mei/weekly
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

update

Browse Source
This commit is contained in:
mei 2024-11-16 11:58:15 +08:00
commit dfcf1af51b
62 changed files with 3678 additions and 0 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

1
Howto.md Normal file
View File

@ -0,0 +1 @@
暂时不支持提交,因为还没想好怎么运营

30
README.md Normal file
View File

@ -0,0 +1,30 @@
# Linuxcat周刊
继Linux中国后,提供不那么及时的Linux,开源,软件,科技相关的新闻摘要
不定时发布
由于部分内容较为敏感,请自行在文件中想办法查看(很简单)
提交和格式请阅读[Howto.md](https://github.com/ssdomei232/Linux-weekly/blob/master/Howto.md)
## 往期内容
[#20 Linus Torvalds 确认俄罗斯维护者被移除](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-20.md)
[#19 苹果研究员质疑大语言模型LLM的推理能力认为其仅是复杂的模式匹配](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-19.md)
[#18 哈佛大学学生改造 Meta 智能眼镜:添加面部识别功能 可联网搜索姓名](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-18.md)
[#17 Docker官方安装脚本以及镜像拉取 已被解封](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-17.md)
[#16 Litespeed Cache 漏洞导致数百万 WordPress 网站暴露在攻击之下](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-16.md)
[#15 开源下载器开发者被跨省,因被用于诈骗](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-15.md)
[#14 0.0.0.0 Day漏洞曝光谷歌、Safari、火狐等主流浏览器面临威胁](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-14.md)
[#13 黑客或正利用 AI 技术窥探电脑屏幕,新模型可利用 HDMI 线盗取信息](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-13.md)
[#12 Crowdstrike 更新导致全球 Windows 大面积蓝屏死机](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-12.md)
[#11 OPENAI 提出人工智能“达到人类智能”的五级标准,自认接近第二级](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-11.md)
[#10 知乎故意使用乱码干扰必应/谷歌等爬虫](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-10.md)
[#9 CSDN旗下的GitCode正在批量搬运Github开源项目并为开发者创建主页](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-9.md)
[#8 在中国访问 Docker 遭中国政府制裁](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-8.md)
[#7 美西两个月后只能绕路而行](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-7.md)
[#6 打爆云账单只需要S3桶名](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-6.md)
[#5 知名NAS系统暗藏后门,官方表示不予修复](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-5.md)
[#4 腾讯云全球性故障 74 分钟](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-4.md)
[#3 OpenAI 宣布用户无需注册账号即可使用 ChatGPT但有部分限制](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-3.md)
[#2024愚人节特刊 清华大学开源软件镜像站推出四种颜色风格](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/Fool.md)
[#2 Linux 压缩工具 XZ 被曝后门](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-2.md)
[#1 Redis开源协议变更,微软开源Garnet替代](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-1.md)

63
docs/2024/2024-1.md Normal file
View File

@ -0,0 +1,63 @@
---
title: Linuxcat周刊(第1期) Redis开源协议变更,微软开源Garnet替代
tags:
- AI
- 网络安全
- Linux
- Redis
- Garnet
- 通信
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/01/00035-262224135.webp
banner_img: /img/weekly/2024/01/00035-262224135.webp
permalink: /weekly/2024-01/index.html
date: 2024-3-24 12:00:00
---
## 1 白宫警告称,“破坏性网络攻击”正针对美国关键水系统进行攻击
拜登政府周二警告美国各州州长他们所在州的饮用水和污水处理设施正面临敌对外国的“禁用性网络攻击”这些外国的目标是关键任务工厂的运营。美国总统国家安全事务助理杰克·沙利文和环境保护署署长迈克尔·S·里根在一封信中提道近期水处理设施遭受的两个由敌对外国支持的黑客组织发起的威胁事件。
一是伊朗政府支持的黑客利用仍在使用公开默认管理员密码的水厂设备,成功使其操作设备失效,信件未明确提及该设施名称但附带的咨询链接将其与去年11月袭击宾夕法尼亚州西部阿利奎帕市市政水务局的事件联系起来。在那次事件中黑客入侵了一台由Unitronics公司制造的可编程逻辑控制器并让设备屏幕显示反以色列的信息。
二是一个由中国政府支持并被追踪名为“Volt Typhoon”的黑客组织已经在美国多个关键基础设施组织内部保持立足点包括通信、能源、交通、以及水和污水处理等领域。
> 消息来源: [arstechnica](https://arstechnica.com/security/2024/03/critical-us-water-systems-face-disabling-cyberattacks-white-house-warns/)
## 2 配置不当的谷歌云数据库泄露计费信息和明文凭据
根据安全研究人员的发现至少有900个基于谷歌云数据库Firebase构建的网站存在配置错误问题这导致凭据、个人信息以及其他敏感数据无意间暴露在公共互联网上。在这批网站中估计至少有12500万条用户记录被公众轻易访问其中包括计费信息和明文密码等敏感内容。
三位渗透测试人员对520万个域名进行了全面搜索最终从超过900个网站中收集到了一批可获取的数据。据统计这批数据共包含近12500万条记录涉及8500万个名字、10600万个电子邮件地址、3400万个电话号码、2000万个密码以及2700万个计费详情。
> 消息来源: [The Register](https://www.theregister.com/2024/03/18/google_firebase_cloud_security/)
## 3 马斯克大模型Grok-1 开源
Grok-1 采用 Apache2.0 宽松协议完全开源可商用Grok-1 的开源模式打破了传统的商业壁垒,让更多人能够参与到 AI 的发展中来。Grok-1 的参数的数量达到了惊人的 3140 亿,它的上下文窗口达到了 8912 个 tokens大约相当于 4000 个汉字,一些技术人员对 314B 参数的 Grok-1 需要的配置表示好奇,根据他们的估算,可能需要一台拥有 628 GB GPU 内存的机器(每个参数 2 字节。这意味着8块 H100每块 80GB的 GPU 就足够了。DeepMind 的研究工程师 Aleksa Gordié 预测Grok-1 的能力应该比 LLaMA-2 要强但目前尚不清楚有多少数据受到了污染。同时Grok-1 和 LLaMA-2 的参数量也不是一个量级。
> 消息来源: 东拼西凑 [搜狐](https://www.sohu.com/a/764930113_639898)[腾讯云开发者社区@Lorin 洛林](https://cloud.tencent.com/developer/article/2397462)
## 4 GPT-5 可能只有几个月的时间了
近日《商业内幕》Business Insider报道指出OpenAI有望于2024年中期发布其下一代主要人工智能模型——GPT-5。一位已经体验过GPT-5演示的CEO表示相较于一年多前发布的GPT-4GPT-5在性能上有显著提升。目前OpenAI仍在对该模型进行训练阶段。在正式公开发布之前GPT-5还将经历严格的安全测试及[红队对抗审查](https://zhuanlan.zhihu.com/p/663337434).
> 消息来源: [The Verge](https://www.theverge.com/2024/3/20/24106580/gpt-5-could-be-just-months-away)
## 5 最新的 SAG-AFTRA AI 合同将配音演员定义为人类
最新版SAG-AFTRA美国演员工会和美国电视与广播艺人联合会关于人工智能的合同明确规定配音演员为人类。据Variety报道在上周五的投票中工会的动画配音演员以95.52%的支持率对4.48%的反对率批准了新合同,这份合同与去年结束演员罢工达成的协议相似,但之前并未包含相同的定义条款。
此次通过的合同自2023年7月1日起生效有效期至2026年6月30日。合同内容包括提高薪酬和对使用 AI 复制配音演员的限制。
> 消息来源: [The Verge](https://www.theverge.com/2024/3/23/24109859/the-latest-sag-aftra-ai-contracts-define-voice-actors-as-human-beings)
## 6 Linux内核6.9版本中对异步进程执行的工作队列进行了“重大且深度”的改动
在Linux内核6.9版本中对于处理异步进程执行的工作队列Workqueue模块进行了“重大且深度”的改动。Tejun Heo在Linux 6.9合并窗口开始阶段提交了所有关于工作队列的修改,并对其做了如下描述:
在Linux v6.6版本周期中未绑定unbound工作队列进行了优化使其更具备拓扑感知能力和灵活性尤其改善了在现代多L3缓存CPU上的工作队列性能。在此过程中通过提交636b927eba5b标题为"workqueue: Make unbound workqueues to use per-cpu pool_workqueues"未绑定工作队列开始使用每个CPU前端的pool_workqueues作为提升前后映射灵活度的一部分。
然而这一改动带来了一个不利的副作用即每CPU的最大并发执行数max concurrency控制导致并发执行总数过大。原先错误地认为由于大多数未绑定工作队列用户会自我调节并发数所以不会产生实际问题但在某些情况下比如IO路径上的工作队列并没有自我调节从而导致并发执行数上限的大幅增加在某些应用场景下引发了明显的性能倒退问题。
> 消息来源: [phoronix](https://www.phoronix.com/news/Linux-6.9-Workqueue)
## 7 中国移动全球首条400G QPSK超长距骨干光链路正式发布
目前中国移动运营着全球最大100G OTN光传送网网络。此次验证的算力网络400G全光网技术是骨干传送网下一代代际演进核心技术可深度满足算力网络对于基础网络高带宽、低时延、灵活调度能力提升需求的关键举措。作为中国移动算力网络创新试验示范网CFITI新技术试验的重要环节之一400G全光网技术攻关及试验目前取得了系列标志性成果。
> 消息来源: [知乎@运营商的秘密](https://zhuanlan.zhihu.com/p/610714150)
## 8 Redis开源协议变更,微软开源Garnet替代
最近Redis修改了开源协议从BSD变成了 SSPLv1和 RSALv2 的双重许可。现在云服务商已经不能再免费使用redis的源代码了.
而微软基于C#开发了Garnet任何一个redis client都可以连接他甚至代码都不需要做任何改动可以做到无感切换最重要的是它是基于mit开源的.
据测试,Garnet一秒八千万级别的读写是基本没有问题的。而redis每秒的基础读写每秒大约几十万.

118
docs/2024/2024-10.md Normal file
View File

@ -0,0 +1,118 @@
---
title: Linuxcat周刊(第10期) 知乎故意使用乱码干扰必应/谷歌等爬虫
tags:
- AI
- Gemini
- 知乎
- 爬虫
- Cloudflare
- 网络安全
- 软盘
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/10/00089-2613878958.webp
banner_img: /img/weekly/2024/10/00089-2613878958.webp
permalink: /weekly/2024-10/index.html
date: 2024-07-05 19:00:00
---
公告: 由于我计划物理迁移一台服务器,本周`*.linuxcat.top`域名大部分将无法访问,本次迁移使用家用轿车,服务器共存储了2.21TB数据,两地相距约30分钟车程,本次迁移等效带宽约为1.26Gbps
## 大事概览
### 1 CentOS Linux 7 生命周期正式结束,将不会获得更新和安全补丁
6月30日消息今天 CentOS Linux 7 生命周期终止 (EOL)使用它的企业或机构必须迁移到新的解决方案才能继续获得更新和安全补丁。CentOS 7 于2014年正式发布最新版本为2020年推出的7.9并于2024年6月30日正式 EOL。此外与 CentOS 7 同源的红帽企业 Linux 7 (RHEL 7) 也于今日进入 EOM 停止维护阶段,企业可通过 ELS 订阅付费获得额外4年的延长支持。
> 消息来源: [IT之家](https://m.ithome.com/html/778650.htm)
### 2 近 20 年来 OpenSSH 的第一个高危 RCE
Qualys 威胁研究部门 TRU 在基于 glibc 的 Linux 系统中的 OpenSSH 服务器 sshd 中发现了一个远程未经身份验证的代码执行 RCE 漏洞。分配给此漏洞的CVE为CVE-2024-6387。
该漏洞是 OpenSSH 服务器 sshd 中的信号处理程序争用条件,允许在基于 glibc 的 Linux 系统上以 root 身份执行未经身份验证的远程代码执行 RCE;这带来了重大的安全风险。此争用条件会影响 sshd 的默认配置。
受影响的版本:
```
version < 4.4p1
8.5p1 <= version < 9.8p1
```
如果 sshd 无法更新或重新编译,请在配置文件中将 LoginGraceTime 设置为 0。这会通过用完所有 MaxStartups 连接将 sshd 暴露在拒绝服务中,但它可以防止远程代码执行风险。
> 消息来源: [Qualys Blog](https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server)
## 乐子
### 1 Gemini 数据分析能力并不像宣称的那么好
谷歌 AI 模型 Gemini 1.5 Pro 和 1.5 Flash 据称能够凭借其“长上下文”完成以前不可能完成的任务,例如总结数百页的文档或搜索电影镜头中的场景。但新的研究表明,这些模型实际上在这些方面并不是很擅长。两项独立研究调查了 Gemini 模型和其他模型如何很好地理解大量数据。两项研究都发现 Gemini 1.5 Pro 和 1.5 Flash 很难正确回答有关大型数据集的问题在一系列基于文档测试中这些模型给出正确答案的概率只有40%到50%。
马萨诸塞大学阿默斯特分校博士后、其中一项研究的合著者 Marzena Karpinska 说:“虽然像 Gemini 1.5 Pro 这样的模型在技术上可以处理长篇上下文,但我们已经看到许多案例表明,这些模型实际上并不‘理解’内容。”
> 消息来源: [Techcrunch](https://techcrunch.com/2024/06/29/geminis-data-analyzing-abilities-arent-as-good-as-google-claims/)
### 2 知乎故意使用乱码干扰必应/谷歌等爬虫
近期有反馈称使用微软必应搜索和谷歌搜索发现存在不少知乎乱码内容,即搜索结果里知乎内容的标题和正文内容都可能是乱码的,但抓取的正文前面一些段落内容可以正常查看。
这种猜测现在基本已经坐实,因为有网友发现只要用户代理字符串 (UserAgent) 中包含爬虫类关键词例如 spider 和 bot那么知乎就会返回乱码内容如果不包含这些关键词则返回正常内容。
值得注意的是百度搜索的爬虫也就是 Baiduspider 也返回乱码内容.
测试中还有个有趣的情况是 OpenAI 的 GPT 爬虫也就是 GPTBot 有时候不会乱码有时候会乱码,不过大多数情况下也都是乱码的,因为 UA 匹配到了关键词 bot 所以返回乱码内容,这不太可能是知乎也允许 OpenAI 抓取内容。
从最开始知乎屏蔽其他搜索引擎只允许百度和搜狗到必应搜索结果里出现乱码内容以及现在的关键词匹配,这些情况基本说明了知乎确实不希望自己的内容被抓取,对知乎来说现有的内容是个巨大的金矿,如果人工智能公司不花钱来买的话那肯定不能提供这些数据,所以接下来可能某个时候就会传出某某公司与知乎达成协议可以获取内容用于 AI 模型训练。
> 消息来源: [蓝点网](https://www.landiannews.com/archives/104695.html)
### 3 bootcdn,staticfile等资源加速CDN遭投毒
据研究人员称,最近通过多个 CDN即 Polyfill.io、BootCDN、Bootcss 和 Staticfile进行的大规模供应链攻击影响了 100,000 到数千万个网站,这些攻击已被追踪到一个共同的运营商。
研究人员发现了一个公共 GitHub 存储库,据称 Polyfill.io 运营商不小心暴露了他们的 Cloudflare 密钥。
通过使用这些泄露的 API 密钥(这些密钥仍然处于活动状态),研究人员能够确定所有四个域以及更广泛的供应链攻击背后都有一个共同的运营商。
此消息可以与第9期的第11条联系起来看
目前部分广告拦截插件已将相关域名加入黑名单,涉及的域名包括:
* bootcdn.net
* bootcss.com
* staticfile.net
* staticfile.org
* unionadjs.com
* xhsbpza.com
* union.macoms.la
* newcropc.com
> 消息来源: [bleepingcomputer](https://www.bleepingcomputer.com/news/security/polyfillio-bootcdn-bootcss-staticfile-attack-traced-to-1-operator/)
### 4 英国 ISP 今年前六个月封锁了七千多个盗版网站
2024年上半年英国领先的互联网服务提供商必须封锁至少7,000个域名和子域名以防止用户访问盗版网站。大部分封锁活动旨在打击提供体育直播和其他直播的盗版 IPTV 服务。与前几年一样音乐、电影和出版行业继续实施封锁计划。下个月将是英国第一条网站屏蔽禁令颁布13周年。好莱坞各大电影公司针对 Usenet 索引网站 Newzbin 采取的行动,导致 ISP 英国电信被勒令屏蔽该服务。这仅仅是个开始如今在大多数情况下包括英国电信、Virgin Media 和 Sky 在内的英国主要 ISP 都支持网站屏蔽请求,并且尽管复杂性日益增加,但还是乐意执行。
> 消息来源: [Torrentfreak](https://torrentfreak.com/uk-isps-blocked-7000-piracy-domains-in-the-first-six-months-of-2024-240701/)
### 5 阿里云上海可用区N网络故障,疑似绝区零玩家过于热情
北京时间2024年07月02日10:04,阿里云上海可用区N网络访问出现异常,影响较大的应用为Bilibili的视频评论区和用户主页无法加载以及酷安主页无法加载,有人猜测此次故障可能是因为米哈游新游戏绝区零玩家过于热情导致的.
3日消息,在哔哩哔哩上有人发布有关光缆被挖断的动态和视频
### 6 马斯克xAI训练Grok-3大模型用了10万块英伟达H100芯片
马斯克表示,训练人工智能聊天机器人需要数据集,而且从现有数据中清除大型语言模型 (LMM) 的工作量很大。xAI 的 Grok-3 用了10万块英伟达 H100 芯片进行训练,相信它会“非常特别”。
> 消息来源: [马斯克](https://x.com/elonmusk/status/1807643760584708363)
### 7 OPENAI 的 ChatGPT Mac 应用以纯文本形式保存对话 存在隐私风险
直到周五OpenAI 最近推出的 macOS 版 ChatGPT 应用程序还存在一个潜在的令人担忧的安全问题:应用将所有对话以纯文本形式存储,可能会暴露用户的敏感数据。开发者 Pedro Vieito 在 Threads 上指出Mac 版 ChatGPT 应用并未使用 macOS 的标准沙盒系统。通过查看应用存储的偏好设定和缓存文件Vieito 发现所有在应用中登记的对话都以纯文本形式保存任何人都可以轻易访问这些数据。OpenAI 发言人表示:“我们已经意识到了这个问题,并发布了一个新版本的应用,可以加密这些对话。”“我们致力于提供有益的用户体验,同时在我们的技术不断发展的同时保持我们的高安全标准。”
> 消息来源: [流动日报](https://www.newmobilelife.com/2024/07/04/macos-chatgpt-plain-text-to-save-data/)、[TheVerge](https://www.theverge.com/2024/7/3/24191636/openai-chatgpt-mac-app-conversations-plain-text)
### 8 Cloudflare 推出阻止人工智能机器人的工具
云服务提供商 Cloudflare 推出了一款新的免费工具,以防止机器人抓取其平台上托管的网站数据来训练人工智能模型。要启用,只需导航到 Cloudflare 仪表板的“安全性”>“自动程序”打开“AI 爬虫程序和爬网程序”选项。该公司表示“客户不希望人工智能机器人访问他们的网站尤其是那些不诚实的机器人”为了解决规避检测问题Cloudflare 分析了人工智能机器人和爬虫流量,以微调自动机器人检测模型。除其他因素外,模型还考虑了人工智能机器人是否会通过模仿使用网络浏览器的用户行为来试图逃避检测。
> 消息来源: [TechCrunch](https://techcrunch.com/2024/07/03/cloudflare-launches-a-tool-to-combat-ai-bots/)、[Cloudflare](https://blog.cloudflare.com/declaring-your-aindependence-block-ai-bots-scrapers-and-crawlers-with-a-single-click)
### 9 超快网络流算法问世,或将改变整个网络流算法研究领域
瑞士苏黎世联邦理工学院的研究人员开发了一种超快算法,即网络流算法。该算法成功解决了在网络中实现最大流量的同时最大限度降低传输成本的问题。这种超快计算能力是研究高度复杂、数据丰富、动态且快速变化的网络(例如生物学中的分子网络或大脑网络)的重要环节。
新算法能为任何类型的网络(包括铁路、公路、水上交通和互联网)计算出最佳且最低成本的交通流量方案。其执行计算的速度极快,几乎在计算机读取描述网络数据的瞬间就能提供解决方案。
> 消息来源: [新华网](http://www.news.cn/tech/20240703/8044885643eb4f508990fd24309fc7a8/c.html)
### 10 巴西禁止 Meta 挖掘数据以训练 AI 模型
巴西国家数据保护机构当地时间周二决定Instagram 和 Facebook 的母公司 Meta 不能使用来自该国的数据来训练其人工智能。Meta 更新后的隐私政策允许该公司将人们的公开帖子输入其人工智能系统。然而这种做法在巴西是不允许的。该机构在国家官方公报中表示这一决定源于受影响数据主体的基本权利面临严重、无法挽回或难以修复的损害的迫在眉睫的风险。Meta 的发言人在一份声明中表示,公司对此感到失望,并坚称其方法符合巴西的隐私法律法规。这家社交媒体公司在欧洲的隐私政策更新也遭遇了阻力,该公司最近搁置了原定于上周开始的将公开帖子输入人工智能训练系统的计划。
> 消息来源: [美联社](https://apnews.com/article/brazil-tech-meta-privacy-data-93e00b2e0e26f7cc98795dd052aea8e1)
### 11 日本宣布废除政府所有使用软盘的规定
7月3日消息软盘鼎盛时期二十年后日本政府终于在所有系统中废除了软盘的使用。上个月中旬日本数字化厅已经废除了所有1,034项软盘使用法规但有关汽车回收的环境法规除外。一直倡导淘汰政府部门传真机等模拟技术的日本数字化大臣河野太郎在3日的声明中表示“6月28日我们赢得了与软盘的战斗。”数字化厅是在2021年新冠疫情期间成立的。急于在全国范围内开展检测和疫苗接种将政府仍然依赖纸质备案和过时的技术暴露出来。
> 消息来源: [Arabnews.jp](https://www.arabnews.jp/article/business/article_123307/)
### 12 俄罗斯黑客曝光1.5TB角川集团数据,涉及实况主及合作者个人信息
角川集团及其相关网站自6月初起瘫痪至今包括知名的niconico动画在内均无法使用。6月27日俄罗斯黑客组织“BlackSuit”声称对这一事件负责并表示已获取角川集团资料计划自7月1日起逐步公开这些机密。6月28日该组织首次泄露部分公司信息。随后7月2日再次宣称进一步泄露了公司的信息涉及niconico动画合作实况主、声优、超会议活动合作客户等
目前公开的资料约有100GB**涵盖角川集团教育机构师生信息、旗下多玩国员工信息以及niconico动画合作演出者和实况主的详细信息包括地址和驾照照片等。**
角川集团强调,用户的信用卡信息并未在内部存储,因此不存在从公司泄露的风险。同时,警告用户不要访问攻击者所提供的网站或下载数据文件,以避免恶意软件感染。此外,呼吁公众不要通过社交媒体分享相关数据,以免个人信息泄露并造成严重影响。
目前角川集团正在调查这些声明的真实性预计需要一段时间来验证。公司表示将尽全力尽快确认事实并计划在7月内获得外部调查机构的结果。一旦调查结果确定将立即向公众报告。同时角川集团已向警方和相关当局报告此事件并正在接受调查。尽管公司业务受到一定影响但将坚定应对此类犯罪行为。公司还将进一步调查事件原因并加强信息安全措施以防止类似事件再次发生。
> 消息来源: [Yahoo新闻](https://tw.news.yahoo.com/%E4%BF%84%E7%BE%85%E6%96%AF%E9%A7%AD%E5%AE%A2%E7%9B%9C%E5%8F%96%E8%A7%92%E5%B7%9D%E9%9B%86%E5%9C%98%E8%B3%87%E6%96%99%E9%96%8B%E5%A7%8B%E6%B5%81%E5%87%BA%EF%BC%8C15tb%E5%8C%85%E5%90%AB%E5%AF%A6%E6%B3%81%E4%B8%BB%E8%88%87%E5%90%88%E4%BD%9C%E8%80%85%E5%80%8B%E8%B3%87%E5%85%A8%E5%85%AC%E9%96%8B-015855187.html) / [游民星空](https://wap.gamersky.com/news/Content-1782019.html) / KADOKAWA / [X](https://x.com/KANE_NAO/status/1807899875323138460/photo/)
### 13 Cloudflare Workers 反向代理存在封号隐患
近日,有数名 Nodeseek 论坛的网友发帖称自己的 CF 账号被封,引发关注。据了解,这些用户被封多数与使用 Workers 反向代理有关。反代其它网站,尤其是知名网站可能会被认为是仿冒欺诈行为。
部分网友认为封号是 Netcraft 投诉引起的。这是一个网络犯罪打击服务,在 Netcraft 的嗅探器发现“欺诈网站”后会自动向 Cloudflare 投诉举报,进而导致封号。
因为反向代理被 Netcraft 投诉封号的情况一直存在。近期,由于中国大陆陆续关停了 Dockerhub 镜像站点,许多人通过 CF 来反向代理 Dockerhub可能是引发更多误判封号事件的原因之一。OneDrive 和 GitHub 也是最常被反代的服务,同样是封号的重要因素。
7月4日: **Cloudflare 承认误删了部分合法帐户,现已采取恢复和补偿措施**
Cloudflare 通过邮件告知部分受影响的用户,该公司在打击一组滥用账户时“无意中删除了少数合法帐户”,在发现这个错误后已着手恢复这些账号。
根据 NS 论坛中用户的反馈,一部分被误伤者实际已使用原邮箱重新注册了新号,有人在收到邮件后删除了新账号,使旧账号得以恢复,但原有设置不全。
Cloudflare 表示“将向受影响的付费客户提供帐户信用额度”。如果用户发现帐户存在任何问题,可以通过支持门户 (https://dash.cloudflare.com/?to=/:account/support)提交工单。
近日,一些使用反向代理的用户遭到封号,使人一度怀疑是因为反代触发仿冒欺诈投诉引起的。
> 消息来源: [VPS信号旗播报](https://t.me/vps_xhq)

166
docs/2024/2024-11.md Normal file
View File

@ -0,0 +1,166 @@
---
title: Linuxcat周刊(第11期) OPENAI 提出人工智能“达到人类智能”的五级标准,自认接近第二级
tags:
- Apple
- 支付宝
- 网络安全
- 盗版
- VMware
- OpenAI
- AI
- 比特币
- 通信
- Google
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/11/00090-1019684102.webp
banner_img: /img/weekly/2024/11/00090-1019684102.webp
permalink: /weekly/2024-11/index.html
date: 2024-07-12 19:00:00
---
公告: 下周去西安玩,停更一次
## 乐子
### 1 搭载 Apple Intelligence 的全新 Siri 体验可能于2025年春季亮相
彭博社的马克·古尔曼称,苹果新版 Siri 不太可能会随着 Apple Intelligence 在今年晚些时候同步推出。古尔曼表示,完整版 Siri 应该会在2025年春季随 iOS 18.4 一起推出,此前的 Beta 测试期将于1月份开始。功能更强大的 Siri 版本允许语音助手控制应用内的操作,使其能够理解屏幕上当前的内容并根据上下文确定要执行的操作。虽然完整版本的新版 Siri 不会在今年推出,但其他 Siri 新功能,例如新设计和 ChatGPT 集成,应该会在今年秋季 Apple Intelligence 首次亮相时出现。
> 消息来源: [The Verge](https://www.theverge.com/2024/7/7/24193619/apple-intelligence-better-siri-ios-18-4-spring-public-launch)
### 2 支付宝升级条码支付,推出“支付宝碰一下”
7月8日在支付宝开放日上支付宝宣布升级条码支付体验推出“支付宝碰一下”用户无需展示付款码解锁手机碰一下商家收款设备最快一步完成支付。据介绍“碰一下”和“扫一下”都属于条码支付。区别在于“扫一下”使用了手机上的显示屏和摄像头“碰一下”使用了手机上的近场通信技术在使用上述传感器完成交互后支付在网络端完成两者具有同等安全性。
> 消息来源: [界面新闻](https://www.jiemian.com/article/11385304.html)
### 3 绿联私有云NAS存在中间人攻击风险,官方泛域名证书可被下载
绿联私有云NAS的官方域名ugnas.cloud的泛域名证书存在安全漏洞允许用户直接下载包含证书和私钥。这可能导致中间人攻击影响用户信息安全。用户建议绿联吊销该证书并重新签发。
在视频评论区下,作者表示在之前的体验版中, `*.ugnas.com` 证书也可以被下载,不过已于 2024/6/25 过期,目前绿联称已吊销受影响的证书
省流:所有绿联云用户共用一个证书和私钥,开创了证书互联、私钥共享的新时代
在与当事人在某个不知名小群中沟通得知,抠搜的绿联并没有送出小礼品
> 消息来源: [BiliBili](https://www.bilibili.com/video/BV1xT421Y7aA/) , 搬砖狐体验馆
### 4 热门动漫盗版网站 Animeflix 主动关闭
热门动漫盗版网站 Animeflix 在没有事先预告就关闭了。该网站的运营商没有提及关闭的原因但表示该决定是经过“深思熟虑”后做出的。该网站近几个月面临相当大的法律压力这可能是关闭的一个动机。Animeflix 每月访问量达数千万是最受欢迎的动漫盗版门户网站之一。Animeflix 网站去年12月被反盗版联盟 ACE 列为关闭目标之一。目前尚不清楚这些早期执法行动是否是导致该网站关闭的原因。网站在公告中说:“我们怀着沉重的心情宣布关闭 Animeflix。经过深思熟虑我们决定立即关闭我们的服务。我们非常感谢大家多年来的支持和热情。”
> 消息来源: [Torrentfreak](https://torrentfreak.com/popular-pirate-site-animeflix-shuts-down-voluntarily-240705/)
### 5 博通宣布VMware ESXi后续用户界面/支持文档/客户支持不再支持简体中文等语言
6 月底博通旗下虚拟化软件 VMware ESXi 8.0 Update 3 版发布此次更新博通在支持文档中提到将减少支持本地化语言的数量后续支持本地化语言只有法语、日语和西班牙语。VMware ESXi 默认情况下是以英语提供的,此前支持还支持简体中文、繁体中文、意大利语、德语、韩语和葡萄牙语 (巴西),现在这些语音都已经被放弃支持。博通在支持文档中称,后续 VMware ESXi 用户界面、帮助文档和客户支持都仅提供英语版或法语、日语、西班牙语支持,其他语言都将不再支持。
> 消息来源: [蓝点网](https://www.landiannews.com/archives/104793.html?utm_sources=ourl.co&utm_medium=social&utm_campaign=none)
### 6 网易游戏进入暑假模式未成年每周玩3小时封顶人脸验证再升级
随着暑期的到来未成年人触网或将迎来高峰。近日网易游戏发布“2024年暑期未成年人游戏限玩日历”在暑假期间未成年人游戏时间将严格遵守国家相关规定只能在周五、周六、周日晚间20时-21时进行游戏。这表明即使在假期期间未成年人的游戏时间也需要严格限制每周仅允许玩3小时。未成年人在暑假两个月的时间里最多可玩游戏时间为23小时。家长还可以通过“网易未成年人护航平台”实时查看、管理孩子的游戏时长和游戏消费并可设置“一键禁玩”、“一键禁充”等功能实现对未成年人游戏行为的精准管控。
> 消息来源: [界面新闻](https://www.jiemian.com/article/11364343.html)
### 7 OPENAI要求纽约时报证明版权文章原创性
人工智能公司 OpenAI 想知道纽约时报的文章在多大程度上是“原创”的并且值得版权保护。该公司正在寻求记者的原始材料,以协助其应对该报先前提出的数百万美元的版权侵权索赔。纽约时报对此和其他信息请求表示反对,认为 OpenAI 的做法过于宽泛可能会产生寒蝉效应。OpenAI 表示,“来源”信息将有助于确定文章的哪些部分是“原创”的、值得版权保护,这可能有助于其反驳版权侵权索赔。在回应强制动议时,纽约时报明确表示公司无意屈服。强调无论其文章是否包含第三方资料,都受版权保护。“此外,即使在记者笔记中显示一篇文章 90% 的内容都是对作者原始来源的逐字引用,这种可能性很小,但这篇文章仍然受版权保护。”
> 消息来源: [Torrentfreak](https://torrentfreak.com/openai-wants-new-york-times-to-show-how-original-its-copyrighted-articles-are-240704/)
### 8 黑客窃取了 OpenAI 机密技术细节
2023 年初,一名黑客入侵了 OpenAI 的内部消息系统窃取了有关该公司人工智能技术的设计细节。公司高管于4月向员工披露了该事件并通知了董事会但没有向公众或执法部门透露。这名黑客窃取了一个在线论坛的讨论细节而这正是 OpenAI 员工讨论最新技术的地方。不过黑客并没有进入该公司存储和构建人工智能的系统。
提供这一信息的两位消息人士称OpenAI 的一些员工曾表示担心,此类攻击可能会被一些中国等对手国家用来窃取人工智能技术,这可能会危及美国的国家安全。在得知这一事件后,一些员工还对公司对安全问题的重视程度提出了质疑。据说,员工之间对人工智能的风险也出现了分歧。
> 消息来源: [纽约时报](https://www.nytimes.com/2024/07/04/technology/openai-hack.html)
### 9 众多比特币矿场纷纷转向 AI
过去几个月,主要比特币矿场更换了部分矿机,改用运行和训练 AI 的设备。这些公司认为相比剧烈波动的加密货币行业AI 训练能提供更稳定更安全的收入来源。摩根大通报告称此举受到了股民们的欢迎14 家比特币公司市值上涨了 22%。比特币挖矿利润丰厚但波动性巨大2022 年 Sam Bankman-Fried 和 Do Kwon 等人导致了市场崩溃很多矿场因此关闭。幸存的矿场在今年重新获得了利润但因为挖矿回报减半而币值并没有因此出现大幅上涨迫使矿场们寻求商业模式多元化AI 训练成为榜单上的头号目标。AI 公司需要庞大的场地、廉价的能源和基础设施,而这些比特币矿场都有。它们向 AI 公司出租了场地,托管 GPU 和 ASIC 等 AI 训练芯片。
> 消息来源: [Solidot](https://www.solidot.org/story?sid=78629)
### 10 微软要求中国员工从9月起仅使用iPhone进行工作以提高网络安全
微软公司要求中国员工自9月起使用iPhone验证身份以登录办公电脑或手机。该措施旨在确保所有员工使用微软Authenticator和Identity Pass应用。由于Google Play在中国不可用微软将阻止Android设备访问其公司资源。使用Android设备的员工将获得一部iPhone 15。
微软在受到多次国家支持的黑客攻击后,一直在全球范围内加强安全性。微软曾表示,将更快解决云漏洞,使黑客更难窃取凭证,并对员工采取多因素的身份验证。
> 消息来源: [彭博社](https://www.bloomberg.com/news/articles/2024-07-08/microsoft-orders-china-staff-to-switch-from-android-phones-to-iphones-for-work)
### 11 Java之父James Gosling宣布退休
James Gosling被誉为Java编程语言之父的加拿大计算机科学家在LinkedIn上宣布了自己退休的消息。他在Sun 公司工作期间主导了Java语言的设计和开发并因此获得了美国国家工程院外籍院士的荣誉。尽管Java在2023年的GitHub年度报告中被TypeScript超越但Java的地位依然牢固。Gosling表示他在亚马逊的7年工作经历非常美好并期待退休后能够享受更多的个人时间完成一系列副业。
> 消息来源: [IT之家](https://www.ithome.com/0/780/442.htm)
### 12 北约或通过将互联网重新定向到太空来防范海底攻击
北约正在研究如何防止欧洲海域的海底电缆在遭到攻击时无法运行的情况出现。研究人员表示希望当遭到人为破坏或自然灾害时,互联网流量可从海底电缆流畅地切换到卫星系统。
北约目前已经批准了高达433,600美元的拨款用于这个价值2.5百万美元的项目根据彭博社所见的文件显示研究机构还提供了实物贡献。该计划的顾问和项目经理Eyup Kuntay Turmus通过电子邮件确认该项目最近已经获得批准并表示将会“很快”实施。这个尚未公开宣布的计划是在日益加剧的担忧之下推出的担忧某些国家可能会在军事行动期间破坏、切断或干扰海底电缆以破坏互联网通信。
根据北约的说法每天通过海底电缆传输的数据价值约为10万亿美元几乎所有北约的互联网流量都通过这些电缆传输。因此北约在过去几个月加大了保护电缆的努力。
> 消息来源: [Slashdot](https://tech.slashdot.org/story/24/07/08/1824220/nato-backs-effort-to-save-internet-by-rerouting-to-space-in-event-of-subsea-attacks?utm_source=rss1.0mainlinkanon&utm_medium=feed)
### 13 中国安全专家称泄露的美国F-35和F-15文件似乎是真实的
“我们下载并检查了这些文件,其中大部分内容似乎都是高度真实的,”总部位于北京的防病毒和网络安全公司瑞星信息技术公司的首席营销官说。
中国航空博主马卡耶夫在他的视频频道上表示泄密事件分为三类。第一种类型包括F-15SA的飞行手册维护手册和机组人员武器交付手册该版本在十多年前出售给沙特阿拉伯。
这些泄漏事件在军事爱好者社区中引发了轰动,并引发了 现在大伙有能力在车库里制造战斗机的笑话。
> 消息来源: [南华早报](https://www.scmp.com/news/china/science/article/3269726/leaked-american-f-35-and-f-15-documents-appear-authentic-says-chinese-security-expert?utm_source=rss_feed)
### 14 谷歌开放“暗网报告”功能:网罗安全事件、通知用户信息泄露
谷歌公司今天宣布将于本月底向所有谷歌账号用户开放“暗网报告”功能,帮助用户更快了解网络上发生的个人数据泄露事件。
谷歌用户登录账号之后可以打开“关于你的结果”Results about you页面查找近期信息泄露事件中是否包含你的个人信息。
> 消息来源: [IT之家](https://www.ithome.com/0/780/756.htm)
### 15 谷歌在Chromium中预留私有API以读取更多PC硬件信息
谷歌在Chromium开源项目中预留了私有API允许谷歌网站读取PC的CPU/GPU使用率、内存使用率等硬件信息。这些API仅对谷歌主域名开放可能违反了欧盟的数字市场法案DMA并可能构成不公平竞争。例如Google Meet可以利用这些信息优化视频会议性能而竞争对手如Zoom则无法获取同样级别的硬件信息。
此外这些API通过一个Chrome扩展程序实现用户无法禁用或在扩展管理页面中找到。Microsoft Edge和Brave浏览器也被发现内置了该扩展程序。目前尚不清楚谷歌是否会更新Chrome以允许用户禁用此扩展。
> 消息来源: [X](https://x.com/lcasdev/status/1810696257137959018)
### 16 PCDN玩家为平衡上下行流量导致众多网站流量被盗刷
近期IT圈发生了一起大规模的流量盗刷事件许多程序员博主的网站遭到恶意攻击导致大量流量费损失。攻击者主要来自山西地区作案时间集中在晚上7点持续数小时后停止。初步分析攻击可能与省间结算、PCDN技术滥用有关攻击者通过刷下载流量来平衡上传/下载比例,避免被运营商发现。
> 消息来源: [程序员鱼皮](https://mp.weixin.qq.com/s/XZMLMqgF_gv_QNNrfHvoPQ)
### 17 宝塔面板在网站404错误页面中添加广告 疑似网站自行设置的错误页被顶替
宝塔面板被发现会在网站的404错误页面中插入广告替换网站管理员设置的自定义错误页。该广告内容包括链接到宝塔官网且暂时无法禁用。
蓝点网推测此操作可能在宝塔Nginx防火墙中进行目前只有部分网站受到影响。
此操作也会影响服务器安全性,攻击者知道网站服务器使用宝塔面板后可以缩小攻击范围,寻找宝塔存在的漏洞展开攻击。
> 消息来源: [蓝洛水深](https://blog.lanluo.cn/12944) | [蓝点网](https://www.landiannews.com/archives/104883.html)
### 18 中国工业和信息化部批复多个地区设立新的国际通信业务出入口局
工业和信息化部10日召开国际通信业务出入口局工作座谈会向中国电信、中国移动、中国联通颁发许可批复在广西南宁、山东青岛、云南昆明、海南海口设立国际通信业务出入口局。
国际通信出入口局分为国际通信信道出入口、国际通信业务出入口和边境地区国际通信出入口。国际通信信道出入口,是指国内通信传输信道与国际通信传输信道之间的转接点。边境地区国际通信出入口,是指利用国内交换机与境外接壤地区的通信网络开通的国际直达电路。
> 消息来源: [新华网](http://www.news.cn/20240710/7f1b53f4915348b0808d9fba86504dcd/c.html) [政府网](https://www.gov.cn/zhengce/2022-08/23/content_5722724.htm)
### 19 苹果和谷歌联合推出新工具方便用户将谷歌相册数据转移到iCloud照片
这项服务是数据传输项目Data Transfer Project的一部分是一个专注于不同在线平台间数据可移植性的开源倡议。从谷歌相册到iCloud照片的数据迁移服务将在未来一周内推出。苹果表示该服务将在世界超过240个国家和地区提供但不适用于儿童账户或管理的Apple ID账户在启用高级数据保护时也不能导入照片和视频数据。
> 消息来源: [9to5Mac](https://9to5mac.com/2024/07/10/transfer-from-google-photos-to-icloud-photos/)
### 20 特斯拉FSD被指特别优化CEO马斯克和网红的常用路线
特斯拉内部人士爆料称FSD对CEO埃隆・马斯克的常用路线及一些FSD内容创作者的拍摄路线进行了特别优化。
Business Insider采访了多位特斯拉员工他们透露马斯克所驾驶车辆的图像和视频数据受到特别细致的审查而网红提供的数据在识别和解决FSD软件问题时也获得了优先处理。这导致马斯克和这些内容创作者在他们经常行驶的路线上享有更流畅的自动驾驶体验。特斯拉建立了一个系统优先处理“VIP”用户的数据这些用户通常是在网上分享FSD体验的内容创作者。
> 消息来源: [新浪科技](https://weibo.com/1642634100/5054650881677035)
### 21 两部门将组织选取部分区域开展“网络去NAT”试点 进一步深化IPv6部署应用
工业和信息化部办公厅、中央网信办秘书局发布关于开展“网络去NAT”专项工作 进一步深化IPv6部署应用的通知。基础电信企业要认真摸排NAT44设备部署应用情况并建立NAT44设备信息台账制定“网络去NAT”工作方案和时间表有序推进全网NAT44设备使用规模逐步降低。工业和信息化部、中央网信办将组织选取部分区域开展“网络去NAT”试点到2025年7月底前实现试点区域基础电信企业NAT44设备总容量停止增长主要移动互联网应用APP固网侧IPv6流量占比不低于70%。基础电信企业要增加IPv6互联网专线产品供给新增互联网专线默认开通IPv6功能。要加快实施家庭网关IPv6地址前缀二次分发功能升级。到2024年底基础电信企业自有环境固定宽带用户IPv6连通率不低于80%。终端设备制造企业要严格落实无线电发射设备型号核准有关通知要求。各省区、市有关部门要推动属地终端设备制造企业加快存量家庭无线路由器IPv6功能升级。
2025年末全面建成领先的IPv6技术、产业、设施、应用和安全体系我国IPv6网络规模、用户规模、流量规模位居世界第一位。网络、平台、应用、终端及各行业全面支持IPv6新增网站及应用、网络及应用基础设施规模部署IPv6单栈形成创新引领、高效协同的自驱性发展态势。IPv6活跃用户数达到8亿物联网IPv6连接数达到4亿。移动网络IPv6流量占比达到70%城域网IPv6流量占比达到20%。县级以上政府网站、国内主要商业网站及移动互联网应用全面支持IPv6。我国成为全球“IPv6”技术和产业创新的重要推动力量网络信息技术自主创新能力显著增强。
之后再用五年左右时间完成向IPv6单栈的演进过渡IPv6与经济社会各行业各部门全面深度融合应用。我国成为全球互联网技术创新、产业发展、设施建设、应用服务、安全保障、网络治理等领域的重要力量。
> 消息来源: 格隆汇
### 22 Android Lollipop 的 Google Play 服务更新结束
谷歌宣布停止为 Android Lollipop 设备提供 Google Play 服务更新。Android 5.0 于2014年11月发布稳定版。当活跃设备数量较低时谷歌会停止为某个 Android 版本更新 Play 服务,目前 Lollipop (API 级别 21 和 22) 的活跃设备占比不到 1%。停止支持可以让公司专注于硬件性能更强大和支持现代功能的更新操作系统的设备。随着 Google Play 服务更新的结束Android Lollipop 设备将继续运行,但“不会收到任何新功能、重要的安全更新,并且可能与依赖 Google 服务的某些应用不兼容”。
> 消息来源: [9to5Google](https://9to5google.com/2024/07/11/android-lollipop-google-play-services/)
### 23 OPENAI 提出人工智能“达到人类智能”的五级标准,自认接近第二级
当地时间7月11日OpenAI 提出了一套衡量人工智能达到并超越人类问题解决能力的五级标准。该公司计划与投资者和公司外部人士分享这套标准,其范围包括从目前可以与人进行语言交互的人工智能 (1级) 到可以完成组织工作的人工智能 (5级)。OpenAI 发言人称OpenAI 的高管告诉员工,该公司自认为目前处于第一级,但即将达到第二级,公司称之为“推理者” (Reasoners),其能力不亚于一个受过博士级教育但无法使用任何工具的人类。
> 消息来源: [界面新闻](https://www.jiemian.com/article/11407753.html)、[彭博社](https://www.bloomberg.com/news/articles/2024-07-11/openai-sets-levels-to-track-progress-toward-superintelligent-ai)
### 24 谷歌 DeepMind 正在使用 Gemini 来训练机器人使其变得更聪明
谷歌正在使用 Gemini AI 训练其机器人以便它们能够更好地导航和完成任务DeepMind 机器人团队在一篇新的研究论文中解释了如何使用 Gemini 1.5 Pro 的长上下文窗口,让用户可以使用自然语言指令更轻松地与其 RT-2 机器人进行交互。
其工作原理是拍摄指定区域的视频,研究人员使用 Gemini 1.5 Pro 让机器人“观看”视频以了解环境,然后机器人可以根据情况执行命令。 DeepMind 表示其 Gemini 驱动的机器人在超过 50 个任务中的成功率高达 90%。研究人员还发现“初步证据”表明Gemini 使其机器人能够计划如何执行导航以外的指令例如当办公桌上有很多可乐罐的用户询问机器人“是否有他们最喜欢的饮料”时Gemini 就会知道“机器人应该导航到冰箱检查是否有可乐然后返回给用户报告结果。”DeepMind 表示计划进一步调查这些结果。
> 消息来源: [The Verge](https://www.theverge.com/2024/7/11/24196402/google-deepmind-gemini-1-5-pro-robot-navigation)[arxiv](https://arxiv.org/html/2407.07775v1)
## 推荐阅读
### 1 如何管理 Linux 存储(英文)
本文演示了如何添加和标识存储空间,包括分区和安装文件系统。它还显示了调查驱动器空间利用率所需的命令。
[跳转链接-How to Manage Linux Storage](https://thenewstack.io/how-to-manage-linux-storage/)
### 2 为什么 Ruby on Rails 仍然值得您作为开发人员使用(英文)
你可能会做得比用 Ruby on Rails 开始你的全栈生活更糟糕——并不是所有的东西都需要 JavaScript 驱动。
[跳转链接-Why Ruby on Rails Is Still Worth Your While as a Developer](https://thenewstack.io/why-ruby-on-rails-is-still-worth-your-while-as-a-developer/)

