文章

发布于

NGINX 曝 9.2 分高危漏洞:潜伏 18 年,威胁全球约 1/3 服务器

IT之家 5 月 14 日消息,科技媒体 cyberkendra 昨日(5 月 13 日)发布博文,报道称 NGINX 被曝一组高危漏洞,已潜伏约 18 年,威胁全球约三分之一的网络服务器。

本次曝光的漏洞:

  • CVE-2026-42945 — 9.2 Critical
  • CVE-2026-42946 — 8.3 High
  • CVE-2026-40701 — 6.3 Medium
  • CVE-2026-42934 — 6.3 Medium

核心风险: 攻击者无需登录认证,只需发送一条特制 HTTP 请求,就能让 NGINX 工作进程崩溃;在合适条件下,还可能拿到服务器远程代码执行权限(RCE)。

漏洞原理: 最严重的 CVE-2026-42945 可追溯到 2008 年,长期存在于几乎所有标准 NGINX 构建版本中。问题出在 ngx_http_rewrite_module 的处理逻辑——某个内部标志位被设为参数转义状态后没有清掉,后续长度计算按原始字节数估算,但真正写入时却再次转义。攻击者 URI 中的 +%& 等字符会从 1 字节膨胀到 3 字节,导致缓冲区溢出。

depthfirst 已做出概念验证,显示在关闭 ASLR 的条件下可实现未认证 RCE。报告还提到理论方法称攻击者可通过重复请求逐步覆盖指针字节,绕过 ASLR。更麻烦的是 NGINX 的多进程架构反而给了攻击者反复试错机会:某工作进程崩溃后主进程会拉起新进程,且堆布局可能保持一致。

修复建议:

  • NGINX Open Source:升级到 1.31.0 或 1.30.1
  • NGINX Plus:升级到 R36 P4 或 R32 P6
  • 重启服务加载修复后的二进制文件
  • 临时缓解:将受影响 rewrite 规则中的未命名正则捕获改成命名捕获(不会走到有问题的转义路径)

这个漏洞影响面很大——NGINX 承载全球约 1/3 的网站,而且已存在 18 年之久。建议如果服务器有使用 NGINX rewrite 规则的尽快升级版本或采用临时缓解措施。

发布于

DeepSeek-V4-Pro 2.5折

模型 & 价格

下表所列模型价格以“百万 tokens”为单位。Token 是模型用来表示自然语言文本的的最小单位,可以是一个词、一个数字或一个标点符号等。我们将根据模型输入和输出的总 token 数进行计量计费。

模型细节

模型deepseek-v4-flash(1)deepseek-v4-pro
BASE URL (OpenAI 格式)https://api.deepseek.com
BASE URL (Anthropic 格式)https://api.deepseek.com/anthropic
模型版本DeepSeek-V4-FlashDeepSeek-V4-Pro
思考模式支持非思考与思考模式(默认)
切换方式详见思考模式
上下文长度1M
输出长度最大 384K
功能Json Output支持支持
Tool Calls支持支持
对话前缀续写(Beta)支持支持
FIM 补全(Beta)仅非思考模式支持仅非思考模式支持
价格百万tokens输入(缓存命中)(2)0.02元0.025元(限时2.5折(3)0.1元
百万tokens输入(缓存未命中)1元3元(限时2.5折(3)12元
百万tokens输出2元6元(限时2.5折(3)24元

(1) deepseek-chat 与 deepseek-reasoner 两个模型名将于日后弃用。出于兼容考虑,二者分别对应 deepseek-v4-flash 的非思考与思考模式。
(2) 全系列模型,输入缓存命中的价格已降至首发价格的 1/10。
(3) 当前 deepseek-v4-pro 模型限时 2.5 折,优惠期至北京时间 2026/05/31 23:59。

扣费规则

扣减费用 = token 消耗量 × 模型单价,对应的费用将直接从充值余额或赠送余额中进行扣减。 当充值余额与赠送余额同时存在时,优先扣减赠送余额。

产品价格可能发生变动,DeepSeek 保留修改价格的权利。请您依据实际用量按需充值,定期查看此页面以获知最新价格信息。

发布于

Vibe Coding

贴身精髓

  • 用AI工具减少重复劳动
  • 专注于创意和业务逻辑
  • 快速验证想法

要点分析:

🚀 效率提升

  • 减少检索时间 → 专注核心问题
  • 效率大幅提升 → 快速迭代验证

🎯 技术简化

  • 降低技术复杂性 → 降低门槛
  • 技术大同 → 统一标准,减少选择困难

🌟 创新探索

  • 探索未知可能 → 更多创意实现
  • 便利性更佳 → 更好的开发体验
发布于

Hermes Agent:会”成长”的数字同事

一个边干边学的新人

  • 每完成15个任务,他会自己复盘总结,把经验变成新技能
  • 三月份刚开始处理客服,六月份就已经熟练很多了
  • 你不需要手动更新他的”手册”,他自己会进化
  • 适合长期运营的业务场景

优势:越用越强,有”复利效应”

发布于

Anthropic 最新 Claude 模型用两周为 Firefox 挖出 22 个漏洞

Anthropic 近日公布了一项与 Mozilla 的安全合作成果:其大模型 Claude Opus 4.6 在短短两周内发现了浏览器 Mozilla Firefox 中的 22 个安全漏洞,其中 14 个被评为高危漏洞,显示出 AI 在软件安全审计中的潜力。

根据官方披露,这项合作属于 Mozilla 与 Anthropic 开展的安全研究项目。研究人员让 Claude Opus 4.6 在受控环境中分析 Firefox 代码和组件,结果在两周内发现 22 个此前未知的漏洞。

