人员 - WWW.YOUINFO.SITE - WWW.YOUINFO.SITE

cnBeta全文版 · 2026-06-11 07:05:24+08:00 · tech

一位安全研究人员近日发现，近 98.5 万份护照、驾照等照片身份证明及相关个人信息，被一家为西班牙大麻俱乐部提供软件服务的公司以几乎零防护的方式暴露在公网上，任何技术水平一般的黑客都可以轻易获取。这批数据涉及来自世界各地的用户，包括约 3 万名美国访客，还有部分名人，他们在西班牙等地的大麻俱乐部登记身份信息、本人的自拍照、联系方式以及消费习惯等隐私内容，都可能已被悄然暴露。发现这一严重漏洞的是安全研究员 Sammy Azdoufal，他此前曾披露多款扫地机、婴儿监视器和安全摄像头存在严重安全缺陷。他表示，通过简单的脚本扫描，他在互联网上发现了超过 98.5 万张身份证件照片，其中绝大部分来自西班牙的大麻俱乐部会员注册系统。这些文件被存放在极其简单、可预测的公开 URL 下，没有任何密码或访问控制，只要知道链接格式就能查看任意用户的证件图像。这些大麻俱乐部本身并不直接运营相关系统，而是使用一家名为 Cannabis Club Systems（CCS）的爱尔兰公司提供的软件和云服务，该公司此前也名为 Nefos Solutions。CCS 为俱乐部提供销售、财务以及入场验证系统：接待人员会将用户护照或身份证照片以及自拍上传到 Nefos 的云端，以便日后快速核验身份。在传统模式下，会员每次进店都要出示实体证件，而该系统则允许工作人员通过调出云端资料进行比对，部分俱乐部还配套使用名为 PuffPal 的手机应用，通过扫描二维码加快入场流程。然而，当 Azdoufal 对 PuffPal 应用进行反编译分析时，他发现 Nefos 的整体安全设计几乎形同虚设。应用内不仅以明文形式嵌入了 Stripe 支付平台的密钥，用户资料接口也只需修改一个数字就能访问到不同会员的完整档案，其中可能包括电话号码、家庭住址、护照信息以及个人大麻消费偏好等敏感数据。更严重的是，系统将身份证件照片保存在类似 “https://ccsnubev2.com/v8/images/{club}/ID/{user_id}-front.jpg” 的公开地址上，没有任何令牌或权限校验，而各俱乐部每天仍在以这样的方式上传约 5000 张新证件照。 Azdoufal 还发现，一个面向俱乐部的管理后台同样暴露在公网，并且俱乐部账号使用的弱密码在现代 GPU 的暴力破解下可以在数分钟内被攻破。通过 PuffPal 应用在俱乐部与会员之间的私聊消息，也被证明存在潜在泄露风险。在他看来，这种“把一整座金库的钥匙随手扔在街上”的做法，让任何有心的攻击者都能够批量窃取并转卖这些高度敏感的身份数据，对当事人造成无法预估的损害。在媒体介入后，Nefos 终于开始采取实质行动。据 Azdoufal 在 6 月 10 日的最新测试结果，这家公司已经宣布暂时关闭 PuffPal 整套系统及其存在漏洞的 API，护照图片和个人数据目前看起来已被加固，外界已无法再通过此前的方式直接访问。公司方面表示，已向当地监管机构通报情况，将全面修复问题并承担罚款责任，同时向用户说明事件经过。 Nefos 联合创始人 Andreas Nilsen 在接受采访时称，公司已经就此次数据泄露事件与爱尔兰数据保护委员会（DPC）取得联系，这一点也得到了 DPC 发言人通过邮件的证实。Nilsen 表示，他们“必须向所有可能受影响的人发出通知”，并希望 DPC 能指导公司如何规范地履行这一义务。他同时声称，目前尚无证据显示除 Azdoufal 以外的外部人员访问过这些数据。不过，从时间线上看，Nefos 对这起严重风险的响应明显拖延。在 Azdoufal 主动联系公司后，Nefos 迟迟未做出实质回应，直到媒体表明要报道此事五天之后才正式回复。在此期间，公司更多是在“打补丁”式地封堵局部漏洞，以避免影响业务运转，而非从根本上停止存在安全隐患的系统。更具讽刺意味的是，今年 6 月初，当 Azdoufal 告知记者护照照片似乎已经被锁定时，记者却意外发现 Azdoufal 本人的护照图像再次在网上公开可见。原因在于，Nefos 虽暂时限制了图像访问，但并未立刻停止俱乐部使用 PuffPal 应用，而后者的客户因抱怨“图片加载不如从前方便”，促使 Nefos 再次放开了访问限制。Nilsen 辩称，在他们与研究人员和媒体沟通期间，图像大约有“70% 的时间”处于封锁状态，但事实证明公司在保护用户隐私和维护客户体验之间，明显偏向了后者。到了 6 月 9 日，Azdoufal 又发现，尽管 Nefos 已经为护照图片等文件增加了访问令牌，用户档案中的其他数据仍处于“裸奔”状态。黑客只需在命令行中输入类似 “curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d 'user_id=[编号]&[俱乐部名]=test&language=en'” 的请求，就能获取到包括护照号码、电话、邮箱和家庭住址在内的一整套个人信息。在研究员和媒体再次提醒后，Nefos 才彻底封堵了这一接口。面对质疑，Nilsen 在承认最终责任在公司的同时，也将部分锅甩给了外包团队。他点名一家名为 9Series 的外包公司，称其负责开发 PuffPal 应用和相关 API，而正是这些接口让大量未加保护的数据从 Nefos 的用户数据库中被直接调取至公网。截至发稿时，9Series 尚未就此作出回应。目前，随着 PuffPal 被关闭，Nefos 正通过邮件通知各家大麻俱乐部，其会员今后将无法再使用二维码入场。不过，俱乐部仍可通过扫描会员的 RFID 卡或输入电话号码等方式，从 Nefos 服务器调用相关身份资料进行现场核验。Nilsen 强调，公司不会因为俱乐部要求就重新上线安全性不足的 PuffPal，而是在与 9Series 终止合作后，计划在未来几个月推出一款新的应用。他承诺，新系统将由独立安全研究人员进行审核，并在确认“百分之百安全”后才会重新投入使用。根据欧盟《通用数据保护条例》（GDPR），企业在发生数据泄露后 72 小时内必须向监管机构报告，否则可能面临巨额罚款。Nilsen 也承认，公司没有在法定时限内完成披露，因此“肯定会受到某种形式的处罚”。就在上个月，一家名为 “UK Visa Portal” 的网站同样因将至少 10 万份护照及自拍照暴露在可猜测 URL 下而引发舆论关注。业内人士担心，类似事件正在不断累积，暴露出越来越多企业在处理高度敏感身份信息时的疏忽和短视，也再次敲响了数据安全的警钟。查看评论