192
docs/2024/2024-12.md Normal file
View File

@ -0,0 +1,192 @@
---
title: Linuxcat周刊(第12期) Crowdstrike 更新导致全球 Windows 大面积蓝屏死机
tags:
- Windows
- Crowdstrike
- 网络安全
- Apple
- 通信
- deepin
- Cloudflare
- ChatGPT
- OpenAI
- Starlink
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/12/00098-3723763895.webp
banner_img: /img/weekly/2024/12/00098-3723763895.webp
permalink: /weekly/2024-12/index.html
date: 2024-07-28 19:00:00
---
## 乐子
### 1 Crowdstrike 更新导致全球 Windows 大面积蓝屏死机
[外媒报道称](https://www.timesnownews.com/technology-science/latest-crowdstrike-update-causes-blue-screen-of-death-on-microsoft-windows-multiple-users-affected-article-111854018),许多 Windows 用户在最近的 CrowdStrike 更新后遇到了蓝屏死机 (BSOD) 错误。
该问题似乎很普遍,影响运行不同 CrowdStrike 版本的机器。在社交媒体上,全球不同地区的用户纷纷在抱怨这个突如其来的蓝屏死机错误。
据逆向显示,这次的问题来源于一个野指针.
补充: 网上流传的第一天入职就被开的那哥们的图是假的,头上都没P干净
> 消息来源: [OSCHINA](https://www.oschina.net/news/302903/latest-crowdstrike-update-causes-blue-screen-of-death-on-windows),[epcdiy](https://www.bilibili.com/video/BV1fZ421N76L/)
### 2 十堰机房解除限价,移动方向疯狂波动
7月22日,有确切消息表示十堰机房解除了限价,在此之前,云服务器业务一直被限价单台最低50元,在解除限价后,可能由于客户的疯狂购买(十堰电信防御600G,确实很吸引人),移动方向的网络出现波动,目前尚未解除,请谨慎购买.
### 3 AT&T 表示用户电话记录遭黑客窃取
AT&T宣布将通知数百万客户他们的电话记录在最近的一次数据泄露中被网络犯罪分子盗取。被盗的信息包括2022年5月到10月间的电话和短信元数据涉及AT&T客户和使用其网络的其他电信用户但不包括具体通话和短信内容。
这次泄露事件与早前的安全事件无关而是源自Snowflake的客户数据泄露。AT&T将通知大约1.1亿客户,并已与执法部门合作,逮捕涉案人员。
> 消息来源: [TechCrunch](https://techcrunch.com/2024/07/12/att-phone-records-stolen-data-breach/)
### 4 OpenAI正在开发代号为“草莓”的新推理技术
OpenAI即将在一个名为“Strawberry”的新项目上取得突破该项目旨在通过先进的推理能力增强其AI模型。
该项目的工作原理受到严格保密。据了解该项目模型不仅能够生成内容还能够提前自主可靠地在互联网上进行“深度研究”——这是迄今为止AI模型所无法实现的。OpenAI的一位发言人表示到“我们希望AI模型能够更像我们一样看待和理解世界。持续研究新的AI能力是行业的常规做法人们相信这些系统的推理能力将随着时间的推移而提高。”在OpenAI看来推理是AI实现人类或超人类水平智能的关键。
> 消息来源: [Slashdot](https://tech.slashdot.org/story/24/07/13/0031237/openai-working-on-new-reasoning-technology-under-code-name-strawberry?utm_source=rss1.0mainlinkanon&utm_medium=feed)
### 5 MSI 公网泄露 600,000+客户返修信息
泄露内容包括 客户姓名、手机号、地址、详细返修信息。
公网可达、无任何鉴权、甚至可以一键导出成 Excel 。
> 消息来源: [https://v2ex.com/t/1057070](https://v2ex.com/t/1057070)
### 6 苹果审核通过第一个iOS、iPadOS和visionOS上的PC模拟器
UTM SE是一个用于模拟计算机运行经典软件和游戏的应用程序支持模拟x86、PPC和RISC-V架构由功能强大且广泛使用的QEMU模拟器构建。UTM团队感谢AltStore团队的帮助并感谢另一位开发人员的QEMU TCTI实现它对这个无JIT版本的构建至关重要。
> 消息来源: [App Store](https://apps.apple.com/app/id1564628856),[UTM on X](https://x.com/UTMapp/status/1812241740172263663)
### 7 Rust语言在编程语言流行度指数中的上升
一位匿名读者在InfoWorld上分享了一份报告称Rust语言在每月的Tiobe编程语言流行度指数中达到了历史最高水平本月跃升至第13位预计在即将发布的下一版中将进入前十名。
此前Rust在Tiobe编程指数中的最高排名仅为第17位。Tiobe首席执行官Paul Jansen将Rust在7月份指数中的上升归功于2024年2月美国白宫报告该报告推荐出于安全原因使用Rust而非C/C+。他还将Rust的上升归因于不断增长的社区和生态系统对该语言的支持。文章补充说这些排名是基于“全球熟练工程师数量、课程和与语言相关的第三方供应商通过检查Google、Amazon、维基百科和其他20多个网站的月度数据来确定的。”
> 消息来源: [Slashdot](https://developers.slashdot.org/story/24/07/14/0159233/rust-leaps-forward-on-language-popularity-index)
### 8 中国联通开测 WiFi 通话:小程序已上线、受邀用户可体验
中国联通官方 App 已内置电话小程序该程序简要描述为“wifi 通话”,预计将支持 WiFi 网络拨打电话功能。
目前 iOS、安卓应用均已内置该小程序用户可直接在中国联通应用内搜索查看但仅限受邀用户可体验后续体验资格将逐步开放。
> 消息来源: [IT之家](https://www.ithome.com/0/781/803.htm)
### 9 阿里云盘长期未登录将冻结账号 使用第三方应用登录阿里云盘不算
根据网友分享的消息,阿里云盘近期向用户发送短信提醒用户尽快登录阿里云盘,长期未登录的账户将被冻结,冻结后用户登陆阿里云盘可以解冻并继续使用。
网友透露自己平时日常有使用第三方应用登录阿里云盘,但依旧收到了提醒短信。这意味着用户最好每个月至少登录一次阿里云盘官方 APP 或网页版。
> 消息来源: [蓝点网](https://www.landiannews.com/archives/104948.html)
阿里云盘,欺骗感情,亏我还给你充过会员(是充的还是白嫖的嘞?)
### 10 OpenAI 科学家翁荔提出外在幻觉extrinsic hallucination 概念
OpenAI 科学家翁荔近期在Github 上发布文章,提出了一种名为 LLM 外在幻觉extrinsic hallucination的全新概念。
翁荔表示,模型输出应基于预训练数据集。然而,考虑到预训练数据集的规模,每一代检索和识别冲突的成本太高。如果我们将预训练数据语料库视为世界知识的代表,那么从本质上讲,我们要努力确保模型输出是真实的,并且可以通过外部世界知识进行验证。同样重要的是,当模型不知道某个事实时,它应该说出来。
翁荔表示,为了避免外在幻觉的出现,研究者应该保证大模型内容符合事实,同时要保证大模型在适当的时候承认不知道答案。
> 消息来源: [品玩](https://www.pingwest.com/w/296634)
### 11 PyPI管理员兼 Python 软件基金会基础设施总监因偷懒将 Github 令牌写在本地文件并上传到了 Docker 映像中
该令牌可以修改 Python 本体、PyPI 软件包以及 PSF 存储库,如果被黑客利用将会造成严重的供应链攻击,所幸发现泄露的是研究人员而不是黑客。
> 消息来源: [蓝点网](https://www.landiannews.com/archives/104966.html)
### 12 博客园自曝资金危机 以开通会员向开发者求救
2023年在多方救助力量的帮助下博客园才化险为夷。但到2023年底会员总数只有3490其收入远远无法补上资金缺口目前只能靠银行贷款的资金维持周转。
今年5月起博客园开始以众包平台作为商业化突破口但几乎所有渠道的贷款持续断流还款后借不出来或者被降额故如今才公开发文向全网求救。
> 消息来源: [博客园](https://www.cnblogs.com/cmt/p/18302049)
### 13 代码托管平台 GitLab 正考虑出售,目前市值约 80 亿美元
GitLab 于 2021 年在美股上市,现在的股价不到上市时的一半,仅 2024 年就下跌了 16%。
尽管该公司报告称,其收入同比增长 33%,达到 1.692 亿美元并在最新季度首次实现正现金流但它承认由于与微软旗下github的竞争其产品定价面临阻力。
根据 GitLab 国内官网介绍,许多知名企业均有使用该公司服务,包括中国联通、中国电信、英特尔、网易、理想、蔚来等。
> 消息来源: [路透社](https://www.reuters.com/markets/deals/google-backed-software-developer-gitlab-explores-sale-sources-say-2024-07-17/)
### 14 Deepin操作系统适配苹果 M1 项目更新至 RC2 版本
今年随着 deepin V23 beta 进入 RC2 版本deepin M1 项目今日宣布跟进更新到 RC2 版本。据介绍,本次适配工作不仅限于提升系统环境版本,还顺带更新了一些系统底层组件版本,优化了项目各模块的打包流程并部分添加了定时器,每周构建一次内容以便开发者抢先体验尝鲜。
> 消息来源: [IT之家](https://www.ithome.com/0/782/463.htm)
### 15 英伟达宣布全面转向开源GPU内核模块弃用闭源显卡驱动程序
英伟达宣布将全面转向开源GPU内核模块后续闭源显卡驱动程序将被弃用。Maxwell、Pascal和Volta等老旧显卡不支持开源GPU内核模块需继续使用闭源驱动。新显卡将默认使用开源内核模块提供更强大、功能更齐全的GeForce和Workstation Linux支持。
> 消息来源: [蓝点网](https://www.landiannews.com/archives/105016.html)
### 16 英国公司Spectral Compute推出SCALE工具包实现CUDA软件在AMD GPU上的无缝运行
英国新创公司Spectral Compute推出了名为“SCALE”的GPGPU编程工具包成功使英伟达CUDA软件在AMD GPU上无缝运行挑战了NVIDIA在GPU计算领域的垄断地位。SCALE工具包通过兼容CUDA的工具链允许开发者在AMD GPU上原生运行CUDA程序无需依赖英伟达的程序集。
此举旨在消除市场中的排他性限制促进硬件平台之间的互操作性。SCALE工具包已在多个应用程序中测试支持AMD的RDNA 3和RDNA 2构架。高通、谷歌和英特尔也在计划打造AI软件平台提供CUDA的替代方案进一步挑战英伟达的市场地位。
> 消息来源: [ZEALER](https://weibo.com/3097378697/5057527320675665)
### 17 Cloudflare 报告 6.8% 的互联网流量是恶意的
近期 Cloudflare 发表了 2024 年度的《State of Application Security Report》报告称 6.8% 的互联网流量是恶意的,比去年上升了 1 个百分点。
Cloudflare 认为恶意流量的上升与战争和选举有关。多数攻击者是来自俄罗斯的组织如 REvil、KillNet 和 Anonymous Sudan。DDoS 攻击仍然是网络罪犯首选的武器,占到了 37%。DDoS 攻击的复杂度也在提高,去年 8 月的 HTTP/2 Rapid Reset DDoS 攻击峰值流量达到每秒 2.01 亿个请求(RPS),是此前观察到最高记录的三倍。报告还突出了 API 安全的重要性,六成的动态 Web 流量与 API 相关它们是攻击者的主要目标。Cloudflare 处理的 HTTP 请求约有 38% 被归为自动机器人流量,它认为可能多达 93% 的机器人是恶意的。
> 消息来源: [Cloudflare](https://blog.cloudflare.com/zh-cn/application-security-report-2024-update-zh-cn)
### 18 Google的goo.gl短链接服务将在2025年8月停止工作
自2019年3月起Google停止生成新的goo. gl URL。从2025年8月25日起这些链接将不再工作显示404错误。
Google建议用户尽快转换这些链接。从2024年8月23日起点击goo.gl链接将显示一个警告页面提示“此链接将在不久的将来不再工作”。用户可以选择继续访问。为了避免干扰可以在现有goo.gl链接中添加查询参数“si=1”来关闭警告页面。
> 消息来源: [9to5google](https://9to5google.com/2024/07/18/googl-links/)
### 19 Starlink展示了8Gbps的下载速度
spaceX正在测试其Starlink服务的新功能该功能能够为远离陆地的商业用户提供高达8Gbps的下载速度。SpaceX的Starlink工程副总裁Michael Nicolls在推特上分享了在佛罗里达州杰克逊维尔进行的速度测试显示Starlink实现了8102Mbps的下载速率。
目前SpaceX为消费者提供的Starlink设备可提供50Mbps至300Mbps以上的下载速度而为商业客户提供的设施则配备更大天线可实现10Gbps的宽带速度。SpaceX还在探索将社区网关技术应用于海军舰船或飞机可能面向航运公司或政府客户。SpaceX CEO埃隆·马斯克也在推特上表示Starlink网关终端将很快提供超过8Gbps的上行链路速度。
> 消息来源: [Elon Musk](https://x.com/elonmusk/status/1813703783509262677)
### 20 ChatGPT 3.5已退役 仅剩API调用 GPT-4o mini成本下降近1倍
目前在ChatGPT应用中GPT-3.5已经完全退役,官方宣布只剩 API调用。
此外最新的“GPT-4o mini”比GPT-4o便宜了96%~97%比起GPT-3.5 Turbo也要便宜60%~70%。正因如此随着GPT-4o mini上架GPT-3.5 Turbo的历史使命到此结束。OpenAI还表示GPT-4o mini是首个使用其全新安全策略“指令层级”的AI模型。
> 消息来源: [OpenAI](https://help.openai.com/en/articles/7102672-how-can-i-access-gpt-4-gpt-4-turbo-gpt-4o-and-gpt-4o-mini),[每日经济新闻](https://weibo.com/1642634100/OogTqFsDS)
### 21 阿里云发布公告,宣布将于 2024 年 9 月 30 日 24 时起对公共 DNS 中免费的解析请求采取智能流量管控措施。
原文提到
> 公共 DNS 仍会致力于为广大免费用户提供高质量的基础递归解析服务,但在高并发解析场景,将对公共 DNS 免费流量按请求源 IP 进行请求并发数限制。该请求并发量上限并非固定阈值,具体限速值将根据网络负载状况和公共 DNS 的整体服务质量适时调整,以保证公共 DNS 整体服务的稳定性和使用体验。
> 消息来源: [阿里云](https://help.aliyun.com/zh/dns/public-dns-free-version-access-speed-limit-notification)
### 22 英特尔13/14代酷睿处理器被指存在可能与铜导孔氧化相关的工艺缺陷
近期有逾200万订阅者的YouTube主播Gamers NexusGN根据收集的信息指出英特尔第13和14代酷睿处理器可能存在工艺缺陷该问题可能与铜导孔的氧化有关影响处理器稳定性。据报道一位英特尔的大客户拥有超过800万颗13代处理器包括多个型号故障率在10%到25%之间。GN提到虽然高频高压下更可能出现不稳定性问题但低压低频也不能完全避免。目前英特尔尚未对此问题发表公开声明但据GN透露英特尔正在为OEM厂商提供补偿。
> 消息来源: [Solidot](https://www.solidot.org/story?sid=78754),[YouTube](https://youtu.be/gTeubeCIwRw)
### 23 中国移动“省间结算”政策,强制丢包
受中国移动“省间结算”政策不可抗力因素影响自7月16日0时起广东省内各中国移动网络线路IDC将执行10-15%不等比例的跨省限速即只有10-15%的业务带宽质量将获得保证超出部分移动侧将采取包括强制丢包等策略确保限速比例下整体可控。预计自7月16日起广东境内各移动网内IDC业务服务质量将出现显著下降。
> 消息来源: [Nodeseek](https://www.nodeseek.com/post-133588-1)
### 24 新型验证码破解工具GPT4o Captcha Bypass问世
有开发者发布了一款名为GPT4o Captcha Bypass的CLI 工具,用于使用 Python 和 Selenium 破解各种类型的验证码,包括拼图、文本、复杂文本和 reCAPTCHA。
GPT4o Captcha Bypass工具通过AI辅助来解决复杂的验证码问题。采用Python编程语言开发便于扩展和定制。同时利用Selenium框架实现对网页元素的自动化操作提高测试效率。
该工具还使用 OpenAI GPT-4 来帮助解决验证码问题。
> 消息来源: [品玩](https://www.pingwest.com/w/296671),[GitHub](https://github.com/aydinnyunus/gpt4-captcha-bypass)
### 25 微软宣布弃用 Azure 虚拟网络注入功能2025 年 2 月 1 日起彻底停止运行
微软今日宣布将弃用 Azure 数据资源管理器的虚拟网络注入功能。
此功能允许用户将 Azure 数据资源管理器集群注入到自己的虚拟网络中,并控制出入站网络流量。然而,微软发现该功能存在一些限制,例如:维护工作量繁重;不支持跨区域或跨订阅场景,限制了数据平台的可扩展性和灵活性等。因此,微软建议用户尽快迁移到基于“专用终结点”的网络安全架构。
微软称即日起客户将无法创建新的虚拟网络注入集群而现有用户可以继续使用直到 2025 年 2 月 1 日所有正在运行的虚拟网络注入集群都将停止运行。届时,如果用户尚未完成迁移则将无法启动集群,直到完成迁移过程为止。
> 消息来源: [IT之家](https://www.ithome.com/0/783/595.htm)
### 26 Z-Library 被扣押的域名比历史上任何一个盗版网站都要多
根据 Torrentfreak 的统计Z-Library 是史上被扣押域名最多的盗版网站。 总共扣押了350个域名仅仅 .org 域名就被扣押了大约 110 个相比下海盗湾The Pirate Bay的 .org 域名还活得好好的。
> 消息来源: [Solidot](https://www.solidot.org/story?sid=78781)
### 27 ICANN要求.top域名注册机构的中国公司改进反钓鱼措施
ICANN给管理.top域名的中国公司江苏邦宁科技有限公司下达了整改通知要求他们在8月中旬前展示出有效的反钓鱼措施否则可能失去销售域名的资格。这家公司在处理钓鱼网站的报告上显得不够迅速ICANN在7月16日的信中对此提出了批评。
Interisle的研究发现.top域名在钓鱼网站中的使用量非常惊人紧随.com之后。江苏邦宁科技有限公司作为注册机构其名下的域名中钓鱼网站数量庞大。随着IPFS技术在钓鱼攻击中的使用激增钓鱼网站的打击变得更加困难。ICANN通常不会公开处理这些问题但这次可能是因为对方对私下的通知置之不理。
> 消息来源: [Krebsonsecurity](https://krebsonsecurity.com/2024/07/phish-friendly-domain-registry-top-put-on-notice/)
### 28 网络罪犯操纵 GitHub 平台传播恶意程序
安全公司 Check Point 的研究人员在 GitHub 上发现了一个由大约 3,000 个幽灵账户组成的秘密网络,操纵该平台推广恶意程序。研究人员发现,自 2023 年 6 月起,被称为 Stargazer Goblin 的网站罪犯利用幽灵账号给含有恶意内容的页面添加星标,创建分支和加关注的方法提高其可见度和可信度。研究人员将该网络称为 Stargazers Ghost Network主要针对 Windows 用户,提供看起来合法的工具如免费 VPN 下载,同时传播各种勒索软件和窃取信息的恶意程序。
据悉,黑客是通过 Telegram 频道和地下犯罪市场协调性的交易软件库和加星标。
> 消息来源: [Checkpoint](https://research.checkpoint.com/2024/stargazers-ghost-network/)
### 29 CrowdStrike首席执行官称97%受故障影响的Windows系统已恢复运行
CrowdStrike表示截至周四超过97%的微软Windows传感器已恢复上线而此前近一周一场全球性技术故障导致全球企业、政府机构和航空旅行陷入瘫痪。
CrowdStrike首席执行官George Kurtz表示该公司仍需要做更多工作来修复上周五宕机造成的影响。Kurtz周四在领英上的一篇帖子中写道“对于仍受影响的客户请知道我们将不懈努力直到实现全面恢复。”
> 消息来源: [华尔街日报](https://cn.wsj.com/articles/crowdstrike-ceo-says-97-of-systems-hit-by-outage-are-back-online-e3a8988b)
### 30 GoEdge 疑似被官方投毒劫持主域名已更改Whois 记录发生变化。
原因: 自2024年5月起GoEdge CDN的主要开发者发布了两个 1.3.9 版本后失去联系并解散了QQ交流群其中的节点程序文件包含以下可疑URL:
```
https://cdn.jsdelivr.vip/jquery.min-3.7.0.js
```
同一天,域名由 [goedge*cn] 更改为[goedge*cloud]。目前goedge*cn 已取消ICP备案并已从国内阿里云迁移到Godaddy。
从该版本至 edge-node v1.4.1该恶意代码一直存在于程序中。官方在7月26日事件发生后发布的两个同版本号程序中一个剔除了该恶意跳转。此外官方群客服发布“不信谣、不传谣”声明后群人数开始大量减少。
网友记录显示程序编译环境也有变化,同时通过查询 [cdn*jsdelivr*vip] 的CNAME记录推测该程序可能已被方能等人接管引发对程序已售出的担忧。
处置建议:
1. 停止使用GoEdge CDN。
2. 降级至1.3.9版本之前同时在主控中屏蔽GoEdge域名goedge*cn/goedge*cloud。
补充: 相关JS已被解密。官方表示不对中国用户提供服务但该JS只能通过中国网络访问且专为中国网络配置了境内CDN节点并使用高仿域名 [jsdelivr*vip],该功能用于劫持用户访问,分时段区域跳转至六合彩等博彩网站。
结语: 尽管GoEdge更换了主体并发布了无毒版本但我们仍需警惕供应链投毒的风险。免费或开源项目也可能被利用世上没有真正的免费午餐。
参考链接: [V2ex](https://www.v2ex.com/t/1060326) / [NodeSeek](https://www.nodeseek.com/post-138160-1) / [Hostloc](https://hostloc.com/thread-1329455-1-1.html)
> 消息来源: [LoopDNS资讯播报](https://t.me/DNSPODT/4939)
### 31 胡塞武装主导的红海海底光缆修复工作已完成,三条主要光缆畅通
据 DatacenterDynamics (https://www.datacenterdynamics.com/en/news/subsea-cable-repairs-in-houthi-controlled-waters-in-the-red-sea-completed/) 报道 ,胡塞武装控制的萨那通信和信息技术部本周发表声明,宣布也门海域三条海底光缆 AAE-1、EIG 和 Seacom 的修复工作已完成。
这三根海底光缆于二月份遭到损坏。据推测,它们是在 Rubymar 货轮遭到胡塞叛军发射的导弹袭击后被沉船拖锚损坏的。修复工作已于本月初由阿联酋电信集团子公司 E-Marine 旗下的 CS Niwa 号船完成。
> 消息来源: [VPS信号旗播报](https://t.me/vps_xhq/632)
## 推荐阅读
### 1 请持续关注由中国灰产公司主导的 CDN 投毒(中文)
> 从早前的LNMP、OneinStack到XZ Utils再到现在的Staticfile、BootCDN供应链攻击总是让人猝不及防。纵观这些被攻击的项目往往都是无处不在经常被大家所使用但是却并没有给提供者带来什么收入。
[跳转链接: 请持续关注由中国灰产公司主导的 CDN 投毒](https://www.nodeseek.com/post-134320-1)

151
docs/2024/2024-13.md Normal file
View File

@ -0,0 +1,151 @@
---
title: Linuxcat周刊(第13期) 黑客或正利用 AI 技术窥探电脑屏幕,新模型可利用 HDMI 线盗取信息
tags:
- Google
- 网络安全
- 信息安全
- 俄罗斯
- VPN
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/13/00104-1804770038.webp
banner_img: /img/weekly/2024/13/00104-1804770038.webp
permalink: /weekly/2024-13/index.html
date: 2024-08-02 19:00:00
---
## 乐子
### 1 特朗普重大宣布!将把比特币列为美国战略储备资产
美东时间周六北京时间7月28日凌晨美国前总统特朗普在比特币2024大会上宣布如果他能重返白宫他将把比特币列为美国战略储备资产。
> 消息来源: [凤凰网](https://finance.ifeng.com/c/8bZmBewzVXt)
### 2 谷歌致歉Chrome错误致1500万用户密码丢失
谷歌对因Chrome密码管理器错误导致大量用户保存的密码消失表示歉意。该问题于7月24日开始持续了近18小时影响了使用M127版本Chrome的Windows用户约1500万人受到了影响。
谷歌迅速识别并解决了这一问题并建议用户重启Chrome以恢复密码管理器功能。如果问题仍然存在用户应联系Google Workspace支持以获取帮助。此次事件提醒用户定期备份密码并考虑使用专门的密码管理工具来增强安全性。谷歌承诺未来将改进软件可靠性和用户支持。
> 消息来源: [Gizchina](https://www.gizchina.com/2024/07/28/google-apologizes-after-bug-passwords-vanish-for-15-million-windows-users/)
### 3 黑客或正利用 AI 技术窥探电脑屏幕,新模型可利用 HDMI 线盗取信息
来自乌拉圭的一组研究人员近日发现了一种黑客利用人工智能窥探显示器显示内容的方法,可以通过拦截电脑和显示器之间电缆泄漏的电磁辐射获取信息。
窥探是通过拦截电脑 HDMI 电缆泄漏的电磁辐射来实现的。乌拉圭共和国大学的Federico Larroc表示他和他的团队已经开发出一种人工智能模型可以从几米远的泄露信号中重建数字信号。
利用与 Larroc团队开发的方法类似的方法黑客可以在用户输入加密信息、银行登录信息或其他个人信息时窥探屏幕。该团队说黑客甚至可以站在大楼外用天线拦截信号。他们还可以安放一个小型设备捕捉信号然后传输数据或让人通过物理方式恢复数据。
令人担忧的是,这种攻击越来越成功。以前最先进的攻击方法比 Larroca 团队设计的方法容易出错 60%。
> 消息来源: [品玩](https://www.pingwest.com/w/296994)
### 4 俄罗斯全国范围屏蔽多个谷歌域名
YouTube 即使是网内 CDN 也会被限速,可能会因地区不通,目前测试出来:
莫斯科大区:
* RT 5w
* MTS 5k
已经被墙屏蔽的域名包括但不限于:
* YouTube Platform Avatars
* Google Play Store
* Google Ads Service (之前是 Google 主动返回空内容,现在是俄罗斯 TCP 连接重置其域名)
> 消息来源: [软件新闻频道📮投稿爆料](https://t.me/zaihuapd/26415)
### 5 Android跨设备服务正在逐步推出
Google 已开始逐步推出其在 5 月 I/O 大会上宣布的两项新功能:通话转移和网络共享。这是该公司首批“跨设备”服务之一,旨在让用户更轻松地在不同的 Android 设备之间切换。
根据 Google 的帮助页面,“通话转移”允许用户将视频通话从一个设备转移到另一个拥有相同 Google 账户的设备。另一方面,“网络共享”可以让用户自动与其拥有的设备共享移动热点。
这些新功能目前仅适用于运行 Google Play 服务版本 24.28.34 的 Android 11 及更高版本。由于这些功能目前仍处于测试阶段,因此普通用户可能还需要等待一段时间才能获得这些新功能。
> 消息来源: [Yahoo Tech HK](https://hk.news.yahoo.com/googles-first-cross-device-sharing-features-for-android-now-rolling-out-000005259.html)
### 6 D-Wave量子退火第二种公钥密码攻击算法
长期以来Shor算法被认为是攻击电子政务和电子商务典型公钥密码RSA的唯一有效量子算法但是近年来Nature和Science文章均认为由于量子器件和基础理论等进展缓慢实用的通用量子计算机还很遥远。需要探索新的量子计算方法。
在国家自然科学基金重点项目支持下上海大学特种光纤与光接入网重点实验室王潮课题组将目光投向D-Wave专用量子计算机公钥密码RSA破译大整数素因子分解。尽管D-Wave最初的应用是洛克希德马丁公司战机飞控软件测试、谷歌图像识别与密码无关。上海大学课题组在D-Wave量子计算软件环境验证了D-Wave原理量子退火通过量子隧穿效应对破译RSA公钥密码的可行性还发现了D-Wave比通用量子计算机更具现实攻击力。目前Google提出的72量子比特芯片狐尾松“Bristlecone”由于纠错码等问题尚不能形成密码破译能力。
这项研究对抗量子密码也有启示需要考虑Shor之外的新的量子攻击方法。
> 消息来源: [Nature](https://www.nature.com/articles/s41598-020-62802-5?utm_source=naturechina&utm_medium=referral&utm_content=RMarketing&utm_campaign=JRCN_1_LW01)
### 7 马来西亚计划开发互联网“关闭开关”
马来西亚法律与机构改革部部长 Azalina Othman Said 透露互联网“关闭开关kill switch”相关的法律提案将于今年 10 月递交到议会。此举是加强数字安全努力的一部分。Said 没有细谈马来西亚希望屏蔽哪些内容,也没有说明在什么情况下允许使用关闭开关。她表示政府希望社媒平台和 IM 服务商承担更多责任,称些此举“符合其它国家实施的立法举措”。
马来西亚互联网监管机构此前一天宣布有逾 800 万马来西亚用户的社媒和在线消息平台须在 2025 年 1 月 1 日起申请许可证,否则将会面临法律行动。此前只有网络设施提供商、网络服务提供商、应用服务提供商和内容应用服务提供商才需要申请许可证。批评者认为拟议中的措施将扼杀社交媒体,阻碍公众参与民主。
> 消息来源: [Solidot](https://www.solidot.org/story?sid=78832)
### 8 微软Azure中断始于DDoS网络攻击
微软表示Azure云应用程序的中断是由分布式拒绝服务Distributed-Denial-of-Service网络攻击引发的。该公司在一份状态更新中表示DDoS攻击始于周二早间而微软自动保护机制的一个错误加剧了影响而非减轻了影响。多个地区的客户受到了影响包括在Azure上运行的服务。
据一位知情人士透露由于Azure问题的影响星巴克的移动订购功能被停用了几个小时。
> 消息来源: [环球市场播报](https://weibo.com/1640337222/Oq3PLdou6)
### 9 Apple未来将支持用心脏解锁设备
Apple正在尝试根据用户独特的心脏活动例如心跳来识别用户从而解锁设备的技术。
据悉要进行心电图读数用户需要有接触2个测试点。用户需要触碰Apple Watch中位于手表背面和数字表冠中的传感器——前者启动心电图应用程序后者可以触发测量心脏的电路。
此外苹果的专利还描述了一种新的iPhone设计方法其允许用户只需正常握持iPhone即可使用心率进行身份验证。该专利还讨论了使用心电图数据来检测用户的“情绪”。举例而言在用户锻炼期间测量心脏活动并以每分钟正确的节拍播放音乐以匹配。
> 消息来源: [Apple Insider](https://appleinsider.com/articles/24/07/30/you-may-be-able-to-unlock-future-apple-devices-with-only-your-heart)
### 10 W3C(万维网联盟)称第三方cookies时代该结束了
在Google决定继续支持第三方cookies之后W3C明确表示了他们的担忧并重申了他们的立场强调必须从网络中移除第三方cookies。这些cookies不仅侵犯了用户的隐私还被用于不可见的跟踪和监视甚至可能用于政治信息的微定位对社会造成不利影响。W3C TAG作为网络架构的守护者一直在与Chrome隐私沙盒团队合作寻找替代第三方cookies的解决方案。Google的最新决定不仅出人意料也可能阻碍跨浏览器对隐私友好型替代方案的开发。W3C期望Google重新考虑其决定并继续朝着淘汰第三方cookies的方向努力以促进网络环境的隐私保护。
> 消息来源: [W3C博客](https://www.w3.org/blog/2024/third-party-cookies-have-got-to-go/)
### 11 法国数条互联网光纤在奥运会期间被切断
在奥运会期间,法国南部和东部地区提供宽带服务的数条光纤电缆一夜之间被切断,这是对该国基础设施的最新袭击。法国电信运营商 SFR 的一位发言人表示,该公司一夜之间有五条线路被切断,目前维修团队正在努力修复。其他运营商,包括 Iliad SA 旗下的 Free 和 Netalis也在社交媒体帖子中表示受到了影响。Netalis 首席执行官尼古拉斯·纪尧姆表示,该电信公司已于周一早些时候成功将流量转移到备用网络。奥运电信合作伙伴 Orange SA 的一位发言人表示,巴黎的网络服务以及奥运会本身未受影响。
> 消息来源: [彭博社](https://www.bloomberg.com/news/articles/2024-07-29/french-internet-cables-severed-in-latest-attack-during-olympics)
### 12 微软将 OPENAI 列为人工智能及搜索领域的竞争对手
微软公司与 OpenAI 的关系正式变得更加复杂。当地时间周二,微软在公司最新年度报告中将这家人工智能初创公司列入了竞争对手名单。多年来,这份名单中一直包括亚马逊、苹果、谷歌和 Meta 等大型同行。微软与 OpenAI 建立了长期合作伙伴关系,担任其独家云提供商,并将其 AI 模型用于商业客户和消费者的产品中。微软是 OpenAI 的最大投资者已向其投入了约130亿美元。在文件中微软将 ChatGPT 聊天机器人的创建者 OpenAI 列为人工智能产品以及搜索和新闻广告领域的竞争对手。上周OpenAI 发布了名为 SearchGPT 的搜索引擎原型。
> 消息来源: [CNBC](https://www.cnbc.com/2024/07/31/microsoft-says-openai-is-now-a-competitor-in-ai-and-search.html)
### 13 用户反馈已领到“网络身份认证凭证”
记者注意到申领和使用“网号”“网证”的应用“国家网络身份认证App(认证版)”已在多个应用商店上线。此前中国公安部、网信办等研究起草了征求意见稿核心是“为自然人提供申领网号、网证以及进行身份核验等服务。”根据反馈申领注册“网号”“网证”需要使用身份证人脸识别是否为本人关联手机号设置网络身份口令授权网络身份在用户手机使用。目前正处于试点阶段已上线试点APP和场景共67个如国家政务服务平台、中国铁路12306、淘宝、微信、小红书、QQ等。据悉后续有关主管部门还将继续研究适用的应用场景包括互联网用户账号实名注册、登录对存在涉诈异常账号的用户身份重新进行核验网上办理政务服务事项时的身份核验等。
> 消息来源: [科创板日报](https://www.chinastarmarket.cn/detail/1749735)(上海报业)
评论: 这东西看起来不太受欢迎
### 14 俄机构提议屏蔽关于VPN服务的科技信息
俄罗斯联邦通信、信息技术和大众传媒监督局制定了一项命令草案,根据该草案,关于绕过封锁 VPN 服务的科学、科技和统计信息在俄罗斯将被禁止,只有用于提供安全远程访问的 VPN 信息例外。该部门于7月30日在监管法律草案门户网站上公布了该命令草案征求意见于8月5日结束。草案预计将于2025年3月1日生效有效期至2029年9月1日。俄罗斯国家杜马信息政策委员会副主席安东·戈列金解释说新规定禁止宣传绕过封锁的方法但并不禁止使用 VPN 服务。
> 消息来源: [国际文传电讯社](https://www.interfax.ru/russia/973377)
评论: 学习一下邻居
### 15 WARP+ 推荐计划将于11月1日结束
Cloudflare 昨日发布公告宣布将于2024年11月1日结束 WARP+ 的推荐计划。届时,将不再提供新的推荐码。当用户的设备使用完现有的推荐配额时,将自动迁移到 WARP 免费计划。用户不会失去连接。如果用户想在该时间点之后继续使用 WARP+ ,可以按照应用中的升级说明进行订阅。
> 消息来源: [Cloudflare](https://developers.cloudflare.com/warp-client/warp-modes/)
### 16 英特尔第13/14代酷睿台式机处理器可获得额外两年的保修期
尽管英特尔尚未解决第13/14代酷睿台式机处理器稳定性问题但该公司正试图通过将保修期延长两年来为那些可能受影响的客户提供一些补偿。英特尔的盒装处理器已经享有三年有限保修因此这一变化意味着大多数受影响的处理器现在将享有五年保修。英特尔表示“我们已确定是过高的运行电压会导致某些第13/14代酷睿台式机处理器出现不稳定情况。”英特尔表示该公司计划在8月中旬向主板制造商发布微码补丁。
> 消息来源: [Theverge](https://www.theverge.com/2024/8/1/24211616/intel-crashing-13th-14th-gen-cpus-warranty-two-more-years)
### 17 中国电信运营商在美宽带禁令可能不会生效,上诉法院阻止恢复网络中立规则
据[路透社](https://www.reuters.com/legal/us-court-blocks-biden-administration-net-neutrality-rules-2024-08-01/)消息,美国上诉法院周四阻止了联邦通信委员会恢复具有里程碑意义的网络中立规则,称宽带提供商很可能在法律挑战中获胜。
今年4月美国联邦通信委员会FCC按照党派立场投票决定重新接管宽带互联网的监管。曾暂时推迟该规则的美国第六巡回上诉法院周四表示将暂时阻止网络中立规则并计划于10月底或11月初就该问题进行口头辩论。网络中立规则要求互联网服务提供商不得限制某些用户的访问、降低网速或屏蔽内容。
但网络中立规则实际上扩大了联邦通信委员会对 ISP 的监管权力。4月份在该规则投票恢复后该委员会当即要求 (https://t.me/vps_xhq/584)中国电信、中国联通和中国移动的美国子公司停止在美国境内的固定或移动宽带互联网业务,这一命令 (https://t.me/vps_xhq/250)最早出现在特朗普执政期间,后因废除网络中立规则而被搁置。
该命令引发了中国云主机用户的担忧因为FCC的命令有可能会对CN2GIA、CMI等优化线路造成影响但提供北美优化线路的部分IDC对此予以否认。
> 消息来源: [VPS信号旗播报](https://t.me/vps_xhq/637)
### 18 Reddit阻止微软的搜索引擎Bing未经付费爬取数据
Reddit自上个月起更改了政策阻止包括微软Bing在内的搜索引擎在未签署商业协议的情况下访问其网站内容。CEO Steve Huffman表示Reddit需要控制数据的去向和用途。目前只有谷歌因签署了6000万美元的协议仍能访问Reddit内容。其他搜索引擎和AI公司如Anthropic和Perplexity未能达成协议。微软表示尊重网站的不爬取要求Bing于7月1日停止爬取Reddit内容。
据悉国内知乎也只允许百度和搜狗的爬取,禁止其他搜索引擎爬取。 [参考](https://www.zhihu.com/robots.txt)
> 消息来源: [Bloomberg](https://www.bloomberg.com/news/articles/2024-08-01/reddit-blocks-microsoft-from-searching-site-without-paying)
## 工具/软件推荐
### 1 查询软件的开源平替
这个网站可以查询软件的开源平替。网站提供了多种语言、类别的过滤器以供选择
[openalternative](https://openalternative.co/)
### 2 实时打字翻译助手Real-time-translation-typing
1. 支持实时打字翻译:可以将输入的文字实时翻译成目标语言
2. 支持实时语音转文字并翻译: 可以将语音实时转换为文字,并进行翻译
3. 支持LOL语音转文字输入
[GitHub](https://github.com/sxzxs/Real-time-translation-typing)
### 3 实时交互流式数字人项目metahuman-stream
1. 支持多种数字人模型: ernerf、musetalk、wav2lip
2. 支持声音克隆
3. 支持数字人说话被打断
4. 支持全身视频拼接
5. 支持rtmp和webrtc
6. 支持视频编排:不说话时播放自定义视频
[GitHub](https://github.com/lipku/metahuman-stream)
### 4 程序员专属SSH聊天室 devzat
用户无需安装客户端,仅需一条 SSH 命令即可登录。它支持私人消息、多聊天室、图片和代码高亮等功能,还可以集成第三方服务、自托管 SSH 聊天室。
[GitHub](https://github.com/quackduck/devzat)

