碎碎念
Haotian C. Official Channel
blog.vayki.com
blog.vayki.com
-
- NGINX 曝严重远程代码执行漏洞,潜伏代码库 18 年,全球数亿服务器面临风险
2026 年 5 月 13 日,安全研究机构 depthfirst 与 F5 联合披露了 NGINX 中一个编号为 CVE-2026-42945 的严重漏洞,CVSS v4.0 评分达 9.2。该漏洞属于堆缓冲区溢出类型,存在于 ngx_http_rewrite_module 模块中,最早可追溯至 2008 年引入的代码逻辑,在代码库中潜伏长达 18 年。
漏洞根源在于脚本引擎两遍执行流程中的状态不一致:
受影响版本覆盖范围极广:
由于上述产品被大量部署于云原生 Kubernetes 集群的 Ingress 层及 API 网关场景,实际暴露面涉及全球数以亿计的生产服务器。
已发布修复版本:NGINX Open Source 用户应升级至 1.31.0 或 1.30.1,NGINX Plus 用户应升级至 R36 P4 或 R32 P6,升级后需重启服务使补丁生效。对于暂时无法升级的用户,可通过将配置中所有未命名捕获组($1、$2)替换为命名捕获组的方式规避触发条件。排查方法为:确认已安装的 NGINX 版本区间,并在配置文件中检索同时含有未命名捕获组与问号替换字符串的 rewrite 指令。
Depthfirst | NVD
🌸 在花频道 · 茶馆讨论 · 投稿通道 - 东航MU5735人为操纵坠机核心证据首次公布
NTSB 公布了所有备份的 FDR(飞行数据记录器)数据.MU5735 航班的数据。飞行数据记录器(FDR)显示的情况如下:在飞机最初失控的瞬间,两台发动机被同时关闭。两台发动机的切断开关均从“运行(RUN)”位置被拨至“切断(CUTOFF)”位置——这不是机械故障,而是蓄意行为。就在同一瞬间,自动驾驶仪也被断开——自动驾驶(AP)警告 1 和警告 2 同时触发,且指令飞行控制计算机(CMD FCC)处于关闭状态。在飞机开始俯冲时,这两个蓄意动作同时发生了。在整个失控下坠过程中,飞行数据记录器(FDR)记录到驾驶盘上存在剧烈且连续的操作输入。驾驶舱内有人在主动操纵控制装置。
需要注意的是,在俯冲初期,可能还有另一名飞行员试图挽救这架飞机。操纵面数据显示:副翼(横滚)在整个过程中始终处于活动状态;升降舵(俯仰)仅在最后阶段才向下偏转;而方向舵(偏航)则根本没有被使用过。
这些数据综合在一起,拼凑出了 MU5735 航班最后时刻的画面。
来源:isukkaw / goshenggo / Reddit / NTSB_FOIA_MU5735 -
-
- .icu 顶级域名国内 DNS 解析已恢复
北京时间 2026 年 4 月 28 日, .icu 顶级域名在中国大陆多地出现大范围 DNS 解析异常,社区监测显示其权威域名服务器解析结果一度返回异常 IP,疑似遭遇 GFW 对 .icu 后缀的泛域名 DNS 污染,导致大量 .icu 域名在国内无法正常访问。
目前,据全球拨测显示, .icu 在国内的 DNS 解析已陆续恢复,多数网络环境下访问趋于正常。受影响站点和用户可清理本地 DNS 缓存,并继续观察不同地区、不同运营商的解析稳定性。 - 使用.icu域名的网站在中国大陆出现连接问题
来自VPS主要论坛和群组的消息称,今天下午开始,中国大陆所有对*.icu域名网站的访问均被重置,域名无法正确解析。怀疑 GFW 正在对.icu顶级域名实施基于 SNI 的通配符连接重置以及泛域名 DNS 污染。
据Store and Forward的分析,本次行动中.icu注册局自身的权威名称服务器受到了干扰,GFW投毒底层 DNS 基础设施,会在TLD的整个DNS基础设施中传播,不仅会影响目标用户,还会影响缓存服务器,因此它会导致境内合法备案的网站也无法正确解析。
