git 漏洞概述 | CVE-2024-32002
- 漏洞描述
- Git 在处理包含子模块的仓库时存在漏洞,可能被诱导将文件写入 .git/ 目录而非子模块的工作目录。
- 攻击者可利用此漏洞写入恶意钩子,在克隆操作期间执行,从而在用户无法检查代码的情况下执行恶意代码。
- 受影响版本
- Git 版本低于 2.45.1、2.44.1、2.43.4、2.42.2、2.41.1、2.40.2 和 2.39.4。
- 漏洞修复
- Git 已发布修复版本,请升级至 2.45.1、2.44.1、2.43.4、2.42.2、2.41.1、2.40.2 或 2.39.4。
- 缓解措施
-
禁用 Git 中的符号链接支持(例如,通过 git config --global core.symlinks false)。
-
避免克隆来自不受信任来源的仓库。
上述文章 由 如下命令 生成:
x osv vuln --yml CVE-2024-32002 \
| @gemini -t 0 '以大纲方式,用中文简练介绍这个漏洞'
值得注意的是,受限于 osv 的官方来源信息,上述文章并无提到该漏洞需要的两个依赖:
-
该漏洞依赖 git clone --recursive 这种方式
-
该漏洞依赖 mac 和 windows 的文件系统中文件名大小写不敏感这个特性
-
该漏洞的严重程序是 评分是 9.1分( 满分是 10分 ),请大家尽快采取相应的举措进行风险规避。
可以参考以下文章了解更多的技术细节:
CVE-2024-32002–git rce的分析与复现
ChatGPT Plus vs API: 成本比较
核心问题: 针对代码生成任务,ChatGPT Plus 订阅和 GPT-4o API 哪种方式更划算?
成本分析:
-
GPT-4o API:
-
输入: $5.00 / 百万 tokens
-
输出: $15.00 / 百万 tokens
-
-
ChatGPT Plus:
- $20 / 月,无限使用
使用场景:
-
每日编程:
-
假设每天 5 个任务,每个任务 200 行 Python 代码 (约 1700 tokens),每次任务与 ChatGPT 交互 3 次。
-
每月 API 成本约为 $10.20,远低于 ChatGPT Plus 的 $20。
-
-
偶尔编程:
-
假设每周 1 个任务,每个任务 200 行 React 代码 (约 1500 tokens),每次任务与 ChatGPT 交互 3 次。
-
每月 API 成本约为 $0.36,远低于 ChatGPT Plus 的 $20。
-
结论:
-
GPT-4o API 在成本上更具优势,无论是日常编程还是偶尔编程。
-
ChatGPT Plus 的优势在于无限使用和移动端支持,适合非编程场景下的快速问答和头脑风暴。
以上 的文章 由 如下命令生成 ( Gemini 1.5 Pro,Temperature 为 0 ):
x jina 'https://prompt.16x.engineer/blog/chatgpt-plus-vs-api-cost' \
| @gemini -t 0 '用大纲方式总结要点 用中文'
原文带有很强的目标性 – 论证采用该软件使用 GPT-4o 的 API 要比直接购买 ChatGPT Plus 订阅更划算。文中所谈 “偶尔编程” 的场景假设我无法理解;因此仅讨论每日编程这个场景的成本。
文章假设每天 5 个任务,而每个任务 Input/Output 皆是 1700 Token,每个任务交互三次。采用 GPT-4o 的成本是每个月 10.2 美元。
这个假设未免过于乐观。实际上,如果要完成好任务,需要采用 Agent 和 RAG 、 Memory 等 Prompt 技巧,预设的 Agent Prompt 和附带的参考内容的长度至少达到 1.7K Token。我们先让单次完成任务成本翻一番。
而每天 5 个任务,如果重度依赖进行任务解决,5个任务是远远不够 – 我们就假设每天工作与 AI 共同完成 50 个问题的解决( 5个小时 x 10个问题/小时 )。
在上述粗糙的假设下,成本会变成 20 倍。相当于 200美元/月。
然而,这里的成本未来还有两个优化:
- 本地模型和更便宜的云上模型来分担任务,实现降本;例如我经常使用 GPT-3.5 和 Gemini 1.5 Flash 来完成一些总结工作;效果不错。x-cmd 上的当前 Agent 设计和开发也是往这个联动多个模型的角度来进行的。
- 按照最近一年的趋势,GPT-4o 层次的 AI 也会降价;最近一年,GPT-3.5 就降了 75% (输入 Token );未来两年内,这个成本变 1/10,这是可以期待的。
不过虽然成本在降,但随着更多使用潜力的挖掘,使用的频率和用量都会激增。我们最终每个月在上面会花费多少预算,未可知。ChatGPT Plus 的定价考虑的大概是用户的心理价位,以及市场当前的接受程度。
每月额外支出 200美元 看似很高,其实换个角度,也并不难接受:
- AI 能够如此深度加入到工作 所带来的价值
- 节省了在搜索引擎和页面的广告注意力成本
- 知识在团队内部的流动成本,节省了成员之间的交流成本( 当面交流的时间成本、编写文档的成本,等等 )
如果这些成本最终能让我们每天因此少工作一小时,那绝对物有所值。
反之,如果 LLM 给人类带来的价值也仅配得上额外的 200 美元月成本支出,那么就枉称新一轮科技革命了。
现在,对于生逢其时的我们,更需思考的是,如何在这个成本上,物尽其用,创造更大的价值。
更多内容请查阅 : blog-240528
关注微信官方公众号 : oh my x
获取开源软件和 x-cmd 最新用法