在opencode里用,不是502就是断流,发"继续"的时间占了一半 4 个帖子 - 2 位参与者 阅读完整话题
IT之家 6 月 2 日消息, 上周蓝色起源公司巨型新格伦火箭在发动机点火试车时发生剧烈爆炸 ,发射台受损严重,修复工作“需要耗费大量时间”。 据央视财经今日报道,美国国家航空航天局局长艾萨克曼 6 月 1 日接受采访时表示,修复发射平台“需要相当长的时间”, 2028 年在可能的时间范围内 。业内人士认为,该事件不仅会导致蓝色起源后续发射任务延期, 同时还可能影响美国月球任务时间表 。 艾萨克曼指出,要将着陆器送上月球,需要一枚具备强大运载能力的火箭。他表示,美国国家航空航天局(NASA) 可能不得不依赖美国太空探索技术公司(SpaceX)的“猎鹰”重型运载火箭 。 根据美国国家航空航天局此前公布的首批月球基地建设任务规划,“月球基地 1 号”任务计划最早于今年秋季实施,将使用蓝色起源的月球着陆器向月球南极地区运送科学设备,验证未来载人着陆所需关键技术。而计划执行该货运任务的火箭型号,就是刚在测试时爆炸的“新格伦”重型运载火箭。IT之家注意到,美航空航天局还与该公司签署合同,要求该公司在 2028 年前运送两台月球车,届时供宇航员在月表使用。 相关阅读: 《 贝索斯商业航天公司蓝色起源火箭点火测试爆炸,所有人员确认安全 》 《 蓝色起源新格伦火箭试车爆炸,NASA 称发射台或到 2028 年才能修复 》
多名知情人士透露,去年导致卢森堡全国通信网络大面积瘫痪的重大事故,系攻击者利用华为企业路由器软件中一个此前从未披露的零日漏洞所致,造成移动通信、固话以及紧急联络系统在全国范围内中断超过三小时。这一漏洞至今从未在任何公开渠道被正式披露,也没有在全球通行的漏洞库中获得 CVE 编号,运营同类设备的其他电信运营商也未获公开预警。 POST Luxembourg 是此次事故的直接受影响运营商,其为卢森堡国家控股的电信企业。 该公司通讯负责人保罗·劳施(Paul Rausch)表示,此次事件是一场针对网络设备的拒绝服务(DoS)攻击,利用了“非公开、未记录的系统行为”,事发时并不存在可用补丁,且“与任何已知或先前记录在案的漏洞无关”。 他称,华为在事后告知 POST,其此前从未在任何客户网络中遭遇同类攻击,也没有现成解决方案。 多名接受过相关保密通报的消息人士将此次事件界定为一次零日攻击。 虽然目前没有任何证据显示同样的攻击再次发生,但这一缺陷的技术成因仍未得到公开解释,相关问题也从未获得华为方面正面承认。 报道称,华为在稿件刊发前收到了记者发出的详细问询,但未作出任何回应。 事故发生在 2025 年 7 月 23 日接近下班时分。 当时,POST 的固定电话网络以及 4G、5G 移动网络同时瘫痪,可能有数十万居民在事件持续期间无法拨打紧急电话。 调查显示,这是由精心构造的网络流量触发的,这些流量让华为企业路由器陷入持续重启循环,导致 POST 核心网络中的关键节点反复崩溃,进而引发全国范围的通信中断。 事发三个多小时后网络才逐步恢复,而此后该国紧急呼叫中心在短时间内接到了数百通新增来电。 事发当时,卢森堡政府曾将该事件描述为“一次异常高级且复杂的网络攻击”。 POST 表示,这一表述主要是针对利用该漏洞所需的技术能力,并非传统意义上以流量洪峰压垮系统的体量型 DDoS 攻击。 政府最初曾将事故界定为一场分布式拒绝服务(DDoS)攻击,POST 此后澄清,这与黑客活动人士或网络犯罪分子常用的大规模流量攻击手法并不相同。 卢森堡检方发言人介绍,警方与网络安全专家开展的调查发现,有“被篡改的数据”通过 POST 这一互联网服务提供商中转,而这些数据“可被用于发动针对任意目标服务器的攻击”。 但在此次事件中,这些数据并不是被正常转发,而是触发了 POST 系统的异常行为,使其停止工作并重启。 卢森堡国家防护高级委员会(High Commission for National Protection)的发言人表示,最终调查认为“没有证据表明,攻击是将 POST Luxembourg 作为特定目标而有意发起的”。 目前尚无任何刑事指控被提出。 上述调查结果表明,引发全国瘫痪的源头,可能只是恶意构造的网络流量在互联网中传递时“路过”了 POST 的基础设施。 然而,华为路由器并未像常规设备那样将数据简单转发,而是触发了某种未公开的故障状态,导致设备反复停止工作并重启,从而放大为全国性事故。 报道指出,华为自研的 VRP 网络操作系统过去曾出现过与精心构造协议流量相关的拒绝服务漏洞,例如 CVE-2021-22359 和 CVE-2022-29798 等。 