LiteLLM 存在 SQL 注入漏洞,无需凭证即可读取 API 密钥
LiteLLM 是一个大模型统一接口库,其 Proxy 组件被发现存在 SQL 注入漏洞(CVE-2026-42208)。攻击者无需任何有效凭证,通过构造 Bearer token 即可在认证失败的错误日志中注入 payload,从而未授权读取数据库内保存的各厂商大模型 API 密钥。公网暴露的实例风险极高。官方已在 v1.83.7-stable 中修复,同时建议用户升级后修改所有已存密钥,或设置 disable_error_logs: true 关闭错误日志。微步情报局于 2026 年 4 月 28 日收录该漏洞,并已向订阅用户推送情报,旗下 TDP 产品支持检测。
微步在线研究响应中心
🌸 在花频道 · 茶馆讨论 · 投稿通道
LiteLLM 是一个大模型统一接口库,其 Proxy 组件被发现存在 SQL 注入漏洞(CVE-2026-42208)。攻击者无需任何有效凭证,通过构造 Bearer token 即可在认证失败的错误日志中注入 payload,从而未授权读取数据库内保存的各厂商大模型 API 密钥。公网暴露的实例风险极高。官方已在 v1.83.7-stable 中修复,同时建议用户升级后修改所有已存密钥,或设置 disable_error_logs: true 关闭错误日志。微步情报局于 2026 年 4 月 28 日收录该漏洞,并已向订阅用户推送情报,旗下 TDP 产品支持检测。
微步在线研究响应中心
🌸 在花频道 · 茶馆讨论 · 投稿通道
😱136😁29🤣15❤5👎3
科技圈🎗在花频道📮
NVIDIA 推出 Nemotron 3 Nano Omni,统一视觉、音频和语言处理,采用 30B-A3B 混合专家架构,无需为不同模态部署独立模型。该模型在复杂文档智能、音视频理解等六个排行榜领先,AI 代理吞吐量较其他开放 omni 模型最高提升 9 倍,支持 1920×1080 原生输入分辨率。已获富士康、Palantir 等采用,Hugging Face 等平台可获取。
NVIDIA Blog
🌸 在花频道 · 茶馆讨论 · 投稿通道
Please open Telegram to view this post
VIEW IN TELEGRAM
👍99☃12👎4❤3👏2
科技圈🎗在花频道📮
消息称苹果或跳过 iPhone 19,2027 年直接发布 iPhone 20 据 Omdia 高级研究员 Heo Moo-yeol 透露,苹果公司计划跳过 iPhone 19,于 2027 年直接推出 iPhone 20 系列,以纪念初代 iPhone 发布 20 周年。此次发布预计将带来重大设计革新,并可能采用分批上市策略,部分型号在 2027 年初发布,其余型号在年末推出。 设计上的重大更新可能包括曲面玻璃边缘、超窄边框以及屏下 Face ID 和摄像头系统。此外,有报道称苹果正在为 2026-2027…
据爆料者的说法,苹果可能在 2027 年推出 20 周年纪念版 iPhone,目标是让屏幕边框几乎不可见,营造全屏观感,但不会采用早期安卓机常见的瀑布曲面屏方案。
爆料称,这款机型可能结合光学折射、导光结构和视觉设计来弱化边框,前置摄像头也可能放到屏幕下方,从而取消现有开孔或 Dynamic Island。
Cult of Mac
🌸 在花频道 · 茶馆讨论 · 投稿通道
Please open Telegram to view this post
VIEW IN TELEGRAM
❤192😁57🤯31👎26👍8🤣6👀3🤷♂1
Google 介绍,Google Translate 目前支持近 250 种语言和逾 6 万个语言对,覆盖全球约 95% 人口;每月有超过 10 亿用户使用,月翻译量约 1 万亿词。产品已从早期统计机器学习转向神经网络,如今结合 Gemini 模型和 TPU 持续优化翻译能力。
20 周年新增“发音练习”功能,可在 Android 版应用中用 AI 分析语音并即时反馈,现已在美国和印度向英语、西班牙语、印地语开放。文中还提到 Live translate、离线翻译、Lens 视觉翻译和 Circle to Search 等用法。
🌸 在花频道 · 茶馆讨论 · 投稿通道
Please open Telegram to view this post
VIEW IN TELEGRAM
👍250❤16🥰10🤔5👎2
科技圈🎗在花频道📮
Please open Telegram to view this post
VIEW IN TELEGRAM
👎156😁54👍17🤷♂8🤪7💊5❤2🤨1
