锐评云OSS / S3:
普通外包很喜欢用OSS,但一用一个炸。在OSS上,我见过花样百出的漏key方式:前端硬编码的,后端硬编码不当返回的,报错日志环境变量返回的,actuator漏尿的,更离谱的是Dify在聊天记录里把执行步骤夹回来的。
云厂商OSS权限一般是跟着云平台自己的RBAC IAM走的,于是屡屡发生运维随便开了个自己组织下的账号给项目组用,项目组拿着key随便挥霍,结果由于这个账号权限配置不当,漏了之后直接给你云接管了。当然你可能会说可以走STS来严控就行了,问题是癌症白银段位的运维玩不动这种白银票据,Kerberos的设计是很精妙的,可惜密码学常识不过关的域运维执行歪了。
还有个问题是阿里云在设计上OSS的namespace又是跨租户的,意味着你可以用它来穿透一些原本看起来很严格的安全组控制。比如你日了Contoso公司租户的一台ECS,本来他凭借直觉配置好防火墙不出互联网(觉得自己可以免于非正向HTTP的C2),结果你在另一个租户开了个同region的OSS,然后在ECS上走bucket endpoint访问阿里云在region层面的内网地址,一手RCE+SSRF给关键数据推到你自己的OSS上,拾走了。
开发人员对云OSS的认知跟minio似的,把它当作一个独立部署的虚拟化出来的网盘instance,但实际上云厂商设计时觉得这是跟着你云infra走的bucket store,需要运维像爱护域内机器一样爱护好。显然大伙没有做到。
普通外包很喜欢用OSS,但一用一个炸。在OSS上,我见过花样百出的漏key方式:前端硬编码的,后端硬编码不当返回的,报错日志环境变量返回的,actuator漏尿的,更离谱的是Dify在聊天记录里把执行步骤夹回来的。
云厂商OSS权限一般是跟着云平台自己的RBAC IAM走的,于是屡屡发生运维随便开了个自己组织下的账号给项目组用,项目组拿着key随便挥霍,结果由于这个账号权限配置不当,漏了之后直接给你云接管了。当然你可能会说可以走STS来严控就行了,问题是癌症白银段位的运维玩不动这种白银票据,Kerberos的设计是很精妙的,可惜密码学常识不过关的域运维执行歪了。
还有个问题是阿里云在设计上OSS的namespace又是跨租户的,意味着你可以用它来穿透一些原本看起来很严格的安全组控制。比如你日了Contoso公司租户的一台ECS,本来他凭借直觉配置好防火墙不出互联网(觉得自己可以免于非正向HTTP的C2),结果你在另一个租户开了个同region的OSS,然后在ECS上走bucket endpoint访问阿里云在region层面的内网地址,一手RCE+SSRF给关键数据推到你自己的OSS上,拾走了。
开发人员对云OSS的认知跟minio似的,把它当作一个独立部署的虚拟化出来的网盘instance,但实际上云厂商设计时觉得这是跟着你云infra走的bucket store,需要运维像爱护域内机器一样爱护好。显然大伙没有做到。
平均广西县城:
1、国道
2、国道旁边有一条民国时期传承至今的骑楼老街
3、有条江,江上游有个水库,水库旁边有钓鱼佬,水库底下有每年三四月份沉进去的小学生初中生;某座桥边有鱼馆
4、至少有两座山,且插满了风力发电机;其中一座是森林公园with速生桉,另一座没开发完但有爬山的路,山顶有祠,半山有野味饭店
5、甘蔗田火龙果田芒果树龙眼树番石榴树棕树榕树糖胶树夹竹桃滴水观音三角梅
6、旁边的村子叫*岭、*塘或者那*
#广西美食 玉林篇。至于美食在哪,你去问水库里平时吃蚕豆吃到溶血,但最近吃小朋友吃爽了的脆鲩鱼。又到了回南潮湿、天气变热、水体很冷、容易抽筋的季节,请县城婆罗门们看好自己家的小孩。但是话又说回来了,如果您近期前往玉林旅游而不想吃狗肉,可以先攀爬大容山,然后前往陆川美美泡个温泉并食用陆川猪耳。此外也建议一品玉林市区的律师牛料和美极大排档。哦对了,附近贵港市的东津田螺,兴业县和钦州灵山县交界地区的江口餐馆也是目前尚未被探店博主发掘的好店。