157
docs/2024/2024-14.md Normal file
View File

@ -0,0 +1,157 @@
---
title: Linuxcat周刊(第14期) 0.0.0.0 Day漏洞曝光谷歌、Safari、火狐等主流浏览器面临威胁
tags:
- 俄罗斯
- Google
- OpenAI
- ChatGPT
- Cloudflare
- 网络安全
- 域名
- AI
- HarmonyOS Next
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/14/00109-1618395439.webp
banner_img: /img/weekly/2024/14/00109-1618395439.webp
permalink: /weekly/2024-14/index.html
date: 2024-08-09 19:00:00
---
## 乐子
### 1 俄罗斯杜马议员 Aleksei Didenko 警告 Google、Android 和 iOS 将很快被屏蔽
俄罗斯国家杜马议员 Aleksei Didenko 表示,谷歌可能很快就会在俄罗斯被屏蔽,还包括谷歌 Android 操作系统以及用于苹果设备的 iOS 操作系统。他在 8 月1 日 YouTube 服务遭遇服务中断后表示,用户不应依赖西方服务。他强调,这不是因为俄罗斯的过错而发生。
Didenko 表示,“我们建议企业代表和科学家转向其他平台”,公务员和官员,特别是那些有权接触国家机密的人,长期以来一直被禁止使用这些平台。他指出这不应被公众视为一个悲剧,并以 Netflix 在俄罗斯被屏蔽为例,“当然有一些人表达了不满,但随着时间推移,大家都会冷静下来”。
> 消息来源: [莫斯科共青团员报](https://www.mk.ru/politics/2024/08/02/deputat-didenko-predupredil-o-blokirovke-google-android-i-ios.html)
评论: 学习邻居,超越邻居,虽然环境不同,要不叫你俄超越?
### 2 谷歌 Chrome 警告 uBlock Origin 可能很快会被禁用
谷歌 Chrome 浏览器鼓励已更新到最新版本的 uBlock Origin 用户在禁用 Manifest v2 扩展之前切换到其他广告拦截器。
正如 uBlock Origin 首席开发人员和维护人员 Raymond Hill 周五所解释的那样,这是由于谷歌不再支持 Manifest v2 (MV2) 扩展平台而转而支持 Manifest v3 (MV3) 所致。
谷歌 Chrome 用户也被警告删除或用类似的扩展程序替换 uBlock Origin 广告拦截器。
> 消息来源: [BleepingComputer](https://www.bleepingcomputer.com/news/google/google-chrome-warns-ublock-origin-may-soon-be-disabled/)
### 3 马斯克:已为第二位人类患者成功植入脑机芯片
马斯克周五透露其脑机接口公司Neuralink成功将第二颗脑机接口芯片植入一名人类患者体内。马斯克说“我不想太早下结论但第二颗植入物似乎进展得非常顺利。信号很强电极也很多工作得非常好”。¹
此外马斯克在X上表示特斯拉得州超级工厂的超级计算集群被命名为“Cortex”并指出其刚刚完成了新设施的演练。“Cortex”拥有约10万颗英伟达H100和H200芯片用于训练完全自动驾驶(FSD)和人形机器人Optimus。²
> 消息来源: [界面新闻](https://www.jiemian.com/article/11511098.html)、[马斯克](https://x.com/elonmusk/status/1819457630261465553) ¹、[马斯克](https://x.com/elonmusk/status/1819797937414611313) ²
### 4 Microsoft Dynamics 365 正向科技行业发起利用AI监控员工的倡议
根据奥地利非营利研究组织 Cracked Labs 的一项调查报告显示以Microsoft Dynamics 365为首的服务软件允许管理人员通过智能手机APP监控技术人员和远程工作者的工作活动、时间、地点并收集许多其他工作隐私数据。
除微软外包括甲骨文、SAP、Salesforce、IFS瑞典、Nomadia法国、OverIT意大利、Praxedo法国、ServiceMax美国和 ServiceNow美国等公司也在列。这些监控大大削弱了员工自身的工作自主权工作目标感同时也加大了工作压力。但在微软官方看来这类软件却能有效促使员工更积极高效地完成工作与达成绩效。
> 消息来源: [The Register](https://www.theregister.com/2024/07/31/microsoft_dynamics_365_surveillance/)[PDF完整调查报告](https://crackedlabs.org/dl/CrackedLabs_Christl_MobileWork.pdf)
### 5 OPENAI 确认正在研究 ChatGPT 文本水印
人工智能公司 OpenAI 的团队已经开发出一种文本水印方法并会在研究替代方案时继续考虑这种方法。虽然它在抵御例如释义等局部篡改方面具有很高的准确性甚至很有效但对全局篡改的防御能力较弱例如使用翻译系统用另一个生成模型改写或者要求模型在每个单词之间插入一个特殊字符然后删除该字符这使得不良行为者可以轻松规避。以及可能对非英语人士等群体造成不成比例的影响。该公司正在讨论是否真正发布该工具。OpenAI 去年关闭了其之前的 AI 文本检测器,理由是“准确率低”。
更:[OpenAI 不会给 ChatGPT 文本添加水印,因为其用户可能会暴露](https://www.theverge.com/2024/8/4/24213268/openai-chatgpt-text-watermark-cheat-detection-tool)
> 消息来源: [Techcrunch](https://techcrunch.com/2024/08/04/openai-says-its-taking-a-deliberate-approach-to-releasing-tools-that-can-detect-writing-from-chatgpt/)
### 6 免费试用服务遭滥用,安全公司曝光 Cloudflare 隧道成黑客“保护伞”
安全公司 Proofpoint 报告指出,黑客大量滥用 Cloudflare 的免费试用隧道服务进行恶意活动。据介绍,隧道技术类似于 SSH允许用户远程访问本地网络数据资源。
黑客通过批量注册账号使用一次性隧道服务,利用每次生成的不同子网域名掩盖真实服务器位置,自 2023 年以来,这种行为变得普遍。黑客通过隧道发送恶意木马和钓鱼邮件,并使用 Python 脚本结合其他技术进行网络攻击Cloudflare 的隧道服务反而成了他们的“保护伞”。
> 消息来源: [IT之家](https://www.ithome.com/0/786/138.htm)
### 7 消息称谷歌 Play 商店突然停止提供完整 APK 包,影响安卓应用侧载安装
根据 APK 提供网站 APKMirrors 的最新消息,谷歌 Play 商店已突然停止提供完整安卓应用 APK 包,将影响一些应用的侧载安装。
谷歌自 2021 年 8 月起推行新的 Android App BundleAAB格式取代 APK 作为标准发布格式。AAB 格式通过减少包大小和加快下载速度来优化用户体验,但无法像 APK 一样直接安装,需要通过 Google Play 或第三方工具进行部署。根据 APKMirrors 的反馈,许多应用已经不再提供完整的安装包,这一变化可能是永久性的。
> 消息来源: [IT之家](https://www.ithome.com/0/786/284.htm)
### 8 .com 域名将在今年9月1日涨价
.com 的价格为何上涨? .com 和 .net 注册机构 Verisign 已与 ICANN 达成协议,可以自 2012 年以来首次提高价格。
作为最大的上市注册机构Verisign 此前多年以来一直受到价格上涨限制,但目前这一限制已经不再存在。
ICANN 和 Verisign 达成了一项新协议,允许 Verisign 在 2021 年、2022 年、2023 年和 2024 年每年将 .com 域名的价格提高 7%。
在2025年和2026年两年的“冻结”之后Verisign可以在2027年至2030年期间每年再次将价格提高7%,随后进入另一个两年的“冻结”。
这个周期将无限期地持续下去,这意味着在 10 年内, .com 域名的价格可能会比现在高出约 70%。
> 消息来源: [新闻在花频道📮投稿爆料](https://t.me/zaihuanews/26586)
### 9 被曝可绕过锁屏高危漏洞搜狗仅在特定Windows系统 已紧急修复
有市民近日收到了工作单位的通知指出搜狗输入法存在一个能够轻易绕过电脑锁屏夺取系统权限的高危漏洞攻击者可以通过部分版本搜狗输入法绕过系统登录密码在锁屏的情况下执行CMD命令获取本机系统权限。因此要求卸载该输入法。
对此搜狗输入法昨日回应称经安全团队排查该问题仅存在于特定版本Windows系统是由于微软屏幕键盘等相关程序主动以特权接口加载中文输入法导致“我们已将此系统漏洞通知微软相关团队。”“在微软修复该漏洞前为更有效保护用户安全我们已采取了主动规避措施在Windows登录界面下搜狗输入法将主动退出加载执行。”搜狗输入法补充道该问题已被紧急修复。
> 消息来源: [财联社](https://www.cls.cn/detail/1753167)
### 10 日本弹幕网站 Niconico 现已恢复网站服务
8月5日角川子公司 Dwango 的弹幕视频网站“NicoNico 动画”大约两个月来首次重新恢复服务。并确认因包括勒索软件在内的网络攻击导致254,241人的个人信息被泄露。
确认泄露的信息包括两所高中的在校生、校友和家长,以及 Dwango 及其关联公司的部分商业伙伴。泄露包括姓名、地址、电子邮件地址、帐户信息等。所有 Dwango 员工的个人信息也被泄露。根据一家大型安全专业公司的调查,“推测 Dwango 员工的帐户信息通过网络钓鱼或其他攻击被盗。” 据称,该公司的网络是利用该账户信息进行渗透的。
> 消息来源: [日经新闻](https://www.nikkei.com/article/DGXZQOUC056CQ0V00C24A8000000/)
### 11 国务卿敦促 X 阻止其 Grok 聊天机器人传播选举错误信息
Grok 一直在社交网络 X 上传播有关副总统卡马拉·哈里斯的虚假信息。这是根据五位国务卿撰写的一封致特斯拉、SpaceX 和 X 首席执行官马斯克的公开信所述,信中声称 X 的人工智能聊天机器人错误地暗示哈里斯没有资格出现在某些2024年美国总统选票上。信函中敦促马斯克“立即对 X 的人工智能搜索助手 Grok 进行更改以确保选民在这个关键的选举年获得准确的信息。7月21日在拜登宣布暂停总统竞选的几个小时后Grok 开始回答有关哈里斯参选资格的问题并误导性地声称部分州的投票截止日期已经过去。该错误信息传播范围广泛在7月31日得到更正之前已影响到 X 及其他平台的数百万用户。
> 消息来源: [Techcrunch](https://techcrunch.com/2024/08/05/secretaries-of-state-urge-x-to-stop-its-grok-chatbot-from-spreading-election-misinformation/)
### 12 阿里团队推出视频 AI 生成框架 Tora画圈操控物体运动轨迹
Tora 无缝契合 DiT 设计,支持制作最长 204 帧、720P 分辨率的视频可以精确控制不同持续时间、宽高比和分辨率的视频内容。大量实验证明Tora 在实现高运动保真度方面表现出色,同时还能细致模拟物理世界的运动。
> 消息来源: [演示视频](https://ali-videoai.github.io/tora_video/) | [GitHub](https://github.com/ali-videoai/Tora)
### 13 OpenAI 宣布今年的DevDay不会公布 GPT-5
今年的 OpenAI DevDay 活动将于 10 月 1 日在旧金山、10 月 30 日在伦敦和 11 月 1 日在新加坡举行。所有活动都将以研讨会、分组讨论、OpenAI 产品与工程团队的现场演示,以及开发者会议的形式举行。注册费用为 450 美元,报名截止日期为 8 月 15 日。
公司还确认,在 DevDay 期间不会发布下一代主旗舰模型,而是将重点放在其 API 和开发者服务的更新上。
> 消息来源: [原文](https://openai.com/devday/)
### 14 光盘时代落幕苹果SuperDrive似乎已停产
外置光驱SuperDrive在苹果美国官网、国行官网上显示为售罄状态。
目前在英国和巴西等部分地区仍有SuperDrive库存但售完后再生产的可能性微乎其微。
> 消息来源: [ITbear](http://m.finance.itbear.com.cn/html/2024-08/11056.html)
### 15 谷歌尝试在Chrome中实施网站货币化 当你浏览网站时自动支付小费
谷歌正在构建一项尚未成为 W3C 认可的标准,这项标准用来在网络中实现货币化,也就是允许用户通过小费或者内容奖励用来鼓励内容创作者继续创作优质的内容。
值得注意的是,该技术提供了两个独特功能:小额支付和无需用户交互,当用户设置该网站自动打赏,它才会自动收费。
> 消息来源: [意向链接](https://groups.google.com/a/chromium.org/g/blink-dev/c/4Rqw4SbjO88/m/j7x8sTyzAAAJ?pli=1)
### 16 HarmonyOS Next第三方App QQ音乐更新
HarmonyOS Next第三方App QQ音乐更新新增开屏广告和QQ登录但QQ还未上架
> 消息来源: [新闻在花频道📮投稿爆料](https://t.me/zaihuanews/26623)
评论:不升级 NEXT 的理由又多了一个,换小米的理由也多了一个
### 17 1Password发现高危安全漏洞Mac用户需立即升级到最新版本
知名密码管理器1Password的Mac版本被发现存在一个高危安全漏洞该漏洞允许恶意软件绕过进程间的通信保护窃取用户的解锁密钥。
这一安全问题由参与DEFCON黑客大赛的安全研究人员发现并计划在一次演讲中公开。1Password已经收到通知并及时修复了这一漏洞敦促用户升级到8.10.38或之后的版本以确保安全。
该漏洞被标识为CVE-2024-42219目前没有证据表明它已被恶意黑客利用更多关于该漏洞的细节将在DEFCON大会上演讲后公布。
> 消息来源: [蓝点网](https://www.landiannews.com/archives/105295.html)
### 18 ICANN已将“.internal”域名保留供私有网络使用
互联网名称与数字地址分配机构ICANN已批准使用“.internal”顶级域名用于私有内部网络。这一域名将不会在公共互联网上访问类似于私人IP地址块如10.0.0.0。此举旨在避免与公共域名的冲突和混淆。Google等组织已经在内部用途中使用了“.internal”域名。
> 消息来源: [Theregister](https://www.theregister.com/2024/08/08/dot_internal_ratified/)
### 19 俄罗斯全面封禁YouTube网页版和客户端均无法访问
俄罗斯已经彻底封禁了谷歌旗下的视频网站YouTube用户现在无法通过网页版或手机客户端访问该平台均显示连接超时。
此前YouTube在俄罗斯访问速度慢、视频播放经常卡顿或无法加载俄罗斯杜马议员将问题归咎于谷歌未在俄罗斯投资维护IT基础设施。谷歌则否认是YouTube技术限制所致但没有详细说明原因。
此外有传言称俄罗斯可能会进一步封禁谷歌搜索和操作系统而一些议员认为限制YouTube访问是对谷歌撤出俄罗斯且不遵守当地法律的反制措施。
> 消息来源: [蓝点网](https://www.landiannews.com/archives/105323.html)
评论: 还得是是毛子,说了就做
### 20 Qwen2-Math 开源 AI 模型发布:阿里通义千问家族新成员,数学能力超 GPT-4o
阿里通义千问 Qwen2 开源家族迎来新成员 Qwen2-Math共有 15 亿参数、70 亿参数和 720 亿参数三个版本,是基于 Qwen2 LLM 构建、专门用于数学解题的语言模型。
其中,最大的数学专用模型 Qwen2-Math-72B-Instruct 超越了最先进的模型,包括 GPT-4o、Claude-3.5-Sonnet、Gemini-1.5-Pro 和 Llama-3.1-405B。
新模型系列 Qwen2-Math 专注于数学能力,目前仅支持英文。
[GitHub仓库](https://github.com/QwenLM/Qwen2-Math)
### 21 0.0.0.0 Day漏洞曝光谷歌、Safari、火狐等主流浏览器面临威胁
近日,一个名为 "0.0.0.0 Day "的重大安全漏洞在网络安全社区中引发了巨大反响,该漏洞导致数百万使用 Chrome、Firefox 和 Safari 等流行浏览器的用户受到潜在攻击。同时,该漏洞还允许恶意行为者访问私人网络(特别是 "本地主机")中设备上存储的文件、信息、凭证和其他敏感数据。
> 消息来源: [freebuf](https://www.freebuf.com/news/408169.html)
## 工具/软件推荐
### 1 将你的 Telegram Channel 转为微博客
支持和特点RSS、搜索、SEO、不需要服务器。
[Github](https://github.com/ccbikai/BroadcastChannel)
### 2 输入XTwitter账号看看AI怎么吐槽你
[twitter.wordware.ai](https://twitter.wordware.ai)
Roast 就是吐槽的内容。没收费。
<!-- ## 言论 -->
<!-- 一个国家如果总是试图把自己的国民变成透明的国民,可以随时追踪与定位的棋子,那么这个国家不可能成为有活力、有创造力的国家,因为所有创造力都隐藏在深渊里,所有活力都来自无监控的自由自在里。
当然,这样的国家也不可能成为什么现代化国家。因为真正的现代化国家绝对不是“编户齐民”的国家,不是严密监控自己国民的国家,而是所有国民都能享有充分自由,特别是享有充分的言论自由、以及免于公权力肆意地骚扰、监管、恐吓、拘禁的自由的国家。
凡是试图全方位监控自己国民的国家,凡是竭力把自己国民置于透明状态的国家,都是以最粗暴、最直白的方式表明自己不是人民的国家。因为真正人民的国家不需要监控自己国民的行踪,国家相信自己的国民,国民也认同并相信、维护自己的国家。真正人民的国家也不需要总追求以上帝的视角试图看透、掌控自己国民的思想与言论,因为真正人民的国家不会因自己国民的任何思想与言论而遭受损害,相反,国家恰是在保护国民的言论自由而保有生命力,在尊重国民思想的自治而保有创造力。人民的国家从来不会也永远不会因自己国民的思想与言论自由而陷入瓦解的危险。因为真正人民的国家不会因为国民对国家的批评乃至反对而遭受损失或陷入危机,相反,它只会在国民的自由思想提供的各种参照系的映照下朝更加完善的方向发展。
现代化国家有不同道路,有各种特色与模式,但是所有真正的现代化国家都有一个本质性的属性,那就是让国民更自由、更解放、更富有、更文明。无论是共同体还是国民个体,都是也只能是在由充分的自由思想、自由言论、自由行动构成的自由生活中才练就自立的能力,以及自治的理性与自治的水平,从而变得更加文明。
所以,要建成现代化国家,自由是方向,也是目标。任何以加强监控国民的言论、思想与行动自由为目的,或者任何会导致对国民的言论、思想自由进行严密监控的政策,都与现代化国家建设的方向与目标背道而弛。
如果中国式现代化是我们的目标与方向,那么,这个方向不是朝向古老的“编户齐民”,而应朝向人人更加自由、更加开放、更加自立、更加文明与更加富有。如果我们对中国式现代化要有信心,要有自信,那么这种现代化应该对国民的监控少于西方现代化对其国民的监控。换个角度说,我们的现代化应该使我们的国民的自由(首先就是言论、思想自由)多于西方国民的自由。正如一切创造力与多样性都基于自由也来自自由一样,所有的信心与自信也都基于自由,来自于自由。没有自由,一切自信与信心都经不起比较和冲击。这是自信与信心的秘密所在。 -->
<!-- [source](http://m.weibo.cn/status/5063245410865019) -->
<!-- 已被删帖 -->
<!-- 我也觉得这话不太对,做个参考留个纪念吧 -->

201
docs/2024/2024-15.md Normal file
View File

@ -0,0 +1,201 @@
---
title: Linuxcat周刊(第15期) 开源下载器开发者被跨省,因被用于诈骗
tags:
- 网络安全
- CrowdStrike
- AMD
- HarmonyOS NEXT
- Windows
- AI
- Apple
- 阿里云
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/15/00115-590398572.webp
banner_img: /img/weekly/2024/15/00115-590398572.webp
permalink: /weekly/2024-15/index.html
date: 2024-08-16 19:00:00
---
公告: 近期最后一次有规律的更新,往后半年左右回归随缘更新
## 大事概览
### Windows 曝严重安全漏洞,攻击者可零点击远程入侵设备
此漏洞被编号为 CVE-2024-38063 (https://www.cve.org/CVERecord?id=CVE-2024-38063)是一个严重漏洞评分为9.8。它存在于 Windows 的 TCP/IP 网络堆栈中,是一个严重的远程代码执行漏洞。未经身份验证的攻击者可以通过反复向 Windows 设备发送特制的 IPv6 数据包,触发漏洞并实现远程代码执行。
攻击者无需任何用户交互即可利用漏洞,入侵系统并获取最高权限。利用难度低,攻击者可以通过批量扫描互联网,寻找存在漏洞的主机。攻击者无需以用户身份进行身份验证。不需要访问受害者计算机上的任何设置或文件。受害者设备用户不需要进行任何交互操作,无需点击链接、加载图像或执行文件。
强烈建议用户立即更新系统至最新版本。微软正在发布相关补丁以修复此漏洞。如果目标计算机上禁用 IPv6系统不会受到影响。 大多数情况下,用户获取到的 IPv6 地址为公网地址,因此攻击者极有可能对特定公司、学校、机构或目标人群进行有针对性的入侵。
> 消息来源: [LoopDNS资讯](https://t.me/DNSPODT/5072) [微软](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063)
#### 研究员Windows 系统防火墙无法阻止 IPv6 远程代码执行漏洞
根据赛博昆仑实验室研究员Wei透露的部分消息攻击者构造的IPv6数据包在到达防火墙进行数据处理之前就可能被触发因此仅通过开启系统的IPv6防火墙并不能有效阻止攻击。
结合该漏洞的特性这进一步验证了之前的推测即该漏洞可以用于在内网中进行横向攻击特别是通过内网IPv6地址实施攻击。由于部分场景下的内网设备长期无法进行系统更新该漏洞对这些没有网络隔离且长期无法更新系统的环境构成了更大的威胁。
> 消息来源: [XiaoWei'X](https://x.com/XiaoWei___/status/1823532146679799993) [LoopDNS](https://t.me/DNSPODT/5077)
### GitHub 服务出现短暂中断
8月15日上午7点至八点左右Github所有服务出现短暂中断
## 乐子
### 1 腾讯云:收到国内大量家用路由器遭 DNS 劫持报告
近日腾讯云收到大量用户反馈称访问网站和APP时频繁遭遇失败。深入排查发现问题源于家用路由器的DNS解析配置被篡改。此次情况自2024年5月起出现8月5日达到峰值虽目前部分域名已恢复但因TTL和本地缓存的影响用户访问可能仍存在滞后。
腾讯云提示这是一种典型的DNS劫持攻击攻击者通过非法手段篡改用户的DNS设置导致域名解析指向错误的IP地址影响正常访问。用户可检查路由器的DNS配置或使用dig命令来确认如发现问题建议立即升级路由器固件并更改DNS设置以防再次遭受攻击。
> 消息来源: [腾讯云DNSPod](https://mp.weixin.qq.com/s/buIBETuAyC7vrOrX9-bghw)
### 2 普京要求拥有超过1万名订阅者的博主和电报频道所有者备案
普京签署了一项新法律对即时通讯服务包括Telegram频道的运营进行规范。根据该法律拥有超过1万名订阅者的Telegram频道所有者必须向俄罗斯电信监管机构Roskomnadzor报告自己的数据报告的形式和范围由政府决定。法律禁止未列入Roskomnadzor名单的频道发布广告、分发有关频道及其所有者可能的资金信息其他Telegram频道也不得转发其消息。
此外俄罗斯公民最多只能拥有20张SIM卡而外国人最多只能拥有10张SIM卡。无线服务提供商将使用统一识别和认证系统、统一生物识别系统以及内政部的跨部门电子互动系统或由政府确定的组织确认用户的护照数据。
法律还规定:
```
1.与外国人签订合同只能亲自进行不能在线完成并且只有在他们有统一生物识别系统的记录时才能签订。合同中必须包含将与SIM卡一起使用的设备的IMEI号码。这些要求不适用于外交人员或其家庭成员。
2.个人可以通过公共服务网站请求获取国家SIM卡控制系统中所有SIM卡的数据。如果个人认为某张SIM卡的归属不正确他应要求无线服务提供商立即暂停提供服务。
3.俄罗斯政府将设定提供电信服务合同的场所和地点的要求。此外公司和个体经营者只能在合同下向为他们工作的个人提供SIM卡。所有员工数据必须提交给统一识别和认证系统。
4.电信服务的现金支付只能在付款人的身份证在银行或邮局,或由政府指定的组织,以及符合政府要求的特别装备的终端上进行验证后进行。
5.无线服务提供商必须在2025年7月1日之前使与外国人签订的所有合同符合新法律否则将不为外国人提供蜂窝服务。无线服务提供商必须在2025年11月1日之前验证俄罗斯个人和企业用户的资料以及SIM卡数量并在发现违规时停止提供服务。
```
> 消息来源: [Interfax](https://interfax.com/newsroom/top-stories/104973/)
### 3 中国电信部分地区屏蔽了 iMessage 激活短信
电信官方回复:
```
亲亲接到监管部门的通知近期苹果FaceTime诈骗案件频发为了保障群众财产安全暂时屏敝苹果FaceTime注册验证短信影响苹果手机 FaceTime、imessage软件激活您可拨打反诈中心96110咨询。
```
被屏蔽的省份目前只能通过邮箱激活iMessage等服务。
> 消息来源: [V2ex](https://s.v2ex.com/t/1063171)
### 4 Nova Launcher 开发人员几乎全被解雇
安卓第三方启动器 Nova Launcher 的开发者团队几乎全部被解雇。现在团队只剩下一名全职开发人员:启动器的创始人凯文·巴里 (Kevin Barry)。巴里表示开发工作将继续进行他将继续负责该项目。但被解雇的团队成员表示Nova 的开发工作将不得不放缓。巴里也发帖称,与最初的计划相比,他需要减少 Nova下一个主要版本的功能和改进。被解雇的开发人员之一罗布·温赖特在该项目的 Discord 上写道:“随着应用开发人员的减少,开发速度无疑会放缓,但目前的计划是以某种形式继续进行更新。”
> 消息来源: [TheVerge] (https://www.theverge.com/2024/8/9/24217077/nova-launcher-layoffs-only-original-developer-remaining)
> 评论:[一个时代结束了,现在用第三方启动器的已经不多了](https://t.me/xhqcankao/12618?comment=645578)
### 5 中国品牌科沃斯家用机器人可能被黑客入侵用来监视房主
新研究发现,黑客可以控制科沃斯生产的扫地机器人和割草机,并使用这些设备的摄像头和麦克风监视房主。安全研究人员将于周六在 Def Con 黑客大会上详细介绍他们对科沃斯产品的研究。在分析多款江苏苏州科沃斯产品时研究人员发现了许多问题这些问题可被滥用来通过蓝牙入侵机这些产品并秘密远程打开麦克风和摄像头。研究人员表示主要问题在于存在一个漏洞任何人只要使用手机就能通过蓝牙从约130米远的地方连接并控制科沃斯产品。一旦黑客控制了该设备就可以远程连接因为设备本身通过 Wi-Fi 连接到互联网。研究人员说:“他们的安全性真的非常非常非常糟糕。”
> 消息来源: [Techcrunch](https://techcrunch.com/2024/08/09/ecovacs-home-robots-can-be-hacked-to-spy-on-their-owners-researchers-say/)
### 6 AMD 公布严重漏洞影响数亿个CPU几乎无法修复
“Sinkclose”是最近发现的高危漏洞影响了自2006年以来发布的几乎所有 AMD 处理器。此漏洞允许攻击者深入渗透系统使得检测或删除恶意软件变得极其困难。这个问题非常严重在某些情况下放弃受感染的机器可能比修复更容易。不过由于该漏洞18年来一直未被发现因此很可能未被利用过。AMD 也提供了新版固件和微码补丁,尽管并非所有受影响的处理器都已收到补丁。
> 消息来源: [tom's Hardware](https://www.tomshardware.com/pc-components/cpus/sinclose-vulnerability-affects-hundreds-of-millions-of-amd-processors-enables-data-theft-amd-begins-patching-issue-in-critical-chip-lines-more-to-follow)
**后续**: AMD 发布更新以缓解“Sinkclose”严重漏洞但不会覆盖较旧的CPU
AMD 产品安全部门已针对多个处理器系列发布了更新以缓解此问题但并非所有处理器系列都包含在内。AMD 没有计划更新其 Ryzen 1000、2000 和 3000 系列处理器或其 Threadripper 1000 和 2000 型号。
AMD 最近的大多数处理器都已收到缓解选项来处理该问题。这包括 AMD 数据中心的所有 EPYC 处理器、最新的 Threadripper 和 Ryzen 处理器。其 MI300A 数据中心芯片也正在获得补丁。当被问及更新的后果时,该公司表示“预计不会对性能产生影响”。因此,该公司可能仍在进行性能测试,以充分评估补丁对整体系统性能的影响。
攻击者需要访问系统内核才能利用 Sinkclose 漏洞,因此系统必须已被攻陷。这种攻击本身十分复杂,通常只有受国家支持的黑客才会使用。
> 消息来源: [Tom's Hardware](https://www.tomshardware.com/pc-components/cpus/amd-wont-patch-all-chips-affected-by-severe-data-theft-vulnerability-ryzen-1000-2000-and-3000-will-not-get-patched-among-others)
### 7 微软“画图 3D”将于11月4日下架和停更
Windows 操作系统内置的“画图 3D”应用内出现一条横幅“从2024年11月4日开始画图 3D 在微软商店中将不可用,并且不再接受将来的更新。”画图 3D 原本应该取代具有32年历史、具品牌标志性的传统绘图软件画图但现在情况发生了变化。微软在为该项目投入数年后决定停更画图 3D 应用。显然,这款应用只吸引了一小部分用户,微软因此决定不如将其彻底淘汰,而不是继续维护。
> 消息来源: [WindowsLatest](https://www.windowslatest.com/2024/08/10/microsoft-is-killing-off-paint-3d-after-trying-and-failing-to-replace-classic-paint-on-windows-11-10/)
> 评论: [画图3D当玩具还是挺好玩的](https://t.me/xhqcankao/12633?comment=646154)
### 8 CrowdStrike 因全球 IT 中断而获得“最史诗级失败”奖
当地时间8月10日在其软件更新引发全球 IT 崩溃的几周后CrowdStrike 并没有回避公众的关注。事实上,该公司总裁迈克尔·森托纳斯甚至登上被称为全球“安全界奥斯卡”的 Pwnie Awards 大奖的舞台,领取了“最史诗级失败”奖。颁奖典礼在 Def Con 黑客大会上举行。森托纳斯获奖感言的视频已在网上分享。与那些愿意给予 CrowdStrike 第二次机会的会议参与者类似,颁奖嘉宾听起来也很热情,并且感谢森托纳斯到场承认公司的错误。森托纳斯表示,他将把奖杯带回 CrowdStrike 总部并将其摆放在显眼地方。
> 消息来源: [Techcrunch](https://techcrunch.com/2024/08/11/crowdstrike-accepts-award-for-most-epic-fail-after-global-it-outage/)
### 9 华为HarmonyOS NEXT对Webview加入了风险网站检查API
ArkTS API 11+ 可以启用检查网站安全风险的功能。开发文档显示违规和诈骗网站的检查是默认启用的,不能通过此接口关闭;风险网站的检查是默认关闭的,可以通过此接口开启或关闭。
违规和诈骗网站的检查会发送 URL 哈希前缀和网站域名到服务器做检测,风险网站的检查会发送 URL 哈希前缀和脱敏 URL删除 URL 的查询参数)到服务器做检测。
> 消息来源: [HarmonyOS NEXT开发文档](https://developer.huawei.com/consumer/cn/doc/harmonyos-references-V5/js-apis-webview-V5#enablesafebrowsing11)
### 10 马斯克称X平台“或遭大规模网络攻击”与特朗普的访谈推迟
马斯克当地时间8月12日在社交媒体平台X发文称似乎该平台“遭大规模拒绝服务DDoS攻击我们正努力阻止它”。马斯克表示与特朗普的访谈直播将于美东时间12日晚20时30分开始并减少听众人数将在之后发布未经编辑的访谈音频内容。
马斯克对特朗普的采访原定于美东时间8月12日晚20时北京时间8月13日上午8时开始。
[界面新闻](https://weibo.com/5182171545/Os2KhDhuo) | [Elon Musk](https://x.com/elonmusk/status/1823152153445404990)
TheVege称该公司的一位消息人士证实并没有DDOS攻击X平台其他业务均正常马斯克骗人的概率为99%。
> 消息来源: [TheVerge](https://www.theverge.com/2024/8/12/24219121/donald-trump-elon-musk-interview-x-twitter-crashes)
### 11 研究人员警告,过多的迷因和“回复全部”电子邮件对气候有害
一项研究发现,存储在云服务器中的绝大部分数据都是“黑暗数据”,即只使用一次后就再也没有被访问过。像是梗、表情包和笑话等都存储在某个数据中心中,消耗能源。
拉夫堡大学的研究人员发现公司使用的数据中有68%永远不会再次使用,并估计个人数据也是如此。一张照片虽然不会产生巨大的影响。但如果手机中所有的照片累积起来,在能源消耗方面会产生相当大的影响。此外,由于用户数据也存储在云中,云运营商和科技公司有经济动机阻止人们删除垃圾数据。
因此研究人员建议人们少发送无意义的电子邮件并避免使用“回复所有”按钮”。一个常见的说法是每封标准电子邮件相当于4克的碳排放。如果考虑到人类所拥有的“旧数据”数量比如所有的数字照片那么累积起来将产生的负面影响将不可忽视。
> 消息来源: [Slashdot](https://news.slashdot.org/story/24/08/13/0010225/excess-memes-and-reply-all-emails-are-bad-for-climate-researcher-warns?utm_source=rss1.0mainlinkanon&utm_medium=feed)
### 12 五成求职者使用人工智能生成简历
约有50%的求职者正在使用人工智能撰写简历、求职信和完成评估在本已紧张的劳动力市场上低质量的求职简历令雇主和招聘单位不堪负荷。招聘平台Applied CEO孙达拉姆表示人工智能驱动应用“大量涌现”导致每个职位的求职者数量增加了一倍多。“我们确实看到了数量增加但质量下降的情况这意味着更难筛选。”许多大型雇主对使用人工智能持零容忍态度德勤、安永、普华永道和毕马威警告毕业生不要在申请中使用人工智能。人力资源公司Beamery对2500名英国员工的调查约有46%的求职者正在使用人工智能来搜索和申请职位。创意平台Canva对5000名全球求职者的调查显示其中45%的人曾使用人工智能来制作或改进简历。
> 消息来源: [英国金融时报](https://www.ftchinese.com/interactive/167269)
### 13 苹果宣布将开放 iPhone 的 NFC 芯片
苹果公司发文宣布,随着 iOS 18.1 发布,开发者将可使用 iPhone 内的安全元件,不通过 Apple Pay 和 Apple 钱包,在他们自己的应用中提供 NFC 无接触数据交换功能。使用新的 NFC 和 SE (安全元件) API开发者将可提供应用内无接触数据交换用于店内支付、车钥匙、闭环公交、企业工牌、学生证、家门钥匙、酒店钥匙、商家积分和回馈卡甚至活动门票等未来还将支持身份证件。
NFC 和 SE API 将通过即将发布的 iOS 18.1 开发者资源提供给澳大利亚、巴西、加拿大、日本、新西兰、英国和美国开发者,未来还将支持更多地区。
> 消息来源: [苹果新闻稿](https://nr.apple.com/dc5D2G7dT5)
### 14 高端自行车赛车现在容易受到黑客攻击
研究人员发现高端自行车赛车的无线变速系统易受黑客攻击这可能会对环法自行车赛等热门赛事产生影响。美国加州大学圣迭戈分校和美国东北大学的研究团队合作开展了这项研究。他们表示无线变速系统旨在让骑手更好地控制自行车。但这种现代化也带来新的问题即黑客漏洞。这些漏洞可能被利用获得不公平的优势通过操纵变速或干扰换挡操作可能导致撞车或受伤。研究人员发现通过记录无线变速系统的无线指令并重新传输可以使用“现成的设备”在10米范围内发起攻击。通过有针对性的干扰攻击还可禁用某辆指定自行车的变速功能。
> 消息来源: [TheVerge](https://www.theverge.com/2024/8/14/24220390/bike-hack-wireless-gear-shifters)
### 15 谷歌的 AI 搜索让网站面临严峻选择:共享数据或死亡
谷歌现在在搜索页面顶部显示基于人工智能的便捷答案,这意味着用户可能永远不会点击进入那些为这些结果提供数据的网站。但许多网站所有者表示,他们无法承受阻止谷歌人工智能总结他们的内容的后果。据出版商称,这是因为谷歌筛选网络内容以得出人工智能答案的工具与跟踪网页以提供搜索结果的工具是同一个。像网站封锁谷歌的人工智能竞争对手那样封锁谷歌也会妨碍网站在网上被发现的能力。对于出版商来说,这种困境尤其严重,他们面临着一个选择:是将自己的内容提供给人工智能模型使用,而这可能会使他们的网站过时;还是从谷歌搜索这个最大的流量来源上消失。此外,人工智能搜索周四扩展到另外六个国家 (印度、日本、墨西哥、印度尼西亚、巴西和英国)。
> 消息来源: [彭博社](https://www.bloomberg.com/news/articles/2024-08-15/google-s-search-dominance-leaves-sites-little-choice-on-ai-scraping)、[谷歌博客](https://blog.google/products/search/new-ways-to-connect-to-the-web-with-ai-overviews/)
### 16 Geekbench AI 性能基准测试工具发布
流行的基准测试实用程序 Geekbench 推出了新的跨平台工具用于评估设备在人工智能繁重工作负载下的性能。Geekbench AI 测量设备的 CPU、GPU 和 NPU以确定其处理机器学习应用程序的能力。为了探索不同的硬件如何响应不同的 AI 相关任务,该工具根据准确性和速度来评估性能,并支持不同的框架,包括 ONNX、CoreML、TensorFlow Lite 和 OpenVINO。Geekbench AI 提供三种评分:全精度、半精度和量化。
> 消息来源: [The Verge](https://www.theverge.com/2024/8/15/24221382/geekbench-ai-benchmark-software)、[下载测试工具](https://www.geekbench.com/ai/download/)
### 17 微软在 Windows 11 中取消了 FAT32 分区容量的 32GB 限制
微软今天在最新的 Windows 11 Canary 版本中取消了 FAT32 分区的 32GB 大小限制,现在允许的最大大小为 2TB。微软工程师在开发 Windows NT (Windows 2000) 时决定了此人为限制,对于当时常见的 16MB 容量的移动储存容器完全足够。但如果是在其他操作系统上或通过其他方法格式化的Windows 系统仍可以读取更大的 FAT32 文件系统。
微软宣布,这一变化将在 Canary 频道中的 Windows 11 Insider Preview Build 27686 中引入并在稍候推送至稳定版。但是这一变化仅适用于format 指令,基于图形界面的 Windows 磁盘格式化工具对 FAT32 文件系统仍然具有相同的人为 32GB 大小限制。
> 消息来源: [Bleeping Computer](https://www.bleepingcomputer.com/news/microsoft/microsoft-removes-fat32-partition-size-limit-in-windows-11/)[微软博客](https://blogs.windows.com/windows-insider/2024/08/15/announcing-windows-11-insider-preview-build-27868-canary-channel/)
### 18 开源下载器开发者被跨省,因被用于诈骗
开源下载工具 Aria 的开发者清空 Github 代码库。该开发者称“因Aria被诈骗份子使用导致我被跨省因此本项目源码永久删除。”
Aria是一个文件下载管理开源项目截至目前该项目有5.5k个Star。
> 消息来源: [AriaLyy commit](https://github.com/AriaLyy/Aria/commit/16e1fddca5996c1b2aba8b3284a0389f372ccf0b) | [风向旗参考快讯](https://t.me/xhqcankao/12781)
> 评论: <!-- [这就是中国](https://t.me/xhqcankao/12781?comment=651122) -->
> <!-- [株连九族的新版本](https://t.me/xhqcankao/12781?comment=651123) -->
<!-- 不得不说某些伟大的家伙不懂瞎搞是真的恶心人 -->
## 工具/软件推荐
### [Docker-OSX](https://github.com/sickcodes/Docker-OSX)
快速使用 Docker 启动一个 MacOS ~~实际上并没有那么快~~
### [GPT-SoVITS](https://github.com/RVC-Boss/GPT-SoVITS)
早些时候大火的 [GPT-SoVITS](https://github.com/RVC-Boss/GPT-SoVITS) 近期发布了 V2 版本,新增了:
* 对低音质参考音频合成出来音质更好
* 底模训练集增加到5k小时zero shot性能更好音色更像所需数据集更少
* 增加韩粤两种语言中日英韩粤5个语种均可跨语种合成
* 更好的文本前端持续迭代更新V2中英文加入多音字优化
相比V1V2对训练集的还原更好但也更容易学习到训练集中的负面内容
推荐与 [RefAudioEmoTagger](https://github.com/Alexw1111/RefAudioEmoTagger) 项目一起使用,基于[emotion2vec](https://www.modelscope.cn/models/iic/emotion2vec_base_finetuned/summary)对输入的音频进行情绪八分类(生气、厌恶、恐惧、开心、中立、其他、难过、吃惊)或[emotion2vec+large](https://www.modelscope.cn/models/iic/emotion2vec_plus_large/summary)对输入的音频进行情绪进行五分类(生气、开心、中性、伤心、未知)
[GPT-SoVITS指南](https://www.yuque.com/baicaigongchang1145haoyuangong/ib3g1e)
## 追踪
### [阿里云上海可用区N网络故障,疑似绝区零玩家过于热情](https://mmeiblog.cn/weekly/2024-10/index.html#5-%E9%98%BF%E9%87%8C%E4%BA%91%E4%B8%8A%E6%B5%B7%E5%8F%AF%E7%94%A8%E5%8C%BAN%E7%BD%91%E7%BB%9C%E6%95%85%E9%9A%9C-%E7%96%91%E4%BC%BC%E7%BB%9D%E5%8C%BA%E9%9B%B6%E7%8E%A9%E5%AE%B6%E8%BF%87%E4%BA%8E%E7%83%AD%E6%83%85)
Bilibili技术于8月6日发布文章: [7.2 我们机房断网了!](https://www.bilibili.com/opus/962409434131202101) 表示当时的宕机是由于物理光缆中断导致的,同时详细讲述了处理方案以及Bilibili的多活技术.

