之前开通48Team,主号和子号都放到CPA上用了。 主号子号都没绑手机,登上CPA后一直没掉就不管了。 Chatgpt网站两个号都正常在用,今天突然把子号封了。 于是把老的子号删了,用whatsapp接码注册了个新号,加到team里,发现codex额度也刷新了。 现在的问题是不知道下个月会收我2个号的钱,还是加多一个号的钱。 还有主号要怎么用才安全? 我看有些佬友说主号用codex席位,拉两个chatgpt席位登陆CPA,是什么原理? 感谢 11 个帖子 - 6 位参与者 阅读完整话题
没收到邮件,是不是把这个对话删了就行了 1 个帖子 - 1 位参与者 阅读完整话题
Nation 反代有被 封 的吗?测试了个 0 元试用, Nation2API 反代 不知道安全不 4 个帖子 - 4 位参与者 阅读完整话题
如题,在codex里面用5.5模型提问时,有时候会遇到这种提示,让降级到5.4,怎么办? 4 个帖子 - 2 位参与者 阅读完整话题
今天收到了甲骨文这个安全警告邮件,不知道是怎么回事?我后续该如何操作呢?不会封号吧?向各位佬友诚心请教,感谢! 1 个帖子 - 1 位参与者 阅读完整话题
据科技网站TechCrunch报道,马斯克旗下xAI公司的一名前工程师已对该公司及其母公司SpaceX提起诉讼,声称自己因提出AI安全方面的担忧而被解雇。该工程师名为德文·金(Devin Kim),他在2025年9月离开xAI。周二,他在加州法院提起了诉讼。几天后,SpaceX就将登陆公开市场,有望成为史上最大规模IPO。 Grok 诉状显示,德文·金在参与开发xAI聊天机器人Grok期间,成为公司内部推动AI安全的重要声音。 他多次批评xAI未能在Grok开发过程中优先考虑安全问题。 Grok此后也因一系列安全和行为问题遭到外界批评。诉状称,德文·金尤其担心Grok可能煽动歧视,并助长大规模杀伤性武器相关信息的传播。 “事实证明,Grok的表现印证了德文·金的担忧。该模型在网络上表现出极端仇恨和恶毒言论,甚至将自己比作希特勒。”诉状称。 该诉讼还将德文·金定位成一名举报人。他认为,xAI涉嫌无视AI安全问题,可能在多个领域构成违法行为,包括互联网监管、消费者保护、不公平商业行为以及武器和爆炸物监管等方面。 截至发稿,xAI和SpaceX尚未就此置评。 查看评论
目前了解到的有黑充pro,但是不安全,自己长期使用还是希望更安全的路子。第二个是低价team,各位佬有好用的卡台推荐吗 14 个帖子 - 12 位参与者 阅读完整话题
有人在用Hugging Face 的数据做代码安全审计方向的SFT 和强化学习吗 1 个帖子 - 1 位参与者 阅读完整话题
一位安全研究人员近日发现,近 98.5 万份护照、驾照等照片身份证明及相关个人信息,被一家为西班牙大麻俱乐部提供软件服务的公司以几乎零防护的方式暴露在公网上,任何技术水平一般的黑客都可以轻易获取。这批数据涉及来自世界各地的用户,包括约 3 万名美国访客,还有部分名人,他们在西班牙等地的大麻俱乐部登记身份信息、本人的自拍照、联系方式以及消费习惯等隐私内容,都可能已被悄然暴露。 发现这一严重漏洞的是安全研究员 Sammy Azdoufal,他此前曾披露多款扫地机、婴儿监视器和安全摄像头存在严重安全缺陷。他表示,通过简单的脚本扫描,他在互联网上发现了超过 98.5 万张身份证件照片,其中绝大部分来自西班牙的大麻俱乐部会员注册系统。这些文件被存放在极其简单、可预测的公开 URL 下,没有任何密码或访问控制,只要知道链接格式就能查看任意用户的证件图像。 这些大麻俱乐部本身并不直接运营相关系统,而是使用一家名为 Cannabis Club Systems(CCS)的爱尔兰公司提供的软件和云服务,该公司此前也名为 Nefos Solutions。CCS 为俱乐部提供销售、财务以及入场验证系统:接待人员会将用户护照或身份证照片以及自拍上传到 Nefos 的云端,以便日后快速核验身份。在传统模式下,会员每次进店都要出示实体证件,而该系统则允许工作人员通过调出云端资料进行比对,部分俱乐部还配套使用名为 PuffPal 的手机应用,通过扫描二维码加快入场流程。 