Skip to main content

碎碎念

碎碎念
碎碎念
Haotian C. Official Channel
blog.vayki.com

  1. 京东上线 AI 硬件京东自营专区 多款遭受制裁硬件现可恢复购买

    京东开设“AI 硬件京东自营专区”,首批上架 NVIDIA GeForce RTX 5090 32G 涡轮版、RTX PRO 6000 Blackwell 服务器版及 H100 等硬件

    RTX 5090 涡轮版为无阉割全球统一规格;RTX PRO 6000 面向专业渲染与数据中心;H100此前更是因制裁而暂停对华出口。

    店铺 | NVIDIA RTX 5090 32G

    🌸 在花频道 · 茶馆讨论 · 投稿通道

  2. 美国放行 H200 对华销售,英伟达寻求在华突破

    路透社报道,美国商务部已批准约 10 家中国企业购买英伟达 H200 芯片,相关买家包括阿里巴巴、腾讯、字节跳动、京东等,联想和富士康等分销商也获得许可,单一客户最多可购买 7.5 万颗。但截至目前尚未有任何交付完成,部分中国企业在北京方面的指导下转趋谨慎。黄仁勋此次访华被视为推动交易落地的重要尝试。报道指出,这一进展反映出中美科技竞争持续加剧,也显示中国在进口高端芯片与发展国产 AI 芯片之间的权衡。

    路透社

    🌸 在花频道 · 茶馆讨论 · 投稿通道

  3. NGINX 曝严重远程代码执行漏洞,潜伏代码库 18 年,全球数亿服务器面临风险

    2026 年 5 月 13 日,安全研究机构 depthfirst 与 F5 联合披露了 NGINX 中一个编号为 CVE-2026-42945 的严重漏洞,CVSS v4.0 评分达 9.2。该漏洞属于堆缓冲区溢出类型,存在于 ngx_http_rewrite_module 模块中,最早可追溯至 2008 年引入的代码逻辑,在代码库中潜伏长达 18 年。

    漏洞根源在于脚本引擎两遍执行流程中的状态不一致:
    当 rewrite 指令的替换字符串中含有问号时,引擎内部标志位 is_args 会被置为 1 且不会重置。第一遍(长度计算)使用全零初始化的子引擎,以未转义长度分配内存;第二遍(数据拷贝)则在主引擎上执行,对 URI 中的特殊字符进行转义扩展,每个字符可由 1 字节膨胀至 3 字节,实际写入量超出已分配缓冲区,造成堆溢出。攻击者无需身份认证,仅需向含有特定 rewrite 配置模式的服务器发送精心构造的 HTTP 请求,即可触发该漏洞。进一步利用时,攻击者可通过控制连接时序实施堆内存布局操纵,并借助 POST 请求体注入任意二进制载荷,最终实现对 NGINX Worker 进程的远程代码执行。


    受影响版本覆盖范围极广:
    NGINX Open Source 0.6.27 至 1.30.0 全系,NGINX Plus R32 至 R36,以及 NGINX Instance Manager、F5 WAF for NGINX、NGINX App Protect WAF/DoS、NGINX Gateway Fabric、NGINX Ingress Controller 等多个企业级产品均受影响。

    由于上述产品被大量部署于云原生 Kubernetes 集群的 Ingress 层及 API 网关场景,实际暴露面涉及全球数以亿计的生产服务器。

    已发布修复版本:NGINX Open Source 用户应升级至 1.31.0 或 1.30.1,NGINX Plus 用户应升级至 R36 P4 或 R32 P6,升级后需重启服务使补丁生效。对于暂时无法升级的用户,可通过将配置中所有未命名捕获组($1、$2)替换为命名捕获组的方式规避触发条件。排查方法为:确认已安装的 NGINX 版本区间,并在配置文件中检索同时含有未命名捕获组与问号替换字符串的 rewrite 指令。

    DepthfirstNVD

    🌸 在花频道 · 茶馆讨论 · 投稿通道

  4. 东航MU5735人为操纵坠机核心证据首次公布

    NTSB 公布了所有备份的 FDR(飞行数据记录器)数据.MU5735 航班的数据。飞行数据记录器(FDR)显示的情况如下:在飞机最初失控的瞬间,两台发动机被同时关闭。两台发动机的切断开关均从“运行(RUN)”位置被拨至“切断(CUTOFF)”位置——这不是机械故障,而是蓄意行为。就在同一瞬间,自动驾驶仪也被断开——自动驾驶(AP)警告 1 和警告 2 同时触发,且指令飞行控制计算机(CMD FCC)处于关闭状态。在飞机开始俯冲时,这两个蓄意动作同时发生了。在整个失控下坠过程中,飞行数据记录器(FDR)记录到驾驶盘上存在剧烈且连续的操作输入。驾驶舱内有人在主动操纵控制装置。

