Forwarded from 科技圈🎗在花频道📮
阿里通义千问推出QwQ-32B模型 激活参数比R1更少 性能相当
阿里通义千问团队发布QwQ-32B模型,该模型基于320亿参数,通过大规模强化学习(RL)在数学推理、编程及通用任务中展现卓越性能,与DeepSeek-R1(激活参数370亿)表现相当。训练分为两阶段:数学与编程任务RL阶段通过答案验证与代码测试反馈优化模型;通用能力RL阶段结合奖励模型与规则验证器提升综合能力,且不影响其他任务表现。模型在Hugging Face和ModelScope开源(Apache 2.0协议),支持工具调用与环境反馈自适应推理。未来计划探索更长时推理与智能体集成,推动AGI发展。
Qwen Team | Qwen Chat
Hugging Face | ModelScope
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
阿里通义千问团队发布QwQ-32B模型,该模型基于320亿参数,通过大规模强化学习(RL)在数学推理、编程及通用任务中展现卓越性能,与DeepSeek-R1(激活参数370亿)表现相当。训练分为两阶段:数学与编程任务RL阶段通过答案验证与代码测试反馈优化模型;通用能力RL阶段结合奖励模型与规则验证器提升综合能力,且不影响其他任务表现。模型在Hugging Face和ModelScope开源(Apache 2.0协议),支持工具调用与环境反馈自适应推理。未来计划探索更长时推理与智能体集成,推动AGI发展。
Qwen Team | Qwen Chat
Hugging Face | ModelScope
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
Forwarded from 科技圈🎗在花频道📮
This media is not supported in your browser
VIEW IN TELEGRAM
Android 版 Telegram 用户面临新型 EvilVideo 漏洞攻击
网络安全研究人员发现,恶意攻击者正在利用 Telegram 平台传播名为“EvilLoader”的漏洞攻击。攻击者通过伪装成视频文件的 .htm 扩展名文件,诱导用户点击播放,随后提示“无法播放视频”,并建议用户通过外部浏览器打开。一旦用户使用浏览器打开,攻击者会展示虚假的 Play Store 页面,诱使用户下载恶意软件并泄露 IP 地址。
该漏洞基于去年夏季曝光的“EvilVideo”漏洞,尽管后者已被修复,但“EvilLoader”在 Telegram 最新版本 11.7.4 中仍未修补。用户可通过禁用允许“安装未知应用”权限来防范此类攻击。
Android Police|X
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
网络安全研究人员发现,恶意攻击者正在利用 Telegram 平台传播名为“EvilLoader”的漏洞攻击。攻击者通过伪装成视频文件的 .htm 扩展名文件,诱导用户点击播放,随后提示“无法播放视频”,并建议用户通过外部浏览器打开。一旦用户使用浏览器打开,攻击者会展示虚假的 Play Store 页面,诱使用户下载恶意软件并泄露 IP 地址。
该漏洞基于去年夏季曝光的“EvilVideo”漏洞,尽管后者已被修复,但“EvilLoader”在 Telegram 最新版本 11.7.4 中仍未修补。用户可通过禁用允许“安装未知应用”权限来防范此类攻击。
Android Police|X
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
Forwarded from 每日消费电子观察 (horo)
AMD 微码漏洞被发现用公开文档中的附录示例 key 作为加密密钥
=======
牛的哥们,你是真的牛的
https://nvd.nist.gov/vuln/detail/CVE-2024-56161
https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7033.html
我们发现,一颗旧的 Zen 1 CPU 的密钥与 NIST SP 800-38B 文档附录 D.1 中的示例密钥(2b7e1516 28aed2a6 abf71588 09cf4f3c)相同,并且这一密钥至少沿用到了 Zen 4 处理器。利用这一密钥,我们能够攻破 AES-CMAC 的两个用途:RSA 公钥和微代码补丁内容。我们成功伪造了新的公钥,使其生成的哈希值与 AMD 官方公钥的哈希值相同。此外,我们计算出了签名的碰撞,并能够生成一个与另一个合法签名消息共享相同签名的微代码补丁。
=======
牛的哥们,你是真的牛的
https://nvd.nist.gov/vuln/detail/CVE-2024-56161
https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7033.html
Forwarded from 科技圈🎗在花频道📮
英国政府网站低调删除加密建议
英国政府似乎已悄悄地从其网页中删除了加密建议。此前,政府曾要求苹果提供后门访问权限,以获取存储在iCloud上的加密数据。
