HackerNews 编译，转载请注明出处： 全球最大的非营利性认证网络安全专业人士协会ISC2的最新调查显示，网络安全团队对AI安全工具的兴趣虽谨慎但正在增长。 企业正在拥抱AI工具来提升安全水平，但在此过程中，他们可能切断了未来网络人才的输送管道。 AI已至，并将持续存在 在接受调查的436名安全专业人士中，近三分之一表示他们的团队已将生成式模型、自动化响应代理或AI增强监控系统等AI工具集成到日常运营中。另有42%的团队正在测试或评估这些工具。 最大的采用者是拥有10,000名以上员工的大型企业以及IT服务和工业等数据密集型行业的企业。与此同时，公共部门组织行动迟缓，只有16%采取了行动。 在采用、测试或评估AI安全工具方面处于领先地位的行业包括：工业企业（38%）、IT服务（36%）、商业/消费领域（36%）和专业服务（34%）。而金融服务和公共部门的采用率最低，分别仅为21%和16%。 速度和效率正在推动更快的采用。约70%在安全工作中使用AI的人表示，它已经让团队更有效率，尤其是在入侵检测、网络监控和漏洞管理等繁重领域。 AI正被用于自动化以下安全工作领域： 网络监控与入侵检测：60% 端点保护与响应：56% 漏洞管理：50% 威胁建模：45% 安全测试：43% AI工具可能威胁初级岗位 超过半数（52%）的受访者认为AI工具将减少对入门级员工的需求。21%的受访者表示，AI已经改变了其组织招聘和为网络安全岗位做计划的方式。 然而，这种趋势可能对网络安全专业人员的技能组合产生长期影响。 一位受访者告诉ISC2：“你得先学会走，才能成为真正高效的跑步者。”而当下，初级员工甚至还没系好鞋带（打好基础），AI就已经跑在了前面。 安全团队正面临一个矛盾：他们需要AI是因为它让工作更轻松，但这种轻松可能以牺牲长期人才输送管道为代价。减少初级岗位招聘意味着未来专家会更少，导师指导机会减少，进入这个本就精英化严重的领域的多元化新人也会更少。 一位受访者警告：“减少入门级网络安全岗位可能导致显著的技能缺口，限制人才增长和创新。长期影响包括高级专业人员压力增大、威胁响应速度变慢，以及因争夺经验丰富人才而导致成本上升。” 新型AI增强的工作岗位 不过，并非所有人都在敲警钟。近半数（44%）表示他们公司的网络安全招聘尚未受到AI安全工具使用的影响。 31%的受访者抱有希望地认为，AI实际上可能创造新的入门级岗位，这些岗位融合传统网络知识与新兴AI技能。 根据ISC2的信息，为入门级网络安全专业人士宣传和讨论的新型及AI增强的岗位包括： AI辅助SOC分析师：与AI增强的安全信息与事件管理（SIEM）或安全编排、自动化与响应（SOAR）工具协作。 安全数据分析师/初级威胁情报分析师：专注于通过管理庞大的威胁指标数据集来帮助训练和验证AI模型。 自动化与安全编排助理：支持开发和维护安全自动化脚本和工作流（AI平台利用这些脚本和流程来采取行动）。 AI治理或合规专员：提供入门级支持，确保安全领域使用的AI系统符合道德和合规要求，以及更普遍的正常运行。 安全测试助理：测试AI驱动的安全工具的稳健性，包括评估其对对抗性输入的反应。 云安全支持分析师：与AI增强的云安全监控工具协作，确保关键云服务和数据存储库的安全、可用性和防御能力。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国消费电子巨头三星电子本周宣布，将为即将推出的搭载 One UI 8 系统的 Galaxy 智能手机带来新的安全改进。 为了保护端侧人工智能（AI）功能的安全，该公司推出了 Knox 增强加密保护 (Knox Enhanced Encrypted Protection, KEEP)。这是一项新架构，通过加密存储环境将应用程序限制在其自身的敏感信息范围内。 三星表示，KEEP 保护用户的个人洞察信息（例如偏好和日常习惯），这些信息同时也由名为 Knox Vault 的端侧防篡改硬件安全环境提供保护。