碎碎念

碎碎念

1. 7 小时前

   台系专家再论MLCC涨价
   
   ▎Source

   Telegraph

   台系专家再论MLCC涨价

   参会者信息：无

2. 1 天前

   香港地区部分银行昨起开立投资账户需签署声明，确认“资金合法来源
   
   记者从香港地区银行和其部分客户获悉，自昨日起，在香港地区银行渠道线下开立投资账户对客户提供的文件有了新的要求，需要签署资金合法来源的声明。据悉，新增签署文件为《跨境披露声明（申请投资开户业务适用)》。根据几个客户展示的文件显示，新增签署跨境披露声明主要内容为，开立投资账户本人须确认“所有用以支持投资活动以及相关结算的资金均来自中国内地以外的合法来源”；并且要求中国内地居民留意，投资账户服务只适用于身在香港的投资者(例如在港生活或工作)且应确保资金来源合法合规。
   
   —— 财联社

3. 6 天前

   中国证监会拟对老虎、富途、长桥依法处罚
   
   中国证监会5月22日宣布，Tiger Brokers（NZ）Limited、富途证券国际（香港）有限公司、长桥证券（香港）有限公司的非法跨境展业行为，违反了中国证券基金期货法律法规，破坏了市场秩序，必须坚决予以打击。依据相关规定，中国证监会拟决定没收老虎、富途、长桥境内外相关主体全部违法所得，并依法严厉处罚。
   
   下一步，证监会将继续坚决落实监管“长牙带刺”、有棱有角要求，严厉打击境外机构在境内非法经营证券业务等违法行为，全力维护资本市场秩序和稳定。
   
   —— 财联社

4. 07:10 · 2026年5月15日 · 周五

   

   ×

   

   京东上线 AI 硬件京东自营专区 多款遭受制裁硬件现可恢复购买
   
   京东开设“AI 硬件京东自营专区”，首批上架 NVIDIA GeForce RTX 5090 32G 涡轮版、RTX PRO 6000 Blackwell 服务器版及 H100 等硬件
   
   RTX 5090 涡轮版为无阉割全球统一规格；RTX PRO 6000 面向专业渲染与数据中心；H100此前更是因制裁而暂停对华出口。
   
   店铺 | NVIDIA RTX 5090 32G
   
   🌸 在花频道 · 茶馆讨论 · 投稿通道

5. 17:39 · 2026年5月14日 · 周四

   美国放行 H200 对华销售，英伟达寻求在华突破
   
   路透社报道，美国商务部已批准约 10 家中国企业购买英伟达 H200 芯片，相关买家包括阿里巴巴、腾讯、字节跳动、京东等，联想和富士康等分销商也获得许可，单一客户最多可购买 7.5 万颗。但截至目前尚未有任何交付完成，部分中国企业在北京方面的指导下转趋谨慎。黄仁勋此次访华被视为推动交易落地的重要尝试。报道指出，这一进展反映出中美科技竞争持续加剧，也显示中国在进口高端芯片与发展国产 AI 芯片之间的权衡。
   
   路透社
   
   🌸 在花频道 · 茶馆讨论 · 投稿通道

6. 17:37 · 2026年5月14日 · 周四

   NGINX 曝严重远程代码执行漏洞，潜伏代码库 18 年，全球数亿服务器面临风险
   
   2026 年 5 月 13 日，安全研究机构 depthfirst 与 F5 联合披露了 NGINX 中一个编号为 CVE-2026-42945 的严重漏洞，CVSS v4.0 评分达 9.2。该漏洞属于堆缓冲区溢出类型，存在于 ngx_http_rewrite_module 模块中，最早可追溯至 2008 年引入的代码逻辑，在代码库中潜伏长达 18 年。
   
   漏洞根源在于脚本引擎两遍执行流程中的状态不一致：
   

   当 rewrite 指令的替换字符串中含有问号时，引擎内部标志位 is_args 会被置为 1 且不会重置。第一遍（长度计算）使用全零初始化的子引擎，以未转义长度分配内存；第二遍（数据拷贝）则在主引擎上执行，对 URI 中的特殊字符进行转义扩展，每个字符可由 1 字节膨胀至 3 字节，实际写入量超出已分配缓冲区，造成堆溢出。攻击者无需身份认证，仅需向含有特定 rewrite 配置模式的服务器发送精心构造的 HTTP 请求，即可触发该漏洞。进一步利用时，攻击者可通过控制连接时序实施堆内存布局操纵，并借助 POST 请求体注入任意二进制载荷，最终实现对 NGINX Worker 进程的远程代码执行。