1、国道
2、国道旁边有一条民国时期传承至今的骑楼老街
3、有条江,江上游有个水库,水库旁边有钓鱼佬,水库底下有每年三四月份沉进去的小学生初中生;某座桥边有鱼馆
4、至少有两座山,且插满了风力发电机;其中一座是森林公园with速生桉,另一座没开发完但有爬山的路,山顶有祠,半山有野味饭店
5、甘蔗田火龙果田芒果树龙眼树番石榴树棕树榕树糖胶树夹竹桃滴水观音三角梅
6、旁边的村子叫*岭、*塘或者那*
#广西美食 玉林篇。至于美食在哪,你去问水库里平时吃蚕豆吃到溶血,但最近吃小朋友吃爽了的脆鲩鱼。又到了回南潮湿、天气变热、水体很冷、容易抽筋的季节,请县城婆罗门们看好自己家的小孩。但是话又说回来了,如果您近期前往玉林旅游而不想吃狗肉,可以先攀爬大容山,然后前往陆川美美泡个温泉并食用陆川猪耳。此外也建议一品玉林市区的律师牛料和美极大排档。哦对了,附近贵港市的东津田螺,兴业县和钦州灵山县交界地区的江口餐馆也是目前尚未被探店博主发掘的好店。
💊3
锐评Arc Pro B60:别买
首先铭瑄版本是两个24G的核心打在一个板上,需要pcie拆分成x8x8,这需要你主板支持。你这胶水GPU怎么有点脱胶.jpg。系统读到的当然也是两张卡。
然后风扇控制也有问题。你首先需要最新版本的Windows或Fedora的fwupdmgr给它大脑升级一下,或是内核至6.17及以上版本,否则你的卡就可以绑个慈溪炸弹飞往顿涅茨克前线了。
然后通用算力的驱动支持极差。看起来i915/xe、levelzero、oneapi、xpu、sycl、torch、triton和vllm各个层面都有支持,实际上从levelzero往下的各版本兼容性都是一坨,triton也非标。拿官方oneapi和唯一指定icx/icpx编译出来的llama.cpp调用oneapi时抛了个cpp符号异常的救赎感谁懂啊
不要相信openvino/xpum的文档以及官方驱动文档,这卡在linux环境的唯一解是llm-scaler,也就是你得先把卡拔了(因为此卡的GuC会导致此版本内核吊死)并安装Ubuntu 25.04(已经EOL),装好之后再打上Intel提供的不在软件源的内核,以及对应版本的oneapi。何况今后Intel官方力推的是openvino。
这卡如果想要省心跑AI,老实装个Windows,然后无脑装个驱动再无脑用llama.cpp的vulkan后端就能跑起来。似乎qwen3.5的图像输入还会crash,近日我会试图使用sycl后端试一下。
首先铭瑄版本是两个24G的核心打在一个板上,需要pcie拆分成x8x8,这需要你主板支持。你这胶水GPU怎么有点脱胶.jpg。系统读到的当然也是两张卡。
然后风扇控制也有问题。你首先需要最新版本的Windows或Fedora的fwupdmgr给它大脑升级一下,或是内核至6.17及以上版本,否则你的卡就可以绑个慈溪炸弹飞往顿涅茨克前线了。
然后通用算力的驱动支持极差。看起来i915/xe、levelzero、oneapi、xpu、sycl、torch、triton和vllm各个层面都有支持,实际上从levelzero往下的各版本兼容性都是一坨,triton也非标。拿官方oneapi和唯一指定icx/icpx编译出来的llama.cpp调用oneapi时抛了个cpp符号异常的救赎感谁懂啊
不要相信openvino/xpum的文档以及官方驱动文档,这卡在linux环境的唯一解是llm-scaler,也就是你得先把卡拔了(因为此卡的GuC会导致此版本内核吊死)并安装Ubuntu 25.04(已经EOL),装好之后再打上Intel提供的不在软件源的内核,以及对应版本的oneapi。何况今后Intel官方力推的是openvino。
这卡如果想要省心跑AI,老实装个Windows,然后无脑装个驱动再无脑用llama.cpp的vulkan后端就能跑起来。似乎qwen3.5的图像输入还会crash,近日我会试图使用sycl后端试一下。
