Aggregator

A vulnerability described as very critical has been identified in Innomic VibroLine VLX1 HD 5.0, VibroLine VLX2 HD 5.0, VibroLine VLX4 HD 5.0, VibroLine VLX6 HD 5.0 and VibroLine VLX8 HD 5.0 up to 2.1.1387/2.1.1865. Affected by this issue is some unknown functionality of the component Configuration Handler. The manipulation results in origin validation error. This vulnerability is known as CVE-2022-50975. It is possible to launch the attack remotely. No exploit is available. Upgrading the affected component is recommended.

A vulnerability marked as critical has been reported in Innomic VibroLine VLX1 HD 5.0, VibroLine VLX2 HD 5.0, VibroLine VLX4 HD 5.0, VibroLine VLX6 HD 5.0 and VibroLine VLX8 HD 5.0 up to 2.1.1387/2.1.1866. Affected by this vulnerability is an unknown functionality. The manipulation leads to missing authentication. This vulnerability is traded as CVE-2022-50981. It is possible to initiate the attack remotely. There is no exploit available.

A vulnerability labeled as critical has been found in Innomic VibroLine VLX1 HD 5.0, VibroLine VLX2 HD 5.0, VibroLine VLX4 HD 5.0, VibroLine VLX6 HD 5.0 and VibroLine VLX8 HD 5.0 up to 2.1.1387/2.1.1866. Affected is an unknown function of the component Modbus Handler. Executing a manipulation can lead to missing authentication. This vulnerability appears as CVE-2022-50978. The attack may be performed from remote. There is no available exploit.

A vulnerability identified as critical has been detected in Innomic VibroLine VLX1 HD 5.0, VibroLine VLX2 HD 5.0, VibroLine VLX4 HD 5.0, VibroLine VLX6 HD 5.0 and VibroLine VLX8 HD 5.0 up to 2.1.1387/2.1.1866. This impacts an unknown function of the component Configuration Handler. Performing a manipulation results in missing authentication. This vulnerability is reported as CVE-2022-50977. The attack is possible to be carried out remotely. No exploit exists.

Microsoft has announced a three-phase approach to phase out New Technology LAN Manager (NTLM) as part of its efforts to shift Windows environments toward stronger, Kerberos-based options. The development comes more than two years after the tech giant revealed its plans to deprecate the legacy technology, citing its susceptibility to weaknesses that could facilitate relay attacks and allow bad

基于动态本体的多源数据合成分析关键技术研究 by ourren

更多最新文章，请访问SecWiki

A vulnerability categorized as critical has been discovered in Python Packaging Authority pip up to 25.x. This affects an unknown function of the component Wheel Archive Handler. Such manipulation leads to path traversal. This vulnerability is documented as CVE-2026-1703. The attack can be executed remotely. There is not any exploit available. It is advisable to upgrade the affected component.

A vulnerability was found in IBM Jazz Foundation up to 7.0.3 iFix019/7.1.0 iFix005. It has been rated as problematic. The impacted element is an unknown function. This manipulation causes incorrect authorization. This vulnerability is registered as CVE-2025-15395. Remote exploitation of the attack is possible. No exploit is available. Upgrading the affected component is advised.

A vulnerability was found in IBM WebSphere Application Server Liberty up to 26.0.0.1. It has been declared as critical. The affected element is an unknown function of the component ZIP Archive Handler. The manipulation results in path traversal. This vulnerability is cataloged as CVE-2025-14914. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

自上一篇jamf的报告后苹果手机间谍软件Predator中未公开的反检测反蜜罐反取证技术，该团队再发布了一篇名

Fake high-yield investment platforms are surging worldwide, promising "guaranteed" returns that mask classic Ponzi schemes.CTM360 explains how HYIP scams scale through social media, recycled templates, and referral abuse. [...]

Ученые создали 3D-карту недр Солнца.

