前情提要:市场监管总局附条件批准腾讯收购喜马拉雅股权案
https://mp.weixin.qq.com/s/o3cGf3iuoEsY-O_Xe1dlPg
经审查,市场监管总局认为该案对中国境内在线音频播放平台市场、网络音乐播放平台市场竞争可能具有排除、限制竞争效果。为有效减少此项经营者集中可能产生的不利影响,市场监管总局经过全面审查、科学论证,依法对该案作出附条件批准决定,要求腾讯、喜马拉雅和集中后实体作出五项限制性承诺:
1. 不得提高在线音频播放平台服务价格、降低服务水平或者附加不合理交易条件;
2. 不得降低在线音频播放平台免费内容及免费热门内容比例;
3. 不得与在线音频播放平台版权方达成独家授权,并在规定期限内解除现有独家授权约定;
4. 不得向汽车厂商搭售在线音频播放平台、网络音乐播放平台,或者阻碍、限制其采购竞争对手产品;
5. 不得限制主播在多个在线音频播放平台入驻或分发其享有著作权的作品。
经评估,市场监管总局认为该承诺方案可有效减少本集中导致的竞争问题,能够保障消费者、版权方、主播及汽车厂商等多方主体合法权益,维护相关市场公平竞争秩序,依法于5月11日附加限制性条件批准本案。
https://mp.weixin.qq.com/s/o3cGf3iuoEsY-O_Xe1dlPg
腾讯音乐娱乐集团:放弃在线音频版权独家授权
http://mp.weixin.qq.com/s/xnx31SOS6NMozZXnHeaaQg
尊敬的合作伙伴:
国家市场监督管理总局于2026年5月11日发布《关于附加限制性条件批准腾讯控股有限公司收购喜马拉雅公司股权案反垄断审查决定的公告》(以下简称“《决定》”)。根据《决定》所附《附加限制性条件承诺方案》(以下简称“《承诺方案》”)要求,我司承诺不再与《承诺方案》中定义的版权方(以下简称“相关版权方”)达成或变相达成版权独家授权合同,并将于《承诺方案》规定期限内解除现有各种形式的独家授权合同。
我司通过本公告,特此声明并告知各合作伙伴:
一、我司将放弃与相关版权方对于在线音频内容版权独家合同中有关独家授权的权利,相关版权方可自行向其他经营者进行授权,并不予追究相关版权方因授权其他经营者而产生的相关责任。
二、我司将严格按照《决定》及《承诺方案》要求,与各相关版权方解除现有各种形式的独家授权合同,还请相关版权方积极配合。后续,我司将积极寻求以非独家方式与各合作伙伴继续保持合作。
我司高度珍惜且重视与各位合作伙伴长期建立的良好商务关系。在未来版权合作过程中,我司将与产业各方一道,共同维护市场公平竞争秩序,推动中国在线音频内容产业的健康与创新发展。
腾讯控股有限公司
腾讯音乐娱乐集团
二〇二六年五月二十二日
http://mp.weixin.qq.com/s/xnx31SOS6NMozZXnHeaaQg
《CS2》被告开箱像赌博,V社辩称“人们喜欢惊喜”
https://www.ithome.com/0/953/273.htm
V社在文件中写道:“这类商品的本质是购买随机物品,之后可以被转售换取现金。我们从未见过有法院在一夜之间将如此大量、且法律未明确禁止的日常行为定性为犯罪,相信本法院也不应成为第一个这样做的机构”。
“人们喜欢惊喜,棒球卡、麦片盒等物品魅力的一部分,都来自于亲手打开包装盒后获得稀有物品的惊喜感,从未有立法机构或法院将这种行为定义为非法赌博”。
随后V社又补充例子:“《CS2》的皮肤系统专为娱乐设计,对用户具有主观审美价值。如果这种机制被禁止,可能会给每天数百起商业交易带来不确定性。家长还能再给小孩买棒球卡包吗?孩子还能伸手从麦片盒里拿出随机玩具吗?没有任何其他州曾将盲盒定义为犯罪”。
https://www.ithome.com/0/953/273.htm
V社在文件中写道:“这类商品的本质是购买随机物品,之后可以被转售换取现金。我们从未见过有法院在一夜之间将如此大量、且法律未明确禁止的日常行为定性为犯罪,相信本法院也不应成为第一个这样做的机构”。
“人们喜欢惊喜,棒球卡、麦片盒等物品魅力的一部分,都来自于亲手打开包装盒后获得稀有物品的惊喜感,从未有立法机构或法院将这种行为定义为非法赌博”。
随后V社又补充例子:“《CS2》的皮肤系统专为娱乐设计,对用户具有主观审美价值。如果这种机制被禁止,可能会给每天数百起商业交易带来不确定性。家长还能再给小孩买棒球卡包吗?孩子还能伸手从麦片盒里拿出随机玩具吗?没有任何其他州曾将盲盒定义为犯罪”。
「仅退款」叙事新作:地域黑名单
https://mp.weixin.qq.com/s/3K72sthl8PWeNmJ3yQKVxg
https://mp.weixin.qq.com/s/3K72sthl8PWeNmJ3yQKVxg
Introducing nginx-poolslip, a fresh RCE for the the latest nginx release 1.31.0.