🎉7
Pseudorandom Thoughts
AI slop怎么在天上飞.jpg 1、红队大手子们vibe个爽的同时一定要练好自己的redteam ops基本功,安全还是太难了。 2、不要在远控本机用http.server挂马,更不要在$HOME开。请选择noindex的http服务器。 3、云环境哪怕开了安全组白名单也还是有很多信道可以用,注意各类脱离云自身RBAC体系运行的云服务,感觉是从aws开始搞云至今都存在的设计硬伤。AK异地调用告警/白名单很重要。 4、Linux服务器比起Windows来的一个点是服务默认没有像LSASS这类的…
过期的食物不能吃,屎也不能吃,为什么过期的屎你们有些头部厂商的实验室竟拿来添油加醋炒至金黄
玩虾有感:
claw无非是头长在vscode(及其变体)以外的对话框里的agent。
号称做起夜级claw的厂商有很多,实际能用的一个都没有(都是原版claw套壳抢占先机)。首先原版claw唯一有亮点的地方在于个人电脑上搞自然语言转RPA,问题是起夜级上了设备管控的个人电脑你搞一个远程指挥的RPA就是想死了。
如果你要集中部署,要么多人一虾然后爽吃鉴权和污染问题;要么一人一虾多实例,问题是现阶段所有channel侧软件都没有考虑这种设计(等过气之后就更不会考虑了),而且开销和拉起时延也有待考量;要么一虾多session多workspace,但它单走一个event loop根本没考虑过在企业里高同接还按人划分session动态接入workspace的场景,你要上起夜级就得大改加workers,然而原版openclaw是纯vibe出来的化粪池,你要改起来必vibe失败。
目前用得比较舒服的运行时是zeroclaw,但他也只是riir而且精简重写罢了,上述问题该有还是有。
考虑到很多起夜级社畜的工作时间就是浪费在超绝填表和超燃发文,无疑接下来这样的模式是可以在这种构式工作流程中掀翻小池塘的,但目前所有工具都没准备好。我看一年内能起很多变化。尽管下一个字生成器架构根本做不到AGI,但这可能是大家第一次意识到下一个字生成器如何去自适应和填补够使工作中最狗市的部分。现在玩claw到底有什么意义,问就是战未来。至少能倒逼厂商开放接口,一夜间我化身填表发文高手。
claw无非是头长在vscode(及其变体)以外的对话框里的agent。
号称做起夜级claw的厂商有很多,实际能用的一个都没有(都是原版claw套壳抢占先机)。首先原版claw唯一有亮点的地方在于个人电脑上搞自然语言转RPA,问题是起夜级上了设备管控的个人电脑你搞一个远程指挥的RPA就是想死了。
如果你要集中部署,要么多人一虾然后爽吃鉴权和污染问题;要么一人一虾多实例,问题是现阶段所有channel侧软件都没有考虑这种设计(等过气之后就更不会考虑了),而且开销和拉起时延也有待考量;要么一虾多session多workspace,但它单走一个event loop根本没考虑过在企业里高同接还按人划分session动态接入workspace的场景,你要上起夜级就得大改加workers,然而原版openclaw是纯vibe出来的化粪池,你要改起来必vibe失败。
目前用得比较舒服的运行时是zeroclaw,但他也只是riir而且精简重写罢了,上述问题该有还是有。
考虑到很多起夜级社畜的工作时间就是浪费在超绝填表和超燃发文,无疑接下来这样的模式是可以在这种构式工作流程中掀翻小池塘的,但目前所有工具都没准备好。我看一年内能起很多变化。尽管下一个字生成器架构根本做不到AGI,但这可能是大家第一次意识到下一个字生成器如何去自适应和填补够使工作中最狗市的部分。现在玩claw到底有什么意义,问就是战未来。至少能倒逼厂商开放接口,一夜间我化身填表发文高手。
🎉9
作为从小就在深山和海边摇曳露营,把膝盖爬废了的人,我对广西的一些山做出排名:
T0:圣堂山(海拔+云海)、七百弄(极致喀斯特地貌)、元宝山(瑶族风光)
