近日，抖音用户 BravAdo_7 爆料称，百度网盘在运行时锁定 CPU 频率至 3.8GHz、电压降至 0.9V，导致系统性能显著下降。关闭程序或重启电脑无法解决此问题，需还原电源计划才能恢复正常。

佬友们可以测试下，我测了下，我电脑影响跑分 100 分左右。哈哈哈。
解决方式：控制面板 -> 电源选项 -> 更改计划设置 -> 还原此计划的默认设置

补充视频地址：6.17 Tyt:/ 08/21 N@J.iC 复制打开抖音极速版，看看【长黄瓜 CuC 的作品】9700x 被锁 3.8 频率 0.9v 电压的原因终于知… https://v.douyin.com/0g1_tq0rrTc/

各位佬们好，

之前在版里分享过一个叫 Raw Alchemy 的小工具，主要用来解决 “想把视频的 S-Log/F-Log LUT 套在 RAW 照片上，结果颜色不对” 的问题。

当时那个版本虽然也能用，但界面比较 “直男”（见下图 1），只能算是个功能性软件，选图、对比都不太方便，甚至有点简陋。

听取了大家的建议，这段时间我把整个软件重写了！
带来了全新的 Raw Alchemy Studio 。

先看对比：

以前的版本 (功能单一，界面简陋)：

现在的版本 (暗色模式，现代化管理，支持选片)：

这次更新了什么？
不再只是一个单纯的 “格式转换器”，它现在是一个完整的选片 + 基础调色工作台 ：

1. 交互体验大升级 ：

• 抛弃了以前那种分离的窗口设计，改成了类似 Lightroom/Capture One 的暗色系集成界面 。

• 增加了文件库管理 ，左侧可以直接浏览文件夹缩略图，不需要再一张张 “打开文件” 了。

2. 核心功能：视频 LUT 完美兼容 (依然是杀手锏) ：

• 如果你是双修党，手里的 S-Log3、F-Log2、LogC4 视频 LUT，现在可以在这个软件里精准 地套用在 RAW 照片上。

• 底层逻辑是把 RAW 解码为 Linear 空间后，通过数学模型伪装成 Log 信号，色彩还原度吊打直接在 PS 里硬套。

3. 选片效率提升 ：

• 支持空格键对比 （原图 vs LUT 后）。

• 增加了 Tag (标记) 功能，可以快速过一遍片子，打上标，然后一键 “导出所有标记图片”。

4. 更多实用功能 ：

• 高光保护测光 ：自动曝光时优先保护高光不溢出。

• 镜头矫正 ：内置 Lensfun，自动修正畸变。

• 直方图 ：实时的 RGB 直方图，不再盲调。

下载地址 (GitHub)：
https://github.com/shenmintao/Raw-Alchemy/releases/tag/studio-v0.1.0
(Releases 里有打包好的 exe，开箱即用，无需安装环境)

这次改版主要是为了解决 “好用” 的问题。以前那是为了 “能用”，现在终于像个正经的后期软件了。
代码完全开源，免费使用。欢迎各位老哥下载体验，如果是索尼、富士、松下用户，一定要试试把你拍视频用的 LUT 套进去看看，效果绝对不一样。

有 Bug 欢迎反馈，觉得好用求个 Star！

base_url = “https://crs.yierbubu.ggff.net/openai”

有 h20 可以跑 sd

代码仓库：100GiB
对象存储：100GiB
云原生构建 - CPU：2026 核时 / 月
云原生开发 - CPU：20260 核时 / 月
特权有效期：永久
申请截止时间：2026 年 12 月 31 日

这里申请就可以了

新数据显示，ChatGPT在网络端的市场份额正被Gemini蚕食。目前尚不清楚Gemini在移动端是否同样取得进展。

网站分析公司SimilarWeb在新报告中指出，ChatGPT的市场份额在1月份降至65%，较其2025年1月86%的份额下降约20个百分点。

SimilarWeb数据显示，Gemini已突破20%的市场份额基准线，Grok则超过3%并逐步逼近DeepSeek。

数据还显示节假日期间使用AI工具的人数有所减少。例如在过去几周，所有工具的日均访问量降至8-9月水平。随着人们恢复工作，数据正在回升。

无论如何，随着其他竞品逐步追赶，ChatGPT显然已开始失去其主导地位。事实上，独立测试表明在处理复杂代码时Claude Code远优于ChatGPT，而Gemini在生成逼真AI图像方面更胜一筹。

