2026-04-17
作者发现 Discord 的媒体代理在处理请求时未对空格和换行符进行转义,导致可以向后端 GCP 存储桶注入非法 HTTP 指令。通过构造带有超长 Content-Length 的 PUT 请求,作者成功实施了 HTTP 请求走私攻击,使后续其他用户的请求被误当作攻击者上传的文件内容。利用该漏洞,攻击者能够实时监控并获取全球用户(包括私聊)正在查看的附件 URL,最终获得了 3500 美元的漏洞赏金。
社区讨论指出该漏洞源于 Discord 自研代理对协议实现不当,未能有效校验转发请求的完整性。有评论提到,即便是一些主流云平台的负载均衡器也曾出现过类似问题,并非罕见现象。此外,讨论中还推荐了 PortSwigger 关于 HTTP 请求走私的深度研究,帮助读者从协议层面理解此类攻击的原理。
Tangled 旨在构建去中心化的社交代码托管平台,支持自托管 Git 远程仓库(knots)和 CI 运行器(spindles)。近期更新包括上线了仓库搜索功能、全新的 OpenGraph 预览引擎以及支持多行选择和文件标记的 PR 评审改进。未来计划引入基于 QEMU 的虚拟机 CI、信任网络(Vouching)机制,并致力于实现完全的 AT 协议兼容性,以支持仓库的无缝迁移和身份识别。
社区讨论呈现出审慎乐观的态度,重点关注 VC 融资对开源项目长期独立性的影响,创始人对此回应称融资是为了快速规模化并承诺通过 AT 协议确保数据的永久性。部分用户探讨了 Git 元数据去中心化的必要性,并对将代码托管与 AT 协议结合的实际收益(如身份管理)表示好奇。此外,讨论还涉及了欧洲公共资金申请的困难以及从 GitHub 迁移至自托管方案的趋势。
Trail of Bits 发现并利用了 Google 在 Rust 编写的零知识虚拟机(zkVM)代码中的内存安全和逻辑漏洞。通过向该程序提供恶意构造的私有输入,他们生成了一份在各项指标上均优于 Google 原始结果的伪造证明,甚至实现了零 Toffoli 门计数。虽然 Google 已修复漏洞且其科学结论未受影响,但此事件凸显了 zkVM 系统特有的攻击面。该研究强调了在验证复杂程序逻辑时,零知识证明系统本身可能存在的安全隐患。
社区讨论对 Trail of Bits 的工作表示赞赏,认为这是一个非常酷的安全研究案例。热门评论指出,这些改进的资源估算并非源于电路设计的突破,而是对验证器的攻击。有观点特别提到,零 Toffoli 门的伪造结果是一个明显的信号,因为这意味着该量子电路可以被经典计算机高效模拟,这在现实中是不可能的。
文章整理了一份非详尽的 Rust 应用清单,涵盖了操作系统内核(Linux、Windows)、底层工具(Coreutils、ripgrep)、浏览器组件(Chromium、Brave)以及大型云服务商(AWS、Azure、Cloudflare)。作者强调 Rust 已被美国 NSA 和白宫推荐用于提升内存安全性,并在 Discord、Dropbox 和 Signal 等主流应用中发挥关键作用。此外,文章还提到了 Rust 在前端工具链(swc、turborepo)和新兴终端工具(fish shell、helix)中的成功实践。
社区讨论整体积极,用户补充了大量遗漏的案例,如 Volvo 汽车、迪士尼流媒体和 Oxide 计算机等。部分评论对文章中关于 Coreutils 官方地位和 arXiv 使用 Typst 的表述进行了事实纠正。此外,讨论中也出现了针对军工企业使用 Rust 的伦理争议,以及对 Rust 是否已成为当前最优编程语言的探讨。
这是一个 Lobsters 社区的常规周末计划讨论帖,成员们分享了各自的个人生活与技术项目。讨论内容非常广泛,既有关于学习游泳、阅读计算机经典书籍《编码》以及折腾旧硬件的计划,也有关于游玩《博德之门3》等游戏的分享。与此同时,部分成员表达了对当前社会立法和技术环境的焦虑,并就如何应对这种无力感展开了深入交流。
讨论氛围呈现出生活化与严肃性并存的特点。排名靠前的评论涉及了对跨性别相关立法的担忧及心理调适建议,同时也包含了学习底层硬件知识、翻新 ThinkPad x230 以及从《暗黑破坏神》转向《博德之门3》等具体的技术与娱乐活动。