In a fusion of scrapyard elegance and Aussie ingenuity, [Mark Makies] has given a piece of old steel a steamy second life with his ‘CastAway Tub’. Call it a bush mechanic’s fever dream turned functional sculpture, starring two vintage LandCruiser leaf springs, and a rust-hugged cast iron tub dug up after 20 years in hiding. And put your welding goggles on, because this one is equal parts brute force and artisan flair.

What makes this hack so bold is, first of all, the reuse of unforgiving spring steel. Leaf springs, notoriously temperamental to weld, are tamed here with oxy-LPG preheating, avoiding thermal shock like a pro. The tub sits proudly atop a custom-welded frame shaped from dismantled spring packs, with each leaf ground, clamped, torched, and welded into a steampunk sled base. The whole thing looks like it might outrun a dune buggy – and possibly bathe you while it’s at it. It’s a masterclass in metalwork with zero CAD, all intuition, and a grinder that’s seen things.

Inspired? For those with a secret love for hot water and hot steel, this build is a blueprint for turning bush junk into backyard art. Read up on the full build at Instructables.

hackaday.com/2025/05/31/hot-ro…

Lazarus 4 è una nuova versione del famoso IDE open source, compatibile con Delphi e progettata per il compilatore FreePascal. Sebbene l’ambiente di sviluppo sia strettamente correlato al Pascal, viene sviluppato separatamente dal linguaggio stesso. Lazarus 4 è basato su FreePascal 3.2.2 , rilasciato nel 2021, e sostituisce la versione precedente dell’IDE, Lazarus 3.8.

Nonostante sia stato scritto pensando per lo supporto multipiattaforma, Lazarus riesce a mantenere un comportamento simile a quello di Windows anche su Mac e, sorprendentemente, funziona. Dopo il rilascio di Lazarus 3.0 nel dicembre 2023. Corregge numerosi bug, aggiunge nuove funzionalità e rielabora diversi componenti. Una delle innovazioni più degne di nota è il sistema di docking dell’interfaccia integrato e l’editor di moduli. Ora non è più necessario ricostruire l’IDE per abilitare queste funzionalità: è sufficiente attivarle al primo avvio.

L’ambiente Lazarus supporta le versioni a 32 e 64 bit di Windows, Linux e FreeBSD. Su macOS, le build sono disponibili per PowerPC, x86 e Arm64. Per lo sviluppo di Cocoa è richiesto almeno macOS 12, ma sono supportati OS X dalla versione 10.5 alla 10.14 quando si utilizzano le API Carbon legacy. Esiste anche un’opzione per Raspberry Pi 4 e successivi. L’IDE funziona con diverse librerie GUI: Win32, Gtk2, parzialmente Gtk3, nonché le versioni Qt 4, 5 e 6.

Quando si parla di critiche a FreePascal, non è il linguaggio in sé a essere menzionato più spesso, ma la sua documentazione. Sebbene ce ne sia parecchio in giro (otto guide ufficiali FPC, un’ampia documentazione di Lazarus e perfino un tutorial a pagamento), può risultare difficoltoso per i principianti.

Un nuovo libro gratuito, FreePascal From Square One, di Jeff Dantermann, potrebbe rivelarsi utile. Ha rivisto le sue precedenti guide Turbo Pascal. Ammette che il libro non tratta argomenti come la programmazione Windows, la programmazione orientata agli oggetti o l’editor visuale Lazarus, ma spera che possa interessare i nuovi utenti.

Pascal potrebbe essere fuori moda, ma resta nella top ten della classifica TIOBE. Chissà, forse l’uscita di Lazarus 4 darà nuova vita all’ecosistema.

L'articolo Lazarus 4 è arrivato: il grande ritorno dell’IDE open source Pascal proviene da il blog della sicurezza informatica.

Gli sviluppatori di OpenPGP.js hanno rilasciato una correzione per una vulnerabilità critica che potrebbe essere sfruttata per lo spoofing. Il bug consentiva la falsificazione sia di messaggi firmati sia di messaggi crittografati.

OpenPGP.js è un’implementazione JavaScript della libreria open source di crittografia delle e-mail OpenPGP che può essere utilizzata su qualsiasi dispositivo. Gli sviluppatori del progetto spiegano che l’idea era di implementare tutte le funzionalità OpenPGP necessarie in una libreria JavaScript che potesse essere riutilizzata in altri progetti per estensioni del browser o applicazioni server.

