先介绍下我的背景吧,我是9本非科班跨考的某2计算机硕士。然后介绍下我的计算机背景。 我对自己的研究方向深度学习 CV 方向比较熟悉,毕竟看了快一年的论文也做了几个月实验,发了一篇水会。 编程语言学过 python,没有系统学习过 java 前后端项目的基础知识,只速成过一个 java 前后端分离的简单复试项目。目前在一家小公司智能体开发岗位打杂,自己 vibe coding 过小的智能体,对提示词、知识库、工作流、langgrah 有一点点了解。 我目前是在准备考公中,但是现在考公竞争太激烈了,担心考不上到时候工作也找不到,所以想了解下有没有对编程能力要求低的公司或者岗位? 或者有没有能速成的,学习时间不太长的学习路线,找工作机会比较多? 我个人偏向国企类的稳定的工作,如果佬有国企方面的求职经验的话,还请赐教,谢谢各位佬友了! 2 个帖子 - 2 位参与者 阅读完整话题
IT之家 4 月 25 日消息,theregister 昨日(4 月 24 日)发布博文,报道称在新加坡举办的 Black Hat Asia 2026 大会上,来自清华大学的研究员石贺天发出警告, 指出公共 EV 充电桩、共享单车等租赁型物联网基础设施正面临严峻的安全风险。 石贺天指出此类服务的核心矛盾在于:开发者过度优先考虑用户便利性,却牺牲了必要的安全防护 ,导致服务暴露在大规模拒绝服务攻击的风险之下。 图源:清华大学 租赁型物联网服务的特殊性在于,任何人都可物理接触设备并排查漏洞。石贺天经授权研究后发现, 部分设备保留了调试端口或 UART(通用异步收发传输器)接口,让攻击者能轻易分析设备运行机制。 IT之家援引博文介绍,他深入探查后,在设备固件中发现共享认证密钥,且后端服务缺乏严格的用户身份验证机制,这构成了严重的安全隐患。 在应用程序层面,安全防护同样薄弱。石贺天发现漏洞允许其创建无法被系统识别的“幽灵客户端”。利用这些虚假身份,攻击者不仅能零成本为汽车充电或租用滑板车,还能访问后端系统窃取用户个人信息。 为验证漏洞危害,他开发了名为“IDScope”的漏洞利用工具。 在现场演示环节,石贺天针对一款 iOS 应用测试,首先邀请观众选择上海人民广场作为目标,并指定了一个可用充电桩。石贺天将应用显示的充电桩 ID 输入脚本,仅一两秒后,该充电桩图标便从代表可用的绿色变为代表禁用的灰色。 石贺天警告,此类攻击技术具备规模化能力, 理论上可导致整个城市的 EV 充电网络瘫痪 。这一风险并非仅存于中国, 他测试的 11 款欧洲共享单车和滑板车应用也存在类似问题。
随着电动汽车快速普及,公共充电网络正逐步演变为关键基础设施,但其安全防护水平仍停留在普通消费级物联网设备的水准,存在被大规模恶意关停的风险。研究人员指出,可预测的设备编号以及薄弱的身份认证机制,可能让攻击者从“干扰一名司机”为起点,升级为让整座城市的公共充电网络集体离线。 公共电动汽车充电桩、共享电单车和租赁滑板车等设备,普遍具备一个共同特征:设备无人值守、依赖手机应用远程控制、长期暴露在开放环境中,任何人都有机会接触和拆解硬件或分析配套软件。在今年的 Black Hat Asia 大会上,清华大学物联网安全研究员石贺天演示了如何利用一款中国充电平台的应用漏洞,远程关闭充电端口,引发业界对这一类风险的高度关注。 据报道,石贺天在演示中使用的是一家中国电动车充电服务商的官方应用。