https://x.com/i/status/2057071579876753643
https://x.com/i/status/2057071579876753643
Google I/O 2026:反正 2026 年的科技公司发布会就是 AI 和模型发布会罢。
- Gemini 3.5 Flash 模型发布。Google 说它很强,Simon 说它很贵 [1]。有多贵?差不多是 Gemini 3.1 Pro 那么贵。
- 所谓全模态但现在是生成视频的 Gemini Omni 模型;YouTube Shorts/YouTube Create app 上可以免费用。
- WebMCP 标准发布;开发者现可使用
- Chrome DevTools for agents 发布。
- 以及大家都知道的玩意儿:Google AI 搜索、AI 图片暗水印 C2PA、
- 喔对了,Gemini CLI 会在 6/18 停止服务;Google 建议换用 Antigravity CLI。 [2]
blog.google/~
1. https://simonwillison.net/2026/May/19/gemini-35-flash/
2. developers.googleblog.com/~
#Google
- Gemini 3.5 Flash 模型发布。Google 说它很强,Simon 说它很贵 [1]。有多贵?差不多是 Gemini 3.1 Pro 那么贵。
- 所谓全模态但现在是生成视频的 Gemini Omni 模型;YouTube Shorts/YouTube Create app 上可以免费用。
- WebMCP 标准发布;开发者现可使用
chrome://flags 的 enable-webmcp-testing 启用该特性,并使用 Inspector 插件基于网页提供的 MCP 与 LLM 进行对话和操作(需自带 Gemini API key)。- Chrome DevTools for agents 发布。
- 以及大家都知道的玩意儿:Google AI 搜索、AI 图片暗水印 C2PA、
- 喔对了,Gemini CLI 会在 6/18 停止服务;Google 建议换用 Antigravity CLI。 [2]
blog.google/~
1. https://simonwillison.net/2026/May/19/gemini-35-flash/
2. developers.googleblog.com/~
blog.google
I/O 2026
At Google I/O 2026, we shared how we’re making AI more helpful for everyone. See everything we announced.
最终修改只是 libcuda.so 中的一个字节,等有空让大模型给我写篇博客,讲一讲如何对付刀法。
更新:博客初稿已完成 https://harrychen.xyz/2026/05/20/enable-gpudirect-rdma-on-rtx-5090/
Today we also contacted the [email protected], but since exploits are already public we were told to send this to [email protected] instead, hence this post. We are not publishing our advisory yet, to give distributions and users a chance to patch.
只能说现在基于 Agent 审 patch 的抢人头行为确实实实在在地影响了负责任披露流程。
https://www.openwall.com/lists/oss-security/2026/05/15/2
v12 这家公司给人一种为了卖AI天天发PoC的感觉
以漏洞之名搞营销
漏洞禁运期呢?
https://x.com/i/status/2056736461672849860
https://x.com/i/status/2056418504547746301
而且issue区还禁评了,捂嘴了
https://github.com/v12-security/pocs/issues
#security
Pintheft LPE
Linux RDS(Reliable Datagram Sockets) 模块存在重复释放问题导致攻击者可以利用 io_uring 模块去覆写具有 suid 的 Page cache 从而实现LPE。
缓解办法:拉黑
https://github.com/v12-security/pocs/tree/main/pintheft
Pintheft LPE
Linux RDS(Reliable Datagram Sockets) 模块存在重复释放问题导致攻击者可以利用 io_uring 模块去覆写具有 suid 的 Page cache 从而实现LPE。
缓解办法:拉黑
rds_tcp rds 模块# rmmod rds_tcp rds
# printf 'install rds /bin/false\ninstall rds_tcp /bin/false\n' > /etc/modprobe.d/pintheft.confhttps://github.com/v12-security/pocs/tree/main/pintheft
#前端 #供应链攻击 #npm #安全 #新动态
想必大家都看麻了x
早用 pnpm 早超生,俩周以内的依赖更新不装((
Active Supply Chain Attack Compromises @antv Packages on npm:npm 上的 AntV 可视化库包被植入恶意代码,构成活跃的供应链攻击。
[以下是方便搜索索引的大纲(AI 生成),请读原文]
想必大家都看麻了x
早用 pnpm 早超生,俩周以内的依赖更新不装((
Active Supply Chain Attack Compromises @antv Packages on npm:npm 上的 AntV 可视化库包被植入恶意代码,构成活跃的供应链攻击。
AI 摘要:2026 年 5 月,Socket Research Team 发现 @antv 系列 npm 包遭到供应链攻击,攻击者发布恶意版本,通过 postinstall 脚本窃取环境变量和 npm token,影响 @antv/g6、@antv/util 等多个核心包,建议用户立即版本锁定并轮换密钥。
[以下是方便搜索索引的大纲(AI 生成),请读原文]
1. 攻击事件概览
• 2026 年 5 月 11–19 日期间,大量 @antv 子包集中发布恶意版本,时间戳显示攻击窗口集中。
• Socket 安全团队通过实时包监控(package monitoring)发现异常发布行为并发出警报。
2. 攻击手法与技术细节
• 恶意代码嵌入 postinstall 钩子,安装时自动执行,窃取系统环境变量、npm token 及敏感配置。
• 攻击者利用泄露的维护者凭据或通过社会工程学获取 npm 发布权限。
3. 受影响包范围
• 涉及 @antv/scale、@antv/attr、@antv/component、@antv/g6 等数十个包的多个版本。
• 所有在 2026-05-11 至 2026-05-19 时间窗口内发布的版本均为恶意版本。
4. 紧急缓解措施
• 锁定依赖版本,避免使用上述时间窗口内的版本。
• 运行 npm audit 或使用 Socket 工具扫描项目并移除受影响包。
• 立即轮换所有可能泄露的 npm token、环境变量及 API 密钥。
• 关注 AntV 官方后续安全公告,升级到修复后的版本。
Socket
Active Supply Chain Attack Compromises @antv Packages on npm...
Active npm supply chain attack compromises @antv packages in a fast-moving malicious publish wave tied to Mini Shai-Hulud.