与此同时，OpenAI内部正在酝酿在ChatGPT推出广告的策略。目前ChatGPT尚未出现广告，是因为公司担心广告可能激怒忠实用户，尤其是在消费者逐渐发现Gemini更具优势的时期。

JavaScript应用程序中用于生成PDF文档的jsPDF库存在一个严重漏洞，攻击者可通过将本地文件系统内容嵌入生成的文件来窃取敏感数据。

在jsPDF的Node.js构建版本中，'loadFile'函数用于读取本地文件系统。当用户可控的输入作为文件路径传递时，问题随之产生——这会导致jsPDF将指定文件的内容嵌入生成的PDF输出中。

漏洞利用示例

来源：Parallax

根据jsPDF安全公告，该问题仅影响库的Node.js构建版本，即dist/jspdf.node.js和dist/jspdf.node.min.js文件。

应用安全公司Endor Labs在详细技术报告中指出，如果文件路径采用硬编码、来自可信配置或对输入使用严格白名单机制，则漏洞利用风险较低或不存在。

CVE-2025-68428已在jsPDF 4.0.0版本中修复，修复方式包括默认限制文件系统访问，并转而依赖Node.js权限模式。

但Endor Labs研究人员指出，该模式在Node 20中仍处于实验阶段，因此建议使用22.13.0、23.5.0或24.0.0及以上版本。

另一个需要注意的问题是：开发者建议的临时解决方案——启用'--permission'标志会影响整个Node.js进程，而不仅仅是jsPDF。

Endor Labs同时强调，在'--allow-fs-read'配置标志中设置过于宽泛的文件系统权限会使修复措施失效。

过度宽松的配置

来源：Endor Labs

jsPDF团队建议旧版Node在将用户提供的路径传递给jsPDF之前进行路径净化处理。

鉴于jsPDF在众多项目中的广泛部署，CVE-2025-68428很可能被积极利用。

新一轮GoBruteforcer僵尸网络恶意软件攻击正针对暴露服务器上的加密货币和区块链项目数据库，这些服务器被认为使用了AI生成的配置示例进行部署。

GoBruteforcer亦被称为GoBrut。这是一个基于Golang的僵尸网络，通常针对暴露的FTP、MySQL、PostgreSQL和phpMyAdmin服务。

该恶意软件常利用被入侵的Linux服务器扫描随机公共IP地址，并实施暴力登录攻击。

利用薄弱防御

Check Point研究人员估计，目前有超过50,000台面向互联网的服务器可能易受GoBrut攻击。

他们指出，初始入侵通常通过运行XAMPP的服务器上的FTP服务实现，因为其配置常使用脆弱的默认密码，除非管理员专门进行安全配置。

"当攻击者使用标准账户（通常是daemon或nobody）和脆弱的默认密码获得XAMPP FTP访问权限后，典型下一步是将Web Shell上传至网站根目录。" ——Check Point

恶意软件活动在10-400秒延迟后启动，在x86_64架构上发起最多95个暴力破解线程，扫描随机公共IP地址段，同时跳过私有网络、AWS云地址段和美国政府网络。

每个工作线程生成单个随机公共IPv4地址，探测相关服务端口，遍历提供的凭据列表后退出。系统会持续生成新工作线程以维持设定的并发级别。

FTP模块依赖直接嵌入二进制文件的22组用户名-密码硬编码列表。这些凭据与XAMPP等网络托管堆栈中默认或常用部署账户高度重合。

GoBruteforcer感染链

Check Point表示，在近期攻击活动中，GoBruteforcer的活跃度因大型语言模型（LLM）生成的通用服务器配置片段被重复使用而提升，这导致appuser、myuser、operator等脆弱可预测的默认用户名大量扩散。

这些用户名频繁出现在AI生成的Docker和DevOps指令中，使研究人员相信相关配置已被应用于实际系统，从而导致它们易受密码喷洒攻击。

助长该僵尸网络近期活动的第二个趋势是XAMPP等过时服务器堆栈仍在使用默认凭据和开放FTP服务。这类部署暴露了脆弱的网站根目录，使得攻击者能够植入Web Shell。

