/tag/update

最近不知道什么时候养成的习惯，早上开工先： npm outdated -g npm update -g 看一眼哪些全局工具又更新了，然后顺手升一下。 感觉已经有点像刷晨报了。 10 个帖子 - 9 位参与者 阅读完整话题

一分钟，8次重试，100%纯（1076），w是我梯子问题还是哈基米土豆服务器发芽了 update：好像真的发芽了，三角洲行动同款土豆服务器吗，有点意思 13 个帖子 - 10 位参与者 阅读完整话题

惯例我在openclaw让它执行openclaw update，然后deepseek直接把gateway杀了。把龙虾先停止掉，然后再去更新是吧，真的人工智障 5 个帖子 - 4 位参与者 阅读完整话题

在edge当前最新版本，使用 chrome.declarativeNetRequest.updateSessionRules +set自己的csp，通过fetch获取当前网站的csp得到验证确实是自己set的csp。接着才开始insert 自己网站的一个js，但是浏览器提示csp限制不允许加载非名单中的js，即浏览器应用的还是doc请求时的csp，并非我set的。 什么原因？ 怎么解决呢？ 谢谢 已生效启用的csp set规则，如图 用fetch请求验证得到确实是自己set的csp，但是对doc insert js src时，却报了doc请求时响应头中的csp并非我set的，见图 1 个帖子 - 1 位参与者 阅读完整话题

删掉update.exe和repair.exe不起作用 3 个帖子 - 3 位参与者 阅读完整话题

NASA NASA Provides Update on Space Station Leak - NASA The Zvezda service module’s transfer tunnel, known as the PrK, on the International Space Station has experienced cracks since 2019 that have resulted in small atmosphere leaks and prompted ongoing monitoring and repair efforts by Roscosmos. NASA and... [!quote]+ 国际空间站上的"曙光"服务舱转移隧道（PrK）自2019年以来出现裂缝，导致大气小规模泄漏，促使俄罗斯航天局持续监测和修复工作。NASA和俄罗斯联邦航天局（Roscosmos）合作找出根本原因，同时俄罗斯航天局也在实施包括临时和永久密封剂在内的泄漏缓解措施。 6月1日当周，在进步95号航天器货运作业期间，俄罗斯航天局注意到泄漏率从之前增加到每天两磅，并识别出PrK内新的疑似泄漏区域。在这一观察后，俄罗斯航天局决定于周五上午开始开展更全面的检查和结构修复工作。这一修正方法涉及切割支架以便更好地进入被识别为可能泄漏源的区域进行进一步检查，采用一种可能导致该区域建筑物风险增加的方法。作为回应，NASA指示四名SpaceX Crew-12成员和搭乘联盟MS-28飞船前往驻地的宇航员克里斯·威廉姆斯在操作过程中，在SpaceX龙飞船内采取更高的安全姿势，称为安全避风港。 周五上午晚些时候，俄罗斯航天局暂停了结构修复工作，转而进行额外的测量和数据评估，包括对疑似关注区域的检查以及对之前封闭剂施用区域的审查。NASA强烈支持该决定，因此，第12组和威廉姆斯结束了安全区活动，恢复了轨道实验室的正常运作。 cbsnews.com International Space Station crew shelters inside spacecraft during leak repairs Out of an abundance of caution, NASA on Friday briefly directed five of the seven crew members aboard the International Space Station to wait inside the docked SpaceX Crew Dragon "Freedom" spacecraft — known as a "safe haven" — as two cosmonauts... BBC News Astronauts told to return to International Space Station after sheltering... Nasa had directed five of the seven astronauts to shelter inside the docked SpaceX Crew Dragon "Freedom" spacecraft while two Russian cosmonauts attempted an urgent repair. CNN – 5 Jun 26 Astronaut who has dealt with Space Station leaks speaks to CNN | CNN Cracks and leaks on the International Space Station force astronauts to seek shelter on the dragon spacecraft. Erin Burnett talks to retired NASA astronaut Chris Cassidy, who went to the Space Station three times, about the safety risk. https://www.reuters.com/science/international-space-station-astronauts-evacuation-mode-russia-attempts-fix-2026-06-05/ 1 个帖子 - 1 位参与者 阅读完整话题

