现在我也不知道这频道发了啥了,各位慢慢吃瓜,将就着看

联系我请去 @abc1763613206

友链儿
@cyberElaina
@rvalue_daily
@billchenla
有人援引 Freedom of Information Act (FOIA) 向 美国国家运输安全委员会(NTSB)申请披露 MU5735(东方航空 5735)的数据。

NTSB 依 FOIA 法 公开了 所有备份的 飞行数据记录仪(FDR,Flight Data Recorder)的数据,没有披露座舱通话记录器 (CVR,Cockpit Voice Recorder)的录音(因 NTSB 没有留存备份)。

相关文件被重命名后上传到 GitHub: https://github.com/haohaoh4/take_out

关键图表可在 report.pdf 文件中的第 25、26、27 页找到。可以注意到:

1. 飞机刚开始失控时,两部引擎均被关闭(两部引擎的 Cut Off 开关均被置于 CUTOFF 位而非 RUN 位)
2. 飞机刚开始失控时,自动驾驶被关闭(自动驾驶关闭告警 AP Warning 1 与 AP Warning 2 触发,自动驾驶开关 CMD FCC 关闭)
3. 飞机失控期间,记录到 Control Wheel Position 操纵盘全程产生剧烈输入
4. 飞机失控期间,副翼(Aileron)全程作动、升降舵(Elevator)仅在失控后期向下作动、方向舵(Rudder)全程没有作动
CentOS 7 没影响 测了
#今天又看了啥 #CVE #security
https://copy.fail/
CVE-2026-31431

Copy Fail 是一个极其严重的 Linux 内核本地提权(LPE)漏洞,编号 CVE-2026-31431

要点

- 🎯 纯逻辑漏洞,无需 race condition,无需内核偏移,一次成功
- 📦 仅 732 字节 的 Python 脚本(stdlib only),在所有主流 Linux 发行版上通用
- 影响 2017 年以来 构建的所有 Linux 内核,潜伏近十年
- 🔬 漏洞链:authenesn 逻辑 bug → AF_ALG(内核加密 API)→ splice()4 字节 page-cache 写入,直接修改 setuid 二进制的内存页
- 🔓 任何本地普通用户 → 瞬间 root
- 🐳 容器逃逸、跨租户提权、CI runner 沦陷

影响面

| 场景 | 风险 |
|------|------|
| 多租户 Linux 主机 | 🔴 任何用户变 root |
| Kubernetes / 容器集群 | 🔴 跨容器/跨租户 |
| CI runners (GitHub Actions 自托管等) | 🔴 PR 提权到 runner root |
| 云 SaaS 运行用户代码 | 🟡 租户变宿主 root |
| 普通单租户服务器 | 🟢 需配合其他入口 |
| 个人笔记本 | 🟢 已有本地访问后提权 |


缓解措施

1. 更新内核 — 主线 commit a664bf3d603d(回滚 2017 年的 in-place 优化)
2. 临时缓解 — 禁用 algif_aead 模块:
   
   echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
   rmmod algif_aead 2>/dev/null || true

   不影响 dm-crypt/LUKS、SSH、IPsec、OpenSSL 默认配置等绝大多数常用功能
今天又看了啥 CVE security
Forgejo 存在多个安全漏洞,将多个漏洞串联可能可以 RCE

SSRF in a lot of places, no CSP/Trusted-Types, a bit of ghetto templating in javascript, cryptographic malpractices, overlooks in the authentication mechanisms (OAuth2, OTP, sessions/access handling, post-compromission recovery, …), a bunch of low-hanging DoS, information leak all over the place, various TOCTOU, … All in all, it took me one evening after work to find a good amount of vulnerabilities (adding to the one I got from looking at gitea at some point in the past), and chain some of them to obtain a full-blown RCE, some secrets leaks, a bunch of persistent account access, a handful of OAuth2 privesc, …

由于漏洞报告者打算吊着上游,因此上游并未修复。在上游修复前,目前可能可以通过关闭注册缓解
https://dustri.org/b/carrot-disclosure-forgejo.html
dustri.org
Carrot disclosure: Forgejo
Personal blog of Julien (jvoisin) Voisin
DeepSeek 识图模式绝赞内测中,目前已可在抓包配置中看到但无法调用。
今天abc看了啥🤔
在刚刚结束的 2025 年第十一届 CCPC 全国总决赛(CCPC Final)中,ChatGPT 5.5 Pro 在无任何提示与辅助的情况下解出全部13道题目,实力远超现场顶尖人类参赛队伍(北京大学,7题)。 人类参赛榜: https://pintia.cn/rankings/2046522266744168448 https://fixupx.com/qingyu_shi_/status/2048679551883260105
值得注意的是,在一年前的第十届 CCPC Final 中,字节的 Seed 模型喜提全场仅通过一道签到题的战绩:
https://pintia.cn/rankings/1919646713470414848
https://www.infoq.cn/news/PEf5lNOq393xKrLQxjZx

而在今年的第十一届 CCPC Final,字节 Seed 仍然为赛事赞助商但是没有参赛,原因未知。
pintia.cn
PTA | 程序设计类实验辅助教学平台
千名教师建设,万道高质量题目,百万用户拼题的程序设计实验辅助教学平台
在刚刚结束的 2025 年第十一届 CCPC 全国总决赛(CCPC Final)中,ChatGPT 5.5 Pro 在无任何提示与辅助的情况下解出全部13道题目,实力远超现场顶尖人类参赛队伍(北京大学,7题)。
人类参赛榜:
https://pintia.cn/rankings/2046522266744168448

https://fixupx.com/qingyu_shi_/status/2048679551883260105
FixupX
Qingyu (@qingyu_shi_)
Qingyu (@qingyu_shi_)
CCPC Finals 2025 was concluded yesterday, and it’s my 4th time to create the problem-set and serve as the judge for the CCPC Finals.