然而,当 Azdoufal 对 PuffPal 应用进行反编译分析时,他发现 Nefos 的整体安全设计几乎形同虚设。应用内不仅以明文形式嵌入了 Stripe 支付平台的密钥,用户资料接口也只需修改一个数字就能访问到不同会员的完整档案,其中可能包括电话号码、家庭住址、护照信息以及个人大麻消费偏好等敏感数据。更严重的是,系统将身份证件照片保存在类似 “https://ccsnubev2.com/v8/images/{club}/ID/{user_id}-front.jpg” 的公开地址上,没有任何令牌或权限校验,而各俱乐部每天仍在以这样的方式上传约 5000 张新证件照。 Azdoufal 还发现,一个面向俱乐部的管理后台同样暴露在公网,并且俱乐部账号使用的弱密码在现代 GPU 的暴力破解下可以在数分钟内被攻破。通过 PuffPal 应用在俱乐部与会员之间的私聊消息,也被证明存在潜在泄露风险。在他看来,这种“把一整座金库的钥匙随手扔在街上”的做法,让任何有心的攻击者都能够批量窃取并转卖这些高度敏感的身份数据,对当事人造成无法预估的损害。 在媒体介入后,Nefos 终于开始采取实质行动。据 Azdoufal 在 6 月 10 日的最新测试结果,这家公司已经宣布暂时关闭 PuffPal 整套系统及其存在漏洞的 API,护照图片和个人数据目前看起来已被加固,外界已无法再通过此前的方式直接访问。公司方面表示,已向当地监管机构通报情况,将全面修复问题并承担罚款责任,同时向用户说明事件经过。 Nefos 联合创始人 Andreas Nilsen 在接受采访时称,公司已经就此次数据泄露事件与爱尔兰数据保护委员会(DPC)取得联系,这一点也得到了 DPC 发言人通过邮件的证实。Nilsen 表示,他们“必须向所有可能受影响的人发出通知”,并希望 DPC 能指导公司如何规范地履行这一义务。他同时声称,目前尚无证据显示除 Azdoufal 以外的外部人员访问过这些数据。 不过,从时间线上看,Nefos 对这起严重风险的响应明显拖延。在 Azdoufal 主动联系公司后,Nefos 迟迟未做出实质回应,直到媒体表明要报道此事五天之后才正式回复。在此期间,公司更多是在“打补丁”式地封堵局部漏洞,以避免影响业务运转,而非从根本上停止存在安全隐患的系统。 更具讽刺意味的是,今年 6 月初,当 Azdoufal 告知记者护照照片似乎已经被锁定时,记者却意外发现 Azdoufal 本人的护照图像再次在网上公开可见。原因在于,Nefos 虽暂时限制了图像访问,但并未立刻停止俱乐部使用 PuffPal 应用,而后者的客户因抱怨“图片加载不如从前方便”,促使 Nefos 再次放开了访问限制。Nilsen 辩称,在他们与研究人员和媒体沟通期间,图像大约有“70% 的时间”处于封锁状态,但事实证明公司在保护用户隐私和维护客户体验之间,明显偏向了后者。 到了 6 月 9 日,Azdoufal 又发现,尽管 Nefos 已经为护照图片等文件增加了访问令牌,用户档案中的其他数据仍处于“裸奔”状态。黑客只需在命令行中输入类似 “curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d 'user_id=[编号]&[俱乐部名]=test&language=en'” 的请求,就能获取到包括护照号码、电话、邮箱和家庭住址在内的一整套个人信息。在研究员和媒体再次提醒后,Nefos 才彻底封堵了这一接口。 面对质疑,Nilsen 在承认最终责任在公司的同时,也将部分锅甩给了外包团队。他点名一家名为 9Series 的外包公司,称其负责开发 PuffPal 应用和相关 API,而正是这些接口让大量未加保护的数据从 Nefos 的用户数据库中被直接调取至公网。截至发稿时,9Series 尚未就此作出回应。 目前,随着 PuffPal 被关闭,Nefos 正通过邮件通知各家大麻俱乐部,其会员今后将无法再使用二维码入场。