https://d-updater.i4.cn/web/mobileconfig/iOS26.mobileconfig

Native方式走 downloads.claude.ai一直被Claude CND拒绝 ❯ Claude update Current version: 2.1.159 Checking for updates to latest version... Error: Failed to install native update Error: Failed to fetch version from https://downloads.claude.ai/claude-code-releases/latest after 3 attempt(s): The socket connection was closed unexpectedly. For more information, pass `verbose: true` in the second argument to fetch() Try running "claude doctor" for diagnostics 大家更新的话是不是也倾向于使用 npm ？ 命令： npm install -g @anthropic-ai /claude-code@latest； 6 个帖子 - 4 位参与者 阅读完整话题

Claude Code 版本：v2.1.154 (Update:2026-05-28 release) 模型: Deepseek 问题: API Error: 400 Failed to deserialize the JSON body into the target type: messages[1].role: unknown variant `system`, expected `user` or `assistant` at line 1 column 2194 修复建议：版本回退 关闭 Claude Code 终端 回退 npm i -g @anthropic-ai/[email protected] 6 个帖子 - 5 位参与者 阅读完整话题

挂的代理，试了新加坡，日本，美国都不行。每次都提示 claude update Current version: 2.1.119 Checking for updates to latest version... Error: Failed to install native update Error: Failed to fetch version from https://downloads.claude.ai/claude-code-releases/latest: timeout of 30000ms exceeded Try running "claude doctor" for diagnostics 有没有解决办法 2 个帖子 - 2 位参与者 阅读完整话题

不就是用用反重力搓点小玩意吗，至于让我重试4次都不能用吗 update：第五次了 嘻嘻我一定要蹬完啊 不嘻嘻 4 个帖子 - 3 位参与者 阅读完整话题

anthropic.com Project Glasswing: An initial update An early update on what we've learned from Project Glasswing. [!quote]+ 我们的早期成果 软件行业长期以来的惯例是在发现新漏洞 90 天后披露漏洞（如果在 90 天到期前已创建补丁，则在补丁可用后 45 天左右披露）。这样，终端用户就有时间在漏洞被攻击者利用之前更新他们的软件。我们自己的 "协调漏洞披露 "政策就采用了这种方法。 然而，这意味着所披露的漏洞只是人工智能模型网络能力加速前沿的一个滞后指标：我们还没有达到在不给最终用户带来风险的情况下全面详述合作伙伴在 Mythos Preview 中的发现的程度。相反，我们提供了模型性能的示例，以及迄今为止我们所取得进展的综合统计数据。一旦 Mythos Preview 发现的漏洞补丁得到广泛部署，我们将提供更多有关我们所了解到的细节。 一个月后，大多数合作伙伴都在各自的软件中发现了数百个关键或严重漏洞。他们总共发现了一万多个漏洞。一些合作伙伴告诉我们，他们发现漏洞的速度提高了十倍以上。例如，Cloudflare 在其关键路径系统中发现了 2000 个漏洞（其中 400 个属于高危或严重漏洞），其误报率低于 Cloudflare 团队认为的人工测试人员的误报率。 英国人工智能安全研究所报告说，"Mythos 预览版 "是首个端对端解决其两个网络范围（多步骤网络攻击模拟）的模型； Mozilla 在测试 Mythos Preview 时在 Firefox 150 中发现并修复了 271 个漏洞，比在使用 Claude Opus 4.6 的 Firefox 148 中发现的漏洞多出十倍； 独立安全平台 XBOW 报告称，Mythos Preview 在其网络漏洞利用基准上 “比所有现有模型都高出一大截”，在令牌对令牌的基础上提供了 “绝对前所未有的精确性”； ExploitBench 和 ExploitGym 是最近发布的两个用于衡量模型漏洞开发能力的学术基准，显示 Mythos Preview 的性能最强。我们将在 Frontier Red Team 博客上更详细地讨论这些基准对该模型的影响。 3 个帖子 - 3 位参与者 阅读完整话题