   Expand hidden content

   
   
   受影响版本覆盖范围极广：
   

   NGINX Open Source 0.6.27 至 1.30.0 全系，NGINX Plus R32 至 R36，以及 NGINX Instance Manager、F5 WAF for NGINX、NGINX App Protect WAF/DoS、NGINX Gateway Fabric、NGINX Ingress Controller 等多个企业级产品均受影响。

   Expand hidden content

   
   由于上述产品被大量部署于云原生 Kubernetes 集群的 Ingress 层及 API 网关场景，实际暴露面涉及全球数以亿计的生产服务器。
   
   已发布修复版本：NGINX Open Source 用户应升级至 1.31.0 或 1.30.1，NGINX Plus 用户应升级至 R36 P4 或 R32 P6，升级后需重启服务使补丁生效。对于暂时无法升级的用户，可通过将配置中所有未命名捕获组（$1、$2）替换为命名捕获组的方式规避触发条件。排查方法为：确认已安装的 NGINX 版本区间，并在配置文件中检索同时含有未命名捕获组与问号替换字符串的 rewrite 指令。
   
   Depthfirst ｜ NVD
   
   🌸 在花频道 · 茶馆讨论 · 投稿通道

7. 06:16 · 2026年5月1日 · 周五

   东航MU5735人为操纵坠机核心证据首次公布
   
   NTSB 公布了所有备份的 FDR（飞行数据记录器）数据.MU5735 航班的数据。飞行数据记录器（FDR）显示的情况如下：在飞机最初失控的瞬间，两台发动机被同时关闭。两台发动机的切断开关均从“运行（RUN）”位置被拨至“切断（CUTOFF）”位置——这不是机械故障，而是蓄意行为。就在同一瞬间，自动驾驶仪也被断开——自动驾驶（AP）警告 1 和警告 2 同时触发，且指令飞行控制计算机（CMD FCC）处于关闭状态。在飞机开始俯冲时，这两个蓄意动作同时发生了。在整个失控下坠过程中，飞行数据记录器（FDR）记录到驾驶盘上存在剧烈且连续的操作输入。驾驶舱内有人在主动操纵控制装置。
   
   需要注意的是，在俯冲初期，可能还有另一名飞行员试图挽救这架飞机。操纵面数据显示：副翼（横滚）在整个过程中始终处于活动状态；升降舵（俯仰）仅在最后阶段才向下偏转；而方向舵（偏航）则根本没有被使用过。
   
   这些数据综合在一起，拼凑出了 MU5735 航班最后时刻的画面。
   
   来源：isukkaw / goshenggo / Reddit / NTSB_FOIA_MU5735

8. 06:15 · 2026年5月1日 · 周五

   

   ×

   

   

   ×

   

   

   ×

   

   美国运安局NTSB依申请公开了2022年协助调查东航MU5735“3·21”空难的相关资料，包括记录提取黑匣子过程的报告，以及期间与中国民航局的正式通信。
   资料包括飞行数据记录器FDR的完整数据。在事故前的巡航途中，两台发动机的燃油开关被同时切断，飞机下降并在20秒内横滚一周。因电力中断，FDR随即停止记录，此时飞机高度26000呎。
   CVR录音器有备用电源，记录了空难全程，成功提取了清晰完整音档，并移交给了中国民航局。NTSB报告称，美方移交后没有留存录音文件。
   （提取报告）

9. 20:15 · 2026年4月29日 · 周三

   

   ×

   

   DeepSeek 上新识图功能，多模态推出
   
   🌸 在花频道 · 茶馆讨论 · 投稿通道

10. 18:17 · 2026年4月28日 · 周二

    .icu 顶级域名国内 DNS 解析已恢复
    
    北京时间 2026 年 4 月 28 日， .icu 顶级域名在中国大陆多地出现大范围 DNS 解析异常，社区监测显示其权威域名服务器解析结果一度返回异常 IP，疑似遭遇 GFW 对 .icu 后缀的泛域名 DNS 污染，导致大量 .icu 域名在国内无法正常访问。
    