终端工具 Ghostty 将离开 GitHub。创始人 Mitchell Hashimoto 是 GitHub 早期用户(ID 1299),使用超过 18 年,但近期 GitHub 频繁宕机已影响其团队日常开发。该决定已酝酿数月,最终于本周敲定。项目将逐步迁移,目标平台尚未公布,当前仓库会保留只读镜像。Hashimoto 个人其他项目暂留 GitHub。
Mitchell Hashimoto(@mitchellh) | Mitchell Hashimoto
🌸 在花频道 · 茶馆讨论 · 投稿通道
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯236🤔22👍14👎11🌚8😭6😁3❤2
科技圈🎗在花频道📮
白宫正起草行政令,拟允许联邦机构绕过对 Anthropic 的供应链风险认定并启用其最强模型 Mythos。此举可能逆转此前将 Anthropic 列为安全威胁的立场。多方消息称,白宫此举意在“挽回颜面并重新接纳该公司”。
与此同时,五角大楼仍与 Anthropic 因使用条款僵持:Anthropic 拒绝签署允许“所有合法用途”的协议,坚持禁止用于大规模国内监视或全自主武器,导致国防部认定其非可靠伙伴并发出风险警告。但 NSA 已在试用 Mythos,其他机构也在积极争取访问权限。
Axios
🌸 在花频道 · 茶馆讨论 · 投稿通道
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣297😁20💊12👎9🤪4🥰3😱3👾3
美国商务部下令设备商暂停向华虹部分供货,进一步限制中国先进芯片发展
据路透社援引知情人士,美国商务部上周向 Lam Research、Applied Materials、KLA 等至少数家芯片设备公司发函,要求停止向华虹集团旗下两座工厂运送部分工具和材料。受限设施包括上海 Fab 6(28/22 nm)和在建的 8a,旨在阻止其用于先进制程。该集团此前已研发出 7 nm 工艺,并计划 2026 年底前在华力微电子实现每月数千片晶圆的初始产能。
此事可能使设备商损失数十亿美元销售,并加剧中美紧张。美国通过“被告知”信函绕过冗长规则制定,快速施加新许可限制。华虹、相关企业及商务部均未予置评。
Reuters
🌸 在花频道 · 茶馆讨论 · 投稿通道
据路透社援引知情人士,美国商务部上周向 Lam Research、Applied Materials、KLA 等至少数家芯片设备公司发函,要求停止向华虹集团旗下两座工厂运送部分工具和材料。受限设施包括上海 Fab 6(28/22 nm)和在建的 8a,旨在阻止其用于先进制程。该集团此前已研发出 7 nm 工艺,并计划 2026 年底前在华力微电子实现每月数千片晶圆的初始产能。
此事可能使设备商损失数十亿美元销售,并加剧中美紧张。美国通过“被告知”信函绕过冗长规则制定,快速施加新许可限制。华虹、相关企业及商务部均未予置评。
Reuters
🌸 在花频道 · 茶馆讨论 · 投稿通道
👏108🥱46😁31👎15❤5💅4🎉3🤷♂2
Anthropic 近期悄悄把 Claude Code 的企业开发者日均 Token 预估成本从 6 美元上调到约 13 美元;月均预估为每名开发者 150 至 250 美元。旧页面显示 90% 用户日成本低于 12 美元,现在改为低于 30 美元。
其增长负责人 Amol Avasare 此前表示,随着 AI agent 的普及,单用户的使用量大幅增加,而现有的 Claude code 订阅方案并不是按照当前这种高使用强度来设计的。
Business Insider | Amol Avasare | Claude Code Docs
🌸 在花频道 · 茶馆讨论 · 投稿通道
Please open Telegram to view this post
VIEW IN TELEGRAM
😁168👎85🐳11🤣5👍3❤2
科技圈🎗在花频道📮
山西“订婚强奸案”入选最高法案例,明确订婚不等于性同意 山西大同“订婚强奸案”入选最高人民法院发布的参考案例。裁判要旨指出:订婚不代表对性行为存在默示同意,不存在“订婚即有性权利”。若行为人违背妇女意志,以暴力、胁迫等手段发生性关系,构成强奸罪,应依法追究刑责。同时,泄露依法不公开审理案件信息的行为也将依法追责。此案明确保护女性性自主权,厘清公众法律认知。 正在新闻 📮投稿 ☘️频道 🐶618红包
欧洲议会力推“只有‘是’才算同意”的强奸罪新标准
