再发一个暴论,这次这个暴论更加暴论,所以我只会发在 Telegram 上,欢迎大家转发。
先给大家讲一个故事。2002 年,「ShadowCrew」与「The Counterfeit Library」合并、成为了当时美国乃至世界上最大的网络犯罪论坛,包含 信用卡盗刷、身份盗用、伪造身份证件如伪造驾照和伪造出生证明 等各种网络犯罪、并为洗钱提供便利。合并后,「The Counterfeit Library」时任管理员 Brett Johnson 暂时离开了人们的视线,由 Albert Gonzalez 正式接手了「ShadowCrew」的管理。
2003 年 4 月,美国特勤局定位并逮捕了 Albert Gonzalez,Albert Gonzalez 成为了污点证人并与美国特勤局合作、收集证据。美国特勤局架设了一个 VPN 服务,而 Albert Gonzalez 则在「ShadowCrew」论坛上大肆宣扬「你们使用的 VPN 不安全,这是有我们论坛提供的安全 VPN」并鼓励论坛成员使用这个实质上是由美国特勤局控制的 VPN 服务。
2004 年 10 月,美国特勤局「Operation Firewall」调查行动正式收网、美国联邦政府逮捕并起诉了位于美国境内的 29 名论坛注册用户,并帮助乌克兰、保加利亚、白俄罗斯、波兰、瑞典、荷兰、加拿大等国执法部门逮捕了更多论坛注册用户。其中,美国特勤局大量引用了来自蜜罐 VPN 服务的解密数据 作为证据。
从这个故事中我们可以学到什么呢?毫无疑问,时刻提防购买和使用的 VPN 或代理服务、谨防蜜罐,是一个非常明显且深刻的教训。但是我觉得,我们还可以从这个故事中学到另一个教训。可以注意到,Albert Gonzalez 在和美国特勤局合作以后,他在他所管理的「ShadowCrew」网络犯罪论坛上、头头是道地大肆污蔑当时的 VPN 协议和供应商的安全性、推荐并教授 论坛成员使用 实际上是美国特勤局架设的蜜罐 VPN,许多论坛成员信以为真,最后却被美国特勤局和其他国家的执法部门悉数逮捕。
如今,某个知名代理协议的发明者、开发者,其一意孤行的行为 与 Code of Conduct,和整个反审查社区的氛围格格不入:他在反审查社区的一些讨论串中,反复 off-topic 离题去宣扬他自己未被证实的观点;他反复攻击、污蔑反审查社区的其他成员乃至卓越贡献者、以至于被知名反审查社区驱逐;他在公共场合(IM、Disscussion)无中生有地大肆污蔑 别的协议、协议的开发者、和商业性质的代理服务提供商;如今他已经与整个反审查社区的参与者做对;与此同时他大肆鼓吹和推广 他自己发明的代理协议。
在这里,我希望大家思考一下,这个人有没有可能和 2003 年的 Albert Gonzalez 一样、实际上已经被执法部门控制。他与整个反审查社区做对的行为,正是在执法部门的指使下、阻挠反审查社区扩大成果、进一步增加他的影响力,并为执法部门和当权者未来收网而提供便利呢?