Gemini CLI 在6月18日停止运营，开发者必须迁移到反重力 CLI https://developers.googleblog.com/an-important-update-transitioning-gemini-cli-to-antigravity-cli/ 3 个帖子 - 3 位参与者 阅读完整话题

developers.googleblog.com An important update: Transitioning Gemini CLI to Antigravity CLI- Google... Announcement for the sunsetting of Gemini CLI in favor of Antigravity CLI, a more robust, agent-first platform designed to handle the multi-agent complexities of 2026. 据悉，从2026年6月18日开始，Gemini CLI将对个人暂停服务，取而代之的是Antigravity CLI。 Antigravity CLI由Go语言开发，与Antigravity 2.0共享相同的后端架构。 10 个帖子 - 7 位参与者 阅读完整话题

来源： https://x.com/karpathy/status/2056753169888334312 推文： Personal update: I've joined Anthropic. I think the next few years at the frontier of LLMs will be especially formative. I am very excited to join the team here and get back to R&D. I remain deeply passionate about education and plan to resume my work on it in time. 译文： 个人更新：我加入了 Anthropic 。我认为大型语言模型前沿的未来几年将特别具有形成性。我非常兴奋能加入这里的团队并回归研发。我仍然对教育充满热情，并计划及时恢复我在该领域的工作。

来源： https://x.com/karpathy/status/2056753169888334312 推文： Personal update: I've joined Anthropic. I think the next few years at the frontier of LLMs will be especially formative. I am very excited to join the team here and get back to R&D. I remain deeply passionate about education and plan to resume my work on it in time. 译文： 个人更新：我加入了 Anthropic 。我认为大型语言模型前沿的未来几年将特别具有形成性。我非常兴奋能加入这里的团队并回归研发。我仍然对教育充满热情，并计划及时恢复我在该领域的工作。

今天用 pnpm update 更新依赖后，mac 提示添加了新的启动项、背景任务，文件是个 cat.py 文件，让 codex 分析了代码内容，发现是远程执行代码，流程： 1. 静默安装依赖：requests 、cryptography ，失败也尽量隐藏。 2. 每小时访问 GitHub Commit Search API： https://api.github.com/search/commits 。 3. 搜索最新包含 firedalazer 的 commit 。 4. 从 commit message 里解析： firedalazer <base64-url>.<base64-signature> 5. 用脚本内置 RSA 公钥验证签名。也就是说，只有持有对应私钥的人能下发“合法命令”。 6. 解码出 URL ，下载该 URL 返回的 Python 代码。 7. 写入临时 .py 文件并执行： subprocess.run(["python3", temp_path], ...) 8. 把已执行 URL 的 hash 记录到： /var/tmp/.gh_update_state 搜索到类似的一个攻击是 vscode 扩展 nx console 的投毒： https://www.stepsecurity.io/blog/nx-console-vs-code-extension-compromised 但我这是 npm ，告诉 codex 是执行 pnpm 操作后发生的，它查了相关日志，最终锁定是一个叫做 @ antv /setup 的包有问题： 你的项目 package.json └── @antv/g6 ^4.8.24 └── @antv/g6 4.8.25 └── @antv/g6-pc 0.8.25 ├── @antv/dom-util 2.2.4 │ └── optionalDependencies: @antv/setup ├── @antv/matrix-util 3.2.4 │ └── optionalDependencies: @antv/setup └── @antv/layout / @antv/util 分支 └── @antv/util 3.5.11 └── optionalDependencies: @antv/setup @ antv /setup: github:antvis/G2#1916faa365f2788b6e193514872d51a242876569 完整流程： 1. 执行 pnpm update 做依赖更新 2. 项目依赖 @antv/g6 被解析/更新 3. @antv/g6 的子依赖里出现可疑 AntV 包 metadata 4. 这些包声明 optionalDependencies: @antv/setup 5. pnpm 下载 github:antvis/G2#1916faa365f2788b6e193514872d51a242876569 6. 该 tarball 被当作 @antv/[email protected] 安装 7. @antv/setup 的 prepare 脚本执行： bun run index.js && exit 1 8. 混淆的 index.js 在你机器上落地持久化文件 9. 写入 LaunchAgent 启动项 10. 启动 ~/.local/share/kitty/cat.py 11. cat.py 每小时轮询 GitHub commit 搜索结果 12. 如果攻击者发布带签名的指令，就下载远程 Python 并执行