网络安全研究人员质疑Anthropic Fable安全护栏过于严格

cnBeta全文版 · 2026-06-11 02:35:37+08:00 · tech

Anthropic 本周二正式向公众发布其最新模型 Fable，将其定位为内部高阶网络安全模型 Mythos 的“公共、受限版”，但这一产品很快在网络安全圈内引发争议。多名安全研究人员和从业者在社交平台和社区发帖抱怨称，Fable 内置的安全护栏过于严格，几乎无法用于任何实际的网络安全相关工作。根据研究人员的反馈，Fable 会拒绝“任何哪怕略微沾边网络安全”的请求，甚至包括看似无害的任务，例如帮忙阅读一篇博客文章。研究人员 Valentina “Chompie” Palmiotti（现就职于 IBM X-Force）表示，Fable 会直接中止对话，并提示其安全机制已将该消息标记为涉及网络安全或生物学主题。这些护栏的设计初衷，是防止模型被用于开发恶意软件、攻击或破坏软件系统，同时也限制其在生物学领域被滥用来辅助研发生物武器。 Anthropic 在今年 4 月推出 Mythos 时，选择通过名为“Project Glasswing”的计划，仅向少量企业和机构开放，意在借助该模型帮助保护关键软件和基础设施。上周，Anthropic 又宣布将 Mythos 的使用范围扩展到 15 个国家的数百家机构，进一步推动这类高能力安全模型在关键行业落地。不过，在 Fable 面向公众开放后，其“降配版”安全策略在专业用户中遭到强烈质疑，不少人认为实际体验与官方宣传存在明显落差。长期从事网络安全工作的 Matt Suiche 表示，Fable 在判断请求是否与网络安全相关时表现得非常生硬。他举例称，如果用户提出“编写安全代码”的需求，Fable 会倾向于将其视为网络安全工作，而非软件工程最佳实践指导，从而直接触发降级机制。一旦触发护栏，Fable 会自动回退至能力更弱的 Claude Opus 4.8 来继续对话。 Suiche 认为，Fable 的判断逻辑看起来高度依赖关键词，“只要落在‘网络安全’语义场里的词，很容易就被安全系统拦截”。尽管如此，Suiche 也对当前阶段的严苛设置表示一定程度理解，认为在这一早期阶段，厂商对模型施加更保守的安全阈值，在风险控制上更有保障。他预计，随着 Anthropic 与新一代网络安全公司加深合作，这些护栏将会被不断优化和微调。在他看来，相比一开始放得太松，导致潜在滥用风险失控，先“多拦一些”再逐步放宽限制，是更可接受的路径。对 Fable 表达不满的不止一人。另一位研究人员在社交平台上吐槽称，“就连请求它做代码审查，也会触发安全护栏”。有用户在 Reddit 的 Claude 相关社区分享经验，称 Fable 在面对安全审计、漏洞分析等请求时几乎“清一色拒绝”，严重影响其在专业环境中的实用性。截至发稿时，Anthropic 尚未就这些反馈作出公开答复。除了模型内部的自动护栏机制，Anthropic 还针对网络安全从业者设立了额外的准入程序——“网络安全验证计划”（Cyber Verification Program）。只有通过该计划审核的用户，才能在更少限制的条件下，使用 Claude 进行网络安全工作。类似地，OpenAI 也推出了名为“Trusted Access for Cyber”的项目，为合规的网络安全实践开放更多模型能力。这些做法反映出前沿模型公司在推进 AI 赋能网络安全的同时，仍试图通过审核制度与技术护栏双重手段，平衡能力释放与滥用风险。查看评论

