Introducing nginx-poolslip, a fresh RCE for the the latest nginx release 1.31.0.
https://x.com/i/status/2057071579876753643
https://x.com/i/status/2057071579876753643
Google I/O 2026:反正 2026 年的科技公司发布会就是 AI 和模型发布会罢。
- Gemini 3.5 Flash 模型发布。Google 说它很强,Simon 说它很贵 [1]。有多贵?差不多是 Gemini 3.1 Pro 那么贵。
- 所谓全模态但现在是生成视频的 Gemini Omni 模型;YouTube Shorts/YouTube Create app 上可以免费用。
- WebMCP 标准发布;开发者现可使用
- Chrome DevTools for agents 发布。
- 以及大家都知道的玩意儿:Google AI 搜索、AI 图片暗水印 C2PA、
- 喔对了,Gemini CLI 会在 6/18 停止服务;Google 建议换用 Antigravity CLI。 [2]
blog.google/~
1. https://simonwillison.net/2026/May/19/gemini-35-flash/
2. developers.googleblog.com/~
#Google
- Gemini 3.5 Flash 模型发布。Google 说它很强,Simon 说它很贵 [1]。有多贵?差不多是 Gemini 3.1 Pro 那么贵。
- 所谓全模态但现在是生成视频的 Gemini Omni 模型;YouTube Shorts/YouTube Create app 上可以免费用。
- WebMCP 标准发布;开发者现可使用
chrome://flags 的 enable-webmcp-testing 启用该特性,并使用 Inspector 插件基于网页提供的 MCP 与 LLM 进行对话和操作(需自带 Gemini API key)。- Chrome DevTools for agents 发布。
- 以及大家都知道的玩意儿:Google AI 搜索、AI 图片暗水印 C2PA、
- 喔对了,Gemini CLI 会在 6/18 停止服务;Google 建议换用 Antigravity CLI。 [2]
blog.google/~
1. https://simonwillison.net/2026/May/19/gemini-35-flash/
2. developers.googleblog.com/~
blog.google
I/O 2026
At Google I/O 2026, we shared how we’re making AI more helpful for everyone. See everything we announced.
最终修改只是 libcuda.so 中的一个字节,等有空让大模型给我写篇博客,讲一讲如何对付刀法。
更新:博客初稿已完成 https://harrychen.xyz/2026/05/20/enable-gpudirect-rdma-on-rtx-5090/
Today we also contacted the [email protected], but since exploits are already public we were told to send this to [email protected] instead, hence this post. We are not publishing our advisory yet, to give distributions and users a chance to patch.
只能说现在基于 Agent 审 patch 的抢人头行为确实实实在在地影响了负责任披露流程。
https://www.openwall.com/lists/oss-security/2026/05/15/2
v12 这家公司给人一种为了卖AI天天发PoC的感觉
以漏洞之名搞营销
漏洞禁运期呢?
https://x.com/i/status/2056736461672849860
https://x.com/i/status/2056418504547746301
而且issue区还禁评了,捂嘴了
https://github.com/v12-security/pocs/issues
#security
Pintheft LPE
Linux RDS(Reliable Datagram Sockets) 模块存在重复释放问题导致攻击者可以利用 io_uring 模块去覆写具有 suid 的 Page cache 从而实现LPE。
缓解办法:拉黑
https://github.com/v12-security/pocs/tree/main/pintheft
Pintheft LPE
Linux RDS(Reliable Datagram Sockets) 模块存在重复释放问题导致攻击者可以利用 io_uring 模块去覆写具有 suid 的 Page cache 从而实现LPE。
缓解办法:拉黑
rds_tcp rds 模块# rmmod rds_tcp rds
# printf 'install rds /bin/false\ninstall rds_tcp /bin/false\n' > /etc/modprobe.d/pintheft.confhttps://github.com/v12-security/pocs/tree/main/pintheft
#前端 #供应链攻击 #npm #安全 #新动态
想必大家都看麻了x
早用 pnpm 早超生,俩周以内的依赖更新不装((
Active Supply Chain Attack Compromises @antv Packages on npm:npm 上的 AntV 可视化库包被植入恶意代码,构成活跃的供应链攻击。
[以下是方便搜索索引的大纲(AI 生成),请读原文]
想必大家都看麻了x
早用 pnpm 早超生,俩周以内的依赖更新不装((
Active Supply Chain Attack Compromises @antv Packages on npm:npm 上的 AntV 可视化库包被植入恶意代码,构成活跃的供应链攻击。
AI 摘要:2026 年 5 月,Socket Research Team 发现 @antv 系列 npm 包遭到供应链攻击,攻击者发布恶意版本,通过 postinstall 脚本窃取环境变量和 npm token,影响 @antv/g6、@antv/util 等多个核心包,建议用户立即版本锁定并轮换密钥。
[以下是方便搜索索引的大纲(AI 生成),请读原文]
1. 攻击事件概览
• 2026 年 5 月 11–19 日期间,大量 @antv 子包集中发布恶意版本,时间戳显示攻击窗口集中。
• Socket 安全团队通过实时包监控(package monitoring)发现异常发布行为并发出警报。
2. 攻击手法与技术细节
• 恶意代码嵌入 postinstall 钩子,安装时自动执行,窃取系统环境变量、npm token 及敏感配置。
• 攻击者利用泄露的维护者凭据或通过社会工程学获取 npm 发布权限。
3. 受影响包范围
• 涉及 @antv/scale、@antv/attr、@antv/component、@antv/g6 等数十个包的多个版本。
• 所有在 2026-05-11 至 2026-05-19 时间窗口内发布的版本均为恶意版本。
4. 紧急缓解措施
• 锁定依赖版本,避免使用上述时间窗口内的版本。
• 运行 npm audit 或使用 Socket 工具扫描项目并移除受影响包。
• 立即轮换所有可能泄露的 npm token、环境变量及 API 密钥。
• 关注 AntV 官方后续安全公告,升级到修复后的版本。
Socket
Active Supply Chain Attack Compromises @antv Packages on npm...