先给大家讲一个故事。2002 年,「ShadowCrew」与「The Counterfeit Library」合并、成为了当时美国乃至世界上最大的网络犯罪论坛,包含 信用卡盗刷、身份盗用、伪造身份证件如伪造驾照和伪造出生证明 等各种网络犯罪、并为洗钱提供便利。合并后,「The Counterfeit Library」时任管理员 Brett Johnson 暂时离开了人们的视线,由 Albert Gonzalez 正式接手了「ShadowCrew」的管理。
2003 年 4 月,美国特勤局定位并逮捕了 Albert Gonzalez,Albert Gonzalez 成为了污点证人并与美国特勤局合作、收集证据。美国特勤局架设了一个 VPN 服务,而 Albert Gonzalez 则在「ShadowCrew」论坛上大肆宣扬「你们使用的 VPN 不安全,这是有我们论坛提供的安全 VPN」并鼓励论坛成员使用这个实质上是由美国特勤局控制的 VPN 服务。
2004 年 10 月,美国特勤局「Operation Firewall」调查行动正式收网、美国联邦政府逮捕并起诉了位于美国境内的 29 名论坛注册用户,并帮助乌克兰、保加利亚、白俄罗斯、波兰、瑞典、荷兰、加拿大等国执法部门逮捕了更多论坛注册用户。其中,美国特勤局大量引用了来自蜜罐 VPN 服务的解密数据 作为证据。
从这个故事中我们可以学到什么呢?毫无疑问,时刻提防购买和使用的 VPN 或代理服务、谨防蜜罐,是一个非常明显且深刻的教训。但是我觉得,我们还可以从这个故事中学到另一个教训。可以注意到,Albert Gonzalez 在和美国特勤局合作以后,他在他所管理的「ShadowCrew」网络犯罪论坛上、头头是道地大肆污蔑当时的 VPN 协议和供应商的安全性、推荐并教授 论坛成员使用 实际上是美国特勤局架设的蜜罐 VPN,许多论坛成员信以为真,最后却被美国特勤局和其他国家的执法部门悉数逮捕。
如今,某个知名代理协议的发明者、开发者,其一意孤行的行为 与 Code of Conduct,和整个反审查社区的氛围格格不入:他在反审查社区的一些讨论串中,反复 off-topic 离题去宣扬他自己未被证实的观点;他反复攻击、污蔑反审查社区的其他成员乃至卓越贡献者、以至于被知名反审查社区驱逐;他在公共场合(IM、Disscussion)无中生有地大肆污蔑 别的协议、协议的开发者、和商业性质的代理服务提供商;如今他已经与整个反审查社区的参与者做对;与此同时他大肆鼓吹和推广 他自己发明的代理协议。
在这里,我希望大家思考一下,这个人有没有可能和 2003 年的 Albert Gonzalez 一样、实际上已经被执法部门控制。他与整个反审查社区做对的行为,正是在执法部门的指使下、阻挠反审查社区扩大成果、进一步增加他的影响力,并为执法部门和当权者未来收网而提供便利呢?
近日有网友发现
BiliBili 的视频(格式)广告内容也来自一些特殊的官方工作账号
此类账号具有以下特征:
1. 英文数字账号
2. 0 级小号
3. 投稿视频数量几千到几十万不等
4. 用户主页不显示任何投稿内容和动态
通过将这些官方广告工作账号加入黑名单即可屏蔽大量视频(格式)广告,缓解开屏广告/视频广告,切后台广告等
目前已知主要的广告工作账号列表如下:
https://space.bilibili.com/1042653845
https://space.bilibili.com/1055149070
https://space.bilibili.com/1075400468
https://space.bilibili.com/1148923121
https://space.bilibili.com/1152997930
https://space.bilibili.com/1188004959
https://space.bilibili.com/1208114979
https://space.bilibili.com/1227735707
https://space.bilibili.com/1252039983
https://space.bilibili.com/1257852431
https://space.bilibili.com/1302669433
https://space.bilibili.com/1356882480
https://space.bilibili.com/1430439192
https://space.bilibili.com/1627242161
https://space.bilibili.com/1642531925
https://space.bilibili.com/1655279349
https://space.bilibili.com/1720634591
https://space.bilibili.com/1743345026
https://space.bilibili.com/1798118517
https://space.bilibili.com/1806922031
https://space.bilibili.com/1817661914
https://space.bilibili.com/1826766269
https://space.bilibili.com/1859459400
https://space.bilibili.com/1919627194
https://space.bilibili.com/1926952280
https://space.bilibili.com/1956866386
https://space.bilibili.com/1957313739 (pdd)
https://space.bilibili.com/1987938455
https://space.bilibili.com/1992873935
https://space.bilibili.com/2024349971
https://space.bilibili.com/2067273601
https://space.bilibili.com/2072500476
https://space.bilibili.com/2101682498
https://space.bilibili.com/2103756604
https://space.bilibili.com/2115931056
https://space.bilibili.com/2118239887
https://space.bilibili.com/2126699792
如何找到更多广告工作账号?