漏洞简介MCPJam 检查器是本地优先的 MCP 服务器开发平台。1.4.2及更早版本存在远程代码执行（RCE）漏洞，攻击者可以通过发送精心设计的HTTP请求，触发MCP服务器的安装，从而导致RCE。由于MCPJam检查器默认监听的是0.0.0.0而非127.0.0.1，攻击者可以通过简单的HTTP请求远程触发RCE。1.4.3版本包含补丁。漏洞影响版本：<= 1.4.2漏洞分析前端构造攻击

Ivanti has disclosed two critical remote code execution (RCE) flaws (CVE-2026-1281 & CVE-2026-1340) in its EPMM software.

Currently trending CVE - Hype Score: 1 - A flaw was found in Keycloak Admin API. This vulnerability allows an administrator with limited privileges to retrieve sensitive custom attributes via the /unmanagedAttributes endpoint, bypassing User Profile visibility settings.

A supply chain attack on Notepad++ update process was linked to compromised hosting infrastructure

A previously unknown hacktivist group called Punishing Owl has emerged with sophisticated cyberattacks targeting Russian government security agencies. The group first surfaced on December 12, 2025, when it announced the successful breach of a Russian government security agency’s network. The attackers published stolen internal documents on a data leak site and duplicated the files on […]

The post New Punishing Owl Hacker Group Targeting Networks of Russian Government Security Agency appeared first on Cyber Security News.

Over 1,400 exposed MongoDB servers have been hijacked and wiped by hackers, who left ransom notes after exploiting weak or missing access controls. Cybersecurity firm Flare reports that unsecured MongoDB databases remain easy targets, with 1,416 of 3,100 exposed servers compromised. Hackers wiped data and left ransom notes, usually demanding $500 in Bitcoin, often using […]

一年多以前，我还对普通人炒股这种事嗤之以鼻。我觉得那就是庄家做局坑人割韭菜的玩意，钱进了股市注定会血本无归。

每当我看到身边有去炒股的人，我都会有种莫名的优越感，觉得自己才是保持清醒看透本质的聪明人。就像《创世纪》里霍景良的经典台词：“每天九点钟坐车上班，每个月也就挣那一万几千，省吃俭用玩股票，妄想一朝发财，他们根本就不知道真正的大赢家是什么人。”

同时我还极度厌恶风险，大部分的资产都集中在低风险的理财产品中（如微众银行的活期+ Plus，工资到手又上交公司了属于是）。这类产品基本不会有回撤，最多就是因为市场动荡某天收益为 0 而已。但这偶尔的收益为 0 也会让我感觉自己亏了钱，然后开始内耗。🤣

事情的转机发生在 2024 年末，受 KM 上同事的推荐，我去读了《金钱心理学》这本书。这本书主要想传达的是储蓄和复利的力量。书中虽然强调要控制风险并坚持足够长的时间，让复利发挥奇效，但并没有否定充满风险的股市，反倒是用巴菲特的例子来说明了价值投资的重要性。

这本书极大地改变了我对股市的看法，我觉得可以拿出储蓄里的一点小钱，去长期投资一些优质标的，来博取更高的收益。

2025 年的春节，我提前几天回了深圳，赶在过年放假前的工作日，去香港办了卡。具体可以看我小红书的这篇笔记。当时开了汇丰银行和众安银行两家的卡。众安是全程线上办理，上传了出入境记录后，很快就开通了。汇丰则是因为名字重名的问题，无法当场下卡，只能回去等实体卡和密码函的信件寄到家里。

最后果然不出意外的出意外了，后续我一直没能收到汇丰的信件。但因为众安银行的账户已经可以用来入金了，也就一直没管这事。去年 6 月想起来了，打电话让汇丰补发信件，又是过了好久，卡和密码总算寄到了。然而使用 App 激活时又提示出错了，最后还是去年 10 月国庆假期时，抽了一天时间去香港线下激活。但汇丰的卡也不是一点用处没有，我之前 HackerOne 是用 Wise 来收漏洞赏金的，后面改成众安银行的卡，提示打款被拒绝，再次改成绑定汇丰银行的卡，就能成功收款了。

回到正题，在办理了银行卡，并开通了长桥证券账号后，从零开始的美股冒险就此开始了！我将按时间顺序来梳理我过去 2025 年的操作与感悟。

开头叠甲

我没有任何系统性的金融知识，完全是小白水平从零开始。对股票的认知就是低点买，高点卖，然后就能赚钱。所以后面的很多观点可能并不成熟，甚至有的观点是因为幸存者偏差，不构成任何投资建议。

