🦞 Lobsters Daily
RSS
Posts

Lobsters Daily Digest — 2026-04-28

2026-04-28

今日概览

  1. 1. ⚠️ 无法获取文章内容(Ghostty Is Leaving GitHub)
  2. 2. ⚠️ 无法获取文章内容(jjj)
  3. 3. ⚠️ 无法获取文章内容(Carrot disclosure: Forgejo)
  4. 4. ⚠️ 无法获取文章内容(An update on GitHub availability)
  5. 5. 文章指出 GitHub Actions 的设计缺陷和默认配置使其成为开源供应链攻击的重灾区,导致了多起重大安全事故。
  6. 6. 本文探讨了 AI 生成代码的版权归属问题,强调人类创作贡献、雇佣合同及开源许可污染是决定所有权的关键因素。
  7. 7. 文章区分了违反不变式的“非法状态”与系统不应长期停留但必须能表示的“不理想状态”,强调后者对处理现实复杂性至关重要。
  8. 8. 本文介绍了一种利用 eBPF 技术通过发送低 TTL 伪造 TLS 数据包和强制 TCP 分片来绕过深度包检测(DPI)的透明方案。
  9. 9. 作者分享了在2026年将1978年的DEC VT-100硬件终端连接至现代计算机,并克服流控与兼容性挑战的实践过程。
  10. 10. ⚠️ 无法获取文章内容(FOSDEM 2026 - All FOSDEM 2026 videos are online)
#2
jjj
vcs ↑85 · 7 comments

文章摘要

无法获取文章内容,摘要不可用。

社区讨论

由于文章内容无法获取,未进行总结。

View on Lobsters →
#5
GitHub Actions is the weakest link
devopssecurity ↑51 · 1 comments

文章摘要

文章详细分析了近年来多起针对 GitHub Actions 的供应链攻击,指出 pull_request_target 触发器、可变 Git 标签以及缺乏完整性校验是核心风险点。作者强调,GitHub Actions 的默认设置更适合私有企业环境,但在处理匿名 Fork 和 PR 时存在严重安全隐患,如缓存投毒、冒充提交和脚本注入。文章呼吁 GitHub 改进加载机制,例如验证 SHA 是否属于规范分支,以防止标签劫持和恶意代码执行。

社区讨论

社区讨论表现出对 GitHub 现状的担忧和不信任。热门评论认为,尽管安全专家已经明确指出了问题所在及解决方案,但微软和 GitHub 似乎缺乏执行力来彻底修复这些深层架构问题。用户普遍感到 GitHub 在安全治理和产品维护方面正面临危机,对其解决复杂安全挑战的能力持悲观态度。

View on Lobsters →
#6
Who Owns the Code Claude Wrote?
lawvibecoding ↑23 · 18 comments

文章摘要

文章指出,根据当前法律,只有人类创作的作品受版权保护,AI 生成但未经实质修改的代码可能属于公有领域。开发者需关注雇佣合同中的知识产权条款,因为职务作品原则通常使雇主拥有 AI 辅助产出的所有权。此外,AI 模型可能引入 GPL 等开源许可代码,导致代码库面临合规风险。作者建议通过记录架构决策和提示词日志来证明人类的实质性创作。

社区讨论

社区讨论对文章的真实性表示高度怀疑,多位用户指出其文风具有典型的 AI 生成特征且作者背景不明。评论者认为文章内容多为推测,缺乏已确立的司法判例支持,并批评了文中关于版权登记和 GPL 许可的片面解读。整体情绪偏向负面,认为该文缺乏实质性的技术或法律深度。

View on Lobsters →
#7
Illegal vs Unwanted States
formalmethods ↑15 · 5 comments

文章摘要

作者指出非法状态是系统绝对不能进入的错误,而不理想状态(如日历冲突或航司超售)虽然不希望发生,但必须在系统中可表示。允许不理想状态能让系统更好地处理不可控的外部输入、灵活的业务逻辑以及错误检测与恢复。在形式化验证中,非法状态对应安全属性,而不理想状态则通常涉及系统最终必须恢复正常的活性属性。

社区讨论

社区讨论高度认同这一区分,认为在编译器设计和解析场景中,必须能表示错误语法才能提供友好的报错。有观点指出,处理现实世界中的“脏数据”或遗留法律文书时,过度严格的状态限制会导致系统无法运行。此外,讨论还涉及了波斯塔尔法则与海勒姆定律在处理不理想输入时的权衡与挑战。

View on Lobsters →
#8
Bypassing DPI with eBPF, no VPN or proxy needed
linuxnetworkingsecurity ↑13 · 7 comments

文章摘要

文章详细介绍了一个名为 gecit 的工具,旨在不使用 VPN 或代理的情况下实现系统级透明绕过 DPI。在 Linux 平台上,它利用 eBPF sock_ops 钩子在 TCP 握手完成瞬间拦截连接,通过降低 MSS 强制 ClientHello 分片,并发送一个带有良性 SNI 且 TTL 较低的伪造数据包来欺骗审查设备。针对 macOS,该工具则通过 TUN 设备和 gVisor 协议栈实现类似的逻辑,同时集成本地 DoH 服务以解决 DNS 污染问题。

社区讨论

社区讨论呈现出技术探讨与写作风格争议并存的局面。部分用户指出该方法对特定地区的防火墙有效,但面对具备 TCP 重组能力的复杂 DPI(如 GFW)可能失效;同时,多位读者批评文章有明显的 AI 生成痕迹,作者对此承认使用了 LLM 辅助润色。此外,评论区还分享了关于审查系统如何利用流量分析和信誉评分进行自动化封锁的深度研究资料。

View on Lobsters →
#9
Using a 1978 terminal in 2026 (DEC VT-100)
retrocomputing ↑6 · 4 comments

文章摘要

文章记录了将经典的DEC VT-100终端作为现代AI编码助手接口的实验。作者详细介绍了终端的工作原理,包括TTY/PTY子系统、ANSI转义序列以及raw/cooked模式的区别。在适配过程中,作者解决了RS-232转USB的连接问题,并针对9600波特率的带宽限制、macOS流控缺失以及VT-100不支持Unicode和OSC序列等技术难题进行了优化。

社区讨论

社区讨论氛围充满技术怀旧感,用户们分享了修复VT-220等老旧设备的经验。核心观点包括硬件流控在复古终端中的必要性,以及对Linux与BSD系统在处理“丢弃输出”(discard/flush)等历史遗留控制字符差异的深入探讨。有评论指出,现代开发者往往忽视了isatty()检查和termcap/terminfo规范,导致老旧硬件适配愈发困难。

View on Lobsters →