23
This commit is contained in:
parent
6d432baf56
commit
4207d9ac4c
@ -7,6 +7,7 @@
|
||||
|
||||
|
||||
## 往期内容
|
||||
[#23 文生视频模型 Sora 正式发布](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-23.md)
|
||||
[#22 AI游戏提示词防护被绕过,挑战者获5万美元奖金](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-22.md)
|
||||
[#21 OpenAI前"AGI准备"负责人表示AI即将能够完成在计算机上人类能做的任何事情](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-21.md)
|
||||
[#20 Linus Torvalds 确认俄罗斯维护者被移除](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-20.md)
|
||||
|
||||
@ -16,7 +16,9 @@ permalink: /weekly/2024-22/index.html
|
||||
date: 2024-12-01 14:26:09
|
||||
---
|
||||
{% note success %}
|
||||
👏我们的软件推荐站已经完成了升级,欢迎提交和查看: [Git 仓库](https://git.mei.lv/mei/nav) 目前软件推荐站使用的域名 [aps.icu](https://aps.icu) 很快就会过期,届时会更换新的年抛域名:)
|
||||
👏我们的软件推荐站已经完成了升级,欢迎提交和查看: [Git 仓库](https://git.mei.lv/mei/nav)
|
||||
如果你嫌麻烦,可以向 [i@mei.lv](mailto:i@mei.lv) 投稿
|
||||
目前软件推荐站使用的域名 [aps.icu](https://aps.icu) 很快就会过期,届时会更换新的年抛域名:)
|
||||
目前**仅接受**Gitea上的拉取请求,Gitea会自动将代码改变同步到我们的 [Github仓库](https://github.com/ssdomei232/nav-next) 上
|
||||
(请不要将你的代码放在我的Gitea上,因为这很不可靠,极易丢失😊)
|
||||
{% endnote %}
|
||||
|
||||
@ -1,36 +1,47 @@
|
||||
---
|
||||
title: Linuxcat周刊(第23期)
|
||||
title: Linuxcat周刊(第23期) 文生视频模型 Sora 正式发布
|
||||
tags:
|
||||
-
|
||||
- AI
|
||||
- 恶意程序
|
||||
- 网络安全
|
||||
- 游戏
|
||||
- OpenWRT
|
||||
- WAF
|
||||
- YOLO
|
||||
categories:
|
||||
- Linuxcat周刊
|
||||
index_img: /img/weekly/2024/23/
|
||||
banner_img: /img/weekly/2024/23/
|
||||
index_img: /img/weekly/2024/23/29A8DA3D2A21DE712AA056EEDF44C970.jpg
|
||||
banner_img: /img/weekly/2024/23/29A8DA3D2A21DE712AA056EEDF44C970.jpg
|
||||
permalink: /weekly/2024-23/index.html
|
||||
date: 2024-12-13 14:26:09
|
||||
date: 2024-12-14 16:21:43
|
||||
---
|
||||
{% note success %}
|
||||
👏我们的软件推荐站已经完成了升级,欢迎提交和查看: [Git 仓库](https://git.mei.lv/mei/nav) 目前软件推荐站使用的域名 [aps.icu](https://aps.icu) 很快就会过期,届时会更换新的年抛域名:)
|
||||
👏我们的软件推荐站已经完成了升级,欢迎提交和查看: [Git 仓库](https://git.mei.lv/mei/nav)
|
||||
如果你嫌麻烦,可以向 [i@mei.lv](mailto:i@mei.lv) 投稿
|
||||
目前软件推荐站使用的域名 [aps.icu](https://aps.icu) 很快就会过期,届时会更换新的年抛域名:)
|
||||
目前**仅接受**Gitea上的拉取请求,Gitea会自动将代码改变同步到我们的 [Github仓库](https://github.com/ssdomei232/nav-next) 上
|
||||
(请不要将你的代码放在我的Gitea上,因为这很不可靠,极易丢失😊)
|
||||
{% endnote %}
|
||||
|
||||
## 乐子
|
||||
|
||||
### 1 恶意程序能关闭摄像头 LED 灯悄悄录像
|
||||
### 1 文生视频模型 Sora 正式发布
|
||||
OpenAI发布视频生成模型 Sora,现已脱离研究预览阶段。Sora支持从文本生成逼真视频,最高分辨率1080P,时长达20秒。ChatGPT Plus和Pro用户可在sora.com抢先体验。
|
||||
