Forwarded from 风向旗参考快讯
美议员警告AI的失败可能引发下一场金融危机
“我一眼就能看出泡沫。” 马萨诸塞州民主党参议员伊丽莎白·沃伦本周三在华盛顿特区范德比尔特大学政策加速器活动上向与会者发表了上述言论。沃伦警告称,AI行业与那场危机存在她所谓的惊人相似之处。尽管她相信这项技术具有巨大潜力,但她警告说,AI公司的大规模支出和借贷行为正在制造一个火药桶,国会应该介入。尽管AI行业发展迅速,但沃伦表示,其增长速度跟不上支出速度,迫使这些公司从私人信贷基金等不透明的来源借款,且没有传统银行所面临的那种监管监督。如果AI公司无法以闪电般的速度增加收入,他们将无法偿还其巨额债务。
—— Theverge
“我一眼就能看出泡沫。” 马萨诸塞州民主党参议员伊丽莎白·沃伦本周三在华盛顿特区范德比尔特大学政策加速器活动上向与会者发表了上述言论。沃伦警告称,AI行业与那场危机存在她所谓的惊人相似之处。尽管她相信这项技术具有巨大潜力,但她警告说,AI公司的大规模支出和借贷行为正在制造一个火药桶,国会应该介入。尽管AI行业发展迅速,但沃伦表示,其增长速度跟不上支出速度,迫使这些公司从私人信贷基金等不透明的来源借款,且没有传统银行所面临的那种监管监督。如果AI公司无法以闪电般的速度增加收入,他们将无法偿还其巨额债务。
—— Theverge
Forwarded from LoopDNS资讯播报
字节跳动发布 Seed3D 2.0:新一代 3D 生成模型
字节跳动正式推出了精度更高的新一代 3D 生成模型 Seed3D 2.0。该模型采用 MoE(混合专家)架构和稀疏专家路由技术,在控制推理计算量的同时,有效扩大了参数规模并提升了分辨率。
这使得模型能够生成更丰富的纹理细节以及更精确的金属粗糙度边界。目前,Seed3D 2.0 的技术报告已发布,其 API 也已在火山引擎上线。
来源:字节跳动
字节跳动正式推出了精度更高的新一代 3D 生成模型 Seed3D 2.0。该模型采用 MoE(混合专家)架构和稀疏专家路由技术,在控制推理计算量的同时,有效扩大了参数规模并提升了分辨率。
这使得模型能够生成更丰富的纹理细节以及更精确的金属粗糙度边界。目前,Seed3D 2.0 的技术报告已发布,其 API 也已在火山引擎上线。
来源:字节跳动
Forwarded from 风向旗参考快讯
阿里千问接入东方航空:能选座、值机
阿里旗下千问App官方宣布,今天起,千问对外开放 “AI办事” 能力,首家接入中国东方航空,上线全流程AI机票直连服务,能够完成航班查询、购票等基础操作,还能直接选座、值机,由东航官方提供退改签支持,未来还将进一步接入会员服务。此外,去往机场前,主动提醒预约出行车辆等功能,也将陆续上线。事业部总裁吴嘉说,“传统菜单式交互限制了个性化表达,但AI天然支持用户去随心所欲地发起需求,这也会创造出更多新的服务”。这意味着,在乘机选座时,可以像聊天一样对千问提出更多个性化需求,“帮我选东航最便宜的直飞航班” 或 “选一个视野好、宽敞的座位”,在千问中都能一一实现。
—— 凤凰网科技、彭博社
阿里旗下千问App官方宣布,今天起,千问对外开放 “AI办事” 能力,首家接入中国东方航空,上线全流程AI机票直连服务,能够完成航班查询、购票等基础操作,还能直接选座、值机,由东航官方提供退改签支持,未来还将进一步接入会员服务。此外,去往机场前,主动提醒预约出行车辆等功能,也将陆续上线。事业部总裁吴嘉说,“传统菜单式交互限制了个性化表达,但AI天然支持用户去随心所欲地发起需求,这也会创造出更多新的服务”。这意味着,在乘机选座时,可以像聊天一样对千问提出更多个性化需求,“帮我选东航最便宜的直飞航班” 或 “选一个视野好、宽敞的座位”,在千问中都能一一实现。
—— 凤凰网科技、彭博社
Forwarded from 风向旗参考快讯
多邻国现在正向用户开放高级学习内容