由于今日国家安全部发布了反对境外反华敌对势力渲染“努力无用”“奋斗吃亏”等消极观念的文章,因此有讨论认为本次封锁可能是中国“反躺平”行动的一部分。
[消息等级 Level C2 · 简要] -
- 美国 AI 工具用户收入分层加剧,Claude 偏高收入、Meta AI 偏低收入
美国主要 AI 工具周活用户呈现明显收入分层,Claude 用户最集中于高收入家庭,Meta AI 则更偏向低收入群体。Epoch AI 与 Ipsos 合并 2026 年 3 月至 4 月三轮调查显示,Claude 用户中 79.8% 来自年收入 10 万美元以上家庭,高于美国成年人整体的 50%;Meta AI 这一比例为 36.5%。受此影响,Meta AI 用户中有 32.1% 来自年收入 5 万美元以下家庭,Claude 仅为 6.4%,而 ChatGPT、Gemini、Grok 和 Copilot 的高收入用户占比大致落在 55.9% 至 63.7% 之间。
Epoch AI
🌸 在花频道|茶馆讨论|投稿通道 -
印度医学生在 Gemini 的建议下利用 AI 虚假网红收割美国保守派选民
一名 22 岁的印度医学生 Sam 为快速筹集移民美国的资金,通过 AI 技术构建虚假政治网红账号,成功从美国 MAGA 群体中获利数千美元。该学生起初只是在 Instagram 中发布一些衣着清凉的普通美女照,但流量很不理想。于是他转而向 Gemini 寻求建议,得到的回复是“如果你只是创造一个大众化的‘辣妹’,你将面临百万同行的内卷。”,而“保守派受众(尤其是美国中老年男性)通常拥有更高的可支配收入,且忠诚度更高。”
于是,去年 1 月,一个名叫“艾米丽·哈特”(Emily Hart)的虚假人格诞生了。她被设定为一名注册护士,长相神似詹妮弗·劳伦斯。在艾米丽的账号上,萨姆发布了她冰钓、喝库尔斯啤酒、在射击场练枪的照片,并配上了一堆充满煽动性的文案,精准投喂亲基督教、反移民等保守派内容,并同步在 Fanvue 等平台销售 AI 生成的成人色情图片。受此影响,相关视频在 Instagram 获得千万级播放量。不过如今,Sam 已经从这个“AI 辣妹”的生意中抽身。他说,自己需要回归正轨,专心应付那堆繁重的医学功课了。
India Today
🌸 在花频道|茶馆讨论|投稿通道 - 2008 年后出生者,一辈子都买不到香烟?英国“世代禁烟”法案落定
英国议会通过《烟草与电子烟法案》,规定自 2027 年 1 月 1 日起,烟草制品的法定购买年龄将每年提高一岁。按照该机制,2009 年 1 月 1 日及以后出生的人群,将在其一生中都无法合法购买香烟及其他烟草制品。英国政府将这一政策称为打造“无烟一代”。
法案同时加强对电子烟和尼古丁产品的监管,包括限制口味、包装和广告,并全面禁止向 18 岁以下人群销售相关产品。但现行法律框架下,电子烟并未对成年人实行“终身禁购”。
UK Parliament | DW
🌸 在花频道|茶馆讨论|投稿通道 - 市监系统刊物披露拼多多员工暴力抗法,拒绝配合提供证据的恶劣行径
拼多多“幽灵外卖”案再曝执法细节。专案组发现面对大型电商平台技术取证是突破案件瓶颈的关键也是最大难题,业务数据需要平台企业技术人员配合,从云端现场调取数据并提供给专案组。平台“一晾二拖三拒绝”的“太极战术”下整个调查取证工作都没有取得任何实质性进展。12 月 4 日晚上 11 时许,正当专案组在进行调查时,该平台的安保负责人突然情绪失控,当着公安和专案组的面,带着一群人直接冲击办案现场,对执法人员推搡拉扯,发生暴力抗法事件。在争夺房间门控制权时,市场监管局专案组里一位转业军人成员的手被企业员工故意用门挤压造成骨折,第二天再次上门时又在冲突中被推倒在地,头部重重磕在地上,120急救车迅速将他送往医院。
本以为发生如此恶劣事件,该平台会及时提供数据,没想到企业技术总监与企业负责人单独沟通后,技术总监突然倒地,也被120急救车送往了医院,当天的调查取证被迫结束。专案组的执法人员跟到医院,医生称该技术总监心脏和身体均无碍。