Sora提供多种功能,包括故事板工具和社区创作分享。Plus用户每月可生成50个480P视频或更少数量的720P视频,Pro用户拥有更多使用额度和更高分辨率。
|
||||
限于服务器压力,目前账号注册已暂停。
|
||||
此前 Sora 因一些纠纷在 Huggingface 上被恶意公开使用约2小时
|
||||
> 消息来源:[OpenAI](https://openai.com/index/sora-is-here) | 科技圈🎗在花频道📮
|
||||
|
||||
### 2 恶意程序能关闭摄像头 LED 灯悄悄录像
|
||||
Linux 安全工程师 Andrey Konovalov 在本月举行的 POC 2024 安全会议上介绍了如何秘密关闭 ThinkPad 摄像头 LED 指示灯的方法。他开发的概念验证程序通过重刷 ThinkPad X230 摄像头的固件去关闭 LED 指示灯,在用户不知情下悄悄摄录像。今天大部分笔记本电脑都提供了摄像头盖子,可以在不使用时盖住摄像头。他的 Lights Out 源代码发布在 GitHub 上。
|
||||
> 消息来源:[Solidot](https://www.solidot.org/story?sid=79921) | [GitHub](https://github.com/xairy/lights-out) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29175)
|
||||
|
||||
### 2 Death Clock应用预测用户的死亡日期
|
||||
### 3 Death Clock应用预测用户的死亡日期
|
||||
Death Clock是一款新的应用,利用人工智能预测用户的死亡日期,并提供延缓死亡的健康建议。据开发者Brett Franson介绍,这款应用基于超过1200项寿命研究训练AI算法,相较于传统的寿命表,预测精度有了“显著”提升。
|
||||
用户需填写年龄、性别、种族等基本信息,以及家族病史、心理健康状况和慢性病等详细问题。应用不仅提供预测日期,还建议改善生活习惯。
|
||||
订阅费用为每年40美元,用户可以获得健康建议,并查看倒计时显示的预估寿命。此外,这一工具对财务规划也有帮助,如金融规划师Ryan Zabrowski指出,精准的死亡预测能帮助退休人群避免“活得比积蓄更久”的风险。
|
||||
> 消息来源:[TechCrunch](https://techcrunch.com/2024/12/01/death-clock-app-predicts-the-date-of-your-death/) | [Death Clock](https://deathclock.co/) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29179)
|
||||
|
||||
### 3 生成式AI或将产生大量电子废弃物
|
||||
中国科学院与剑桥大学、瑞赫曼大学的研究人员联合开展的研究表明,生成式人工智能在未来几年将产生大量电子废弃物。研究预计,2023至2030年间,生成式AI可能产生120万至500万吨电子废弃物,对生态环境和人类健康造成影响。该研究还提出,通过实施循环经济策略,可以减少16%至86%的电子废弃物,推动全球可持续治理。
|
||||
> 消息来源:[IT之家](https://www.ithome.com/0/814/725.htm) | [Nature](https://www.nature.com/articles/s43588-024-00712-6) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29183)
|
||||
|
||||
### 4 网络犯罪分子利用 Cloudflare 平台进行网络钓鱼引发担忧
|
||||
网络犯罪分子日益利用 Cloudflare 的 pages.dev (http://pages.dev/) 和 workers.dev (http://workers.dev/) 域名进行钓鱼和其他恶意活动,借助其良好声誉躲避安全检测。攻击者通过在欺诈性 PDF 或钓鱼邮件中嵌入链接,诱导受害者点击,显著提高了攻击的成功率。
|
||||
数据显示,2024 年利用 Cloudflare Pages 进行钓鱼的事件同比增长 198%,预计全年将超过 1600 起。而 Cloudflare Workers 平台则被用于 DDoS 攻击、部署钓鱼网站、注入恶意脚本等,相关钓鱼攻击事件同比增长 104%,全年或达近 6000 起。
|
||||
@ -58,32 +69,26 @@ DeepMind 表示 Genie 2 可以生成不同视角的连续世界,最长可达
|
||||
HTTP/3使用率达20.5%,恶意邮件平均占比4.3%。攻击目标转向博彩/游戏行业,Log4j漏洞仍是持续威胁。路由安全性和IPv6采用率持续提升。
|
||||
> 消息来源:[Cloudflare博客](https://blog.cloudflare.com/radar-2024-year-in-review/)
|
||||
|
||||
### 9 文生视频模型 Sora 正式发布
|
||||
OpenAI发布视频生成模型 Sora,现已脱离研究预览阶段。Sora支持从文本生成逼真视频,最高分辨率1080P,时长达20秒。ChatGPT Plus和Pro用户可在sora.com抢先体验。
|
||||
Sora提供多种功能,包括故事板工具和社区创作分享。Plus用户每月可生成50个480P视频或更少数量的720P视频,Pro用户拥有更多使用额度和更高分辨率。
|
||||
限于服务器压力,目前账号注册已暂停。
|
||||