佬们，GPT是彻底拉闸没有低价渠道了吗

LinuxDo 最新话题 · 2026-06-10 16:28:13+08:00 · tech

今天下午发现有技术人员说接口改了，低价时代结束，我看了好几家店也只有成品号了，是真的吗 9 个帖子 - 7 位参与者阅读完整话题

关于腾讯的workbuddy使用的一些问题

LinuxDo 最新话题 · 2026-06-10 13:28:02+08:00 · tech

上周腾讯的人员给我推荐使用workbuddy后，我做了一些简单的使用，目前发现好处是workbuddy对腾讯他们自己BU的产品都是MCP化了，也有比较好的一些适配，同时也内置了不少专家agent生态这块，还是得看鹅厂，不得不佩服这部分但是我遇到问题了，首先，只支持国内开源模型，实际上鹅厂内部自己的企业版，GPT、Claude这些最新的国外模型都有的，也是直接使用他们内部的额度的，但是给C端客户用的也只有一些国内的开源模型，同时额度也是有限的第二点是，我尝试接入中转站的gpt、Claude等模型，但是在MCP调度的时候频繁出问题，这些问题有佬有遇到过吗，是中转站配置的问题还是workbuddy本身的限制啊，还是挺想试试来无限额度使用这个工具的，不过我还发现一个问题，这种类似claw的工具，他们对会话的超时还是没有一个很好的限制，会出现我回复有，完全不回复任何信息的情况，这种也是在使用三方模型时遇到的 8 个帖子 - 5 位参与者阅读完整话题

非技术人员居然喜欢上了Codex

LinuxDo 最新话题 · 2026-06-09 17:30:13+08:00 · tech

以前从来没有觉得，这玩意这么好玩。现在已经能够熟练地找GitHub上的项目，然后部署，甚至于可以让它根据我的需求进行微调。下一步，我觉得可以，根据自己的需求，然后1步1步地去生成1个软件了。但是这种应该是比较吃token。等我找到更便宜或者免费的中转站之后，一定要让自己生成1个软件试一下。 2 个帖子 - 2 位参与者阅读完整话题

研究人员首次公布果蝇大脑和 "脊髓 "的完整连接组

LinuxDo 最新话题 · 2026-06-09 16:38:50+08:00 · tech

https://hms.harvard.edu/news/researchers-publish-first-complete-connectome-fruit-fly-brain-spinal-cord [!quote]+ 由哈佛大学医学院和普林斯顿大学多个实验室领导的一个大型国际团队首次公布了成年果蝇中枢神经系统神经元之间所有连接的完整线路图。这项工作发表在6月8日的《自然》杂志上，使研究人员能够开始研究大脑和身体是如何相互作用来完成行走和飞行等复杂行为的。它还有助于深入研究神经系统工作的基本原理。 https://www.nature.com/articles/s41586-026-10735-w [!quote]+ 正如基因组彻底改变了分子遗传学一样，连接组（神经元和突触的图谱）正在变革神经科学。迄今为止，拥有完整连接组的生物只有线虫 1-3 、海鞘 4 和栉水母 5 （10 3 -10 4 个突触）。相比之下，果蝇的连接组更为复杂（10 8 个突触连接），其大脑支持学习和空间记忆 6,7 ，并拥有类似于脊椎动物脊髓的复杂腹神经索 8-12 。本文报道了首个高密度重建的成虫果蝇连接组，该连接组连接了大脑和腹神经索，并利用这一资源研究了神经控制的原理。我们发现，效应神经元（运动神经元、内分泌细胞和靶向内脏的传出神经元）主要受同一身体部位的感觉神经元的影响，从而形成局部反馈回路。这些局部环路通过长程回路连接，这些回路包含上行和下行神经元，并组织成以行为为中心的模块。单个上行和下行神经元通常位于能够影响多个身体部位自主运动的位置，并与支持这些运动的内分泌细胞或内脏器官协同作用。参与学习和导航的大脑区域负责监督这些回路。这些结果揭示了一种分布式、并行化和具身化的架构，类似于工程系统中的分布式控制架构 13,14 。 1 个帖子 - 1 位参与者阅读完整话题

