微软打破 Decoder-Only 架构：大幅降低 GPU 内存需求

https://www.ithome.com/0/767/340.htm

https://arxiv.org/abs/2405.05254 （英文）

微软 & 清华最新研究，打破 GPT 系列开创的 Decoder-Only 架构 —— 提出 Decoder-Decoder 新型架构，名为 YOCO（You Only Cache Once）。

YOCO 仅缓存一次键值对，可大幅降低 GPU 内存需求，且保留全局注意力能力。一张图来看 YOCO 和标准 Transformer 的比较。

在处理 512K 上下文长度时，标准 Transformer 内存使用是 YOCO 的 6.4 倍，预填充延迟是 YOCO 的 30.3 倍，而 YOCO 的吞吐量提升到标准 Transformer 的 9.6 倍。

Minecraft 发布了 15 周年披风，可以免费获取，但是大部分人遇到了「您似乎尚未拥有 Minecraft！」的问题……

简单抓了下包，评价是前端写的有 bug，并且虽然 license 接口有 signature，但是看起来前端用的并不是 JWT 所提供的信息。

因此开 Proxyman 把 'TRIAL' 全部替换为 'PURCHASE'，遂发现出现了相关按钮，并且领取的接口实际上是没问题的。

于是综上所述，你可以通过 POST 对应接口：https://api.minecraftservices.com/minecraft/cape/15year，如果收到 204 响应，就是成功领取了（

如果您跟我一样今晚领不到就睡不着的话，可以试试（

PS：记得替换 authorization Header

Visualizing algorithms for rate limiting (Score: 154+ in 9 hours)

Link: https://readhacker.news/s/67XGp
Comments: https://readhacker.news/c/67XGp

https://codeanlabs.com/blog/research/cve-2024-4367-arbitrary-js-execution-in-pdf-js/

一个会影响老版本 GZCTF 的任意 js 执行 CVE.jpg

#tip

您的每日生活技能小助手上线啦：

是否为小型项目嵌入庞大中文字体而苦恼？
用 python 十几行裁剪出来你需要用的那一小部份文字吧！

# package: fonttools

from fontTools.ttLib import TTFont
from fontTools.subset import Subsetter, Options

def crop_font(input_ttf_path, output_ttf_path, characters):
    # 加载字体文件
    font = TTFont(input_ttf_path)
    # 创建子集选项和子集器
    subsetter = Subsetter(options=Options())
    # 设置要保留的字符
    subsetter.populate(text=characters)
    # 裁剪字体
    subsetter.subset(font)
    # 保存新的字体文件
    font.save(output_ttf_path)

由监管要求下架 dockerhub 镜像

非常遗憾，接上级通知，即时起我们将中止对 dockerhub 仓库的镜像。docker 相关工具默认会自动处理失效镜像的回退，如果对官方源有访问困难问题，建议尝试使用其他仍在服务的镜像源。

我们对给您带来的不便表示歉意，感谢您的理解与支持。

#GZCTF

GZCTF 700 stars🎉🎉🎉

https://github.com/GZTimeWalker/GZCTF

#tip

您的每日生活技能小助手上线啦：

是否遇到了想要用 cloc 却要写一大堆过滤器来排除编译产物的影响？

首先，您可以使用 cloc --vcs git 来使用 git ls-files 获取文件列表；

除此之外， cloc 可以直接用 commit hash 作为参数，计算那个 commit 的仓库信息！

而且，如果你想要强制使用 git 模式来查看特定的 branch，可以使用 cloc --git main 的形式来列出特定的 git 目标！

#有意思的项目
SwitchyOmega 这个名字各位互联网遗老应该都不陌生，它最后一次更新其实已经是 2018 年的事情了，最近由于各种原因，Firefox 已经无法安装，Chrome 也将停止支持，推荐迁移至另一位作者 fork 出来的、兼容 Manifest V3 且可以复用原有配置的 ZeroOmega：

https://github.com/suziwen/ZeroOmega

扩展商店：
Firefox Chrome

#tailscale

今日遇到了奇怪的连接问题，端口都放行，但是一旦启用 firewalld 之后 tailscale 就无法和对端建立 p2p 连接。

经过抓包、监听筛查，存在往返数据包，也可以监听到对应端口进行交互，排查了一下午，发现了一个选项：

# IPv6_rpfilter
# Performs reverse path filtering (RPF) on IPv6 packets as per RFC 3704.
# Possible values:
#   - strict: Performs "strict" filtering as per RFC 3704. This check
#             verifies that the in ingress interface is the same interface
#             that would be used to send a packet reply to the source. That
#             is, ingress == egress.
#   - loose: Performs "loose" filtering as per RFC 3704. This check only
#            verifies that there is a route back to the source through any
#            interface; even if it's not the same one on which the packet
#            arrived.
#   - strict-forward: This is almost identical to "strict", but does not perform
#                     RPF for packets targeted to the host (INPUT).
#   - loose-forward: This is almost identical to "loose", but does not perform
#                    RPF for packets targeted to the host (INPUT).
#   - no: RPF is completely disabled.
IPv6_rpfilter=loose

把它改成 loose 之后就没有问题了，有没有懂哥科普下原因.jpg

#IDA #Leak

关于今日的 IDA 9.0 beta leak, 此脚本实测可用。

至于 aarch64 的 macOS 报错 "Internal error 30016" 经排查是 aarch64 中 ..Contents/MacOS/plugins/arm_mac_user64.dylib 插件所导致，将其移除或重命名之后可正常使用 IDA。

上述脚本的原理为替换 HexRay 的公钥，并自己签发许可证，因此全平台可用。

哎，过年啦（）

#GZCTF

v0.21.1 发布，附有一些重要更新和说明：

> [!IMPORTANT]
> 
>  ## LICENSE UPDATED
> 
>  This release includes an important license addendum to the AGPLv3 license.
>  Key points include:
> 
> - **Certain files cannot be modified.**
> - **The "GZCTF" name and related identifiers are protected.**
> - **See LICENSE_ADDENDUM.txt for details.**
> 
>  **NOTE:** 
>  The GZCTF project is currently registered with a software copyright, 
>  and the author reserves all legal rights.

在 GZCTF 的新版中，关于源码分发有一些重要的更新内容：

- 部分文件被保护，禁止被修改（用于展示 GZCTF 标识的）；
- 有关 GZCTF 的字符串和变体被保护。

同时，GZCTF 目前是一个具有软著登记的项目，作者保留一切合法权益。

#今天又看了啥 #security
原来 IDA Pro 9.0 beta 的安装包是 子域名枚举 + .DS_Store 路径泄露出来的路径吗（
https://fixupx.com/gmhzxy/status/1822871063795315135

虽然这样说，但是频道主更愿意认为这是 HexRays 下的一盘大棋（

其中之一是社区插件就跟着更新起来适配 9.0 的 API，毕竟上一个 leak 这么全的（应该）还是 7.7（