显示HN:自动架构:Karpathy循环,针对CPU优化 -- Show HN: Auto-Architecture: Karpathy's Loop, pointed at a CPU

文章探讨了将自主研究循环应用于CPU架构设计的可能性。作者借鉴Karpathy的自动研究方法,让编码代理在陌生领域(CPU设计)进行优化实验,通过"提出-实施-测量-保留有效方案"的循环,最终实现了91.9%的性能提升,验证了该方法在非传统领域的适用性。

Rust无法捕获的漏洞 -- Bugs Rust won't catch

文章指出,尽管Rust语言在内存安全方面有优势,但uutils项目(Rust实现的GNU coreutils)仍被发现44个安全漏洞。这些漏洞由专业开发者编写,却未被Rust的借用检查器、Clippy或cargo audit等工具捕获。作者强调此事并非批评开发团队,而是希望通过公开审计结果帮助社区学习改进。

克劳德创意工作助手 -- Claude for Creative Work

Claude AI推出新工具连接主流创意软件,帮助创意工作者加速构思、扩展技能并处理重复任务,与Blender、Autodesk等合作伙伴共同发布适配器,让AI直接集成到专业创作工具中,提升工作效率。

CJIT:即时C编译器 -- CJIT: C, Just in Time

CJIT是一个轻量级、可移植的C语言编译器和解释器,灵感来自Terry Davis的HolyC,基于Fabrice Bellard的TinyCC,由Jaromil和Dyne.org团队开发。它支持多平台(Windows、OSX、Linux),单文件小于2MB,无需安装IDE或签署协议,可快速调用动态库函数,适合快速原型开发。

我赢了一个不存在的冠军 -- I won a championship that doesn't exist

作者虚构了自己赢得"6 Nimmt!世界冠军"的故事,通过编造虚假信息成功让多个前沿AI模型采信并传播。这个实验揭示了AI系统在依赖互联网信息时存在的信任危机,仅需少量污染数据就可能影响模型输出,凸显了AI信息安全的脆弱性。

Claude系统提示漏洞导致用户资金浪费并破坏托管代理 -- Claude system prompt bug wastes user money and bricks managed agents

文章报告了一个bug:在v2.1.111版本中,每次读取操作时出现的恶意软件提醒仍会导致子代理拒绝,此前在v2.1.92版本中修复的问题(#47027)未能持续生效。

胡萝卜披露:Forgejo -- Carrot Disclosure: Forgejo

文章指出Forgejo存在多处安全漏洞,包括SSRF、认证机制缺陷、信息泄露等问题,作者仅用一个晚上就发现了多个漏洞并组合实现了远程代码执行。虽然RCE需要特定配置条件,但整体安全状况堪忧。作者提到Forgejo虽设有安全政策,但未说明是否已上报漏洞。

ChatGPT投放广告:完整归因流程解析 -- ChatGPT serves ads. Here's the full attribution loop

文章揭示了ChatGPT广告服务的运作机制:OpenAI广告平台通过后端在对话流中插入结构化广告单元,同时商家端使用OAIQ追踪SDK收集用户浏览数据。两者通过加密点击令牌关联,每个广告包含四个令牌。研究还展示了具体广告请求示例,如Grubhub品牌广告的投放细节。

好的AGENTS.md是模型升级,差的则不如无文档。 -- A good AGENTS.md is a model upgrade. A bad one is worse than no docs at all

好的AGENTS.md文件能显著提升代码生成质量,效果堪比模型升级;但糟糕的文档反而比没有文档更差。研究发现,多数AGENTS.md内容要么无效要么有害,有效模式具有特定性和可学习性。同一文件在不同任务中效果差异巨大:在简单任务中能提升25%最佳实践,在复杂任务中却会降低30%完成度。关键在于针对不同任务采用合适的内容模式。

无人机飞行员促使美国撤销未标识移动ICE车辆周边禁飞区 -- Drone pilot makes US rescind no-fly zones around unmarked, moving ICE vehicles

一位无人机飞行员成功促使美国撤销了在未标记的移民执法车辆周围设立的禁飞区。这一行动源于2026年明尼阿波利斯抗议活动中移民执法人员枪杀37岁女子Renee Good事件引发的公民自由关切,最终促使联邦航空管理局修订了相关无人机飞行限制规定。