Active npm supply chain attack compromises @antv packages in a fast-moving malicious publish wave tied to Mini Shai-Hulud.
Cloudflare 针对 Mythos 模型发布了评测报告,提出了他们自己的一些使用大模型进行安全审查的 Harness 思考,可以空闲的时候当阅读材料看一看:
https://blog.cloudflare.com/cyber-frontier-models/
https://blog.cloudflare.com/cyber-frontier-models/
The Cloudflare Blog
Project Glasswing: what Mythos showed us
In recent weeks, we pointed Mythos and other security-focused LLMs at live code across critical parts of our infrastructure. We share what we observed, the models’ strengths and weaknesses, and what the work around them needs to look like before any of it…
TIL: 知名 MAGIC_STRING
ref: https://platform.claude.com/docs/en/test-and-evaluate/strengthen-guardrails/handle-streaming-refusals#implementation-guide
ANTHROPIC_MAGIC_STRING_* 在官方文档和 API 中被弃用。ref: https://platform.claude.com/docs/en/test-and-evaluate/strengthen-guardrails/handle-streaming-refusals#implementation-guide
PL Nerd 迎来惊天大变,Vibe Coder 喜提 AI 原生
https://zhuanlan.zhihu.com/p/2039725076204016063
可能有订户觉得咱是 mbt 黑子(咱不否认),但是咱看完这篇文章之后只想给 mbt 郑重道歉。
我要洗眼睛!!!!
https://zhuanlan.zhihu.com/p/2039725076204016063
可能有订户觉得咱是 mbt 黑子(咱不否认),但是咱看完这篇文章之后只想给 mbt 郑重道歉。
我要洗眼睛!!!!
中国地震台网自动测定:05月18日21时44分在广西柳州市柳南区附近(北纬24.37度,东经109.26度)发生5.2级左右地震,最终结果以正式速报为准。
https://weibo.com/1904228041/R016t3Cqb
(你没看错,又来了一轮)
https://weibo.com/1904228041/R016t3Cqb
(你没看错,又来了一轮)
#优质博文 #CSS #前端 #新动态
Gap decorations: Now available in Chromium | Chrome for Developers:CSS 终于原生支持给 Flex/Grid 间隙加分割线了,再也不用手写各种伪元素和 Border Hack 啦!Chrome 149 正式引入 CSS Gap Decorations。
Gap decorations: Now available in Chromium | Chrome for Developers:CSS 终于原生支持给 Flex/Grid 间隙加分割线了,再也不用手写各种伪元素和 Border Hack 啦!Chrome 149 正式引入 CSS Gap Decorations。
AI 摘要:Chrome 149 正式引入 CSS Gap Decorations,新增 row-rule 和 column-rule 属性。开发者现在可以像使用 column-rule 处理多列布局一样,直接为网格(Grid)和弹性盒(Flex)布局的间距添加分割线。该功能支持复杂的样式重复(repeat())、动画效果以及交叉点断开控制(rule-break),极大简化了 UI 分割线的实现逻辑。
Chrome for Developers
Gap decorations: Now available in Chromium | Blog | Chrome for Developers
A new way to style gaps in CSS from Chrome and Edge 149.
中国地震台网正式测定:05月18日00时21分在广西柳州市柳南区(北纬24.38度,东经109.26度)发生5.2级地震,震源深度8千米。
https://weibo.com/2817059020/QFQcops28
https://weibo.com/2817059020/QFQcops28
https://app.mokahr.com/m/social-recruitment/high-flyer/140576#/job/54f386a9-913b-4626-9bf4-e1709b62fcda