此前 Sora 因一些纠纷在 Huggingface 上被恶意公开使用约2小时
|
||||
> 消息来源:[OpenAI](https://openai.com/index/sora-is-here) | 科技圈🎗在花频道📮
|
||||
|
||||
### 10 Web应用防火墙漏洞BreakingWAF危及众多财富1000强公司
|
||||
### 9 Web应用防火墙漏洞BreakingWAF危及众多财富1000强公司
|
||||
网络安全研究团队Zafran发现Web应用防火墙(WAF)服务配置中存在名为“BreakingWAF”的安全漏洞,该漏洞影响Akamai、Cloudflare、Fastly和Imperva等主流WAF提供商。
|
||||
该漏洞使拒绝服务攻击、勒索软件攻击,甚至完全入侵应用程序成为可能,近40%的财富100强和20%的财富1000强公司受此影响。
|
||||
> 消息来源:Cybersecurity News (https://cybersecuritynews.com/waf-vulnerability-in-akamai-cloudflare-and-imperva) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29343)
|
||||
|
||||
|
||||
### 11 OpenWrt固件升级服务器发现严重安全漏洞,官方已紧急修复,建议大家迅速升级
|
||||
### 10 OpenWrt固件升级服务器发现严重安全漏洞,官方已紧急修复,建议大家迅速升级
|
||||
OpenWrt项目团队于12月6日发布安全公告,披露了其固件升级存在严重安全漏洞(CVE-2024-54143)。该漏洞由日本Flatt Security公司安全研究员RyotaK发现并报告。
|
||||
漏洞源于两个关键问题的组合:系统在构建固件时未对用户提供的软件包名称进行适当过滤,导致可能被注入恶意命令;同时,请求哈希机制仅使用SHA-256哈希值的前12个字符,大大降低了安全性,使攻击者可能通过制造哈希碰撞来污染合法固件。
|
||||
这一漏洞可能影响所有使用OpenWrt在线固件升级服务的用户。攻击者无需认证即可利用该漏洞,通过注入命令和制造哈希碰撞,使合法的构建请求收到预先生成的恶意固件以完成入侵。
|
||||
OpenWrt团队在漏洞报告后迅速采取行动,已于12月4日完成修复并部署。检查显示过去七天内未发现被利用痕迹。建议用户及时更新到最新版本以确保系统安全。
|
||||
> 消息来源:[官网安全公告](https://openwrt.org/advisory/2024-12-06) | NIST 漏洞数据库 (https://nvd.nist.gov/vuln/detail/CVE-2024-54143) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29352)
|
||||
|
||||
### 12 CSDN被挂马:CDN疑似成为攻击入口
|
||||
### 11 CSDN被挂马:CDN疑似成为攻击入口
|
||||
奇安信威胁情报中心披露,CSDN网站被恶意组织挂马,攻击者利用潜伏期伪装流量,诱导用户下载恶意程序。攻击行为涉及分析受害设备IP并针对特定行业实施精准攻击,诱导用户执行伪装成更新程序的Payload,从而传播木马和后门程序。本次事件的攻击路径可能源于CDN污染,涉及政府、媒体等多个行业。目前,奇安信已支持对此类攻击的检测和防护。
|
||||
> 消息来源:[奇安信威胁情报中心](https://mp.weixin.qq.com/s/qQw1DXE25Gkz_P8pEPVaHg) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29435)
|
||||
|
||||
### 13
|
||||
|
||||
### 12 著名目标检测算法YOLO的官方库遭到供应链攻击
|
||||
Ultralytics 库发布在 PyPI 的 v8.3.41 版本被发现包含恶意挖矿代码,与 GitHub 仓库代码不一致。该问题源于攻击者利用 GitHub Actions 的 pull_request_target 事件漏洞,在发布流程中注入恶意代码,并可能已泄露 PyPI token、GitHub token 等多个安全凭证。
|
||||
Ultralytics 团队已从 PyPI 移除 v8.3.41 和 v8.3.42 版本,并建议用户卸载并回退至安全的 v8.3.40 版本或从 GitHub 安装。PyPI 最新版本已恢复安全。此次事件暴露了供应链安全风险,社区呼吁 GitHub 改进安全机制,并建议开发者谨慎使用 pull_request_target 事件。
|
||||
> 消息来源: [Github](https://github.com/ultralytics/ultralytics/issues/18027) | [Telegram](https://t.me/zaihuanews/29475?comment=6581285)
|
||||
|
||||
|
||||
|
||||
|
||||
BIN
img/weekly/2024/23/29A8DA3D2A21DE712AA056EEDF44C970.jpg
Normal file
BIN
img/weekly/2024/23/29A8DA3D2A21DE712AA056EEDF44C970.jpg
Normal file
Binary file not shown.
|
After Width: | Height: | Size: 415 KiB |
Loading…
Reference in New Issue
Block a user