Check Point的报告重点披露了一场攻击活动：受感染主机被植入TRON钱包扫描工具，可对TRON和币安智能链（BSC）进行全网扫描。攻击者使用包含约23,000个TRON地址的文件，通过自动化工具定位并清空非零余额的钱包。

防御GoBruteforcer的管理员应避免使用AI生成的部署指南，并采用非默认用户名配合高强度唯一密码。

同时建议检查FTP、phpMyAdmin、MySQL和PostgreSQL的服务暴露情况，并用更安全的替代方案替换XAMPP等过时软件堆栈。

OpenAI承诺，在推出专门用于健康对话的ChatGPT Health功能时，不会使用您的私人健康信息和对话内容来训练其AI模型。

ChatGPT Health为您提供了一个私密的健康对话空间，这也是该公司针对用户日益频繁使用ChatGPT进行健康咨询趋势的布局举措。

OpenAI在公告中表示：“我们正式推出ChatGPT Health——这是一个将您的健康信息与ChatGPT智能安全结合的专业化体验，旨在帮助您在管理健康时获得更充分的信息、更周全的准备和更坚定的信心。”

如果您已获得ChatGPT Health的早期体验资格，该功能将作为新模块出现在桌面版侧边栏及移动版的汉堡菜单中。

若希望在该功能开放时获得访问权限，您可以注册加入等候名单。

OpenAI特别说明：“我们首先会向小规模早期用户开放访问权限，以便持续学习并优化使用体验。”

BleepingComputer在测试中发现，当用户开启健康空间时，OpenAI明确承诺不会使用健康信息训练其基础模型。

ChatGPT Health控制面板内的提示信息显示：“默认情况下，健康信息不会用于训练我们的基础模型。您的健康数据受《健康隐私声明》保护。建议启用多重认证以增强保护。”

GPT健康提示

来源：BleepingComputer

OpenAI同时警告，ChatGPT不能替代专业医生，其回复不应被视为医疗建议，也不适用于疾病诊断或治疗目的。

ChatGPT Health将逐步向ChatGPT免费版、Go版、Plus版和Pro版的所有用户开放，但目前暂不覆盖欧洲经济区、瑞士和英国用户。

微软正在调查一个漏洞，该漏洞导致收件人在最近更新后无法在经典版Outlook中打开加密邮件。

这一已知问题影响了尝试打开使用“仅加密”权限加密邮件的用户，该权限同时允许复制、打印和转发。

“更新至当前频道版本2511（内部版本19426.20218）后，收件人可能无法打开‘仅加密’邮件，”微软表示。

“在阅读窗格中，您可能会看到提示信息：‘在验证凭据之前，无法在阅读窗格中查看此受限权限邮件。请打开项目以阅读内容并验证凭据。’”

在受影响的系统上，用户会看到message_v2.rpmsg附件而非可读内容，导致加密邮件无法访问。

微软表示Outlook团队正在开发修复程序，但未提供解决时间表。

经典版Outlook的加密邮件漏洞（微软）

在永久修复方案发布前，微软提供了两种临时解决方法。其一是要求发件人在加密后、发送前保存加密邮件，使收件人能够正常打开。

另一种方法是用户可回退到不受此已知问题影响的先前软件版本。这需要受影响用户关闭所有Office应用程序，并在提升权限的命令提示符中运行以下命令：

"%programfiles%\Common Files\Microsoft Shared\ClickToRun\officec2rclient.exe" /update user updatetoversion=16.0.19426.20186

微软此前还在11月缓解了Exchange Online服务中断问题，该问题曾导致客户无法使用经典版Outlook电子邮件客户端访问邮箱。更早一个月，微软修复了一个阻止Microsoft 365用户在Windows系统上打开经典版Outlook的重大漏洞。