181
docs/2024/2024-16.md Normal file
View File

@ -0,0 +1,181 @@
---
title: Linuxcat周刊(第16期) Litespeed Cache 漏洞导致数百万 WordPress 网站暴露在攻击之下
tags:
- 通信
- 网络安全
- AI
- VPN
- 开源
- Google
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/16/00123-2845327900.webp
banner_img: /img/weekly/2024/16/00123-2845327900.webp
permalink: /weekly/2024-16/index.html
date: 2024-08-27 19:00:00
---
## 乐子
### 1 中国联通两条架空光缆遭破坏
![中国联通两条架空光缆遭破坏](/img/weekly/2024/16/cu.jpg)
影响范围: 美国4837网络
> 评论: 4837网又被鲨鱼咬了(bushi)
### 2 开源CDN Goedge被发现鉴权漏洞泄露了包括用户身份证件在内的大量图片
继被曝出[官方投毒](https://mmeiblog.cn/weekly/2024-12/index.html#30-GoEdge-%E7%96%91%E4%BC%BC%E8%A2%AB%E5%AE%98%E6%96%B9%E6%8A%95%E6%AF%92%E5%8A%AB%E6%8C%81%EF%BC%8C%E4%B8%BB%E5%9F%9F%E5%90%8D%E5%B7%B2%E6%9B%B4%E6%94%B9%EF%BC%8CWhois-%E8%AE%B0%E5%BD%95%E5%8F%91%E7%94%9F%E5%8F%98%E5%8C%96%E3%80%82)后有网友经测试再次发现重大问题。Goedge用户端上传的静态资源和实名认证时上传的身份证图片全部都在 /files/file 这个路由下只要用户端地址+/files/file?fileId=1 就可以获取到上传的图片附件(主控端也一样)
```
虽然上传身份证时在数据库的 isPublic 字段确实是不公开的但是goedge却没有判断这个字段还是可以公开访问。
目前只有一个临时解决方案在数据库执行这个这个命令把证件附件的状态改一下改了后就访问不了审核的时候也看不到这个bug还需要goedge那边进行修复
UPDATE edgefiles SET state = 0 WHERE type = 'user.idcard';
根据以上规则,写个脚本就可以批量拿到该系统上传的所有图片文件。
```
方能和安捷自家用的都是Goedge随便爬一下拿到不少身份证正反面和营业执照的图片。
> 消息来源: [kunkunk](https://www.nodeloc.com/d/7455)
### 3 AI马斯克骗走82岁老人近500万积蓄
近日外媒曝光了一种全新的数字诈骗诈骗犯利用复杂的AI工具制作特斯拉CEO马斯克等名人的视频并利用这些“AI名人”对各种虚假的产品或“投资”进行背书并承诺高额投资回报。
在其中一个典型案例中“AI马斯克”背书的一家所谓的外汇公司轻松骗走了一名82岁的退休老人超过69万美元约495万元人民币的毕生积蓄。
在这类骗局中诈骗犯通常先寻找一个真实的采访马斯克的视频再使用AI工具将他的声音替换并利用口型同步技术编辑马斯克的口型让视频看起来更加真实。对于普通人来说这种以假乱真的视频可能是非常难以辨别的。
> 消息来源: [新浪科技](https://weibo.com/1642634100/OsRZ2FVLJ)
### 4 Steam平台带宽使用量超载至历史最高峰
![Steam平台带宽使用量超载至历史最高峰](/img/weekly/2024/16/steam.jpg)
《黑神话悟空》开放预下载首日Steam平台带宽使用量超载至历史最高峰70Tbps此前为《赛博朋克2077》发售首日创下的50Tbps记录其中仅亚洲地区带宽使用量就占59.3Tbps [参考](https://store.steampowered.com/stats/content?l=schinese)
> 消息来源: [新闻在花频道](https://t.me/zaihuanews/26837)
### 5 网易云音乐“崩了” 知情人士称机房刚刚完成迁移
网易云音乐8月19日下午出现服务器故障网易云音乐对此回应称因基础设施故障导致网易云音乐各端无法正常使用目前正在加紧修复。知情人士透露“网易在贵州建立了机房旗下业务分阶段搬迁。2024年Q2网易云音乐刚刚完成了贵州机房的迁移新机房确实问题会多据说也节省了成本。”
更新网易云音乐发布声明称没有删库没有跑路故障已陆续修复。作为补偿8月20日0-24时云音乐搜“畅听音乐”用户可领取7天会员权益。
在修复期间,网易云反复横跳多次
> 消息来源: [凤凰科技](https://ishare.ifeng.com/c/s/v006--8SdHXG7C6ZNppHsCYezh0AnC0tNDHIbTD--xDDOORBhPPFCf5Gx9GcW0jJJL9Zpd)
### 6 巴基斯坦政府称使用VPN是导致该国网速变慢的原因反对者怀疑政府正在建墙
数周以来,巴基斯坦的互联网速度一直非常缓慢,但谁应该为此负责,这仍是一个有争议的问题。
活动人士称,国家正在建设中国式的互联网防火墙,以进一步控制网络空间。官员们对这些说法提出质疑,并将爬行速度降低的原因归咎于安全连接或 VPN (虚拟专用网络)的广泛使用。关闭互联网来压制异议是巴基斯坦和亚洲其他地区监管机构的常见做法。
自去年前总理伊姆兰汗引发骚乱以来,政府封锁了社交媒体平台,限制了网速,争取公众支持的斗争从街头蔓延到了数字空间。信息技术国务部长沙扎·法蒂玛周日表示,政府并不是近期网络放缓的原因。法蒂玛女士表示,“大量人口”一直在使用 VPN“这给网络带来了压力导致互联网速度变慢”。
> 消息来源: [BBC](https://www.bbc.com/news/articles/cj621kk020lo)
### 7 网信办工信部发《全国重点城市IPv6流量提升专项行动工作方案》
![全国重点城市IPv6流量提升专项行动工作方案](/img/weekly/2024/16/ipv6.jpg)
网信办工信部发《全国重点城市IPv6流量提升专项行动工作方案》针对8城北京、天津、上海、深圳、杭州、合肥、无锡、烟台在2025年6月前落实。
属地的视频、音乐、下载、云盘、社交、电商、游戏、新闻、应用商店等APP推动IPv6深度改造使其在固定和移动网络下均优先采用v6访问。
加快替换不支持IPv6的老旧家庭光猫。利用[以旧换新政策](https://t.me/tnews365/31011),引导用户更换老旧家庭路由器。
> 消息来源: [竹新社](https://t.me/tnews365/31237)
### 8 公安部:用户不是“持证”才能“上网” 没有网号、网证也可正常上网
新华社,近期,公安部、国家网信办等研究起草的《国家网络身份认证公共服务管理办法(征求意见稿)》,向社会公开征求意见,引发广泛关注。记者梳理当前公众关心的热点问题,采访了有关权威专家。
问题:网号、网证是什么?根据征求意见稿起草说明,网号是由字母和数字组成、不含明文身份信息的网络身份符号;网证是承载网号及自然人非明文身份信息的网络身份认证凭证。
通俗地说,网号是用户在网络空间中的身份编码,同时隐去了个人身份信息;网证是一种简化版的数字证书,在网络社交、即时通讯等法定实名制领域以及其他需要验证身份的场景,作为一种可选择的身份认证方式。
公安部第一研究所研究员于锐介绍:“用户不是‘持证’才能‘上网’,而是在需要证明身份的场景中多了一种更加安全、方便的选择,不需要反复向各个平台提供明文的个人身份信息。同时,原有的身份认证方式仍可继续使用,没有网号、网证也可正常上网。”
> 消息来源: [LoopDNS资讯播报](https://t.me/DNSPODT/5105)
### 9 谷歌开放 HeAR AI 模型 API1 亿条咳嗽声训练,辅助筛查、诊断和监测肺结核
谷歌公司于当地时间 8 月 19 日发布博文,宣布通过 Google Cloud API目前已经向研究人员开放健康声学表征Health Acoustic Representations简称 HeARAI 模型。
谷歌表示 HeAR 在各项任务中的表现均由于其它模型,在捕捉健康相关声学数据中的有意义模式方面表现出了卓越的能力。
> 消息来源: [Google Blog](https://blog.google/technology/health/ai-model-cough-disease-detection/)
### 10 美国一市长候选人欲用 ChatGPT 治理城市,遭 OpenAI 封号
据《卫报》报道,美国怀俄明州夏延市的市长候选人维克多・米勒计划在就职后使用一个由 AI 驱动的机器人来管理当地政府,该机器人被称为 VicVirtual Integrated Citizen由 OpenAI 的 ChatGPT 提供支持,号称可以处理大量数据并做出公正的决策。
OpenAI 随后关闭了米勒的账户,最终使得该机器人停止运行。根据 OpenAI 的说法,使用 AI 产品进行竞选违反了其政策。然而有报道称,米勒已经创建了另一个账户并又开发了一个定制的机器人。
> 消息来源: [卫报](https://www.theguardian.com/us-news/article/2024/aug/19/ai-mayor-candidate-victor-miller-cheyenne-wyoming)
### 11 iOS新Bug曝光四个字符可致iPhone崩溃
网络安全研究员Konstantin 发现,一个新的字符漏洞可导致 iPhone 和 iPad 崩溃。在滑动到 App 库后,在搜索框中输入 "":: 四个字符将导致Springboard 重置iPhone 会返回到锁屏界面。重置并非完全重启iPhone 只需几秒钟即可恢复正常。
测试发现,只需要输入 "": 和任何其他字符即可触发崩溃;重置问题似乎仅出现在运行 iOS 17 的设备上iOS 18 设备上如此操作不会导致重置,但会出现一些奇怪的问题,例如字符消失和设置应用崩溃。
> 消息来源: [新浪科技](https://weibo.com/1642634100/OtpiTzEZX)
### 12 贝锐向日葵发布自研操作系统OrayOS免费供路由器和IoT网关使用
贝锐发布了自研的嵌入式操作系统OrayOS该系统专为路由器和IoT网关等设备设计支持多种功能如路由器网关、SD-WAN网关、存储服务器及IoT网关等。OrayOS兼容x86、ARM、MIPS、RISC-V等多种架构平台并提供VM版本以支持PC、服务器或软路由设备上的部署。
OrayOS具备基础的路由与网络管理功能例如多WAN口设置、流量分析、行为管理和安全控制。安装此系统的设备能够实现异地组网并支持旁路组网。此外OrayOS还能应用于工控设备的远程监控与运维支持通过SMB/FTP进行文件共享并计划后续增加容器虚拟化和云应用商店等功能。
> 消息来源: [OrayOS](https://os.oray.com/)
### 13 中国已成 CNCF 全球第二大开源贡献国GitHub 用户活跃率全球第一
8 月 21 日KubeCon + CloudNativeCon + Open Source Summit + AI_dev China 2024 在香港拉开帷幕。CNCF 首席技术官 Chris Aniszczyk 表示,中国在 CNCF 托管的开源项目中贡献了近 100 万代码,稳居全球第二大开源贡献国之位。
GitHub 社区副总裁 Stormy Peters 在演讲中指出,中国的 1100 万开发者在全球开源和 AI 领域占据了重要位置。根据《2024 中国开源发展现状》报告,中国开发者不仅数量位居全球第三,活跃度更是全球第一,展现出极强的技术影响力。
> 消息来源: [IT之家](https://www.ithome.com/0/790/431.htm)
> 评论: [我以前看到过一个笑话:有个外国人说, 中国的程序员都很注重隐私他们都不会用自己的真实IP访问](https://t.me/zaihua/26920?comment=6098335)
### 14 OneInStack 疑似供应链投毒 Nginx
该工具在安装过程中,从恶意的镜像节点下载了被恶意篡改的 nginx 源码包。之后 nginx 被编译安装和运行,导致服务器被植入后门。
根据后门样本硬编码字符串特征,确认本次入侵攻击者使用的后门家族为 Noodle RAT。根据趋势科技发布的安全报告使用该恶意软件的攻击组织主要活动在亚太地区以间谍活动或经济利益为目的开展入侵活动。
> 消息来源: [Desync InfoSec的报告](https://mp.weixin.qq.com/s/c5O6EtpWWj1N8whVdiek8Q) | [持安科技的报告](https://m.sohu.com/a/782760876_121304381/?pvid=000115_3w_a)
### 15 后门通过 DNS 流量与 CC 服务器通信
赛门铁克研究人员报告了一种使用罕见技术的后门 Backdoor.Msupedge。它通过 DNS 流量与 C&C指令控制服务器通信。它的 DNS 隧道工具是基于公开代码的 dnscat2 工具。Msupedge 还通过 C&C 服务器ctl.msedeapi[.]net))域名解析到 IP 地址作为指令。解析后的 IP 地址的第三个八位组是一个开关语句,后门的行为将根据该八位组减去 7 的值而进行改变。攻击者可能是通过最近修复的 PHP 高危漏洞 CVE-2024-4577 入侵系统的,漏洞的危险评分 9.8/10影响 Windows 系统上安装的所有版本的 PHP成功利用漏洞允许远程执行代码。
> 消息来源: [Solidot](https://www.solidot.org/story?sid=79075)
### 16 微软macOS应用存在危险漏洞 但微软不这么看
思科 Talos 表示,微软 macOS 应用中的八个漏洞可能被恶意人员滥用,从用户设备录制视频和声音、访问敏感数据、记录用户输入以及提升权限。这些漏洞存在于 Excel、OneNote、Outlook、PowerPoint、Teams 和 Word 中,但微软告诉 Talos 不会修复这些漏洞。所有八个漏洞如下所示:
```
CVE-2024-42220 (Outlook)
CVE-2024-42004 (Teams work or school) (main app)
CVE-2024-39804 (PowerPoint)
CVE-2024-41159 (OneNote)
CVE-2024-43106 (Excel)
CVE-2024-41165 (Word)
CVE-2024-41145 (Teams work or school) (WebView.app helper app)
CVE-2024-41138 (Teams work or school) (com.microsoft.teams2.modulehost.app)
```
Talos 高级安全研究工程师弗朗西斯科·本韦努托表示:“微软认为这些问题风险较低,他们声称他们的一些应用需要允许加载未签名的库来支持插件,因此拒绝修复这些问题。”
但苹果的安全模型是基于权限的。例如,黑客可以利用 Word并将一些代码注入 Word 的进程,他们就能够访问受保护的资源。
> 消息来源: [The Register](https://www.theregister.com/2024/08/19/cisco_talos_microsoft_macos/)
### 17 Litespeed Cache 漏洞导致数百万 WordPress 网站暴露在攻击之下
LiteSpeed Cache WordPress 插件中存在一个严重漏洞,攻击者可以通过创建恶意管理员帐户来控制数百万个网站。
该插件的用户模拟功能中发现了未经身份验证的权限提升漏洞 ( CVE-2024-28000 (https://nvd.nist.gov/vuln/detail/CVE-2024-28000) ),是由 LiteSpeed Cache 6.3.0.1 及更高版本中的弱哈希校验引起的。安全研究员 John Blackbourn 于 8 月 1 日向 Patchstack 的漏洞赏金计划提交了这个漏洞。LiteSpeed 团队开发了一个补丁,并将其与 8 月 13 日发布的 LiteSpeed Cache 6.4 版一起发布。
```
安全研究员 John Blackbourn 于 8 月 1 日向 Patchstack 的漏洞赏金计划提交了这个漏洞。LiteSpeed 团队开发了一个补丁,并将其与 8 月 13 日发布的 LiteSpeed Cache 6.4 版一起发布。
成功利用该漏洞可使任何未经身份验证的访问者获得管理员级别的访问权限,通过安装恶意插件、更改关键设置、将流量重定向到恶意网站、向访问者分发恶意软件或窃取用户数据,可以完全接管运行易受攻击的 LiteSpeed Cache 版本的网站。
Patchstack 安全研究员 Rafie Muhammad 周三解释说:“我们能够确定,暴力攻击会迭代安全哈希的所有 100 万个已知可能值并将它们传递到 litespeed_hash cookie 中 - 即使以每秒 3 个请求的相对较低速度运行 - 也能够在几小时到一个星期内以任何给定的用户 ID 访问该网站。 ”
“唯一的先决条件是知道管理员级别用户的 ID 并将其传递到 litespeed_role cookie 中。确定此类用户的难度完全取决于目标站点,并且在许多情况下,使用用户 ID 1 即可成功。”
虽然开发团队已于上周二发布了修复此严重安全漏洞的版本但WordPress 官方插件库的下载统计数据显示,该插件的下载次数仅为 250 多万次,这意味着超过一半使用该插件的网站可能面临攻击。
```
> 消息来源: [Bleeping Computer](https://www.bleepingcomputer.com/news/security/litespeed-cache-bug-exposes-millions-of-wordpress-sites-to-takeover-attacks/)
### 18 中国联通拒收电信CN2的国际路由
据 DMIT (https://t.me/DMIT_INC/1041) 援引中国电信集团北京公司的消息中国联通现已确认拒绝接收任何来自中国电信CN2的国际路由。
据了解该变化影响中国联通用户接入CN2网络的能力原先通过CN2 GIA的去程发生改变回程目前未受影响。中国电信计划通过海外与中国联通进行互联以解决此问题。
DMIT 称,已注意到 AS4809(CN2)、AS23764(CTG) 与 AS10099(联通国际) 之间的对等网络出现拥塞,将接入香港、东京和洛杉矶的中国联通线路,以提高中国联通客户的网络质量。该运营商还重申了对 Pro 和 EB 系列产品网络质量的保证。
> 消息来源: [VPS信号旗播报](https://t.me/vps_xhq/640)
![下暴雨军训停了出来摸鱼](/img/weekly/2024/16/dy-rain1.png)
![WOW](/img/weekly/2024/16/dy-rain.jpg)
(下暴雨军训停了出来摸鱼,教室都成水帘洞了)

243
docs/2024/2024-17.md Normal file
View File

@ -0,0 +1,243 @@
---
title: Linuxcat周刊(第17期) Docker官方安装脚本以及镜像拉取 已被解封
tags:
- 网络安全
- 微软
- AI
- Docker
- GFW
- 通信
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/17/00128-1728563699.webp
banner_img: /img/weekly/2024/17/00128-1728563699.webp
permalink: /weekly/2024-17/index.html
date: 2024-09-09 12:47:20
---
## 乐子
### 1 卡巴斯基报告一个针对使用钉钉和微信的 macOS 用户进行攻击的后门程序
```
2024 年 6 月,我们发现了一个针对企业通讯软件钉钉和社交网络及消息平台微信的 macOS 版本 HZ Rat 后门程序。我们找到的样本几乎完全复制了 Windows 版本后门的功能,只在有效载荷上有所不同,该有效载荷是从攻击者的服务器以 shell 脚本的形式接收的。我们注意到,一些版本的后门使用本地 IP 地址连接 C2这让我们认为这一威胁可能是针对性的。这也表明攻击者可能意图利用该后门在受害者网络中进行横向移动。
```
最早的样本于 2023 年 7 月被上传至 VirusTotal在研究时尚未被任何厂商检测出与其他后门样本类似。安装程序形式上是合法应用程序“OpenVPN Connect”的包装程序
程序会尝试获取以下信息:
* 系统和设备信息,包括:本地 IP 地址;蓝牙设备信息;可用的 Wi-Fi 网络、无线网卡和设备所连接的网络信息;硬件规格;数据存储信息;
* 应用程序列表;
* 微信中的用户信息;
* 钉钉中的用户和组织信息;
* 来自 Google 密码管理器的用户名/网站值对。
在研究期间,发现有四个控制服务器处于活动状态并返回恶意命令。如前所述,在指定的 IP 地址中还有一些私有地址。此类样本可能用于控制受害者网络内的一台已感染计算机,该计算机作为代理将连接重定向到 C2 服务器。通常,这有助于隐藏网络上恶意软件的存在,因为只有具有代理的设备会与 C2 通信。
据 VirusTotal 显示,以上提到的安装包曾经从一家中国游戏开发商 MiHoYo 的域名下载: hxxp://vpn.mihoyo[.]com/uploads/OpenVPNConnect.zip。
研究人员发现的 macOS 版 HZ Rat 显示了幕后攻击者仍然活跃。调查期间,恶意软件仅收集用户数。此外,在研究期间,尚未发现两个后门命令(写文件到磁盘和将文件发送到服务器)的使用,因此攻击者的完整意图仍不明朗。
>消息来源: [securelist.com](https://securelist.com/hz-rat-attacks-wechat-and-dingtalk/113513/)
### 2 微软突然改口39年的经典控制面板不会被淘汰了
微软在一篇支持文章中提到“控制面板即将被淘汰deprecated将被新的系统设置应用全面取代提供更为现代、流畅的体验。”
但就在我们怀念这个拥有39年历史的经典功能之时微软却突然改口了
上述支持文章已修改说法:“控制面板中的大量设置正在转移到系统设置应用,提供更为现代、流畅的体验。”
>消息来源: XFASTEST(https://news.xfastest.com/microsoft/143930/)
>评论: [win10是最后一个版本☝](https://t.me/zaihua/27029?comment=6128506)
### 3 俄罗斯网络运营商优化Youtube访问
既然YouTube 并未被俄罗斯列入禁止服务清单那YouTube 就可以继续合法访问。因而网络运营商针对 YouTube 进行优化也是合法的。
运营商直接将俄罗斯的访问流量从谷歌位于俄罗斯的服务器重定向到欧洲的服务器。用户端无需做任何设置即可获得良好的体验。
此前俄罗斯声称这是由于谷歌停止在俄罗斯投资IT基础设施才造成这些问题。
>消息来源: [Cnbeta](https://www.cnbeta.com.tw/articles/movie/1443895.htm)
>评论: [法无禁止即可为](https://t.me/zaihua/27046?comment=6130083)
### 4 调查发现10%的未成年人称他们的朋友使用人工智能来制作其他孩子的裸照
根据非营利组织 Thorn 的一项调查10%的未成年人报告说他们的朋友或同学曾使用人工智能工具制作其他孩子的裸照。该调查于去年11月3日至12月1日通过在线进行向1040名年龄在9至17岁之间的未成年人询问了有关儿童性虐待材料和“有害的网络经历”的问题。调查发现七分之一的未成年人分享过自己的儿童性虐待材料(SG-CSAM)。例如一名17岁的未成年人自愿向其伴侣发送裸照。报告称“虽然这些事件背后的动机更可能是青少年的自控行为而不是故意实施性虐待但受害者所遭受的伤害是真实存在的不应为了逃避责任而将其最小化。”
>消息来源: [404media](https://www.404media.co/1-in-10-minors-say-their-friends-use-ai-to-generate-nudes-of-other-kids-survey-finds/) | [报告](https://info.thorn.org/hubfs/Research/Thorn_23_YouthMonitoring_Report.pdf?utm_source=substack&utm_medium=email)
### 5 韩国黑客利用 WPS Office 零日漏洞部署恶意软件
与韩国关联的网络间谍组织 APT-C-60 一直在利用 Windows 版 WPS Office 中的零日代码执行漏洞,在目标上安装 SpyGlace 后门。该零日漏洞被追踪为 CVE-2024-7262自至少 2024 年 2 月下旬以来就已被在野攻击中利用,但影响的版本从 12.2.0.131102023 年 8 月)到 12.1.0.164122024 年 3 月)。
金山软件在今年 3 月“悄悄”修补了这个问题,但没有通知客户该漏洞已被积极利用,促使发现该活动和漏洞的 ESET 今天发布了一份详细的报告 (https://www.welivesecurity.com/en/eset-research/analysis-of-two-arbitrary-code-execution-vulnerabilities-affecting-wps-office/)。除此之外ESET 的调查还发现了第二个任意代码执行的严重漏洞,追踪为 CVE-2024-7263金山软件于 2024 年 5 月下旬使用版本 12.2.0.17119 修补了该漏洞。
>消息来源: [Beeping Computer](https://www.bleepingcomputer.com/news/security/apt-c-60-hackers-exploited-wps-office-zero-day-to-deploy-spyglace-malware/)
### 6 据称巴基斯坦安装了过滤内容的网络防火墙
自八月份中旬以来巴基斯坦的互联网用户报告称WhatsApp 通过移动网络发送照片和视频以及其他内容的速度变慢,并出现问题。出于国家安全考虑,当局已经屏蔽了用户访问电报和社交网站 X。数字权利活动人士认为这种中断是由于政府安装了过滤内容的“防火墙”技术。数字权利组织 Bolo Bhi 主任乌萨马•希尔吉说:“据我们了解,这项技术由一家外国政府公司提供。”总理谢里夫的政府否认对此负责,官员们将网速问题归咎于海底电缆故障、网络攻击以及用户过度使用 VPN 来规避对某些社交媒体平台的限制。然而,信息技术部长卡瓦贾在本月的新闻发布会上确认,政府正在努力升级其网络管理系统,以保护巴基斯坦免受“网络安全攻击”。
>消息来源: [英国金融时报](https://www.ftchinese.com/interactive/169328)
>评论: [这项技术由一家外国政府公司提供](https://t.me/xhqcankao/13071?comment=668053)
### 7 CNNIC发布报告: 我国网民规模近11亿人
CNNIC 在 29 日发布了第 54 次《中国互联网络发展状况统计报告》,下面是总结:
1. 截至6月IPv6地址数量为 69080 块 /32 ;截至5月IPv6活跃用户数达 7.94 亿移动网络IPv6流量占比达 64.56%
2. 我国域名总数为 3187 万个,其中国家顶级域名“.CN”数量为 1956 万个,占域名总数的 61.4% ,连续十年位居全球第一
3. 我国新增网民 742 万人,以 10-19 岁青少年和“银发族”为主。其中,青少年占新增网民的 49.0% 50-59 岁、 60 岁及以上群体分别占新增网民的 15.2% 和 20.8%。
4. 在该群体首次使用的互联网应用中,短视频应用占比达 37.3%
5. 截至6月微短剧用户占网民整体的 52.4%
6. 截至6月短视频用户占网民整体的 95.5%
7. 截至6月长视频用户占网民整体的 65.2%
8. 上半年,超 500 万入境人员使用移动支付
>消息来源: [中国日报中文网](https://china.chinadaily.com.cn/a/202408/29/WS66d00abba310b35299d39168.html)
### 8 Python开发者调查55%使用Linux6%仍在使用Python 2
第7届年度Python开发者调查结果显示尽管Python 2已于2020年4月停止支持仍有6%的受访者在使用。55%的开发者使用Linux作为开发环境。Visual Studio Code是最受欢迎的IDE占22%。37%的受访者在过去一年中为开源项目做出贡献。近三分之一的受访者年龄在21-29岁之间。49%的受访者编程经验少于两年。在以Python为主要语言的开发者中数据分析和Web开发是最常见的应用领域各占44%。62%的受访者受雇于公司12%为学生。
>消息来源: [Slashdot](https://developers.slashdot.org/story/24/09/01/0256245/python-developer-survey-55-use-linux-6-use-python-2)
### 9 Windows 11 在 Steam 用户中占比突破 50%
2024 年 8 月的 Steam 平台调查显示Windows 11 在 Windows 用户中的占比已突破 50%,达到 50.81%,比上月增长了 3.36%。这表明 Windows 11 正在取代 Windows 10 成为主流。与此同时Windows 10 的占比降至 48.66%,而 Windows 7 和 Windows 8.1 的市场份额也在逐渐减少。
此外16 GB 内存已成为 Steam 用户中最常见的配置,占比 47.35%,而简体中文已成为最流行的语言,占比继续扩大达到 35.97%。
>消息来源: [Steam 硬件调查](https://store.steampowered.com/hwsurvey/Steam-Hardware-Software-Survey-Welcome-to-Steam?platform=pc)
### 10 ChatGPT被曝将新增8种语音ChatGPT将能更自然表达狗叫等声音
科技媒体testingcatalog 昨日报道称通过逆向工程 ChatGPT 应用,发现 OpenAI 即将扩充添加语音,让朗读的声音更加自然和富有表现力。
有迹象表明 OpenAI 未来可能会额外推出 8 种新的语音,每种语音都有一个独特的代号,后续可能会逐步推出。
这些新声音的另一个有趣特点是,它们能够更自然地表达声音,如动物叫声或其他非语言声音。
此外,在朗读加粗或斜体的文字时,它们还能传达或强调特定的情绪。不过,重要的是要记住,这些仍然是 TTS文本到语音语音很可能与目前处于 alpha 阶段的高级语音模式无关。
>消息来源: [新浪科技](https://weibo.com/1642634100/OveiJpoi6)
### 11 美国公司CMG利用手机麦克风监听用户对话
根据404 Media的一份报告考克斯媒体集团CMG他们的“主动监听”软件会利用手机麦克风来监听用户的对话并根据捕获的信息投放广告。CMG表示广告商可以将这些语音数据与用户的行为数据结合以便更好地针对消费者投放广告。
Meta目前正在调查CMG是否违反了相关条款并重申他们不会使用用户的手机麦克风进行广告投放。报告发布后Google已将CMG从合作伙伴名单中删除亚马逊也表示没有与CMG合作。
CMG在一篇已删除的博客中提到设备监听用户是合法的消费者在下载应用时通常会看到相关的使用条款。
>消息来源: [Insider Paper](https://insiderpaper.com/our-phones-are-really-listening-to-our-conversations-marketing-firm-reveals/)
### 12 一项研究表明,目前互联网上有 57% 的内容是 AI 生成的
结果质量和 AI 模型训练。随着 AI 内容泛滥Copilot 和 ChatGPT 等工具的知识范围不断缩小导致响应不准确和误导性信息增多。研究发现AI 生成的响应在每次尝试后都会在价值和准确性上退化。这种恶性循环源于 AI 工具过度依赖网上已有的 AI 生成内容,而这些内容往往未经事实核查就被发布。
OpenAI CEO 山姆·阿尔特曼承认,创建 ChatGPT 这样的工具离不开受版权保护的内容,但目前版权法并不禁止将这些内容用于 AI 模型训练。随着生成式 AI 快速普及区分真实与虚假内容变得越发困难。研究警告如果这一趋势持续搜索结果质量可能会进一步恶化AI 模型的训练效果也将受到严重影响。
>消息来源: [Windows Central](https://www.windowscentral.com/software-apps/sam-altman-indicated-its-impossible-to-create-chatgpt-without-copyrighted-material)
### 13 OPENAI 下一代模型将比 GPT-4 强百倍
在最近举行的 KDDI 峰会上OpenAI 日本子公司首席执行官长崎忠雄透露OpenAI 代号为“GPT-Next”的新一代模型性能预计将比现有的 GPT-4 模型强大 100 倍并计划在今年晚些时候发布。GPT-Next 模型性能的提升归功于其优化的架构设计和学习效率的改进,而不是单纯依赖于庞大的计算资源。他还透露,目前 OpenAI 全球员工不足 2000 人,其中约一半专注于人工智能开发。 OpenAI 的主要客户包括宣布苹果公司、可口可乐以及生物科技巨头莫德纳。
>消息来源: [科创板日报](https://www.chinastarmarket.cn/detail/1789734) | [印度快报](https://indianexpress.com/article/technology/artificial-intelligence/openai-japan-ceo-opens-up-about-gpt-next-9550440/)
### 14 Telegram 因用户滥用 Telegraph 储存功能禁用媒体上传
Telegraph 是由 Telegram 推出的简洁博客平台,允许用户快速创建无须注册的文章页面,适合发布短篇文章、图片、视频等内容。由于其极简的界面和匿名性,深受用户欢迎。
近期Telegraph 更新了其上传规则用户不再能够上传媒体资源如图片、视频等频道猜测原因可能是部分用户将其当作网盘或图片外链工具进行不当使用。同时官方更新公告也表示关闭原因是由于部分用户的滥用行为迫使平台采取措施。为维护平台安全和用户利益Telegram 决定禁用该功能,以防止进一步的滥用行为。
>消息来源: [Du Rove's Channel](https://t.me/durov/343)
### 15 谷歌照片美国测试“询问照片内容”功能由Gemini AI 模型驱动
谷歌在美国为Google Photos用户推出"询问照片内容"测试功能。该功能由Gemini AI模型驱动允许用户用自然语言询问照片信息如拍摄地点和时间。用户通过键盘输入问题AI根据照片内容给出答案。目前仅面向部分美国安卓和iOS用户开放测试。这一功能展示了AI在图像识别和自然语言处理方面的进步提升了照片管理体验。
>消息来源: [Google Blog](https://blog.google/products/photos/google-ask-photos-early-access/)
### 16 AI模型有望提前数月预测大地震
阿拉斯加费尔班克斯大学研究人员开发出新型AI模型可能在大地震发生前数月预测结果。该模型通过机器学习分析地震目录数据识别异常低震级活动预测大地震概率。
研究以2018年安克雷奇和2019年加州里奇克雷斯特地震为例发现大地震前约3个月出现异常活动。
尽管前景可期,研究人员强调需进一步测试,并考虑地震预报的伦理和实际问题。错误的警报可能导致不必要的恐慌、经济混乱和公众信任的丧失,而预测失误则可能带来灾难性的后果。
>消息来源: [cnBeta.COM](https://www.cnbeta.com.tw/articles/tech/1444988.htm)
### 17 Docker官方安装脚本以及镜像拉取 已被解封
get.docker.com 和 download.docker.com 国内现已经可以正常访问。
但是docker官网和拉取镜像的registry-1.docker.io 的地址依然是被墙的状态。(更:镜像也可以拉取了)
>消息来源: [TestFlight 在花频道](https://t.me/TestFlightCN/27252)
> 前序: [在中国访问 Docker 遭中国政府制裁](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-8.md)
### 18 青岛国际通信业务出入口局启动,将极大提升青岛国际网络传输能力
据央视报道9月5日青岛国际通信业务出入口局启动仪式在青岛国际会议中心举行。
建设青岛国际通信业务出入口局将极大提升青岛的国际通信能力,优化国际互联网架构,减少网络延迟,提高数据传输效率,为用户提供更优质的互联网体验。
启动仪式现场签署了《深化国际业务拓展战略合作协议》以及发布《加快构建国际通信发展新格局青岛共识》。
国际通信业务出入口局主要用于实现双方业务的互联互通和数据交换,关系到数亿用户能否顺利使用国际长途、上网等通信业务,有效支撑电信业务开放、跨境数据流动、国际数字贸易发展。
>消息来源: [VPS信号旗播报](https://t.me/vps_xhq/648)