刷新全球纪录！我国科研人员成功研制新型高频晶体管，理论工作频率有望突破 1THz

IT之家 · 2026-06-08 21:30:55+08:00 · tech

IT之家 6 月 8 日消息，中国科学院金属研究所孙东明、刘驰团队联合多家科研单位，在高频晶体管领域取得重要突破。团队成功研制出国际上首款实现射频测试的硅-石墨烯-锗势垒晶体管，该器件刷新了垂直二维基区晶体管的截止频率纪录，并创造了晶体管电流增益的世界最高值。相关研究成果以“A high-frequency silicon-graphene-germanium barristor”（一种高频硅-石墨烯-锗势垒晶体管）为题，于近日发表于《自然 · 通讯》（Nature Communications）。这也是国际上首款成功实现射频测试功能的势垒晶体管。据介绍，随着 5G 的规模化部署与 6G 技术的前瞻性探索，物联网（IoT）、超高速传感及智能通信系统对晶体管的运行速度提出了前所未有的要求，即其截止频率需突破 1 太赫兹（THz）的关键门槛。然而，传统高频晶体管，如高电子迁移率晶体管（HEMT）和异质结双极型晶体管（HBT），其性能受限于载流子在沟道或体材料基区中的渡越时间，难以满足太赫兹频段的应用需求。近年来，利用石墨烯等二维材料作为基区的垂直二维基区晶体管虽被寄予厚望，但界面处的量子隧穿势垒和缺陷问题长期存在，导致严重的载流子散射，限制了器件的电流增益与高频性能。针对这一核心难题，联合团队提出了一种全新的器件架构，他们将晶圆级单晶单层石墨烯通过化学气相沉积外延生长于锗衬底上，再精确堆叠单晶硅膜，构筑出高质量的硅-石墨烯-锗垂直异质结构。 ▲ 高频硅-石墨烯-锗晶体管器件结构。a. 外延石墨烯晶圆；b. 器件截面示意图；c. 器件结构展开图；d. 扫描电子显微镜图像；e. 器件阵列光学图像研究团队还利用石墨烯与硅、锗界面形成的不对称肖特基势垒，并结合石墨烯的量子电容效应实现功函数调控，使得锗端的电流变化幅度远大于硅端，从而产生了 1.8×10 7 的共射极电流增益，创下目前已报道晶体管中的最高纪录。 ▲ 势垒晶体管机制和直流特性。a. 不对称肖特基势垒能带图；b. 器件输入特性；c. 器件转移特性；d. 电流增益随栅压的变化；e. 器件增益统计分析；f. 与其他材料体系晶体管的增益对标。在射频实测中，该晶体管的本征截止频率达到 132 GHz，超越了过去所有垂直二维基区晶体管的最高水平。进一步的器件建模与仿真分析表明，通过优化材料掺杂浓度、降低接触电阻及缩减寄生效应，该器件的理论工作频率有望突破 1 THz，进入太赫兹应用频段。 ▲ 势垒晶体管射频特性。a. 不同偏压下增益 H21 频率特性；b. 电流增益截止频率与偏压关系；c. 截止频率的温度依赖性；d. 不同锗掺杂浓度下截止频率分布；e. 不同器件面积的截止频率统计；f. 与其他垂直二维基区晶体管的射频性能对标。 ▲ 硅-石墨烯-锗势垒晶体管的紧凑物理模型。a. 电容模型和能带示意图；b. 截止频率随偏压的变化；c. 截止频率随掺杂浓度的变化；d. 截止频率随肖特基势垒高度的变化。该研究不仅为势垒晶体管在射频与太赫兹通信领域的应用奠定了坚实基础，也为未来物联网与 6G 传感系统的超高速信号处理提供了全新的技术路径。该项研究工作由中国科学院金属研究所的孙东明研究员和刘驰研究员主导，并与上海微系统与信息技术研究所薛忠营团队、华东师范大学高建军团队、微电子研究所汪令飞团队以及固态微波器件与电路全国重点实验室的宋旭波研究员合作完成。中国科学院金属研究所王肖月、乔梓珅和微电子所的孙绍唐为论文的共同第一作者。该项研究工作得到了国家自然科学基金、国家重点研发计划、辽宁省杰出青年基金计划等多方资助。 IT之家附论文地址： https://www.nature.com/articles/s41467-026-71447-3

ChatGPT 套餐选择

V2EX - 技术 · 2026-06-08 19:51:00+08:00 · tech