不过,俱乐部仍可通过扫描会员的 RFID 卡或输入电话号码等方式,从 Nefos 服务器调用相关身份资料进行现场核验。Nilsen 强调,公司不会因为俱乐部要求就重新上线安全性不足的 PuffPal,而是在与 9Series 终止合作后,计划在未来几个月推出一款新的应用。他承诺,新系统将由独立安全研究人员进行审核,并在确认“百分之百安全”后才会重新投入使用。 根据欧盟《通用数据保护条例》(GDPR),企业在发生数据泄露后 72 小时内必须向监管机构报告,否则可能面临巨额罚款。Nilsen 也承认,公司没有在法定时限内完成披露,因此“肯定会受到某种形式的处罚”。就在上个月,一家名为 “UK Visa Portal” 的网站同样因将至少 10 万份护照及自拍照暴露在可猜测 URL 下而引发舆论关注。业内人士担心,类似事件正在不断累积,暴露出越来越多企业在处理高度敏感身份信息时的疏忽和短视,也再次敲响了数据安全的警钟。 查看评论
Anthropic 本周二正式向公众发布其最新模型 Fable,将其定位为内部高阶网络安全模型 Mythos 的“公共、受限版”,但这一产品很快在网络安全圈内引发争议。 多名安全研究人员和从业者在社交平台和社区发帖抱怨称,Fable 内置的安全护栏过于严格,几乎无法用于任何实际的网络安全相关工作。 根据研究人员的反馈,Fable 会拒绝“任何哪怕略微沾边网络安全”的请求,甚至包括看似无害的任务,例如帮忙阅读一篇博客文章。 研究人员 Valentina “Chompie” Palmiotti(现就职于 IBM X-Force)表示,Fable 会直接中止对话,并提示其安全机制已将该消息标记为涉及网络安全或生物学主题。 这些护栏的设计初衷,是防止模型被用于开发恶意软件、攻击或破坏软件系统,同时也限制其在生物学领域被滥用来辅助研发生物武器。 Anthropic 在今年 4 月推出 Mythos 时,选择通过名为“Project Glasswing”的计划,仅向少量企业和机构开放,意在借助该模型帮助保护关键软件和基础设施。 上周,Anthropic 又宣布将 Mythos 的使用范围扩展到 15 个国家的数百家机构,进一步推动这类高能力安全模型在关键行业落地。 不过,在 Fable 面向公众开放后,其“降配版”安全策略在专业用户中遭到强烈质疑,不少人认为实际体验与官方宣传存在明显落差。 长期从事网络安全工作的 Matt Suiche 表示,Fable 在判断请求是否与网络安全相关时表现得非常生硬。 他举例称,如果用户提出“编写安全代码”的需求,Fable 会倾向于将其视为网络安全工作,而非软件工程最佳实践指导,从而直接触发降级机制。 一旦触发护栏,Fable 会自动回退至能力更弱的 Claude Opus 4.8 来继续对话。 Suiche 认为,Fable 的判断逻辑看起来高度依赖关键词,“只要落在‘网络安全’语义场里的词,很容易就被安全系统拦截”。 尽管如此,Suiche 也对当前阶段的严苛设置表示一定程度理解,认为在这一早期阶段,厂商对模型施加更保守的安全阈值,在风险控制上更有保障。 他预计,随着 Anthropic 与新一代网络安全公司加深合作,这些护栏将会被不断优化和微调。 在他看来,相比一开始放得太松,导致潜在滥用风险失控,先“多拦一些”再逐步放宽限制,是更可接受的路径。 对 Fable 表达不满的不止一人。另一位研究人员在社交平台上吐槽称,“就连请求它做代码审查,也会触发安全护栏”。 有用户在 Reddit 的 Claude 相关社区分享经验,称 Fable 在面对安全审计、漏洞分析等请求时几乎“清一色拒绝”,严重影响其在专业环境中的实用性。 截至发稿时,Anthropic 尚未就这些反馈作出公开答复。 除了模型内部的自动护栏机制,Anthropic 还针对网络安全从业者设立了额外的准入程序——“网络安全验证计划”(Cyber Verification Program)。 只有通过该计划审核的用户,才能在更少限制的条件下,使用 Claude 进行网络安全工作。 类似地,OpenAI 也推出了名为“Trusted Access for Cyber”的项目,为合规的网络安全实践开放更多模型能力。 这些做法反映出前沿模型公司在推进 AI 赋能网络安全的同时,仍试图通过审核制度与技术护栏双重手段,平衡能力释放与滥用风险。 查看评论
