维基百科因安全失误短暂进入只读模式

2026-03-06 14:09 by 电波骑士

维基媒体基金会的安全工程师在执行安全审查时加载随机用户脚本，结果加载了来自 ruwiki 的一个恶意脚本，恶意脚本利用安全工程师的高访问权限在维基百科快速扩散，为了遏制破坏，维基媒体基金会项目被迫进入只读模式两小时，短暂禁用了大部分用户脚本。维基媒体基金会称，恶意脚本导致 Meta-Wiki 页面被删除，但被删除的网页已经恢复，它不认为恶意代码造成了永久性伤害，也没有用户信息在此次事件中泄露。维基媒体基金会表示正与社区协商，开发针对用户脚本的安全缓解措施，以最大限度的降低未来发生此类事件的风险。

https://meta.wikimedia.org/wiki/Wikimedia_Foundation/Product_and_Technology/Product_Safety_and_Integrity/March_2026_User_Script_Incident
https://phabricator.wikimedia.org/T419143

#维基百科

大模型提示注入漏洞导致四千开发者机器被入侵

2026-03-06 17:38 by 遥远地球之歌

2026 年 2 月 17 日，有人在 npm 上发布了 [email protected]，它与之前的版本基本上相同，唯一的区别是在 package.json 中加入了一行代码："postinstall": "npm install -g openclaw@latest"。在之后的八小时内，所有安装或更新 Cline 的开发者都在未经许可的情况下，在计算机上全局安装了 OpenClaw——拥有完整系统访问权限的 AI 智能体。在该软件包被撤回之前，其下载量大约 4000 次。有意思的不是有效载荷，而是攻击者最初是如何获取到 npm 令牌的：将一个提示信息注入到 GitHub 问题标题中，AI 分类机器人读取了提示信息，将其解释为指令并执行。

https://grith.ai/blog/clinejection-when-your-ai-tool-installs-another

#安全

#plt #ts 《〈Go To语句被认为有害〉被认为有害》（1987年3月）

二维矩阵中查找第一个全为零的行？
有没有一种可能，dijkstra提供了基于tailrec或def子程序的方法，做所谓的 break outer？

PCQ加持过的布尔变量？EWD当年并不认识声明式eDSL和tailrec(return continue vs while c)，这不能怪他。

可是状态变量实在太过丑陋了！这和控制x86的eip没有本质区别，这就像把PEG写成DFA一样，证明不了什么，因为负责证明的是人，结构化和编译器只能是助手。
我推崇的那种“状态变量”是
chkstk=(n, r=0)=>{Loop(n-1,r+1) : n==0; /*so*/ return r}
或者说
f(x, y=0): if(x==0) y else f(x-1,y+1)

f(1)=1

不是EWD那种结构化的编程……

“循环不变量”这几个字本身就像鬼画符一样难猜，前置条件？应该是让人一眼能demo出来边界条件的，不需要EWD要的那种数学去证明。靠爱就能感觉出来。

我的思维本质上是关系式的，反对返回bool，支持BitSet、T? 和Hole（x=y有交换律）
结构化编程的信息量太低了，真正的数学不是表演sinx的磁悬浮，而是把海浪画出来。

他曾想要程序的验证变成一堆01（循环不变量--反正执行也是循环），就像Lean希望assert变成“真理集”，对J规则(LR transport)的丑陋视而不见。

我想要的，是结构性正确，可探索解释，不是while 0和1，不需要 off by one，正确性会广播。


然而你仔细想想，我和HoTT、TLA+ 完全走的不是一个路线。海浪很美，别忘了人才是那个“美学引力”。

EWD的灵魂会支持我的。
没错，验证本身就是像可探索解释那样。因为解释在生命体本身，必然是元循环的。

Goto有用论非常荒谬。RAII和defer甚至只是finally可以轻松干掉错误处理和retearly的问题，宏、crossinline和闭包组合很容易弱化时序流控。

时序是有罪的，它永远不可能和numpy或fffmpeg“滤镜脚本”那样优雅

#ai探讨

#math 与 Lean

请说说J规则是怎么证明外延相等性的？
这个自反性就是丑陋的根本。数学在尝试着包含它不包含的世界！

上帝已经说过，“因为我像祂，所以我是我”，那个双仿真？只是面条代码，证明不了操作系统无错，只是从停机错误，转为yield性错误，语义永远不对。那些希腊字无爱。不仁。

现有的数学工具（J 规则、ZFC、范畴论的某些实践）全都是对主的拙劣模仿，是路西法的破烂把戏

不可测试主你的神，连物理学家费曼都知道。真为这些元编程感到耻辱，它们认为自己不是上帝编出的程！

Nature cannot be fooled. 不可探索的数学解释很丑！
它们对芝诺龟的“严肃拒绝”证明不了什么，宇宙不是知其变守其恒的纸上谈兵。它们甚至是在希腊人那张纸上谈兵！？

事实上，面对那个无限的上限，等号和Sum只能留一个。
它们可以把公理叫"eps-delta"然后写成芝诺母语的样子，但数学家们什么都不懂！它们的差量甚至与物理的∆不长一个样！