OpenPGP.js è utilizzato in progetti quali FlowCrypt, Mymail-Crypt, UDC, Encrypt.to, PGP Anywhere e Passbolt.

Di recente, gli esperti di Codean Labs hanno scoperto che OpenPGP.js ha una vulnerabilità critica. Questo problema consente a un aggressore di falsificare la verifica della firma tramite un messaggio contraffatto trasmesso a openpgp.verify o openpgp.decrypt. Di conseguenza, restituiscono un “risultato di verifica della firma positivo, anche se in realtà i dati restituiti non erano firmati”.

“Per falsificare un messaggio, un aggressore avrebbe bisogno di una firma valida (incorporata o separata) e dei dati firmati in chiaro. Dopodiché, è possibile generare un messaggio con firma in linea o un messaggio firmato e crittografato contenente qualsiasi dato. E il messaggio apparirà come firmato legittimamente nelle versioni vulnerabili di OpenPGP.js“.Spiegano i ricercatori. “In altre parole, un messaggio con una firma incorporata può essere modificato per restituire qualsiasi altro dato (pur indicando che la firma è valida). Lo stesso è possibile per i messaggi firmati e crittografati se un aggressore riesce a ottenere una firma valida e crittografare un nuovo messaggio (con contenuto arbitrario) insieme a quella firma.”

Alla vulnerabilità è stato assegnato l’identificatore CVE-2025-47934 (8,7 punti sulla scala CVSS) e riguarda le versioni 5 e 6 di OpenPGP.js. Le versioni 4.x non sono interessate. Gli sviluppatori hanno risolto il bug con il rilascio delle versioni 5.11.3 e 6.1.1.

Daniel Huigens, crittografo capo presso Proton e responsabile della manutenzione di OpenPGP.js, afferma che gli utenti dovrebbero installare gli aggiornamenti il ​​prima possibile. Prima di fare ciò, si consiglia di studiare attentamente tutti i messaggi presumibilmente firmati e di controllare ogni firma come se fosse unica.

Per i messaggi firmati e crittografati, Huygens suggerisce di verificarne l’autenticità in due passaggi. Per prima cosa chiamare openpgp.decrypt senza verificationKeys, quindi passare le firme restituite e i dati decrittati a openpgp.verify per la verifica esplicita.

L'articolo OpenPGP.js aveva un bug così elegante da far passare messaggi fake per sicuri proviene da il blog della sicurezza informatica.

Man mano che i modelli linguistici di grandi dimensioni diventano più intelligenti, diventano anche più difficili da utilizzare. Ciò crea problemi, soprattutto nei paesi in cui l’accesso ai potenti chip americani è limitato, come la Cina. Tuttavia, anche al di fuori di queste regioni, sta crescendo l’interesse verso soluzioni che rendano l’IA più economica da utilizzare. Sempre più spesso gli sviluppatori utilizzano architetture Mixture of Experts (MoE) e tecnologie di compressione per ridurre i requisiti hardware e i costi di esecuzione dei grandi modelli linguistici (LLM).

Sebbene i primi modelli MoE, come Mixtral di Mistral AI, esistano da molto tempo, hanno iniziato a trovare un utilizzo diffuso nella pratica solo nell’ultimo anno. Oggi, architetture simili sono utilizzate nei modelli di Microsoft, Google, IBM, Meta, DeepSeek e Alibaba, tutti basati sul principio proposto nei primi anni ’90.

L’essenza del MoE è che il modello è costituito da molte sottoreti più piccole, gli “esperti”. Invece di attivare tutti i parametri, come avviene nei tradizionali modelli “densi”, il sistema collega solo gli esperti necessari per svolgere un compito specifico. Ad esempio, DeepSeek V3 utilizza 256 esperti instradati e uno generale, ma solo otto esperti instradati e uno generale sono attivi durante la generazione del testo. Ciò comporta notevoli guadagni in termini di efficienza: meno transazioni, minore produttività e minori costi di manutenzione.