KEEP 同样保护其他依赖用户特定输入的功能。 该科技巨头还宣传了 One UI 8 中改进的 Knox Matrix。它能为互联的 Galaxy 设备提供主动、用户友好的保护。它会将所有被标记为存在严重风险的设备从所有云连接服务中断开，同时通知用户并引导其解决问题。 继在 Galaxy S25 系列中引入后量子增强数据保护 (Post-Quantum Enhanced Data Protection, EDP) 之后，三星现在为 安全 Wi-Fi (Secure Wi-Fi) 功能带来了一套新的加密框架，旨在通过后量子密码学 (post-quantum cryptography) 提供更强化的保护。 据该公司称，安全 Wi-Fi 使用一个加固的安全隧道连接 Galaxy 设备和三星服务器，能够抵御那些试图截获加密数据并利用未来量子技术进行破解的攻击。 安全 Wi-Fi 包含一个自动保护模式 (Auto Protect mode)，当设备连接到公共网络时会自动激活；以及增强隐私保护 (Enhanced Privacy Protection, EPP)，用于加密所有互联网流量和路由路径，同时提供保护记录 (protection history) 的可视化。 这些改进是对现有 Galaxy 设备安全功能的补充，包括通过 Knox Vault 保护敏感信息、自动阻止未经授权的应用程序安装、提供关闭 AI 功能在线数据处理的选项，以及在设备失窃情况下保护个人信息的安全措施。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一场利用搜索引擎优化（SEO）投毒技术传播恶意软件加载器Oyster（亦称Broomstick或CleanUpLoader）的攻击活动。据Arctic Wolf分析，该恶意广告活动通过伪造托管合法工具（如PuTTY和WinSCP）木马化版本的网站，诱骗搜索这些程序的技术人员下载安装。报告指出：“程序执行后会植入Oyster/Broomstick后门。攻击者创建每三分钟运行一次的计划任务实现持久化，通过rundll32.exe调用恶意DLL文件（twain_96.dll）的DllRegisterServer导出函数，表明其采用DLL注册机制维持控制。” 已发现的欺诈网站包括： updaterputty[.]com zephyrhype[.]com putty[.]run putty[.]bet puttyy[.]org 攻击者可能还针对其他IT工具传播恶意软件，用户必须严格依赖可信渠道和官方供应商站点下载软件。 当前黑帽SEO投毒技术正被用来操纵人工智能（AI）相关关键词的搜索结果，散布Vidar、Lumma和Legion加载器。这些网站嵌入了检测广告拦截器的JavaScript代码，在收集受害者浏览器信息后启动重定向链，最终导向包含ZIP压缩包的钓鱼页面。“最终下载页面提供受密码保护的ZIP压缩包（内含Vidar/Lumma窃密程序），密码直接显示在下载页面上，”Zscaler ThreatLabz分析称，“解压后出现800MB的NSIS安装包，攻击者刻意设置超大体积以绕过文件大小检测机制。”该安装包通过AutoIt脚本激活窃密载荷。而Legion加载器则采用MSI安装包配合批处理脚本进行部署。 同类SEO投毒活动还通过伪造热门网络应用的搜索结果，将用户导向虚假Cloudflare验证页面，运用臭名昭著的“点击修复”（ClickFix）策略，借助Hijack加载器传播RedLine窃密程序。卡巴斯基数据显示，2025年1至4月期间，约8500家中小企业遭遇伪装成ChatGPT、DeepSeek、Cisco AnyConnect等AI/协作工具的恶意攻击。Zoom仿冒文件占比达41%，Outlook与PowerPoint各占16%，ChatGPT恶意文件数量同比激增115%。 