    需要注意的是,在俯冲初期,可能还有另一名飞行员试图挽救这架飞机。操纵面数据显示:副翼(横滚)在整个过程中始终处于活动状态;升降舵(俯仰)仅在最后阶段才向下偏转;而方向舵(偏航)则根本没有被使用过。

    这些数据综合在一起,拼凑出了 MU5735 航班最后时刻的画面。

    来源:isukkaw / goshenggo / Reddit / NTSB_FOIA_MU5735

  5. 美国运安局NTSB依申请公开了2022年协助调查东航MU5735“3·21”空难的相关资料,包括记录提取黑匣子过程的报告,以及期间与中国民航局的正式通信。
    资料包括飞行数据记录器FDR的完整数据。在事故前的巡航途中,两台发动机的燃油开关被同时切断,飞机下降并在20秒内横滚一周。因电力中断,FDR随即停止记录,此时飞机高度26000呎。
    CVR录音器有备用电源,记录了空难全程,成功提取了清晰完整音档,并移交给了中国民航局。NTSB报告称,美方移交后没有留存录音文件。
    提取报告

  7. .icu 顶级域名国内 DNS 解析已恢复

    北京时间 2026 年 4 月 28 日, .icu 顶级域名在中国大陆多地出现大范围 DNS 解析异常,社区监测显示其权威域名服务器解析结果一度返回异常 IP,疑似遭遇 GFW 对 .icu 后缀的泛域名 DNS 污染,导致大量 .icu 域名在国内无法正常访问。

    目前,据全球拨测显示, .icu 在国内的 DNS 解析已陆续恢复,多数网络环境下访问趋于正常。受影响站点和用户可清理本地 DNS 缓存,并继续观察不同地区、不同运营商的解析稳定性。

  8. 使用.icu域名的网站在中国大陆出现连接问题

    来自VPS主要论坛和群组的消息称,今天下午开始,中国大陆所有对*.icu域名网站的访问均被重置,域名无法正确解析。怀疑 GFW 正在对.icu顶级域名实施基于 SNI 的通配符连接重置以及泛域名 DNS 污染。

    据Store and Forward的分析,本次行动中.icu注册局自身的权威名称服务器受到了干扰,GFW投毒底层 DNS 基础设施,会在TLD的整个DNS基础设施中传播,不仅会影响目标用户,还会影响缓存服务器,因此它会导致境内合法备案的网站也无法正确解析。

    由于今日国家安全部发布了反对境外反华敌对势力渲染“努力无用”“奋斗吃亏”等消极观念的文章,因此有讨论认为本次封锁可能是中国“反躺平”行动的一部分。

    [消息等级 Level C2 · 简要]

  9. 砺算科技 7G100 系列显卡获微软 WHQL 认证

    砺算科技 7G100 系列 GPU 获得微软 WHQL 认证,成为国内首家、全球第四家获此认证的 GPU 公司。该系列显卡基于 6nm 工艺及自研“天图”架构,实现了计算核心、指令集与软件栈的完全自主设计。

    在性能实测中,Lisuan eXtreme 系列显卡在 Steel Nomad 测试中跑分为 2268,性能接近 NVIDIA RTX 4060。该显卡在 1080P 高画质下运行《黑神话:悟空》平均帧率超 70 帧,并支持运行《明末:渊虚之羽》及 AIPC 主流大模型。

    cnBeta

    🌸 在花频道|茶馆讨论|投稿通道

  10. 美国 AI 工具用户收入分层加剧,Claude 偏高收入、Meta AI 偏低收入

    美国主要 AI 工具周活用户呈现明显收入分层,Claude 用户最集中于高收入家庭,Meta AI 则更偏向低收入群体。Epoch AI 与 Ipsos 合并 2026 年 3 月至 4 月三轮调查显示,Claude 用户中 79.8% 来自年收入 10 万美元以上家庭,高于美国成年人整体的 50%;Meta AI 这一比例为 36.5%。受此影响,Meta AI 用户中有 32.1% 来自年收入 5 万美元以下家庭,Claude 仅为 6.4%,而 ChatGPT、Gemini、Grok 和 Copilot 的高收入用户占比大致落在 55.9% 至 63.7% 之间。

