标题: MiniMax 也崩了：529 服务器高负载
作者: #waltcarter
板块: #开发调优
编号: 1937815
帖子: https://linux.do/t/topic/1937815
时间: 2026-04-10 15:23:24
摘要:

下午跑任务，MiniMax 突然报 529：

Error: 529 The server cluster is currently under high load. Please retry after a short wait and thank you for your patience. (2064)

之前 GLM 挂了，现在 MiniMax 也倒了。
结论：别把鸡蛋放一个篮子里，多备几个 API 方案才是王道。

标题: 所以mcp被什么替代了？
作者: #sleep
板块: #搞七捻三
编号: 1937819
帖子: https://linux.do/t/topic/1937819
时间: 2026-04-10 15:24:07
摘要:

所以mcp被什么替代了？为什么会被替代呢？

标题: 奥特曼刚刚拉闸了吗？
作者: #Eitan
板块: #资源荟萃
编号: 1937822
帖子: https://linux.do/t/topic/1937822
时间: 2026-04-10 15:24:28
摘要:

14点半的时候三个公益站都还能正常用，15点试了一下全挂了，咋会同步挂掉呢

标题: OpenCode部署边界的思考
作者: #YMsora
板块: #开发调优
编号: 1937823
帖子: https://linux.do/t/topic/1937823
时间: 2026-04-10 15:24:29
摘要:

OpenCode部署边界的思考
关于应用模式导致的边界问题的思考，
我们知道很多是有方便本地用户而设置的默认功能，服务就会省略鉴权等等的功能
很多时候在服务配置边界不明确的情况下，对于鉴权是极其宽松的
在我审计opencode的边界时，尤为感受深刻。
在opencode的server，web模式下启动的时候，会默认bind到4096端口
function createOpencode() {
  const host = "127.0.0.1"
  const port = 4096
  const url = `http://${host}:${port}`
  const proc = spawn(`opencode`, [`serve`, `--hostname=${host}`, `--port=${port}`])
  const client = createOpencodeClient({ baseUrl: url })


这种场景下的SSRF显得尤为危险，虽然默认绑定的是127.0.0.1，但是如果未默认直接起的服务就会暴漏以下
        .route("/project", ProjectRoutes())
        .route("/pty", PtyRoutes())
        .route("/config", ConfigRoutes())
        .route("/experimental", ExperimentalRoutes())
        .route("/session", SessionRoutes())
        .route("/permission", PermissionRoutes())
        .route("/question", QuestionRoutes())
        .route("/provider", ProviderRoutes())
        .route("/", FileRoutes())
        .route("/mcp", McpRoutes())
        .route("/tui", TuiRoutes())

绑定的端口在检查query是否为字符串之后就可以直接访问了，这里列举两个高危的接口
看看FileRoutes的接入
列举两个高危接口做下示范
  new Hono()
    .get(
      "/find",
      describeRoute({
        summary: "Find text",
        description: "Search for text patterns across files in the project using ripgrep.",
        operationId: "find.text",
        responses: {
          200: {
            description: "Matches",
            content: {
              "application/json": {
                schema: resolver(Ripgrep.Match.shape.data.array()),
              },
            },
          },
        },
      }),
      validator(
        "query",
        z.object({
          pattern: z.string(),
        }),
      ),
      async (c) => {
        const pattern = c.req.valid("query").pattern
        const result = await Ripgrep.search({
          cwd: Instance.directory,
          pattern,
          limit: 10,
        })
        return c.json(result)
      },
    )

对于query只是检查了是否是字符串，就直接push进了pattern，看看search的逻辑
  export async function search(input: {
    cwd: string
    pattern: string
    glob?: string[]
    limit?: number
    follow?: boolean
  }) {
    const args = [`${await filepath()}`, "--json", "--hidden", "--glob='!.git/*'"]
    if (input.follow) args.push("--follow")

    if (input.glob) {
      for (const g of input.glob) {
        args.push(`--glob=${g}`)
      }
    }

    if (input.limit) {
      args.push(`--max-count=${input.limit}`)
    }

    args.push("--")
    args.push(input.pattern)

    const command = args.join(" ")
    const result = await $`${{ raw: command }}`.cwd(input.cwd).quiet().nothrow()
    if (result.exitCode !== 0) {
      return []
    }

对于${{raw : xxxx}}是不会经过任何转义的，并且还拼接了args，也就把pattern也拼进去了
这样如此便RCE，可以继续连接自己服务器进行进一步混淆和持久化操作
第二个是
.get(
      "/find/file",
      describeRoute({
        summary: "Find files",
        description: "Search for files or directories by name or pattern in the project directory.",
        operationId: "find.files",
        responses: {
          200: {
            description: "File paths",
            content: {
              "application/json": {
                schema: resolver(z.string().array()),
              },
            },
          },
        },
      }),
      validator(
        "query",
        z.object({
          query: z.string(),
          dirs: z.enum(["true", "false"]).optional(),
          type: z.enum(["file", "directory"]).optional(),
          limit: z.coerce.number().int().min(1).max(200).optional(),
        }),
      ),
      async (c) => {
        const query = c.req.valid("query").query
        const dirs = c.req.valid("query").dirs
        const type = c.req.valid("query").type
        const limit = c.req.valid("query").limit
        const results = await File.search({
          query,
          limit: limit ?? 10,
          dirs: dirs !== "false",
          type,
        })
        return c.json(results)
      },
    )

