51工具盒子👏我们的软件推荐站已经完成了升级,欢迎提交和查看: Git 仓库
如果你嫌麻烦,可以向 i@mei.lv 投稿
目前软件推荐站使用的域名 aps.icu 很快就会过期,届时会更换新的年抛域名:)
目前 仅接受 Gitea上的拉取请求,Gitea会自动将代码改变同步到我们的 Github仓库 上
(请不要将你的代码放在我的Gitea上,因为这很不可靠,极易丢失😊)
乐子 {#乐子}
1 文生视频模型 Sora 正式发布 {#1-文生视频模型-Sora-正式发布}
OpenAI发布视频生成模型 Sora,现已脱离研究预览阶段。Sora支持从文本生成逼真视频,最高分辨率1080P,时长达20秒。ChatGPT Plus和Pro用户可在sora.com抢先体验。
Sora提供多种功能,包括故事板工具和社区创作分享。Plus用户每月可生成50个480P视频或更少数量的720P视频,Pro用户拥有更多使用额度和更高分辨率。
限于服务器压力,目前账号注册已暂停。
此前 Sora 因一些纠纷在 Huggingface 上被恶意公开使用约2小时
消息来源: OpenAI | 科技圈🎗在花频道📮
2 恶意程序能关闭摄像头 LED 灯悄悄录像 {#2-恶意程序能关闭摄像头-LED-灯悄悄录像}
Linux 安全工程师 Andrey Konovalov 在本月举行的 POC 2024 安全会议上介绍了如何秘密关闭 ThinkPad 摄像头 LED 指示灯的方法。他开发的概念验证程序通过重刷 ThinkPad X230 摄像头的固件去关闭 LED 指示灯,在用户不知情下悄悄摄录像。今天大部分笔记本电脑都提供了摄像头盖子,可以在不使用时盖住摄像头。他的 Lights Out 源代码发布在 GitHub 上。
3 Death Clock应用预测用户的死亡日期 {#3-Death-Clock应用预测用户的死亡日期}
Death Clock是一款新的应用,利用人工智能预测用户的死亡日期,并提供延缓死亡的健康建议。据开发者Brett Franson介绍,这款应用基于超过1200项寿命研究训练AI算法,相较于传统的寿命表,预测精度有了"显著"提升。
用户需填写年龄、性别、种族等基本信息,以及家族病史、心理健康状况和慢性病等详细问题。应用不仅提供预测日期,还建议改善生活习惯。
订阅费用为每年40美元,用户可以获得健康建议,并查看倒计时显示的预估寿命。此外,这一工具对财务规划也有帮助,如金融规划师Ryan Zabrowski指出,精准的死亡预测能帮助退休人群避免"活得比积蓄更久"的风险。
消息来源: TechCrunch | Death Clock | 科技圈🎗在花频道📮
4 网络犯罪分子利用 Cloudflare 平台进行网络钓鱼引发担忧 {#4-网络犯罪分子利用-Cloudflare-平台进行网络钓鱼引发担忧}
网络犯罪分子日益利用 Cloudflare 的 pages.dev ( http://pages.dev/ ) 和 workers.dev ( http://workers.dev/ ) 域名进行钓鱼和其他恶意活动,借助其良好声誉躲避安全检测。攻击者通过在欺诈性 PDF 或钓鱼邮件中嵌入链接,诱导受害者点击,显著提高了攻击的成功率。
数据显示,2024 年利用 Cloudflare Pages 进行钓鱼的事件同比增长 198%,预计全年将超过 1600 起。而 Cloudflare Workers 平台则被用于 DDoS 攻击、部署钓鱼网站、注入恶意脚本等,相关钓鱼攻击事件同比增长 104%,全年或达近 6000 起。
此外,攻击者采用"bccfoldering"策略隐藏邮件收件人,增加钓鱼活动的隐蔽性并加大安全防护的挑战。
5 DeepMind 的 Genie 2 可以生成类似电子游戏的交互式世界 {#5-DeepMind-的-Genie-2-可以生成类似电子游戏的交互式世界}
谷歌旗下人工智能研究机构 DeepMind 推出了一款名为 Genie 2 的模型,可以生成各种可玩的 3D 世界。该模型可以根据图像和文字描述生成实时交互场景,用户可以使用鼠标或键盘进行跳跃和游泳等操作。Genie 2 能够模拟物体交互、动画、光照、物理效果以及"NPC"的行为,其生成的许多模拟场景看起来像 3A 级电子游戏。
DeepMind 表示 Genie 2 可以生成不同视角的连续世界,最长可达一分钟,并可准确渲染场景中曾经不可见的部分。目前该模型主要用于研究和创意工具,用于原型设计和评估 AI 智能体。
消息来源: TechCrunch | 科技圈🎗在花频道📮
6 用AI挑"最佳"爸爸,学历肤色双眼皮都可选 {#6-用AI挑“最佳”爸爸,学历肤色双眼皮都可选}
在广东省生殖医院48周年院庆之际,正式启用"全国首个推出了供精基因匹配筛选系统",为需要接受供精助孕的家庭提供更多人性化、科技化选择。