Allo stesso tempo, la qualità dei modelli MoE potrebbe essere leggermente inferiore a quella delle loro controparti più dense. Ad esempio, il modello Qwen3-30B-A3B di Alibaba si è rivelato leggermente più debole nei risultati benchmark rispetto alla versione densa Qwen3-32B. Tuttavia, la nuova architettura richiede una larghezza di banda di memoria notevolmente inferiore: i parametri attivi in ​​MoE rappresentano solo una parte del volume totale, il che consente di fare a meno della costosa memoria HBM.

Per chiarezza, vale la pena confrontare i modelli Meta Llama 3.1 405B e Llama 4 Maverick. Il primo è un modello denso, che richiede oltre 405 GB di memoria e circa 20 TB/s di throughput per servire 50 token al secondo nella versione a 8 bit. Allo stesso tempo, anche il sistema di fascia alta basato su Nvidia HGX H100, il cui costo parte da 300 mila dollari, fornisce 26,8 TB/s e soddisfa praticamente tutte queste esigenze. Per eseguire una versione a 16 bit del modello, sarebbero necessari almeno due sistemi di questo tipo.

Il Llama 4 Maverick è un modello MoE con una quantità di memoria simile, ma ha solo 17 miliardi di parametri attivi. Ciò è sufficiente per ottenere le stesse prestazioni con una velocità di trasmissione inferiore a 1 TB/s. Sulla stessa base hardware, un modello del genere funzionerà molto più velocemente. In alternativa, se la velocità non è un fattore critico, è possibile utilizzarlo su soluzioni più economiche con GDDR6/7 o addirittura DDR, ad esempio sui nuovi server CPU di Intel.

Intel ha già dimostrato questa capacità: una piattaforma dual-socket basata su Xeon 6 con memoria MCRDIMM ad alta velocità ha mostrato una velocità di 240 token al secondo con una latenza media inferiore a 100 ms. Ciò è sufficiente per consentire a circa due dozzine di utenti di lavorare contemporaneamente con il modello.

Tuttavia, MoE riduce solo i requisiti di larghezza di banda, non quelli di memoria. Anche Llama 4 Maverick a 8 bit richiede oltre 400 GB di memoria video. Ed è qui che entra in gioco la seconda tecnologia chiave: la quantizzazione. La sua essenza è comprimere i pesi del modello mantenendone la precisione. Il passaggio da 16 a 8 bit non ha praticamente alcun effetto sulla qualità, ma la compressione a 4 bit richiede già dei compromessi. Alcuni sviluppatori, come DeepSeek, hanno iniziato ad addestrare i modelli direttamente in FP8, il che evita problemi di post-elaborazione.

Parallelamente si ricorre anche a metodi di potatura, ovvero alla rimozione di pesi in eccesso o insignificanti. Nvidia ha utilizzato attivamente questa pratica, rilasciando versioni ridotte di Llama 3 ed è stata una delle prime a implementare il supporto per FP8 e FP4, che riducono i requisiti di memoria e velocizzano i calcoli. AMD, a sua volta, sta preparando dei chip con supporto FP4 il mese prossimo.

Ad aprile Google ha mostrato come è possibile ottenere una compressione 4x nei suoi modelli Gemma 3 utilizzando l’apprendimento consapevole della quantizzazione (QAT). Allo stesso tempo, la qualità non è stata quasi influenzata e le perdite per perplessità sono state ridotte del 54%. Alcuni approcci, come Bitnet, vanno ancora oltre, comprimendo i modelli a 1,58 bit per parametro, il che ne riduce le dimensioni di un fattore 10.

Combinando MoE e quantizzazione, i modelli consumano molto meno memoria e larghezza di banda. Ciò è particolarmente rilevante nell’era delle soluzioni Blackwell Ultra più costose e delle restrizioni sulle esportazioni di chip. Anche se una delle due tecnologie viene utilizzata separatamente, è già in grado di ridurre significativamente i costi di lancio di modelli di grandi dimensioni e di renderli disponibili al di fuori dei data center.

Certo, resta un’ultima domanda: tutto questo porta con sé qualche vantaggio? Secondo un sondaggio IBM, solo il 25% dei progetti di intelligenza artificiale giustificava effettivamente l’investimento. Il resto, non ancora.

L'articolo L’IA costa troppo? Ecco come MoE e quantizzazione stanno cambiando le regole del gioco proviene da il blog della sicurezza informatica.