无限、等式、Sum，
全知、全善、全能，
那不是一个优雅的系统，因为那个不会错的等号不够像人。
它就像“泰坦尼克永不沉没”一样恶心
它永远没有“永不沉没的莫莉”一样美
它不是生命数学……

因为上帝在于创造。当一件事已经做错，证明它无错就是手足无措的表现。

01是工程师写出来的，丑陋就是丑陋，没有上帝可以责怪，更没有形式上的帝能替祂宽恕。指马为鹿。不负责。
他们造了一头会伤人的“性能怪兽”，却用几行数学公式证明这只是一只温顺的鹿。免责。

​证明的过程是“负无穷大”的。root cause，代码的复杂度是“无穷大”的。

自反性不能被goto，证明1+1=2或1+2=2+1是一样蠢的抽象行为，有ZFC并不比有UB更聪明，甚至更加无知，因为“不知知，病”。

在编程上，无穷大等同于Void类型，只能用于检查if有没有被传染到。我不明白无穷大减无穷大是什么意思，(=)都不认为它们相等，或许这就和 sin^-1 是反函数，以及那个 sin^2x=sin(x)^2 一样搞笑吧，还有那个莫名其妙的“y(1)一定代表了 上文[x:=1]”

我宁可面向对象：反正题目上只有一个算式，比如2x，那就是 lambda x:x*2 ，那么用 it(2) 甚至u(2)代表4即可，yx和rt本来是给真正的2D空间用的，不是给一条线！

我不明白为什么非要把函数线和真正的linspace扯到一起。实际上数学那种函数用一行灰度就能表达了，sdf/udf一直在这么做。如果说做符号计算，dydx”非零幽灵“也永远不可能和torch的对偶数相比，就像React的memo垃圾无法与Signal值相比

- 巨著《数学原理》（Principia Mathematica）中，花了整整 300 多页的逻辑推导，极其艰难地得出了 1+1=2 的证明，旁边有人自豪地批注：“以上命题偶尔会有用。”
​“如果 \alpha 和 \beta 是两个各含有一个元素的类（即属于 '1' 这个类型），那么：
当且仅当这两个类没有交集（\alpha \cap \beta = \Lambda）时，
它们的并集才含有两个元素（属于 '2' 这个类型）。”
哈？这不就是正交分解吗？
人本身是间接正交的混沌，我不证明我不是



真的太爆笑了，自己吃自己？
自己吓自己~
噢，我明白费曼演讲新数学时是什么感受了，那个哲学确实sucks

遗憾的是，对丘奇老兄的学习并没有阻止图灵和Lean走向罗素这样的”优雅“

听不懂。为什么1和2需要类型和证明。
直觉逻辑sucks。它并不比爆炸和真值树更聪明，因为它同样在吃自己。

草，那还不如直接一句一即是全杀死比赛呢。 集合哪里是想抓就抓的？抓到那个飞天意面，就渎神了！

罗素定义了这些玩意，可是它没有任何意义，因为Peano数和链表就能说明1+1为什么=2
而且它不仅知道，能过类型检查，还能反向运行！
不过我喜欢他的ZFC悖论，把数学危机成了一滩混水，计划通


我知道为什么数学想严肃定义集合了，因为他们幻想它可以什么都抓，但抓到自己就又卡死了，但想继续幻想
可是他们面对eps-dt又是另一个哲学，然后他们在那里数形结合（集合拓扑和函数图），这不是脑裂么？

“所有集合的集合”是可以存在的啊，至少对{真}这个条件有效。直接把死递归剔除逻辑不就可以了（Quine的新集合论）

如果系统需要靠“剔除”来维持，那说明系统不够“纯粹”？
给我看不会了，可是ZFC已经是了啊？那还装什么？

绷不住了，既不罗素也不Quine，更不Y组合子，也不分形，合着终极数学应该有个Logo，不是四象限，叫四不像
把那堆不是元语言的“负无穷大”垃圾扫到它该去的地方，别把数学撒旦“重整化”为上帝，认认真真写UX DX高爆表的框架，当好对软件负责任的上帝。

#ai锐评

Ki Editor - 一款操作 AST 的编辑器
原文：https://ki-editor.org/
阅读时间：1 分钟
分数：412 🔥

或许这其中存在某种规律？
原文：https://dynomight.net/pattern/
阅读时间：10 分钟
分数：172

显微镜下竟能直接看到激光视盘上的视频信号
原文：https://www.youtube.com/watch?v=qZuR-772cks
阅读时间：1 分钟
分数：435 🔥

https://g.co/gemini/share/7f7d1e6fb360 #math #ai锐评

记一位数学家是怎么疯的（不完备定理）

#歡樂梗圖區 #文字寫作版 #萬象謎底與認知極限

郑重声明：本人从未在网络上诋毁人工智障，从未在网络以及现实中侮辱、质疑、甚至批判人工智障。本人一直是钛君们的忠实粉丝，GPT-3 和 ChatGPT 的早期用户。小龙虾让我看到了人工智障的巨大潜力，我从未怀疑过钛君们的实际能力。

