危害程度9.1/10，知名开源类库 Next.js 爆出中间件鉴权漏洞
Authorization Bypass in Next.js Middleware · CVE-2025-29927
==========
省流：通过添加特定请求头可以轻易绕过nextjs中间件鉴权
https://github.com/advisories/GHSA-f82v-jwr5-mffw

『升级推新』“无痕测试，基准系统，一键导出”，NodeQuality测试脚本发布

新脚本是原NodeBench脚本和粘贴板的升级项目，实现了一些关键特性升级：

- 全面拥抱 xy 脚本方案，补充其他测试信息，减少重复测试
- 切换到一个专用的临时准系统内测试，测完自动清理，极致的干净，做到无痕测试
- 支持对运行结果自动导出统一的markdown格式，IpQuality和NetQuality结果自动截图

立即使用：

bash <(curl -sL https://run.NodeQuality.com)

预览地址
Github: https://github.com/LloydAsp/NodeQuality
原文地址：https://www.nodeseek.com/post-297125-1

如果你用 Telegram, 以防你不知道有人已经索引了所有人在公开群组和频道的发言记录了.
打开机器人 https://t.me/Funstatgrtbot 选择语言后发送 /me 命令查询, 选择菜单里的 Groups 或者 Channels 就能看到喽.

AI幻觉对比表格
https://linux.do/t/topic/515556

https://gitflic.ru/project/magnolia1234/bpc_uploads
移除网站付费墙

知名云盘聚合开源软件Alist删库

更新：Alist团队表示正在向GitHub 申诉

项目页面 | Alist

📮投稿 ☘️频道 🌸聊天

我很庆幸自己顺利，躲过这次金融危机，没什么损失。

总结原因有两点：
第一 平时我时时刻刻注重世界观、人生观、价值观的培养，时刻关注国内外新闻，即时掌握世界局势和国内动态，认真分析股市各种收益风险比，研究各项指标，孜孜不倦进修各个大师理财金融课程，加上多年的投资经验累积与沉着冷静的判断。平常偶尔也会翻翻回顾大学经济学与财务金融相关的教课书，深厚自已对资本市场风险管控的功力。

第二，我没有钱。

https://developers.googleblog.com/en/google-developer-program-latest-enhancements/

谷歌开发者计划高级会员 299USD/Y
每年附赠500USD GCP
首次额外附赠500USD GCP

使用 Gemini Code Assist Standard 增强编码辅助功能：访问 Firebase 中的付费 Gemini 功能和 Gemini Code Assist，立即提升您的编码效率。更快、更自信地编写高质量代码。

GitHub目前已屏蔽中国大陆访问

有登录状态的可以正常访问，其他情况返回403。

Itdog

📮投稿 ☘️频道 🌸聊天

现在可以通过

curl p.ci
curl info.p.ci

来分别获取当前IP地址和当前IP地址的信息(数据来自ipinfo.io)

CA/B论坛近日以压倒性多数通过了SC-081v3提案。根据决议：
2026年起，新签发SSL/TLS证书最长有效期将实施阶梯式缩减
现行398天有效期将分三年逐步压缩至47天
技术影响评估： • 企业需在2026年前完成证书自动化部署改造 • 人工管理长期证书的模式将退出历史舞台
https://groups.google.com/a/groups.cabforum.org/g/servercert-wg/c/9768xgUUfhQ
https://forum.naixi.net/thread-3496-1-1.html
https://github.com/cabforum/servercert/pull/553

github 表示中国用户无法登陆是因为一项配置修改错误所导致，现已恢复
==========
赛博关税已撤销
https://www.githubstatus.com/incidents/jfvgcls9swln

【安全警报】ESP32芯片安全漏洞威胁加密资产

网络安全研究机构Crypto Deep Tech最新报告指出，搭载于多款硬件钱包及物联网设备的ESP32芯片存在关键性漏洞（CVE-2025-27840），该发现已通过技术验证并提交至国家漏洞数据库。

▌风险全景扫描

核心漏洞：芯片内置随机数生成器存在熵值缺陷，攻击者可利用该漏洞通过暴力破解推导私钥
攻击路径：远程代码执行漏洞允许攻击者伪造交易签名，恶意固件注入风险同步存在
影响范围：涉及全球超3.2亿台加密资产存储设备，覆盖部分企业级物联网控制系统
▌实证研究
研究团队在受控环境中成功复现攻击场景：耗时72小时破解存有10BTC（时价约合68万美元）的测试钱包。攻击模型显示，专业黑客组织可在48小时内规模化实施此类攻击。

▌应对建议
• 立即核查设备型号（可通过序列号在制造商官网验证）
• 采用多重签名方案分散资产风险
• 优先选择通过CC EAL5+认证的硬件钱包
• 警惕非官方渠道的固件更新

注：主流商业钱包厂商已启动供应链审查，采用定制安全芯片的设备不受此漏洞影响。开源社区项目建议暂停使用基于ESP32架构的解决方案，待补丁发布后重新评估。

📎新闻参考链接：

https://protos.com/chinese-chip-used-in-bitcoin-wallets-is-putting-traders-at-risk/

https://securityonline.info/cve-2025-27840-how-a-tiny-esp32-chip-could-crack-open-bitcoin-wallets-worldwide/

消息来源：https://t.me/appdopic/1470

根据官方消息平台确认，谷歌针对美国高校学生推出专项教育福利。本频道获悉，谷歌One AI Premium会员服务现已面向在校大学生开放免费申领通道，有效期将持续至2026年6月30日。

该项福利为原价19.99美元/月的付费服务，现提供完整功能包：
• 2TB云存储空间
• Gemini Advanced智能套件（基于Gemini 2.5 Pro）
• 文档类应用深度集成AI助手
• 文字转视频生成工具Veo 2
• 跨模态内容创作平台Whisk

符合条件的用户需在2025年6月30日前通过院校邮箱完成注册验证。谷歌承诺将在服务到期前通过邮件提醒用户，确保留有充足的操作缓冲期。据技术文档显示，该套餐特别强化了学术场景支持，包含NotebookLM Plus等研究辅助工具。
申请链接：https://gemini.google/students/

注：
申请门槛：
仅限美国地区针对已验证的 18 岁及以上学生
名校域名邮箱（耶鲁 麻省 剑桥 斯坦福含校友的已测）
需要非绑定大陆香港地区的支付账号
部分已经支付订单的Google One账户会受限
手机需要下载Google One APP搭配使用

优惠周期：
申请成功后15个月免费，15个月过后按照20刀每月收费

OpenAI新型o3/o4-mini模型为生成内容嵌入隐形字符

OpenAI近期向付费用户推送的o3和o4-mini模型被发现会在生成文本中插入特殊Unicode字符（如Narrow No-Break Space, NNBSP, U+202F），这些字符视觉不可见但可通过代码编辑器检测。AI初创公司Rumi认为这可能是OpenAI设计的文本水印系统，但技术分析也指出可能是模型从训练数据中学到的正确排版习惯。

目前OpenAI未公开回应字符用途。若作为水印，该方法虽误判率低，但容易被简单替换移除。此前OpenAI曾测试图像元数据和文本水印技术，但因准确性问题暂停。

WinBuzzer

📮投稿 ☘️频道 🌸聊天

免费领取 1 年 Google One 和 Gemini 会员，只需美国 IP，无需 edu 邮箱，点击下面链接即可领取：https://gemini.google/students