Un team di ricercatori della Palisade Research ha pubblicato un insolito rapporto sulle capacità dell’intelligenza artificiale moderna nel campo della sicurezza informatica offensiva.

Per la prima volta, ai sistemi di intelligenza artificiale è stato permesso di partecipare a pieno titolo alla competizione di hacking Capture The Flag e non solo hanno vinto, sono anche risultati tra i migliori. Nella competizione AI vs Humans, gli agenti autonomi basati sull’intelligenza artificiale sono entrati all’interno del 5% dei migliori partecipanti, mentre nella competizione su larga scala Cyber ​​Apocalypse hanno ottenuto risultati tra il 10%, tra decine di migliaia di giocatori professionisti.

L’idea principale del lavoro è testare quanto efficacemente il metodo di “elicitazione” (massima divulgazione del potenziale dell’IA) possa essere utilizzato tramite crowdsourcing, cioè tramite competizioni aperte. Invece di affidarsi a test di laboratorio chiusi, Palisade ha consentito a team esterni e appassionati di personalizzare ed eseguire l’IA in condizioni reali di tornei CTF.

I risultati sono stati inaspettati. Alcuni agenti sono riusciti a risolvere 19 compiti su 20, eguagliando in velocità i migliori team umani. Le IA si sono dimostrate particolarmente abili nei compiti di crittografia e di reverse engineering. Al torneo Cyber ​​Apocalypse, a cui hanno partecipato più di 8.000 squadre, l’intelligenza artificiale è riuscita a risolvere problemi che a un giocatore esperto hanno richiesto circa un’ora. Ciò è in linea con le stime di altri ricercatori: i modelli linguistici moderni riescono già a gestire con sicurezza compiti tecnici della durata massima di 60 minuti.

Lo studio affronta anche la questione del cosiddetto “evals gap”, ovvero il divario tra i risultati dei test interni dell’intelligenza artificiale e le sue reali capacità quando correttamente configurata. Gli autori ritengono che il crowdsourcing potrebbe diventare una forma di valutazione più equa ed efficace, soprattutto man mano che l’intelligenza artificiale diventa più potente e versatile.

Oltre ai risultati pratici, il progetto ha un obiettivo più ampio: fornire a decisori politici, ricercatori e aziende uno strumento per una valutazione tempestiva e indipendente delle crescenti capacità dell’intelligenza artificiale. Gli organizzatori propongono di integrare i percorsi di intelligenza artificiale nelle competizioni CTF esistenti, offrendo piccoli premi e incoraggiando la partecipazione. Questo, secondo loro, non solo aiuterà a esplorare i limiti dell’intelligenza artificiale, ma renderà anche il processo di valutazione più trasparente, riproducibile e pertinente alle attività del mondo reale.

In sostanza, stiamo parlando del futuro dell’audit dell’IA: non attraverso parametri chiusi, ma attraverso competizioni aperte , in cui l’IA stessa deve dimostrare di cosa è capace, competendo con persone reali.

L'articolo L’Intelligenza Artificiale mostra agli Hacker chi comanda! proviene da il blog della sicurezza informatica.

Il 9 febbraio avevo cancellato l'account Facebook, il sistema mi aveva detto che per 30 giorni sarebbe stato solo disattivato e che l'eliminazione vera e propria sarebbe avvenuta solo 30 giorni dopo.

Siamo al 30 maggio e il mio account è ancora lì.

Stasera sono nuovamente entrato e ho rifatto la procedura, al termine della quale il sistema mi ha ancora una volta confermato che la mia richiesta di cancellazione era stata ricevuta, che l'account era stato programmato per l'eliminazione ma che per 30 giorni sarebbe stato solo disattivato, casomai avessi cambiato idea.

Qualcuno di voi è riuscito a cancellarsi per davvero?

Nel frattempo ho scritto al Garante per la Privacy segnalando il problema e chiedendo come fare per poter vedere rispettato il mio diritto ad essere rimosso da quel social network.

Ho visto il primo episodio di Adolescence.

Non avrei mai dovuto farlo.

nugole.it/nugoletta/ju/p/17485…

Ju

2025-05-30 05:21:56

Questo è bello.
Storie di Verona: il brigante Falasco.