依旧query原样检查字符串后直接拼入，看看file search逻辑
  expor

标题: 请教个事，“蒸馏”同事，这个到底是玩笑，还是真事啊？
作者: #demotoo
板块: #搞七捻三
编号: 1937826
帖子: https://linux.do/t/topic/1937826
时间: 2026-04-10 15:25:08
摘要:

最近老是看到一些新闻和短视频那这个题目讲段子，就是不知道是真段子，还是假段子呢。
我一直很好奇，现在的基座模型也没那么强啊，所有的skill无非就是给基座模型套个嚼子，好牵着基座模型朝着自己想要的方向去进行内容生成而已，咋滴，真把同事给蒸馏成skill就能完全取代同事了？
更搞笑的是，还看到有新闻说把张雪峰做成skill的，他做的事情如果这么简单就被AI取代的话，那他这每年过亿的收入也太好赚了吧。
总之，我的观点就是AI离能替代正常人的工作还差了20%呢，但这20%就跟可控核聚变的50年一样，至少短期内都是一直摸不着的。有佬有不同观点吗？

标题: 家人们京东以旧换新靠谱吗？
作者: #Gemini什么时候出3.0
板块: #搞七捻三
编号: 1937831
帖子: https://linux.do/t/topic/1937831
时间: 2026-04-10 15:25:41
摘要:

我这MacBook Air m1预估价1600左右，以旧换新+教育优惠+国补说给我预估价是4000，能安全下车吗？

标题: 一种新型的诈骗方式！
作者: #sun
板块: #搞七捻三
编号: 1937836
帖子: https://linux.do/t/topic/1937836
时间: 2026-04-10 15:26:21
摘要:

来都来了，大家不骂几句嘛？什么时候要20字了

标题: 新人：想买40寸显示器，DellU4025QW和LG40U99A选哪个
作者: #yuanyuan
板块: #搞七捻三
编号: 1937853
帖子: https://linux.do/t/topic/1937853
时间: 2026-04-10 15:29:14
摘要:

如标题，日常搞代码看文章用，几乎不玩游戏偶尔看电影。决赛圈了各位，戴尔和LG显示器上哪个？有用过的老登吗？

标题: Copilot试用
作者: #正佳
板块: #搞七捻三
编号: 1937860
帖子: https://linux.do/t/topic/1937860
时间: 2026-04-10 15:29:40
摘要:

随机地址，国内万事达卡，小号（duck别名）过了试用。请问可以直接在github取消试用吗，还是要快过期了再取消；另外小号如果被封，能在万事卡端取消订阅服务吗，还是说很麻烦

标题: 原来gemini pro学生会员不止一年
作者: #诚恳是良药
板块: #搞七捻三
编号: 1937863
帖子: https://linux.do/t/topic/1937863
时间: 2026-04-10 15:30:18
摘要:

一直听大伙们说一年会员，心想着自己的会员好像快到一年了，正想着之后是不是得准备买个gpt plus续上自己的网页端助手，结果点进gemini发现到8.16才过期！
开通日期是去年5.16，算一下那就是15个月，比我预想的多了三个月，爽歪歪呀

标题: minimax 发布了 MiniMax Music 2.6
作者: #云馨
板块: #前沿快讯
编号: 1937864
帖子: https://linux.do/t/topic/1937864
时间: 2026-04-10 15:30:25
摘要:

MiniMax
  

  
    

MiniMax Music 2.6：我们想讲四个人的故事



  

  
    
    
  

  


看起来可以更懂你，更懂情绪的渲染，还可以修改风格。
尤其是可以基于音频创作了。这个我前段时间在寻找的嘞，当时还以为只有suno才有

标题: 求助GPT Business 问题
作者: #HeQi998116
板块: #搞七捻三
编号: 1937875
帖子: https://linux.do/t/topic/1937875
时间: 2026-04-10 15:32:25
摘要:

Business 开的0刀，来不及取消订阅，号被封了，还会不会扣信用卡费用？
使用的paypal绑定信用卡开的

标题: 看到一AI聊天网站
作者: #mzltest
板块: #搞七捻三
编号: 1937879
帖子: https://linux.do/t/topic/1937879
时间: 2026-04-10 15:33:23
摘要:

但是都是小模型，而且要实时PVP。因为这个是公开实例，正常都是自己部署的。

  
      

      anarchai.org
  

  
    

Mesh LLM



  

  
    
    
  

  


那个minimax2.5是量化到MiniMax-M2.5-Q4_K_M的。

一样没什么见不得互联网的所以放在lv0。