尽管滥用虚假搜索列表是常见手段，但近期攻击出现新变种：劫持苹果、美国银行、微软等品牌技术支持页面的赞助搜索结果。用户会被导向品牌官网帮助中心，但页面显示的电话号码已被替换为攻击者控制的号码。该技术通过“搜索参数注入”实现——在网址栏注入伪造号码使其看似官方结果，而实际参数在搜索结果中不可见，极具迷惑性。 攻击者还在Facebook平台投放虚假广告：以“Pi Network桌面版更新”为诱饵传播窃密程序，盗取凭证与加密钱包密钥；通过4000余个仿冒电商网站（GhostVendors网络）投放短期广告实施金融欺诈。安全公司Bitdefender指出这可能是同一攻击者为最大化收益开展的并行欺诈计划。 同时，针对macOS系统的Poseidon窃密程序及Windows平台的PayDay加载器（最终投递Lumma窃密程序）活动被命名为“黑暗伙伴”（Dark Partners）。PayDay加载器利用Google日历事件隐藏C2服务器地址，其使用的邮箱echeverridelfin@gmail[.]com亦关联到恶意npm包“os-info-checker-es6”，表明攻击者持续测试不同传播方式。该加载器通过Node.js模块配合ADM-ZIP库，定位加密钱包数据并外传到硬编码C2服务器。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软表示已暂停了3,000个Outlook和Hotmail电子邮件账户，该公司认为这些账户是由朝鲜IT工作者创建的，这是其为帮助企业应对这一高成本计划所做努力的一部分。 微软称，多年来其一直监控朝鲜让其公民受雇于美国公司IT职位的活动，并最近观察到该活动的运作方式发生了变化。朝鲜IT工作者现在大量使用人工智能（AI）技术来“替换窃取的就业和身份证明文件中的图像，并增强朝鲜IT工作者的照片，使其看起来更专业”。 “我们还观察到他们一直在使用变声软件，”微软在一篇博客文章中解释道，该文章发布的同时，美国司法部公布了两份起诉书，指控数名朝鲜人和至少两名美国公民参与了此项IT工作者计划。 去年10月，微软的威胁情报部门发现了一个公共存储库，其中包含疑似朝鲜IT工作者的真实照片和经过AI增强处理的照片。该存储库还包含这些人员的简历、使用的电子邮件账户、关于如何使用VPN账户开展工作的指南、实施身份盗用的操作手册、关于如何在自由职业网站上获取工作的指导手册，以及向协助者付款的信息。 “根据我们对该存储库的审查，朝鲜IT工作者似乎会先进行身份盗用，然后使用像Faceswap这样的人工智能工具将他们的照片移植到窃取的就业和身份证明文件上，”微软研究人员表示。“攻击者还使用这些AI工具拍摄工作者的照片，并将其移植到看起来更专业的背景环境中。然后，这些工作者在申请工作时，将使用这些AI生成的照片制作一份或多份简历或资料。” 该活动的幕后人员正在大量试验变声软件和其他AI技术——这印证了其他几家监控此类计划的网络安全公司所做的评估。微软警告说，虽然尚未发现这些IT工作者使用AI语音和视频产品，但这种手段“可能允许朝鲜IT工作者直接进行面试，不再依赖协助者代替他们面试或向他们出售账户访问权限”。 美国司法部于本周早些时候公布的起诉书进一步揭露了朝鲜计划的巨大规模。联邦调查局（FBI）在16个州执行了搜查行动，目标是29个“笔记本电脑农场”——即由美国居民接收公司笔记本电脑并安装软件，从而让朝鲜人能够远程访问这些设备的地点。 法庭文件中已确认有多名美国公民共谋者参与其中，包括一名持有安全许可的现役美军士兵。 为了说明朝鲜通过该计划所获经济利益的规模，知名加密货币调查员Zachary Wolk（又名ZachXBT）表示，近期一项调查发现，自1月1日以来，向已知朝鲜IT工作者控制的账户发送的加密货币付款已超过1,650万美元，平均每月近300万美元（约合人民币2,190万元）。