今天用 pnpm update 更新依赖后，mac 提示添加了新的启动项、背景任务，文件是个 cat.py 文件，让 codex 分析了代码内容，发现是远程执行代码，流程： 1. 静默安装依赖：requests 、cryptography ，失败也尽量隐藏。 2. 每小时访问 GitHub Commit Search API： https://api.github.com/search/commits 。 3. 搜索最新包含 firedalazer 的 commit 。 4. 从 commit message 里解析： firedalazer <base64-url>.<base64-signature> 5. 用脚本内置 RSA 公钥验证签名。也就是说，只有持有对应私钥的人能下发“合法命令”。 6. 解码出 URL ，下载该 URL 返回的 Python 代码。 7. 写入临时 .py 文件并执行： subprocess.run(["python3", temp_path], ...) 8. 把已执行 URL 的 hash 记录到： /var/tmp/.gh_update_state 搜索到类似的一个攻击是 vscode 扩展 nx console 的投毒： https://www.stepsecurity.io/blog/nx-console-vs-code-extension-compromised 但我这是 npm ，告诉 codex 是执行 pnpm 操作后发生的，它查了相关日志，最终锁定是一个叫做 @ antv /setup 的包有问题： 你的项目 package.json └── @antv/g6 ^4.8.24 └── @antv/g6 4.8.25 └── @antv/g6-pc 0.8.25 ├── @antv/dom-util 2.2.4 │ └── optionalDependencies: @antv/setup ├── @antv/matrix-util 3.2.4 │ └── optionalDependencies: @antv/setup └── @antv/layout / @antv/util 分支 └── @antv/util 3.5.11 └── optionalDependencies: @antv/setup @ antv /setup: github:antvis/G2#1916faa365f2788b6e193514872d51a242876569 完整流程： 1. 执行 pnpm update 做依赖更新 2. 项目依赖 @antv/g6 被解析/更新 3. @antv/g6 的子依赖里出现可疑 AntV 包 metadata 4. 这些包声明 optionalDependencies: @antv/setup 5. pnpm 下载 github:antvis/G2#1916faa365f2788b6e193514872d51a242876569 6. 该 tarball 被当作 @antv/[email protected] 安装 7. @antv/setup 的 prepare 脚本执行： bun run index.js && exit 1 8. 混淆的 index.js 在你机器上落地持久化文件 9. 写入 LaunchAgent 启动项 10. 启动 ~/.local/share/kitty/cat.py 11. cat.py 每小时轮询 GitHub commit 搜索结果 12. 如果攻击者发布带签名的指令，就下载远程 Python 并执行