Google 搜索输入⬇️
搜索结果都是广告视频及其账号
延伸阅读
https://www.zhihu.com/question/640923460/answer/1968440919704438741
赞助链接:
https://afdian.com/a/HashBrown
#BiliUniverse #BiliBili
BiliBili 的视频(格式)广告内容也来自一些特殊的官方工作账号
此类账号具有以下特征:
1. 英文数字账号
2. 0 级小号
3. 投稿视频数量几千到几十万不等
4. 用户主页不显示任何投稿内容和动态
通过将这些官方广告工作账号加入黑名单即可屏蔽大量视频(格式)广告,缓解开屏广告/视频广告,切后台广告等
目前已知主要的广告工作账号列表如下:
https://space.bilibili.com/1042653845
https://space.bilibili.com/1055149070
https://space.bilibili.com/1075400468
https://space.bilibili.com/1148923121
https://space.bilibili.com/1152997930
https://space.bilibili.com/1188004959
https://space.bilibili.com/1208114979
https://space.bilibili.com/1227735707
https://space.bilibili.com/1252039983
https://space.bilibili.com/1257852431
https://space.bilibili.com/1302669433
https://space.bilibili.com/1356882480
https://space.bilibili.com/1430439192
https://space.bilibili.com/1627242161
https://space.bilibili.com/1642531925
https://space.bilibili.com/1655279349
https://space.bilibili.com/1720634591
https://space.bilibili.com/1743345026
https://space.bilibili.com/1798118517
https://space.bilibili.com/1806922031
https://space.bilibili.com/1817661914
https://space.bilibili.com/1826766269
https://space.bilibili.com/1859459400
https://space.bilibili.com/1919627194
https://space.bilibili.com/1926952280
https://space.bilibili.com/1956866386
https://space.bilibili.com/1957313739 (pdd)
https://space.bilibili.com/1987938455
https://space.bilibili.com/1992873935
https://space.bilibili.com/2024349971
https://space.bilibili.com/2067273601
https://space.bilibili.com/2072500476
https://space.bilibili.com/2101682498
https://space.bilibili.com/2103756604
https://space.bilibili.com/2115931056
https://space.bilibili.com/2118239887
https://space.bilibili.com/2126699792
如何找到更多广告工作账号?
Google 搜索输入⬇️
site:bilibili.com intitle:别家素材
搜索结果都是广告视频及其账号
延伸阅读
https://www.zhihu.com/question/640923460/answer/1968440919704438741
赞助链接:
https://afdian.com/a/HashBrown
#BiliUniverse #BiliBili
【安全公告】1Panel远程代码执行漏洞(CVE-2025-54424)
一、漏洞概况
1Panel用于核心和代理端点之间通信的HTTPS协议在证书验证过程中存在证书验证不完整问题,导致未经授权的接口访问。由于1Panel中存在大量命令执行或高权限接口,可能导致远程代码执行。
二、影响范围
v2.0.0 <= 1Panel < v2.0.6
三、修复方案
官方已发布修复漏洞的版本更新,建议立即升级至v2.0.6或更高版本。
重要提示:主节点升级完成后,请务必进入“节点管理”页面,将所有子节点一并升级至最新版本。
一、漏洞概况
1Panel用于核心和代理端点之间通信的HTTPS协议在证书验证过程中存在证书验证不完整问题,导致未经授权的接口访问。由于1Panel中存在大量命令执行或高权限接口,可能导致远程代码执行。
二、影响范围
v2.0.0 <= 1Panel < v2.0.6
三、修复方案
官方已发布修复漏洞的版本更新,建议立即升级至v2.0.6或更高版本。
重要提示:主节点升级完成后,请务必进入“节点管理”页面,将所有子节点一并升级至最新版本。
似乎确认alist被卖了,悄无声息,在开源代码里塞私货。
alist首页技术支持为贵州某公司,贵州某公司有个 https://hutool.cn/ 的项目,也是被接手的项目,网站首页技术支持挂了个oneinstack,之前lnmp和oneinstack也是被贵州某公司拿下,难道是一伙人?
我头大了,有能力的大佬可以挖挖。
alist首页技术支持为贵州某公司,贵州某公司有个 https://hutool.cn/ 的项目,也是被接手的项目,网站首页技术支持挂了个oneinstack,之前lnmp和oneinstack也是被贵州某公司拿下,难道是一伙人?
