Aggregator

预祝大赛圆满举办！

紧急AI供应链投毒预警！热门AI模型网关LiteLLM Python SDK遭受供应链投毒实施窃密后门攻击，SDK总下载量超4.8亿次，请速排查！

谷歌15年累计发放了8160万美元漏洞赏金

嗯，用户让我总结一篇文章的内容，控制在一百个字以内，而且不需要特定的开头。首先，我需要理解文章的主要内容。文章是关于学习道德黑客的资源推荐，提到了在线平台、免费课程、YouTube频道、书籍和认证。看起来用户可能是一个刚开始学习道德黑客的人，想要快速了解有哪些资源可用。 接下来，我要把这些信息浓缩到一百个字以内。可能需要提到主要的平台，比如TryHackMe和Hack The Box，以及一些书籍和认证。同时，要强调这些资源帮助学习者掌握基础技能和实际应用。 还要注意语言简洁明了，避免使用复杂的术语。确保总结涵盖文章的主要点：资源类型、推荐的平台和书籍、以及学习建议。这样用户就能快速获取关键信息，而不需要逐字阅读整篇文章。 最后，检查一下字数是否在限制内，并且确保内容连贯、准确。这样用户就能得到一个清晰且有用的总结。 文章介绍了学习道德黑客的多种资源，包括在线平台（如TryHackMe、Hack The Box）、免费课程（如Cisco Networking Academy）、YouTube频道（如David Bombal）、书籍（如《Web Application Hacker’s Handbook》）及认证（如CompTIA Security+和OSCP）。这些资源帮助学习者掌握网络安全基础知识并实践技能。

“码牌增量”欺诈通过真实支付体系批量构造虚假经营流水，该模式自2025年Q4快速扩张，并与信贷中介协同放大，通过率高达70%以上，已成新型骗贷手法，成为当前信贷风控需重点防范的核心风险之一。

Они летят в вечной ночи — а их луны живут так, будто звезда никогда и не нужна была.

LibreChat RAG APIにはログインジェクションの脆弱性が存在します。

根据国家信息安全漏洞库（CNNVD）统计，本周（2026年3月16日至2026年3月22日）安全漏洞情况如下

複数の三菱電機製家電製品に搭載されているRealtek社製チップ向けWi-Fiドライバには、ヒープベースのバッファオーバーフローの脆弱性が存在します。

"真相从不需要掩盖——它只是需要有人愿意花时间，把它找出来。" —— Bellingcat创始人 Eliot

那个下午，12点26分2026年3月24日，苏州，一个再普通不过的工作日下午。中午12点26分，张雪峰在公司

2026年3月，高市踏上了访美的征途，与特展开了一场被外界誉为“历史性”的会谈。01政治博弈：台海风云下的利

关注本号，每天洞见真实情报世界。当每个人都确信自己的判断是对的，灾难往往已经在路上。

Кравцов анонсировал обсуждение возрастного ограничения на смартфоны.

好，我需要帮用户总结这篇文章的内容，控制在100字以内。首先，文章主要讲的是OpenAI关停了他们的视频生成工具Sora及其API。Sora曾经因为能快速生成知名动漫角色而爆红，但后来因为版权问题被迫添加了很多限制，导致用户活跃度下降。 接着，文章提到OpenAI面临激烈的市场竞争，尤其是像Anthropic这样的竞争对手专注于文本对话和代码生成，占据了更高的市场份额。因此，OpenAI决定收缩战线，砍掉不赚钱的支线业务，把资源集中在主营业务上，比如开发者和企业业务。 此外，虽然Sora被关停了，但视频生成的需求依然很大。比如字节跳动的Seedance 2.0就很受欢迎。不过AI公司需要有足够的算力支持，并且能够盈利才能持续发展。 总结一下：OpenAI关停Sora是因为市场竞争激烈和资源有限，同时视频生成市场仍有潜力。我需要把这些要点浓缩到100字以内。 OpenAI关停视频生成工具Sora及其API，因市场竞争激烈且算力成本高昂。Sora曾因生成知名动漫角色而走红，但版权限制致用户活跃度下滑。尽管与迪士尼合作授权角色未果，OpenAI仍聚焦核心业务以提升竞争力。视频生成市场仍有需求，但需平衡算力与收益。