    Epoch AI

    🌸 在花频道茶馆讨论投稿通道

  11. 印度医学生在 Gemini 的建议下利用 AI 虚假网红收割美国保守派选民

    一名 22 岁的印度医学生 Sam 为快速筹集移民美国的资金,通过 AI 技术构建虚假政治网红账号,成功从美国 MAGA 群体中获利数千美元。该学生起初只是在 Instagram 中发布一些衣着清凉的普通美女照,但流量很不理想。于是他转而向 Gemini 寻求建议,得到的回复是“如果你只是创造一个大众化的‘辣妹’,你将面临百万同行的内卷。”,而“保守派受众(尤其是美国中老年男性)通常拥有更高的可支配收入,且忠诚度更高。”

    于是,去年 1 月,一个名叫“艾米丽·哈特”(Emily Hart)的虚假人格诞生了。她被设定为一名注册护士,长相神似詹妮弗·劳伦斯。在艾米丽的账号上,萨姆发布了她冰钓、喝库尔斯啤酒、在射击场练枪的照片,并配上了一堆充满煽动性的文案,精准投喂亲基督教、反移民等保守派内容,并同步在 Fanvue 等平台销售 AI 生成的成人色情图片。受此影响,相关视频在 Instagram 获得千万级播放量。不过如今,Sam 已经从这个“AI 辣妹”的生意中抽身。他说,自己需要回归正轨,专心应付那堆繁重的医学功课了。

    India Today

    🌸 在花频道茶馆讨论投稿通道

  12. 2008 年后出生者,一辈子都买不到香烟?英国“世代禁烟”法案落定

    英国议会通过《烟草与电子烟法案》,规定自 2027 年 1 月 1 日起,烟草制品的法定购买年龄将每年提高一岁。按照该机制,2009 年 1 月 1 日及以后出生的人群,将在其一生中都无法合法购买香烟及其他烟草制品。英国政府将这一政策称为打造“无烟一代”。

    法案同时加强对电子烟和尼古丁产品的监管,包括限制口味、包装和广告,并全面禁止向 18 岁以下人群销售相关产品。但现行法律框架下,电子烟并未对成年人实行“终身禁购”。

    UK ParliamentDW

    🌸 在花频道茶馆讨论投稿通道

  13. 市监系统刊物披露拼多多员工暴力抗法,拒绝配合提供证据的恶劣行径

    拼多多“幽灵外卖”案再曝执法细节。专案组发现面对大型电商平台技术取证是突破案件瓶颈的关键也是最大难题,业务数据需要平台企业技术人员配合,从云端现场调取数据并提供给专案组。平台“一晾二拖三拒绝”的“太极战术”下整个调查取证工作都没有取得任何实质性进展。12 月 4 日晚上 11 时许,正当专案组在进行调查时,该平台的安保负责人突然情绪失控,当着公安和专案组的面,带着一群人直接冲击办案现场,对执法人员推搡拉扯,发生暴力抗法事件。在争夺房间门控制权时,市场监管局专案组里一位转业军人成员的手被企业员工故意用门挤压造成骨折,第二天再次上门时又在冲突中被推倒在地,头部重重磕在地上,120急救车迅速将他送往医院。

    本以为发生如此恶劣事件,该平台会及时提供数据,没想到企业技术总监与企业负责人单独沟通后,技术总监突然倒地,也被120急救车送往了医院,当天的调查取证被迫结束。专案组的执法人员跟到医院,医生称该技术总监心脏和身体均无碍。

    专案组和属地公安、市场监管部门一起,针对暴力抗法事件与该平台展开谈话时,该平台一名工作人员在A4纸上写下了“沉默”“不说”等字样,提示接受问询的同事。结果被专案组逮个正着,令人震惊且如同电影一样极富戏剧性的一幕出现了——该工作人员竟然将A4纸揉成一团,当着会场所有人的面,“吃”了。

    中国质量报

    建议大家看原文,细节拉满

    🌸 在花频道茶馆讨论投稿通道

  14. 用户向 OpenAI 报告Apple Pay收据验证漏洞:可无限激活Plus订阅

    该报告称:iOS ChatGPT 应用的订阅验证流程中存在一个逻辑漏洞,OpenAI 的后端验证 Apple Pay 收据的加密真实性,但并未验证购买收据的 Apple ID 是否与接收 Plus 升级的 OpenAI 帐户匹配。

