最新

“通过这款高品质的AudioQuest Cinnamon RJ/E以太网电缆，您可以享受更清晰、更自然、更美妙的音频/视频效果。Cinnamon RJ/E经过精心设计，旨在提供卓越的性能和出色的性价比，其导体采用1.25%纯银材料，并经过方向控制，有效地消除高频噪声。高密度聚乙烯绝缘层进一步减少失真，保持动态表现。使用AudioQuest Cinnamon RJ/E以太网电缆，优化各种音频流媒体设备。” 请讨论，但请勿购买。 https://www.bestbuy.com/site/audioquest-cinnamon-rj-e-39-3-digital-ethernet-cable-with-rj45-to-rj45-connectors-black-with-red-stripes/5577904.p?skuId=5577904

你好，HN！去年底，我们推出了Burner，这是一款低成本的以太坊硬件钱包，专为赠送加密货币而设计。它是一种卡片大小的钱包，能够生成和存储加密货币密钥，无需管理助记词或私钥。它完全通过智能手机浏览器和NFC进行操作。到目前为止，我们已经生产了数万台Burner，主要用于赠送和合作伙伴的活动（例如会议赠品）。今天，我们推出了用户最期待的功能：兼容比特币的Burner。 Burner比特币版本的硬件几乎与以太坊版本相同——一个具有NFC功能的安全元件芯片，外壳采用多彩/半透明塑料。然而，我们决定将比特币和以太坊版本分为两个产品，而不是创建一个单一的整体钱包。这是因为我们发现，无论是最终用户还是商业客户，都希望将Burner作为赠送特定资产的工具，而不是赠送一个通用的硬件钱包。 为了在比特币上生成交易，Burner直接使用其内部私钥对交易进行签名。在生成该密钥的过程中，您可以添加熵，并与Burner的随机数生成器（RNG）产生的熵一起进行哈希处理，但私钥从未以明文形式暴露。我们还会通过界面指示密钥是否已用于签署消息，这样您就可以放心，赠送的Burner中的资金从未被提取。 与原始Burner一样，我们提供开放的库与钱包接口，这样您可以完全离线地签署交易和消息，如果您希望将其用作冷存储，而不是“现金类”钱包。我们的长期愿景是让对加密货币感兴趣的人能够像购买餐厅或零售商礼品卡一样轻松购买少量各种加密货币。

大家好！我们是来自 MindFort 的 Brandon、Sam 和 Akul（网址：<a href="https://mindfort.ai">https://mindfort.ai</a>）。我们正在构建自主 AI 代理，持续发现、验证和修补网络应用程序中的安全漏洞——本质上是在创建一个 24/7 运行的 AI 红队。 以下是一个演示：<a href="https://www.loom.com/share/e56faa07d90b417db09bb4454dce8d5a" rel="nofollow">https://www.loom.com/share/e56faa07d90b417db09bb4454dce8d5a</a> 如今的安全测试面临越来越大的挑战。传统扫描器产生 30% 到 50% 的误报，令工程团队陷入噪音之中。手动渗透测试充其量每季度进行一次，评估费用高达数万美元，并且需要数周才能完成。与此同时，团队在 AI 的帮助下以更快的速度发布代码，但安全审查却成为了更大的瓶颈。 我们三个人从不同的角度遇到了这个问题。Brandon 曾在 ProjectDiscovery 开发 Nuclei 扫描器，然后在 NetSPI（最大的渗透测试公司之一）为测试人员构建 AI 工具。Sam 是 Salesforce 的高级工程师，负责 Tableau 的安全工作。他亲身经历了在处理安全发现和管理修复措施之间的平衡。Akul 在人工智能和安全领域获得硕士学位，合著了关于使用大型语言模型进行安全攻击的论文，并参与了 OpenAI 和 Anthropic 的红队工作。 我们都意识到，AI 代理将从根本上改变安全测试，而 AI 生成代码的浪潮需要一个同样强大的解决方案来确保其安全。 我们构建的 AI 代理能够进行侦察、利用漏洞并建议修补措施——这与人类渗透测试人员的工作方式类似。与传统扫描器的关键区别在于，我们的代理在报告漏洞之前会在运行时环境中验证利用，减少误报。 我们使用多个基础模型进行协同操作。代理首先进行侦察，以了解攻击面，然后利用这些背景信息来制定测试策略。当它们发现潜在漏洞时，会启动隔离环境进行验证。如果成功，它们会分析代码库以生成上下文修补措施。 与现有工具的不同之处在于：通过利用验证：我们不仅仅是模式匹配——我们利用漏洞来证明其真实性；- 代码库集成：代理理解您的代码结构，以发现复杂的逻辑错误并建议适当的修复；- 持续操作：我们不是进行一次性的评估，而是随着代码的演变不断进行测试；- 攻击链发现：代理可以发现需要将不同问题串联在一起的多步骤漏洞。 我们目前处于早期访问阶段，正在与初始合作伙伴一起完善平台。我们的代理已经发现了其他工具遗漏的漏洞，并在渗透测试基准中表现良好。 期待您的想法和评论！