2 月 · 新手保护期的“索螺丝”

在关注美股以前，我曾听闻过苹果成为美股首家市值突破 2 万亿美元的上市公司的新闻，后续苹果又是首家市值突破 3 万亿美元的公司。因此想先买点苹果 AAPL 练练手。瞄准苹果开盘后的一个低点，“豪掷” 700 美元买了 3 股 AAPL。

可能是还在“新手保护期”吧，还真让我买在了当天的低点，没过多久就开始涨了，收盘时涨了 2 个点。

之后苹果连涨了好几天，直到 2 月 21 日开始回调下跌。虽然只是小跌了 0.11%，但我还是有样学样地卖出了 1 股。（手续费都 2 美元了🤣）

我在苹果这里尝到了甜头，单纯地认为股票只要找准合适的下跌时间，买入，然后等待上涨就行了。

市场很快就给我上了一课。

买入苹果的第二天，我又将目光瞄准了 TSLA 特斯拉。

我发现特斯拉在前一天 2 月 11 日下跌了 6 个点，便觉得它还会继续下跌。直接买了 20 股的 2 倍做空特斯拉。当时我觉得自己会做空股票可太帅了！别人买涨，我买跌，我就是叛逆，这太帅了！我就是大空头索罗斯！

结果就是，特斯拉在 2 月 12 日、13 日两天都在上涨，第二天甚至涨了 5.77%，填补了之前的下跌。我开始慌了，以为等后面正股跌回来就好了。这时有小伙伴告诉我，2 倍做空这种加杠杆的行为，是会有“磨损”的。

“磨损”是很简单的数学原理。我记得有这么一个笑话：给你的工资先涨薪 10% 再降薪 10%，与先降薪 10% 再涨 10%，到手都是亏了的。

因为 1 * 1.1 * 0.9 = 0.99，而乘法满足交换律，所以前后相同的乘数，不管是先涨后跌还是先跌后涨，最后的总数都是减少的。而杠杆又放大了这个比例，这就是 “磨损”。2 倍做空亏损后，正股需要超过之前的跌幅，才能开始回本。

第一次意识到还有这种风险，我吓得果断选择了全部清仓。前后亏损了 60 多美元。这次教训之后，我就不太敢做空了。甚至一段时间内都没再碰过特斯拉的股票。当然，站在上帝视角回看，后面发生的事情我们都知道了—— 2025 年 3 月，特朗普发动关税战，美股股灾。如果我的 2 倍做空特斯拉能拿到 3 月，确实能狠狠赚一笔。

可惜，没有如果。

在特斯拉这里栽了跟头后，我又去关注了下英伟达 NVDA，买入了 5 股。这次因为持有的是正股，我也就不那么慌了，想着一直拿着就好，跌了就补补仓。

然而我对“补仓”这一行为，也没有概念。

我以 141.40 的价格买入了 5 股英伟达，买入的 8 分钟后，股价跌了 1 美元，为 140.40。 然后我就想：股票下跌，是时候该加仓了！ 以 140.40 的价格马上买了 2 股。过了 40 分钟，又跌了 1 美元到 139.00，我又买了 3 股！过两天发现跌了 2 美元到 137.00，我又买了 3 股。4 个小时后跌了 3 美元，我又补了 1 股。

当时的我对于涨跌的幅度以及每次下单时券商收取的手续费完全没有概念，看到股价跌了一点就补，导致总体成本也没降下去，白白损失了手续费。后来跟我爸聊起这事，他才纠正我，让我在英伟达每次跌幅超过 10 美元时，才选择加仓，后续涨了 10 美元时，就卖出。

3 月 · 已经没有什么好害怕的了

我按照爸爸的建议，在 3 月 3 日英伟达距离我上次买入价跌了 10 美元时，以 112.80 的价格买入 10 股英伟达。

然而 3 月特朗普发动关税战，对我国征收高达 145% 的离谱关税。面对英伟达股票连续几天的下跌，在 3 月 11 日的时候我终于忍不住了，选择购买英伟达 2 倍做空 NVD 来进行对冲，降低亏损。是的，我又开始加杠杆做空了。好巧不巧，英伟达从那天开始上涨修复了！最终给我成功搞成了不管英伟达股票上涨还是下跌，我两头都挨打的局面。😅