多邻国周三宣布,其正在免费提供九种语言的高级语言学习内容:英语、西班牙语、法语、德语、意大利语、葡萄牙语、日语、韩语和中文。用户可以通过网页、 iOS 和安卓设备访问这些内容。这些高级内容在欧洲语言共同参考框架(CEFR)中处于B2级别,这是学校和雇主认可的语言技能的国际标准。B2级别内容指的是没有翻译、复杂场景和专业词汇的学习材料。这一新提供的内容将包括 “高级故事” 等功能,它有助于阅读理解,以及DuoRadio,一种类似播客的音频体验,用于听力理解。现在用户可以免费利用这些高级学习内容,从而提升他们的技能水平。
—— Techcrunch
多邻国周三宣布,其正在免费提供九种语言的高级语言学习内容:英语、西班牙语、法语、德语、意大利语、葡萄牙语、日语、韩语和中文。用户可以通过网页、 iOS 和安卓设备访问这些内容。这些高级内容在欧洲语言共同参考框架(CEFR)中处于B2级别,这是学校和雇主认可的语言技能的国际标准。B2级别内容指的是没有翻译、复杂场景和专业词汇的学习材料。这一新提供的内容将包括 “高级故事” 等功能,它有助于阅读理解,以及DuoRadio,一种类似播客的音频体验,用于听力理解。现在用户可以免费利用这些高级学习内容,从而提升他们的技能水平。
—— Techcrunch
Forwarded from 电州收藏夹
【开源】一张照片,实时换脸,9.1万 Star
项目:Deep-Live-Cam | github.com/hacksider/Deep-Live-Cam
#windows #mac
一张人脸照片,实时映射到摄像头 / 直播 / 视频流,支持多人脸同时替换。无需训练,无需导出,本地运行,数据不出门。
技术栈:Python + InsightFace + onnxruntime,单张 RTX 显卡即可流畅跑。
以前换脸靠剪辑,现在打开即用。感兴趣去 GitHub 翻文档。
项目:Deep-Live-Cam | github.com/hacksider/Deep-Live-Cam
#windows #mac
一张人脸照片,实时映射到摄像头 / 直播 / 视频流,支持多人脸同时替换。无需训练,无需导出,本地运行,数据不出门。
技术栈:Python + InsightFace + onnxruntime,单张 RTX 显卡即可流畅跑。
以前换脸靠剪辑,现在打开即用。感兴趣去 GitHub 翻文档。
⚡1
Forwarded from LoopDNS资讯播报
DeepSeek 50亿起投,最新估值高达3000亿
100亿美元、200亿美元,甚至有人称300亿美元到400亿美元,坊间关于DeepSeek融资前的估值数字一直在变化,还传出腾讯、阿里争抢入局的消息。
一位接近DeepSeek的一线机构投资人士告诉我们,这些数字都不准确,DeepSeek融前估值是3000亿人民币,约合440亿美元。这一估值超过当前已经上市的大模型公司Minimax的2400亿(4月23日),接近智谱的3800亿元。
此次融资金额之巨,对投资人的限制要求之高,刷新了以往科技公司融资纪录。上述人士称,DeepSeek计划增资500亿,内部增资200亿,对外募资300亿。所有参与投资的机构必须50亿起投,甚至对LP也有身份要求。
一家一线投资机构因为募资的基金里有许多个人投资人未达标,也被拒之门外。
100亿美元、200亿美元,甚至有人称300亿美元到400亿美元,坊间关于DeepSeek融资前的估值数字一直在变化,还传出腾讯、阿里争抢入局的消息。
一位接近DeepSeek的一线机构投资人士告诉我们,这些数字都不准确,DeepSeek融前估值是3000亿人民币,约合440亿美元。这一估值超过当前已经上市的大模型公司Minimax的2400亿(4月23日),接近智谱的3800亿元。