嗨，HN，我们是Jeffrey和Kritin，我们正在构建DeepTeam（[https://trydeepteam.com](https://trydeepteam.com)），这是一个开源的Python库，用于扫描大型语言模型（LLM）应用的安全漏洞。您可以通过为您的LLM应用定义一个Python回调函数（例如`def model_callback(input: str)`）来开始“渗透测试”，DeepTeam将尝试使用设计用于引发不安全或意外行为的提示进行探测。 请注意，渗透测试过程将您的LLM应用视为一个黑箱——这意味着DeepTeam无法知道在某个工具调用中是否发生了个人身份信息（PII）泄露，或者这些信息是否包含在您微调的LLM的训练数据中，而只是检测到它的存在。在内部，我们将这个过程称为“端到端”测试。 在创建DeepTeam之前，我们曾开发过DeepEval，这是一个开源框架，用于对LLM进行单元测试。你们中的一些人可能会想，这难道不与单元测试类似吗？ 某种程度上是，但实际上并不完全相同。虽然LLM单元测试关注于1）准确的评估指标，2）全面的评估数据集，但渗透测试则专注于攻击的随机模拟及其协调。对于用户来说，这是一个重大的且令人困惑的范式转变，因为它从“这个通过了吗？”变成了“这个如何会崩溃？”。 因此，我们想，为什么不发布一个新包来协调针对这一新用户和专注于AI安全的团队进行对抗性攻击的模拟，并在此过程中借用DeepEval的评估和生态系统呢？ 快速入门请访问：[https://www.trydeepteam.com/docs/getting-started#detect-your-first-llm-vulnerability](https://www.trydeepteam.com/docs/getting-started#detect-your-first-llm-vulnerability) 我们做的第一件事就是提供尽可能多的攻击方法——简单的编码方法如ROT13、leetspeak，提示注入、角色扮演和越狱等。随后我们听到一些用户不满意，因为攻击在测试之间没有持续性，因此他们每次测试时都会“丢失”进度，于是我们添加了一个`reuse_simulated_attacks`选项。 我们将所有内容抽象化，以使其尽可能模块化——每个漏洞、攻击都可以在Python中导入，例如`Bias(type=[“race”])`、`LinearJailbreaking()`等，并提供`.enhance()`等方法，供团队即插即用，构建自己的测试套件，甚至添加更多的攻击增强轮次，以提高突破系统的可能性。 值得注意的是，有一些限制。用户在尝试模拟攻击时可能会遇到合规性错误（尤其是在AzureOpenAI上），因此我们建议在这种情况下将`ignore_errors`设置为`True`。您还可能会遇到瓶颈，DeepTeam未覆盖您自定义的漏洞类型，因此我们推出了一个`CustomVulnerability`类作为“万用”解决方案（仍在测试阶段）。 您可能知道，已经存在一些类似的包，通常被称为“漏洞扫描”或“红队测试”。不同之处在于，DeepTeam是模块化的、轻量级的，并且对代码友好。以Nvidia Garak为例，尽管功能全面，但有很多CLI规则和环境设置，绝对不是最容易上手的，更不用说拆解库以构建自己的渗透测试管道。在DeepTeam中，定义一个类，如果需要，可以将其包装在您自己的实现中，然后就可以开始了。 我们采用了Apache 2.0许可证（目前是这样，未来可能也会如此），所以如果您想开始，`pip install deepteam`，使用任何LLM进行模拟，您将在1分钟内获得完整的渗透报告（假设您是异步运行的）。GitHub：[https://github.com/confident-ai/deepteam](https://github.com/confident-ai/deepteam) 很高兴与大家分享DeepTeam——欢迎告诉我们您的想法！

大家好！我是Ulysse，Tesseral（<a href="https://github.com/tesseral-labs/tesseral">https://github.com/tesseral-labs/tesseral</a>）是一个开源的B2B SaaS身份验证解决方案。 在我职业生涯的早期，我曾在Segment负责企业身份验证和安全功能。从那时起，我就对企业软件的细微细节产生了浓厚的兴趣。例如，在COVID疫情初期，我因为觉得有趣而编写了SAML的实现。 多年来，我感到沮丧的是，似乎很少有人对让商业软件开发者的身份验证变得简单明了感兴趣。身份验证其实不需要这么复杂。 我们开发Tesseral是为了帮助软件工程师准确实现B2B身份验证，并将精力集中在构建用户所需的功能上。 您可以使用Tesseral搭建登录页面，验证用户身份，并管理他们对资源的访问。可以将其视为Auth0或Clerk，但它是开源的，专门为B2B应用程序构建的。这意味着它设计用于B2B多租户，并包含企业级功能，如单点登录（SAML SSO）、多因素身份验证（MFA）、SCIM配置和基于角色的访问控制（RBAC）。 对于那些公开API的用户，您可以使用Tesseral为客户管理API密钥。您甚至可以通过使用我们的RBAC功能来限制API密钥的作用范围。 我们确保Tesseral强大且安全，足以支持真正的企业软件，同时也足够简单，任何软件开发者都能使用。您不必成为安全专家就能实现Tesseral。（因此，默认情况下，Tesseral会施加一些使用建议。如果您有充分的理由去做一些不同寻常的事情，请告诉我们，我们会一起解决。） 如果您想尝试Tesseral，可以选择自行托管或使用我们的托管服务。托管服务位于<a href="https://console.tesseral.com">https://console.tesseral.com</a>。您可以在这里找到文档：<a href="https://tesseral.com/docs">https://tesseral.com/docs</a>。 以下是一些简单的演示： <a href="https://www.youtube.com/watch?v=IhYPzz3vB54" rel="nofollow">https://www.youtube.com/watch?v=IhYPzz3vB54</a> <a href="https://www.youtube.com/watch?v=t-JJ8TNjqNU" rel="nofollow">https://www.youtube.com/watch?v=t-JJ8TNjqNU</a> <a href="https://www.youtube.com/watch?v=mwthBIRZO8k" rel="nofollow">https://www.youtube.com/watch?v=mwthBIRZO8k</a> 我们目前处于项目的早期阶段，因此仍有一些不足之处。我们正在开发更多功能、修复bug、SDK和文档。 我们遗漏了什么？我们可以做得更好吗？我们期待听到社区的反馈！