给软件开发者准备的优质简报,每日阅读 10分钟

Canvas online again as ShinyHunters threatens to leak schools’ data

886 pointsLinkComment(589)Share

Canvas学习平台遭ShinyHunters攻击后恢复上线

  • 黑客组织ShinyHunters入侵Canvas学习平台后留下勒索信息,要求受影响学校在2026年5月12日前通过TOX通讯软件私下联系他们谈判,否则扬言在暗网泄露数据
  • 被泄露数据涉及学生姓名、电子邮件地址、学号和消息记录;ShinyHunters声称其数据泄露网站包含9000所学校约2.75亿名学生、教师及教职员工的个人信息
  • Instructure确认攻击者利用了"免费教师账户"(Free-For-Teacher accounts)的安全漏洞,在学生和教师登录时篡改了页面显示内容,随即紧急关闭平台以控制局势
  • 作为应急措施,Instructure暂时关闭了Free-For-Teacher账户并部署了安全补丁;目前Canvas主平台已恢复服务,但Canvas Beta、Canvas Test系统及学生电子档案登录功能仍处于维护状态
  • ShinyHunters此前已宣称对Ticketmaster、AT&T、Rockstar Games、ADT和Vercel等知名企业的数据泄露事件负责,并声称这是第二次入侵Instructure系统

Maybe you shouldn't install new software for a bit

791 pointsLinkComment(412)Share

建议暂时停止安装新软件

  • copy.fail 事件后,又有两个 Linux 内核漏洞被公布:Copy Fail 2: Electric Boogaloo 和 Dirty Frag。
  • 作者认为当前正是 NPM 供应链攻击的高发期。
  • 除了及时安装发行版提供的内核安全补丁外,建议暂停安装其他新软件约一周。
  • 文中提醒:事实与情况可能已发生变化,如有疑问请联系作者。

Dirtyfrag: Universal Linux LPE

770 pointsLinkComment(309)Share

Dirty Frag:影响所有主流 Linux 发行版的通用本地权限提升漏洞

  • 漏洞概述与披露状态:Dirty Frag 由 Hyunwoo Kim(imv4bel)发现,是一种可在所有主流 Linux 发行版上无条件获取 root 权限的通用型本地权限提升(LPE)漏洞,其影响范围与此前披露的 Copy Fail 漏洞相当;由于保密期被提前打破,目前尚无 CVE 编号和官方补丁,漏洞详情已在 dirtyfrag.io 公开
  • 漏洞机制:该漏洞链式组合两个独立内核缺陷,分别位于 netdev/net.git 仓库中的 ESP 相关代码和 rxrpc/rxkad 协议实现;作者提供了禁用相关模块的临时缓解命令:sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
  • ESP 攻击路径:利用 splice 系统调用和 XFRM 安全关联机制,通过操控 ESP-in-UDP 封装和 seq_hi 字段将攻击者构造的 192 字节 x86_64 root-shell ELF 覆写至 /usr/bin/su 的页缓存,执行后依次调用 setgid(0)、setuid(0)、setgroups(0,NULL) 并 execve("/bin/sh"),绕过 PAM 直接以 root 权限启动 shell
  • rxrpc 攻击路径:通过 AF_RXRPC 和 AF_ALG 接口实现完整的内核 pcbc(fcrypt) 算法用户态模拟,首先在用户空间离线暴力搜索会话密钥(fcrypt_selftest 验证通过),找到可将 /etc/passwd 特定偏移解密为 "::"、"0:"、"0:GGGGGG:" 的密钥后,利用 rxkad_verify_packet_1 的内核解密原语触发三次页缓存覆写,最终将 root 条目密码字段置空
  • 攻击效果与利用流程:exploit 默认优先尝试 ESP 路径覆写 /usr/bin/su,若检测到 AF_ALG 被沙箱限制则自动回退至 rxrpc 路径修改 /etc/passwd;任一目标被篡改后均通过 PTY 桥接启动交互式 root shell,ESP 路径无需 PAM 认证,rxrpc 路径依赖 PAM nullok 接受空密码完成无密码提权

Rumors of my death are slightly exaggerated

1261 pointsLinkComment(199)Share

克莱因瓶老板Cliff Stoll澄清:我还活着!

  • Facebook上流传的一篇AI生成书评错误地宣布《杜鹃的蛋》作者Clifford Stoll已于2024年5月去世,导致多人发邮件询问其克莱因瓶业务是否仍在运营
  • Stoll本人在Hacker News上发帖澄清,用马克·吐温的名言"关于我死亡的报道被大大夸大了"来调侃,并透露他从不去阅读自己的维基百科页面以避免困扰
  • 帖子获得1261个点赞和199条评论,Stoll以幽默方式回应各种"悼念"评论,包括用"不是被撕裂,而是被扯坏"来回应"RIP",并透露当天克莱因瓶订单量大增近十几单
  • 评论区引发关于AI幻觉危害的讨论——有用户建议将维基百科上他的死亡状态标注为"存疑",并探讨了维基百科"可验证性优先于真实性"的政策问题
  • Stoll透露他仍在经营克莱因瓶生意,仅有两名"员工"(一只树懒和他自己),正在设计递归图案的被子;他还提到妻子一年前刚刚去世,自己现年75岁
  • 许多读者分享《杜鹃的蛋》如何深刻影响了他们的职业生涯和技术兴趣,Dave Barry也遭遇过类似的AI"被死亡"事件