美国网络安全巨头CrowdStrike近日警告称,中国相关黑客组织正在加大对美国科技企业的网络攻击力度,重点瞄准人工智能领域的关键资产,以缩小与美国在技术上的差距。 CrowdStrike在最新发布的一份技术威胁态势报告中指出,在过去一年中,面向科技企业、尤其是其人工智能资产的国家级定向网络攻击中,与中国有关的实体占比超过58%。 该公司在声明中表示,这些“具有中国背景的对手正在升级针对科技组织的间谍活动,以窃取其难以及时自主研发的人工智能能力和知识产权”。 报告统计的时间范围为截至3月31日的一年内。 CrowdStrike认为,美国针对中国获取先进AI训练芯片的限制措施,已经在一定程度上遏制了北京相关技术的发展步伐。 与此同时,中国本土的人工智能模型正试图在压缩运行成本的前提下,提供与国际领先水平接近的智能表现。 除了围绕人工智能技术的攻击之外,CrowdStrike还指出,中国关联的网络行动还针对东南亚部分国家的政府通信系统实施了渗透,并通过利用安全漏洞,“持续性地”保持对北美地区部分科技组织网络的访问权限。 对于上述指控,中国国家互联网信息办公室尚未对CNBC发去的传真置评请求作出回应。 今年早些时候,美国人工智能企业Anthropic和OpenAI曾公开抱怨,称一些中国公司通过“提炼”和其他技术手段,从美方技术产品中获取竞争情报,引发外界对相关行为边界是否构成“非法”或“违规”的讨论。 有分析人士当时提醒称,在全球AI竞赛加速的背景下,如何界定技术情报获取的合规边界,仍存在较大灰色地带。 近几周内,Anthropic不断对外宣传其最新Mythos模型在网络安全方面的能力,并已将该技术提供给CrowdStrike等企业使用。 本周二,Anthropic面向公众发布了这一模型的开放版本“Claude Fable 5”。 根据第三方评级机构Artificial Analysis的评估,这一模型在智能指数上的得分“几乎领先其他实验室最强模型5分”。 除了与中国有关的行动外,CrowdStrike在报告中还披露,朝鲜相关黑客组织同样试图渗透分布在北美、欧洲和亚洲的IT从业者群体,主要目的是为其政权筹集资金。 这些行动被视为当前复杂地缘政治环境下,国家级网络行为体利用技术与网络空间实现战略目标的又一表现。 报告全文: https://www.crowdstrike.com/en-us/blog/crowdstrike-2026-technology-threat-landscape-report/ 查看评论
不是,这是模型自带的吗 3 个帖子 - 2 位参与者 阅读完整话题
各位独立开发者、协作者们好! 做独立开发,每个月最期待也最关心的时刻之一,莫过于 Apple 和 Google 官方发布上个月的 财务结账单和实际打款金额 了。 为了算清每个月最终拿到手里的真实利润,我们通常会使用一些财务看板工具(如 Appfigures 等)来聚合多平台数据。但对刚起步或者小微开发者来说,它们要么 按月订阅费用昂贵 ,要么需要你将敏感的 App Store Connect API 密钥或 Google 服务账号 JSON 凭证上传到他们的第三方服务器上 。这对于重视数据主权和隐私的开发者来说,始终是一根心头刺。 为了解决这个痛点,我开发并开源了 Store Finance Desk —— 一个完全免费、100% 本地优先( Local-first )的跨平台桌面客户端(目前支持 macOS 和 Windows )。它专注于帮助独立开发者安全地在本地同步、聚合与可视化 月度官方财务报表 。 🚀 痛点解决 100% 隐私安全( Privacy-First ) 应用 没有任何第三方服务器,无需登录注册 。