此次融资金额之巨,对投资人的限制要求之高,刷新了以往科技公司融资纪录。上述人士称,DeepSeek计划增资500亿,内部增资200亿,对外募资300亿。所有参与投资的机构必须50亿起投,甚至对LP也有身份要求。
一家一线投资机构因为募资的基金里有许多个人投资人未达标,也被拒之门外。
Forwarded from 科技圈🎗在花频道📮
腾讯混元 Hy3 preview 模型发布并开源
腾讯正式发布并开源混元 Hy3 preview 语言模型。作为架构重建后的首个混合专家模型(MoE),该模型总参数量达 295B,激活参数 21B,支持 256K 上下文长度。其核心能力定位于复杂推理与智能体(Agent)应用,在数学、科学等理工科推理任务及代码开发场景中表现显著提升。
受模型架构与推理框架深度协同影响,Hy3 preview 的推理性能大幅优化,其中 CodeBuddy 等产品首 token 延迟降低 54%。目前该模型已在元宝、腾讯文档、QQ 等多个内部产品上线,并同步在 GitHub、HuggingFace 等平台开源。腾讯云亦配套推出 API 及定制化 Token Plan,个人版定价最低 28 元/月。
腾讯混元
🌸 在花频道|茶馆讨论|投稿通道
腾讯正式发布并开源混元 Hy3 preview 语言模型。作为架构重建后的首个混合专家模型(MoE),该模型总参数量达 295B,激活参数 21B,支持 256K 上下文长度。其核心能力定位于复杂推理与智能体(Agent)应用,在数学、科学等理工科推理任务及代码开发场景中表现显著提升。
受模型架构与推理框架深度协同影响,Hy3 preview 的推理性能大幅优化,其中 CodeBuddy 等产品首 token 延迟降低 54%。目前该模型已在元宝、腾讯文档、QQ 等多个内部产品上线,并同步在 GitHub、HuggingFace 等平台开源。腾讯云亦配套推出 API 及定制化 Token Plan,个人版定价最低 28 元/月。
腾讯混元
🌸 在花频道|茶馆讨论|投稿通道
Forwarded from 科技圈🎗在花频道📮
香港证监会与普华永道就恒大财务造假达成 10 亿港元股东赔偿协议
普华永道香港因涉及中国恒大虚假财务报表案,与香港证监会达成和解协议,同意预留 10 亿港元赔偿合资格独立少数股东。香港证监会调查认定,中国恒大在 2019 及 2020 财年通过提早确认收入操纵利润,累计虚增收入达 5641 亿元人民币,致使账面盈利实为巨额亏损。
受此影响,普华永道被指严重违反专业责任,包括丧失审计独立性、缺乏专业怀疑态度及默许管理层操纵审计样本。根据协议,普华永道在不承认法律责任的前提下解决此事,香港证监会将不再采取进一步行动。这是香港首次有已倒闭公司的核数师向受损股东作出赔偿,旨在追究核数师责任并维护市场廉洁。
香港证监会
🌸 在花频道|茶馆讨论|投稿通道
普华永道香港因涉及中国恒大虚假财务报表案,与香港证监会达成和解协议,同意预留 10 亿港元赔偿合资格独立少数股东。香港证监会调查认定,中国恒大在 2019 及 2020 财年通过提早确认收入操纵利润,累计虚增收入达 5641 亿元人民币,致使账面盈利实为巨额亏损。
受此影响,普华永道被指严重违反专业责任,包括丧失审计独立性、缺乏专业怀疑态度及默许管理层操纵审计样本。根据协议,普华永道在不承认法律责任的前提下解决此事,香港证监会将不再采取进一步行动。这是香港首次有已倒闭公司的核数师向受损股东作出赔偿,旨在追究核数师责任并维护市场廉洁。
香港证监会
🌸 在花频道|茶馆讨论|投稿通道
Forwarded from 风向旗参考快讯
100个国家掌握可以入侵英国的间谍软件
英国情报机构发现,全球超过一半的国家被认为已购买了能够入侵英国基础设施、公司和私人网络的技术。英国国家网络安全中心 (NCSC) 认为,约一百个国家已采购了网络入侵软件,这表明国家获取该技术的障碍正在降低。商业黑客技术,通常被称为间谍软件,在过去二十年中已成为一个蓬勃发展的市场。相关产品已被用于针对世界各地的记者和政治异见人士。 NCSC 表示,近年来间谍软件的目标范围已经扩大,银行家和富裕的高管越来越多地受到攻击。英国网络官员和部长强调,一年内对英国具有国家重要性的网络攻击数量翻了一番,并指出大多数事件现在与国家行为者有关,而非犯罪团伙。
