给软件开发者准备的优质简报,每日阅读 10分钟

GrapheneOS user reported to authorities for using GrapheneOS

433 pointsLinkComment(439)Share

GrapheneOS用户因年龄验证系统遭遇Yoti举报威胁

  • 年龄验证服务商Yoti客服声称运行GrapheneOS的设备会被自动标记并向执法部门及安全团队举报,用户在上传身份证件后收到威胁性回复
  • GrapheneOS官方回应指出此事件更可能是客服虚张声势以快速结案,使用GrapheneOS本身不违法,公司不太可能专门针对该系统采取行动,更可能是检测"不使用Google移动服务的操作系统"
  • 技术层面:应用程序可通过标准API检测操作系统,GrapheneOS的增强安全防护(如exploit mitigation)会导致设备具备独特特征,从而被识别
  • 完全隐藏操作系统信息在技术上不可行,即使通过虚拟化方案也会因GrapheneOS独特性而被检测,Play Integrity API的核心目的正是识别此类行为
  • 社区担忧隐私保护工具正被污名化为犯罪分子专用,有执法背景人士也持此误解,并建议使用单独的廉价手机专门处理政府强制应用和身份验证,避免在隐私系统上暴露敏感信息
  • 社区建议除使用专用设备外,用户应联系立法者推动改变年龄验证政策的走向

Zeroserve: A zero-config web server you can script with eBPF

120 pointsLinkComment(29)Share

zeroserve:用户空间eBPF驱动的零配置高性能Web服务器

  • tarball原地服务与原子热重载:网站打包为单个tar文件,加载时构建path→字节范围映射表,直接从tarball读取数据服务请求,全程无需解压至磁盘;替换tarball并发送SIGHUP即可原子性重载网站内容、脚本和TLS证书,多实例共享代码页内存,每个实例为单线程事件循环
  • 全链路io_uring与现代化传输层:所有网络和磁盘I/O均通过io_uring(基于monoio运行时)提交;内置BoringSSL实现TLS 1.3仅+HTTP/2,支持Encrypted Client Hello防止SNI明文泄露、SNI动态证书选择、JA4客户端指纹识别及透明ECH中继模式
  • 用户空间eBPF脚本与安全隔离:将.c文件放入.zeroserve/scripts/目录即在每个请求上执行,通过async-ebpf运行时JIT编译为原生x86-64代码在用户空间运行,无需内核BPF权限;指针笼机制将所有内存访问限制在脚本沙箱内,定时器抢占机制防止慢脚本阻塞其他连接
  • 程序即配置的革新理念:eBPF程序本身就是全部配置,无需传统配置文件,脚本按文件名排序链式执行,通过per-request元数据map共享状态,可统一处理路由、请求修改、认证、限速和反向代理
  • 丰富脚本能力与动态响应:支持请求头/路径检查修改、SHA-256/HMAC-SHA256/Base64加密、JSON解析构造、令牌桶限速、AWS SigV4签名和完整OIDC登录流程(Authorization Code + PKCE,登录会话密封于XChaCha20-Poly1305 Cookie中);HTML中<zs-meta>占位符在响应输出时自动替换
  • 单核性能全面领先:小文件处理36,681 req/s比nginx快17%;10ms抢占间隔调优下eBPF中间件比nginx Lua快50%、全动态JSON响应46,945 req/s超越nginx Lua;小响应代理26,486 req/s比nginx快22%;大文件代理场景nginx表现更优;空闲内存约15MB,多进程运行可有效共享代码页

Meta confirms 1000s of Instagram accounts were hacked by abusing its AI chatbot

83 pointsLinkComment(24)Share

Meta确认数千个Instagram账户因AI聊天机器人漏洞被劫持

  • Meta首次披露攻击规模,确认至少20,225名用户账户被劫持,其中缅因州30人,攻击活动始于4月17日并持续至本周被发现
  • 漏洞位于Meta AI聊天机器人中的"AI辅助账户恢复系统",黑客通过诱骗系统将密码重置链接发送至其控制的邮箱地址,即可重置任意未开启双因素认证的账户密码
  • Meta解释称"工具本身功能正常且按预期运行",问题出在"单独代码路径存在漏洞,系统未能正确验证密码重置请求中提供的邮箱地址是否与账户关联邮箱匹配"
  • 账户被盗后,黑客可完全接管受害者整个Instagram账户及所有关联账户,包括获取联系方式、出生日期、个人资料、帖子、私信和账户活动记录
  • Meta已禁用涉事聊天机器人并移除相关代码路径,同时通知受影响用户重置密码并重新认证,并正在检查其他平台聊天机器人以防止类似事件
  • Meta表示目前"未知"此次入侵中是否有任何个人信息被实际访问或窃取,同时正值其裁员数千人但向高管发放股票激励之际
← 2026-06-05 2026-06-06 ...