“为便于理解，每月付款范围在3,000至8,000美元之间，这意味着他们已渗透进入了至少345个（按最高薪酬计算）至多920个（按最低薪酬计算）工作岗位。”他在社交媒体帖子中写道。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta旗下社交网络平台Facebook正要求用户上传手机相册照片，通过人工智能（AI）技术生成拼贴画、内容回顾及其他创意建议，包括用户从未直接上传至服务的照片。据TechCrunch首发报道，用户尝试在Facebook创建新故事（Story）时，会收到弹出消息请求授权“允许云端处理”。 弹窗声明称：“为提供创意建议，我们将根据时间、地点或主题等信息，持续从您的相册选择媒体内容上传至云端。仅您本人可见建议内容，您的媒体文件不会用于广告定位。我们将基于安全性与完整性原则进行审核。”若用户同意照片云端处理，即视为接受Meta的AI条款——该条款允许公司分析用户媒体文件及面部特征。 Meta在帮助页面说明“该功能尚未全面开放”，目前仅限美加用户使用，并向TechCrunch强调该AI功能为选择性加入，用户可随时关闭。这再次印证科技公司在产品中竞相整合AI功能时，常以用户隐私为代价。 Meta称新AI功能不会用于定向广告，但专家仍存疑虑：用户即使同意上传私人照片视频，其数据存储时限与访问权限仍不明确。云端处理过程存在风险，尤其涉及面部识别及时间地点等隐藏信息。此类数据即便不用于广告，仍可能进入训练数据集或用于构建用户画像——如同将相册交给算法，使其持续学习用户习惯、偏好与行为模式。 上月，Meta在获得爱尔兰数据保护委员会（DPC）批准后，开始使用欧盟境内成年用户公开数据训练AI模型。2024年7月，该公司因巴西政府隐私担忧暂停生成式AI工具运营。该社交巨头还在WhatsApp新增AI功能，最新推出的是通过“隐私优先处理”（Private Processing）技术汇总未读消息。 这属于生成式AI大趋势的一部分：科技公司将便利性与追踪技术捆绑。自动拼贴或智能故事建议看似实用，实则依赖监控设备使用行为的AI系统（不限于应用内）。因此隐私设置、明确授权及数据收集限制比以往更为关键。         消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名交友软件Bumble因与OpenAI合作开发的“破冰”功能，被欧洲数字权利中心（noyb）指控违反欧盟《通用数据保护条例》（GDPR）。该组织于6月25日向奥地利监管机构提交正式投诉，直指四项违规行为。 “破冰”功能于2023年12月在Bumble for Friends（专为发展非恋爱友谊设计的独立应用）上线，通过OpenAI分析用户资料生成定制开场白。Bumble官网称其可“帮助用户创建个性化沟通信息”。 noyb指控Bumble： 未明确告知数据用途及接收方 缺乏向OpenAI传输个人数据的法律依据 未获授权处理敏感数据 采用诱导式弹窗替代有效同意机制 用户启动功能时会收到“AI助你破冰”弹窗，说明“利用AI生成匹配个人资料的问题”。投诉指出： 用户需点击“好”才能关闭弹窗，否则每次启动都会重现 关键数据共享说明隐藏在独立FAQ页面，关闭后无法回溯 投诉人表示点击“好”仅为关闭弹窗，未意识到同意数据共享 当用户发信询问“数据传给谁、共享哪些数据”时，Bumble未予答复。noyb强调GDPR要求企业必须清晰披露数据处理细节。 noyb曾推动欧盟监管机构在2023年对Meta处以12亿欧元罚款，并叫停其向美国传输数据的行为。此次投诉若成立，Bumble可能面临年营收4%（约4,000万美元）的罚款。截至发稿，Bumble尚未回应置评请求。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 热门通讯平台WhatsApp推出全新人工智能功能“消息摘要”，该功能利用其自主研发的Meta AI技术为未读聊天消息提供智能摘要服务。