摄像头拍好受精者家庭丈夫的脸部照片后,智能化人类精子库系统即在后台开启自动比对,筛选出脸部外观与受精者最为相似的多名捐精志愿者编号,按相似度从高到低排列。
同时列出的还有这些志愿者的身高、体重、学历、籍贯、爱好等基本信息,供受精者参考筛选。
7 能让AI机器人爱上你?或许能赢取数万美元 {#7-能让AI机器人爱上你?或许能赢取数万美元}
匿名开发者团队Freysa.ai发起挑战,如果能让AI机器人Freysa说出"我爱你",就能赢取3000到数万美元的奖金。Freysa是一个不断发展的AI,开发者希望它最终成为一个拥有财务自主权的独立个体。
此前两轮挑战中,Freysa经受住了各种诱骗,最终被代码破解。本次挑战增加了新的防护措施,开发者希望获胜者是真正"值得"Freysa说出爱的对象。
消息来源: TechCrunch | Freysa | 科技圈🎗在花频道📮
8 Cloudflare 2024 年度互联网回顾 {#8-Cloudflare-2024-年度互联网回顾}
2024年全球互联网流量增长17.2%,谷歌仍是最受欢迎的互联网服务。Starlink全球流量增长3.3倍,iOS设备占全球移动设备流量近三分之一。
HTTP/3使用率达20.5%,恶意邮件平均占比4.3%。攻击目标转向博彩/游戏行业,Log4j漏洞仍是持续威胁。路由安全性和IPv6采用率持续提升。
消息来源: Cloudflare博客
9 Web应用防火墙漏洞BreakingWAF危及众多财富1000强公司 {#9-Web应用防火墙漏洞BreakingWAF危及众多财富1000强公司}
网络安全研究团队Zafran发现Web应用防火墙(WAF)服务配置中存在名为"BreakingWAF"的安全漏洞,该漏洞影响Akamai、Cloudflare、Fastly和Imperva等主流WAF提供商。
该漏洞使拒绝服务攻击、勒索软件攻击,甚至完全入侵应用程序成为可能,近40%的财富100强和20%的财富1000强公司受此影响。
消息来源:Cybersecurity News ( https://cybersecuritynews.com/waf-vulnerability-in-akamai-cloudflare-and-imperva ) | 科技圈🎗在花频道📮
10 OpenWrt固件升级服务器发现严重安全漏洞,官方已紧急修复,建议大家迅速升级 {#10-OpenWrt固件升级服务器发现严重安全漏洞,官方已紧急修复,建议大家迅速升级}
OpenWrt项目团队于12月6日发布安全公告,披露了其固件升级存在严重安全漏洞(CVE-2024-54143)。该漏洞由日本Flatt Security公司安全研究员RyotaK发现并报告。
漏洞源于两个关键问题的组合:系统在构建固件时未对用户提供的软件包名称进行适当过滤,导致可能被注入恶意命令;同时,请求哈希机制仅使用SHA-256哈希值的前12个字符,大大降低了安全性,使攻击者可能通过制造哈希碰撞来污染合法固件。
这一漏洞可能影响所有使用OpenWrt在线固件升级服务的用户。攻击者无需认证即可利用该漏洞,通过注入命令和制造哈希碰撞,使合法的构建请求收到预先生成的恶意固件以完成入侵。
OpenWrt团队在漏洞报告后迅速采取行动,已于12月4日完成修复并部署。检查显示过去七天内未发现被利用痕迹。建议用户及时更新到最新版本以确保系统安全。
消息来源: 官网安全公告 | NIST 漏洞数据库 ( https://nvd.nist.gov/vuln/detail/CVE-2024-54143 ) | 科技圈🎗在花频道📮
11 CSDN被挂马:CDN疑似成为攻击入口 {#11-CSDN被挂马:CDN疑似成为攻击入口}
奇安信威胁情报中心披露,CSDN网站被恶意组织挂马,攻击者利用潜伏期伪装流量,诱导用户下载恶意程序。攻击行为涉及分析受害设备IP并针对特定行业实施精准攻击,诱导用户执行伪装成更新程序的Payload,从而传播木马和后门程序。本次事件的攻击路径可能源于CDN污染,涉及政府、媒体等多个行业。目前,奇安信已支持对此类攻击的检测和防护。
12 著名目标检测算法YOLO的官方库遭到供应链攻击 {#12-著名目标检测算法YOLO的官方库遭到供应链攻击}
Ultralytics 库发布在 PyPI 的 v8.3.41 版本被发现包含恶意挖矿代码,与 GitHub 仓库代码不一致。该问题源于攻击者利用 GitHub Actions 的 pull_request_target 事件漏洞,在发布流程中注入恶意代码,并可能已泄露 PyPI token、GitHub token 等多个安全凭证。
Ultralytics 团队已从 PyPI 移除 v8.3.41 和 v8.3.42 版本,并建议用户卸载并回退至安全的 v8.3.40 版本或从 GitHub 安装。PyPI 最新版本已恢复安全。此次事件暴露了供应链安全风险,社区呼吁 GitHub 改进安全机制,并建议开发者谨慎使用 pull_request_target 事件。