—— politico.eu
英国情报机构发现,全球超过一半的国家被认为已购买了能够入侵英国基础设施、公司和私人网络的技术。英国国家网络安全中心 (NCSC) 认为,约一百个国家已采购了网络入侵软件,这表明国家获取该技术的障碍正在降低。商业黑客技术,通常被称为间谍软件,在过去二十年中已成为一个蓬勃发展的市场。相关产品已被用于针对世界各地的记者和政治异见人士。 NCSC 表示,近年来间谍软件的目标范围已经扩大,银行家和富裕的高管越来越多地受到攻击。英国网络官员和部长强调,一年内对英国具有国家重要性的网络攻击数量翻了一番,并指出大多数事件现在与国家行为者有关,而非犯罪团伙。
—— politico.eu
Forwarded from Solidot
沥青会释放有毒的挥发性有机物
2026-04-23 14:48 by 燃烧的银河
沥青是石油副产品,被用作沥青混凝土的粘结剂。根据发表在《Journal of Hazardous Materials》和《Science of the Total Environment》期刊上的两项研究,沥青会释放出挥发性有机物(Volatile organic compounds,VOC),高温晴朗的天气会更显著。这些有毒且通常无味的挥发性有机物小到足以进入动脉和器官,它们会对人类造成严重的神经损伤,对女性和老年人影响更大。研究人员称,高温会加剧沥青释放有毒有机物。研究人员报告可以通过在沥青中添加藻类的方式大幅降低其释放出的毒性最强的有机物,测试显示毒性可以减少到原来的百分之一,而且能减缓路面老化。
https://news.asu.edu/20260417-environment-and-sustainability-asphalt-emissions-algae-health
#科学
2026-04-23 14:48 by 燃烧的银河
沥青是石油副产品,被用作沥青混凝土的粘结剂。根据发表在《Journal of Hazardous Materials》和《Science of the Total Environment》期刊上的两项研究,沥青会释放出挥发性有机物(Volatile organic compounds,VOC),高温晴朗的天气会更显著。这些有毒且通常无味的挥发性有机物小到足以进入动脉和器官,它们会对人类造成严重的神经损伤,对女性和老年人影响更大。研究人员称,高温会加剧沥青释放有毒有机物。研究人员报告可以通过在沥青中添加藻类的方式大幅降低其释放出的毒性最强的有机物,测试显示毒性可以减少到原来的百分之一,而且能减缓路面老化。
https://news.asu.edu/20260417-environment-and-sustainability-asphalt-emissions-algae-health
#科学
Forwarded from Solidot
盖茨基金会准备裁员,正在审查与爱泼斯坦的关联
2026-04-23 19:32 by 火星战士
由于基金会主席比尔盖茨与已故性侵犯爱泼斯坦(Jeffrey Epstein)之间的关系,盖茨基金会最近深陷争议。它在周二宣布已委托外部机构对该基金会与爱泼斯坦之间关联进行审查,预计夏天会收到相关评估报告。美国司法部今年一月公布的文件显示爱泼斯坦曾与基金会的员工有过通信,文件还包括盖茨与爱泼斯坦以及被涂黑女性之间合影。盖茨之后声明与爱泼斯坦的关系仅限于慈善事业,称与他见面是一个错误,否认与爱泼斯坦性侵犯案受害者有过接触。盖茨基金会据报道还计划在 2030 年前裁掉约五分之一或 200 名员工。