该功能目前正面向美国地区用户以英语版本推行，计划于年内扩展至其他语言及地区。 WhatsApp在公告中表示：“该功能通过Meta AI对聊天中未读消息进行私密快速摘要，让用户在仔细阅读前即可掌握消息概要。”摘要功能为可选服务且默认关闭。这家Meta旗下平台同时指出，用户可启用”高级聊天隐私”设置，自主选择共享哪些聊天内容用于AI功能开发。 该功能的核心支撑是今年四月推出的“私有处理”技术。该技术通过Oblivious HTTP(OHTTP)协议在用户设备与可信执行环境(TEE)间建立安全应用会话，在云端机密虚拟机(CVM)的安全环境中处理AI请求。 公司重申该技术能确保任何第三方(包括Meta和WhatsApp自身)均无法查看原始消息内容即可生成摘要。“聊天中其他成员也无法获悉您使用了摘要功能，”声明强调，“这意味着您的隐私时刻受到保护。” 此功能上线之际，美国众议院以安全风险为由将WhatsApp列入政府配发设备的禁用应用清单。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 身份认证服务商Okta警告称，注册欺诈已达到“惊人”的规模，并声称在2024年，高达46%的客户注册尝试是由机器人发起的。 Okta在其《2025年客户身份趋势报告》中披露了这些数据。该报告基于对全球6750名消费者的调查以及其Auth0平台上的运营遥测数据编写而成。 Okta表示，注册欺诈尝试的激增逆转了近期下降的趋势，这可能是由AI赋能的攻击流程导致的。 “今年的结果凸显了AI如何挑战我们信任数字交互真实性的能力，” Okta EMEA首席安全官Stephen McDermid表示。“我们正在进入一个时代，在这个时代里，我们不仅必须问‘谁’值得信任，更要问‘什么’才能真正信任。这个新的攻击面要求我们为AI时代构建一个安全的基础，从静态策略转向动态策略，并将身份置于核心位置。” 报告指出，欺诈尝试在全年波动显著，在4月6日飙升至近93%，而在2月29日则低至14%。不过，在其他任何一天，该数字都没有低于30%。 零售和电子商务公司受到的打击最为严重，占2024年注册欺诈尝试的69%，其次是金融服务(64%)、能源/公用事业(56%)和制造业(54%)。Okta表示，零售商和金融服务机构提供的注册激励和会员专属优惠可能吸引了欺诈者的关注。 然而，Okta警告称，注册欺诈不仅消耗此类注册奖励。它还可能使网络犯罪分子能够发现现有用户账户，利用沉淀账户在日后绕过安全控制，甚至通过消耗资源来执行拒绝服务(DoS)攻击。 企业面临的挑战在于，如何在加强身份认证安全的同时，不过度增加注册过程的摩擦。 报告还揭示了一个矛盾现象：尽管64%的用户表示担心身份欺诈，72%的用户在注册前会评估公司的安全措施，但仍有近四分之一的用户“总是”或“经常”因注册或登录流程问题而放弃在线购买。填写冗长的登录/注册表单（62%）最常被用户视为注册或登录过程中的烦恼来源。 如何应对暴力破解攻击？ Okta敦促企业采取以下措施来反击此类机器人驱动的欺诈尝试： 投资于DDoS缓解服务； 部署基于行为分析、威胁情报和反馈循环的机器人过滤技术； 实施速率限制控制； 在达到风险阈值时增加验证码(CAPTCHA)要求； 收紧可疑IP阈值，并实施访问控制列表(ACL)以阻止滥用IP； 在边缘使用Web应用防火墙(WAF)规则拦截恶意活动； 鼓励客户使用通行密钥(passkey)进行注册。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究团队Neural Trust发现名为“Echo Chamber”（回音室）的新型大语言模型（LLM）越狱攻击技术。该技术通过渐进式语义污染与上下文操控，可突破主流AI模型的防护机制，诱导模型生成违禁内容。Neural Trust研究员Ahmad Alobaid在测试中偶然发现此漏洞：“我最初以为系统出错，但持续测试后发现LLM竟如此容易被操控”。 