We the judges are quite surprised by the performance of the LLMs: ChatGPT 5.5 Pro solved ALL the tasks without any hints/assistances…
快讯: 观测到所有 *.icu 域名都开始被 GFW DNS 无差别污染了

与往常不同,这次即便是 未被注册在国内备案的 .icu 域名也同样受到污染,并且是全国性污染,可能是 GFW 在测试一些新策略?
今天abc看了啥🤔
* 当前 deepseek-v4-pro 模型限时 2.5 折,优惠期至北京时间 2026/05/05 23:59
当前 deepseek-v4-pro 模型 2.5 折,优惠期延长至北京时间 2026/05/31 23:59。
今天abc看了啥🤔
Xiaomi MiMo-V2.5 系列大模型开启公测 我们针对 Token Plan 做了几项适合你的、实质性的优化: Credits 速率更新,更优惠 MiMo-V2.5:1x(消耗 1 Token = 1 Credit) MiMo-V2.5-Pro: 2x(消耗 1 Token = 2 Credits) 取消 1 Token = 4 Credits 计费方式,从现在起,Token Plan 不再区分 256k 和 1 M 上下文窗口的 Credit 倍率。 夜间专属优惠速率 北京时间每天 00:00…
Xiaomi MiMo-V2.5 系列模型全球开源,MiMo Orbit 计划火热进行中

尊敬的 Xiaomi MiMo 开放平台用户,您好!

Xiaomi MiMo-V2.5 系列模型现已全球开源,MiMo-V2.5/V2.5 Pro 两款模型的权重与推理代码已全量开放,采用宽松的 MIT 协议,允许自由商用、二次训练与微调,无需额外授权。

此外,MiMo Orbit 计划正式推出:面向 AI builder 的『创造者百万亿 Token 激励计划』,与面向 Agent 框架团队的『Agent 生态共建计划』。

创造者百万亿 Token 激励计划
Xiaomi MiMo 将面向全球 AI 用户进行免费 Token 发放,我们将在 30 天内发放总计 100 万亿(100T) Token 权益,赠完即止。
活动时间:北京时间 2026 年 4 月 28 日 00:00 至 5 月 28 日 00:00
参与地址:100t.xiaomimimo.com

Agent 生态共建计划
Xiaomi MiMo 面向全球 Agent 框架团队提供专项支持,我们将提供 Agent 框架限免支持,让你的用户零门槛接入并体验 MiMo系列模型。
如果你是 Agent 框架开发者、厂商,欢迎联系我们:[email protected]

如有任何问题,随时与我们反馈:[email protected]

Xiaomi MiMo API 开放平台团队
2026 年 4 月 28 日
GitHub Copilot 正在转向基于用量计费

https://github.blog/news-insights/company-news/github-copilot-is-moving-to-usage-based-billing/
————
GitHub Copilot 代码审查将于 2026 年 6 月 1 日起消耗 GitHub Actions 分钟数

https://github.blog/changelog/2026-04-27-github-copilot-code-review-will-start-consuming-github-actions-minutes-on-june-1-2026/
————
TL;DR:
1. 改用 GitHub AI Credits 计费
2. 没有年度订阅
3. 现有年度订阅不会增加新的模型
像极了你写的屎山代码
今天abc看了啥🤔
* 当前 deepseek-v4-pro 模型限时 2.5 折,优惠期至北京时间 2026/05/05 23:59
* DeepSeek 全系列模型,输入缓存命中的价格已降至首发价格的 1/10。
两分钱的 cache 来了
今天abc看了啥🤔
先前指出「极客温控」所售卖硅脂造假的媒体 igorslab,又发出了一篇重磅调查报告,指出整个大中华区的陶氏供应链中存在系统性造假网络,极客温控可能也是其中的受害者。 It is also important to note that GeekTC is not the only case I am investigating, as I have also found counterfeit products in the packaging of larger OEMs for compact all…
bilibili.com/video/BV1qgoVBGEQj/
Bilibili
官方正品也翻车?!极客温控被“售假”之5888调查迷局_哔哩哔哩_bilibili
陶熙5888品控迷局,官方正品也翻车?!持续半年的反转、反转再反转, 视频播放量 4279、弹幕量 14、点赞数 447、投硬币枚数 367、收藏人数 111、转发人数 58, 视频作者 极客温控, 作者简介 淘宝店铺名:极客温控。只做正品、高性价比DIY产品。V:geek-tc,相关视频:极客温控买的7950相变片证据,笔记本液金换相变,这个视频会帮到你。,道歉声明-对陶熙5888硅脂问题的答复和处理方案,极客湾:别呀,笔记本上的a卡真的是太烂了,【极客湾】笔记本厂商为什么不广泛的上均热板,而使用液金…
https://www.reddit.com/r/ClaudeAI/comments/1svdm1w/psa_the_string_hermesmd_in_your_git_commit/
Reddit
From the ClaudeAI community on Reddit
From the ClaudeAI community on Reddit
Explore this post and more from the ClaudeAI community
Before
After
Back to Top