在买入 NVD 的 4 个小时后又匆匆卖出了，又亏损了 60 多美元。

好消息是，10 美元买入卖出的策略初见成效。

在英伟达上涨了 8 美元，我卖出了 10 股。后面跌了 10 美元，我又以 110 美元的价格接了回来。跌到 100 美元时，又继续补仓。后续涨到 111、120、130 时再分批卖出。这波操作稳稳的降低了我的持仓成本，实打实赚到了钱。

现在回头来看，我愿称之为“反向马丁策略”。“马丁策略”也就是倍投策略，即赌博时每次翻倍下注，赢一次就能回本且赚钱。马丁策略的问题在于，每输一次，下次需要押注的金额呈指数上涨，除非资金量无限，否则多输几次很快就破产了。

而我跌 10 块买入，涨 10 块卖出的方法，实际上是相反的。我算了下，在英伟达股价 110 美元的时候，它跌 10 块我买 10 股，哪怕它跌到 0 元，我要付出的本金就是：((100 + 10) * 10 / 2) * 10 = 5500 美元。这个金额是确定的，哪怕英伟达破产退市股价为 0，我也只投入了 5500 美元。如果真有那一天，那显卡估计也不值钱了，我可以白菜价买 RTX 5090，想想也不亏。

英伟达涨了，我赚钱；英伟达跌了，我可以低价买卡。正反都是我赢，好！

经历了这次股灾之后，我总是会想：“我经历过 86 块钱的英伟达，所以已经没有什么好害怕的了。”

4 月 · 刀口舔血

4 月除了继续在英伟达上微操之外，我还铤而走险去买了 NVD 和 UVIX。

4 月 17 日盘前，在公司吃完饭时，我看到新闻说老黄突然来北京谈合作了。没多想就买了 10 股 2 倍做空 NVDA。开盘后英伟达居然真的下跌了，两倍做空涨了 3 美元后我寻思差不多了，赶紧卖出，小赚一点点。

4 月 29 日睡觉前，我看到消息说特朗普将于美国时间 4 月 29 日发表百日施政讲话。我寻思特朗普这次肯定又会口无遮拦乱说话，怕不是又要带崩股市。所以睡前买了 20 股 2 倍做多恐慌指数期货 UVIX。第二天晚上去找 C 老板吃饭时，发现股价真的开始下跌了，UVIX 涨直接了 15%！我在开盘后的高点迅速卖出，小赚了一笔。但事后再看，还好当晚赶紧卖出了，从那之后 UVIX 就一直在下跌，如果没卖就彻底被套住了！

以上两次操作虽然都赚钱了，但我很清楚这些都是靠运气赚到的，所谓的看消息面只是我的一厢情愿。 技巧一点没有，只是被我蒙对了。

6 月 · 看不懂的不碰

5 月份上半月沉迷 MyGo 和 AveMujica，下半月去东京玩了一圈，美股基本没什么操作。

时间来到 6 月，稳定币发行公司 Circle 于 6 月 5 日在纽交所上市，发行价为每股 31 美元。说实话，我对币圈一直是比较抵触的，在我的认知里，普通人玩币迟早有一天会爆仓完蛋。而我又不知道稳定币到底是个什么玩意，觉得应该也是币圈的东西，最好不碰为妙。

但 Circle CRCL 上市第一天，股价上涨 140+% 来到了 80 多美元。我试探性地挂了 79 元买入 10 股的单，快收盘时成交了。第二天睡醒一看，夜盘直接涨到了 89 块，我赶紧选择卖出，一晚上就赚了 100 美元。

当天开盘后 CRCL 股价一度冲上了 120 美元，后面甚至连涨一周多，最高点股价接近 300 美元。但是我对于这次踏空并不后悔，稳定币完全是我认知以外的东西，我并不清楚它的来龙去脉和运作原理，能赚到钱纯属跟对了风口。对于自己看不懂的东西，我坚定地选择不去碰为好。

