🔴 Bitwarden CLI 2026.4.0 被骇;请尽快更新并检查设备数据及修改密码(若适用)。
- 请更新至 Bitwarden CLI 2026.4.1 或 降级至 2026.3.0。
- 这是 Bitwarden 的官方 CLI(难用的那个),和第三方 CLI rbw 无关。
- 骇客似乎通过 GitHub Actions 潜入了 Bitwarden 的 CI/CD pipeline。
- 根据 Socket 分析,被骇软件的恶意行为包括收集系统凭据并将其加密发布到公开 GitHub repo 中,但不会在 locale 为 ru 的系统发作。
https://socket.dev/blog/bitwarden-cli-compromised
seealso: HackerNews:47876043
linksrc: https://t.me/microblock_pub/2573
#Bitwarden #Ecosystem
- 请更新至 Bitwarden CLI 2026.4.1 或 降级至 2026.3.0。
- 这是 Bitwarden 的官方 CLI(难用的那个),和第三方 CLI rbw 无关。
- 骇客似乎通过 GitHub Actions 潜入了 Bitwarden 的 CI/CD pipeline。
- 根据 Socket 分析,被骇软件的恶意行为包括收集系统凭据并将其加密发布到公开 GitHub repo 中,但不会在 locale 为 ru 的系统发作。
https://socket.dev/blog/bitwarden-cli-compromised
seealso: HackerNews:47876043
linksrc: https://t.me/microblock_pub/2573
#Bitwarden #Ecosystem
Socket
Bitwarden CLI Compromised in Ongoing Checkmarx Supply Chain ...
Bitwarden CLI 2026.4.0 was compromised in the Checkmarx supply chain campaign after attackers abused a GitHub Action in Bitwarden’s CI/CD pipeline.
IT之家 4 月 23 日消息,本周早些时候,微软宣布将暂停 GitHub Copilot Pro、Pro+ 及学生版套餐的新用户注册,以便更高效地服务现有客户,这一举动出乎所有人意料。此外,微软还宣布下调个人版套餐的使用额度,并从 Pro 套餐中移除 Claude Opus 模型。
得益于 AI 模型的升级及其智能体能力的提升,过去几个月里 GitHub Copilot 的使用量出现了暴增。这一现象并非 GitHub Copilot 独有;近几周,AI 编程领域目前的领军企业 Anthropic 也开始增设多项新限制,并下调使用额度。
IT之家注意到,AI 编程工具的订阅制模式似乎已走到尽头。即便对微软、Anthropic 这类大型 AI 公司而言,每月 20–30 美元的定价模式也难以为继。Anthropic 已面向企业客户推出按词元(token)计费模式,而 GitHub Copilot 也正朝着同一方向调整。
埃德・齐特伦的专栏《Where's Your Ed At》今日证实,GitHub Copilot 将于 6 月 1 日起转为按词元计费,官方公告预计将于本周发布。目前,GitHub Copilot 用户根据订阅套餐享有固定的“请求次数”额度,例如 Pro 套餐每月 300 次,Pro+ 套餐每月 1500 次。
后续 GitHub Copilot 将不再以“请求次数”计费,改为按输入与输出词元的实际成本收费。举例来说,若选用 GPT-5.4 模型,开发者需为每百万输入词元支付 2.50 美元,每百万输出词元支付 15 美元。
用户仍需按月支付订阅费才能使用 GitHub Copilot 平台,但不再享有固定次数的高级请求额度,而是根据订阅等级获得对应数量的 AI 词元。企业版 GitHub Copilot 用户将获得共享 AI 额度,可在组织内部统一调配使用。
据埃德・齐特伦消息,每月付费 19 美元的 GitHub Copilot Business 客户将获得价值 30 美元的共享 AI 额度,每月付费 39 美元的 Copilot Enterprise 客户则将获得价值 70 美元的共享 AI 额度。
金枪鱼之夜:ICU Done Wrong: 如何构建多文种的文本索引
https://tuna.moe/event/2026/icu/
为了解决 Telegram 对汉文搜索的问题,几年前 Sharzy 开发了 Python + Whoosh 的消息记录的搜索工具。近日在将其用 Rust + Tantivy 重写的过程中,他发现基于 jieba 的 analyzer 在处理日文时会有显著的问题,于是转向了更加通用的 CJK bigram 方案。但他很快意识到和 Unicode 搏斗并不是一件美妙的事情。Unicode 联盟开发的 ICU (International Components for Unicode) 是一套处理 Unicode 的库集合,但是不同文字之间的差异并不能直接用 ICU 抹平,从拉丁字母、汉字、日文假名、谚文,到阿拉伯字母、希伯来字母、婆罗米系文字,再到越南语拉丁字……试图为这些文字/书写系统构建统一的方案的问题远比看起来要多。
本次 Tunight 上 Sharzy 将会介绍如何在㋿Ξ㍾㍿的 ICU 世界中构建出一套似乎能用的系统——目前仍在锐意开发中。
欢迎大家一起来玩!