专案组和属地公安、市场监管部门一起,针对暴力抗法事件与该平台展开谈话时,该平台一名工作人员在A4纸上写下了“沉默”“不说”等字样,提示接受问询的同事。结果被专案组逮个正着,令人震惊且如同电影一样极富戏剧性的一幕出现了——该工作人员竟然将A4纸揉成一团,当着会场所有人的面,“吃”了。
中国质量报
建议大家看原文,细节拉满
🌸 在花频道|茶馆讨论|投稿通道 - 用户向 OpenAI 报告Apple Pay收据验证漏洞:可无限激活Plus订阅
该报告称:iOS ChatGPT 应用的订阅验证流程中存在一个逻辑漏洞,OpenAI 的后端验证 Apple Pay 收据的加密真实性,但并未验证购买收据的 Apple ID 是否与接收 Plus 升级的 OpenAI 帐户匹配。
这样一来,无论原始购买者的身份如何,都可以使用有效的已付款收据在任何OpenAI 帐户上激活 ChatGPT Plus。
利用此漏洞,只需一份付费收据(约2.5-3美元),即可在无限数量的帐户上激活Plus,导致收入损失和不公平的系统滥用。建议的缓解措施包括将收据绑定到购买者身份、实施收据单次使用策略,以及添加设备/帐户指纹识别。
—— OpenAI开发者社区 -
-
- #互联网观察
▎朝鲜内部交流群密码是123456,一贴扒出每月百万美元假身份洗钱帝国
ZachXBT近日发布了一条帖子,曝光了朝鲜内部支付服务器luckyguys.site的完整泄露数据。这些数据由匿名来源提供,是通过信息窃取器从一名朝鲜IT工作者设备中窃取而来,包含390个账户、全部聊天记录和加密货币交易详情。此前从未公开的平台,其实是朝鲜IT工作者专用的“内部汇款Discord”,专门向上级汇报通过假身份远程工作或诈骗赚取的资金,默认密码竟然是简单的123456,十几个用户都没改过。
泄露数据显示,从2025年11月底到2026年2月,该平台支付钱包共收到超过350万美元,平均每月约100万美元。IT工作者们使用伪造证件、香港地址、Astrill VPN等手段全球远程赚钱,再通过Payoneer、中国银行等渠道把钱转给管理员(PC-1234),确认后获得交易所凭证。聊天记录还显示他们分享逆向工程培训材料,甚至讨论用尼日利亚代理窃取游戏项目,ZachXBT已将所有证据整理成互动组织架构图并公开。
这一曝光彻底揭露了朝鲜低阶IT工作者团伙每月百万美元规模的假身份洗钱网络。ZachXBT指出,虽然专业度不如高级黑客组,但他们仍稳定为国家贡献巨额收入,发帖后网站已被下线,但他早已完整存档所有数据。目前互动分析页面(密码仍是123456)已开放,让所有人能亲眼看到截图、链上地址和层级关系。
▎完整中文及原贴
原贴:https://x.com/zachxbt/status/2041873508180095032
完整中文:https://appdo.xyz/article/zachxbt
频道 @AppDoDo 官推 APPDOTG -
-
苹果应网信办要求在中国区 App Store 下架去中心化社交应用 Bitchat
苹果公司已根据网信办(CAC)的要求,从中国区 App Store 下架了由 Twitter 联合创始人 Jack Dorsey 开发的去中心化通讯应用 Bitchat。网信办指出,该应用违反了《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》第三条,即具有影响公众舆论或动员用户能力的应用在上线或更新前需通过安全评估。
目前,Jack Dorsey 已在 X 平台确认该应用已在中国区 App Store 下架。编辑补充:Bitchat 采用基于蓝牙的对等网络(P2P)技术,无需服务器或账户即可实现匿名通信,因此在网络受限地区受到关注。
Jack Dorsey X 平台
🌸 在花频道|茶馆讨论|投稿通道
DeepSeek 上新识图功能,多模态推出