当现场观众选择“上海”作为示范城市后,他在应用中调用附近充电站列表,从中选取位于人民广场附近的一处充电桩,并将该设备的 ID 复制到事先准备好的脚本中执行,随后该充电桩在地图上的图标由绿色变为灰色,表示充电端口已被远程禁用。他认为,利用同样的手法,可以在缺乏有效防护的情况下,对整座城市的大量充电设施实施拒绝服务攻击。 更令人担忧的是,这类问题并非中国市场独有。石贺天团队还对 11 款来自欧洲共享单车和电动滑板车运营商的应用进行了测试,发现同样存在类似安全缺陷。在硬件层面,他们找到仍然开放的调试接口和 UART 连接点,使得攻击者更容易对设备进行逆向分析和功能篡改;在软件与云端层面,则发现固件内共用的认证密钥,以及后端服务对用户请求缺乏充分的身份校验机制。 研究显示,应用侧漏洞同样危险。弱认证设计可能允许攻击者伪造所谓的“幽灵客户端”,让平台无法分辨其与真实用户之间的差异。在此基础上,攻击者不仅可能获得免费骑行、免费充电等非法服务,还可能进一步窃取用户个人信息,对运营方和用户双方造成经济与隐私损失。 这次在大会上的演示并非孤立案例,其背后是系统性研究结果的一个缩影。在 USENIX Security 2024 上发表的一篇相关论文中,清华大学团队(包括石贺天在内)对 17 款可租赁物联网设备及其配套的 92 款应用进行了系统分析。团队共识别出 57 个漏洞,分布于 28 款产品,其中 24 个漏洞被认定为具备大规模利用潜力,可能影响数百万用户和终端设备。 论文指出,可被推断或算法预测的资源 ID 是问题的关键之一。攻击者只需通过简单枚举或推断,就有机会获取大量设备或用户标识,再与访问控制缺陷叠加利用,即可对海量设备发起批量操作,从而在城市级或更大范围内造成服务中断或功能异常。 在所有此类系统中,公共充电桩尤其敏感。它们往往同时涉及用户支付、蜂窝网络连接、云端管理平台以及与电网直接相连的基础设施。单个充电桩遭遇故障或攻击,最多只是给个别车主带来不便;但如果上千个充电终端在短时间内被远程关闭或锁死,对本已对电动车可靠性心存疑虑的潜在用户而言,将严重打击其对整个充电网络和电动车生态的信心。 研究团队表示,相关厂商对研究结果予以确认,并在研究人员的协助下对大部分已披露问题进行了修复或缓解。但他们同时强调,整个可租赁物联网行业仍需在多方面加强安全能力,包括为每台设备建立更强的唯一身份标识、在后端实施更严格的授权机制、为单设备配置独立凭证、关闭不必要的调试端口以及建立完善的滥用检测体系。只有在安全基础设施得到系统性加固之后,公共充电网络与共享出行设备才能真正承担起关键基础设施的角色,而不再成为攻击者眼中的“软目标”。 查看评论
IT之家 4 月 20 日消息,据游戏媒体 Insider Gaming 今天报道,《红色沙漠》游戏 3 月中旬上线,发售至今已有一个多月,凭借庞大的开放世界和丰富的探索内容给玩家留下深刻印象。 但不少玩家上手后发现 其剧情表现相对薄弱且缺乏深度 。 据报道,《红色沙漠》主角克里夫动作捕捉演员 Trevor McEwan 在一次问答活动中表示:“我承认本作在叙事方面有所欠缺,但其他方面足以弥补。此外游戏世界里也隐藏了不少背景设定,玩家只要愿意花时间读就能搞懂”。 McEwan 透露,他与珍艾碧丝(IT之家注:Pearl Abyss)团队主要完成动捕和特技表演,一些更具危险性的动作则交由团队负责。他本人则主要参与过场动画剧情演出部分,为游戏故事定下框架。 不过他也表示,《红色沙漠》的最终表现比自己预期要好,尽管游戏并不完美,但整体仍然超出预期。