https://www.reuters.com/business/gates-foundation-cut-20-staff-review-epstein-ties-wsj-reports-2026-04-21/
#盖茨
2026-04-23 19:32 by 火星战士
由于基金会主席比尔盖茨与已故性侵犯爱泼斯坦(Jeffrey Epstein)之间的关系,盖茨基金会最近深陷争议。它在周二宣布已委托外部机构对该基金会与爱泼斯坦之间关联进行审查,预计夏天会收到相关评估报告。美国司法部今年一月公布的文件显示爱泼斯坦曾与基金会的员工有过通信,文件还包括盖茨与爱泼斯坦以及被涂黑女性之间合影。盖茨之后声明与爱泼斯坦的关系仅限于慈善事业,称与他见面是一个错误,否认与爱泼斯坦性侵犯案受害者有过接触。盖茨基金会据报道还计划在 2030 年前裁掉约五分之一或 200 名员工。
https://www.reuters.com/business/gates-foundation-cut-20-staff-review-epstein-ties-wsj-reports-2026-04-21/
#盖茨
Forwarded from Solidot
加密货币骗子瞄准滞留在霍尔木兹海峡附近的船只
2026-04-23 20:49 by 冰上斯芬克斯
由于伊朗关闭了霍尔木兹海峡,目前有约 2000 艘船只和 2 万名海员滞留在附近。伊朗几周前表示通过海峡的油轮需要以加密货币形式支付过境费,但美国随后也宣布关闭海峡搜查过往船只。形势相当混乱,而在混乱之中骗子开始浑水摸鱼。据报道,加密货币骗子正冒充伊朗当局,向航运公司发送信息,要求以比特币或泰达币支付过境费。未经证实的消息称,有船只认为已经支付了过境费而试图通过海峡,在遭到伊朗炮击后不得不返回。目前已发生了两次类似事件,一次是 4 月 18 日,一次是 4 月 22 日。
https://arstechnica.com/security/2026/04/crypto-scam-lures-ships-into-strait-of-hormuz-falsely-promising-safe-passage/
#安全
2026-04-23 20:49 by 冰上斯芬克斯
由于伊朗关闭了霍尔木兹海峡,目前有约 2000 艘船只和 2 万名海员滞留在附近。伊朗几周前表示通过海峡的油轮需要以加密货币形式支付过境费,但美国随后也宣布关闭海峡搜查过往船只。形势相当混乱,而在混乱之中骗子开始浑水摸鱼。据报道,加密货币骗子正冒充伊朗当局,向航运公司发送信息,要求以比特币或泰达币支付过境费。未经证实的消息称,有船只认为已经支付了过境费而试图通过海峡,在遭到伊朗炮击后不得不返回。目前已发生了两次类似事件,一次是 4 月 18 日,一次是 4 月 22 日。
https://arstechnica.com/security/2026/04/crypto-scam-lures-ships-into-strait-of-hormuz-falsely-promising-safe-passage/
#安全
Forwarded from Yummy 😋
微软推出“vibe working”,支持Word、Excel 和 PowerPoint
微软本周将在 Word、Excel 和 PowerPoint 等 Office 应用中推出一种新的“Agent 模式”。微软之前称之为“vibe working”。该模式是 Office 中 Copilot 功能的更强大版本,微软一直在向企业推广这一功能。
微软 Office 产品组企业副总裁 Sumit Chauhan 承认:“当我们第一次推出 Copilot 时,底层模型还不够强大,无法让 Copilot 直接控制应用程序“。
新的“Agent 模式”旨在更准确地执行文档、表格和演示中的命令与编辑。“过去一年里,模型在理解指令、推理能力和总体质量上都有显著进步,因此在处理多步骤编辑时更能可靠地保留你的意图,”Chauhan 表示。