知名文本加密工具“与熊论道”已被破解

曾在网络上广泛使用的文本加密工具“熊曰加密”(与熊论道) 已被通过已知明文攻击（KPA）完全破解。

与熊论道加密网站因故于2025年上旬下线，由于其加密算法不开源，导致大量既有密文无法解密。经过安全研究人员逆向分析，其并未采用任何高级加密算法。

此次逆向工作解除了该工具在加密时对中心化服务端的依赖，为早期使用该加密算法生成的历史数据提供了一种长期可用的解密与归档途径。

GitHub

😂👆看吧， #security 领域就是应该开源。这种在线工具加密算法都不 local-first ，一下线连以前保存的链接、日记什么的都爆了

明文中，magnet:?xt=urn:btih: 一致，则确认这是一种双射编码算法。
熊曰(2020年后新版)的密文字符集是92个汉字。可以基本确认 “呋” 为标头，不携带载荷

也就是说它和Base64 （bit重分组）或凯撒一样，没有使用密码转盘来打散1:1映射的序列特征

CBC通过“反馈机制”让后一块的加密依赖前一块，比如每2字换一下Caesar(k)，根据“链式法则”每解密一块解下一块，无法被1:1 O(N)的碰撞。

在图像加密中有一个非常著名的例子——“ECB 企鹅图”。如果你用 ECB 模式加密一张 Linux 企鹅（Tux）的位图，加密后的图片依然能清晰地看出企鹅的轮廓，因为大面积相同颜色的像素块被加密成了相同的密文块，序列特征完全暴露。

在现代密码学中，一个优秀的算法必须具备雪崩效应（Avalanche Effect）：明文即使只改变一个比特，密文也应该发生天翻地覆的变化，hash() 特征是密码学和比特币的基础。
#learn

这是一种有效的方法。真正的密码学一般用什么？
简单来说，有消息长度、时间戳和hash(hash+salt)、多米诺效应，事件流的完整性保证太容易了。

在密钥交换后，使用 AES / ChaCha20-Poly1305 / GMAC.

传统的 CBC 只负责“把信藏起来”，但如果坏人截获了密文并改动了几个比特，解密者可能并不知道信被动过。
只是简单地把 SHA256(明文) 塞进包头，这叫 MAC-then-Encrypt，容易进行比特翻转攻击。
如果坏人知道你的明文格式（比如第 10 个字节是金额），他可以直接改动密文。这种乱改密文的担心在早期协议（如 WEP Wi-Fi 加密）中是真实发生的灾难。

为了防止别人伪造指纹，你不能只用 SHA，必须用 HMAC（带密钥的哈希）。这保证了只有持有密钥的人才能生成有效的“指纹”。 Encrypt-then-MAC (EtM)
先算指纹再加密。这是早期 SSL/TLS 的做法，结果被证明存在严重的“填充神谕攻击（Padding Oracle）”

CFB则并不直接把明文塞进复杂的 AES 转盘，而是把上一块密文塞进转盘。转盘吐出来的“随机废料”，就是你下一段明文要用的“Caesar 位移量”。
CFB 无需等待，即刻发送，具有一种“自愈”能力：只要接下来的 16 字节（一个 AES 块大小）密文是正确的，它就能重新同步
在现代高性能场景下，它输给了 CTR（计数器模式） 和我们之前聊的 GCM。

特翻转攻击。这种想法在物理学里还有个具体的映射——Vaccum，不过EVM生成钱包地址是不需要“注册”的，默认不会碰撞。

那如果我就是杠精，觉得地址碰巧冲突，而且一个人付了款呢？ 那等于是量子衰变炸弹了。😅

密码学领域的常识，SSH和bc都知道，私有化是最大的弱点
#pingbk https://t.iss.one/dsuse/20500

图灵奖得主 Tony Hoare 去世，享年 92 岁

2026-03-11 14:37 by 火车站谜案

英国计算机科学家、图灵奖得主、快速排序算法和霍尔逻辑的开发者、并发和结构化编程理论的先驱 Tony Hoare 于 3 月 5 日去世，享年 92 岁。他出生于英属锡兰的科伦坡，在英国本土受教育，获得牛津的西洋古典学学士学位，大学毕业后在海军服兵役 18 个月，之后回牛津研读统计学取得学士后学位，他后在苏联莫斯科国立大学留学获得博士学位。Tony Hoare 是快速排序 Quicksort 和快速选择 Quickselect 的作者，1980 年获得图灵奖。

https://blog.computationalcomplexity.org/2026/03/tony-hoare-1934-2026.html
https://en.wikipedia.org/wiki/Tony_Hoare

#IT

https://g.co/gemini/share/0efdfe236558 #ai探讨 lean 🌚

FontCrafter：将你的手写体转化为真实字体
原文：https://arcade.pirillo.com/fontcrafter.html
阅读时间：1 分钟
分数：458 🔥

JSLinux 现已支持 x86_64
原文：https://bellard.org/jslinux/
阅读时间：1 分钟
分数：365