你配置的苹果 Issuer ID 、私钥 (.p8),以及谷歌 GCP JSON 凭证和拉取的原始财务数据,全部且仅加密存储在 你本地的设备上 。数据主权完全归你。 多平台官方财务月报并发同步 集成 Apple App Store Connect API 和 Google Cloud Storage (GCS),在后台并发静默拉取官方发布的月度财务报告。一个平台同步失败不影响另一个平台的入库。 交互流畅的财务看板 自动统计并展示:折合净收入、总收入、退款金额、退款率等 KPI 。 交互式月度趋势图,鼠标 hover 数据点可在 Tooltip 里直接看到地道的单月环比( MoM )增减。 支持多维度排行榜:国家/地区、App 别名、SKU 维度、平台、订阅周期等。 每次启动时后台静默同步最新网络全球汇率,支持 160+ 种全球货币的自由折算与自动结算。 对新手极度友好的接入引导 别名归并页面:官方账单只有一串 SKU 或 App ID ,本工具支持自定义规则,将多平台、多商品归并到统一的 App 别名名下统计,并提供双栏响应式排版和“智能自动生成模板”功能。 凭证配置页面:为 Apple 和 Google 平台提供了保姆级的参数获取路径和 IAM 权限勾选指南。 一键测试连接 :填好凭证路径后可直接点击“测试连接”,如果有权限不足、路径错误或网络问题会弹窗精准提示,无需等到同步失败才排查。 原生 10 国语言与启动自适应 原生支持简体中文、繁體中文、English 、日本語、한국어, Español, Deutsch, Français, Português, Русский 10 种语言。启动时自动识别系统 Locale 并自适应,且支持在设置中手动锁定语言。 📷 界面预览 📦 下载与开源地址 项目采用宽松的 MIT 协议完全开源,你可以直接在 Releases 页面下载打包公证好的 macOS 版本,或者由 GitHub Actions 自动构建好的 Windows 绿色版压缩包: GitHub 仓库地址 : https://github.com/greatzhai/store-finance-desk 直接下载 Releases 编译包 : https://github.com/greatzhai/store-finance-desk/releases 欢迎大家去下载试用,如果觉得有帮助,欢迎在 GitHub 给个 Star ⭐️ 鼓励一下! 有任何 Bug 反馈、或者是想要增加的功能,欢迎直接在 GitHub 提 Issue 或在贴子里留言交流,我会一直维护和跟进,谢谢大家!
跑了一下Claude最新的模型,给我整出来了一个这个,给我看的一愣一愣的 真的不愧是安全领域的专家,而且这个还是次一点的模型,官方还没有把最顶级的放出来 8 个帖子 - 6 位参与者 阅读完整话题
接到陌生人电话让我去派出所一趟,也不明说有什么事情,一开始以为是诈骗,但是对方说本地话,感觉不像骗子。 然后我就去了,民警说我们公司的网站涉黄,我一看,我说这个域名我们 2019 年就没有使用了,很多年不用了,不是我们的域名。 但是,这个域名的备案信息之前是用我们公司备案的,所以找到了我。 然后提交了一些证明,证明和我无关。公安给我下发几个通知书、整改书、网络安全知识等公文,然后喝了杯茶就回家了,茶还不错。 提醒大家,不续费的域名记得取消备案,以免给自己带来麻烦。
接到陌生人电话让我去派出所一趟,也不明说有什么事情,一开始以为是诈骗,但是对方说本地话,感觉不像骗子。 然后我就去了,民警说我们公司的网站涉黄,我一看,我说这个域名我们 2019 年就没有使用了,很多年不用了,不是我们的域名。 但是,这个域名的备案信息之前是用我们公司备案的,所以找到了我。 然后提交了一些证明,证明和我无关。公安给我下发几个通知书、整改书、网络安全知识等公文,然后喝了杯茶就回家了,茶还不错。 提醒大家,不续费的域名记得取消备案,以免给自己带来麻烦。