说来也是有意思，CRCL 从 7 月之后就一直下跌，期间虽然有小的修复，但整体趋势还是向下的。最近比特币价格一直下跌，CRCL 的股价一度跌到了 62 块。现在回看，庆幸还好当时跑了，并且再也没碰过。

我怀疑散户因为这次 CRCL 上市的涨幅，对后面上市的知名公司，都有了迷之信心。对，我要说的就是被称为 2025 年最受关注的科技股 IPO：Figma FIG。Figma 作为平面 UI 设计的绝对独角兽，还曾拒绝了 Adobe 的收购，我估计很多人会将 Figma 的上市看做下一个 Circle。

Figma 上市当天确实上涨了超过 300%，很多人觉得它会像 Circle 那样连涨 7 天，所以纷纷高位进场。谁曾想 Figma 在第 4 天就破发了。往后更是一路下跌，发财报也不亮眼。我当时也在想要不要买点试试，最后因为价格太高没买成，还好还好。

7-9 月 · 名为火箭的噩梦

由于我在 Circle、英伟达、特斯拉、CloudFlare 上数次投机成功，赚了点钱。我开始有点飘了，7 月时买入了小盘股 Destiny Tech 100 DXYZ，长达 3 个月的噩梦就此开始了。

Destiny XYZ 并不是一家常规的科技公司，它是一家资产管理公司。Destiny Tech 100 是一个包含 100 家待上市的顶级科技公司的投资组合。DXYZ 持有这些未上市公司的股票，包装为投资组合，目的是让普通人也能参与私募市场的投资。投资组合中占比最大的就是 SpaceX，因此 DXYZ 常被当做 SpaceX 或者私人航天火箭相关的标的进行投资。

我以 35.25 的价格买入了 DXYZ，随后的两个月内它基本一直在下跌，很少有涨的时候。SpaceX 星舰的发射也屡屡受挫，消息面上也带不动股价的上涨。我很难再重复之前在英伟达上的操作，来不断买入卖出降低成本。到 9 月底的时候，它的股价已经跌到了 25 美元左右。

一开始我还只是嘴上抱怨咋买了这么个垃圾股票，后来逐渐发展成了自己吓自己。我开始在推特上搜索网友关于 DXYZ 的评论，有人说他市盈率过高，有人说这就是一个把股东当 ATM 的骗钱玩意。我发现这股票没有期权，无法做空、往期财报刚好赶在行情好的时候发布、创始人的上一家公司经营的也不好。我还找到了创始人的 Linkedin 和 GitHub，发现他的 GitHub 比脸还干净。

这些消息让我逐渐对 DXYZ 丧失信心，时间来到 9 月底，我决定想办法赶紧回本然后跑路。

经过很多天的观察，我发现 DXYZ 这种成交量很少的小盘股，虽然每天盘中都是在下跌。但每天北京时间早上八九点，夜盘开始时，总会出现几个比当前股价高 2-3%涨幅的买入单。我也不知道这是哪来的大冤种，每到夜盘就花高价买入。后续有人跟我说是做市商，我寻思这做市商人还挺好，说不定我能趁机将成本降下去。

我的计划是这样的：DXYZ 每次盘中快收盘时，往往是股价最低点，这时候使用券商融资大笔买入 100 股，等到夜盘涨了 2-3% 的时候顺势卖出。每天不断这样操作，既没有融资的利息，又可以不断降低成本。我在 9 月底连着 3 天都这样操作，每天都盯盘盯的很晚，心里总是不踏实，每晚睡觉做梦都是 DXYZ 涨了或者跌了。在后来长桥的年度总结里，我有天打开 App 看了上百次 DXYZ。

我连着 3 天都成功盘后低价买入，夜盘高价卖出。甚至有一天的夜盘，要是我再晚 5 分钟卖出，股价还能涨更高，那个时候恰好就能解套了。但我忽略了一件事，虽然我每天 100 股的买入卖出，确实赚了钱，但我原来持有的 30 股 DXYZ，却一直没有动，那 30 股还是随着每天股价的下跌而亏钱，一来一回，我的总成本并没有降低多少。我一开始就应该卖出那 30 股的！