HackerNews 编译，转载请注明出处： 一场持续进行的钓鱼活动正针对法语企业环境，通过虚假简历投递加密货币挖矿程序和信息窃取工具。 Securonix研究人员Shikha Sangwan、Akshay Gaikwad和Aaron Beardslee在与The Hacker News分享的报告中指出：”该活动使用高度混淆的VBScript文件伪装成简历文档，通过钓鱼邮件投递。一旦执行，恶意软件即部署多功能工具包，集凭证窃取、数据外泄和门罗币挖矿于一体，实现收益最大化。” 这家网络安全公司将此活动命名为FAUX#ELEVATE。该活动的特点是滥用合法服务和基础设施：使用Dropbox存放载荷、摩洛哥WordPress站点托管C2配置、mail[.]ru SMTP基础设施外泄窃取的浏览器凭证和桌面文件。 这是典型的”离地生存”式攻击，展示了攻击者如何欺骗防御机制、悄无声息地渗透目标系统。 攻击链分析 初始投递文件为Visual Basic脚本（VBScript），打开时显示法语错误信息，诱使收件人以为文件损坏。实则高度混淆的脚本在后台运行一系列检查以规避沙箱，并进入持久的用户账户控制（UAC）循环，提示用户以管理员权限运行。 值得注意的是，脚本共224,471行中仅266行为实际可执行代码，其余均为填充的随机英文句子垃圾注释，将文件膨胀至9.7MB。 研究人员表示：”恶意软件还利用WMI（Windows管理规范）实施域加入检测，确保载荷仅在企业机器上投递，家用独立系统完全被排除。” 投递程序获取管理员权限后，立即禁用安全控制并掩盖痕迹：为所有主驱动器盘符（C至I）配置Microsoft Defender排除路径，通过修改Windows注册表禁用UAC，并自我删除。 随后从Dropbox获取两个受密码保护的7-Zip压缩包： gmail2.7z：包含数据窃取和加密货币挖矿的可执行文件 gmail_ma.7z：包含持久化和清理工具 凭证窃取组件利用ChromElevator项目，绕过应用绑定加密（ABE）保护从Chromium内核浏览器提取敏感数据。其他工具包括： mozilla.vbs：窃取Mozilla Firefox配置文件和凭证的VBScript walls.vbs：外泄桌面文件的VBScript载荷 mservice.exe：XMRig加密货币挖矿程序，从被入侵的摩洛哥WordPress站点获取挖矿配置后启动 WinRing0x64.sys：合法Windows内核驱动，用于解锁CPU完整挖矿性能 RuntimeHost.exe：持久化木马组件，修改Windows防火墙规则并定期与C2服务器通信 浏览器数据通过两个mail[.]ru发件账户（”[email protected]“和”[email protected]“，共享相同密码）经SMTP外泄至威胁行为体控制的另一邮箱（”[email protected]“）。 凭证窃取和外泄完成后，攻击链立即清理所有投递工具以最小化取证痕迹，仅保留挖矿程序和木马组件。 Securonix总结：”FAUX#ELEVATE活动展示了一场组织严密的多阶段攻击行动，将多种技术整合为单一感染链。对企业安全团队而言，该活动尤为危险之处在于执行速度——从初始VBS执行到凭证外泄，完整感染链仅需约25秒；以及对企业域加入机器的选择性瞄准，确保每台被入侵主机都能通过企业凭证窃取和持久化资源劫持提供最大价值。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

本周，互联网网络安全态势整体评价为良。

好的，我现在需要帮用户总结这篇文章的内容。首先，我得仔细阅读文章，理解其主要信息。 文章主要讲的是LG Display开始量产适用于笔记本电脑的LTPO屏幕，这种屏幕的刷新率最低可以达到1Hz。这个技术在智能手机上已经很常见了，主要是为了节省电量，延长电池续航时间。LG的目标是将这种技术应用到笔记本电脑上，同样以延长续航时间为卖点。 接着，文章提到这种屏幕可以根据使用场景自动调节刷新率，在用户阅读或处理静态内容时使用1Hz，在玩游戏或看视频时则提高到120Hz。这样可以在不同情况下优化电量使用，最多能延长48%的续航时间。 然后，文章还提到戴尔计划在2026年的XPS笔记本中使用这种屏幕，并且LG未来还会推出OLED版本。同时，中国制造商京东方也在和英特尔合作开发类似的技术。 现在，我需要把这些信息浓缩到100字以内。重点包括：LG量产LTPO屏幕、1Hz低刷新率、节省电量、延长续航、应用场景（阅读、游戏）、戴尔采用计划以及京东方的合作。 要注意避免使用“这篇文章”或“文章内容总结”这样的开头，直接描述内容即可。同时要确保信息准确且简洁明了。 LG 开始量产适用于笔记本电脑的 LTPO 屏幕，最低刷新率 1Hz 可大幅节省电量并延长续航时间。该屏幕可根据场景自动调节刷新率，在阅读时以 1Hz 运行，在游戏或视频时提升至 120Hz。戴尔计划于 2026 年在 XPS 笔记本中采用此技术，京东方也与英特尔合作开发类似技术。