---
活动信息:
* 主讲人:@SharzyManaka
* 时间:2026/04/24(校历第九周周五) 19:00 UTC +08:00
* 活动形式:线下 + 线上会议 + 直播
* 地点:三教 1206,我们又回到了三教
* 线上会议:腾讯会议 544-278-322 密码 260424 (https://meeting.tencent.com/dm/1Q70SjAX7MRs)
* 直播链接:https://youtube.com/live/kNby3uD9ynQ
https://tuna.moe/event/2026/icu/
为了解决 Telegram 对汉文搜索的问题,几年前 Sharzy 开发了 Python + Whoosh 的消息记录的搜索工具。近日在将其用 Rust + Tantivy 重写的过程中,他发现基于 jieba 的 analyzer 在处理日文时会有显著的问题,于是转向了更加通用的 CJK bigram 方案。但他很快意识到和 Unicode 搏斗并不是一件美妙的事情。Unicode 联盟开发的 ICU (International Components for Unicode) 是一套处理 Unicode 的库集合,但是不同文字之间的差异并不能直接用 ICU 抹平,从拉丁字母、汉字、日文假名、谚文,到阿拉伯字母、希伯来字母、婆罗米系文字,再到越南语拉丁字……试图为这些文字/书写系统构建统一的方案的问题远比看起来要多。
本次 Tunight 上 Sharzy 将会介绍如何在㋿Ξ㍾㍿的 ICU 世界中构建出一套似乎能用的系统——目前仍在锐意开发中。
欢迎大家一起来玩!
---
活动信息:
* 主讲人:@SharzyManaka
* 时间:2026/04/24(校历第九周周五) 19:00 UTC +08:00
* 活动形式:线下 + 线上会议 + 直播
* 地点:三教 1206,我们又回到了三教
* 线上会议:腾讯会议 544-278-322 密码 260424 (https://meeting.tencent.com/dm/1Q70SjAX7MRs)
* 直播链接:https://youtube.com/live/kNby3uD9ynQ
在不为人知的角落,腾讯往 OpenRouter 上抬了个 Hy3 preview (free):
https://openrouter.ai/tencent/hy3-preview:free
https://openrouter.ai/tencent/hy3-preview:free
openrouter.ai
Hy3 preview (free) - API Pricing & Providers
Hy3 preview is a high-efficiency Mixture-of-Experts model from Tencent designed for agentic workflows and production use. $0 per million input tokens, $0 per million output tokens. 262,144 token context window, maximum output of 262,144 tokens.
用 Rust 实现完整的 SysY 编译器
该任务源自北京大学《编译原理》课程项目,要求模型用 Rust 从零实现一个完整的 SysY 编译器:词法分析器、语法分析器、AST、Koopa IR 代码生成、RISC-V 汇编后端,以及性能优化。作为参考,北大本科生完成该项目通常需要数周时间,然而 MiMo-V2.5-Pro 用时仅 4.3 小时、经过 672 次工具调用完成全部工作,在隐藏测试集上取得 233/233 的满分,展现了极高效的生产力价值。
它没有陷入反复试错的蛮力,而是逐层搭建整个编译器:先搭完整流水线骨架,再逐层攻克—— Koopa IR 满分(110/110),RISC-V 后端满分(103/103),性能优化满分(20/20)。首次编译即通过 137/233,59%的冷启动通过率,意味着在跑任何测试之前,架构就已经是对的了。第 512 轮,一次重构令 lv9/riscv 回退了两个测试点;模型自行诊断、恢复、继续推进。
Xiaomi MiMo-V2.5 系列大模型开启公测
https://mp.weixin.qq.com/s/ikHvKgVeLILebVMWeF1amQ
我们针对 Token Plan 做了几项适合你的、实质性的优化:
Credits 速率更新,更优惠
MiMo-V2.5:1x(消耗 1 Token = 1 Credit)
MiMo-V2.5-Pro: 2x(消耗 1 Token = 2 Credits)
取消 1 Token = 4 Credits 计费方式,从现在起,Token Plan 不再区分 256k 和 1 M 上下文窗口的 Credit 倍率。
夜间专属优惠速率
北京时间每天 00:00 ~ 08:00,所有模型 Credits 消耗速率在原有基础上再打 8 折。
自动续费享折扣
新增「连续包月」订阅模式,老用户开通自动续费享次月 7 折,新用户享次月 77 折,均限一次。
新增「包年」订阅周期,一次订阅享全年 88 折,不再叠加首购/自动续费优惠。
https://mp.weixin.qq.com/s/ikHvKgVeLILebVMWeF1amQ
🔴 PackageKit 本地提权漏洞;请尽快升级至 1.3.5。
- 修复版本 1.3.5 在约两小时前发布。