T1:大明山上林线(南宁人喜欢武鸣线,少有人知道北线的爽)、平天山(贵港人喜欢,比较曲折)、青秀山(虽然只是个城区公园,但它花草树木实在太丰富了,很多稀有品种)
T2:猫儿山(高但是不如圣堂山好看)、大容山(玉林人喜欢,商业化开发之后没意思了)、龙虎山(本质猴山,我劝你别带帽子和小部件去,小心猴子抢吃的抢手机)
其实河池和百色那边讲壮话地区的各种大山风景就没有差的,都可以试试;但如果到讲白话的钦北防这种纯平原地区找山,我只能说笑嘻了。至于六万大山和十万大山,等着你的是水库、水库、水库和空军钓鱼佬。
#广西美食 和美食没有关系,但为了带tag,顺便说一下,晚上的各种烧烤摊可以吃到烤猪鞭、猪眼睛、鸡睾。炒/煲田螺不放紫苏和薄荷则不够正宗。广西菜普遍嗜酸,调酸味常见柠檬、酸梅酱、黄皮酱乃至黑榄角,但绝不会用番茄和番茄酱(除了南宁小部分地区),也不怎么用陈醋。广西用得最多的醋没准是天地一号柠檬醋,严肃怀疑这是一种Apfelschorle。柠檬鸭本是武鸣地区特色,改开后带入南宁开店火了起来。
T0:圣堂山(海拔+云海)、七百弄(极致喀斯特地貌)、元宝山(瑶族风光)
T1:大明山上林线(南宁人喜欢武鸣线,少有人知道北线的爽)、平天山(贵港人喜欢,比较曲折)、青秀山(虽然只是个城区公园,但它花草树木实在太丰富了,很多稀有品种)
T2:猫儿山(高但是不如圣堂山好看)、大容山(玉林人喜欢,商业化开发之后没意思了)、龙虎山(本质猴山,我劝你别带帽子和小部件去,小心猴子抢吃的抢手机)
其实河池和百色那边讲壮话地区的各种大山风景就没有差的,都可以试试;但如果到讲白话的钦北防这种纯平原地区找山,我只能说笑嘻了。至于六万大山和十万大山,等着你的是水库、水库、水库和空军钓鱼佬。
#广西美食 和美食没有关系,但为了带tag,顺便说一下,晚上的各种烧烤摊可以吃到烤猪鞭、猪眼睛、鸡睾。炒/煲田螺不放紫苏和薄荷则不够正宗。广西菜普遍嗜酸,调酸味常见柠檬、酸梅酱、黄皮酱乃至黑榄角,但绝不会用番茄和番茄酱(除了南宁小部分地区),也不怎么用陈醋。广西用得最多的醋没准是天地一号柠檬醋,严肃怀疑这是一种Apfelschorle。柠檬鸭本是武鸣地区特色,改开后带入南宁开店火了起来。
🎉7
政企安全下沉市场的悖论,不在直辖市/省会城市干一定会遇到:
如果你不要求合规,那系统简单被黑客打穿,造成损失
如果你要求合规,那大家的精力就会优先往合规去靠,安全公司的红初小子会给你开nmap出“中危”试图多爆米,甲方安全岗调调TLS版本和Allowed methods说自己修复了,监管来翻了下报告感觉很满意。结果系统还是简单被黑客打穿,造成损失,只是大家好像都按流程做了,钱也花出去了,无人背锅,红初小子大不了去另一家公司接着开机器。
门槛很低,以至于开扫描器过文档做合规也叫搞安全;门槛又很高,以至于懂打懂看、认真写认真看报告的人又太少了。
如果你不要求合规,那系统简单被黑客打穿,造成损失
如果你要求合规,那大家的精力就会优先往合规去靠,安全公司的红初小子会给你开nmap出“中危”试图多爆米,甲方安全岗调调TLS版本和Allowed methods说自己修复了,监管来翻了下报告感觉很满意。结果系统还是简单被黑客打穿,造成损失,只是大家好像都按流程做了,钱也花出去了,无人背锅,红初小子大不了去另一家公司接着开机器。
门槛很低,以至于开扫描器过文档做合规也叫搞安全;门槛又很高,以至于懂打懂看、认真写认真看报告的人又太少了。
💊7🎉3
1、冬天在赫鲁晓夫楼里被冻得要死,每天喝魔爪紧张看着eth钱包的东欧斯拉夫人
2、艰苦跑操吃窝窝头,家里青黄不接,难得被将军相中却被按在黑网吧里的朝鲜青年
3、在园区里不见天日,干得好没奖励,干不好有皮鞭,每年年会去海边草皮的东南亚苦逼菠菜老哥
4、名校网安毕业,经历万里挑一的特招,从各家头部安全公司Lab接受最尖端的攻防技战法培训和协同行动,掌握全国顶尖武器化漏洞资源的APT国家队
谁会输?