欧洲议会 28 日以明显多数通过一项决议,呼吁欧盟统一强奸罪法律定义,引入“只有明确同意才构成合法性行为”的认定标准。决议提出,性行为是否构成犯罪,应以是否存在“自愿、知情且可撤回的同意”为核心判断依据,并明确指出,沉默、未反抗、既往亲密关系或婚姻关系,均不能被视为同意。这一立场被称为“Only yes means yes(只有‘是’才代表同意)”。
该模式最早由瑞典在 2018 年立法确立。尽管支持者认为有助于加强对受害者的保护,反对意见则担忧举证和司法适用难度。相关决议尚不具法律效力。
European Parliament News | European Parliament Report
🌸 在花频道 · 茶馆讨论 · 投稿通道
欧洲议会 28 日以明显多数通过一项决议,呼吁欧盟统一强奸罪法律定义,引入“只有明确同意才构成合法性行为”的认定标准。决议提出,性行为是否构成犯罪,应以是否存在“自愿、知情且可撤回的同意”为核心判断依据,并明确指出,沉默、未反抗、既往亲密关系或婚姻关系,均不能被视为同意。这一立场被称为“Only yes means yes(只有‘是’才代表同意)”。
该模式最早由瑞典在 2018 年立法确立。尽管支持者认为有助于加强对受害者的保护,反对意见则担忧举证和司法适用难度。相关决议尚不具法律效力。
European Parliament News | European Parliament Report
🌸 在花频道 · 茶馆讨论 · 投稿通道
😡160💅123😁59👍41👎5🤔4🍌3❤2
科技圈🎗在花频道📮
GitHub 内部 git 基础设施远程代码执行漏洞(CVE-2026-3854)影响 GHES 与 GitHub.com
Wiz Research 发现 GitHub 内部 git 基础设施的关键漏洞 CVE-2026-3854。攻击者只需一次 git push,即可通过注入 X-Stat 头字段,在 GitHub Enterprise Server 上完全接管服务器,或在 GitHub.com 的共享存储节点上远程执行代码,并已确认可访问节点上其他用户和组织的数百万仓库。漏洞源于多个内部服务对协议字段解析的假设不一致。GitHub 在收到报告后 6 小时内修复了 GitHub.com,并已发布 GHES 补丁(需升级至 3.19.3),但截至文章发布时仍有 88% 的实例未修复。
Wiz Blog
🌸 在花频道 · 茶馆讨论 · 投稿通道
Wiz Research 发现 GitHub 内部 git 基础设施的关键漏洞 CVE-2026-3854。攻击者只需一次 git push,即可通过注入 X-Stat 头字段,在 GitHub Enterprise Server 上完全接管服务器,或在 GitHub.com 的共享存储节点上远程执行代码,并已确认可访问节点上其他用户和组织的数百万仓库。漏洞源于多个内部服务对协议字段解析的假设不一致。GitHub 在收到报告后 6 小时内修复了 GitHub.com,并已发布 GHES 补丁(需升级至 3.19.3),但截至文章发布时仍有 88% 的实例未修复。
Wiz Blog
🌸 在花频道 · 茶馆讨论 · 投稿通道
😱137🤣22❤6🙈3😁2🤯2👎1🤨1
Please open Telegram to view this post
VIEW IN TELEGRAM
🤩381🐳144👍36🤣17❤5🥰3😁3👏2
OPPO 内部宣布一加、realme 合并,成立子系列事业部
OPPO 发布内部公告,一加与 realme 正式合并,组建子系列事业部。高级副总裁李炳忠任总经理,原 realme 营销服总裁徐起出任事业部营销服负责人。产品端同步成立子系列产品中心,李杰担任负责人、直接向刘作虎汇报。原 realme 研发团队整体回归 OPPO,影像、硬件等部门并入对应体系,成为二级部门。
此前年初 realme 已回归 OPPO 成为子品牌,4 月起真我中国区售后服务全面接入 OPPO 网络。realme 人员已分批搬迁至 OPPO 滨海湾总部,后续将推进产品线复用与资源优化。
快科技
🌸 在花频道 · 茶馆讨论 · 投稿通道
OPPO 发布内部公告,一加与 realme 正式合并,组建子系列事业部。高级副总裁李炳忠任总经理,原 realme 营销服总裁徐起出任事业部营销服负责人。产品端同步成立子系列产品中心,李杰担任负责人、直接向刘作虎汇报。原 realme 研发团队整体回归 OPPO,影像、硬件等部门并入对应体系,成为二级部门。
此前年初 realme 已回归 OPPO 成为子品牌,4 月起真我中国区售后服务全面接入 OPPO 网络。realme 人员已分批搬迁至 OPPO 滨海湾总部,后续将推进产品线复用与资源优化。
快科技
🌸 在花频道 · 茶馆讨论 · 投稿通道
👎173😁48💊27🤯11🤣8👍6🤷♂2👏2