- PackageKit 是许多包管理器的后端,在 Ubuntu、Debian、Fedora 等发行版上被广泛应用;最早受影响版本 1.0.2 版本在 12 年前发布。
- 鉴于以上情况,目前大部分正在运行的 Linux 系统都受此漏洞影响,建议系统管理员在更新版本于发行版发布后及时更新。
CVSS: 8.8/10
Affect: [1.0.2, 1.3.4]
- GHSA-f55j-vvr9-69xv
- github.security.telekom.com/~
linksrc: https://t.me/bupt_moe/2712
#Security #PackageKit
- 修复版本 1.3.5 在约两小时前发布。
- PackageKit 是许多包管理器的后端,在 Ubuntu、Debian、Fedora 等发行版上被广泛应用;最早受影响版本 1.0.2 版本在 12 年前发布。
- 鉴于以上情况,目前大部分正在运行的 Linux 系统都受此漏洞影响,建议系统管理员在更新版本于发行版发布后及时更新。
CVSS: 8.8/10
Affect: [1.0.2, 1.3.4]
- GHSA-f55j-vvr9-69xv
- github.security.telekom.com/~
linksrc: https://t.me/bupt_moe/2712
#Security #PackageKit
GitHub
Race condition vulnerability leads to arbitrary package installation as root
This report explains a vulnerability within PackageKit, that allows unprivileged user installing packages as root and thus leads to a local privilege escalation.
All PackageKit versions between ...
All PackageKit versions between ...
git-http-backend 是 CGI 程序,往 stderr 输出文字就会在客户端展示为 remote: (message),但 rsync 是 inetd 程序,只能在 motd 部分整活
(所以你看到的排队提示对 rsync 来说就是缓慢输出的 motd)
(所以你看到的排队提示对 rsync 来说就是缓慢输出的 motd)
孔子:说说你们的规划吧。
子路:我将来一定要发 Nature Machine Intelligence + NeurIPS Oral,进清北计算机学院,四青拿遍,长江 + 杰青双料,最后当上院长兼智能计算国家重点实验室主任。
孔子:微笑。
冉有:我不求顶会,能发几篇 CCF-B、拿个省部级项目就行。进个普通一本或二本,年度考核能过,横向经费够养研究生。至于大模型、具身智能这些风口,我不追。
孔子:挺好。
公西华:我没什么大本事,就想当好一个实验室运维或科研助理:帮老师写本子、配环境、跑 baseline、整理开题答辩材料,评职称时帮大家统计引用数,开组会时分享屏幕、记会议纪要、顺手把服务器上的僵尸进程 kill 掉。
孔子:谦虚了。
曾晳:我的理想是去一个地级市的政务云运维岗,不用发论文,不用争架构师,每年春天跟几个同事带上孩子,去机房楼旁边的空地上放风筝、听听 UPS 风扇嗡嗡响、看看监控大屏上绿油油的在线率,然后一路哼着歌骑车回家,晚上摸出树莓派随便跑个小脚本,睡前看到终端输出一行 "done",安心关上电脑。
孔子:你说的这个,正是我想要的!
子路:我将来一定要发 Nature Machine Intelligence + NeurIPS Oral,进清北计算机学院,四青拿遍,长江 + 杰青双料,最后当上院长兼智能计算国家重点实验室主任。
孔子:微笑。
冉有:我不求顶会,能发几篇 CCF-B、拿个省部级项目就行。进个普通一本或二本,年度考核能过,横向经费够养研究生。至于大模型、具身智能这些风口,我不追。
孔子:挺好。
公西华:我没什么大本事,就想当好一个实验室运维或科研助理:帮老师写本子、配环境、跑 baseline、整理开题答辩材料,评职称时帮大家统计引用数,开组会时分享屏幕、记会议纪要、顺手把服务器上的僵尸进程 kill 掉。
孔子:谦虚了。
曾晳:我的理想是去一个地级市的政务云运维岗,不用发论文,不用争架构师,每年春天跟几个同事带上孩子,去机房楼旁边的空地上放风筝、听听 UPS 风扇嗡嗡响、看看监控大屏上绿油油的在线率,然后一路哼着歌骑车回家,晚上摸出树莓派随便跑个小脚本,睡前看到终端输出一行 "done",安心关上电脑。
孔子:你说的这个,正是我想要的!
Git 2.54
- git history reword <commit> 重写 commit mesasage
- git history split <commit> 将一个 commit 分成两个
https://github.blog/open-source/git/highlights-from-git-2-54/
- git history reword <commit> 重写 commit mesasage
- git history split <commit> 将一个 commit 分成两个
https://github.blog/open-source/git/highlights-from-git-2-54/