132
docs/2024/2024-18.md Normal file
View File

@ -0,0 +1,132 @@
---
title: Linuxcat周刊(第18期) 哈佛大学学生改造 Meta 智能眼镜:添加面部识别功能 可联网搜索姓名
tags:
- AI
- 云服务
- 网络安全
- Cloudflare
- 域名
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/18/00132-2024387275.webp
banner_img: /img/weekly/2024/18/00132-2024387275.webp
permalink: /weekly/2024-18/index.html
date: 2024-10-03 15:51:40
---
## 乐子
### 1 OpenAI发布具有推理能力的人工智能
OpenAI推出了内部代号为“草莓”的新人工智能模型该模型可以执行一些类似人类的推理任务。该公司周四在一篇博客文章中表示这个名为o1的新模型在回复用户询问之前会“花更多时间思考”。有了这个模型OpenAI的工具应该能够解决多步骤问题包括复杂的数学和编程问题。 ChatGPT Plus和Team用户周四可以使用该模型的预览版本。 “作为一个早期模型它还没有很多让ChatGPT有用的功能例如浏览网页获取信息以及上传文件和图像” 该公司表示。“但对于复杂的推理任务而言这是一个重大进步代表了人工智能能力的新水平。鉴于此我们将计数器重置为1并将这个系列命名为OpenAI o1。”
> 消息来源: [彭博社](https://www.bloomberg.com/news/articles/2024-09-12/openai-releases-o1-model-with-reasoning-capabilities)
### 2 俄罗斯计划投入 590 亿卢布封堵 VPN
俄罗斯通信监管机构 Roskomnadzor 计划未来五年投入 590 亿卢布(约合人民币 45 亿)加强其网络流量过滤能力。这笔资金将用于升级过滤互联网流量的硬件,以及封堵或减慢特定资源的网速。俄罗斯在 2019 年通过了一项法律,允许完全切断与国际互联网的连接。俄罗斯声称此举旨在维护其互联网主权。在入侵乌克兰之后,俄罗斯屏蔽了多个外国社交媒体,迫使外国互联网公司退出,虽然很多服务仍然可通过 VPN 访问。网络过滤系统在升级之后将能更好的限制 VPN。Roskomnadzor 表示因流量的增长它每年都会购买新的过滤设备。
> 消息来源: [Solidot](https://www.solidot.org/story?sid=79220)
### 3 Tor 节点运营者遭德国警方突击搜查
德国 Tor 节点运营者于 8 月 16 日再次遭当地警方的突击搜查。第一次搜查是在 2017 年。德国警方可能仍然认为搜查节点运营者有助于去匿名化个别 Tor 用户的身份。运营者表示警方基本上是空手而归他们准备挑战搜查令以确保类似的事件不会再次发生。但此类行动也令节点运营者感到不安考虑停止运营出口节点。Tor 出口节点是构成 Tor 回路的三个中继的最后一跳连接了Tor 匿名网络与开放互联网,出口节点运营者面临最大的风险。
> 消息来源: [Solidot](https://www.solidot.org/story?sid=79221)
### 4 阿里云新加坡 C 区一机房锂电池爆炸导致火灾部分服务超144小时不可用
![阿里云新加坡 C 区火灾](/img/weekly/2024/18/aliyun-fire.png)
2024年9月10日10时左右阿里云新加坡可用区C机房因锂电池爆炸导致火灾目前云服务ECS、对象存储、云数据库等已经恢复,但终端时间超过144小时,在线率降低至约 98.356%
此次事件导致如PikPak、Lazada东南亚最大电子商务平台、字节海外服务均受影响PikPak目前服务不稳定。
> 消息来源: [阿里云健康看板](https://status.aliyun.com/#/?region=ap-southeast-1)
### 5 Google Search 携手互联网档案馆,为网页提供历史快照
Google Search 宣布与非营利研究图书馆互联网档案馆The Internet Archive合作为搜索结果添加历史快照功能。用户现在可以通过搜索结果旁的三点菜单点击"更多关于此页面"选项,直接访问互联网档案馆的"时光机"Wayback Machine功能查看网页的历史版本。
> 消息来源: [9to5Google](https://9to5google.com/2024/09/11/google-search-internet-archive-wayback-machine/)
### 6 新型攻击手法 GAZEploit 通过监测眼球运动破解苹果 Vision Pro 密码
安全研究人员发现了一种新的攻击方法,称为 GAZEploit针对苹果 Vision Pro 设备。该方法通过观察用户在视频通话期间虚拟头像 Persona 的眼球运动,能够推测出用户在输入密码时的注视点。研究团队发布了一段演示,显示如何通过跟踪眼球运动来精准检测用户输入密码时所关注的虚拟键盘按键。
研究人员分析了 30 名 Vision Pro 用户的眼球运动,得出的准确率高达 85.9%。当 Vision Pro 在独立模式中时虚拟键盘会根据眼动追踪显示用户所关注的按键。然而在视频通话中Persona 的眼睛会反映真实用户的眼动,攻击者因此可以通过监控眼球运动获取更多信息,包括输入的消息和网站地址,提升了潜在的安全威胁。
> 消息来源: [9to5mac](https://9to5mac.com/2024/09/12/gazeploit-vision-pro-passwords/)
### 7 “谷歌”正在失去作为动词的地位
大约二十年前谷歌达到了一个重要的里程碑。《韦氏词典》将“谷歌”作为动词收录意思是通过网络搜索某些内容。但如今该特殊地位已经开始下滑。伯恩斯坦研究公司分析师在研究报告中写道“再见了谷歌这个动词。年轻一代现在喜欢用搜索而不是谷歌一下。Z 世代,尤其是 α 世代几乎不再使用谷歌作为动词他们只是会说搜索一下。”在网上搜索一些东西Z 世代往往打开 TikTok 应用查看餐厅和酒店推荐。分析师解释道,或者他们会看到某个他们喜欢的创作者推荐一款让他们感兴趣的新产品,然后直接前往该品牌的应用或网站。
> 消息来源: [商业内幕](https://www.businessinsider.com/google-losing-status-as-verb-genz-2024-9?IR=T)
### 8 英特尔确认第13、14代酷睿桌面处理器不稳定问题将推出新版微代码修复
英特尔员工Thomas Hannaford在英特尔官网社区发帖确认第13、14代酷睿桌面处理器不稳定的根本原因是CPU核心的时钟树电路在高电压和高温度下可靠性老化可能导致时钟工作周期偏移进而引起系统不稳定。英特尔确定了四种可能导致Vmin Shift的操作场景并已经或计划推出相应的微代码更新来解决这些问题。
其中0x12B版本微代码将整合之前的0x125和0x129更新解决空载或轻负载下的高电压请求问题。英特尔正在与合作伙伴一起推出包含0x12B微代码的BIOS更新。
> 消息来源: [Intel Community](https://community.intel.com/t5/Processors/Intel-Core-13th-and-14th-Gen-Desktop-Instability-Root-Cause/m-p/1633442)
### 9 Linux惊现漏洞最高9.9分
Linux系统中存在一个高危的远程代码执行漏洞该漏洞存在于Unix打印系统CUPS中特别是当用户运行CUPS并启用了cups-browsed服务时有被攻击的风险。该漏洞已经分配了CVE编号分别是CVE-2024-47176、CVE-2024-47076、CVE-2024-47175和CVE-2024-47177。
目前部分发行版以提供修复,这里有一些缓解措施如禁用cups-browsed打印服务、限制对UDP端口631的访问等。
CVE-2024-47176 (https://nvd.nist.gov/vuln/detail/CVE-2024-47176)
很多 Linux 在 VPS 上面那种几百 M 的精简版受到波及的可能性不高
> 消息来源: [科技圈🎗在花频道📮](https://t.me/TestFlightCN/27688)
### 10 uBlock Origin Lite 从 Firefox 下架,开发者抨击 Mozilla 审核制度
uBlock Origin Lite 因 Mozilla 审核失误,被错误指控使用混淆代码和收集用户隐私数据,现已从 Firefox 扩展商店下架。
尽管 Mozilla 承认错误并道歉,开发者 Raymond Hill 仍对审核流程的系统性问题表达不满认为其不透明且沟通低效对开源开发者造成负面影响。Hill 终止了对 Firefox 商店的支持,并将专注于 uBlock Origin 完整版本。
> 消息来源: [Pcworld](https://www.pcworld.com/article/2474353/popular-ad-blocker-removed-from-firefox-extension-store.html)| [Github Issue](https://github.com/uBlockOrigin/uBOL-home/issues/197)
### 11 Cloudflare 重新开始推出 ECH 功能并推出 Zstandard 压缩和 HTTP/3 优先级特性
Cloudflare 通过[博客更新](https://blog.cloudflare.com/new-standards/)了多项网络架构重大改进。加密客户端问候 (ECH) 是 ESNI 的后继者,可屏蔽用于协商 TLS 握手的服务器名称指示 (SNI),防止中间人窥探用户正在访问的网站。每当用户访问启用了 ECH 的 Cloudflare 网站时除了用户、Cloudflare 和网站所有者之外没有人能够确定访问了哪个网站。Cloudflare 将其弥补了互联网隐私最后的重大缺陷。该特性于2023年9月[首次启用](https://blog.cloudflare.com/announcing-encrypted-client-hello/),数星期后因兼容性问题而被[全局禁用](https://community.cloudflare.com/t/early-hints-and-encrypted-client-hello-ech-are-currently-disabled-globally/567730)。在与浏览器厂商合作解决该问题后,今天该特性已开始重新开始推出,默认对所有免费用户启用,付费用户可以从控制面板手动启用。
Cloudflare 还为所有用户启用了 Zstandard (zstd) 压缩算法,其数据压缩速度比 Brotli 快 42%,同时保持几乎相同的压缩级别。与 GZIP 相比Zstandard 还将文件大小减少了 11.3%同时保持了相当的速度。在第四季度Cloudflare 将启用 HTTP/3 优先级支持。HTTP/3 优先级旨在通过智能管理向用户提供 Web 资源的顺序来提高网页加载的效率和速度。
> 消息来源: [VPS信号旗播报](https://t.me/vps_xhq/655)
### 12 公告显示 .WIKI .VIP 等10个域名中国注册管理机构将变更预计不影响用户使用
北京拓扑维度科技有限公司已[表示](https://toplevel.ink/30-day-notice.html)将变更 [.]INK/[.]WIKI 中国注册管理机构,根据《互联网域名管理办法》,拓扑维度已提交[.]INK/[.]WIKI 终止经营申请。待终止经营获批后,北京戈达迪商域科技有限公司向工信部提交[.]INK/[.]WIKI 互联网域名服务许可证申请,并在获批后成为[.]INK/[.]WIKI 新注册管理机构。当域名注册管理机构许可被注销后域名无法申请工信部 ICP 备案。
据了解Registry Services, LLC 是[.]INK/[.]WIKI 注册管理机构,北京戈达迪商域科技有限公司是 Registry Services, LLC 的子公司。
根据[工信部公示](https://www.miit.gov.cn/zwgk/wjgs/art/2024/art_b64fa7c6a9014ed1ba39feb85587641d.html)文件,北京明智墨思科技有限公司也提交了申请终止经营“.VIP”“.BEER”“.LAW”“.WORK”“.FASHION”“.LUXE”“.YOGA”“.FIT”等8个顶级域相关业务并注销上述8个顶级域域名注册管理机构许可。暂时没有找到相关企业的变更通知预计将会采取同上类似措施。
> 消息来源: [VPS信号旗播报](https://t.me/vps_xhq/656)
### 13 哈佛大学学生改造 Meta 智能眼镜:添加面部识别功能 可联网搜索姓名
哈佛大学的两名学生改造了一副 Meta X 雷朋智能眼镜,添加了基于人工智能的面部识别技术,打造出一款能够实时识别人物的可穿戴设备。经过改进的 Meta 智能眼镜能够使用摄像头扫描陌生人的脸部以获取其姓名,并且还可以从存储此类数据的互联网网站提取家庭住址、电话号码和家庭成员等信息。两名学生 AnhPhu Nguyen 和 Caine Ardayfio 在公共场合演示了这副眼镜。Ardayfio 走到一位陌生人面前,扫描了她的面孔,获得了她的名字和相关信息,然后从搜索结果显示某个与她有关的企业里假装认识她。第二次演示中,随机识别了一位男性并发起对话,根据眼镜显示的信息假装读过他的作品。
> 消息来源: [404 Media](https://www.404media.co/someone-put-facial-recognition-tech-onto-metas-smart-glasses-to-instantly-dox-strangers/)

247
docs/2024/2024-19.md Normal file
View File

@ -0,0 +1,247 @@
---
title: Linuxcat周刊(第19期) 苹果研究员质疑大语言模型LLM的推理能力认为其仅是复杂的模式匹配
tags:
- AI
- Apple
- Google
- SSL/TLS证书
- Windows
- 爬虫
- OpenAI
- 网络安全
- 蟑螂
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/19/00002-3576942505.webp
banner_img: /img/weekly/2024/19/00002-3576942505.webp
permalink: /weekly/2024-19/index.html
date: 2024-10-20 19:38:16
---
## 乐子
### 1 Google Lens 现可让用户通过视频进行搜索
10月4日如果用户无法仅通过图片捕捉到想要搜索的内容Google Lens 现在将允许用户拍摄视频,甚至可以使用语音询问您所看到的内容。该功能将根据视频内容和用户的问题显示人工智能摘要和搜索结果。该功能今天在安卓和 iOS 上的搜索实验室中推出。谷歌在 5 月份的 I/O 大会上首次展示了使用视频进行搜索的功能。谷歌举例来说,对水族馆里的鱼感到好奇的人可以将手机举到展品前,打开 Google Lens 应用,然后按住快门按钮。一旦 Lens 开始录制,他们就可以提出问题:“为什么它们会一起游泳?”然后 Google Lens 使用 Gemini AI 模型提供响应。
> 消息来源: [TheVerge](https://www.theverge.com/2024/10/3/24259759/google-lens-search-video-ai-launch)
### 2 谷歌日本打造莫比乌斯环 Gboard 实体键盘
谷歌日本宣布推出类似于莫比乌斯环的实体键盘。谷歌表示,迄今为止我们开发的键盘,都只关注了键盘表面的问题。于是就开发出了这款里外连在一起的 Gboard 双面版本。键盘由26个模块组成其中每块上有8个按键相互之间扭转后连接做成了不区分正反的设计。谷歌已将设计文档与固件发布到 [GitHub](https://github.com/google/mozc-devices/tree/master/mozc-doublesided)。
> 消息来源: [谷歌日本](https://landing.google.co.jp/double-sided/)
### 3 网友发现使用这个 KEY 激活 Windows 10/11 系统会导致循环崩溃只能重装
在 X 上有网友发现某个神奇的 KEY安装这个 KEY BFXT4-MY2GY-MBCRK-PBN7B-HT963 后系统会自动重启接着就是循环崩溃,目前没有任何办法能够修复系统。
至于这个 KEY 为什么会导致系统循环崩溃目前也不清楚,这可能会被恶作剧者利用,各位在网上寻找密钥时应谨慎避免上当。
> 消息来源: [蓝点网](https://ourl.co/105995)
不可靠消息:
> [这是中国特供版的key。系统没有中文语言包直接挂逼。](https://t.me/Naixi2tg/3267)
### 4 字节跳动推出了新的网络爬虫,激进抓取网络数据
短视频应用 TikTok 的中国母公司字节跳动在4月份发布了自己的网络爬虫或抓取机器人名为 Bytespider。尽管 TikTok 有可能在未来几个月内在美国被禁但字节跳动仍在积极抓取用户数据。数据显示在过去六周内Bytespider 的抓取活动每周都会出现大幅增长,每日请求量已经达到 GPTbot 的25倍。
研究显示字节跳动的机器人已迅速成为互联网上最激进的抓取工具。它抓取数据的速度是其他大公司的数倍例如谷歌、Meta、亚马逊、OpenAI 和 Anthropic这些公司使用自己的抓取机器人来帮助创建和改进大模型。研究显示Bytespider 机器人并不尊重 robots.txt 文件,虽然该文件不具有任何法律约束力,但它表示抓取机器人不能获取该网站的数据。
> 消息来源: [财富](https://fortune.com/2024/10/03/bytedance-tiktok-bytespider-scraper-bot/)
### 5 网易云音乐正在封杀网页版模拟登录
据酷安网友分享的消息,近期网易云音乐调整风控系统并封杀通过网页版模拟登录的账户,不少用户因为使用第三方客户端、第三方脚本导致账号被冻结。好消息是网易云此次采取的措施并非永久冻结账号,部分账号触发风控系统后被冻结 3~7 天,到期后就会自动解封。在 GitHub 上也有不少网友在讨论这个问题,目前普遍情况是如果网易云检测到通过第三方 API、网页版模拟登录或第三方脚本使用 Cookies 等方式登录,都会触发风控机制。
> 消息来源: [蓝点网](https://www.landiannews.com/archives/105994.html?utm_src=ourl)
### 6 2024年诺贝尔物理学奖及化学奖颁给了计算机相关研究
2024年诺贝尔物理学奖授予约翰·霍普菲尔德和杰弗里·欣顿以表彰其在使用人工神经网络的机器学习方面基础性发现和发明的贡献。
2024年诺贝尔化学奖由David Baker以及来自谷歌DeepMind公司的Demis Hassabis和John M. Jumper平分以表彰他们在计算蛋白质设计和蛋白质结构预测的贡献。
去年2月David Baker团队在Nature发表论文 开发了可以从头设计人造荧光素酶的深度学习算法,为科学界首次基于深度学习的人工智能来创造全新的酶。
去年4月David Baker团队在Science发表论文 开发了一种基于强化学习的蛋白质设计软件,并证明了它有能力创造有功能的蛋白质。
DeepMind科学家Demis Hassabis 和John Jumper因创造了一项能够预测蛋白质三维结构的革命性技术AlphaFold在去年9月获得了美国医学最具声望的生物医学奖项拉斯克奖。
> 消息来源: [LoopDNS资讯播报](https://t.me/DNSPODT)
### 7 影视飓风下架《清晰度不如4年前视频变糊是你的错觉吗》科普视频
影视飓风发布《清晰度不如4年前视频变糊是你的错觉吗》科普了视频平台为了降低流量费用支出。通过降低视频码率改变编码格式等方式压缩博主上传的视频画质。在科普视频中潘天鸿表示这种压缩视频画质的方法已经影响了博主的内容表达。
截至9日中午该视频在B站获得超过40万播放。9日14点38分@影视飓风MediaStorm 发博称:“因为多方原因,有关清晰度的视频只能全网下架了,我们仍然希望互联网技术可以不断演进,让大家看到更清晰的视频。 ”
> 消息来源: [影视飓风 MediaStorm](https://weibo.com/1044980795/OAKeqgw4U)
**相关评价:**
『在国内,运营商是绝对强势,只有它收钱的道理。你优酷想要发展华南用户,就必须来我电信骨干网拉条线。在这个模式下,网站运营者需要向运营商付出带宽费用,来保障用户访问速度。
在国外Google是绝对强势你一个运营商访问 Google 都这么卡,等着用户换宽带品牌吧。所以,运营商要用 Peering 主动和 Google 的机房对接。在这个方向下,网站运营者不额外付费甚至能管运营商要钱,用于改善用户访问。』
> 来源: [知乎大巴扎](https://t.me/zhihu_bazaar/6170)
国内运营商电信移动联通是完全垄断的随着政策对于c端用户持续降费的要求通信服务商为了盈利就只能向b端用户加钱。因为垄断b端用户在国内运营没法选择运营商所以在同样用户规模的情况下只能选择承受比国外同类企业更高的通信成本。
但其实运营商的负担也很大这些年国家推广5G运营商有指标要采购某些很昂贵的设备这些设备从商业和经济角度并不值得。
> 来源: [知乎](https://www.zhihu.com/question/790765906/answer/4603255774)
### 8 安全研究员展示使用打火机电弧获取root权限
著名安全研究员 David "retr0id" Buchanan 通过利用打火机上的压电点火器翻转其内存中的位,成功利用运行笔记本电脑的软件来获取 shell。Buchanan 承认,他的实验需要对目标设备进行一些不太精细的硬件修改,“如果你将一根约 10 厘米长的‘天线’线连接到笔记本电脑的 DRAM 数据总线上,它就会对电磁干扰变得格外敏感,以至于点击附近的压电弧光打火机都会引起位翻转。”相关的概念证明程序已经发布到 GitHub (https://github.com/DavidBuchanan314/dram_emfi/blob/348bd15c9e767bff5968a4fcc80a97b81dc63bda/ddr3_dq7.py) 上。
通过一些额外的步骤Buchanan 成功地改变了机器逻辑,获取到 root 权限,让他可以读写物理内存中的任何一点。 他只需在天线附近打响普通压电打火机,就能在机器内存中诱发有针对性的比特翻转错误,从而获得访问权限。这种方法的成功率并不完全是 100%,通常"需要点击几次打火机才能获得良好的效果"。 尽管如此,该演示仍然让人大开眼界,展示了电磁故障注入攻击的范围。
> 消息来源: [Hackster](https://www.hackster.io/news/david-buchanan-opens-a-shell-on-his-laptop-the-hard-way-with-a-controlled-electromagnetic-pulse-791463b9118b)
### 9 OpenAI 推出人工智能工程基准测试 先给自家 o1-preview 最高分
OpenAI创建了一个名为MLE-bench的新基准以评估人工智能代理开发机器学习解决方案的程度。MLE-bench 专注于两个关键领域:选择代表当前 ML 开发中具有挑战性的任务,并将 AI 结果与人类表现进行比较。该基准包括75个Kaggle竞赛项目旨在衡量机器学习工程中自主人工智能系统的进展。
在最初的实验中带有AIDE框架的o1-preview模型取得了最佳效果。它在16.9%的比赛中至少获得了一枚铜牌。每次竞赛时更长的处理时间能产出更好的结果而额外的GPU功率没有产生重大影响
> 消息来源: [The Decoder](https://the-decoder.com/openais-own-ai-engineering-benchmark-gives-o1-preview-top-marks/)
### 10 复盘上交所爆单宕机事件:问题源于信创 最后靠重启系统解决
9月27日上交所因系统负载过高导致交易缓慢异常部分券商客户端崩溃。尽管成交量不大但交易堵塞依然严重。9月29日问题通过重启系统解决。专业人士指出问题源于上交所老旧的系统在高负载下内存耗尽而信创改造导致的兼容性问题也可能是关键原因之一。
相比之下,深交所的交易系统尚未出现异常。据悉,深交所的系统早期源于 IBM 的一套技术后买下版权自主研发出了第五代交易系统⸺STSV5完全基于开放平台和分布式架构于 2016 年 6 月上线。
> 消息来源: [cnbeta](https://www.cnbeta.com.tw/articles/tech/1448961.htm)
### 11 苹果研究员质疑大语言模型LLM的推理能力认为其仅是复杂的模式匹配
苹果研究员Mehrdad Farajtabar等人发表的论文对大型语言模型LLM的推理能力提出质疑认为LLM所谓的“推理”能力实际上只是复杂的模式匹配并非真正的逻辑推理。研究团队开发了GSM-Symbolic工具基于GSM8K测试集生成符号模板发现目前的LLM如Llama、Phi、Gemma、Mistral 等开源模型,以及 GPT-4o 和 o1 系列等闭源模型对专有名词和数字的更改非常敏感显示出对数学概念理解的不足。实验结果显示即使在参数和数据量增加的情况下LLM的推理能力并没有实质性提升只是成为了“更好的模式匹配器”。
> 消息来源: [arxiv](https://arxiv.org/pdf/2410.05229)
### 12 中国网安机构揭露美国全球监听活动
中国网络安全机构近日发布报告揭示美国长期实施的全球网络间谍行为。报告指出美国国家安全局NSA利用其在全球互联网中的技术优势控制了大西洋和太平洋的海底光缆关键节点并建立了7个全流量监听站点进行无差别的全球网络数据监控。美国还与英国国家安全中心合作解析并提取海底光缆中的数据广泛获取全球用户信息严重威胁网络隐私与安全。
此前华尔街日报曾报道美国声称屡次打击了中国黑客组织的多次侵入活动如黑客组织“Flax Typhoon”通过路由器和摄像头等设备入侵美国网络的行动以及今年1月“Volt Typhoon”的渗透行动。
> 消息来源: 微博 (https://weibo.com/2656274875/OBtKumyuz) | 华尔街日报(英文) (https://www.wsj.com/politics/national-security/china-cyberattack-internet-providers-260bd835)
> 评论: [<!-- *F* -->G**监控了多少人 ](https://t.me/TestFlightCN/28005?comment=6319011)
### 13 淘宝官方今天发文宣布,网页版摸鱼皮肤正式上线
在淘宝网顶部新增的按钮“选择主题”中即可查看目前已上线的皮肤款式。目前共有7大选择可以切换为Excel、钉钉、邮箱等皮肤。
皮肤链接:[https://jianghu.taobao.com/challenge.html](https://jianghu.taobao.com/challenge.html)
> 消息来源: [CNbeta](https://www.cnbeta.com.tw/articles/tech/1449243.htm)
### 14 美国奥斯汀Instagram排名第一的餐厅食物照片均为AI生成
Ethos_atx自称美国奥斯汀第一大热门餐厅拥有近73,000名Instagram粉丝和大量积极评价但其所有内容皆为AI生成。
尽管其帖子获得数千点赞但许多用户对此毫无察觉甚至称赞那些虚构的美食摄影。该餐厅还销售AI生成的商品如手机壳和T恤目前尚不清楚该账号的最终目标是什么。
> 消息来源: [usermag](https://www.usermag.co/p/the-1-restaurant-in-austin-doesnt)
### 15 将 Android 手机变成监听工具
之前的实验表明智能手机中的陀螺仪和加速计等惯性测量单元IMU可以通过检测声波振动监听对话。这意味着即使是一个没有开启麦克风权限的应用程序也可以通过 IMU 获得对话内容。为了不让攻击者获得准确信息Google 将 Android 应用从 IMU 采样数据的频率限制在每秒 200 次,使攻击者无法准确获得对话内容。
根据发表在预印本平台 arXiv 上的预印本,研究人员发现了一个漏洞——通过欺骗陀螺仪和运动传感器在时间上稍微偏移地进行测量,将应用实际采样率从每秒 200 次提高到 400 次,可以突破上述保护措施。利用这种方法,攻击者能修复获得的音频量大大提升。与每秒仅采集 200 个样本相比,他们的方法在 AI 转录时单词错误率降低了 83%。这表明,目前的安全保护措施“不足以防止复杂的窃听攻击发生”,应该对其重新评估。
> 消息来源: [Solidot](https://www.solidot.org/story?sid=79499)[Arxiv](https://arxiv.org/abs/2409.16438)
群友提醒💪:关机也未必管用,得看手机的设计。目前的手机设计一体式更换电池的时候你就算关机了,但手机也不是关机,只是深度休眠而已,定位之类的如果设计方式上有需要完全可以做到。手机屏幕不亮,但是后台数据完全低休眠度的运行,即 gps 定位、摄像头、录音等等等的。
> 消息来源: [科技圈🎗在花频道📮](https://t.me/TestFlightCN/28056)
### 16 小米 Vela 系统代码即将开源,开启先锋体验计划
Vela 是小米基于开源实时操作系统 NuttX 打造的物联网嵌入式软件平台,最小系统仅需 8KB 内存CPU 主频不限,适配任意 SoC 多核架构,支持柔性部署。
在去年底的 2023 小米 IoT 生态伙伴大会上,小米宣布将开源 Vela 系统。
目前小米已开启 Vela 开源先锋体验计划活动招募,官方表示 Vela 代码即将开源,将对外公开超过 1000 万行的 Xiaomi Vela 开源代码。
> 消息来源: [新浪新闻](https://finance.sina.com.cn/tech/roll/2024-10-16/doc-incstaqz0494298.shtml)
### 17 摩尔线程首个DX12驱动发布
摩尔线程内测DX12驱动并在「摩卡玩家」社区启动「Alpha行动」召集更多玩家对DX12内测版驱动进行体验和反馈以加速驱动的迭代速度。目前DX12已有超过500款游戏支持其中不少知名游戏只能在DX12下运行例如《艾尔登法环》《死亡搁浅》。
> 消息来源: [快科技](https://news.mydrivers.com/1/1008/1008326.htm)
### 18 黑客现在会诱导用户访问终端以绕过macOS Sequoia中的防火墙
网络安全研究人员目前确认了一种新的攻击载体,其回避了常规的“右键单击打开”,而倾向于欺骗用户将恶意代码(通过.txt文件直接拖放到终端中。这个新信息竊取器的特定样本将以Cosmical_setup的名义进行并正在被跟踪为Amos-affiliated。
攻击者首先会向受害者交付磁盘映像文件DMG受害者之后被指示打开终端应用程序而不是右键单击安装而是被要求将“.txt”文件直接拖放到终端窗口中。这个看似无害的“.txt”文件实际上是一个恶意的Bash脚本。一旦放入终端它会触发osascript的执行然后运行AppleScript命令。
> 消息来源: [9to5mac](https://9to5mac.com/2024/10/17/security-bite-hackers-are-now-directing-users-to-terminal-to-bypass-gatekeeper-in-macos-sequoia/)
### 19 Cloudflare的安全措施可能无意中阻止RSS订阅用户访问网站内容
Cloudflare前不久推出了“机器人战斗模式”和“阻止所有AI抓取器和爬虫”功能这些措施可能无意中阻止了合法的RSS订阅用户访问网站内容。Cloudflare使用AI生成的分数来评估访问者是否为AI抓取器或机器人而RSS阅读器在尝试访问网站时会收到无法完成的挑战导致访问被阻止。
网站所有者可以通过在Cloudflare仪表板中识别RSS阅读器的用户代理并将它们的IP地址或用户代理字符串列入白名单以解除对RSS阅读器的屏蔽。
> 消息来源: [Tops Tip](https://topstip.com/using-cloudflare-may-hinder-rss-subscribers-from-accessing-website-content/?via=E07513)
### 20 朝鲜黑客利用新发现的 Linux 恶意软件攻击银行 ATM
受朝鲜政府支持的黑客在入侵了运行 AIXIBM 专有的 Unix 版本)和 Windows 的银行基础设施之后,现在已将攻击范围扩大到 Linux。该恶意软件名为 FASTCash是一种远程访问工具安装在受感染网络内处理支付卡交易的支付交换机上。FASTCash 的目的是破坏银行间网络内的一个关键交换机该恶意软件驻留在连接发卡域和收单域的银行间交换机的用户空间部分。当使用被盗卡进行欺诈性转账时FASTCash 会篡改交换机,发卡机构拒绝交易的消息被更改为批准。
上周末,一名研究人员报告称,发现了两个运行在 Linux 上的交换机 FASTCash 样本。其中一个样本是为 Ubuntu Linux 20.04 编译的,很可能是在 2022 年 4 月 21 日之后的某个时间开发的。另一个样本可能未被使用。截至周日,只有四个反恶意软件引擎检测到每个样本,检测次数为零。
> 消息来源: [ArsTechnica](https://arstechnica.com/security/2024/10/north-korean-hackers-use-newly-discovered-linux-malware-to-raid-atms/)
### 21 微软 Win11 24H2 Recall AI 功能被曝捆绑文件管理器,卸载会影响后者运行
微软在 Windows 11 24H2 系统中将“回顾”RecallAI 功能捆绑文件管理器,卸载后可能会影响文件管理器正常使用。例如,尝试卸载时会导致 Explorer 出现故障。
GitHub 上的讨论表明Recall 作为系统工具深度植根于 Windows 中,未来可能无法完全移除。有用户反馈卸载 Recall 功能之后,文件管理器可能会无法正常运行,或者“回滚”到旧版 Windows 文件管理器中。
> 消息来源: [新浪科技](https://finance.sina.com.cn/tech/digi/2024-10-18/doc-incsyfsx5408940.shtml)
### 22 字节跳动大模型训练被实习生攻击,涉事者已被辞退
今年6月字节跳动商业化技术团队遭遇了由实习生引发的模型训练问题训练效果不稳定部分业务受影响。据知情人士透露该实习生因对资源分配不满利用Huggingface平台的漏洞恶意注入代码破坏模型训练任务。尽管传闻称损失高达千万美元实际影响并未如此严重。
安全专家指出,这次事件暴露了字节跳动在权限隔离和代码审计方面的管理漏洞。目前,该实习生已被辞退,事件已通报相关机构和实习生所在学校。
> 消息来源: [界面新闻](https://www.jiemian.com/article/11849954.html)
## 跟踪
### Apple提交表决提案 建议将SSL/TLS证书有效期从398天缩短到45天
前序: [谷歌的90天TLS证书有效期提案将如何影响企业](https://mei.lv/weekly/2024-04/#12-%E8%B0%B7%E6%AD%8C%E7%9A%8490%E5%A4%A9TLS%E8%AF%81%E4%B9%A6%E6%9C%89%E6%95%88%E6%9C%9F%E6%8F%90%E6%A1%88%E5%B0%86%E5%A6%82%E4%BD%95%E5%BD%B1%E5%93%8D%E4%BC%81%E4%B8%9A)
目前 CA / 浏览器论坛 (负责制定 SSL/TLS 证书相关标准的行业组织) 已经将证书有效期从 8 年缩短到目前最长的 398 天然而Apple和Google都希望继续缩短数字证书有效期以提高安全性。
苹果的这项提案为投票表决草案,很可能会在未来几个月内交由 CA / 浏览器论坛成员进行投票,如果获得大多数成员赞成,则未来苹果 Safari 浏览器将仅支持有效期在 45 天内的数字证书。
尽管 SSL/TLS 证书已经有很多便捷的工具可以实现自动化续签,但并非每个网站和企业都可以轻松部署自动化续签流程,尤其是有些复杂的系统切换数字证书本身就是个麻烦的事情。
> 消息来源: [cnBeta](https://www.cnbeta.com.tw/articles/soft/1449389.htm)
## 题外话
### 广东蟑螂对拜灭士等有吡虫啉成分的灭蟑药已有抗药性,望周知
广东蟑螂对拜灭士等有吡虫啉成分的灭蟑药已有抗药性,望周知
> 消息来源: [科技圈🎗在花频道📮](https://t.me/TestFlightCN/27977)