6 月 10 日消息,据外媒报道,Meta 正投入数十亿美元押注 AI ,但在最新一轮裁员中,开发人员和管理人员成了受影响最严重的两类员工。 上月,Meta 裁撤约 8000 个岗位。最新的一份文件,则披露了在 Meta 加州、华盛顿州大裁员中 4665 名受影响员工的岗位名称。管理人员受到的冲击最明显。在文件列出的裁员中,管理岗位超过 1400 个,占总数近三分之一,其中近半数是软件工程经理。 个人贡献型软件工程师是第二大受影响群体,裁员人数接近 1000 人。Meta 自 2023 年以来就把中层管理人员列为裁员重点。CEO 马克 · 扎克伯格当时坦言,自己不希望 Meta 形成“管理者管理管理者”的文化。裁员披露文件还显示,数据科学家也是受影响较大的岗位,共有 419 人被裁;产品管理岗位被裁 301 人。相比之下,其他岗位受影响较小,营销岗位裁员不到 100 人,销售岗位裁员不到 50 人。 对此,有网友表示:“这是件好事,为社会输送高级人才。”“IT 行业不需要这么多人了。” 原文: https://mp.weixin.qq.com/s/A0PF20-dqmPk6IAtC6vrjQ 兄弟们,怎么看?程序员送外卖都跑不过人家了吧
6 月 10 日消息,据外媒报道,Meta 正投入数十亿美元押注 AI ,但在最新一轮裁员中,开发人员和管理人员成了受影响最严重的两类员工。 上月,Meta 裁撤约 8000 个岗位。最新的一份文件,则披露了在 Meta 加州、华盛顿州大裁员中 4665 名受影响员工的岗位名称。管理人员受到的冲击最明显。在文件列出的裁员中,管理岗位超过 1400 个,占总数近三分之一,其中近半数是软件工程经理。 个人贡献型软件工程师是第二大受影响群体,裁员人数接近 1000 人。Meta 自 2023 年以来就把中层管理人员列为裁员重点。CEO 马克 · 扎克伯格当时坦言,自己不希望 Meta 形成“管理者管理管理者”的文化。裁员披露文件还显示,数据科学家也是受影响较大的岗位,共有 419 人被裁;产品管理岗位被裁 301 人。相比之下,其他岗位受影响较小,营销岗位裁员不到 100 人,销售岗位裁员不到 50 人。 对此,有网友表示:“这是件好事,为社会输送高级人才。”“IT 行业不需要这么多人了。” 原文: https://mp.weixin.qq.com/s/A0PF20-dqmPk6IAtC6vrjQ 兄弟们,怎么看?程序员送外卖都跑不过人家了吧
6 月 10 日消息,据外媒报道,Meta 正投入数十亿美元押注 AI ,但在最新一轮裁员中,开发人员和管理人员成了受影响最严重的两类员工。 上月,Meta 裁撤约 8000 个岗位。最新的一份文件,则披露了在 Meta 加州、华盛顿州大裁员中 4665 名受影响员工的岗位名称。管理人员受到的冲击最明显。在文件列出的裁员中,管理岗位超过 1400 个,占总数近三分之一,其中近半数是软件工程经理。 个人贡献型软件工程师是第二大受影响群体,裁员人数接近 1000 人。Meta 自 2023 年以来就把中层管理人员列为裁员重点。CEO 马克 · 扎克伯格当时坦言,自己不希望 Meta 形成“管理者管理管理者”的文化。裁员披露文件还显示,数据科学家也是受影响较大的岗位,共有 419 人被裁;产品管理岗位被裁 301 人。相比之下,其他岗位受影响较小,营销岗位裁员不到 100 人,销售岗位裁员不到 50 人。 对此,有网友表示:“这是件好事,为社会输送高级人才。”“IT 行业不需要这么多人了。” 原文: https://mp.weixin.qq.com/s/A0PF20-dqmPk6IAtC6vrjQ 兄弟们,怎么看?程序员送外卖都跑不过人家了吧
接到陌生人电话让我去派出所一趟,也不明说有什么事情,一开始以为是诈骗,但是对方说本地话,感觉不像骗子。 然后我就去了,民警说我们公司的网站涉黄,我一看,我说这个域名我们 2019 年就没有使用了,很多年不用了,不是我们的域名。 但是,这个域名的备案信息之前是用我们公司备案的,所以找到了我。 然后提交了一些证明,证明和我无关。公安给我下发几个通知书、整改书、网络安全知识等公文,然后喝了杯茶就回家了,茶还不错。 提醒大家,不续费的域名记得取消备案,以免给自己带来麻烦。