    目前，据全球拨测显示， .icu 在国内的 DNS 解析已陆续恢复，多数网络环境下访问趋于正常。受影响站点和用户可清理本地 DNS 缓存，并继续观察不同地区、不同运营商的解析稳定性。

11. 17:32 · 2026年4月28日 · 周二

    使用.icu域名的网站在中国大陆出现连接问题
    
    来自VPS主要论坛和群组的消息称，今天下午开始，中国大陆所有对*.icu域名网站的访问均被重置，域名无法正确解析。怀疑 GFW 正在对.icu顶级域名实施基于 SNI 的通配符连接重置以及泛域名 DNS 污染。
    
    据Store and Forward的分析，本次行动中.icu注册局自身的权威名称服务器受到了干扰，GFW投毒底层 DNS 基础设施，会在TLD的整个DNS基础设施中传播，不仅会影响目标用户，还会影响缓存服务器，因此它会导致境内合法备案的网站也无法正确解析。
    
    由于今日国家安全部发布了反对境外反华敌对势力渲染“努力无用”“奋斗吃亏”等消极观念的文章，因此有讨论认为本次封锁可能是中国“反躺平”行动的一部分。
    
    [消息等级 Level C2 · 简要]

12. 16:53 · 2026年4月26日 · 周日

    

    ×

    

    砺算科技 7G100 系列显卡获微软 WHQL 认证
    
    砺算科技 7G100 系列 GPU 获得微软 WHQL 认证，成为国内首家、全球第四家获此认证的 GPU 公司。该系列显卡基于 6nm 工艺及自研“天图”架构，实现了计算核心、指令集与软件栈的完全自主设计。
    
    在性能实测中，Lisuan eXtreme 系列显卡在 Steel Nomad 测试中跑分为 2268，性能接近 NVIDIA RTX 4060。该显卡在 1080P 高画质下运行《黑神话：悟空》平均帧率超 70 帧，并支持运行《明末：渊虚之羽》及 AIPC 主流大模型。
    
    cnBeta
    
    🌸 在花频道｜茶馆讨论｜投稿通道

13. 15:59 · 2026年4月24日 · 周五

    美国 AI 工具用户收入分层加剧，Claude 偏高收入、Meta AI 偏低收入
    
    美国主要 AI 工具周活用户呈现明显收入分层，Claude 用户最集中于高收入家庭，Meta AI 则更偏向低收入群体。Epoch AI 与 Ipsos 合并 2026 年 3 月至 4 月三轮调查显示，Claude 用户中 79.8% 来自年收入 10 万美元以上家庭，高于美国成年人整体的 50%；Meta AI 这一比例为 36.5%。受此影响，Meta AI 用户中有 32.1% 来自年收入 5 万美元以下家庭，Claude 仅为 6.4%，而 ChatGPT、Gemini、Grok 和 Copilot 的高收入用户占比大致落在 55.9% 至 63.7% 之间。
    
    Epoch AI
    
    🌸 在花频道｜茶馆讨论｜投稿通道

14. 23:05 · 2026年4月23日 · 周四

    

    ×

    

    印度医学生在 Gemini 的建议下利用 AI 虚假网红收割美国保守派选民
    
    一名 22 岁的印度医学生 Sam 为快速筹集移民美国的资金，通过 AI 技术构建虚假政治网红账号，成功从美国 MAGA 群体中获利数千美元。该学生起初只是在 Instagram 中发布一些衣着清凉的普通美女照，但流量很不理想。于是他转而向 Gemini 寻求建议，得到的回复是“如果你只是创造一个大众化的‘辣妹’，你将面临百万同行的内卷。”，而“保守派受众（尤其是美国中老年男性）通常拥有更高的可支配收入，且忠诚度更高。”
    
    于是，去年 1 月，一个名叫“艾米丽·哈特”（Emily Hart）的虚假人格诞生了。她被设定为一名注册护士，长相神似詹妮弗·劳伦斯。在艾米丽的账号上，萨姆发布了她冰钓、喝库尔斯啤酒、在射击场练枪的照片，并配上了一堆充满煽动性的文案，精准投喂亲基督教、反移民等保守派内容，并同步在 Fanvue 等平台销售 AI 生成的成人色情图片。受此影响，相关视频在 Instagram 获得千万级播放量。不过如今，Sam 已经从这个“AI 辣妹”的生意中抽身。他说，自己需要回归正轨，专心应付那堆繁重的医学功课了。
    