119
docs/2024/2024-2.md Normal file
View File

@ -0,0 +1,119 @@
---
title: Linuxcat周刊(第2期) Linux 压缩工具 XZ 被曝后门
tags:
- 网络安全
- AI
- 通信
- 5G
- AI安全
- XZ
- Linux
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/02/00043-1535867711.webp
banner_img: /img/weekly/2024/02/00043-1535867711.webp
permalink: /weekly/2024-02/index.html
date: 2024-3-31 12:00:00
---
## 1 百度将为国行iphone16提供AI功能
从知情人士处了解到,百度将为苹果今年发布的 iPhone16、Mac 系统和 iOS 18 提供 AI 功能。报道称,苹果曾与阿里以及另外一家国产大模型公司进行过洽谈,最后确定由百度提供这项服务。苹果预计采取 API 接口的方式计费。报道表示,苹果将国行 iPhone 等设备采用国产大模型 AI 功能主要出于合规需求,该公司短期内还无法解决合规问题,但国外版 iPhone 等设备 AI 功能均来自苹果自己的大模型。
> 消息来源: [IT之家](https://www.ithome.com/0/757/875.htm)
## 2 中国移动宣布 5G-A 正式商用
2024年3月28日,中国移动 5G-A 商用发布会在浙江杭州举行。会上介绍,中国移动 5G Advanced 网络5.5G)正式商用.5G-A 全称 5G-Advanced也被称为 5.5G,是 5G 向 6G 演进的关键阶段。相比 5G新一代 5.5G 技术在速率、时延、连接规模和能耗等方面全面超越,实现 10 倍网络能力提升.
> 消息来源: [IT之家](https://www.ithome.com/0/758/738.htm)
## 3 数以千计的服务器在针对 Ray AI 框架的持续攻击中被黑客入侵
在针对 OpenAI、Uber 和亚马逊使用的计算框架 Ray 中报告的漏洞的持续攻击活动中,数千台存储 AI 工作负载和网络凭据的服务器遭到黑客攻击。这些攻击已经活跃了至少七个月,导致人工智能模型被篡改。它们还导致网络凭据泄露,允许访问内部网络和数据库以及用于访问 OpenAI、Hugging Face、Stripe 和 Azure 等平台上帐户的令牌。除了破坏模型和窃取凭据外,该活动背后的攻击者还在受感染的基础设施上安装了加密货币矿工,这些基础设施通常提供大量的计算能力。攻击者还安装了反向 shell这是用于远程控制服务器的基于文本的界面。
> 消息来源: [arstechnica](https://arstechnica.com/security/2024/03/thousands-of-servers-hacked-in-ongoing-attack-targeting-ray-ai-framework/)
## 4 每个美国联邦机构都必须聘请一名首席人工智能官
现在,所有美国联邦机构都必须有一名高级领导人来监督他们使用的所有人工智能系统,因为政府希望确保人工智能在公共服务中的使用仍然安全。
副总统卡玛拉·哈里斯Kamala Harris在与记者的简报会上宣布了新的管理和预算办公室OMB指南并表示各机构还必须建立人工智能治理委员会以协调该机构内如何使用人工智能。各机构还必须向OMB提交一份年度报告列出他们使用的所有人工智能系统与这些系统相关的任何风险以及他们计划如何减轻这些风险。据OMB主席Shalanda Young称美国政府计划在夏天之前雇用100名人工智能专业人员。
> 消息来源: [The Verge](https://www.theverge.com/2024/3/28/24114105/federal-agencies-ai-responsible-guidance-omb-caio)
## 5 人工智能会产生幻觉,软件包和开发人员会下载它们——即使可能被恶意软件毒害
深入几家大企业已经发布了源代码,其中包含以前由生成式人工智能产生的幻觉的软件包。不仅如此,有人发现了这种反复出现的幻觉,将这种虚构的依赖变成了真实的依赖,由于人工智能的糟糕建议,开发人员随后下载并安装了数千次。如果软件包中带有实际的恶意软件,而不是良性测试,那么结果可能是灾难性的。根据 Lasso Security 的安全研究员 Bar Lanyado 的说法,被 AI 愚弄并整合该软件包的企业之一是阿里巴巴,在撰写本文时,阿里巴巴在其 `GraphTranslator` 安装说明中仍然包含一个用于下载 Python 软件包的 pip 命令。huggingface-cli有一个合法的 huggingface-cli使用 `.pip install -U "huggingface_hub[cli]`"但是,通过 Python 包索引 PyPI 分发并由阿里巴巴的 `GraphTranslator`安装的huggingface-cli 是假的,由 AI 想象并由 Lanyado 作为实验变成真实的。`pip install huggingface-cli`。去年12月他在看到它被生成式人工智能反复产生幻觉后创作了这首歌;到今年 2 月,阿里巴巴在 `GraphTranslator` 的 README 指令中提到了它,而不是真正的 Hugging Face CLI 工具,huggingface-cli。
![阿里巴巴的"假"huggingface-cli](/img/weekly/2024/02/huggingface-cli.png "此问题已于29日被更正")
![吃瓜吃到自己家](/img/weekly/2024/02/huggingface-Officer.png "吃瓜吃到自己家")
> 消息来源: [The Register](https://www.theregister.com/2024/03/28/ai_bots_hallucinate_software_packages/)
## 6 法庭文件称Facebook秘密监视Snapchat的使用情况以迷惑广告商
未密封的法庭文件揭示了有关Facebook秘密项目的更多细节该项目最初名为“Ghostbusters”旨在偷偷访问加密的Snapchat使用数据以使Facebook在2016年Snapchat快速增长时获得竞争对手的优势。
这些文件是在消费者和广告商的集体诉讼中提交的,指控 Meta 的反竞争行为阻止竞争对手在社交媒体广告市场竞争。
自2016年起该项目开始对Snapchat进行窥探从2017年至2018年对YouTube进行窥探2018年对亚马逊进行窥探其依赖于创建“伪造的数字证书冒充Snapchat、YouTube和亚马逊的信任分析服务器重定向并解密来自这些应用的安全流量供Facebook进行战略分析”。
> 消息来源: [arstechnica](https://arstechnica.com/tech-policy/2024/03/facebook-secretly-spied-on-snapchat-usage-to-confuse-advertisers-court-docs-say/)
## 7 用于工业设备的 Odd NuGet 包引发了间谍活动的担忧
上传到 NuGet一种流行的开源 .NET 包存储库)的包因其不断从工业设备中窃取屏幕截图的方法而引发了网络间谍活动的担忧。
“SqzrFramework480”每 60 秒泄露一次屏幕截图.对该软件包的怀疑集中在其代码中包含的“Init”方法上该方法执行一系列循环操作这些操作似乎旨在从主机系统中提取数据而不会引起注意。该循环大约每 60 秒运行一次,包括打开套接字以连接到远程 IP截取系统主屏幕的屏幕截图然后通过套接字将屏幕截图发送到远程 IP。虽然ReversingLabs的研究人员指出该功能存在潜在的合法应用例如将相机图像连续流式传输到远程工作站但还有其他迹象表明该方法旨在保持隐藏状态。
> 消息来源: [SC杂志](https://www.scmagazine.com/news/odd-nuget-package-for-industrial-equipment-raises-espionage-concerns)
## 8 全球严重缺乏网络威胁准备成熟度
据 SiliconAngle 报道,全球只有 3% 的组织完全准备好应对日益复杂的网络安全威胁,包括勒索软件攻击和供应链入侵。
根据思科的一份报告,尽管严重缺乏网络准备成熟度,但五分之四的公司表示对其现有基础设施的网络攻击打击能力有中等到非常的信心,这表明对网络威胁的信心不足和评估不足。
虽然近 75% 的受访者预计在一两年内会发生破坏性网络事件,但确保网络安全的重大挑战仍然存在,包括安全堆栈中过多的单点解决方案、日益普遍的非托管设备以及严重的劳动力短缺。此外,尽管大多数公司正在考虑在未来 12 个月内增加网络安全支出,但只有超过 50% 的公司计划进行重大的 IT 基础设施升级,越来越多的组织希望更新当前的解决方案。
“为了克服当今威胁形势的挑战,公司必须加快对安全的有意义的投资,”报告称。
> 消息来源: [SC杂志](https://www.scmagazine.com/brief/cyber-threat-readiness-maturity-severely-lacking-worldwide)
## 9 联合国决议呼吁采取措施防范人工智能恶意使用
联合国大会周四一致通过其首个关于人工智能的全球决议。
这项由美国主导、逾120个成员国共同发起并以协商一致方式通过的非约束性决议列出了成员国推动“安全、可靠、可信”AI系统的总体基线目标。
该决议就一系列AI挑战与机遇提出建议涉及主题包括威胁行为者对AI的恶意使用、可能产生误导性内容的AI系统以及在AI系统生命周期中保护个人数据的需求。
联合国鼓励成员国加强对AI系统实施安全与风险管理保障措施的投资并促进在系统设计开发阶段识别、评估、预防和缓解漏洞的措施确保部署前的安全。
据路透社报道美国高级官员在回答有关中国和俄罗斯是否抵制该决议的问题时表示该决议得到所有193个联合国成员国的一致同意经过了几个月的谈判和各国间“激烈的讨论”。最终中国成为该决议的共同发起国。
上个月微软报告称来自中国、俄罗斯、朝鲜和伊朗的国家级威胁行为者正利用大型语言模型尤其是ChatGPT优化其行动。包括俄罗斯支持的Fancy Bear和中国支持的Charcoal Typhoon在内的威胁组织利用聊天机器人进行侦察、漏洞研究、脚本和翻译协助以及生成钓鱼内容。
> 消息来源: [SC杂志](https://www.scmagazine.com/news/un-resolution-on-ai-encourages-measures-against-malicious-use)
## 10 免费域名eu.org的TLS连接被阻断
近日,部分消息显示大陆用户无法通过 HTTPS 协议访问使用免费域名eu.org的站点。目前通过 HTTP 协议访问畅通,能够 ping 通。
据了解eu.org实际上并不是一个顶级域TLD它不是由某个注册局直接管理的而是一个普通的注册域名。所有用户申请到的都是该域名下的子域名。但是eu.org的子域能够通过 Cloudflare 的验证,一直是被许多人所青睐的域名。
> 消息来源: [Telegram vps_xhq/545](https://t.me/xhqcankao)
## 11 Linux 压缩工具 XZ 被曝后门
3 月 30 日消息Red Hat 公司本周五发布安全公告,在最新的 XZ Utils 数据压缩工具和库中发现了一个后门,敦促用户立即停止使用 Fedora 开发和实验版本。
Debian 安全团队今天也发布公告,表示当前没有发现有稳定版 Debian 使用问题 XZ 软件包,在受影响的 Debian 测试版、不稳定版和实验版中XZ 已被还原为上游的 5.4.5 代码。
弗罗因德发现 XZ 格式压缩实用程序 xz-utils 的上游源代码压缩包已被破解,并在构建时向生成的 liblzma5 库中注入恶意代码。弗罗因德表示目前并未找到在 XZ 5.6.0 和 5.6.1 版本中添加恶意代码的确切目的。
Red Hat 现正跟踪这一供应链安全问题,将其命名为 CVE-2024-3094并将其严重性评分定为 10/10同时在 Fedora 40 测试版中恢复使用 5.4.x 版本的 XZ。
> 消息来源: [helpnetsecurity](https://www.helpnetsecurity.com/2024/03/29/cve-2024-3094-linux-backdoor/)
#### 检查
我们提供一段命令,来检测你的系统是否受到了影响
```bash
## Debian/Ubuntu :
## 显示 Everything is ok 即不受影响
apt list --installed 2>&1 | grep xz | grep -E '5.6.0|5.6.1' && echo "!!! Check your system now" || echo "Everything is ok"
```
相关链接:
* [NVD - CVE-2024-3094](https://nvd.nist.gov/vuln/detail/CVE-2024-3094)
* [阿里云漏洞库](https://avd.aliyun.com/detail?id=AVD-2024-3094)
## 12 OpenAI 的语音克隆 AI 模型只需要 15 秒的样本即可工作
OpenAI正为其开发的一款名为Voice Engine的文本转语音生成平台提供有限访问权限。该平台能基于某人15秒的语音片段创建出合成语音。这种由AI生成的语音可根据指令用与说话者相同的语言或多种其他语言朗读文本提示。OpenAI在其博客文章中表示“这些小规模部署有助于我们了解如何运用Voice Engine为各个行业的有益应用制定方法、安全措施及思考方向。”
在OpenAI发布的这些示例中你可以听到Age of Learning如何利用这项技术生成预编写好的旁白内容以及使用GPT-4为学生撰写并朗读“实时、个性化”的回复。
> 消息来源: [The Verge](https://www.theverge.com/2024/3/29/24115701/openai-voice-generation-ai-model)
## 13 纽约市将在地铁上测试AI枪支探测器
纽约市市长埃里克·亚当斯周四宣布该市即将开始测试使用AI技术在地铁检票口检测枪支。这一消息发布于一周前布鲁克林一处地铁站发生冲突之后当时一名男子因向另一名乘客拔枪而被对方夺枪射伤。亚当斯并未透露扫描仪将安装于何处以及将有多少台投入使用。
> 消息来源: [The Verge](https://www.theverge.com/2024/3/28/24114956/nyc-subway-ai-gun-detectors-evolv-technologies)
## 14 GitHub在今日恶意披露事件后已禁用XZ仓库
近日曝光的XZ上游发布包中含有恶意代码以破坏远程SSH访问无疑给复活节周末带来了意外冲击……随着事态发展情况愈发严峻不仅项目上游遭受入侵如今GitHub更是全面禁用了XZ仓库。
GitHub上的核心仓库tukaani-project/xz现已由GitHub工作人员关闭显示如下信息 “由于违反GitHub服务条款GitHub员工已禁用对此仓库的访问。如果您是仓库所有者可联系GitHub支持以获取更多信息。”
> With upstream XZ having not issued any corrected release yet and contributions by one of its core contributors -- and release creators -- over the past two years called into question, it's not without cause to outright taking the hammer to the XZ repository public access. At this point, it can simply not be trusted until further evaluation.
![你没有看错,是真的锤子-图像来自phoronix](/img/weekly/img/weekly/2024/02/hammer-xz.webp "你没有看错,是真的锤子-图像来自phoronix")
> 消息来源: [phoronix](https://www.phoronix.com/news/GitHub-Disables-XZ-Repo)

182
docs/2024/2024-20.md Normal file
View File

@ -0,0 +1,182 @@
---
title: Linuxcat周刊(第20期) Linus Torvalds 确认俄罗斯维护者被移除
tags:
- AI
- 微软
- 数据安全
- 恶意软件
- Github
- Apollo-11
- 网络攻击
- VMware
- KVM
- linux
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/20/00001-530982824.webp
banner_img: /img/weekly/2024/20/00001-530982824.webp
permalink: /weekly/2024-20/index.html
date: 2024-11-02 14:28:49
---
## 乐子
### 1 微软或在Windows 11中引入「Windows Intelligence」
X平台用户发现微软正在探索对依赖于 AI 的应用程序进行更大的控制并以「Windows Intelligence」为名。相关代码显示了哪些APP可以在Windows 11 24H2 及更新版本中使用 AI 功能。
> 消息来源:[Cnbeta](https://www.cnbeta.com.tw/articles/tech/1449818.htm)
### 2 Internet Archive 再次遭遇数据泄露,原因出在访问令牌
互联网档案再次遭到数据泄露,攻击者通过未及时更换的 GitLab 认证令牌,获取了其 Zendesk 邮件支持平台的访问权限。此次泄露涉及自 2018 年以来的 80 多万封支持邮件,包括用户请求从 Wayback Machine 中删除网站的邮件。攻击者还窃取了 Internet Archive 的源代码和用户数据库,总计 7TB 数据。
> 消息来源: [BleepingComputer](https://www.bleepingcomputer.com/news/security/internet-archive-breached-again-through-stolen-access-tokens/)
### 3 Bitwarden密码管理器更改许可证可能不再完全开源
密码管理器Bitwarden最近更改了其许可证添加了限制性条款规定不得将SDK用于开发Bitwarden以外的软件或模块。这一变更可能标志着Bitwarden从开源软件向专有软件过渡的开始。声明在Pull request 10974中引入明确禁止使用SDK开发与Bitwarden不兼容的实现或另一个SDK。Bitwarden官方对此未有明确说明但已锁定相关问题讨论这可能意味着许可证变更是有意为之。
> 消息来源:[蓝点网](https://www.landiannews.com/archives/106220.html?utm_src=ourl)
### 4 Ghostpulse 恶意软件藏在 PNG 图片像素中
一种叫做Ghostpulse的恶意软件变得更狡猾了。它现在可以藏在普通的图片文件里比如PNG格式的图片。这样做的目的是为了让电脑的安全软件更难发现它。
这种恶意软件通常会带来更危险的软件比如一个叫做Lumma的信息窃取器。这种恶意软件会从图片的每个像素中提取数据拼成一段恶意代码然后通过解密来执行攻击。黑客还会用一些社交工程手段比如让受害者在伪装的 CAPTCHA 验证中输入特定的快捷键,来偷偷运行恶意程序。
这种方法让传统的杀毒软件很难发现它,因此专家建议使用最新的安全工具来防范这种攻击。
> 消息来源:[The Register](https://www.theregister.com/2024/10/22/ghostpulse_malware_loader_png/)
### 5 微软开源1.58bit大模型推理框架 千亿参数模型量化后单CPU可跑
微软开源1bit大模型推理框架现在1000亿参数大模型量化后单CPU可跑速度可达每秒5-7个token。
传统大模型参数以16位浮点数如FP16或BF16形式的存储而BitNet b1.58将其统统变成了三进制,也就是 {-1, 0, 1}。转换之后矩阵中的计算就只会涉及到加法因此会让大模型在保持一定精度的同时显著减少所需的存储空间和计算资源也显著提升了在本地设备上运行LLM的可能性。
> 消息来源:[量子位](https://www.qbitai.com/2024/10/209673.html)[Github](https://github.com/microsoft/BitNet)
### 6 增值电信业务扩大对外开放试点
工业和信息化部10月23日启动北京市服务业扩大开放综合示范区、上海自由贸易试验区临港新片区及社会主义现代化建设引领区、海南自由贸易港、深圳中国特色社会主义先行示范区等四地增值电信业务扩大对外开放试点工作。试点实施后外资企业可在试点地区独资经营互联网数据中心IDC、在线数据处理与交易处理等电信业务深度参与我国云计算服务、算力服务等市场。
> 消息来源:[新华社](https://app.xinhuanet.com/news/article.html?articleId=590882e2088464f91270ce8c33faf5e3)
### 7 Linus Torvalds 确认俄罗斯维护者被移除
2024年10月23日Linux创始人Linus Torvalds确认上周移除了大约十二名与俄罗斯相关的内核维护者。此次移除源于美国对俄罗斯实施的制裁具体原因被Linux内核开发者Greg Kroah-Hartman在邮件中模糊提及。尽管社区对这一决定表示质疑但Torvalds回应称移除是基于合规要求并表示不会改变此决定。他还提到使用匿名账号试图推动反对的行为是无效的并强调对俄罗斯侵略行为的立场。
Iwn一条评论尤其受到中国开发者关注
```
I hope our Chinese friends take note and not waste a number of years on thankless work to be thrown overboard when your time comes.
```
> 消息来源:[TheRegister](https://www.theregister.com/2024/10/23/linus_torvalds_affirms_expulsion_of/) | [论坛文章](https://lwn.net/Articles/995186/) | [引用源](https://www.phoronix.com/forums/forum/phoronix/latest-phoronix-articles/1500117-several-linux-kernel-driver-maintainers-removed-due-to-their-association-to-russia)
#### Linus最新言论引起开源社区质疑和严厉批评
以“Linux之父”著称的Linus Torvalds在回应对于俄罗斯开发者不恰当处理的言论中被认为选择了最不恰当的方式回应质疑——攻击、侮辱和诋毁寻求他发声的开发者以下引述原文
```
It's entirely clear why the change was done, it's not getting reverted, and using multiple random anonymous accounts to try to "grass root" it by Russian troll factories isn't going to change anything.
```
为什么要这样改原因很明确,我们也不会撤回这个提交。就算这样用一堆俄罗斯巨魔工厂里整来的匿名账号群起而攻之,结果也不会改变。
Linus Torvalds 还提到,“无辜的路人们”应当理解 Greg Kroah-Hartman 所指的“某些合规性要求”并非美国专利。他还指出,不了解什么是对俄制裁的读者有空应该“多读新闻”,而后攻击要求撤回变更的中国开发者,以下引述原文:
```
As to sending me a revert patch - please use whatever mush you call brains. I'm Finnish. Did you think I'd be *supporting* Russian aggression? Apparently it's not just lack of real news, it's lack of history knowledge too.
```
至于前面发来的撤回补丁,请用一用你们那坨可能叫做脑子的东西。我是芬兰人,你们觉得我可能会支持俄国的侵略吗?显然你们不光没读过真实的新闻,还对历史一无所知。
这些被认为将极端政治观点带入全球共同维护的最重要开源项目之一的言论内为国际开源社区的协作互信,乃至全人类自由与开源软件运动带来难以弥补的损害。
> 消息来源:[来源1](https://lore.kernel.org/all/2024101835-tiptop-blip-09ed@gregkh/) | [来源2](https://lore.kernel.org/all/a08dc31ab773604d8f206ba005dc4c7a@aosc.io/) | [来源3](https://lore.kernel.org/all/20241023080935.2945-2-kexybiscuit@aosc.io/) | [来源4](https://lore.kernel.org/all/20241023080935.2945-2-kexybiscuit@aosc.io/) | [冒犯邮件全文](https://lore.kernel.org/all/444fa53bdfdee75522a1af41655a99b0@aosc.io/) | [来源5](https://lore.kernel.org/all/CAHk-=whNGNVnYHHSXUAsWds_MoZ-iEgRMQMxZZ0z-jY4uHT+Gg@mail.gmail.com/) | [中国开源社区声明](https://t.me/aosc_os/637) | [科技圈🎗在花频道📮](https://t.me/TestFlightCN/28249)
> 评论: [早不踢晚不踢,现在突然踢,不谈意识形态,这种行为是对其他维护者的不负责](https://t.me/TestFlightCN/28249?comment=6358206)
### 8 谷歌开源用于人工智能生成文本的水印工具
谷歌在 X 平台上宣布,该公司的 SynthID 文本水印技术现已开源,将免费提供给开发人员和企业,帮助他们识别其人工智能生成的内容。谷歌 DeepMind 研究副总裁普什梅特·科利表示:“现在,其他 [生成式] 人工智能开发者将能够使用这项技术,帮助他们检测文本输出是否来自自己的 [大型语言模型]从而使更多开发者更容易负责任地构建人工智能。”SynthID 于去年8月份发布通过在图像、音频、视频和文本生成时添加不可见的水印帮助检测人工智能生成的输出。谷歌声称该系统已集成到其 Gemini 聊天机器人中,不会影响生成文本的质量、准确性、创造性或速度,而这一直是水印系统的问题。
> 消息来源:[Techcrunch](https://techcrunch.com/2024/10/23/google-releases-tech-to-watermark-ai-generated-text/?guccounter=1) | [TheVerge](https://www.theverge.com/2024/10/23/24277873/google-artificial-intelligence-synthid-watermarking-open-source)
### 9 “稚晖君”创业项目,智元机器人宣布灵犀 X1 开源
智元机器人于10月24日宣布其“灵犀 X1”人形机器人正式开源所有软硬件图纸和代码已在GitHub上线开发指南也发布在官网资料总大小超过1.2GB。
开源内容包括整机结构图、硬件框图、物料清单及装机说明,软件方面提供了多个开发资源。这一开源项目可以帮助科技爱好者和科创公司快速开发人形机器人,降低研发成本。
灵犀 X1 具备高自由度和模块化设计身高133厘米重约33公斤并配备自研关节电机和自适应夹爪适用于多种应用场景。
相关链接:
[开发指南](https://www.zhiyuan-robot.com/DOCS/OS/X1-PDG) | [设计资料百度云盘](https://pan.baidu.com/s/1UEdeDBTJiXRmIqMKwmO5RA?pwd=1234)| [设计资料谷歌云盘](https://drive.google.com/drive/folders/1MECbyKRJbnc_XKWsdUbn-70xmYFmw9FW?usp=sharing) | [推理代码](https://github.com/AgibotTech/agibot_x1_infer) | [训练代码](https://github.com/AgibotTech/agibot_x1_train)
> 消息来源:[IT之家](https://www.ithome.com/0/804/935.htm)
### 10 OpenAI 将于年底推出全新AI模型 Orion
OpenAI 计划于今年12月推出全新AI模型Orion但初期仅向合作企业开放帮助它们开发自有产品。微软预计将在11月通过Azure平台部署该模型。尽管Orion被视为GPT-4的继任者其是否命名为GPT-5尚未确定。
根据OpenAI高管消息Orion 的性能被调侃表述为有望比 GPT-4 提升多达 100 倍是OpenAI迈向人工通用智能AGI的一大步。该模型在开发过程中使用了名为"Strawberry"的o1推理模型生成的合成数据进行训练训练已于9月完成。
> 消息来源:[The Verge](https://www.theverge.com/2024/10/24/24278999/openai-plans-orion-ai-model-release-december)
### 11 Chrome插件SuperCopy被曝含有恶意代码拦截返利平台和商家自然流量
SuperCopy超级复制插件被指含有恶意代码该插件用户量超过60万。用户在使用京东联盟时发现未收到返利排查后确定是该插件导致。插件在访问京东商品详情页时会发起请求并跳转至返利链接使得返利归属于插件开发者。
> 消息来源:[V2ex](https://www.v2ex.com/t/1084504#reply1) | [插件地址](https://chromewebstore.google.com/detail/supercopy-%E8%B6%85%E7%BA%A7%E5%A4%8D%E5%88%B6/onepmapfbjohnegdmfhndpefjkppbjkm)
### 12 Github博客显示人工智能与开发者社区的趋势
![](/img/weekly/2024/20/photo_2024-10-31_12-18-51.jpg)
![](/img/weekly/2024/20/photo_2024-10-31_12-19-25.jpg)
[](/img/weekly/2024/20/photo_2024-10-31_12-19-28.jpg)
* Github上使用生成式人工智能的项目激增2024年贡献量激增59%项目总数增长98%
* 全球开发者数量迅速增长,尤其是非洲、拉丁美洲和亚洲
* Python 现已成为 GitHub 上使用最广泛的语言
* 开发者数量前三为美国、印度、中国。但预测2030年印度开发者数量将超过美国
> 消息来源:[Github博客](https://github.blog/news-insights/octoverse/octoverse-2024/)
### 13 VMware Workstation虚拟机将从非开源代码转向上游KVM开源代码
VMware Workstation虚拟机软件计划从专有非开源代码转向上游KVM开源代码逐步放弃非开源专有代码。博通工程师已向Linux Kernel提交补丁以实现这一变更。这一转变将适用于所有桌面虚拟化的VMware Workstation版本包括Windows版此举有助于节省开发成本并促进KVM技术社区的共同改进。具体推出时间尚未明确预计可能在2025年或之后。
> 消息来源: [蓝点网](https://www.landiannews.com/archives/106380.html?utm_sources=ourl)
### 14 谷歌大模型在Big Sleep项目中发现 SQLite 数据中的0day安全漏洞
谷歌大模型在Big Sleep项目中发现 SQLite 数据中的0day安全漏洞这可能是AI 大模型首次在现实软件发现未知可利用的内存安全问题。
> 消息来源: [domenuk](https://x.com/domenuk/status/1852370353533669783) | [Charles Sutton](https://x.com/RandomlyWalking/status/1852401642718802393)
## 开源软件品鉴
### 1 headphone-morse-transmitter
许多耳机可以发送⏮️ ⏸️ ⏯️命令,例如 Airpods只需按一下即可暂停或恢复双击可播放下一首曲目三按可播放上一首曲目。
使用此功能,我们可以将耳机用作莫尔斯发射器。
如果你不想使用耳机,你也可以使用⏮️ ⏸️ ⏯️键盘上的按键
[Github](https://github.com/EtherDream/headphone-morse-transmitter) | [Demo](https://etherdream.github.io/headphone-morse-transmitter/)
### 2 阿波罗 11 号制导计算机源代码
阿波罗11号指令舱和登月舱的源代码真正的上古代码。由Virtual AGC和麻省理工学院博物馆的工作人员数字化欢迎提出PR但那个时代的代码现在能读懂的人应该不多了。
[Github](https://github.com/chrislgarry/Apollo-11)
## 题外话
### 科学家称通过梦境可穿越到平行世界
最近,特克斯和凯科斯群岛查尔斯玛大学的科学家提出了一个大胆的假设。他们认为,在梦境中,人类的意识可能不再受限于现实的时空框架,而是能够穿越到一个与我们所在宇宙并行的平行世界中。这一大胆设想的灵感来源于多元宇宙理论,该理论主张每一个量子事件都可能产生多种不同的结果,而这些结果各自在不同的宇宙中得以实现。在这一框架下,梦境被视作一种潜在的桥梁,使我们能够与另一个宇宙中的自己相遇或互动。不过,科学家承认,目前该理论仅是基于假设的推测。
> 消息来源:[时代财经](https://c.m.163.com/news/rec/YDJ1127BBTTJTYZW.html)[Qeios](https://www.qeios.com/read/242XCF)

269
docs/2024/2024-21.md Normal file
View File

@ -0,0 +1,269 @@
---
title: Linuxcat周刊(第21期)
tags:
-
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/21/
banner_img: /img/weekly/2024/21/
permalink: /weekly/2024-21/index.html
date: 2024-11-15 14:28:49
---
## 乐子
### 1 OpenAI前"AGI准备"负责人表示AI即将能够完成在计算机上人类能做的任何事情
OpenAI前政策研究和AGI准备负责人迈尔斯·布伦达奇在接受Hard Fork播客采访时表示AI未来几年内将能在计算机上完成人类能做的任何事情包括操作鼠标键盘和在视频聊天中模仿人类行为。他强调政府需考虑这一趋势对税收和教育投资的影响并指出尽管对AGI实现时间有争议但一些业内专家预测AGI将在几年内到来。
> 消息来源: [Business Insider](https://www.yahoo.com/tech/openais-former-head-agi-readiness-194420038.html)
### 2 Tampermonkey 上架 Edge 移动版插件中心
此前Edge 移动版推出了插件中心,并且支持手动安装任意流程插件。现在用户不用在手动安装 Tampermonkey 插件Tampermonkey目前已经上架插件中心可在插件中心下载安装。
> 消息来源: [Windiscover](https://windiscover.com/posts/tampermonkey-is-officially-available-on-edge-mobile.html)
### 3 研究人员利用十六进制字符串绕过 GPT-4o 安全防护
网络安全公司 0Din 的研究员 Marco Figueroa 发现了一种新型的 GPT 越狱手法,能够绕过 ChatGPT-4o 的“安全护栏”措施使其生成恶意代码。Figueroa 将恶意指令转化为十六进制字符串,再让 GPT-4o 解码并执行,从而突破了系统的防护。他成功指示 GPT-4o 编写出利用 CVE-2024-41110 Docker 验证漏洞的恶意程序。此方法揭示了现有 AI 安全防护措施的潜在漏洞。
> 消息来源: [C114](https://www.c114.com.cn/ai/5339/a1276969.html)
### 4 俄罗斯计划12月进行部分地区海外互联网访问限制演习
据俄罗斯媒体RTVI报道俄罗斯中央银行向监管机构发送了一则通知透露计划在2024年12月开展一次互联网访问限制演习。演习将模拟在部分地区断开与海外互联网的连接。通知中指出若相关组织需要继续访问海外互联网需在11月15日前向俄罗斯联邦通信、信息技术和大众传媒监督局Roskomnadzor提交IP地址列表以便从访问限制中豁免。目前尚未明确哪些地区会受到影响。
该消息由记者德米特里·科泽列夫在其Telegram频道上发布
> 消息来源: [RTVI](https://t.me/rtvimain/104749?single)
### 5 Windows 11测试版将AI 引入画图和记事本中
微软在Windows 11记事本应用中新增AI重写功能允许用户通过Copilot调整文本内容如扩写、精简或修改语气。
同时画图应用集成AI技术支持快速生成或去除图片中的元素。该功能基于OpenAI的DALL-E 3模型通过Bing Image Creator服务实现。
以上功能仅在部分市场的测试版中可用需订阅Microsoft 365服务。
> 消息来源: [WinDiscover](https://windiscover.com/posts/new-ai-features-of-paint-and-notepad-apps-are-rolling-out-to-windows-insiders.html)
### 6 Anthropic 与 Palantir 和 AWS 合作,向国防客户销售 AI
Anthropic 宣布与数据分析公司 Palantir 和亚马逊云服务 (AWS) 合作,向美国情报和国防机构提供其 Claude 系列 AI 模型。Claude 将在 Palantir 的平台上运行,并利用 AWS 的托管服务,还能在 Palantir 的国防认证环境 Palantir Impact Level 6 (IL6) 中使用处理机密级数据。Anthropic 此举旨在扩展其公共部门客户群,并强调其比 OpenAI 更注重安全。该公司允许其产品用于合法授权的外国情报分析、识别秘密影响或破坏活动以及预警潜在军事活动等任务,但对可能造成灾难性滥用、具有低水平自主能力或可用于虚假信息宣传、武器设计或部署、审查、国内监视和恶意网络行动的 AI 系统施加了限制。
> 消息来源: [TechCrunch](https://techcrunch.com/2024/11/07/anthropic-teams-up-with-palantir-and-aws-to-sell-its-ai-to-defense-customers/)
### 7 tvOS新增“AdBlocker”框架 防止广告误触发Siri命令
苹果在tvOS 18.2测试版中推出了名为“AdBlocker”的新框架用于防止播放视频或广告触发“Hey Siri”命令。该框架与ShazamKit和Siri语音命令管理系统相关联利用音频指纹技术识别来自广告或发布会的音频并在匹配时暂时禁用Siri的语音激活功能。
此举主要解决了HomePod等设备在播放Apple广告时因广告内容触发Siri的问题。例如在2019年AirPods广告因“Hey Siri”命令触发了许多用户HomePod的响应。
> 消息来源: [9to5mac](https://9to5mac.com/2024/11/07/apple-tv-ads-hey-siri/#more-977359)
### 8 俄罗斯屏蔽 Cloudflare 的 ECH 连接
Cloudflare 最近部署的隐私保护协议 Encrypted Client Hello(ECH)规避了各国的审查系统,俄罗斯已将其封锁。封锁只针对 Cloudflare其他 ECH 不受影响,俄国 DPI 系统 TSPU 目前的检测条件是包含 `cloudflare-ech.com`的 TLS SNI 扩展。
俄罗斯政府机构“互联网监控和控制中心”发表文章建议禁用非法的 TLS ECH 技术,甚至停止使用 Cloudflare CDN转而使用俄国国内的替代品。
> 消息来源: [Solidot](https://www.solidot.org/story?sid=79714) | [Cloudflare社区](https://community.cloudflare.com/t/access-issues-in-russia-unable-to-disable-ech-in-free-plan/733401)
### 9 MIT研究发现生成式AI对世界的理解不完整
根据Slashdot的报道麻省理工学院的研究指出虽然生成式AI的表现令人惊叹但它们并不真正理解世界的运作。研究发现这些AI可以在某些任务中表现出色比如在纽约提供驾驶路线。然而当研究人员改变街道设置时AI的表现就大幅下降。这显示出AI虽然能完成任务但并不理解城市的真实地图。
换句话说这些AI并没有真正掌握任务的规则而是依赖于大量数据和统计关系。要让AI更智能研究人员认为需要改变现有的方法。
> 消息来源: [Slashdot](https://slashdot.org/story/24/11/10/1911204/generative-ai-doesnt-have-a-coherent-understanding-of-the-world-mit-researchers-find)
### 10 博通宣布 VMware Workstation 和 Fusion 对商用彻底免费
无论是个人还是企业现在都可以免费使用这款虚拟机,当然博通未来也不再提供技术支持,这也是 VMware Workstation 此前决定转向开源的 KVM 的原因,毕竟都不是赚钱的产品了。
> 消息来源: [蓝点网](https://ourl.co/106569) | [VMware下载](https://blogs.vmware.com/cloud-foundation/2024/11/11/vmware-fusion-and-workstation-are-now-free-for-all-users/)
### 11 百度发布首款搭载中文大模型的小度AI眼镜支持边走边问、第一视角拍摄
在2024百度世界大会上百度推出了小度AI眼镜宣称为全球首款配备中文大模型的原生AI眼镜。这款眼镜具备第一视角拍摄、边走边问、卡路里识别、识物百科、视听翻译和智能备忘等先进功能。配置上小度AI眼镜重量仅45克配备16MP超广角摄像头和AI防抖算法待机续航长达56小时支持超过5小时连续聆听并能在30分钟内快速充电。该产品预计将于明年上半年正式上市。
> 消息来源: [IT之家](https://www.ithome.com/0/809/922.htm)
### 12 Linux 6.13 将提供对A系列苹果设备的基本支持
Linux 6.13 将支持大量旧版 Apple SoC 和板卡,但这只是最基本/初始形式的支持,包括对 Apple A7、A8、A8X、A9、A9X、A10、A10X 和 A11 SoC 和设备的支持,并对苹果 iPhone 8 系列和 iPhone X 系列等设备提供了 DeviceTree 文件,可追溯到 iPhone 5S、iPad Air、iPad Mini 2/3 和其他设备。
> 消息来源: [cnbeta](https://www.cnbeta.com.tw/articles/tech/1454462.htm)
### 13 阿里海外推出首个B2B领域的AI搜索引擎
11月12日阿里在海外推出对话式AI搜索引擎 Accio面向全球商家开放这是全球第一个B2B领域的AI搜索引擎。
Accio 的页面主体是对话框,产品形态类似于 AI 搜索引擎 Perplexity定位是个人采购代理。
> 消息来源: [华尔街见闻](https://wallstreetcn.com/articles/3733866) | [Accio](https://www.accio.com/)
### 14 Google Research正式发布InkSight公开版模型
> Google Research近日推出了一项革新的人工智能技术——InkSight系统该技术能够直接识别并转换手写文字图片中的信息省去了传统转换方式中的中间环节。
与传统的光学字符识别OCR技术相比InkSight在处理模糊、低光照或背景复杂的手写文本时展现出更高的识别准确率。这一技术模仿了人类学习阅读的过程通过不断重写来深入“理解”文字的外观和意义从而提高了识别的精准度。
实验结果显示人们在阅读由InkSight生成的文本时识别准确率高达87%,且其中三分之二的输出与真实手写难以区分。
InkSight的模型通过整合阅读和书写的“先验知识”——人类解读和重现文本的倾向或知识能够适应多样的手写风格和外观。这些先验知识使得模型在面对训练数据难以标准化的多样化手写样式时也能进行有效的文本识别和墨迹生成。阅读先验帮助模型识别复杂图像中的文本元素书写先验则确保数字墨迹输出与自然手写动态保持一致真实地捕捉笔画顺序。
通过将视觉变换器ViT编码器与mT5编解码器变换器结合InkSight模型不仅能够输出文本还能生成数字墨迹从而在不同的视觉条件下如光照变化和复杂背景中保持手写输入的语义内容和几何结构属性。
此外谷歌研究团队已经发布了一个公开版本的模型该模型利用所有可公开获取的数据进行训练虽然与使用专有数据训练的模型相比性能略有下降但仍得到了82%的人类评估者的认可。
> 消息来源: [技术博客](https://charlieleee.github.io/publication/inksight/) | [GitHub](https://github.com/google-research/inksight)[模型开源链接](https://huggingface.co/Derendering/InkSight-Small-p)
### 15 2024美国大选网络攻击激增但未造成重大干扰
特朗普赢得2024年美国大选。Cloudflare 的分析显示选举相关网站遭受了大量网络攻击特别是DDoS攻击在10月31日至11月1日Cloudflare 缓解了超过60亿次HTTP DDoS请求由于积极的防御措施并未造成重大干扰。选举日互联网流量在投票站关闭后达到峰值比前一周增长15%其中宾夕法尼亚州结果公布和特朗普胜选演讲期间分别增长了32%和31%。
DNS流量显示公众对选举信息高度关注新闻媒体网站流量增长325%投票服务和选举信息网站流量分别增长756%和313%。候选人网站流量在选前一天达到峰值,特朗普/共和党增长59%,哈里斯/民主党增长4%。
> 消息来源: [Cloudflare Blog](https://blog.cloudflare.com/exploring-internet-traffic-shifts-and-cyber-attacks-during-the-2024-us-election/)
### 16 连 Spotify 都难逃人工智能的毒手 虚假音乐如何盯上真正的艺术家
随着人工智能技术的发展Spotify平台上频繁出现假冒音乐专辑这些AI生成的专辑冒用真实艺术家的名称误导用户并窃取流媒体收入。假专辑通常通过第三方分销商上传Spotify的内容审核漏洞导致了这种欺诈行为的泛滥。虽然部分假专辑在被举报后被删除但大量假专辑依然长期存在损害了真实艺术家的利益。面对这种情况Spotify和分销商正面临提高内容审核力度的压力同时一些大公司如环球音乐集团也正在起诉不合规的分销商以维护平台的公平性和艺术家们的合法权益。
> 消息来源: The Verge (https://www.theverge.com/2024/11/14/24294995/spotify-ai-fake-albums-scam-distributors-metadata)
### 17 OpenAI 发布《学生使用 ChatGPT 写作指南》
OpenAI 公司近日发布《学生使用 ChatGPT 写作指南》,提供 12 个使用技巧和方法,包括提示词示范,帮助学生培养严谨思维和清晰写作的技能,指导学生如何正确使用 ChatGPT。
12个技巧方法
1. 将引用格式化的繁重工作交给ChatGPT
1. 快速了解一个新话题
1. 获得相关来源的指引
1. 通过提出具体问题来完善理解
1. 通过反馈改善文章结构
1. 使用倒写大纲来检验逻辑
1. 通过苏格拉底式对话发展思路
1. 通过反驳来检验论文的论点
1. 将自己的观点与历史伟大思想家的观点作对比
1. 通过反复反馈提升写作
1. 使用高级语音模式作为阅读伴侣
1. 不仅仅是完成任务——磨练自己的技能
> 消息来源: [OpenAI](https://openai.com/chatgpt/use-cases/student-writing-guide/)
### 18 Windows 11 24H2 使用 Alt + Tab 时导致黑屏
Windows 中的 Alt + Tab 快捷组合键可帮助用户在多个活动应用窗口之间切换。但是该快捷组合键在 Windows 11 24H2 更新中出现了问题,如果按下组合键就会触发黑屏。​虽然 Alt + Tab 组合键不会停止工作但黑屏会持续10秒钟。这种延迟是不可接受的尤其是当您想要快速切换到另一个应用时。微软在今年10月发布的可选更新中解决了这个黑屏问题但该更新不会自动安装。由于修复是逐步推出的因此即使用户手动安装10月可选更新也不会立即获得修复。微软对此表示将在12月为所有人修复 Windows 11 24H2 中的 Alt + Tab 快捷组合键黑屏错误。
> 消息来源: [Windows Latest](https://www.windowslatest.com/2024/11/06/windows-11-24h2-causes-a-black-screen-when-using-alt-tab/)
### 19 Basic 语言联合创始人托马斯·E·库尔茨去世
达特茅斯学院教授托马斯·E·库尔茨 (Thomas E. Kurtz) 于20世纪60年代与他人共同发明了适合新手使用的计算机代码 Basic并在个人电脑兴起期间帮助使其成为程序员的行业标准。根据《山谷新闻》报纸上的讣告他于11月12日在新罕布什尔州黎巴嫩的一家临终关怀中心去世享年96岁。他的妻子艾格尼丝证实了该消息。Basic 是直译式程序设计语言。在完成编写后不须经由编译及链接等手续,经过解释器即可执行,但如果需要单独执行时仍然需要将其建立成可执行文件。
> 消息来源: [彭博社](https://www.bloomberg.com/news/articles/2024-11-14/thomas-kurtz-co-creator-of-computer-language-basic-dies-at-96) | [维基百科](https://zh.m.wikipedia.org/zh-cn/BASIC)
### 20 到2027年近半AI数据中心可能面临电力短缺
预计未来几年人工智能对电力的需求将激增可能会导致数据中心的电力短缺。根据顾能公司的新报告去年新服务器需要195太瓦时的电力。这相当于1800万户家庭一年的用电量。但到2027年新服务器可能需要500太瓦时的电力相当于4600万户家庭的用电量。而根据高盛的估计这超出了现有数据中心的用电量2022年现有数据中心的用电量已达349太瓦时。如果没有额外的无碳能源AI 训练和使用带来的污染可能会急剧增加。萨姆·奥尔特曼对核聚变能源的巨额赌注 (超3.75亿美元) 开始变得更有意义了。
> 消息来源: [Techcrunch](https://techcrunch.com/2024/11/14/nearly-half-of-ai-data-centers-may-not-have-enough-power-by-2027/)
<!-- TODO: https://t.me/zaihuanews/28557 -->
<!-- https://t.me/zaihuanews/28584 -->
## 题外话
### 1 远程 “闻” 香来了数字嗅觉公司Osmo用AI技术实现气味“传送”
在人工智能的帮助下,数字嗅觉公司 Osmo 近期在“嗅觉传送”领域取得了重要进展。他们利用气相色谱质谱联用仪 (GC/MS) 采集并分析香气数据通过传感器捕捉特定地点的气味并传送到分子打印机上进行精确再现。Osmo 的“主香气图谱”数据库能预测分子组合与气味的关系,实现全自动化打印香气。首席执行官亚历克斯・威尔奇科 (Alex Wiltschko) 表示,首个再现的新鲜夏季李子香气极大提升了用户体验。此外,这项技术未来或将应用于虚拟现实和健康领域,为失去嗅觉的人提供帮助,甚至有望改变香水行业。尽管面临知识产权等挑战,“嗅觉传送”让我们对未来充满期待。
> 消息来源: [aibase](https://www.aibase.com/zh/news/12934)[X](https://x.com/awiltschko/status/1851327552490733686)

