成到 Google Cloud 的 BigQuery 中。
新版特性
相比旧版,最新的 2.5 版本参数量更少,但上下文长度更长。它移除了对 frequency 指示器的依赖,并增加了新的预测标志,同时重新加入了对协变量的支持,使模型能整合外部相关变量进行预测。
如何使用
用户可以通过 GitHub 仓库安装 TimesFM,支持 PyTorch 和 Flax 后端。示例代码展示了如何加载模型并配置预测参数,模型可同时输出点预测和分位数预测结果。该项目采用 Apache-2.0 许可证。
为什么 ATProto 协议值得期待
现有社交媒体的困境
当前主流社交平台以广告为盈利模式,导致算法倾向于推荐最具分裂性的内容以增加用户停留时间。这使得平台变得孤立,充斥着广告和仇恨信息。用户数据被当作商品,人们失去了对时间的自主权和真实的社交连接。
ATProto 的解决方案:数据可移植性
ATProto (Authenticated Transfer Protocol) 是 Bluesky 等应用的底层去中心化协议。其核心理念是用户拥有自己的数据,包括社交关系、帖子和评论。用户可以将数据存储在自己的个人数据服务器 (PDS) 上,自由切换不同的 ATProto 应用而不会丢失任何内容或关注者。这种设计避免了平台锁定,让用户真正拥有对自己数据的控制权。
社区活力与未来展望
ATProto 社区展现出独特的跨学科活力,汇聚了记者、科学家和开发者,共同探讨如何利用该协议改善科研数据管理和新闻分享等领域。社区强调互操作性和合作,开发者乐于为共同目标努力,而非单纯追求个人利益。有社区用户评论,真正能改变互联网的协议,是那些认真对待“不仅仅为开发者服务”这一理念的协议,而 ATProto 似乎正在这样做。
Railway 平台发生 CDN 意外缓存事故
事件概述
云部署平台 Railway 发生了一起意外事故,导致部分用户的认证数据被 CDN 错误缓存,并可能提供给未认证用户。事故持续了 52 分钟,影响了约 0.05% 原本禁用 CDN 的域名。
根本原因与解决方案
事故的根本原因是,一项旨在启用“代理键”功能的配置更新,错误地为本应禁用 CDN 的域名启用了缓存。这导致包含认证信息的响应被存储在边缘服务器上。
为防止此类事件再次发生,Railway 已增加部署前的额外测试,并将 CDN 部署的变更过程从几分钟延长到数小时,以便逐步进行。Railway 已向受影响的用户发送邮件通知,并表示将暂时放缓新功能开发以重建用户信任。
研究人员发现 3500 年前织机,揭示青铜时代纺织革命
关键发现
西班牙研究人员在青铜时代的卡贝索·雷东多聚居地发现了一台有 3500 年历史的织机。一场火灾奇迹般地保存了这台以木材为主结构的织机,使其成为地中海地区少数能同时保存织机坠子、木制部件和植物纤维的考古发现之一。研究人员确认这是一台竖式经线加重织机,由精心挑选的阿勒颇松木材制成。
技术与社会意义
这一发现与欧洲青铜时代的“纺织革命”紧密相关。这场革命涉及牲畜养殖扩大以获取羊毛、纺织工具的技术创新,以及社会生产方式的变革。这台完整的织机让研究人员得以从解读孤立的工具转向详细记录一台运作中的设备。
织机位于一个由多个家庭共享的户外空间,暗示纺织生产是一种合作性劳动。这与金属制品等手工业集中在专业区域的情况不同。生物人类学证据也表明,女性在纺织活动中扮演了核心角色。这项发现使卡贝索·雷东多成为研究青铜时代纺织技术和社会演变的卓越实验室。
相关链接:
- Axios compromised on NPM – Malicious versions drop remote access trojan
- Android Developer Verification
- Universal Claude.md – cut Claude output tokens
- Artemis II is not safe to fly
- Ollama is now powered by MLX on Apple Silicon in preview
- Incident March 30th, 2026 – Accidental CDN Caching
- Google's 200M-parameter time-series foundation model with 16k context
- Researchers find 3,500-year-old loom that reveals textile revolution
- Clojure: The Documentary, official trailer [video]
- I'm betting on ATProto