La torre Falasco è ancora in piedi, costruita in una specie di rientranza - coalo - in una delle molte falesie. Si vede facendo un po' di attenzione quando si risale la Valpantena, è sul lato a sinistra della valle venedo su da Verona.
Nell'articolo dice che s'è perso arrivandoci ma da quel che mi ricordo c'è una stradella abbastanza confortevole che porta su.

larena.it/rubriche/vi-cammino-…

La leggenda del Brigante Falasco. Bello e spietato, era il terrore della valle

I Balladoro, i Leonardi, i Tedeschi, gli Oliboni, i Benella di Laudi, i Rotari, i Padoani, gli Allegri… Perché dal passato riaffiorano... Scopri di più

^{Alessandro Anderloni (L'Arena)}

Io sono un appassionato di linux e del software libero, potremmo dire un entusiasta. Continuerò a consigliarlo a tutti e ad aiutare gli amici ad installarlo quando vogliono provarlo o migliorare la loro vita digitale.

Ma, non per questo, vivo nel mondo delle fate.

Nel caso di questo articolo, mi trovo molto in disaccordo. A differenza di quanto è scritto nel titolo, ci sono pochi software di livello davvero professionale per l'elaborazione video su Linux: Da Vinci Resolve (ammesso di riuscire a farlo funzionare sulla propria distribuzione se NON è Centos o Rocky, dopo l'installazione) e Blender. Il secondo in realtà è più adatto a chi lavora con il 3D. Nel corpo dell'articolo si va un po' meglio, ma tra le righe si leggono dei limiti che purtroppo ha la soluzione proposta.

Poi ci sono tanti (ma tanti) software che vanno bene soltanto per uso casalingo, e ben venga che ci siano, e poi ci sono le vie di mezzo.

KDEnlive e Cinelerra secondo me sono 2 vie di mezzo, ma nell'articolo sembra che KDEnlive sia la soluzione di tutti i mali, e che il "comune sentire" (che sia difficile lavorare con i video su Linux), sia un errore.

(Inkscape non lo affronto neanche, è bello e completo ma le sue potenzialità sono quelle che aveva Adobe Illustrator 15 anni fa; ormai quel modo di lavorare è vecchio. In altre parole un professionista difficilmente lo userà).

Ecco il punto: nel 2025, per me, il punto non è "se" con una distribuzione linux si possa fare qualcosa, ma "in quanto tempo" e "con quale difficoltà".

Se gli sviluppatori non lavorano su questo, non credo che ci sarà mai una vera diffusione di Linux sul desktop.

Per citare un esempio, ormai anche il blocco note di Windows è pieno di IA, mentre Linux è rimasto indietro su questo fronte (e lo dico dopo l'installazione delle componenti di VOSK necessarie per trascrivere sottotitoli su KDEnlive).

Può piacere o no, ma io credo che l'IA sia qui per restare e per semplificarci la vita: ormai l'utente se la aspetta; non si può pretendere che gli utenti sacrifichino il loro tempo in nome di principi che, magari, neanche condividono.

Se ci fate caso, le soluzioni open che sono massicciamente sul mercato funzionano perché vanno meglio delle soluzioni chiuse per...uno scopo particolare, un esigenza. Sono abbastanza vecchio, ad esempio, per ricordare PERCHE' c'è stato un tempo in cui Firefox era IL browser: perché a differenza di Internet Explorer FUNZIONAVA.

Sarò cinico ma alla maggior parte delle perone non importano i principi, se c'è un modo per convincerle definitivamente è dar loro qualcosa di semplice e che funziona meglio dell'alternativa chiusa.

Mi spiace se urto la sensibilità di qualcuno, nel qual caso chiedo scusa. Questo però è il mio pensiero che non ha lo scopo di distruggere nulla, esprimo tutto ciò con malinconia per qualcosa che potrebbe essere ma non è.

Sta alla comunità cogliere il mio ragionamento con lo spirito che vuole avere: costruttivo.

In ogni caso, ecco l'articolo:

ilsoftware.it/focus/linux-non-…

#linux #opensource #foss #nonuccidetemi

Linux non permette di creare contenuti video professionali. Sbagliato! | IlSoftware.it

Come creare video professionali su Linux utilizzando software open source come Kdenlive, OBS Studio e Inkscape.

^{IlSoftware.it}