我头大了,有能力的大佬可以挖挖。
第12届中国国际警用装备博览会5月14至17日在北京举行。公安部第三研究所参展产品包括:
对中国手机号注册的Telegram账号的监测工具。已监测7000万个账号、39万个公开群组频道、300亿条消息。展示样例包括监测群聊中的毒品交易、涉政涉港消息。
“个体极端行为的多维度智能分析”,用基于Dify的AI模型,分析购物记录、搜索历史、社媒发文,识别高风险人员。
(南华早报)
对中国手机号注册的Telegram账号的监测工具。已监测7000万个账号、39万个公开群组频道、300亿条消息。展示样例包括监测群聊中的毒品交易、涉政涉港消息。
“个体极端行为的多维度智能分析”,用基于Dify的AI模型,分析购物记录、搜索历史、社媒发文,识别高风险人员。
(南华早报)
免费领取 1 年 Google One 和 Gemini 会员,只需美国 IP,无需 edu 邮箱,点击下面链接即可领取:https://gemini.google/students
Gemini
Gemini voor studenten: je AI-studiepartner van Google
Ontgrendel de kracht van Gemini voor school en daarbuiten, van hulp bij huiswerk tot video's maken. Krijg nu meer Gemini met Google AI Pro.
OpenAI新型o3/o4-mini模型为生成内容嵌入隐形字符
OpenAI近期向付费用户推送的o3和o4-mini模型被发现会在生成文本中插入特殊Unicode字符(如Narrow No-Break Space, NNBSP, U+202F),这些字符视觉不可见但可通过代码编辑器检测。AI初创公司Rumi认为这可能是OpenAI设计的文本水印系统,但技术分析也指出可能是模型从训练数据中学到的正确排版习惯。
目前OpenAI未公开回应字符用途。若作为水印,该方法虽误判率低,但容易被简单替换移除。此前OpenAI曾测试图像元数据和文本水印技术,但因准确性问题暂停。
WinBuzzer
📮投稿 ☘️频道 🌸聊天
OpenAI近期向付费用户推送的o3和o4-mini模型被发现会在生成文本中插入特殊Unicode字符(如Narrow No-Break Space, NNBSP, U+202F),这些字符视觉不可见但可通过代码编辑器检测。AI初创公司Rumi认为这可能是OpenAI设计的文本水印系统,但技术分析也指出可能是模型从训练数据中学到的正确排版习惯。
目前OpenAI未公开回应字符用途。若作为水印,该方法虽误判率低,但容易被简单替换移除。此前OpenAI曾测试图像元数据和文本水印技术,但因准确性问题暂停。
WinBuzzer
📮投稿 ☘️频道 🌸聊天
根据官方消息平台确认,谷歌针对美国高校学生推出专项教育福利。本频道获悉,谷歌One AI Premium会员服务现已面向在校大学生开放免费申领通道,有效期将持续至2026年6月30日。
该项福利为原价19.99美元/月的付费服务,现提供完整功能包:
• 2TB云存储空间
• Gemini Advanced智能套件(基于Gemini 2.5 Pro)
• 文档类应用深度集成AI助手
• 文字转视频生成工具Veo 2
• 跨模态内容创作平台Whisk
符合条件的用户需在2025年6月30日前通过院校邮箱完成注册验证。谷歌承诺将在服务到期前通过邮件提醒用户,确保留有充足的操作缓冲期。据技术文档显示,该套餐特别强化了学术场景支持,包含NotebookLM Plus等研究辅助工具。
申请链接:https://gemini.google/students/
注:
申请门槛:
仅限美国地区针对已验证的 18 岁及以上学生
名校域名邮箱(耶鲁 麻省 剑桥 斯坦福含校友的已测)
需要非绑定大陆香港地区的支付账号
部分已经支付订单的Google One账户会受限
手机需要下载Google One APP搭配使用
优惠周期:
申请成功后15个月免费,15个月过后按照20刀每月收费
该项福利为原价19.99美元/月的付费服务,现提供完整功能包:
• 2TB云存储空间
• Gemini Advanced智能套件(基于Gemini 2.5 Pro)
• 文档类应用深度集成AI助手
• 文字转视频生成工具Veo 2
• 跨模态内容创作平台Whisk
符合条件的用户需在2025年6月30日前通过院校邮箱完成注册验证。谷歌承诺将在服务到期前通过邮件提醒用户,确保留有充足的操作缓冲期。据技术文档显示,该套餐特别强化了学术场景支持,包含NotebookLM Plus等研究辅助工具。
申请链接:https://gemini.google/students/
注:
申请门槛:
仅限美国地区针对已验证的 18 岁及以上学生
名校域名邮箱(耶鲁 麻省 剑桥 斯坦福含校友的已测)
需要非绑定大陆香港地区的支付账号
部分已经支付订单的Google One账户会受限
手机需要下载Google One APP搭配使用
优惠周期:
申请成功后15个月免费,15个月过后按照20刀每月收费
Gemini
Gemini voor studenten: je AI-studiepartner van Google
Ontgrendel de kracht van Gemini voor school en daarbuiten, van hulp bij huiswerk tot video's maken. Krijg nu meer Gemini met Google AI Pro.