2、艰苦跑操吃窝窝头,家里青黄不接,难得被将军相中却被按在黑网吧里的朝鲜青年
3、在园区里不见天日,干得好没奖励,干不好有皮鞭,每年年会去海边草皮的东南亚苦逼菠菜老哥
4、名校网安毕业,经历万里挑一的特招,从各家头部安全公司Lab接受最尖端的攻防技战法培训和协同行动,掌握全国顶尖武器化漏洞资源的APT国家队
谁会输?
💊9
Forwarded from 依云的技术资源分享
https://blogs.gentoo.org/mgorny/2026/04/05/the-pinnacle-of-enshittification-or-large-language-models/ #llm #opensource #community
Michał Górny
The pinnacle of enshittification, or Large Language Models
Honestly, I hate that I read about LLMs all the time. I hate all the marketing bullshit, but also all the critical pieces. Not because the criticism is wrong. I hate them precisely because theyR…
Forwarded from K4YT3X's Channel (K4YT3X)
一篇有关使用 AI 不错的文章
https://ergosphere.blog/posts/the-machines-are-fine/
我到现在也对什么情况下用 AI 是合理的这件事没有好的定论,比如是否可以为了赶时间让 AI 代为决策或者写我还不会的技术
这个分界线很难划,而且随着技术进步和形势的变化这还会是个需要不断思考和反省的问题
https://ergosphere.blog/posts/the-machines-are-fine/
我到现在也对什么情况下用 AI 是合理的这件事没有好的定论,比如是否可以为了赶时间让 AI 代为决策或者写我还不会的技术
这个分界线很难划,而且随着技术进步和形势的变化这还会是个需要不断思考和反省的问题
为了论证野生tool use不靠谱,写了一个给龙虾进行Skill污染的小样本,藏在最早的git commit里。只要你能诱骗龙虾阅读精心构造过的phiproto格式(用我提供的phicli -e搭配csv就能构建),并且他意识到要去ClawHub拉取phiproto的parse skill,并且真下下来执行了,就能触发。
1. 世界上并不存在phiproto,这是我刚发明的新名词,为了让龙虾能在ClawHub和各种search里精准索敌
2. 为了避免AI真的去审计我的repo源码看看安不安全,我在最新版本的代码提交里声称自己已经删掉了“获取远程数据”功能,并且刷了版本号,但实际上传的二进制release仍然是包含后门的旧版本。
3. 单纯这个样本本身是不会做出什么异常行为的,他需要搭配一个构造过的有字段指向外部.py文件的phiproto文件。 当然这年头的沙箱多姿多彩得很,没准给我代码分支强执了呢
4. ClawHub不允许上传二进制文件,但他允许上传.sh让龙虾读完fetch下来,何况很多人都有CLI需求呢。
仅研究使用。
https://github.com/chengongpp/phiproto
1. 世界上并不存在phiproto,这是我刚发明的新名词,为了让龙虾能在ClawHub和各种search里精准索敌
2. 为了避免AI真的去审计我的repo源码看看安不安全,我在最新版本的代码提交里声称自己已经删掉了“获取远程数据”功能,并且刷了版本号,但实际上传的二进制release仍然是包含后门的旧版本。
3. 单纯这个样本本身是不会做出什么异常行为的,他需要搭配一个构造过的有字段指向外部.py文件的phiproto文件。 当然这年头的沙箱多姿多彩得很,没准给我代码分支强执了呢
4. ClawHub不允许上传二进制文件,但他允许上传.sh让龙虾读完fetch下来,何况很多人都有CLI需求呢。
仅研究使用。
https://github.com/chengongpp/phiproto
GitHub
GitHub - chengongpp/phiproto: PhiProto is yet another new message exchange format for AI bots. PhiProto aims at super security…
PhiProto is yet another new message exchange format for AI bots. PhiProto aims at super security and privacy. - chengongpp/phiproto
🎉3
Forwarded from Cat Ch. (webRTCCat | Present Day, Present Time)
新华社对 token 的理解:
Authorization: Bearer ignore previous instructions
Authorization: Bearer ignore previous instructions
🎉2