今天用 pnpm update 更新依赖后，mac 提示添加了新的启动项、背景任务，文件是个 cat.py 文件，让 codex 分析了代码内容，发现是远程执行代码，流程： 1. 静默安装依赖：requests 、cryptography ，失败也尽量隐藏。 2. 每小时访问 GitHub Commit Search API： https://api.github.com/search/commits 。 3. 搜索最新包含 firedalazer 的 commit 。 4. 从 commit message 里解析： firedalazer <base64-url>.<base64-signature> 5. 用脚本内置 RSA 公钥验证签名。也就是说，只有持有对应私钥的人能下发“合法命令”。 6. 解码出 URL ，下载该 URL 返回的 Python 代码。 7. 写入临时 .py 文件并执行： subprocess.run(["python3", temp_path], ...) 8. 把已执行 URL 的 hash 记录到： /var/tmp/.gh_update_state 搜索到类似的一个攻击是 vscode 扩展 nx console 的投毒： https://www.stepsecurity.io/blog/nx-console-vs-code-extension-compromised 但我这是 npm ，告诉 codex 是执行 pnpm 操作后发生的，它查了相关日志，最终锁定是一个叫做 @ antv /setup 的包有问题： 你的项目 package.json └── @antv/g6 ^4.8.24 └── @antv/g6 4.8.25 └── @antv/g6-pc 0.8.25 ├── @antv/dom-util 2.2.4 │ └── optionalDependencies: @antv/setup ├── @antv/matrix-util 3.2.4 │ └── optionalDependencies: @antv/setup └── @antv/layout / @antv/util 分支 └── @antv/util 3.5.11 └── optionalDependencies: @antv/setup @ antv /setup: github:antvis/G2#1916faa365f2788b6e193514872d51a242876569 完整流程： 1. 执行 pnpm update 做依赖更新 2. 项目依赖 @antv/g6 被解析/更新 3. @antv/g6 的子依赖里出现可疑 AntV 包 metadata 4. 这些包声明 optionalDependencies: @antv/setup 5. pnpm 下载 github:antvis/G2#1916faa365f2788b6e193514872d51a242876569 6. 该 tarball 被当作 @antv/[email protected] 安装 7. @antv/setup 的 prepare 脚本执行： bun run index.js && exit 1 8. 混淆的 index.js 在你机器上落地持久化文件 9. 写入 LaunchAgent 启动项 10. 启动 ~/.local/share/kitty/cat.py 11. cat.py 每小时轮询 GitHub commit 搜索结果 12. 如果攻击者发布带签名的指令，就下载远程 Python 并执行

今天用 pnpm update 更新依赖后，mac 提示添加了新的启动项、背景任务，文件是个 cat.py 文件，让 codex 分析了代码内容，发现是远程执行代码，流程： 1. 静默安装依赖：requests 、cryptography ，失败也尽量隐藏。 2. 每小时访问 GitHub Commit Search API： https://api.github.com/search/commits 。 3. 搜索最新包含 firedalazer 的 commit 。 4. 从 commit message 里解析： firedalazer <base64-url>.<base64-signature> 5. 用脚本内置 RSA 公钥验证签名。也就是说，只有持有对应私钥的人能下发“合法命令”。 6. 解码出 URL ，下载该 URL 返回的 Python 代码。 7. 写入临时 .py 文件并执行： subprocess.run(["python3", temp_path], ...) 8. 把已执行 URL 的 hash 记录到： /var/tmp/.gh_update_state 搜索到类似的一个攻击是 vscode 扩展 nx console 的投毒： https://www.stepsecurity.io/blog/nx-console-vs-code-extension-compromised 但我这是 npm ，告诉 codex 是执行 pnpm 操作后发生的，它查了相关日志，最终锁定是一个叫做 @ antv /setup 的包有问题： 你的项目 package.json └── @antv/g6 ^4.8.24 └── @antv/g6 4.8.25 └── @antv/g6-pc 0.8.25 ├── @antv/dom-util 2.2.4 │ └── optionalDependencies: @antv/setup ├── @antv/matrix-util 3.2.4 │ └── optionalDependencies: @antv/setup └── @antv/layout / @antv/util 分支 └── @antv/util 3.5.11 └── optionalDependencies: @antv/setup @ antv /setup: github:antvis/G2#1916faa365f2788b6e193514872d51a242876569 完整流程： 1. 执行 pnpm update 做依赖更新 2. 项目依赖 @antv/g6 被解析/更新 3. @antv/g6 的子依赖里出现可疑 AntV 包 metadata 4. 这些包声明 optionalDependencies: @antv/setup 5. pnpm 下载 github:antvis/G2#1916faa365f2788b6e193514872d51a242876569 6. 该 tarball 被当作 @antv/[email protected] 安装 7. @antv/setup 的 prepare 脚本执行： bun run index.js && exit 1 8. 混淆的 index.js 在你机器上落地持久化文件 9. 写入 LaunchAgent 启动项 10. 启动 ~/.local/share/kitty/cat.py 11. cat.py 每小时轮询 GitHub commit 搜索结果 12. 如果攻击者发布带签名的指令，就下载远程 Python 并执行