今年早些时候，微软解决了经典版Outlook在输入邮件时导致CPU使用率飙升的漏洞，以及安装Windows 24H2更新后拖放邮件功能失效的问题。

在此之前，微软还针对打开加密邮件时导致Outlook错误的已知问题提供了临时解决方案，并修复了在打开邮件或开始编写新邮件时触发经典版Outlook崩溃的漏洞。

最高危Ni8mare漏洞允许黑客劫持n8n服务器

                        By

12:41 PM

一个被称为“Ni8mare”的最高严重性漏洞允许远程、未经身份验证的攻击者控制本地部署的N8N工作流自动化平台实例。

该安全问题被标识为CVE-2026-21858，严重性评分为10分（满分10分）。根据数据安全公司Cyera的研究人员称，存在超过100,000台易受攻击的n8n服务器。

n8n是一个开源工作流自动化工具，允许用户通过可视化编辑器将应用程序、API和服务连接成复杂的工作流。它主要用于自动化任务，并支持与人工智能和大型语言模型（LLM）服务的集成。

Ni8mare漏洞详情

Ni8mare漏洞使攻击者能够通过执行某些基于表单的工作流来访问底层服务器上的文件。

n8n开发者表示：“易受攻击的工作流可能向未经身份验证的远程攻击者授予访问权限。这可能导致系统上存储的敏感信息暴露，并可能根据部署配置和工作流使用情况，引发进一步的系统危害。”

Cyera研究人员发现了Ni8mare漏洞（CVE-2026-21858），并于2025年11月9日向n8n报告。他们指出，该安全问题是n8n解析数据方式中存在的内容类型混淆。

n8n使用两个函数来处理传入数据，基于webhook中配置的'content-type'头部（webhook是通过监听特定消息来触发工作流中事件的组件）。

当webhook请求被标记为multipart/form-data时，n8n将其视为文件上传，并使用特殊的上传解析器将文件保存在随机生成的临时位置。

“这意味着用户无法控制文件的最终存储位置，从而防止了路径遍历攻击。”

然而，对于所有其他内容类型，n8n则使用其标准解析器。

Cyera发现，通过设置不同的内容类型（例如application/json），攻击者可以绕过上传解析器。

存在缺陷的解析器逻辑

来源：Cyera

Cyera解释道：“由于调用此函数时未验证内容类型是否为multipart/form-data，我们控制了整个req.body.files对象。这意味着我们控制了filepath参数——因此，我们不是复制上传的文件，而是可以复制系统中的任何本地文件。”

这允许从n8n实例中读取任意文件，通过将内部文件添加到工作流的知识库中，可能暴露密钥信息。

Cyera表示，这可能被滥用以暴露实例上存储的密钥、将敏感文件注入工作流、伪造会话cookie以绕过身份验证，甚至执行任意命令。

触发Ni8mare（CVE-2026-21858）以访问数据库

来源：Cyera

Cyera强调，n8n通常存储API密钥、OAuth令牌、数据库凭证、云存储访问权限、CI/CD密钥和业务数据，使其成为中心自动化枢纽。

n8n开发者表示，目前没有针对Ni8mare的官方临时解决方案，但一种缓解措施是限制或禁用可公开访问的webhook和表单端点。

建议的操作是更新到n8n 1.121.0或更高版本。

英国宣布了一项新的网络安全战略，投入超过2.1亿英镑（约合2.83亿美元），以加强政府部门及更广泛公共部门的网络防御能力。

这些新措施是《政府网络行动计划》的一部分，该计划将设立专门的政府网络部门，负责协调风险管理和事件响应，旨在使公民在访问福利、医疗和税务系统等在线公共服务时获得更安全的体验。

数字政府部长伊恩·默里周二表示："网络攻击可在数分钟内使重要的公共服务瘫痪——破坏我们的数字服务乃至生活方式。该计划设定了新标准，以加强公共部门的防御能力，同时警告网络犯罪分子：我们将以更快速度、更大力度保护英国的企业和公共服务。"

该计划包括建立最低安全标准、提升政府内部网络风险的可视性，并要求各部门保持强大的事件响应能力。新的"软件安全大使计划"将推广最佳实践，思科、Palo Alto Networks、Sage、NCC Group和桑坦德银行等多家大型企业已作为大使加入该计划。

这项2.1亿英镑的公共部门网络安全强化计划，是在新立法出台后推出的，该立法旨在加强医院、能源系统、交通网络和供水系统应对网络攻击的防御能力。今年早些时候，英国还宣布计划禁止公共部门和关键基础设施组织在遭受勒索软件攻击后支付赎金。