意识到这一点的时候，已经是第 4 天了，这天不出意外翻车了。DXYZ 并没有按我设想中的那样在夜盘有个上涨，我一直等到了当天开盘也没有出现。开盘后，股价还是照常下跌，此时我手握 160 股的 DXYZ，稍微的一点跌幅，亏损都会被放大很多。我直接慌了，最后以 22.70 的价格将手上的 DXYZ 股票全部卖出。

至此，我在 DXYZ 上亏了有 170 美元左右。但我心中的石头落地了，我终于可以睡个好觉了。

那是 9 月的最后一天，DXYZ 在我卖出后还在不断下跌，此时我的心里只有劫后余生的庆幸。

但这还并不是故事的结尾，经历了长达数月的下跌后，在我清仓后的第二天，10 月 1 日，DXYZ 暴涨 31.78%！

没有任何理由，没有任何新闻，它就是涨了，在我卖出后涨了。

如果我当时能再多坚持 24 小时不卖出，等到第二天开盘时，我就能狠狠地赚上一笔了。

这件事之后，我再也不碰小盘股了。

10-12 月 · 欲速则不达

经历了 DXYZ 之后，我开始转向保守型投资了。后面买了美股七姐妹 ETF $MAGS 和纳斯达克指数 ETF $QTOP。这些标的跟着大盘走，收益虽然低，但稳定且可控。

在年初刚开始时，长桥有一个买期权送卡券的活动。这是我唯一一次碰期权，象征性地买了 2 张还有 14 天到期的英特尔 INTC Put 看跌期权，过了几天涨了 0.01 元后卖出，赚了 2 美元。但是算上手续费后，整体其实是亏的。这导致在我 App 的盈亏分析排行榜中，有个几块钱的英特尔的亏损，让人看着不爽。我寻思可以买点英特尔正股，随便赚一点把这个亏损的数给填上。

我在 10 月底英特尔大涨 5% 后的第二天回调开始建仓，成本 41.77，挺高的。后续英特尔持续下跌，但我认为这支股票已经和美国政府的利益捆绑在一起了，可以说像是波音公司一样，是美国的亲儿子，后面特朗普随便发表点暴论，立刻就能涨回来。

后续连着跌了几天，我在 38.32 时又补了点。然而 11 月底时，由于美国政府停摆 + 降息预期下降，科技股在那段时间都有不同程度的下跌。这其实是绝佳的抄底时刻，可惜我在前面的补仓中已经打光了子弹，手头还握着 MAGS 和 QTOP，实在没有闲钱加仓。因为不确定这波下跌周期会持续多久，也不敢冒然去融资。只能静静等待。

当然英特尔也算争气，11 月 28 日传出英特尔成为苹果供应商的消息，大涨 10%。（英特尔：嘿嘿，又要到饭了）12 月 2 日又大涨 8%，创年内新高。我看赚得也差不多了，分批全卖掉了。好巧不巧卖掉之后英特尔就开始下跌了，但我也没选择继续接回来，英特尔好几次大涨都是因为传出又与某某公司合作的消息，要到饭了所以股价涨了，我认为长期来看这很不健康。

虽然之后 1 月英特尔破新高涨到了 54 元，你可以理解为我又踏空了，但跟 Circle 一样，我只想赚自己认知内该赚的钱。

值得一提的是，我前几次都在赌英伟达的财报，每次财报发布前买一点，然而每次财报发布后都是下跌的行情，过了一阵子才涨回来。因此英伟达 11 月份的财报我决定不赌了，肯定又是下跌的剧情，等跌的差不多了我再来抄底！

然而财报发布后的当晚开盘，英伟达股价居然没有下跌。我以为是自己的判断出了问题，说不定英伟达这次财报跟之前都不一样，这次是要涨了呢？我赶紧以 194.80 的价格开始建仓，谁知到了盘中后半夜，英伟达急速下跌，当天直接跌了将近 8%！老黄都站出来表示不理解，英伟达保持了这么好的增长业绩，为什么市场还不买账？

是啊，我也疑惑，为什么市场还不买账？但没办法，既然被套住了，那就只能想办法解决了。我继续按照 3 月的策略，在盘后跌到 180.20 时补了一点降低下成本。之后就是长达一个多月的横盘，但我不急，我坚信英伟达会涨回来的。我之前买 DXYZ 都被套了 3 个月，就算被英伟达套 3 个月又有什么可怕的呢？