其中:

  • 14 个漏洞被认定为高严重级别
  • 约占 2025 年全年 Firefox 高危漏洞修复数量的近五分之一
  • 这些漏洞大多已在 Firefox 148 等版本中得到修复

研究团队指出,这一发现速度远高于传统人工安全审计,显示 AI 可以显著加速漏洞挖掘流程。除了安全漏洞之外,Claude 还检测到了约 90 个其他类型的软件问题,包括断言失败、逻辑错误等。其中一部分问题与传统模糊测试(fuzzing)能够发现的类型重叠,但也有一些新的逻辑错误类别 是此前自动化测试工具没有发现过的。

研究团队还进一步测试了 Claude 的能力:向模型提供已发现漏洞的细节,以及要求其尝试生成可利用的攻击代码(exploit)。

结果显示,在数百次实验、约 4000 美元 API 成本的测试中,Claude 成功将漏洞转化为可利用攻击的情况只有两次。这表明 AI 在漏洞发现方面表现突出,但在稳定生成攻击利用方面仍然有限,需要人工研究者参与验证。Anthropic 认为,这次合作说明大型语言模型可以成为安全研究人员的 “加速器”:

  • 自动探索复杂代码库
  • 提供可复现的漏洞测试用例
  • 帮助安全团队更快定位问题

Mozilla 方面也表示,AI 辅助安全测试未来可能成为浏览器开发流程的一部分。

https://www.oschina.net/news/409110/anthropic-mozilla-firefox-security

发布于

GPT-5.3-Codex最强Agentic Coding模型

OpenAI 最新发布了 GPT-5.3-Codex,这是一个专注于 Agentic Coding 的强大模型。

✨ 主要特性

性能提升

  • 速度:比 GPT-5.2-Codex 快约 25%
  • 基准测试:在 SWE-Bench Pro、Terminal-Bench、OSWorld 等多个测试中表现领先
  • 能力范围:不仅限于代码生成,还能处理复杂任务和长上下文理解

交互体验

  • 支持实时交互和工作中反馈
  • 可以在任务执行过程中进行提问、修正和调整
  • 更像是一个可以持续沟通的工作伙伴

功能扩展

  • 自动化调试、部署和监控
  • 撰写产品需求文档和测试方案
  • 处理数据分析和用户研究
  • 制作表格和演示文稿

🔐 安全特性

  • 被定义为网络安全领域的高能力模型
  • 推出了 “Trusted Access for Cyber” 安全访问计划
  • 包含身份验证和自动监控机制
  • 帮助合法组织发现和修复漏洞

🚀 使用方式

  • Codex 桌面/网页版客户端
  • 命令行工具(CLI)
  • IDE 扩展插件
  • ChatGPT 付费计划

💡 个人思考

这个模型在研发过程中参与了自身的训练和测试,自举式开发方式很有意思。从代码生成工具演变为通用工作助手,代表AI 编程工具的发展方向。


发布于

人形机器人时代:养老模式的深度变革

当我们这代人开始规划养老时,一个严峻的现实摆在面前:传统的养老方式正在失效。无论是”养儿防老”还是”社保养老”,都面临着前所未有的挑战。而一个全新的可能性正在浮现——通用人形机器人辅助养老。

传统养老模式为何难以为继?

家庭养老的困境

在农业社会,多生孩子意味着更多劳动力,养老成本相对较低。但现代社会完全不同:

  • 抚养成本飙升:从出生到大学毕业,平均需要投入数十万甚至上百万
  • 城市化改变了家庭结构:独生子女面临”4-2-1″的赡养压力
  • 养育本质上已成为消费行为,而非投资

社保养老的挑战

现收现付制的社保体系依赖一个关键前提:充足的劳动力供给。然而:

  • 人口老龄化加速,抚养比持续上升
  • 未来可能出现劳动力短缺,护理服务供不应求
  • 即使有退休金,也可能面临”有钱买不到服务”的窘境

机器人养老的经济学逻辑

作为资产的价值

人形机器人的出现改变了游戏规则:

  • 一次性投资:预计售价在15-20万人民币区间
  • 长期使用:不需要工资、社保,只需电费维护
  • 回本周期短:相比雇佣保姆的持续支出,2-3年即可收回成本

生产力私有化

这本质上是从”购买服务”转向”拥有生产资料”:

  • 不再依赖日益稀缺的人力服务市场
  • 避免了服务价格上涨的风险
  • 获得稳定可控的照护能力

技术可行性分析

当前AI技术的突破让这一设想成为可能:

  • 端到端学习能力:机器人可以通过观察学习复杂任务
  • 硬件成本下降:关键零部件价格每年显著降低
  • 泛化能力提升:能够处理非标准化的养老服务场景

必须警惕的风险

理性分析需要考虑可能的障碍:

能源成本风险:如果电价大幅上涨,运营成本可能超出预期

技术瓶颈:复杂场景下的应急处理能力仍需验证,医疗护理等专业领域的可靠性有待提升

政策风险:大规模应用可能引发就业问题,进而导致监管和税收政策调整

个人应对策略

面对这一趋势,值得思考的方向包括:

  1. 关注技术发展:跟踪人形机器人和AI的进展
  2. 财务规划调整:考虑将”硅基资产”纳入养老储备
  3. 投资布局:相关产业链企业可能带来长期价值

结语

我们正处于养老模式变革的前夜。传统方式的局限性日益明显,而技术进步提供了新的可能性。未来的养老保障,可能不再单纯依靠子女或社保,而是人类智慧、社会保障和科技力量的结合。

这不是科幻,而是正在发生的趋势。提前思考和准备,或许能让我们在这场变革中更从容。