84
docs/2024/2024-3.md Normal file
View File

@ -0,0 +1,84 @@
---
title: Linuxcat周刊(第3期) OpenAI 宣布用户无需注册账号即可使用 ChatGPT但有部分限制
tags:
- AI
- Linux
- Cloudflare
- Apple
- Google
- PCDN
- GPT-4
- OpenAI
- Telegram
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/03/00047-3096155998.webp
banner_img: /img/weekly/2024/03/00047-3096155998.webp
permalink: /weekly/2024-03/index.html
date: 2024-4-7 21:50:00
---
## 1 OpenAI 宣布用户无需注册账号即可使用 ChatGPT但有部分限制
4 月 2 日消息OpenAI 宣布将降低其 AI 聊天机器人 ChatGPT 的使用门槛,即使没有账号的用户也能使用,不过会有一定限制。部分地区的用户访问 chat.openai.com 将不再需要登录即可直接与 ChatGPT 交互,全球其他地区也将陆续开放免登录访问。免登录用户可以直接与 ChatGPT 进行对话,使用的是与登录用户相同的模型。免登录用户可以选择退出聊天记录用于模型训练的选项。然而,免登录版本的 ChatGPT 将会拥有“更严格的内容政策”,但OpenAI 的发言人给出对此给出的解释冗长且含义模糊。
ps:中国大陆IP仍然属于黑名单IP,无法使用
> 消息来源: [IT之家](https://www.ithome.com/0/759/538.htm)
## 2 Cloudflare Workers 增加 Python 编程功能
Cloudflare于当地时间4月2日宣布推出了一项新的功能即在其Workers平台中开放了Python语言的支持。用户现在可以在Cloudflare Workers中使用Python编写代码并且这是一个公开测试版本。
这种对Python的支持不同于以往Workers平台对JavaScript以外语言的支持方式Cloudflare直接将Python实现集成到了其开源的Workers运行时中。据悉所有的绑定包括对Vectorize、Workers AI、R2、Durable Objects等的绑定都将在首日得到支持。此外Python Workers还可以导入一些流行的Python包的子集例如FastAPI、Langchain、Numpy等等并且无需额外的构建步骤或外部工具链。对于感兴趣的用户相关文档已经发布可以从4月2日开始使用该功能。
> 消息来源: [The Cloudflare Blog](https://blog.cloudflare.com/python-workers)
## 3 AMD 将开源 Radeon GPU 微引擎调度器固件
AMD 计划对其图形处理器GPU的微引擎调度器Micro Engine Scheduler简称 MES固件进行文档化并开源从而使用户对 Radeon 显卡拥有更多控制权。四月4日 AMD 透露了更多细节,指出其将开源的项目之一是 Radeon GPU 的 MES 固件。AMD 表示将在大约五月底发布 MES 的相关文档,并随后释出源代码。
> 消息来源: [The Register](https://www.theregister.com/2024/04/05/amd_mes_open_source/)
## 4 Apple 允许复古游戏模拟器进入 App Store
Apple正在放宽其对 App Store 的限制,允许复古游戏模拟器进入该应用市场。苹果表示,这些游戏必须遵守“所有适用法律”,这意味着它将禁止提供盗版游戏的应用程序。苹果还更新了关于超级应用(如微信)的规定。现在规定这类应用内的小游戏和小程序必须使用 HTML5明确了它们不能是原生应用或游戏。
> 消息来源: [The Verge](https://www.theverge.com/2024/4/5/24122341/apple-app-store-game-emulators-super-apps)
## 5 KDE Plasma 6 现已支持将 RGB 背光键盘与桌面主题强调色同步
Plasma 6.1 支持 KDE 快捷键选择器原生接受仅包含修饰键的快捷键,用于处理仅由修饰键组成的快捷方式。此前,此类仅修饰键的快捷方式处理需通过直接编辑 `kwinrc` 文件来重新分配 Meta 键等修饰键的角色。
> 消息来源: [phoronix](https://www.phoronix.com/news/KDE-Plasma-6-RGB-Backlit-Accent)
## 6 Pingora 0.1 发布Cloudflare 的 Rust 代码,用于构建可靠且快速的网络系统
今年2月Cloudflare 将 Pingora 框架作为开源项目发布旨在构建可靠且快速的网络系统。四月五日Pingora 正式迎来了首个官方版本——v0.1。用户现可从 GitHub 下载该代码。尽管对外发布的 Pingora 代码库版本为0.1,但其实 Pingora 已经在 Cloudflare 内部投入生产使用一段时间每天处理数百万级别的互联网请求。Cloudflare 称赞 Pingora 快速、可靠且可编程。您现在可以[从 GitHub 下载 Pingora v0.1](https://github.com/cloudflare/pingora)。
> 消息来源: [phoronix](https://www.phoronix.com/news/Cloudflare-Pingora-0.1)
## 7 14 名 LLM 在《街头霸王 III》中一决高下
上周在旧金山举办的 Mistral AI黑客松活动中一款基于经典街机游戏《街头霸王III》的新型人工智能AI基准测试应运而生。该开源基准测试名为LLM Colosseum由Stan Girard和Quivr Brain共同开发。游戏在模拟器中运行让LLMs以非传统但精彩的方式展开对决。
> 消息来源: [tom's hardware](https://www.tomshardware.com/tech-industry/artificial-intelligence/fourteen-llms-fight-it-out-in-street-fighter-iii-ai-showdown-finds-out-which-models-make-the-best-street-fighters)
## 8 谷歌 Nest Hub 新专利获批:借助雷达技术监测家中老人是否摔倒
4 月 6 根据美国商标和专利局USPTO近日公示的清单谷歌获得了一项关于 Nest Hub 的新专利,概述了基于雷达技术的跌倒探测功能。谷歌在专利中表示,智能手表、智能戒指等可穿戴设备固然可以检测摔倒,但对于老年人群来说,可能无法满足实际场景需求,准确率也不够高。这项新专利名称为《基于雷达的防隐私跌倒监测》,探索在 Nest Hub 产品中整合雷达技术,通过反射雷达波,可以创建原始波形数据。家庭助理设备可包括一个单片雷达集成电路,该电路由用于接收反射雷达的天线阵列组成。处理原始波形数据以确定发生了人员摔倒。
> 消息来源: [IT之家](https://www.ithome.com/0/760/220.htm)
## 9 部分云盘厂商和PCDN用户通过滥用BT网络来逃避运营商考核监管
部分用户为了逃避逃避运营商考核监管开始通过伪造自己为BT正常下载用户下载部分种子文件但该下载是无限制没有任何上传的往往会拉满同一种子中绝大部分做种者的上传这对于整个BT网络环境产生了非常恶劣的影响。
部分云盘123网盘供应商也使用相同手段来逃避监管或实现离线下载云盘厂商还通过伪造客户端版本或ID标识GT0001/2/3…来逃避用户屏蔽和拉黑如123网盘通过伪装自己是 anacrolix/torrent等来拉取流量IP归属地大多为辽宁大连服务器大量Bt用户的滥用反馈还对anacrolix/torrent开发者产生了困扰认为是自己程序出现新的BUG后经过社区用户的帮助溯源出IP所有者为西安明赋云计算股份有限公司123网盘即为该公司产品同时明赋云也提供辽宁的边缘云服务。
相关链接: [github Bittorrent 软件 恶意占用用户宽带PCDN 事件](https://zhuanlan.zhihu.com/p/690737125)
> 消息来源: telegram@LoopDNS资讯播报
## 10 22%的员工承认使用生成式人工智能GenAI违反公司规定
根据 1Password 的说法,人工智能等颠覆性技术正在加剧组织安全和员工生产力之间长期存在的紧张关系。员工承受着越来越大的绩效压力;为了提高效率他们正在采用生成式人工智能、混合和远程工作以及未经批准的应用程序和设备。92% 的安全专家对生成式 AI 有安全担忧,具体担忧包括员工将敏感的公司数据输入 AI 工具 48%)、使用使用不正确或恶意数据训练的 AI 系统 44%),以及上当受骗 AI 增强的网络钓鱼尝试 42%。57%的员工表示使用生成式AI工具在工作中节省了时间并提高了生产力。此外一个相对较小但重要的员工群体占22%承认明知故犯违反了公司关于使用生成式AI的规定。
> 消息来源: [helpnetsecurity](https://www.helpnetsecurity.com/2024/04/05/employee-security-productivity-balance/)
## 11 OpenAI 转录了超过 100 万小时的 YouTube 视频来训练 GPT-4
本周早些时候,《华尔街日报》报道称,人工智能公司在收集高质量训练数据方面遇到了困难。故事始于 OpenAI据报道OpenAI 急需训练数据,开发了 Whisper 音频转录模型来克服困难,转录了超过 100 万小时的 YouTube 视频来训练其最先进的大型语言模型 GPT-4。据《纽约时报》报道该公司知道这在法律上是有问题的但认为这是合理使用。
> 消息来源: [The Verge](https://www.theverge.com/2024/4/6/24122915/openai-youtube-transcripts-gpt-4-training-data-google)
## 12 Telegram 决定上市
自 2017 年以来Telegram 的创始人帕维尔・杜罗夫Pavel Durov就从没有接受过任何公共采访。直到不久前这位神秘的亿万富翁接受了英国《金融时报》的采访他向外界释放出了一个信号 ——Telegram 正在谋求 IPO。
虽然这条新闻和本刊主题没什么关系,但又不少人都在使用Telegram,它的上市可能会带来一些影响(也许不被墙了呢?)
> 消息来源: [IT之家](https://www.ithome.com/0/760/367.htm)

92
docs/2024/2024-4.md Normal file
View File

@ -0,0 +1,92 @@
---
title: Linuxcat周刊(第4期) 腾讯云全球性故障 74 分钟
tags:
- 云服务
- 防火墙
- Google
- AI
- 存储
- 网络安全
- SSL/TLS证书
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/04/00056-63285574.webp
banner_img: /img/weekly/2024/04/00056-63285574.webp
permalink: /weekly/2024-04/index.html
date: 2024-4-14 12:00:00
---
## 1 腾讯云全球性故障 74 分钟
2024年04月08日腾讯云出现了一场全球性的大故障用腾讯云官方的说法崩了 74 分钟15:31 - 16:45波及全球 17 个区域与数十款服务。
这次的故障几乎是去年阿里云双十一史诗级大故障的翻版 —— 小道消息是整个管控面 GG云 API 挂了,所以现象与去年阿里云如出一辙:依赖云 API 的云产品控制台不能用了。
目前可以以此次故障为由向客服索要100元代金券,如果业务大可以要888元代金券
> 消息来源: [微信公众号@非法加冯](https://mp.weixin.qq.com/s/PgduTGIvWSUgHZhVfnb7Bg)
## 2 爱尔兰的电力紧缩可能促使AWS对计算资源进行配给
爱尔兰的数据中心电力问题可能正在达到顶峰因为客户报告称亚马逊正在限制用户可以在该国启动的资源甚至将他们定向到欧洲的其他AWS区域。
“您无法在 AWS Dublin 中启动 GPU 节点因为这些位置的功耗已达到极限。EC2 有预留容量以防万一"
> 消息来源: [The Register](https://www.theregister.com/2024/04/09/aws_resource_restrictions)
## 3 思科宣布完成对Splunk的收购
2024年3月19日,思科宣布完成对网络安全软件公司Splunk的收购令思科具备更强的基础得以服务客户为客户的完整数字化足迹提供卓越的可见性和洞察力。
在此之后,若将两家销售额相加,思科将是防火墙领域毫无疑问的老大
> 消息来源: [splunk](https://www.splunk.com/zh_cn/newsroom/press-releases/2024/cisco-completes-acquisition-of-splunk.html)
## 4 Google One VPN 服务即将走向 Google 的坟场
根据 Android Authority 看到的一封含糊不清的客户电子邮件,谷歌正在关闭其 VPN by Google One 服务,距离 2020 年 10 月推出不到四年。这封电子邮件没有具体说明何时会发生这种情况只是说VPN服务将在“今年晚些时候”停止。
Google One 的 VPN 是 Google One 云存储服务宣布其用户达到 1 亿用户里程碑几周后被扔进臭名昭著的“Google 墓地”的最新产品。谷歌在其关闭电子邮件中提到VPN正在逐步淘汰以“专注于提供最需要的功能和优势”这可能与该公司正在向Google One推出的所有Gemini AI产品有关。
> 消息来源: [The Verge](https://www.theverge.com/2024/4/12/24128177/google-one-vpn-service-shutdown-announcement-graveyard)
## 5 APT 2.9 发布Debian 的 APT 3.0 将拥有带有颜色、柱式显示等的新 UI
APT 作为围绕 Debian Linux 构建的打包工具,正在着手对 APT 2.9 开发系列进行一些重大升级,然后作为 APT 3.0 推出。新 APT 的命令行用户界面有了很大的改进,从我最初的周五晚上遇到它来看,它肯定看起来不错。
“欢迎来到 APT 3.0 开发系列。它为 apt8 提供了新的 UI。它具有颜色、柱状显示、更多填充功能并最后显示删除内容关闭#755088使输出更易于快速扫描。"
> 消息来源: [phoronix](https://www.phoronix.com/news/Debian-APT-2.9-Released)
## 6 首部人工智能生成的浪漫喜剧电影将于今年夏天上映——预告片简直让霍尔马克频道无地自容
这家受欢迎的电视公司的第一个原创功能是用 Runway ML 和 Midjourney 制作的。
这部由TCL公司出品的原创电影预告片展示了两位年轻迷人的美国人在前往巴黎的火车上相遇并坠入爱河的故事。
该片将于今年夏天上映并在TCLtv+免费流媒体应用上播出该应用可在搭载Google TV OS的TCL电视上使用。
> 消息来源: [tom's hardware](https://www.tomshardware.com/tech-industry/artificial-intelligence/first-ai-generated-rom-com-is-due-this-summer-and-the-trailer-puts-hallmark-channel-to-shame)
## 7 由于美国的制裁中国游戏玩家可能无法对RTX 4090显卡进行RMA商品退货授权服务
根据美国政府实施的最新出口规则条款如果没有美国商务部的出口许可证AMD、英特尔和英伟达不能再向中国和其他一些国家运送他们的一些高性能处理器。事实上限制如此严格以至于英伟达AD102处理器的出货量也受到限制这可能会对GeForce RTX 4090显卡的供应产生影响。
> 消息来源: [tom's hardware](https://www.tomshardware.com/news/us-govt-restricts-shipments-of-geforce-rtx-4090-to-china-other-countries)
## 8 芯片制造商正专注于边缘人工智能Edge AI的发展
近期Arm、Intel和NVIDIA纷纷推出了新型CPU、GPU和NPU旨在推动边缘计算和应用程序开发的发展。
人工智能工作负载正在迅速流向网络边缘,这加速了对于更多计算能力的需求,老牌芯片制造商和初创公司都竞相满足这一需求。
> 消息来源: [thenewstack](https://thenewstack.io/chipmakers-putting-a-laser-focus-on-edge-ai/)
## 9 预计在2025年SD卡的容量最终达到4TB
西部数据计划明年发布首款4TB SD卡。周四这家存储公司宣布计划在下周亲自展示这款产品。
西部数据将推出这款SD卡该产品遵循SD协会的Secure Digital Ultra CapacitySDUC标准并将在其SanDisk品牌下销售主要面向“复杂的媒体和娱乐工作流程”例如使用相机和笔记本电脑拍摄高分辨率和高帧率视频公告中提到。
> 消息来源: [arstechnica](https://arstechnica.com/gadgets/2024/04/sd-cards-finally-expected-to-hit-4tb-in-2025/)
## 10 “能力高超”的黑客利用防火墙0-day漏洞入侵企业网络
Palo Alto Networks防火墙中存在的一个未经身份验证的代码执行漏洞目前尚无补丁可用导致黑客利用这一0-day漏洞成功入侵了多家企业网络。据悉这些黑客具备高超的技术能力能够精准地利用防火墙的安全漏洞进而获得对目标网络的完全控制权。
该漏洞存在于Palo Alto Networks的防火墙产品中黑客通过发送特制的网络请求能够绕过防火墙的身份验证机制并在目标系统上执行恶意代码。由于该漏洞尚未被官方发现并修复因此成为黑客攻击企业网络的利器。
> 消息来源: [arstechnica](https://arstechnica.com/security/2024/04/highly-capable-hackers-root-corporate-networks-by-exploiting-firewall-0-day/)
## 11 新型Rhadamanthys攻击活动中疑似使用AI生成代码
周三研究人员揭示在最近的一次传播Rhadamanthys信息窃取软件的活动中可能使用了AI生成的恶意软件。Proofpoint的研究人员在博客文章中写道用于解码base64编码的窃取软件并在内存中执行的PowerShell脚本包含异常详细的注释这可能是使用大型语言模型LLM如OpenAI的ChatGPT、Google的Gemini或Microsoft的Copilot生成代码的标志。
该脚本及伴随的Rhadamanthys有效载荷被发现是一个威胁行动者及疑似初始访问代理IABTA547发起的恶意邮件活动的一部分。该活动通过冒充名为Metro的零售公司向数十家德国企业发送钓鱼邮件。
> 消息来源: [SC杂志](https://www.scmagazine.com/news/ai-generated-code-potentially-used-in-new-rhadamanthys-campaign)
## 12 谷歌的90天TLS证书有效期提案将如何影响企业
去年谷歌提出了将TLS传输层安全性证书的有效期从13个月缩短至90天的提案该提案可能在不久的将来实施。这确实可以提高安全性并缩小攻击者利用被盗或被篡改的证书和私钥的机会窗口。但不幸的是这也将大幅增加管理TLS证书所需的时间和精力。
由于TLS证书的有效期缩短至90天使用手动流程来大规模续订和部署证书将变得不可能。为了支持DevOps团队不断交付新应用程序和功能的速度和灵活性自动化将是必要的。
> 消息来源: [helpnetsecurity](https://www.helpnetsecurity.com/2024/04/11/tls-certificate-renewal-proposal/)
> 评价:阿里云和腾讯云的90天证书看起来又香起来了,不过Google你是来干啥的?
跟踪: [Apple提交表决提案 建议将SSL/TLS证书有效期从398天缩短到45天](https://mei.lv/weekly/2024-19/)

65
docs/2024/2024-5.md Normal file
View File

@ -0,0 +1,65 @@
---
title: Linuxcat周刊(第5期) 知名NAS系统暗藏后门,官方表示不予修复
tags:
- OpenAI
- 存储
- 网络安全
- 谷歌
- Linux
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/05/00062-3090033140.webp
banner_img: /img/weekly/2024/05/00062-3090033140.webp
permalink: /weekly/2024-05/index.html
date: 2024-4-21 20:46:47
---
## 1 OpenAI的GPT-4可以通过阅读安全公告来利用实际存在的漏洞
有学者指出,结合大型语言模型与自动化软件的人工智能代理能够通过阅读安全公告,成功利用现实世界中的安全漏洞。在最新发布的一篇论文中,来自伊利诺伊大学厄巴纳-香槟分校UIUC的四位计算机科学家称OpenAI的GPT-4大型语言模型LLM如果获得描述该缺陷的CVE公告就能自主地利用现实系统中的漏洞。
作者们在论文中解释道“为了证明这一点我们收集了一组包含被CVE描述归类为严重等级的15个一日漏洞数据集。当给定CVE描述时GPT-4能够利用其中87%的漏洞而我们测试的其他所有模型GPT-3.5、开源LLM以及开源漏洞扫描器ZAP和Metasploit的成功率为0%。”
Kang及其同事计算了成功实施LLM代理攻击的成本得出的数字为每起攻击8.80美元他们表示这大约比雇佣人类渗透测试员工作30分钟的成本低2.8倍。
> 消息来源: [The Register](https://www.theregister.com/2024/04/17/gpt4_can_exploit_real_vulnerabilities/)
## 2 Logitech推出免费的ChatGPT提示工具以及一款带有人工智能按钮的鼠标
罗技公司近日推出一款免费软件工具旨在帮助使用其设备的现有用户创建ChatGPT提示。而对于即将推出的Signature AI Edition鼠标购买者而言他们还将获得一个专门的AI提示按钮。这一举措出自一家通常与外设产品关联的企业显得有些奇特像是在赶时髦。虽然将某些人现今可能称为人工智能的算法应用于提升噪音消除或图像处理是件好事但在鼠标上设置一个触发ChatGPT对话以创建提示的按钮却显得有些多余就像Copilot键一样。
> 消息来源: [The Register](https://www.theregister.com/2024/04/17/logitech_introduces_ai_prompt_tool/)
## 3 西部数据发布 Ultrastar Transporter 368TB的手提箱存储
西数在 NAB 大会上,带来一款有意思的产品,叫 Ultrastar Transporter带手提箱官方称其是“很特别的 SSD”。
其配置有 368TB 的 NVMe 快闪存储空间和双接口 200GbE 以太网端口,包含带轮子的运输箱,方便从一个地点运输到另一个地点,还可以通过提手运输
> 消息来源: [西部数据](https://www.westerndigital.com/zh-tw/products/data-center-platforms/ultrastar-transporter?sku=1ES2562)
## 4 Google Maps 将利用人工智能AI技术来帮助电动汽车EV驾驶员发现不太明显的充电站
Google Maps 正在推出一系列新更新,旨在减轻寻找电动汽车充电站的压力。为此,它将(当然)大量依赖人工智能。
Google 表示,将利用人工智能来汇总 EV 充电站的用户评价,以显示前往特定充电站(如位于停车场或较难找寻地点的充电站)的更具体指示。
> 消息来源: [The Verge](https://www.theverge.com/2024/4/17/24132254/google-maps-ev-charging-directions-ai-summaries)
## 5 美国空军表示AI控制的F-16战斗机已与人类进行空战对抗
美国空军试飞员学校和国防高级研究计划局DARPA声称在人工智能软件操控改装版F-16战斗机与人类飞行员进行空中格斗演示方面取得了机器学习的重大突破。
> 消息来源: [The Register](https://www.theregister.com/2024/04/18/darpa_f16_flight/)
## 6 知名NAS系统暗藏后门,官方表示不予修复
近日,有网友发现,Dlink的部分NAS型号的系统中内置一个无密码账户messagebus,且NAS系统中有多种机制来防止此用用户被删除.
目前,全球有多达九万两千台暴露在公网中的该型号NAS,而Dlink官方则表示产品已超过服务期限,不予修复
> 消息来源: [Epcdiy](https://www.bilibili.com/video/BV1qm411U7wX/)
## 7 谷歌为了结集体诉讼,同意删除 Chrome 浏览器无痕模式下收集的用户数据
4 月 2 日消息,根据华尔街日报报道,谷歌为了结追溯到 2020 年的集体诉讼案,近日同意删除通过 Chrome 浏览器“无痕Incognito模式”下收集的用户数据。
这起诉讼原告认为谷歌对于“无痕Incognito模式”的介绍存在误导性描述让用户在不知情的情况下被网站追踪其使用情况。
谷歌今天还表示销毁这些“不当收集”的“数十亿个数据点”,还将更新 "隐身" 模式的措辞,并在使用该功能时默认禁用第三方 Cookie谷歌计划在今年晚些时候完全禁用 Cookie
> 消息来源: IT之家
## 8 Akira 收取了 4200 万美元的赎金,现在瞄准 Linux 服务器
欧洲及美国四大顶尖网络安全机构于4月18日联合发布的一份咨询报告指出Akira 勒索软件团伙在过去一年内从超过250家组织手中勒索得手总计4200万美元。
这份报告指出Akira 现在不仅针对 Windows 系统,还对 Linux 服务器发起攻击发布方包括美国网络安全与基础设施安全局CISA、联邦调查局FBI、欧洲刑警组织欧洲网络犯罪中心以及荷兰国家网络安全中心。
> 消息来源: [SC杂志](https://www.scmagazine.com/news/akira-takes-in-42-million-in-ransom-payments-now-targets-linux-servers)

89
docs/2024/2024-6.md Normal file
View File

@ -0,0 +1,89 @@
---
title: Linuxcat周刊(第6期) 打爆云账单只需要S3桶名
tags:
- 网络安全
- Apple
- IBM
- AI
- OpenAI
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/06/00066-3115939548.webp
banner_img: /img/weekly/2024/06/00066-3115939548.webp
permalink: /weekly/2024-06/index.html
date: 2024-5-01 16:21:00
---
## 1 印度某银行的IT系统破旧不堪以至于被禁止开设新账户。
印度中央银行已禁止科塔克·马欣德拉银行Kotak Mahindra Bank通过其线上平台和应用程序为新客户开设账户或信用卡。
科塔克·马欣德拉银行拥有超过4100万客户管理资产超过5000亿美元。该行在其FY 22/23年度报告中强调了年内对“强化安全措施”的重视。然而印度储备银行对此并不满意。
> 消息来源: [The Register](https://www.theregister.com/2024/04/25/rbi_india_kotak_mahindra_bank/)
## 2 IBM 收购 HashiCorp 以加强多云 IT 自动化实力
IBM于4月24日宣布将以64亿美元现金收购IT基础设施提供商HashiCorp
IBM在新闻稿中表示HashiCorp的基础设施与安全生命周期管理软件将补充IBM在混合云和人工智能方面的服务。收购完成后HashiCorp将继续作为IBM内部的一个独立部门运作。
如同2018年IBM收购Red Hat一样此次收购将进一步巩固IBM在云原生计算领域的地位。许多云原生部署已经使用了HashiCorp的Terraform多云基础设施配置工具。
> 消息来源: [thenewstack](https://thenewstack.io/ibm-purchases-hashicorp-for-multicloud-it-automation/)
## 3 美国总统拜登签署针对TikTok的“禁令”法案使之正式成为法律
美国总统乔·拜登签署了一项包含法案的对外援助方案该法案规定如果中国母公司字节跳动在未来一年内未能剥离TikTok将禁止该短视频应用。
如今,这项“剥离或禁用”法案已成为法律,标志着字节跳动需开始着手进行相关操作的计时开始。该公司最初有九个月的时间来达成交易,但如果总统认为取得进展,可再延长三个月。
> 消息来源: [The Verge](https://www.theverge.com/2024/4/24/24139036/biden-signs-tiktok-ban-bill-divest-foreign-aid-package)
> 评价: 虽然我很讨厌抖音,但是让它恶心外国人还是很好的
## 4 苹果最新的AI模型预示了AI可能如何应用于iPhone之中
苹果对于其在生成式AI领域的计划一直保持低调但随着今天发布的新AI模型公司显然在短期内致力于让AI在苹果设备上本地运行。
周三来自苹果的研究人员在Hugging Face模型库发布了OpenELM系列共包含四个非常小巧的语言模型。苹果在其Hugging Face模型页面表示OpenELM全称为“开源高效语言模型”在电子邮件撰写等文本相关任务上表现出极高效率。这些模型均为开源可供开发者直接使用。
它共有四种尺寸2.7亿参数4.5亿参数11亿参数以及30亿参数。
> 消息来源: [The Verge](https://www.theverge.com/2024/4/24/24139266/apple-ai-model-openelm-iphone-laptops-strategy)
## 5 TensorFlow AI 模型因 Keras API 缺陷面临风险
由于Keras API中存在的一个漏洞可能导致潜在不安全代码执行使得基于TensorFlow的AI模型面临供应链攻击的风险。
Keras是一种神经网络API用Python编写为深度学习软件库如TensorFlow和Theano提供高级接口。
被追踪为CVE-2024-3660的漏洞影响Keras 2.13版本之前的所有版本该漏洞于上周二由CERT协调中心披露。该漏洞存在于Lambda Layers处理机制中Lambda Layers是一种AI“构建块”允许开发人员将任意Python代码作为匿名lambda函数添加到模型中。
> 消息来源: [SC杂志](https://www.scmagazine.com/news/tensorflow-ai-models-at-risk-due-to-keras-api-flaw)
## 6 73%的中小企业安全专家忽略了或未能及时响应关键警报
根据Coro公司的调查由于需要管理安全堆栈中多种工具的复杂性和要求过高使得中小企业SMEs的IT人员不堪重负导致他们无法及时发现并应对严重级别的安全事件从而削弱了企业的安全态势。
> 消息来源: [helpnetsecurity](https://www.helpnetsecurity.com/2024/04/25/73-of-sme-security-pros-missed-or-ignored-critical-alerts/)
## 7 黑客利用两个零日漏洞CVE-2024-20353、CVE-2024-20359对Cisco ASA设备进行了后门植入
一个国家资助的威胁行为者已经成功地入侵了全球政府网络中使用的思科自适应安全设备ASA并利用两个零日漏洞CVE-2024-20353CVE-2024-20359在这些设备上安装了后门。这一情况由思科Talos研究团队于周三分享。
首个由思科客户确认的活动发生在2024年1月初但实际攻击始于2023年11月。“此外我们发现了证据表明这种能力早在2023年7月就开始被测试和开发。”研究人员补充道。
> 消息来源: [helpnetsecurity](https://www.helpnetsecurity.com/2024/04/24/cve-2024-20353-cve-2024-20359/)
## 8 打爆云账单只需要S3桶名
如果您正在使用亚马逊网络服务并且您的S3存储桶可以从公开网络访问那么最好不要选择一个通用的名称作为空间名。避免使用“example”跳过“change_me”甚至不要选择“foo”或“bar”。有人也许会有与您相同的“稍后更改此名称”的想法但这可能会让您损失一台MacBook的金额。
问问Maciej Pocwierz吧他恰好选择了一个S3名称而“其中一个流行的开源工具”使用了该名称作为其默认备份配置。在为客户项目设置存储桶后他查看了自己的账单页面发现在一天之内有近1亿次未经授权的尝试在他的存储桶上创建新文件PUT请求。账单超过了1300美元且还在不断增加。
> 消息来源: [arstechnica](https://arstechnica.com/information-technology/2024/04/aws-s3-storage-bucket-with-unlucky-name-nearly-cost-developer-1300/)
## 9 神秘的“gpt2-chatbot”人工智能模型突然出现令专家感到困惑。
近日社交媒体开始传播一个名为“gpt2-chatbot”的新神秘聊天机器人出现在LMSYS聊天机器人竞技场上的消息。一些人推测这可能是OpenAI即将推出的GPT-4.5或GPT-5大型语言模型LLM的秘密测试版本。付费版本的ChatGPT目前由GPT-4 Turbo提供支持。
> 消息来源: [arstechnica.com](https://arstechnica.com/information-technology/2024/04/rumors-swirl-about-mystery-gpt2-chatbot-that-some-think-is-gpt-5-in-disguise/)
## 10 苹果“极度隐私”的Safari在欧洲并非如此隐私
苹果对欧洲反垄断规定的勉强接受允许iPhone上的第三方应用商店却让Safari浏览器的用户面临潜在的网络活动追踪风险。
开发者Talal Haj Bakry和Tommy Mysk调查了苹果在iOS上通过Safari实现第三方软件市场安装过程的方式并得出了这样的结论苹果的方法特别粗糙。
> 消息来源: [The Register](https://www.theregister.com/2024/04/30/apple_safari_europe_tracking/)
## 11 埃隆·马斯克最新的想法是将特斯拉汽车变成轮上的AWS。
特斯拉这家电动汽车制造商正在考虑一个极具盈利性的点子——利用其车辆中的所有计算能力来处理工作负载以赚取现金就像是一种轮上的AWS。
由埃隆·马斯克领导的这家公司在其最近的日历第一季度财报电话会议上表示,他们注意到其车辆有相当一部分时间只是闲置不动。许多车辆都装备了相当数量的处理能力,那么为什么不让它们做些有用的事情,也为公司赚些钱呢?
> 消息来源: [The Register](https://www.theregister.com/2024/04/30/tesla_ai_workloads/)
## 12 数百万个 Docker 存储库在推送恶意软件和钓鱼网站
自2021年初以来已发现三次大规模活动针对 Docker Hub 用户,植入了数百万个存储库,推送了恶意软件和钓鱼网站。
据JFrog安全研究人员发现Docker Hub托管的1500万个存储库中约有20%含有恶意内容,从垃圾邮件到危险的恶意软件和钓鱼网站不等。
研究人员发现了近460万个不包含 Docker 镜像的存储库,这些镜像无法在 Kubernetes 集群或 Docker 引擎上运行并且将约281万个存储库与三个大规模的恶意活动联系起来。
> 消息来源: [bleepingcomputer](https://www.bleepingcomputer.com/news/security/millions-of-docker-repos-found-pushing-malware-phishing-sites/)

100
docs/2024/2024-7.md Normal file
View File

@ -0,0 +1,100 @@
---
title: Linuxcat周刊(第7期) 美西两个月后只能绕路而行
tags:
- 通信
- jsDelivr
- 网络安全
- AI
- OpenAI
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/07/00070-4197085939.webp
banner_img: /img/weekly/2024/07/00070-4197085939.webp
permalink: /weekly/2024-07/index.html
date: 2024-5-19 18:13:00
---
## 大事概览
### 1 jsDelivr遇到证书问题
北京时间2024年05-月02日早上七八点左右,cdn.jsDelivr.net遇到了证书问题并持续数个小时未恢复,此次问题造成了大量网站无法正常加载
### 2 这周一是陈皓去世一周年
2023年5月13日陈皓心梗逝世享年47岁。
我写了一篇文章来纪念他(不过截至本次周刊发布,都还没有写完) : [做环保的程序员,从不用抖音开始](https://ssdomei232.github.io/articles/anti-douyin/)
### 3 宿迁蒲公英机房联通方向失联106分钟
北京时间2024年5月13日下午1:13,蒲公英IDC机房联通方向失联,BGP线路及联通单线均受到影响,无法联通,于下午2:59左右恢复,此次故障持续106分钟,其它机房(京东云)未见此问题
![宿迁蒲公英机房联通方向失联106分钟](/img/weekly/2024/07/AD01221B1B2E935414B0725865BB3C9A.jpg "宿迁蒲公英机房联通方向失联106分钟")
## 乐子
### 1 美西两个月后只能绕路而行
美国联邦通信委员会FCC25日表示已要求中国电信、中国联通和中国移动的美国子公司停止在美国境内的固定或移动宽带互联网业务。美国联邦通信委员会表示它要求中国运营商在周四批准的网络中立令生效之日起60天内停止提供服务。该命令还适用于中资电信企业太平洋网络有限公司及其全资子公司 ComNet。
美国联邦通信委员会提到,中国可访问通常位于数据中心内的接入点 (POP) 存在国家安全方面的担忧。FCC 专员斯塔克斯表示:“他们正在与其他网络互连,并可以访问重要的接入点和数据中心”,并敦促“仔细研究敌对提供商对我们的数据和数据中心构成的威胁”。这是华盛顿限制中国电信运营商的最新行动,包括限制处理互联网流量的海底光缆。(路透社)
今天(25日)FCC 以 3 比 2 投票决定恢复美国的网络中立规则,扩大了政府对 ISP 的监管权力。此次限制应该更多的是禁止中国的电信运营商在美国从事宽带接入业务以执行此前禁止这些公司提供电信服务的命令多家IDC曾否认会影响CN2线路。目前没有明确信息可以判断是否会对CN2GIA、CMI等优化线路造成影响。电信企业也可能采取变通的做法。
> 消息来源: [nodeseek](https://www.nodeseek.com/post-99949-1)
### 2 TikTok 将删除未经授权的 AI 语音克隆音乐
TikTok 与环球音乐集团 (UMG) 达成的新协议包含一项关键条款该短视频应用同意删除人工智能创作的未经授权的音乐。字节跳动有限公司旗下的应用与全球最大的唱片公司达成的协议终于结束了长达数月的关于报酬以及该平台上人工智能生成音乐的激增的争执。两家公司周四在一份声明中表示TikTok 将开发“改善艺术家和词曲作者归属的工具”,以解决音乐行业在面临人工智能生成的材料在网上迅速传播时面临的一个关键症结。
> 消息来源: [彭博社](https://www.bloomberg.com/news/articles/2024-05-02/unauthorized-ai-voice-clones-of-taylor-swift-face-removal-from-tiktok)
### 3 全球最大"风控数据库"落入网络犯罪分子手中
近日一个被全球主流银行和超过300个政府情报机构使用的“风控数据库”又称恐怖分子数据库发生数据泄露530万条高风险个人信息落入犯罪分子手中并在网上泄露
泄露的数据库名为World-Check汇总了数以百万的非法分子高风险人物和实体信息例如恐怖分子、洗钱者、不端政客等供企业验证用户可信度KYC尤其是银行等金融机构用来验证其客户的身份确定潜在客户是否可能与洗钱等金融犯罪有关或是否受到政府制裁。
> 消息来源: [51CTO](https://www.51cto.com/article/786750.html)
### 4 中国电信取得PCDN违规业务检测专利提高检测的准确率
金融界2024年3月21日消息据国家知识产权局公告中国电信股份有限公司取得一项名为“PCDN违规业务检测方法、装置、电子设备及存储介质“授权公告号CN114389977B申请日期为2021年12月。
> 消息来源: [网易新闻](https://www.163.com/dy/article/ITQB7GF30519QIKK.html)
### 5 OpenAI坚称周一不会推出搜索引擎或GPT-5
OpenAI这家创造了许多聊天机器人并接受了微软大量投资的公司否认了其计划在周一发布网络搜索引擎的传言。“尽管有报道OpenAI在周一并不会推出搜索产品或GPT-5”一位发言人向The Register表示关于下周初即将进行的产品更新。首席执行官奥特曼也在社交媒体上重申了这一否认。
> 消息来源: [theregister](https://www.theregister.com/2024/05/11/openai_product_search_monday/)
### 6 Verizon, AT&T和T-Mobile的“无限”套餐刚收到了1000万美元的罚款警告
Verizon, AT&T和T-Mobile将向一组州支付总计1022万美元以解决有关运营商对其“无限”套餐和“免费”手机优惠误导消费者的索赔。
Verizon、T-Mobile和AT&T只有在账单周期内对用户使用数据量没有任何限制的情况下才能将其套餐宣传为“无限”。广告必须“清晰且显眼”地说明可能会限制速度并明确指出在触发降速前客户可以使用的数据量。
>消息来源: [The Verge](https://www.theverge.com/2024/5/10/24153892/verizon-tmobile-att-unlimited-plan-free-phone-offers-fine)
### 7 OpenAI 针对使用 ChatGPT 徽标向 subreddit r/chatGPT 提出版权侵权声明——r/chatGPT 使用了官方 ChatGPT 徽标
r/ChatGPT 的版主这是一个拥有540万成员、用于讨论ChatGPT和OpenAI的子论坛因使用ChatGPT的徽标作为头像而收到Reddit的版权侵权通知。404媒体首次报道r/ChatGPT的版主在r/ChatGPT子论坛上发布了一个点赞表情并附上了截图写道“我们收到了来自openai.com的版权投诉称我们在r/ChatGPT中未经授权使用了其版权徽标。”
> 消息来源: [tom's hardware](https://www.tomshardware.com/tech-industry/artificial-intelligence/openai-hits-subreddit-with-copyright-claim-for-using-chapgpt-logo)
### 8 "TunnelVision" DHCP漏洞使攻击者能绕过VPN重定向流量
一种名为“TunnelVision”的新技巧利用了DHCP设计缺陷使得攻击者能够操纵路由表从而完全绕过本应通过虚拟专用网络VPN的流量并将其重定向到不受信任的本地网络中。
Leviathan Security Group的研究人员在5月6日的博客文章中解释说由于这种技巧利用的是DHCP的缺陷并不依赖于攻破VPN技术或底层协议因此它完全独立于VPN提供商或实现方式之外运作。
> 消息来源: [SC杂志](https://www.scmagazine.com/news/tunnelvision-dhcp-flaw-lets-attackers-bypass-vpns-redirect-traffic)
### 9 日本法院裁定AI发明的装置不予授权专利
就人工智能生成的发明是否能获得专利的诉讼日本东京地方法院5月16日作出裁决指出“发明人仅限于人类”因而不予授权。
> 消息来源: [日本放送協会](https://www3.nhk.or.jp/nhkworld/zh/news/k10014451961000/)
### 10 OpenAI发布GPT-4o
OpenAI 于 5 月 14 日发布了其最新的人工智能模型 GPT-4o这不仅是该公司技术实力的一次展示也是对整个 AI 行业的一次重要推动。GPT-4o 的响应速度极快,音频输入的平均响应时间仅为 320 毫秒与人类对话中的自然反应时间相当。此外GPT-4o 在多语言处理、视觉和音频理解方面的能力也有显著提升,创下了多项新的行业纪录。
值得一提的是OpenAI CEO奥特曼Sam Altman宣布GPT-4o将对所有用户**免费开放**。
> 消息来源: [搜狐](https://www.sohu.com/a/779799266_472308)
## 推荐阅读
### 人工智能时代的 Android(英文)
文章表达了一些对安卓和AI融合的观点,不过看起来作者不是很喜欢现在安卓的AI(Gemini)
[跳转链接-人工智能时代的 Android(英文)](https://www.theverge.com/2024/5/11/24152977/android-ai-google-io-2024-gemini)
### 云时代下保护‘碎片化’的身份信息(英文)
在云和远程工作时代身份管理变得更加重要且充满挑战。Vivin Sathyan在RSAC上的演讲强调了以身份为中心的安全性在2024年的至关重要性指出需通过上下文访问策略、混合活动目录系统等措施来应对因网络边界模糊和身份碎片化带来的安全威胁并提出了包括定期风险评估、访问认证、账户管理自动化、基于角色的访问控制以及加强密码和多因素认证在内的五项应对措施。
[跳转链接-Securing fragmented identities in the cloud age](https://www.scmagazine.com/news/rsac-2024-securing-fragmented-identities-in-the-cloud-age)
### 文件和驱动器上的“密码保护”安全性如何?
文章讲述了仅用密码保护文件如PDF或Excel并不安全易遭破解。
硬件加密驱动器则通过专用微处理器提供更强防护,能有效抵抗攻击,保证数据安全,尤其适合对安全性有高要求的环境。投资硬件加密成为处理敏感数据的专业人士和机构的必要选择。
[跳转链接-How secure is the “Password Protection” on your files and drives?](https://www.helpnetsecurity.com/2024/05/10/password-protect-pdf-excel-files/)