等到 1 月 6 日，英伟达开盘股价站上 192 时，我知道时间来了，卖出了 180.20 时加仓的部分。横盘了一个多月的英伟达，这天快收盘时果不其然地又跌回去了，我又在低价给接回来了。做了一个还算完美的 T。

现在我的英伟达持仓成本已经降到 186 左右了，但我不甘心就这样卖掉。因为浪费了快两个月的时间成本，我很想等到它重回 200 时再卖。

1 月 · 运气投机者

1 月的某天中午，我在公司午休刚睡醒。看到台积电发布了财报，财报内容远超预期。我立刻融资买入，当天晚上开盘后台积电 TSM 涨了将近 7 个点。我在开盘后的第一个高点全部卖出。完美的一次日内融空手套白狼。

1 月 29 日，我看特斯拉跌了 3 个点，从开盘 437 美元最低跌到了将近 415 美元，盘中慢慢又涨回去了。按照我对特斯拉这种“妖股”的理解，它每次大幅下跌后，第二天都会快速修复，可能这就是马斯克信徒的力量吧。我抱着试一试的想法，挂了个 416 元的单。第二天一觉醒来后发现居然成交了！当天晚上果然上涨了 5 个点，由于时间已经临近周五，再加上我这次又是靠融资买入的，害怕周末夜长梦多，万一特朗普又发疯说了什么话，周一大跌就完蛋了。索性周五在高点卖了，又是小赚一笔，成功把特斯拉的持仓成本降低到了 400 以下。

我爸后来叮嘱我，让我不要再去碰融资融券这些东西。用自己的钱，做确定的买卖，最多也只是全部亏光，融资则是亏完后还倒欠别人的钱。我也开始有意识的去改正，由于大盘最近一直不是很景气，我清仓了手上的 QTOP，准备多留些子弹去布局其它标的。

总结

这是我从零开始炒美股的第一年，最终也是获得了将近 30% 的年收益率。

期间有过像 CRCL 这样的靠运气大赚，也有像 DXYZ 这样的靠认知大亏。赚钱的时候我会沾沾自喜，觉得跑赢纳指也不是什么难事嘛。亏钱的时候，我才意识到巴菲特能在半个世纪的时间里，穿越周期并保持冷静是多么厉害。3 月的时候传出了巴菲特卖出苹果的消息，当时我跟很多人一样，觉得是这老头跟不上时代犯糊涂了，后面随之而来的股灾让我说不出话了。

美股也让我被动去关注很多地缘政治信息、国际新闻、财经常识等。我开始知道美联储是啥，降息意味着什么，鲍威尔的 Good Afternoon 段子，ETF 是什么……

美股破产四巨头：期权、小盘股、中概、做空。

在未来的日子里，我要时刻提醒自己，不要去碰期权。买卖期权在我看来就是赌博，期权就是资本重点收割的对象。同时我的脑子也理解不来那些复杂的期权策略，这里面的钱不该我赚。

近半年来，网上关于使用大模型炒股的项目和比赛层出不穷。我也曾尝试过从零 Vibe Coding 一个大模型炒股程序，但最终还是弃坑了。一方面是觉得大模型炒股这件事并不靠谱；另一方面，我想把炒股当做一个闲暇时间的兴趣爱好，就像有的人喜欢钓鱼一样。他们并不会用机器或者 AI 去替代人工钓鱼这件事，因为个人的实际参与，才是这件事真正有意义的地方。我希望自己去关注，去按自己的思考下单买卖，大模型最多给我提供资讯方面的情报，它不应该替我执行决策。

最后再打个广告，本文中的可交互股票图表组件，使用的是我编写的 Hugo 股票图表插件 hugo-trading-chart。实现思路很简单，先从长桥的 API 抓取历史 K 线，再使用 TradingView 开源的 Lightweight Charts 组件绘制图表。数据抓取的部分是手写的，其余的前端全是 Vibe 出来的🤣，欢迎 Star~

Теперь любая парковка у секретного штаба считается серьёзным инцидентом.