    这样一来,无论原始购买者的身份如何,都可以使用有效的已付款收据在任何OpenAI 帐户上激活 ChatGPT Plus。

    利用此漏洞,只需一份付费收据(约2.5-3美元),即可在无限数量的帐户上激活Plus,导致收入损失和不公平的系统滥用。建议的缓解措施包括将收据绑定到购买者身份、实施收据单次使用策略,以及添加设备/帐户指纹识别。

    —— OpenAI开发者社区

  15. https://www.nodeseek.com/post-683468-1
    NodeSeek
    【拒绝“送中”与 IP 黑名单】IP-Sentinel 分布式哨兵系统v3.1.0重装上阵!让你的小鸡完美伪装成“当地人”
    各位大佬好!作为一枚VPS玩家,你是否经常遇到这些令人抓狂的“心塞时刻”:刚买的极品原生IP小鸡,没用多久Google定位就莫名其妙漂移到了HK甚至直接“送中”了?查一下IPQS和Scamalytics,风险分红得发紫,Netflix掉解锁、ChatGPT狂弹验证码?遇到个“好邻居”瞎搞乱发包,连累你这台本分的小鸡

  17. #互联网观察

    ▎朝鲜内部交流群密码是123456,一贴扒出每月百万美元假身份洗钱帝国

    ZachXBT近日发布了一条帖子,曝光了朝鲜内部支付服务器luckyguys.site的完整泄露数据。这些数据由匿名来源提供,是通过信息窃取器从一名朝鲜IT工作者设备中窃取而来,包含390个账户、全部聊天记录和加密货币交易详情。此前从未公开的平台,其实是朝鲜IT工作者专用的“内部汇款Discord”,专门向上级汇报通过假身份远程工作或诈骗赚取的资金,默认密码竟然是简单的123456,十几个用户都没改过。

    泄露数据显示,从2025年11月底到2026年2月,该平台支付钱包共收到超过350万美元,平均每月约100万美元。IT工作者们使用伪造证件、香港地址、Astrill VPN等手段全球远程赚钱,再通过Payoneer、中国银行等渠道把钱转给管理员(PC-1234),确认后获得交易所凭证。聊天记录还显示他们分享逆向工程培训材料,甚至讨论用尼日利亚代理窃取游戏项目,ZachXBT已将所有证据整理成互动组织架构图并公开。

    这一曝光彻底揭露了朝鲜低阶IT工作者团伙每月百万美元规模的假身份洗钱网络。ZachXBT指出,虽然专业度不如高级黑客组,但他们仍稳定为国家贡献巨额收入,发帖后网站已被下线,但他早已完整存档所有数据。目前互动分析页面(密码仍是123456)已开放,让所有人能亲眼看到截图、链上地址和层级关系。

    完整中文及原贴

    原贴:https://x.com/zachxbt/status/2041873508180095032

    完整中文:https://appdo.xyz/article/zachxbt

    频道 @AppDoDo 官推 APPDOTG

  18. 比特币创始人中本聪的真实身份之谜——《纽约时报》关于 Adam Back 的调查

    本文由《纽约时报》记者 John Carreyrou 历时一年撰写,通过深入挖掘数十年前的互联网档案、邮件列表记录以及系统化的文本分析,试图解开比特币创始人“中本聪”隐藏 17 年之久的身份之谜。

    以下是我们整理的调查文章。

    一切的起点源于 2024 年秋天,Carreyrou 在收听播客时得知一部。HBO 纪录片声称找到了中本聪,但他认为该片证据薄弱。然而片中英国密码学家 Adam Back 在听到自己名字时表现出的紧张、眼神躲闪和尴尬笑声,引起了作者的怀疑。Back 是比特币社区的重要人物,发明了中本聪在白皮书中引用的工作量证明系统 Hashcash。

    作者开始系统研究中本聪留下的所有文本,包括白皮书、Bitcointalk 论坛帖子以及由早期合作者 Martti Malmi 披露的数百封电子邮件。他注意到中本聪的写作混合了英式与美式表达,并在创世区块中嵌入了《泰晤士报》英国印刷版的头条,暗示其可能是英国人。中本聪很可能属于“密码朋克”群体,他们是一群倡导用密码学对抗政府监控的无政府主义者。Back 正是该群体的活跃成员,于 1995 年加入邮件列表。