SQLite Is a Library of Congress Recommended Storage Format

646 pointsLinkComment(191)Share

SQLite获得美国国会图书馆推荐存储格式认可

  • SQLite于2018年5月29日被美国国会图书馆正式列为数据集的推荐存储格式,彼时该类别仅有XML、JSON和CSV三种格式入选
  • 推荐存储格式的核心目标是最大化数字内容的长期生存能力和持续可访问性
  • LoC采用七项评估标准筛选推荐格式:披露程度、采用程度、透明度、自我文档化、外部依赖性、专利影响及技术保护机制
  • 披露程度强调完整技术规范和验证工具的可获取性,而非仅以标准化组织认可为依据;透明度则要求格式可直接使用基础工具(如文本编辑器)进行分析
  • 推荐格式应尽量减少对特定硬件、操作系统或专有软件的依赖,自我文档化特性要求格式本身包含描述性、技术性和管理性元数据
  • 专利影响评估关注格式专利对档案机构长期保存内容能力的潜在制约;技术保护机制(如加密)因阻碍可信存储库的内容保存而受到负面影响

DeepSeek 4 Flash local inference engine for Metal

471 pointsLinkComment(139)Share

ds4:DeepSeek V4 Flash 本地 Metal 推理引擎

  • 由 antirez(Redis 作者)开发,在 GPT 5.5 协助下完成,基于 llama.cpp/GGML 技术路径,专为 DeepSeek V4 Flash 设计的专用 Metal 图执行器,包含 DS4 特定的文件加载、提示渲染、KV 状态管理和服务器 API 粘合层,仅支持本项目发布的专用 GGUF 文件,非通用 GGUF 加载器
  • 采用非对称量化策略:仅对路由 MoE 专家进行量化(门/上投影用 IQ2_XXS,下投影用 Q2_K),其他组件(共享专家、投影、路由)保持原样以保证质量;提供 q2(适合 128GB 内存机器)和 q4(适合 ≥256GB 内存机器)两个版本;可选的 MTP 投机解码支持仍为实验性功能
  • 模型拥有 100 万 token 上下文窗口和 2840 亿参数,思考模式生成的推理长度与问题复杂度成正比,可低至其他模型的 1/5;写作质量接近前沿模型水准,支持更好的英语和意大利语输出
  • 将压缩 KV 缓存视为"磁盘一等公民",通过令牌 ID 的 SHA1 哈希(而非原始文本)作为缓存键,支持会话切换和服务器重启后复用已计算的上下文前缀;提供冷保存、继续保存、驱逐保存和关闭保存四种快照时机;完整 1M 上下文约需 26GB 内存
  • 提供兼容 OpenAI 和 Anthropic 规范的 HTTP 服务器,支持 SSE 流式输出;支持 opencode、Pi、Claude Code 等本地编码代理集成;服务器为 Metal 单线程设计,128GB M3 Max q2 短提示 Prefill 达 58.52 t/s,512GB M3 Ultra q4 长提示(11709 tokens)Prefill 达 468.03 t/s

Lets Encrypt Stopping Issuance for Potential Incident

84 pointsLinkComment(36)Share

Let's Encrypt 因潜在安全事件暂停所有证书签发服务

  • 2026年5月8日 18:37 UTC,Let's Encrypt 在发现潜在安全事件后,立即暂停所有证书签发服务,当前状态为调查中(INVESTIGATING)
  • 受影响组件包括生产环境与暂存环境的 ACME API 端点(acme-v02.api.letsencrypt.org、acme-staging-v02.api.letsencrypt.org)以及对应的门户站点(portal.letsencrypt.org、portal-staging.letsencrypt.org)。
  • 相关基础设施部署于 High Assurance Datacenter 1High Assurance Datacenter 2 两座高保障数据中心。
  • 用户可通过邮件、RSS、Microsoft Teams、Slack 或 iCalendar 等渠道订阅状态页面以获取后续更新。

AI Is Breaking Two Vulnerability Cultures

81 pointsLinkComment(36)Share

AI正在打破两种漏洞文化

  • 两种处理漏洞的文化:安全领域存在"协调披露"(私下告知维护者并给予修复时间,如90天)和"漏洞就是漏洞"(Linux的做法,公开快速修复而不强调安全影响)两种文化
  • Copy Fail漏洞案例:工程师Hyunwoo Kim遵循Linux标准程序私下修复,但有人注意到代码变更并公开安全影响,暴露了两种文化之间的张力
  • 低调修复方式难以为继:AI大幅提升了漏洞挖掘效率,使扫描提交记录的性价比提高,信号噪音比更高,AI还能自动评估每个提交是否涉及安全修复
  • 长保密期已失效:AI辅助团队正加速扫描软件,Kim报告ESP漏洞仅9小时后,另一人就独立发现了同一漏洞,且保密期会产生虚假的不紧迫感
  • 极短保密期或成出路:作者认为非常短的保密期可能是解决方案,且随着AI加速防御者修复工作,原本过短的保密期也变得可行
  • AI是双刃剑:作者测试Gemini、ChatGPT和Claude三个模型,均能正确识别安全补丁,说明AI既能帮助攻击者发现漏洞,也能加速防御者的工作
← 2026-05-07 2026-05-08 ...