    India Today
    
    🌸 在花频道｜茶馆讨论｜投稿通道

15. 16:14 · 2026年4月22日 · 周三

    2008 年后出生者，一辈子都买不到香烟？英国“世代禁烟”法案落定
    
    英国议会通过《烟草与电子烟法案》，规定自 2027 年 1 月 1 日起，烟草制品的法定购买年龄将每年提高一岁。按照该机制，2009 年 1 月 1 日及以后出生的人群，将在其一生中都无法合法购买香烟及其他烟草制品。英国政府将这一政策称为打造“无烟一代”。
    
    法案同时加强对电子烟和尼古丁产品的监管，包括限制口味、包装和广告，并全面禁止向 18 岁以下人群销售相关产品。但现行法律框架下，电子烟并未对成年人实行“终身禁购”。
    
    UK Parliament ｜ DW
    
    🌸 在花频道｜茶馆讨论｜投稿通道

16. 06:25 · 2026年4月21日 · 周二

    市监系统刊物披露拼多多员工暴力抗法，拒绝配合提供证据的恶劣行径
    
    拼多多“幽灵外卖”案再曝执法细节。专案组发现面对大型电商平台技术取证是突破案件瓶颈的关键也是最大难题，业务数据需要平台企业技术人员配合，从云端现场调取数据并提供给专案组。平台“一晾二拖三拒绝”的“太极战术”下整个调查取证工作都没有取得任何实质性进展。12 月 4 日晚上 11 时许，正当专案组在进行调查时，该平台的安保负责人突然情绪失控，当着公安和专案组的面，带着一群人直接冲击办案现场，对执法人员推搡拉扯，发生暴力抗法事件。在争夺房间门控制权时，市场监管局专案组里一位转业军人成员的手被企业员工故意用门挤压造成骨折，第二天再次上门时又在冲突中被推倒在地，头部重重磕在地上，120急救车迅速将他送往医院。
    
    本以为发生如此恶劣事件，该平台会及时提供数据，没想到企业技术总监与企业负责人单独沟通后，技术总监突然倒地，也被120急救车送往了医院，当天的调查取证被迫结束。专案组的执法人员跟到医院，医生称该技术总监心脏和身体均无碍。
    
    专案组和属地公安、市场监管部门一起，针对暴力抗法事件与该平台展开谈话时，该平台一名工作人员在A4纸上写下了“沉默”“不说”等字样，提示接受问询的同事。结果被专案组逮个正着，令人震惊且如同电影一样极富戏剧性的一幕出现了——该工作人员竟然将A4纸揉成一团，当着会场所有人的面，“吃”了。
    
    中国质量报
    
    建议大家看原文，细节拉满
    
    🌸 在花频道｜茶馆讨论｜投稿通道

17. 19:20 · 2026年4月19日 · 周日

    用户向 OpenAI 报告Apple Pay收据验证漏洞：可无限激活Plus订阅
    
    该报告称：iOS ChatGPT 应用的订阅验证流程中存在一个逻辑漏洞，OpenAI 的后端验证 Apple Pay 收据的加密真实性，但并未验证购买收据的 Apple ID 是否与接收 Plus 升级的 OpenAI 帐户匹配。
    
    这样一来，无论原始购买者的身份如何，都可以使用有效的已付款收据在任何OpenAI 帐户上激活 ChatGPT Plus。
    
    利用此漏洞，只需一份付费收据（约2.5-3美元），即可在无限数量的帐户上激活Plus，导致收入损失和不公平的系统滥用。建议的缓解措施包括将收据绑定到购买者身份、实施收据单次使用策略，以及添加设备/帐户指纹识别。
    
    —— OpenAI开发者社区

18. 23:59 · 2026年4月17日 · 周五

    https://www.nodeseek.com/post-683468-1

    NodeSeek

    【拒绝“送中”与 IP 黑名单】IP-Sentinel 分布式哨兵系统v3.1.0重装上阵！让你的小鸡完美伪装成“当地人”

    各位大佬好！作为一枚VPS玩家，你是否经常遇到这些令人抓狂的“心塞时刻”：刚买的极品原生IP小鸡，没用多久Google定位就莫名其妙漂移到了HK甚至直接“送中”了？查一下IPQS和Scamalytics，风险分红得发紫，Netflix掉解锁、ChatGPT狂弹验证码？遇到个“好邻居”瞎搞乱发包，连累你这台本分的小鸡