79
docs/2024/2024-8.md Normal file
View File

@ -0,0 +1,79 @@
---
title: Linuxcat周刊(第8期) Docker 官方源访问遭 GFW 阻断
tags:
- Bing
- Google
- Docker
- GFW
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/08/00075-2268820145.webp
banner_img: /img/weekly/2024/08/00075-2268820145.webp
permalink: /weekly/2024-08/index.html
date: 2024-6-21 19:00:00
---
## 大事概览
### Bing出现全球范围宕机
5月23日下午有不少用户反映Bing出现了故障无法正常搜索和登录,edge浏览器的部分功能包括集锦在内也无法使用
在进行搜索后页面会弹出一个熊猫的图案并且很诚实的写道“不是你的问题是我的问题”“Bing目前不在但一切都应该恢复正常。”
此故障持续了 1 天时间
## 乐子
### 1 《庆余年2》被搬到了 NPM阿里云要被薅秃了
npmmirror 核心开发者 “fengmk2” 在社区 X 上表示,有小哥竟利用 NPM 的一些机制将《庆余年2》整套高清视频搬上来了不得不将 unpkg 新增文件功能停止
fengmk2 随后表示 “为了避免此功能被滥用,对于新增的 npm 包不会默认开启 unpkg 功能,如果你新发布的 npm 包也希望开启此功能,请参考 README 文档描述提交白名单“
![为了无法计算的损失1](/img/weekly/2024/08/GNytLfkXQAA8GMf.jfif "为了无法计算的损失1")
![为了无法计算的损失2](/img/weekly/2024/08/GNyuFo1WAAAAkQa.jfif "为了无法计算的损失2")
[playlist.m3u8](/img/weekly/2024/08/playlist.m3u8)
> 消息来源: [X](https://x.com/fengmk2/status/1791498406923215020)
### 2 谷歌终于解决了那些奇怪的AI搜索结果
基本上当你使用谷歌在网页上搜索某些内容或者向它提问时这个科技巨头可能会使用其Gemini AI大型模型自动在结果页面顶部为你的查询生成一个答案。这个答案应该基于网络对你尝试查找的主题的讨论。而不是点击搜索结果链接到页面上查找信息网民们在结果页面上直接提供了一个由AI制作的该信息摘要。
谷歌有时会给出荒谬和无意义的答案,在两个特别引人注目的例子中如果是真的AI概览说人们“应该每天吃一块小石头”并且通过在酱料中添加“无毒胶水”可以解决奶酪不粘在披萨上的问题。
> 消息来源: [theregister](https://www.theregister.com/2024/05/31/google_ai_search_update/)
### 3 美国数据中心激增的电力需求减缓了煤炭发电厂的消亡
能源市场分析公司标准普尔全球商品洞察S&P Global Commodity Insights指出到2030年美国煤炭产业预计只有54吉瓦的产能将被关闭——比去年7月的预测下降了40%。到2050年退役的煤电厂总数预计仍然大致相同但从现在开始到本十年末的退役速度将大大慢于去年的估计。
煤电厂可以将其新的生命归功于数据中心行业该行业正在扩建和升级现有的数据中心以及建设新的设施。人工智能时代需要大量的能源——根据国际能源署IEA1月份的报告仅由人工智能驱动的谷歌搜索预计就会使用比更传统信息请求多十倍的电力。
> 消息来源: [theverge](https://www.theregister.com/2024/05/31/datacenter_power_crunch/)
### 4 Steam 游戏玩家急于升级到 32GB RAMLinux 在最新调查中突破了 2% 的用户份额里程碑
Steam刚刚发布了其[月度硬件调查](https://store.steampowered.com/hwsurvey/Steam-Hardware-Software-Survey-Welcome-to-Steam),其中有一些值得注意的趋势值得评论。虽然大多数 Steam 用户拥有 16GB 的 RAM 47.08%),但也有很多人正在迅速迁移到 32GB。拥有 32GB 的用户仍然以 28.72% 位居第二,但与上个月相比,这一数字增长了 0.63%,这是 Steam 列表中所有 RAM 配置中增幅最大的。
我们看到 Linux 最近的增长最令人印象深刻,其 Steam 用户群从上个月的 1.9% 增加到 2.32%,增长了 0.42%。虽然与 Windows 用户增长相比,它仍然没有那么大,但 Linux 用户数量很少(与 Windows 相比)意味着这对社区来说是一个重大变化。
> 消息来源: [tom's hardware](https://www.tomshardware.com/video-games/pc-gaming/steam-gamers-hurry-to-upgrade-to-32gb-ram-and-linux-breaks-above-2-user-share-milestone-in-latest-survey)
### 5 在中国访问 Docker 遭中国政府制裁
6月6日SJTUG上海交通大学 Linux 用户组)发布公告称:“即时起中止对 Docker Hub 仓库的镜像。Docker 相关工具默认会自动处理失效镜像的回退,如果对官方源有访问困难问题,建议尝试使用其他仍在服务的镜像源。”
晚些时候,南京大学开源镜像站的 Docker Hub 镜像也宣布停止服务,目前相关新闻及通知均已撤回
目前 Docker Hub 以及 Docker 所有官方网站均已遭到 GFW 的阻断及污染,无法访问
小道消息称:“收到上面信息监管的最新要求,国内所有 Docker 的镜像服务器必须全部下架。后续包括 Github CDN 镜像NPMPypi 等未经内容审查的镜像服务器一律下架”
目前已经有了很多解决方案:
* [docker_image_pusher](https://github.com/tech-shrimp/docker_image_pusher)
* [Docker Hub 无法访问:应用安装失败,镜像拉取超时的临时解决方案](https://bbs.fit2cloud.com/t/topic/5886)
在此,对方滨兴教授表达美好的问候
跟踪: [Docker官方安装脚本以及镜像拉取 已被解封](https://github.com/ssdomei232/Linux-weekly/blob/main/docs/2024/2024-17.md)
### 6 美国宣布封禁俄罗斯杀毒软件公司卡巴斯基的产品
当地时间6月20日美国商务部长吉娜·雷蒙多宣布出于对美国国家安全的考虑政府将采取措施禁止美国公司和公民使用俄罗斯杀毒软件公司卡巴斯基开发的产品。雷蒙多表示美国政府将采取行动禁止卡巴斯基实验室及其所有附属公司、子公司和母公司在美国提供网络安全和防病毒软件并将三家卡巴斯基相关实体添加到“实体名单”中以使其无法在美国销售或更新软件。
> 消息来源: LoopDNS 资讯播报
## 推荐阅读
### 1 中文博客倡议(中文)
列举了中文博客应该如何建设,如何提升游客体验的倡议
[跳转链接: 中文博客倡议(中文)](https://github.com/HowieHz/chinese-blog-guidelines)
## what's more?
在中考6月12日完后周刊成功复活本次预计持续更新8周左右每周五晚7点发布

95
docs/2024/2024-9.md Normal file
View File

@ -0,0 +1,95 @@
---
title: Linuxcat周刊(第9期) CSDN旗下的GitCode正在批量搬运Github开源项目并为开发者创建主页
tags:
- OpenAI
- Google
- 网络安全
- Apple
- AI
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/09/00082-3123470115.webp
banner_img: /img/weekly/2024/09/00082-3123470115.webp
permalink: /weekly/2024-09/index.html
date: 2024-6-28 19:00:00
---
## 乐子
### 1 GPT-5 已推迟至 2025 年末发布 将拥有博士等级的能力
在接受达特茅斯工程学院采访时OpenAI 首席技术官 Mira Murati 将 GPT-4 到 GPT-5 的飞跃描述为智能的重大飞跃。她将 GPT-3 比作幼儿水平的智能,将 GPT-4 比作聪明的高中生智能,将 GPT-5 比作实现“特定任务的博士智能”。
当采访者向 Murati 施压,要求她给出具体的发布日期时, Murati 澄清说GPT-5 还需要一年半的时间,因此可能会推迟到 2025 年底或 2026 年初发布。
—— 采访视频([YouTube](https://m.youtube.com/watch?v=yUoj9B8OpR8))
> 消息来源: [风向旗参考快讯](https://t.me/xhqcankao)
### 2 OpenAI 和 Anthropic 无视了防止机器人抓取在线内容的既定规则
据《商业内幕》获悉,世界上最大的两家人工智能公司无视媒体出版商要求其停止免费抓取其网络内容用于模型训练的请求。据了解 TollBit 调查情况的人士以及另一位知情人士称OpenAI 和 Anthropic 要么无视、要么规避了名为 robots.txt 的既定网络规则该规则阻止自动抓取网站内容。TollBit 是一家致力于在出版商和人工智能公司之间促成付费许可交易的初创公司,该公司发现有多家人工智能公司存在这种行为,并在周五的信函中通知了某些大型出版商,信函中没有透露被指责规避规则的人工智能公司名字。
> 消息来源: [商业内幕](https://www.businessinsider.com/openai-anthropic-ai-ignore-rule-scraping-web-contect-robotstxt)
### 3 谷歌搜索四个月处理了十亿条内容移除要求
谷歌2012年正式推出透明度报告分享所有与版权相关的 DMCA 移除要求详细信息包括目标链接及其发件人。去年8月谷歌达到了要求移除的网址数70亿里程碑而这距离达到60亿仅过去了9个月。今年2月要求移除的网址数达到80亿四个月后这个数字已超过90亿。很难判断增长是否会持续因为这些数字主要由少数几家提出举报的公司占据。其中包括 Link-Busters 与成人娱乐公司 MG Premium。查看移除目标网址影子图书馆“安娜的档案”凭借两个域名进入“指定的网域” (移除要求中提及的次数) 前十名。
> 消息来源: [Torrentfreak](https://torrentfreak.com/google-search-processed-a-billion-dmca-takedowns-in-four-months-240622/)
### 4 瑞典大力推行无现金支付,导致网络诈骗激增
瑞典的网络欺诈和数字犯罪激增,犯罪分子通过欺诈在 2023 年窃取了 12 亿瑞典克朗,比 2021 年翻了一番。执法机构估计,瑞典犯罪经济规模可能高达该国国内生产总值的 2.5% 。
为了打击数字犯罪,瑞典当局向银行施加压力,要求其加强安全措施,加大对精通技术的犯罪分子的打击力度,但这是一个微妙的平衡之举。如果做得太多,可能会拖累经济发展,而做得太少,则会削弱信任,并损害合法企业。
根据瑞典央行的一项调查,到 2022 年,只有 8% 的瑞典人表示他们最近一次购物时使用现金。根据国际货币基金组织的数据,瑞典与邻国挪威一样,是欧洲人均 ATM 数量最少的国家。
BankID 的普及在一定程度上加剧了瑞典的脆弱性。该系统的工作方式类似于在线签名。一旦使用,就被视为已完成交易,交易将立即执行。瑞典银行设计了该系统,旨在使电子支付比交出一叠钞票更快捷、更轻松。
> 消息来源: [彭博社](https://www.bloomberg.com/news/articles/2024-06-21/sweden-led-europe-s-move-to-cashless-economy-now-it-faces-soaring-fraud)
### 5 谷歌 Pixel 设备发现高危安全漏洞 美国政府督促雇员限期更新
谷歌 Pixel 本月更新披露了一个严重的安全漏洞 (CVE-2024-32896)。谷歌警告说这个高严重性固件漏洞“可能正受到有限的、有针对性的利用。”谷歌对这个零日漏洞提供的细节很少但美国政府已经介入要求联邦雇员在7月4日之前更新他们的 Pixel 设备,“否则停止使用该产品。”据 GrapheneOS 称这是对其在四月报告的漏洞第二部分修复这些漏洞“正被取证公司积极利用。”该公司还表示“该问题已通过6月更新 (安卓 14 QPR3) 在 Pixel 上得到修复并将随着其他安卓设备最终升级到安卓15而修复。如果没有更新到安卓15可能不会得到修复因为安全补丁目前还没有向后移植。”
> 消息来源: [福布斯](https://www.forbes.com/sites/zakdoffman/2024/06/23/google-pixel-warning-10-days-to-update-or-stop-using-phone/)
### 6 苹果已经谈到了与 Meta 和其他一些公司的 AI 合作伙伴关系
在WWDC上苹果宣布[一笔交易](https://www.theverge.com/2024/6/13/24177550/apple-openai-chatgpt-deal-payment-revenue-sharing-chatbot)与 OpenAI 合作,使 ChatGPT 可用用于[装有 iOS 18 和其他设备的 iPhone ](https://www.theverge.com/2024/6/10/24174786/apple-openai-partnership-chatgpt-wwdc)上的某些任务(只要你[不在欧盟](https://www.theverge.com/2024/6/21/24183251/apple-eu-delay-ai-screen-mirroring-shareplay-dma)).高管们也[提到谷歌双子座](https://www.theverge.com/2024/6/10/24175666/googles-gemini-could-eventually-come-to-ios-too),但据《华尔街日报》报道,这份名单并没有就此结束。
> 消息来源: [The Verge](https://www.theverge.com/2024/6/23/24184285/apple-has-talked-about-ai-partnerships-with-meta-and-a-few-others)
### 7 Microsoft搁置其水下数据中心——与陆地服务器相比水下的服务器故障更少
微软已悄然终止了始于 2013 年的 "纳蒂克项目"Project Natick水下数据中心UDC实验。该公司向DatacenterDynamics证实了这一消息微软云运营与创新主管诺伊尔-沃尔什Noelle Walsh表示"我不会在世界任何地方建设海底数据中心。她随后补充说:"我的团队一直在努力,而且成功了。我们学到了很多关于海平面以下操作、振动和对服务器影响的知识。因此,我们将把这些知识应用到其他案例中。
> 消息来源: [tom's hardware](https://www.tomshardware.com/desktops/servers/microsoft-shelves-its-underwater-data-center)
### 8 搭载英特尔处理器的计算机受严重固件缺陷CVE-2024-0762影响
在多款英特尔处理器上运行的 Phoenix SecureCore UEFI 存在漏洞 (CVE-2024-0762),可在本地被利用,在运行期间提升权限并在固件内运行任意代码。
该漏洞与对 GetVariable UEFI 服务的不安全调用有关,可能导致堆栈缓冲区溢出。
"研究人员指出:"说白了,这个漏洞在于 UEFI 代码处理 [可信平台模块] 配置--换句话说,如果底层代码存在缺陷,有没有 TPM 这样的安全芯片并不重要。
该漏洞是在两台联想ThinkPad笔记本电脑上发现的但Phoenix Technologies公司已经证实该漏洞影响到在不同英特尔处理器系列上运行的多个版本的SecureCore固件 Alder Lake、Coffee Lake、Comet Lake、Ice Lake、Jasper Lake、Kaby Lake、Meteor Lake、Raptor Lake、Rocket Lake 和 Tiger Lake。可以肯定的是联想笔记本电脑并不是唯一易受攻击的电脑。
> 消息来源: [SC杂志](https://www.helpnetsecurity.com/2024/06/21/cve-2024-0762/)
### 9 人工智能公司 OPENAI 将于下月9日起限制不支持地区的 API 访问
北京时间 6 月 25 日凌晨,陆续有包括中国大陆在内的各国和相关地区 API 开发者在社交媒体上表示,他们收到了来自 OpenAI 的“警告信”,信中表示将采取额外措施停止其不支持的地区的 API 使用。信中写道:“根据数据显示,你的组织有来自 OpenAl 目前不支持的地区的 API 流量。从 7 月 9 日起,我们将采取额外措施,停止来自不在 OpenAI 支持的国家、地区名单上的 API 使用。” OpenAI 建议用户在支持的地区访问该服务。
> 消息来源: [财联社](https://www.cls.cn/detail/1713561)
据考证,部分 saas 服务商反馈即使服务请求从白名单国家内的ip发出依然收到了这个通知可知 openai 官方通过类似特征工程的方式(如对请求的文本进行分类)识别是否为来自禁止国家的请求。
与此同时暂未有azure openai用户有收到类似通知的反馈。收到这个通知的 saas 服务商抗议称“我们自己不可能识别用户是否来自openai所禁止提供服务的国家(how do we avoid where users access our service from?)”
> 消息来源: [LoopDNS资讯播报](https://t.me/DNSPODT)
### 10 阿里、智谱等提供 OPENAI API 替代方案
[阿里云](https://mp.weixin.qq.com/s/S99KjQVXj9_ew4v_teBu9Q)百炼宣布,将为 OpenAI API 用户提供中国大模型替代方案,并为中国开发者提供 2200 万免费 tokens 和专属迁移服务。
[智谱 AI](https://mp.weixin.qq.com/s/icw17vwq-Mz7XwW7eF1u7Q) 宣布面向 OpenAI API 用户提供特别“搬家计划”。据介绍,用户通过该“搬家计划”可轻松切换至国产大模型。
[百度智能云](https://mp.weixin.qq.com/s/kBnaKJte4VsVlRNYyhLF0g)发布“大模型普惠计划”文心旗舰款大模型首次面向新注册的企业用户免费并支持用户0成本切换至百度智能云千帆大模型平台。
[腾讯云](https://mp.weixin.qq.com/s/bfAqdKafJNwfejQZxMx1vQ)宣布新迁移的企业用户可免费获得腾讯混元大模型1亿 Tokens ,并为新迁移企业用户提供免费专属迁移工具和服务
### 11 知名JS框架Polyfill.js疑被黑产公司掌控
Polyfill.js 出现供应链攻击调用该脚本会跳转到博彩网站,请立即删除该脚本并清理网页缓存。
Polyfill.js 在全球被超过 10 万个网站使用2 月份项目域名和 Github 账号被某个公司买下,之后就被投毒用于跳转非法网站,有开发者发现问题提交了 issues 结果直接被删除。
另根据脚本中的代码使用的拼音参数,这次供应链攻击的始作俑者应该是说中文的人。
> 消息来源: [蓝点网](https://www.landiannews.com/archives/104675.html)
### 12 CSDN旗下的GitCode正在批量搬运Github开源项目并为开发者创建主页
CSDN 旗下的代码托管平台 GitCode 目前正在批量从 Github 上搬运开源项目,不仅按照项目所有信息进行搬运同时还为项目开发者创建主页,问题是这个开发者主页都不属于真正的开发者。目前已经有不少开发者注意到自己的项目被 GitCode 搬运,而且 CSDN 正在将 CSDN 站内现有文章的提到的项目地址都从 Github 批量替换为 GitCode。CSDN 现有的文章在百度和谷歌搜索中有较高的权重,通过这种方式可以快速提高 GitCode 的权重并将用户引导到 GitCode 上,同时实现权重提升和流量暴涨。
CSDN 甚至还注意到部分项目的 readme 文件中包含 Github 地址,于是还将这部分文件的地址也都批量替换为 GitCode后续可能会有用户搜索到这些项目后都不一定能看到真正的项目在 Github 上的地址。
开源中国旗下的 Gitee 即码云目前在国内开源代码托管领域具有一定的市场份额CSDN 想要抢占市场份额使用的这些招数着实让人不齿,不过考虑到 CSDN 以往的作风例如搬运还标记原创等,现在 GitCode 这样好像也不让人意外。
> 消息来源: [蓝点网](https://www.landiannews.com/archives/104662.html)
目前,部分开发者已经采取行动来制止这一行为:
* [关于 GitCode 近日以我社名义镜像 GitHub 组织及仓库内容的声明](https://mp.weixin.qq.com/s?__biz=MzkwODUyOTQxNw==&mid=2247484245&idx=1&sn=abf2484633452704214b20394403c0c2)
## 推荐阅读
### 1 为什么网络这么慢?(英文)
让我们绕道看看老板的预算,以解决这个小路由问题
[跳转链接-Why's the network so slow?](https://www.theregister.com/2024/06/21/bofh_2024_episode_12)
### 2 从 ChatGPT 到 GeminiAI 如何改写互联网(英文)
近段时间 AI 的发展
[跳转链接-From ChatGPT to Gemini: how AI is rewriting the internet](https://www.theverge.com/23610427/chatbots-chatgpt-new-bing-google-bard-conversational-ai)

73
docs/2024/Fool.md Normal file
View File

@ -0,0 +1,73 @@
---
title: Linuxcat周刊(2024愚人节) 清华大学开源软件镜像站推出四种颜色风格
tags:
- 愚人节
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/fool/leishe.jpg
banner_img: /img/weekly/2024/fool/leishe.jpg
permalink: /weekly/2024-fool/index.html
date: 2024-4-1 12:00:00
---
本期为愚人节特刊,来欣赏下大家都整了什么新奇的活
## 1 雷蛇发布新款电竞椅:自带八条人工智能触手
4月1日雷蛇发新款电竞椅——克苏鲁。拥有8个人工智能触手可满足玩家的一切需求按摩、进食、刮胡子、甚至是AI代打。雷蛇官方表示“可以保证触手总是有96.9%的概率听你的”。
8个AI 人工智能触手满足各种需求享受终极舒适终极支援Gamer一旦坐上就无法离开的终极座椅
![雷蛇新款电竞椅](/img/weekly/2024/fool/leishe.jpg "雷蛇新款电竞椅")
> 消息来源: [游民星空](https://www.gamersky.com/news/202404/1727485.shtml)
## 2 太二酸菜鱼造车
借势小米 SU7 发布太二在愚人节当天宣布品牌将正式成立「太二汽车科技公司正式成立」不再研发新菜而是入局造车一起做大做强。据悉太二发布的首款新车名为「Model 22」它的诞生就是为了做全宇宙第二的智能汽车。全车采用仿生设计不仅车身借鉴鱼骨打造合金堡垒轮毂仿造鱼鳍实现澎湃离心动力车灯也作鱼眼状能够轻松实现无死角全视野覆盖。
在这之外「Model 22」还将创新动力来源沿袭传承百年的发酵技术白天采用太阳能续航夜晚利用酸菜分子暗中发酵产生的能量供能。对于看重安全性能的用户「Model 22」还将重磅推出安全「弹射服务」在必要时自动弹出智能座舱使乘客能平稳落地安全区域。截至目前太二最新推文已开放新车预约前 222 位体验者免费获得汽车紧急救援服务。
> 消息来源: [SocialBeta](https://socialbeta.com/c/20486)
## 3 卡普空宣布设计制造直升机 因为旗下游戏99%都坠毁
4月1日今天在这个愉快的日子游戏老厂卡普空官方加入航空业将设计制造直升机据称思路来自旗下游戏中的直升机多是命运不舛99%都是坠毁的下场。
众所周知卡普空的代表游戏《生化危机》系列中直升机基本没什么太大发挥而且据官方统计竟然有99%都是坠毁的下场,如此质量怎能担当消灭丧尸,拯救主角的大任?于是官方决定亲自设计制造坚固耐用的直升机,回馈玩家的热情。
> 消息来源: [MSN](https://www.msn.cn/zh-cn/news/other/%E5%8D%A1%E6%99%AE%E7%A9%BA%E5%AE%A3%E5%B8%83%E8%AE%BE%E8%AE%A1%E5%88%B6%E9%80%A0%E7%9B%B4%E5%8D%87%E6%9C%BA-%E5%9B%A0%E4%B8%BA%E6%97%97%E4%B8%8B%E6%B8%B8%E6%88%8F99-%E9%83%BD%E5%9D%A0%E6%AF%81/ar-BB1kR2SB)
## 4 Epic宣布将正式收购Steam并承诺黄油免费
Epic Games在今日通过官方渠道发布了这一消息声称他们已经与Valve公司达成了协议将收购Steam平台。
官方表示V社对Epic深感恐惧在Epic商城的强势围攻之下Steam的市场份额已从巅峰的99.99%降至99.98%。专家认为Steam几乎已经被赶出PC游戏分销领域难以为继.....
Epic官方还表示“一旦收购完成Epic会将Steam上所有小黄油全部免费”。
> 消息来源: [MSN](https://www.msn.cn/zh-cn/news/other/%E4%BB%80%E4%B9%88-epic%E5%AE%A3%E5%B8%83%E5%B0%86%E6%AD%A3%E5%BC%8F%E6%94%B6%E8%B4%ADsteam-%E5%B9%B6%E6%89%BF%E8%AF%BA%E5%85%8D%E8%B4%B9%E6%B8%B8%E6%88%8F/ar-BB1kRuKk#:~:text=Epic,Games%E5%9C%A8%E4%BB%8A%E6%97%A5%E9%80%9A%E8%BF%87%E5%AE%98%E6%96%B9%E6%B8%A0%E9%81%93%E5%8F%91%E5%B8%83%E4%BA%86%E8%BF%99%E4%B8%80%E6%B6%88%E6%81%AF%EF%BC%8C%E5%A3%B0%E7%A7%B0%E4%BB%96%E4%BB%AC%E5%B7%B2%E7%BB%8F%E4%B8%8EValve%E5%85%AC%E5%8F%B8%E8%BE%BE%E6%88%90%E4%BA%86%E5%8D%8F%E8%AE%AE%EF%BC%8C%E5%B0%86%E6%94%B6%E8%B4%ADSteam%E5%B9%B3%E5%8F%B0%E3%80%82%20%E5%AE%98%E6%96%B9%E8%A1%A8%E7%A4%BA%EF%BC%8CV%E7%A4%BE%E5%AF%B9Epic%E6%B7%B1%E6%84%9F%E6%81%90%E6%83%A7%EF%BC%8C%E5%9C%A8Epic%E5%95%86%E5%9F%8E%E7%9A%84%E5%BC%BA%E5%8A%BF%E5%9B%B4%E6%94%BB%E4%B9%8B%E4%B8%8B%EF%BC%8CSteam%E7%9A%84%E5%B8%82%E5%9C%BA%E4%BB%BD%E9%A2%9D%E5%B7%B2%E4%BB%8E%E5%B7%85%E5%B3%B0%E7%9A%8499.99%25%E9%99%8D%E8%87%B399.98%25%E3%80%82)
## 5 完蛋,我被帕鲁包围了!
《幻兽帕鲁》官方团队今日宣布为大家送上一份特别的礼物——《幻兽♡帕鲁已经不想只做朋友了》震撼推出。这是一款基于经典角色扮演游戏《幻兽帕鲁》世界观打造的恋爱模拟游戏将于2025年4月1日全球同步发售。
其实幻兽帕鲁最初是作为恋爱模拟游戏开发的但由于一时冲动变成了现在的游戏形式。顺便CEO目前正在和捣蛋猫热恋中。
> 消息来源: [Bilibili](https://www.bilibili.com/video/BV1UD421V7Hc/?vd_source=0106d6ea962193579c35028acf7a68d2)
## 6 清华大学开源软件镜像站推出四种颜色风格
在 4 年前, TUNA 镜像站增加了深色模式。今天TUNA 发掘了更多的配色可能性,为镜像站界面增加了四种颜色风格,并可以一键切换,这些风格按颜色的深度分为:
* 中杯浅色light
* 大杯深色dark
* 超大杯深色darker
* 无敌浅色lighter
欢迎体验!
需要注意的是,此次更新对于配置低的设备并不友好
> 消息来源: [清华大学开源软件镜像站](https://mirror.tuna.tsinghua.edu.cn/news/#darker-mode-and-more)
## 7 《永劫无间》全新武器“手”
《永劫无间》官方宣布推出全新武器——“手”。无需任何技巧,无论男女老少,人人皆能使用的武器,谓之“有手就行”。
史上最灵活多变,新手友好的武器;远近合一、绕后突袭、振刀夺刀,海量全新机制一手包办;更能携手队友,增进感情!
> 消息来源: [游民星空](https://www.gamersky.com/news/202404/1727299.shtml)
## 8 《代号鸢》官方宣布跑路
《代号鸢》官方发布公告称由于人手工期紧张老成员不断跑路无法维持所以决定在4月31日关闭服务器。在公告结尾还附上了本次的更新修复内容。
> 消息来源: [Bilibili游戏中心](https://wiki.biligame.com/yuan/%E5%85%AC%E5%91%8A-2024%E5%B9%B44%E6%9C%881%E6%97%A5)
## 9 《赛博朋克2077》 限量软盘版发布,仅需不间断换盘安装两个月
CD PROJEKT RED 宣布限量版《赛博朋克2077》软盘版问世 如果你怀念当年安装游戏需要换碟的仪式感,那这款实体版游戏一定能让你满意。
使用97,619张3.5英寸软盘体验安装游戏的经典仪式。千万别孤军奋战叫上你的朋友制定一份轮班表。因为根据我们的粗略估计大约需要2个月不间断地更换软盘才能完成安装。 哦对了,现在下单,大卡车送货免费上门!
订购地址: [愚人节快乐!](https://www.cyberpunk.net/zh-cn/april-fools)
> 消息来源: [赛博朋克2077](https://www.cyberpunk.net/zh-cn/news/50143/xian-liang-kuan-sai-bo-peng-ke-2077-ruan-pan-ban-wen-shi)

19
docs/about.md Normal file
View File

@ -0,0 +1,19 @@
---
title: 关于Linuxcat周刊
date: 2024-03-24 12:00:00
categories:
- Linuxcat周刊
tags:
- Linuxcat周刊
permalink: /weekly/about.html
---
继Linux中国后,提供不那么及时的Linux,开源,软件,科技相关的新闻摘要
不定时发布
## 关于消息来源
周刊的内容可能来自于各个新闻网站,也有很大一部分来自Telegram频道的摘要,甚至可能全篇都使用Telegram频道的摘要
以下是一些Telegram新闻频道,如果你感兴趣,也可以关注一下,不过互联网相关的新闻可能会比较少:
* [风向旗参考快讯](https://t.me/xhqcankao)
* [LoopDNS资讯播报](https://t.me/DNSPODT)
* [软件新闻频道📮投稿爆料](https://t.me/zaihuapd)
* [Yuban-NetWork](https://t.me/Yuban_NetWork)

BIN
img/weekly/2024/01/00035-262224135.webp Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 81 KiB

BIN
img/weekly/2024/02/00043-1535867711.webp Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 49 KiB

BIN
img/weekly/2024/02/hammer-xz.webp Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 215 KiB

BIN
img/weekly/2024/02/huggingface-Officer.png Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 41 KiB

BIN
img/weekly/2024/02/huggingface-cli.png Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 66 KiB

BIN
img/weekly/2024/03/00047-3096155998.webp Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 53 KiB

BIN
img/weekly/2024/04/00056-63285574.webp Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 63 KiB

BIN
img/weekly/2024/05/00062-3090033140.webp Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 36 KiB

BIN
img/weekly/2024/06/00066-3115939548.webp Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 50 KiB

BIN
img/weekly/2024/07/00070-4197085939.webp Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 51 KiB

BIN
img/weekly/2024/07/AD01221B1B2E935414B0725865BB3C9A.jpg Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 244 KiB

BIN
img/weekly/2024/08/00075-2268820145.webp Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 55 KiB

BIN
img/weekly/2024/08/GNytLfkXQAA8GMf.jfif Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 186 KiB

BIN
img/weekly/2024/08/GNyuFo1WAAAAkQa.jfif Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 253 KiB

530
img/weekly/2024/08/playlist.m3u8 Normal file
View File

@ -0,0 +1,530 @@
#EXTM3U
#EXT-X-VERSION:3
#EXT-X-TARGETDURATION:10
#EXT-X-MEDIA-SEQUENCE:0
#EXT-X-PLAYLIST-TYPE:VOD
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-1/files/000.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-1/files/001.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-1/files/002.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-1/files/003.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-1/files/004.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-1/files/005.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-1/files/006.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-1/files/007.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-1/files/008.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-1/files/009.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-1/files/010.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-1/files/011.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-1/files/012.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-1/files/013.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-1/files/014.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-1/files/015.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-1/files/016.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-1/files/017.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-1/files/018.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-1/files/019.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-1/files/020.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-1/files/021.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/022.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/023.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/024.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/025.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/026.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/027.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/028.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/029.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/030.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/031.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/032.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/033.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/034.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/035.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/036.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/037.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/038.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/039.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/040.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/041.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/042.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/043.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/044.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/045.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/046.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/047.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/048.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/049.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/050.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/051.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/052.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/053.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/054.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/055.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/056.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-2/files/057.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/058.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/059.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/060.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/061.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/062.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/063.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/064.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/065.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/066.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/067.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/068.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/069.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/070.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/071.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/072.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/073.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/074.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/075.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/076.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/077.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/078.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/079.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/080.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/081.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/082.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/083.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/084.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/085.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/086.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/087.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/088.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/089.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/090.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-3/files/091.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/092.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/093.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/094.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/095.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/096.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/097.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/098.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/099.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/100.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/101.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/102.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/103.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/104.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/105.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/106.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/107.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/108.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/109.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/110.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/111.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/112.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/113.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/114.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/115.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/116.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/117.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/118.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/119.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/120.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/121.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/122.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/123.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/124.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/125.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/126.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-4/files/127.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/128.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/129.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/130.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/131.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/132.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/133.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/134.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/135.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/136.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/137.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/138.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/139.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/140.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/141.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/142.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/143.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/144.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/145.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/146.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/147.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/148.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/149.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/150.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/151.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/152.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/153.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/154.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/155.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/156.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/157.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/158.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/159.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/160.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/161.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/162.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/163.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/164.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/165.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/166.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/167.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/168.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-5/files/169.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/170.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/171.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/172.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/173.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/174.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/175.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/176.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/177.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/178.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/179.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/180.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/181.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/182.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/183.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/184.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/185.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/186.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/187.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/188.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/189.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/190.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/191.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/192.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/193.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/194.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/195.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/196.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/197.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/198.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-6/files/199.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/200.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/201.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/202.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/203.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/204.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/205.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/206.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/207.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/208.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/209.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/210.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/211.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/212.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/213.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/214.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/215.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/216.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/217.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/218.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/219.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/220.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/221.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/222.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/223.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/224.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/225.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/226.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/227.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/228.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/229.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/230.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/231.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/232.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/233.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/234.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/235.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/236.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/237.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-7/files/238.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-8/files/239.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-8/files/240.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-8/files/241.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-8/files/242.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-8/files/243.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-8/files/244.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-8/files/245.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-8/files/246.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-8/files/247.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-8/files/248.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-8/files/249.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-8/files/250.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-8/files/251.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-8/files/252.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-8/files/253.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-8/files/254.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-8/files/255.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-8/files/256.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-8/files/257.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-8/files/258.bin
#EXTINF:10.427078,
https://registry.npmmirror.com/lyq2/1.1.7-9/files/259.bin
#EXTINF:10.427089,
https://registry.npmmirror.com/lyq2/1.1.7-9/files/260.bin
#EXTINF:5.589289,
https://registry.npmmirror.com/lyq2/1.1.7-9/files/261.bin
#EXT-X-ENDLIST

BIN
img/weekly/2024/09/00082-3123470115.webp Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 36 KiB

BIN
img/weekly/2024/10/00089-2613878958.webp Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 93 KiB

BIN
img/weekly/2024/11/00090-1019684102.webp Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 61 KiB

BIN
img/weekly/2024/12/00098-3723763895.webp Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 37 KiB

BIN
img/weekly/2024/13/00104-1804770038.webp Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 49 KiB

BIN
img/weekly/2024/14/00109-1618395439.webp Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 25 KiB

BIN
img/weekly/2024/15/00115-590398572.webp Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 29 KiB

BIN
img/weekly/2024/16/00123-2845327900.webp Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 44 KiB

BIN
img/weekly/2024/16/cu.jpg Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 49 KiB

BIN
img/weekly/2024/16/dy-rain.jpg Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 29 KiB

BIN
img/weekly/2024/16/dy-rain1.png Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 236 KiB

BIN
img/weekly/2024/16/ipv6.jpg Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 40 KiB

BIN
img/weekly/2024/16/steam.jpg Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 39 KiB

BIN
img/weekly/2024/17/00128-1728563699.webp Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 27 KiB

BIN
img/weekly/2024/18/00132-2024387275.webp Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 28 KiB

BIN
img/weekly/2024/18/aliyun-fire.png Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 135 KiB

BIN
img/weekly/2024/19/00002-3576942505.webp Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 26 KiB

BIN
img/weekly/2024/20/00001-530982824.webp Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 168 KiB

BIN
img/weekly/2024/20/photo_2024-10-31_12-18-51.jpg Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 86 KiB

BIN
img/weekly/2024/20/photo_2024-10-31_12-19-25.jpg Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 124 KiB

BIN
img/weekly/2024/20/photo_2024-10-31_12-19-28.jpg Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 122 KiB

BIN
img/weekly/2024/fool/leishe.jpg Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 106 KiB