在其他大型网络设备厂商的产品中,也曾出现类似缺陷:畸形流量可引发设备崩溃、反复重载,甚至在处理日常通信时遭远程入侵。 不过,POST 强调,此次卢森堡事件与此前已公开披露的华为漏洞并无关联。 报道同时关注到一个更广泛的“披露缺口”问题。 近年来,华为仍会为部分消费类产品提交 CVE 编号,但关于其企业级网络软件的公开漏洞信息则愈发稀少,现有公开案例多由独立安全研究人员披露,而非厂商主动发布。 公司仍在向客户发布企业安全公告,但这些公告仅通过受限的客户门户提供,而非面向全行业的公开通报。 例如,华为上月通过该门户发布了一份涉及数据包解析的拒绝服务漏洞安全通告,并未配套 CVE 编号。 当前没有证据表明,这则通告与卢森堡事件存在关联。 在此次攻击发生后,卢森堡方面与华为举行了一系列技术会议,以查明事故原因。 卢森堡的网络安全主管机构也通过现有的政府合作渠道,将相关情况通报给全欧洲范围内的合作应急响应团队。 然而,直到今天,仍没有任何关于这一关键零日漏洞的 CVE 被正式提交,全球网络安全社区也因此未获得完整的公开预警。 对于谁应负责提交 CVE 编号这一问题,卢森堡国家防护高级委员会发言人表示,按照通行披露流程,该决定权在厂商一方。 POST 方面则称,公司已向相关方提供了技术信息,但无权决定对外披露方式。 报道指出,华为没有回应为何未就此次导致全国通信中断的漏洞公开发布 CVE 的询问。 事发十个月后,外界仍不清楚这一漏洞是否已被彻底修补、全球范围内有多少运营商曾经或仍然暴露在风险之下,以及当前运行类似华为系统的网络设备是否依旧存在隐患。 查看评论
目前在北京做agent算法实习生,用的是windows(已经瘫痪),感觉工作流没那么顺,现在想入手mac,预算在6500左右,看到有M1pro32+512和M5air16+512可以选,佬友们能不能给我分析下选什么合适呀 12 个帖子 - 6 位参与者 阅读完整话题
之前换换IP还能接着用,点一下retry有时候也能用。今天早上似乎完全不行了。你们的都正常吗。上去官网看了下也没有什么更新。 9 个帖子 - 5 位参与者 阅读完整话题
IT之家 4 月 25 日消息,theregister 昨日(4 月 24 日)发布博文,报道称在新加坡举办的 Black Hat Asia 2026 大会上,来自清华大学的研究员石贺天发出警告, 指出公共 EV 充电桩、共享单车等租赁型物联网基础设施正面临严峻的安全风险。 石贺天指出此类服务的核心矛盾在于:开发者过度优先考虑用户便利性,却牺牲了必要的安全防护 ,导致服务暴露在大规模拒绝服务攻击的风险之下。 图源:清华大学 租赁型物联网服务的特殊性在于,任何人都可物理接触设备并排查漏洞。石贺天经授权研究后发现, 部分设备保留了调试端口或 UART(通用异步收发传输器)接口,让攻击者能轻易分析设备运行机制。 IT之家援引博文介绍,他深入探查后,在设备固件中发现共享认证密钥,且后端服务缺乏严格的用户身份验证机制,这构成了严重的安全隐患。 在应用程序层面,安全防护同样薄弱。石贺天发现漏洞允许其创建无法被系统识别的“幽灵客户端”。利用这些虚假身份,攻击者不仅能零成本为汽车充电或租用滑板车,还能访问后端系统窃取用户个人信息。 为验证漏洞危害,他开发了名为“IDScope”的漏洞利用工具。 在现场演示环节,石贺天针对一款 iOS 应用测试,首先邀请观众选择上海人民广场作为目标,并指定了一个可用充电桩。石贺天将应用显示的充电桩 ID 输入脚本,仅一两秒后,该充电桩图标便从代表可用的绿色变为代表禁用的灰色。 石贺天警告,此类攻击技术具备规模化能力, 理论上可导致整个城市的 EV 充电网络瘫痪 。这一风险并非仅存于中国, 他测试的 11 款欧洲共享单车和滑板车应用也存在类似问题。
随着电动汽车快速普及,公共充电网络正逐步演变为关键基础设施,但其安全防护水平仍停留在普通消费级物联网设备的水准,存在被大规模恶意关停的风险。研究人员指出,可预测的设备编号以及薄弱的身份认证机制,可能让攻击者从“干扰一名司机”为起点,升级为让整座城市的公共充电网络集体离线。 公共电动汽车充电桩、共享电单车和租赁滑板车等设备,普遍具备一个共同特征:设备无人值守、依赖手机应用远程控制、长期暴露在开放环境中,任何人都有机会接触和拆解硬件或分析配套软件。在今年的 Black Hat Asia 大会上,清华大学物联网安全研究员石贺天演示了如何利用一款中国充电平台的应用漏洞,远程关闭充电端口,引发业界对这一类风险的高度关注。 