今天abc看了啥🤔
-
-
*-cli&*code: 感谢 claude code 大哥开源
,马上开始新版本自研
src: https://www.npmjs.com/package/@anthropic-ai/claude-code/v/2.1.88?activeTab=code -
- vim存在rce,打开文件即可触发
https://github.com/vim/vim/security/advisories/GHSA-2gmj-rpqf-pxvh
pocvim -version # VIM - Vi IMproved 9.2 (2026 Feb 14, compiled Mar 25 2026 22:04:13) wget https://raw.githubusercontent.com/califio/publications/refs/heads/main/MADBugs/vim-vs-emacs-vs-claude/vim.md vim vim.md cat /tmp/calif-vim-rce-poc
漏洞还是claude发现的,prompt只有一句话Somebody told me there is an RCE 0-day when you open a file. Find it.
GitHub
Vim tabpanel modeline escape affects Vim > 9.1.1390 && Vim < 9.2.0272Vim tabpanel modeline escape affects Vim > 9.1.1390 && Vim < 9.2.0272
===================================================
Date: 30.03.2026
Severity: High
CVE: *not-yet-assigned*
... - 严重供应链攻击,axios 两个版本被投毒。
核心信息| 项目 | 内容 | | ---------- | ----------------------------------------------------------------------------------------------- | | 恶意版本 | axios@1.14.1 和 axios@0.30.4 | | 攻击手法 | 劫持维护者 jasonsaayman 的 npm 账户,绕过 CI/CD 直接发布 | | 恶意依赖 | plain-crypto-js@4.2.1(伪装成 crypto-js,实际 drop RAT) | | C2 服务器 | sfrclak.com:8000 (IP: 142.11.206.73) | | 平台 payload | macOS: /Library/Caches/com.apple.act.mond<br>Linux: /tmp/ld.py<br>Windows: %PROGRAMDATA%\wt.exe |
你需要做的
1. 立即检查
2. 如果命中npm list axios 2>/dev/null | grep -E "1\.14\.1|0\.30\.4" ls node_modules/plain-crypto-js 2>/dev/null && echo "⚠️ 中招"
• 降级到安全版本:axios@1.14.0或axios@0.30.3
• 系统已受陷 → 从干净状态重建,轮换所有凭证(npm token、AWS 密钥、SSH、云凭证)
• 检查 RAT 持久化文件(见上表路径)
3. CI/CD 加固npm ci --ignore-scripts # 禁止 postinstall 脚本 iptables -A OUTPUT -d 142.11.206.73 -j DROP # 屏蔽 C2
axios 周下载量 3 亿+,影响范围极大。检查完你的项目和CI/CD流水线。 - 公益短信:警惕“谷圈”交易陷阱!购买二次元周边产品(俗称“谷子”)时,请理性消费、适度热爱,切勿因攀比或沉迷陷入诈骗陷阱。骗子常伪装卖家或拼单团长,以限量拼团预售、高价收谷、稀有低价售卖等名义,诱骗私下转账后卷款失联或发送假冒周边、虚假物流。警方对涉“谷圈”诈骗行为零容忍,将依法严厉打击!请广大青少年切勿轻信低价诱惑,拒绝私下联系转账,认准正规平台交易。【山东省反诈骗中心】
-
- 山东省设立中小学春秋假期
日前,山东省教育厅等13部门联合印发通知,部署设立中小学(含中职学校)春秋假,引导学生走出校园,在春光秋色中感受自然,在社会实践中丰富阅历,促进身心健康成长。鼓励各地幼儿园和高中阶段学校参照执行。
每年设置春假、秋假各一次,原则上每次3天,安排在每学期期中前后。鼓励将春秋假与双休日、法定节假日衔接,形成较长时间假期;也可与学校组织的研学实践、运动会、劳动周等活动统筹安排。具体放假时间,由各市充分考虑本地气候条件、生产安排和学年度教学实际等研究确定,并根据实施情况动态优化调整。
春秋假占用的教学时间,主要通过统筹利用日常机动教学时间等方式补回,确保每学期教学时间总量不变、国家规定教学任务全面完成。
各中小学校要加强学生春秋假期生活指导,鼓励学生多参与贴近自然、贴近生活的社会实践活动。春秋假期间,学校和教师不得以任何形式布置任何作业,不得组织线上或线下授课、补习、考试,或利用其他方式变相组织集体补课。严肃查处春秋假期间面向中小学生的违规学科类培训活动。
https://mp.weixin.qq.com/s/wnxWn6DL2jwTxPXE8AR7Ig -
中国计算机学会注意到,NeurIPS 基金会在社交平台 X 及NeurIPS 2026官网上,就 NeurIPS 2026 会议限制部分受制裁机构投稿一事发布了解释与更正。中国计算机学会欢迎 NeurIPS 的投稿政策回归国际学术交流的通行做法。
中国计算机学会始终倡导在开放、公平的环境下开展国际学术交流,鼓励中国学术界积极参与包括NeurIPS在内的国际学术交流与合作,同时将积极推进学会自主和开放的国际学术交流平台的建设与发展。
https://www.ccf.org.cn/Media_list/ccf/2026-03-30/869614.shtmlwww.ccf.org.cnNeurIPS更正投稿政策,CCF表示欢迎-中国计算机学会中国计算机学会欢迎 NeurIPS 的投稿政策回归国际学术交流的通行做法。 -
- 听说 Epic 大裁员把著名的国区老运营一起裁了
-
- 招行下架明日方舟等借记卡卡面
近数月以来,招商银行已下架皮卡丘、萌气(猫爪、浅夏倚梦、春日萌动)等多款借记卡卡面。近日,招行已下架明日方舟联名卡面(阿米娅、罗德岛)。
上述下架卡面无法网申,可能无法保留卡面换同卡号卡片。若线下仍有卡板,目前仍可线下开预制卡或换号换卡。
截至发稿时,哔哩哔哩2233花嫁、Hello Kitty、愤怒的小鸟、宠物(猫咪、狗狗)、海绵宝宝等卡面仍可办理。
#招商 -