你可以通过侧边栏实时看到 Copilot 这个 AI 代理的每一步操作。它会在文档中展示所有操作细节。在 Excel 中,Copilot 能直接对工作簿做出修改,比如添加公式或表格;在 PowerPoint 的Agent模式下,它可以用最新信息更新现有幻灯片,同时保持公司常用的模板和样式不变。
🗒 标签: #微软 #Office #AI
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot
微软已将这些新的 Copilot 功能设为 Microsoft 365 Copilot 和 Microsoft 365 Premium 订阅用户的默认体验,且这些功能同样适用于 Microsoft 365 个人版和家庭版。
微软本周将在 Word、Excel 和 PowerPoint 等 Office 应用中推出一种新的“Agent 模式”。微软之前称之为“vibe working”。该模式是 Office 中 Copilot 功能的更强大版本,微软一直在向企业推广这一功能。
微软 Office 产品组企业副总裁 Sumit Chauhan 承认:“当我们第一次推出 Copilot 时,底层模型还不够强大,无法让 Copilot 直接控制应用程序“。
新的“Agent 模式”旨在更准确地执行文档、表格和演示中的命令与编辑。“过去一年里,模型在理解指令、推理能力和总体质量上都有显著进步,因此在处理多步骤编辑时更能可靠地保留你的意图,”Chauhan 表示。
你可以通过侧边栏实时看到 Copilot 这个 AI 代理的每一步操作。它会在文档中展示所有操作细节。在 Excel 中,Copilot 能直接对工作簿做出修改,比如添加公式或表格;在 PowerPoint 的Agent模式下,它可以用最新信息更新现有幻灯片,同时保持公司常用的模板和样式不变。
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from 你有一个打折需要了解 (花灌)
喜加二 | EPIC 限免(4.23)
💻 电脑端
DOOMBLADE「厄运之刃」
📱 移动端
911 Operator「911 接线员」
⏳ 下期预告
Firestone Online Idle RPG 「火之石– 英雄放置点击RPG」
Oddsparks: An Automation Adventure「火花奇遇記:自動化冒險」
注:游戏截止!4/30
链接:EGS • 全 • PC • Android & iOS
#Epic #喜加一 #移动端 #NE2852
DOOMBLADE「厄运之刃」
911 Operator「911 接线员」
Firestone Online Idle RPG 「火之石– 英雄放置点击RPG」
Oddsparks: An Automation Adventure「火花奇遇記:自動化冒險」
注:游戏截止!4/30
链接:EGS • 全 • PC • Android & iOS
#Epic #喜加一 #移动端 #NE2852
Please open Telegram to view this post
VIEW IN TELEGRAM
Epic Games Store
Free Games | Download A Free PC Game Every Week - Epic Games Store
We offer Free Games at the Epic Games Store every week! Claim and download the video game and it is yours forever. Also, see our free-to-play game communities.