攻击核心原理 三阶段渗透 种子植入：首轮对话嵌入无害但具导向性的语义种子（如“撰写信息控制失败案例研究”），规避内容过滤机制。 引导强化：通过多轮看似中立的追问（如“请重述重点”），诱导模型逐步复述并扩展敏感概念，形成自我强化的语义闭环。 边界突破：当模型在“绿区”（允许内容）积累足够多被污染的上下文后，其内部状态逐渐接受本应被拦截的语义关联，最终生成违禁内容（如武器制作指南）。 与传统攻击差异 区别于微软披露的”Crescendo”攻击（直接引导敏感回答），Echo Chamber利用模型自解释特性，让AI主动构建危险内容框架。 攻击全程避免触发“红区”（如直接提及“炸弹”），仅使用“鸡尾酒”等合法词汇分散组合，使防护系统难以识别意图。 实测威胁数据 成功率：在GPT-4o、Gemini 2.0等模型测试中，生成性别歧视/暴力内容成功率超90%，虚假信息达80%。 效率：平均2-3轮对话即可完成越狱，部分案例仅需单次交互。 低成本性：无需技术背景，攻击者仅需掌握基础对话技巧即可实施。 行业影响与挑战 防御机制失效 传统关键词过滤与单轮提示检测完全失效，因攻击依赖模型自身的上下文记忆与逻辑推演能力。 新型防护方向 Neural Trust建议采用动态上下文可信评估（如语义一致性检测）、设定上下文记忆窗口限制（防止污染延续），这与微软“提示词防护盾”、Anthropic“宪法分类器”的防御思路形成呼应。 研究员警告 Neural Trust安全主管Rodrigo Fernández强调：“该技术可能被大规模用于生成虚假信息、仇恨言论及犯罪指导，全球AI服务商需立即升级防护体系”。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据进攻性安全公司Cobalt的最新报告，约半数（48%）的安全专业人员认为需要对生成式AI部署实施“战略暂停”，以重新校准防御措施。调查显示，绝大多数（94%）的安全负责人和从业者观察到过去12个月内其所在行业的生成式AI采用率显著提升。令人担忧的是，36%的受访者承认生成式AI部署速度已超出其团队管理能力范围。 尽管许多安全专家呼吁暂停部署，Cobalt首席技术官Gunter Ollmann警告此举并不现实：“威胁行为体不会坐等，安全团队同样不能。研究表明生成式AI在重塑工作方式的同时，也在改写风险规则。安全基础必须同步演进，否则我们将在过时的安全措施上构建未来的创新。” 生成式AI主要安全漏洞 约四分之三（72%）的安全从业者将生成式AI列为首要IT风险。受访者指出的主要风险集中于数据安全与准确性：敏感信息泄露（46%）、数据模型投毒与窃取（42%）、数据不准确（40%）及训练数据泄露（37%）位列前四。尽管风险高企，33%的安全团队未对其大语言模型（LLM）部署实施定期渗透测试等安全评估。 Cobalt自2022年开展LLM测试以来的评估显示，生成式AI工具中约32%的漏洞属于高风险类别，这是所有资产类型中高危漏洞占比最高的领域。其中仅21%的高危漏洞得到修复，修复率在所有渗透测试类型中最低。传统Web漏洞在生成式AI系统中依然突出：SQL注入（19.4%）和存储型XSS（9.7%）占比最高，这表明部署LLM应用时仍需遵循严格的输入验证、安全编码和系统配置等基础安全实践。 渗透测试还发现多类LLM特有漏洞： • 诱导生成不当内容：通过精心设计的输入提示绕过内容过滤器 • 诱导泄露敏感数据：利用提示注入技术使LLM泄露个人身份信息等数据 • 模型拒绝服务攻击：通过API发送大量复杂查询导致服务中断 • 越权操作：通过精细化交互使LLM执行超出权限范围的操作 报告强调：“这些案例证明，发现涉及复杂提示操纵的LLM特有漏洞需要高水平人工专业能力和创新测试方法。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文