【安全警报】ESP32芯片安全漏洞威胁加密资产
网络安全研究机构Crypto Deep Tech最新报告指出,搭载于多款硬件钱包及物联网设备的ESP32芯片存在关键性漏洞(CVE-2025-27840),该发现已通过技术验证并提交至国家漏洞数据库。
▌风险全景扫描
核心漏洞:芯片内置随机数生成器存在熵值缺陷,攻击者可利用该漏洞通过暴力破解推导私钥
攻击路径:远程代码执行漏洞允许攻击者伪造交易签名,恶意固件注入风险同步存在
影响范围:涉及全球超3.2亿台加密资产存储设备,覆盖部分企业级物联网控制系统
▌实证研究
研究团队在受控环境中成功复现攻击场景:耗时72小时破解存有10BTC(时价约合68万美元)的测试钱包。攻击模型显示,专业黑客组织可在48小时内规模化实施此类攻击。
▌应对建议
• 立即核查设备型号(可通过序列号在制造商官网验证)
• 采用多重签名方案分散资产风险
• 优先选择通过CC EAL5+认证的硬件钱包
• 警惕非官方渠道的固件更新
注:主流商业钱包厂商已启动供应链审查,采用定制安全芯片的设备不受此漏洞影响。开源社区项目建议暂停使用基于ESP32架构的解决方案,待补丁发布后重新评估。
📎新闻参考链接:
https://protos.com/chinese-chip-used-in-bitcoin-wallets-is-putting-traders-at-risk/
https://securityonline.info/cve-2025-27840-how-a-tiny-esp32-chip-could-crack-open-bitcoin-wallets-worldwide/
消息来源:https://t.me/appdopic/1470
网络安全研究机构Crypto Deep Tech最新报告指出,搭载于多款硬件钱包及物联网设备的ESP32芯片存在关键性漏洞(CVE-2025-27840),该发现已通过技术验证并提交至国家漏洞数据库。
▌风险全景扫描
核心漏洞:芯片内置随机数生成器存在熵值缺陷,攻击者可利用该漏洞通过暴力破解推导私钥
攻击路径:远程代码执行漏洞允许攻击者伪造交易签名,恶意固件注入风险同步存在
影响范围:涉及全球超3.2亿台加密资产存储设备,覆盖部分企业级物联网控制系统
▌实证研究
研究团队在受控环境中成功复现攻击场景:耗时72小时破解存有10BTC(时价约合68万美元)的测试钱包。攻击模型显示,专业黑客组织可在48小时内规模化实施此类攻击。
▌应对建议
• 立即核查设备型号(可通过序列号在制造商官网验证)
• 采用多重签名方案分散资产风险
• 优先选择通过CC EAL5+认证的硬件钱包
• 警惕非官方渠道的固件更新
注:主流商业钱包厂商已启动供应链审查,采用定制安全芯片的设备不受此漏洞影响。开源社区项目建议暂停使用基于ESP32架构的解决方案,待补丁发布后重新评估。
📎新闻参考链接:
https://protos.com/chinese-chip-used-in-bitcoin-wallets-is-putting-traders-at-risk/
https://securityonline.info/cve-2025-27840-how-a-tiny-esp32-chip-could-crack-open-bitcoin-wallets-worldwide/
消息来源:https://t.me/appdopic/1470