Forwarded from 风向旗参考快讯
贩卖儿童性虐待内容的网站在去年翻倍
根据负责从互联网上查找并删除此类材料的英国机构的最新研究,非法贩卖访问儿童性虐待图片的网站数量去年增加了一倍多。英国互联网观察基金会周四发布的一份报告显示,该基金会在2025年发现了15,031个商业儿童性虐待网站,比前一年增加了114%。该基金会称这些网站提供对非法和虐待内容的“高级访问权限”,这些内容“可能涉及所有年龄的受害者,并可能包括一些最严重和最极端的性虐待形式”。根据报告,许多违规网站进行了伪装,最初显示合法内容,但在以某种方式访问时才显示虐待内容。这些网站通过加密货币、汇款服务和信用卡处理付款。
—— 彭博社
根据负责从互联网上查找并删除此类材料的英国机构的最新研究,非法贩卖访问儿童性虐待图片的网站数量去年增加了一倍多。英国互联网观察基金会周四发布的一份报告显示,该基金会在2025年发现了15,031个商业儿童性虐待网站,比前一年增加了114%。该基金会称这些网站提供对非法和虐待内容的“高级访问权限”,这些内容“可能涉及所有年龄的受害者,并可能包括一些最严重和最极端的性虐待形式”。根据报告,许多违规网站进行了伪装,最初显示合法内容,但在以某种方式访问时才显示虐待内容。这些网站通过加密货币、汇款服务和信用卡处理付款。
—— 彭博社
Forwarded from 风向旗参考快讯
英国健康数据泄露后被挂在阿里巴巴上出售
来自50万名参与英国老龄化与疾病研究的人员的健康记录,被放在阿里巴巴集团的网站上出售。数据库所有者英国生物银行本周一通知英国政府,这些数据已在阿里巴巴网站的三个在线列表中发布,技术大臣伊恩·穆雷周四在下议院对议员们发表声明时表示。英国生物银行的数据是从志愿者那里收集的,他们分享自己的健康信息,该组织称这是世界上最大的健康、生活方式和生物数据存储库,用于追踪人们随着年龄增长而变化的长期健康状况。它收集直接医疗数据,例如核磁共振扫描和生物标志物,以及自我报告的生活方式信息。穆雷表示,在英国政府要求将其下架后,该数据已从阿里巴巴删除。
—— 彭博社
来自50万名参与英国老龄化与疾病研究的人员的健康记录,被放在阿里巴巴集团的网站上出售。数据库所有者英国生物银行本周一通知英国政府,这些数据已在阿里巴巴网站的三个在线列表中发布,技术大臣伊恩·穆雷周四在下议院对议员们发表声明时表示。英国生物银行的数据是从志愿者那里收集的,他们分享自己的健康信息,该组织称这是世界上最大的健康、生活方式和生物数据存储库,用于追踪人们随着年龄增长而变化的长期健康状况。它收集直接医疗数据,例如核磁共振扫描和生物标志物,以及自我报告的生活方式信息。穆雷表示,在英国政府要求将其下架后,该数据已从阿里巴巴删除。
—— 彭博社
Forwarded from 风向旗参考快讯
Bitwarden CLI在持续的Checkmarx供应链攻击中被入侵
Socket研究人员发现,开源密码管理器Bitwarden的CLI版本2026.4.0在持续进行的Checkmarx供应链攻击中遭到入侵。攻击者滥用Bitwarden CI/CD管道中的GitHub Action,在npm包中植入名为`bw1.js`的恶意代码。该恶意代码与Checkmarx攻击共享C2端点和有效载荷结构,用于窃取GitHub令牌、云凭证、npm配置等敏感信息,并通过GitHub API和npm注册表进行数据外泄及供应链传播。受影响版本目前仅限于CLI的npm包。建议用户立即删除受影响的软件包,轮换可能已暴露的凭据,并审计相关日志以防范进一步风险。该攻击具有反机器人的意识形态品牌,并包含俄罗斯区域设置“自毁开关”。
—— socket.dev
Socket研究人员发现,开源密码管理器Bitwarden的CLI版本2026.4.0在持续进行的Checkmarx供应链攻击中遭到入侵。攻击者滥用Bitwarden CI/CD管道中的GitHub Action,在npm包中植入名为`bw1.js`的恶意代码。该恶意代码与Checkmarx攻击共享C2端点和有效载荷结构,用于窃取GitHub令牌、云凭证、npm配置等敏感信息,并通过GitHub API和npm注册表进行数据外泄及供应链传播。受影响版本目前仅限于CLI的npm包。建议用户立即删除受影响的软件包,轮换可能已暴露的凭据,并审计相关日志以防范进一步风险。该攻击具有反机器人的意识形态品牌,并包含俄罗斯区域设置“自毁开关”。