安全专家发现,英国国家网络安全中心(NCSC)不再建议高风险人士使用加密来保护敏感信息,转而推荐使用苹果的“锁定模式”。
TechCrunch
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
英国政府似乎已悄悄地从其网页中删除了加密建议。此前,政府曾要求苹果提供后门访问权限,以获取存储在iCloud上的加密数据。
安全专家发现,英国国家网络安全中心(NCSC)不再建议高风险人士使用加密来保护敏感信息,转而推荐使用苹果的“锁定模式”。
TechCrunch
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
加密货币的价值几乎只有黑灰交易,只有黑灰交易需要这么高的匿名性,所以只有能服务黑灰市场的加密货币才能活下来
搭翻墙梯子,买社工库积分,只有这种需要匿名的场景才需要加密货币,而在其他场景中加密货币不是刚需。人类的所有交易不可能都搬到这么个又大又重的分布式系统上,而所谓“摆脱强权”、“完全阻止政府监管”离我们还有几百年的距离。
所以BTC, XMR, USDT这类真的有人在用的东西才有市场,而DOGE之类的东西终将归零。
搭翻墙梯子,买社工库积分,只有这种需要匿名的场景才需要加密货币,而在其他场景中加密货币不是刚需。人类的所有交易不可能都搬到这么个又大又重的分布式系统上,而所谓“摆脱强权”、“完全阻止政府监管”离我们还有几百年的距离。
所以BTC, XMR, USDT这类真的有人在用的东西才有市场,而DOGE之类的东西终将归零。
Forwarded from Hacker News
Buy European Made. Support European Values (🔥 Score: 193+ in 31 minutes)
Link: https://readhacker.news/s/6qsC3
Comments: https://readhacker.news/c/6qsC3
Link: https://readhacker.news/s/6qsC3
Comments: https://readhacker.news/c/6qsC3
云产品使用了开源组件和框架,而由于代码安全审计工具没有支持这些框架,未覆盖潜在的“Source”(用户可控的输入点)和“Sink”(敏感函数或漏洞触发点),导致数据流分析中断,从而引发漏报
哦~原来用一下开源组件就能打断污点分析啊~
也就是说只要用开源组件计算部分逻辑就能免杀啊~学会了
https://mp.weixin.qq.com/s/_X1b8A5b5MQjsCxPRHmFvQ
Weixin Official Accounts Platform
从人工困局到智能破局 - 大模型在代码安全审计的探索与实践
Forwarded from 今天abc看了啥🤔 (asfr | abc1763613206🤔)
最近出于与某 Vue2 陈年老项目打架的需要,试用了 Cursor 和 Trae 这两个带 Agent 模式的 AI 辅助编程产品。
几天使用下来,结果比较悲观:
1. 两边都比较喜欢用 OKR 来 PUA 自己,让他针对大项目进行优化或者重构的时候,会创建一个 Markdown 文件记自己要干啥,但是每次新请求都会生成一个新的,于是项目根目录就容易产出一车怪文件。(配图1)
2. 尽管能猜到 Prompt 里有类似分步规划的字眼,但是对于一个中型项目而言,上下文窗口不足是最大的问题。两家 AI 一个比一个惜字如金,即使重构一个小组件也要手动说好几次「继续」,生出来的代码也通常左右手互搏(配图2),前面改过来后面又改回去,对着同一个地方浪费好多 tokens。因此即使有分步规划,也没见所谓的规划体现在了哪些地方,生出来的代码质量也通常不是开箱即用,没有起到 Agent 的作用。
3. 也正因为这个原因,用 AI 的时候仍然需要带着脑子。一个有编程基础的人,仅仅通过看 AI 的代码就想了解一个新语言所谓的运行逻辑和最佳实践大约是不大可能,该啃的一些基础文档还是得啃。要想在无托管的情况下完成一个中型项目代码的平滑迁移更是不大可能,除非你一直愿意对 AI 喊「继续」然后看着他反复试错。
以上评价基于两家内置的 Claude-3.7-Sonnet .
几天使用下来,结果比较悲观:
1. 两边都比较喜欢用 OKR 来 PUA 自己,让他针对大项目进行优化或者重构的时候,会创建一个 Markdown 文件记自己要干啥,但是每次新请求都会生成一个新的,于是项目根目录就容易产出一车怪文件。(配图1)
2. 尽管能猜到 Prompt 里有类似分步规划的字眼,但是对于一个中型项目而言,上下文窗口不足是最大的问题。两家 AI 一个比一个惜字如金,即使重构一个小组件也要手动说好几次「继续」,生出来的代码也通常左右手互搏(配图2),前面改过来后面又改回去,对着同一个地方浪费好多 tokens。因此即使有分步规划,也没见所谓的规划体现在了哪些地方,生出来的代码质量也通常不是开箱即用,没有起到 Agent 的作用。
3. 也正因为这个原因,用 AI 的时候仍然需要带着脑子。一个有编程基础的人,仅仅通过看 AI 的代码就想了解一个新语言所谓的运行逻辑和最佳实践大约是不大可能,该啃的一些基础文档还是得啃。要想在无托管的情况下完成一个中型项目代码的平滑迁移更是不大可能,除非你一直愿意对 AI 喊「继续」然后看着他反复试错。
以上评价基于两家内置的 Claude-3.7-Sonnet .