据报道,石贺天在演示中使用的是一家中国电动车充电服务商的官方应用。当现场观众选择“上海”作为示范城市后,他在应用中调用附近充电站列表,从中选取位于人民广场附近的一处充电桩,并将该设备的 ID 复制到事先准备好的脚本中执行,随后该充电桩在地图上的图标由绿色变为灰色,表示充电端口已被远程禁用。他认为,利用同样的手法,可以在缺乏有效防护的情况下,对整座城市的大量充电设施实施拒绝服务攻击。 更令人担忧的是,这类问题并非中国市场独有。石贺天团队还对 11 款来自欧洲共享单车和电动滑板车运营商的应用进行了测试,发现同样存在类似安全缺陷。在硬件层面,他们找到仍然开放的调试接口和 UART 连接点,使得攻击者更容易对设备进行逆向分析和功能篡改;在软件与云端层面,则发现固件内共用的认证密钥,以及后端服务对用户请求缺乏充分的身份校验机制。 研究显示,应用侧漏洞同样危险。弱认证设计可能允许攻击者伪造所谓的“幽灵客户端”,让平台无法分辨其与真实用户之间的差异。在此基础上,攻击者不仅可能获得免费骑行、免费充电等非法服务,还可能进一步窃取用户个人信息,对运营方和用户双方造成经济与隐私损失。 这次在大会上的演示并非孤立案例,其背后是系统性研究结果的一个缩影。在 USENIX Security 2024 上发表的一篇相关论文中,清华大学团队(包括石贺天在内)对 17 款可租赁物联网设备及其配套的 92 款应用进行了系统分析。团队共识别出 57 个漏洞,分布于 28 款产品,其中 24 个漏洞被认定为具备大规模利用潜力,可能影响数百万用户和终端设备。 论文指出,可被推断或算法预测的资源 ID 是问题的关键之一。攻击者只需通过简单枚举或推断,就有机会获取大量设备或用户标识,再与访问控制缺陷叠加利用,即可对海量设备发起批量操作,从而在城市级或更大范围内造成服务中断或功能异常。 在所有此类系统中,公共充电桩尤其敏感。它们往往同时涉及用户支付、蜂窝网络连接、云端管理平台以及与电网直接相连的基础设施。单个充电桩遭遇故障或攻击,最多只是给个别车主带来不便;但如果上千个充电终端在短时间内被远程关闭或锁死,对本已对电动车可靠性心存疑虑的潜在用户而言,将严重打击其对整个充电网络和电动车生态的信心。 研究团队表示,相关厂商对研究结果予以确认,并在研究人员的协助下对大部分已披露问题进行了修复或缓解。但他们同时强调,整个可租赁物联网行业仍需在多方面加强安全能力,包括为每台设备建立更强的唯一身份标识、在后端实施更严格的授权机制、为单设备配置独立凭证、关闭不必要的调试端口以及建立完善的滥用检测体系。只有在安全基础设施得到系统性加固之后,公共充电网络与共享出行设备才能真正承担起关键基础设施的角色,而不再成为攻击者眼中的“软目标”。 查看评论
L站出现瘫痪!一直报错502;无法正常上传图片;头像消失! 12 个帖子 - 11 位参与者 阅读完整话题
IT之家 4 月 17 日消息,据外媒 Naval News 报道,美军现已开始在自家四艘驱逐舰上部署来自雷神公司的“郊狼”(Coyote)反无人机拦截平台,目前阿利 · 伯克级驱逐舰“卡尔 · 莱文”号(USS Carl M. Levin)已安装了相应设备。 IT之家获悉,在反无人机领域,当前面临一个严峻挑战:攻击方使用的无人机成本低廉且常以蜂群战术部署,而防御方的常规爆炸或撞击式拦截手段却造价高昂、数量有限。 传统武器遵循“一击必杀”的作战条令,单次拦截成本往往高达数十万美元。这不仅在财政上难以承受,更导致防御系统面临“弹药深度”危机,即在遭遇大规模攻击时,拦截弹迅速耗尽,防线陷入空虚。 对此,雷神公司推出了“郊狼”反无人机拦截平台, 其本身也是一款无人机 ,能够利用弹头或直接撞击摧毁敌方无人机,在任务结束后还可通过网捕回收,目前美军已开始引入相应平台进行测试。 同时,“郊狼”型反无人机平台具备强大的网络化作战能力。它可以作为前沿区域防空指挥控制网络的一个节点,与其他“郊狼”无人机互联。 它们能够自主分配目标,并在无需人工操作的情况下决定最佳攻击策略,甚至配置攻击场以同时应对多个敌机 。
科学家首次对一种能让瘫痪者行走与感觉同步恢复的革命性技术进行了早期概念验证,并在最新的《脑刺激》期刊上发表了验证结果。由美国南加州大学凯克医学院、加州大学欧文分校和加州理工学院研究团队共同开发的“双向脑机接口系统”,在一名患者身上完成了完整测试,展现出高达92%的控制与感知准确率,为未来治疗截瘫带来了新希望。这一成果被视为迈向未来全植入式系统的重要一步。(科技日报)