—— socket.dev
Forwarded from Yummy 😋
Bitwarden CLI 遭遇供应链攻击
应用安全公司表示,受影响的软件包版本似乎为
这次攻击似乎利用了 Bitwarden CI/CD 管道中被入侵的 GitHub Action,行为模式与本次活动中其他受影响的代码仓库相同。
在 X 上的一篇帖子中,JFrog 表示该恶意版本的软件“会窃取 GitHub/npm 的令牌、.ssh 文件、.env 文件、历史命令记录、GitHub Actions 和云密钥,然后将数据泄露到私有域名以及 GitHub 的提交记录中。”
虽然现在已经无法从 npm 下载到该恶意版本,但 Socket 表示这次入侵使用的仍是与 Checkmarx 活动中发现的相同的 GitHub Actions 供应链攻击手法。
在这次攻击中,威胁方利用被盗的 GitHub 令牌注入了一个新的 GitHub Actions 工作流程。该工作流程会窃取运行期间可用的密钥和凭证,并用获取到的 npm 凭证将被篡改的恶意版本包发布到 npm,从而把恶意软件传播给下游用户。
安全研究员阿德南·汗表示,攻击者利用一个恶意的工作流发布了带有恶意代码的 Bitwarden CLI。他补充道:“我认为这是首次出现利用 NPM 的受信任发布机制来入侵软件包的情况。”
据推测,名为“TeamPCP”的攻击者是此次针对 Checkmarx 发起的最新攻击的幕后黑手。截至本文撰写之时,“TeamPCP”的 X 账号因违反平台规则已被暂停使用。
OX 安全公司在对此次攻击的详细分析中表示,他们在该包裹中发现了“Shai-Hulud: The Third Coming”这一字符串,这表明这很可能就是去年曝光的供应链攻击行动的下一阶段。
🗒 标签: #Bitwarden #供应链攻击
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot
根据 JFrog 和 Socket 的最新发现,Bitwarden 的命令行工具(CLI)在一起新发现且仍在进行的 Checkmarx 供应链攻击中被入侵。
应用安全公司表示,受影响的软件包版本似乎为
@bitwarden/cli@2026.4.0,恶意代码出现在包含在包内的名为“bw1.js”的文件中。这次攻击似乎利用了 Bitwarden CI/CD 管道中被入侵的 GitHub Action,行为模式与本次活动中其他受影响的代码仓库相同。
在 X 上的一篇帖子中,JFrog 表示该恶意版本的软件“会窃取 GitHub/npm 的令牌、.ssh 文件、.env 文件、历史命令记录、GitHub Actions 和云密钥,然后将数据泄露到私有域名以及 GitHub 的提交记录中。”
虽然现在已经无法从 npm 下载到该恶意版本,但 Socket 表示这次入侵使用的仍是与 Checkmarx 活动中发现的相同的 GitHub Actions 供应链攻击手法。
在这次攻击中,威胁方利用被盗的 GitHub 令牌注入了一个新的 GitHub Actions 工作流程。该工作流程会窃取运行期间可用的密钥和凭证,并用获取到的 npm 凭证将被篡改的恶意版本包发布到 npm,从而把恶意软件传播给下游用户。
安全研究员阿德南·汗表示,攻击者利用一个恶意的工作流发布了带有恶意代码的 Bitwarden CLI。他补充道:“我认为这是首次出现利用 NPM 的受信任发布机制来入侵软件包的情况。”
据推测,名为“TeamPCP”的攻击者是此次针对 Checkmarx 发起的最新攻击的幕后黑手。截至本文撰写之时,“TeamPCP”的 X 账号因违反平台规则已被暂停使用。
OX 安全公司在对此次攻击的详细分析中表示,他们在该包裹中发现了“Shai-Hulud: The Third Coming”这一字符串,这表明这很可能就是去年曝光的供应链攻击行动的下一阶段。
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM