层叠 - The Cascading

AUR 大量孤儿包被投毒 近日，有大量 AUR 孤儿包被多名新注册用户接管，并增加 npm 依赖、在安装时通过安装脚本（.install）或者 pacman hook 执行 # npm install atomic-lockfile 操作以运行恶意代码。该 atomic-lockfile 包亦是于近日上传至 npm registry。 一旦安装有问题的软件包，恶意代码将以 root 权限安装并运行，收集至少包括浏览器、Shell 命令历史记录、各种应用程序中的凭据等信息，并将其上传。恶意代码也会利用 ebpf 程序隐藏自身。建议受影响的用户重装系统并重置所有网络账户密码和各类密钥、凭据。 如果 pacman.log 表明未曾安装过 npm、或者在多天以前已经卸载 npm，则应当未受影响。 用户从 AUR 安装软件时请注意审阅构建脚本。另外及时卸载从官方仓库移出的、不再需要的依赖包，比如 libgdata。 另：[archlinuxcn] 仓库中的包未受影响。感谢 chaotic-aur 的通知。 aur-general 邮件列表的相关讨论之一： https://lists.archlinux.org/archives/list/aur-general@lists.archlinux.org/thread/FGXPCB3ZVCJIV7FX323SBAX2JHYB7ZS4/ 一份供参考的分析报告： https://ioctl.fail/preliminary-analysis-of-aur-malware/

天使动漫：为升级论坛架构正招募技术人员中。 - 天使动漫是基于 Discuz! 的动漫交流论坛。 - 文章提到论坛近期受到大量攻击，并正进行系统升级以提升性能和稳定性。 tsdm39.com/~ #tsdm

VoidZero 宣布加入 Cloudflare。 VoidZero 是 Vite 系生态系统（Vitest, Rolldown, Oxc 等）背后的运营公司。 https://voidzero.dev/posts/voidzero-cloudflare #VoidZero #Cloudflare

Clash Verge Rev 贡献者添加基于设备端密钥的 in-transit 订阅加密功能；目前暂被 revert。 - 此功能曾被添加到 dev 分支中，目前暂被 revert。 - commit 中称此功能为「订阅设备绑定」 (CVD, Clash Verge Device-binding Protocol) [1]。 - 主要作用是使机场能够通过客户端公钥信息识别下载订阅的不同设备，并借此限制可下载订阅的设备数。 - 当事贡献者称设计此功能的目的是提高审查者获取到订阅信息的难度；认为这是「推进反审查」的「阵痛」。 - 用户则认为此功能无法起到预期效果，并对此功能向机场运营方提供设备数量等隐私信息表示担忧。 gh:clash-verge-rev/clash-verge-rev#7187 1. gh:clash-verge-rev/clash-verge-rev@2cb9c13/~ #ClashVergeRev

GitHub 出现数个发送质疑刷星相关 issue 的 spam 账号；现已被封禁。 内文似乎为 LLM 生成。 gh:didilili/ai-agents-from-zero#40 linksrc: https://t.me/zrj96/36133 #GitHub

Fantia 更新公告暂时撤回之前的指引更新。 twitter.com/fantia_jp/~ thread: /4867 #Fantia

作曲家田中秀和于昨日缓刑期满。 - 田中秀和是日本作曲家，曾在 MONACA 任职。有为《偶像大师》、《偶像活动》等大量企划供曲。 - 2022 年因猥亵未成年女性未遂被东京都警方逮捕。 x.com/HDKZcountBOT/~ #today

Wikimedia 解雇核心技术人士；被批反劳工。 - Wikimedia 解雇 Brooke Vibber 及 CommTech 团队；这些人大多为工会成员。 - 文章称 Wikimedia 持有充足现金流，因此解雇员工的实质目的是威胁工会组织。 - 英文维基百科及元维基的编者正组织签名行动声援被解雇员工，甚至组织罢工行动 [1]。 medium.com/~ 1. en.wikipedia.org/~ linksrc: nya.one/~ #Wikimedia

🔴 APKPure 上的 Telegram/Telegram X 最新版本是恶意软件。 - 研究者分析称其会收集用户消息记录等信息，并发送至第三方服务器。 - 本台建议 Android 用户在 Telegram 官方网站 [1] 下载 app；信誉较有保证且限制较应用商店版更少。 https://t.me/xhqcankao/29564 1. https://telegram.org/android #APKPure #Telegram

[NSFW?] Fantia 新指引提升审核要求：禁止对敏感器官只打薄码或使用黑条进行打码。 - Fantia 是日本的 fanclub 服务；用户可以付费支持自己喜欢的创作者并查看专属内容。 - 此指引于 5/19 发布。有创作者称并没有收到一如既往跟随新公告发送的邮件通知。 [1] - 起初指引要求将包含过往内容在内的所有内容在五日内（5/25 前）修正完成，否则将冻结相关内容/账号以至通报警方处理。 [2] 更新后的指引放宽了过往内容的修改时间要求，并且删除了通报警方相关的内容。 - 极短的时间窗口及严正的法律威胁引起了一些创作者的恐慌。虽然后来官方更新了指引，放宽了对旧内容进行修正的时间要求，但用户对 Fantia 的上述行为依旧感到不满。 https://spotlight.fantia.jp/news/260519_guideline 1. twitter:nadeshiko0328/~ 2. web.archive.org/~ [感谢一位订户提供消息。] #Fantia

GitHub 内部代码库被窃；原因是职员使用了带毒 VS Code 插件。 https://x.com/github/status/2056949168208552080 [感谢一位匿名订户提供消息。] #GitHub

拓竹向绕过其专有软件的开源项目开发者发送 C&D 要求，引起社区争议。 - 拓竹 (Bambu Lab) 是一家以生成 3D 打印机为其主要业务的公司。 - 用户在过去可以使用第三方软件或官方软件 Bambu Studio 向打印机提交模型信息。Bambu Studio 是开源 PrusaSlicer 的 fork，均以 AGPL 协议授权。（顺便提一句，OrcaSlicer 是 Banbu Studio 的 fork。） - 2025 年一月，拓竹发布新版固件，以安全原因使第三方软件只能透过其专有软件 Bambu Connect 及云服务连接到设备。 [1] - 在社区反馈下，拓竹后又推出 Developer Mode，允许开发者绕过其专有软件直接连接到设备，代价是停止提供客户支持。 [2] - 今年四月，OrcaSlicer 的 fork OrcaSlicer-bambulab 发布；这个 fork 利用 Bambu Studio 代码，使第三方软件无需通过 Bambu Connect 即可连接到打印机设备。 [3] - 在今年四月末，Bambu Lab 向 OrcaSlicer-bambulab 开发者发送了 Cease & Desist，以侵犯知识产权为由要求其停止开发和删除此项目。 [4] - Bambu Lab 给出的理由是 OrcaSlicer-bambulab 违反其 TOS，伪造官方客户端 User-Agent 导致云端服务稳定性下降；开发者则认为这些信息在其 AGPL 授权的代码中，因此不构成版权侵犯。 [5] - 包括 YouTube 大型硬件频道 Gamers Nexus（现时 260 万订阅者）[6] 等则声援 OrcaSlicer-bambulab，认为 Bambu Lab 是版权流氓。 1. blog.bambulab.com/~ 2. blog.bambulab.com/~ 3. consumerrights.wiki/~ 4. gh:jarczakpawel/OrcaSlicer-bambulab 5. blog.bambulab.com/~ 6. https://gamersnexus.net/fk-you-bambu-lab [感谢一位订户提供信息。] #BambuLab

巴西 iOS 用户或将能使用第三方应用市场。 当然 Apple 还是要对其中 app 的 IAP 抽成 5% 的 Core Technology Commission 的。 9to5mac.com/~ linksrc: https://t.me/ithome_full/573407 #Brazil #iOS

Google I/O 2026：反正 2026 年的科技公司发布会就是 AI 和模型发布会罢。 - Gemini 3.5 Flash 模型发布。Google 说它很强，Simon 说它很贵 [1]。有多贵？差不多是 Gemini 3.1 Pro 那么贵。 - 所谓全模态但现在是生成视频的 Gemini Omni 模型；YouTube Shorts/YouTube Create app 上可以免费用。 - WebMCP 标准发布；开发者现可使用 chrome://flags 的 enable-webmcp-testing 启用该特性，并使用 Inspector 插件基于网页提供的 MCP 与 LLM 进行对话和操作（需自带 Gemini API key）。 - Chrome DevTools for agents 发布。 - 以及大家都知道的玩意儿：Google AI 搜索、AI 图片暗水印 C2PA、 - 喔对了，Gemini CLI 会在 6/18 停止服务；Google 建议换用 Antigravity CLI。 [2] blog.google/~ 1. https://simonwillison.net/2026/May/19/gemini-35-flash/ 2. developers.googleblog.com/~ #Google

Railway 宕机；原因是账号被 Google Cloud 封禁了；现正恢复中。 https://status.railway.com/ seealso: HackerNews:48200827 #Railway #Google

Bun 的 Rust 重写现已合并。 用户可运行 bun upgrade --canary 已体验新 Bun。 gh:oven-sh/bun#30412 seealso: HackerNews:48132488 #Bun #Rust

🔴 node-ipc 新版本包含凭据收集等恶意行为。 - 涉及版本 9.1.6/9.2.3/12.0.1。 - 这些版本由一位已有权限但久未维护此包的维护者发布。 - 这已经是 node-ipc 二进宫了；上次是因为 peacenotwar。 https://socket.dev/blog/node-ipc-package-compromised thread: /3471 linksrc: https://t.me/landiansub/15345 #NodeIPC

🔴 Fragnesia：另一个 Kernel 本地提权漏洞；mitigation 和 Dirty Frag 一样。 - Mitigation 依旧是禁用 esp4/esp6/rxrpc [1]。注意这可能会使 IPSec/AFS 等组件失效。 - 影响版本范围和 Dirty Frag 一样；patch 尚未合并至 kernel。 1. gh:v12-security/pocs/~ CVE: CVE-2026-46300 thread: /4852 [感谢来自一位匿名订户的消息。] #Kernel

🔴 Fragnesia：另一个 Kernel 本地提权漏洞；mitigation 和 Dirty Frag 一样。 - Mitigation 依旧是禁用 esp4/esp6/rxrpc [1]。注意这可能会使 IPSec/AFS 等组件失效。 - 影响版本范围和 Dirty Frag 一样；patch 尚未合并至 kernel。 1. gh:v12-security/pocs/~ CVE: CVE-2026-46300 thread: /4852 [感谢来自一位匿名订户的消息。] #Kernel

🔴 NGINX http_rewrite 模块漏洞；或会导致堆溢出甚至远程代码执行。 - 漏洞的起因是 nginx 尝试将 escape 过的 URL 写入未 escape 长度的内存。 - 在 ASLR 未被开启的情况下，可以导致远程代码执行。 - 修复已于 1.30.1/1.31.0 发布。 1. https://depthfirst.com/nginx-rift 2. my.f5.com/~ CVE: CVE-2026-42945 CVSS: 9.2 (F5 Networks) Affect: [0.6.27, 1.30.0] Fixed-At: 1.30.1, 1.31.0 #nginx