    作者整理出中本聪使用的一百多个独特词汇和短语,包括“dang”、“backup”(作为一个动词)、“human friendly”、“burning the money”等。通过社交媒体搜索常见嫌疑人,他发现 Adam Back 几乎匹配了所有用词。更关键的是,Back 在 1997 年至 1999 年间的多篇邮件列表帖子中,几乎预见到了比特币的全部核心要素:他提出了一种“完全脱离”现代银行的电子现金系统,需具备隐私性、分布式、内置稀缺性、无需信任第三方以及公开可验证协议;他讨论了拜占庭将军问题,提到节点可以“来来去去”而不影响网络;他建议通过随时间增加计算难度来控制通胀;他提出使用哈希树创建不可篡改的时间戳;他甚至提前十年就用“比法币体系浪费更少”来回应比特币耗电的批评。

    在写作风格上,两人的相似之处令人震惊。中本聪在邮件中写道“我更擅长代码而非语言”,而 Back 在 1996 年曾写下“我个人认为我更擅长编码,而非构建有说服力的论证”。两人都使用两个空格分隔句子(暗示年龄超过 50 岁),都混淆“it‘s”与“its”,都习惯将“also”放在句尾,都错误使用连字符。中本聪在白皮书中将“proof-of-work”加上连字符,而此前在密码朋克邮件列表中仅 8 人这样做;他使用的“partial pre-image”仅 Back 和 Hal Finney 用过,且 Finney 不写连字符而 Back 写;他讨论销毁比特币时用的“burning the money”此前仅 Back 一人用过。Back 曾否认使用英式粗话“bloody”,但作者在 1998 年的帖子中找到了他使用该词的记录。

    在时间线上,存在一个反常的空白。Back 这位多年来几乎从不缺席电子现金讨论的密码朋克,在比特币于 2008 年底问世后却出奇地沉默——他没有在相关邮件列表中留下任何参与讨论的痕迹,直到 2011 年 6 月才首次公开评论比特币,这恰好是中本聪消失六周之后。2013 年 4 月 17 日,一位密码学家披露了中本聪持有的巨额比特币财富,就在同一天,Back 加入了 Bitcointalk 论坛,并迅速成为领袖,创立了 Blockstream 公司,估值达 32 亿美元。

    作者与《纽约时报》人工智能团队合作,系统收集了密码朋克、密码学和 Hashcash 三个邮件列表自 1992 年至 2008 年间的全部帖子,涉及 34,000 多名用户。通过至少发帖 10 次、讨论过数字货币等一系列筛选条件,最终锁定 620 名候选人。运用多种分析方法:统计与中本聪共享的无同义词词汇(Back 以 521 个居首),比对中本聪特有的 325 处连字符错误(Back 匹配 67 处,远超第二名),以及逐层筛选写作怪癖,如双空格、英式拼写、混淆“it‘s”与“its”、句尾加“also”、特定词的分合写法、拼写变体等。经过七轮筛选,唯一剩下的嫌疑人就是 Adam Back。

    作者前往萨尔瓦多的一场比特币会议,当面对峙 Back。在长达两小时的对话中,Back 坚持否认,称一切都是巧合,但他的面红耳赤和坐立不安暴露了紧张。他无法解释为何在中本聪活跃期间从邮件列表中消失,也说不清为何声称参与了 2008 年的讨论而实际没有。面对写作分析结果,他只能回答“不是我”。最关键的瞬间发生在作者引用中本聪那句“我更擅长代码而非语言”时,Back 回应道:“对于一个这样的人,我确实说了很多话……我不是说我擅长言辞,但我确实在这些邮件列表中说了很多。”作者认为这句话隐含了 Back 承认自己就是写下那句引文的人,等于让面具滑落了几秒钟。Back 事后否认是口误,但作者心中的疑虑已经消除。

    尽管 Back 一再否认,并拒绝提供电子邮件元数据以证清白,但作者通过系统性的调查,从 34,000 名候选人中逐步筛选,最终将目标锁定为 Adam Back。文章认为,只有中本聪本人使用与创世区块相关的私钥才能提供决定性证据,但现有的间接证据已经构成了一个强有力的拼图。


    The New York Times | 英文全文 | 中文全文

    🌸 在花频道茶馆讨论投稿通道