《网络安全与韧性法案》（于11月12日提交英国议会）以2018年《网络与信息系统法规》为基础，预计将彻底改革英国保护关键服务的方法。正如政府当时解释的那样，该法案针对日益增长的网络威胁，这些威胁曾导致国防部薪酬系统遭入侵，并引发影响超1.1万个医疗预约的国民医疗服务体系重大中断。

近期在11月，英国最大的移动运营商也承诺升级系统，根据与政府达成的新合作计划，在一年内消除诈骗者伪造电话号码的能力，以打击欺诈行为。

谷歌搜索AI幻觉问题促使谷歌招聘"AI答案质量"工程师

包括谷歌搜索中的AI概述在内的人工智能系统可能出现幻觉，经常编造信息，或在以两种不同方式提问时提供相互矛盾的答案。

一份新的招聘信息表明，谷歌正在招聘工程师来验证AI答案并提升其质量，因为该公司正在重新构想搜索体验。

谷歌在招聘说明中解释道："在谷歌搜索部门，我们正在重新构想随时随地以任何方式搜索信息的意义。为此，我们需要解决复杂的工程挑战并扩展基础设施，同时维护全球用户所依赖的普遍可访问且实用的体验。"

该职位名称为"AI答案质量工程师"，加入谷歌搜索团队的员工将承担提升AI答案质量的任务，特别是针对AI概述功能。

招聘信息写道："帮助AI答案质量团队在搜索结果页面和AI模式下，为用户困难复杂的查询提供AI概述答案。"

这是谷歌首次间接承认其AI概述功能需要改进，而时机选择颇为微妙。

谷歌正强制用户查看AI答案，却在提升质量方面作为有限

近期更新后，谷歌正将越来越多的用户推向AI模式和AI答案。

事实上，谷歌还在其Discover信息流中为新闻内容更新了AI概述功能，甚至使用AI重写新闻媒体的标题。

虽然谷歌AI概述已取得长足进步，答案质量较过去有所提升，但仍存在一些不足之处。

例如一周前，当我搜索某初创公司的估值时，谷歌编造了400万美元的数据。随后我打开新标签页以略微不同的表述提出相同问题，AI概述却显示该公司估值超过7000万美元。

我通过谷歌生成的引用链接交叉核对了答案，但注意到谷歌两次引用的数值在其声称的参考来源中根本不存在。

这只是谷歌可能出错的案例之一。

近日《卫报》报道称，AI概述提供的健康建议存在误导性或完全错误的情况。

过去几个月谷歌AI答案已有所改进，但仍需继续优化，因为大多数用户倾向于相信谷歌展示的所有信息。

Veeam发布安全更新，修复其Backup & Replication软件中的多个安全漏洞，其中包括一个严重的远程代码执行（RCE）漏洞。

该RCE安全漏洞编号为CVE-2025-59470，影响Veeam Backup & Replication 13.0.1.180及所有更早的13.x版本构建。

Veeam在周二的安全公告中解释称："此漏洞允许备份或磁带操作员通过发送恶意的interval或order参数，以postgres用户身份执行远程代码执行（RCE）。"

然而，这家信息技术公司将其评级调整为高危，因为该漏洞只能由拥有备份或磁带操作员角色的攻击者利用。

公告补充道："备份和磁带操作员角色被视为高权限角色，应予以相应保护。遵循Veeam推荐的安全指南可进一步降低漏洞被利用的机会。"

Veeam于1月6日发布了13.0.1.1071版本，以修补CVE-2025-59470漏洞，并解决了另外两个高危（CVE-2025-55125）和中危（CVE-2025-59468）漏洞——这两个漏洞分别允许恶意备份或磁带操作员通过创建恶意备份配置文件或发送恶意密码参数来获得远程代码执行权限。

Veeam的Backup & Replication（VBR）企业数据备份与恢复软件，可帮助创建关键数据和应用程序的副本，以便在网络攻击、硬件故障或灾难发生后快速恢复。

勒索软件团伙重点攻击的Veeam漏洞

VBR在中大型企业和托管服务提供商中特别受欢迎，但也经常成为勒索软件团伙的攻击目标，因为它可以作为在受害者环境中横向移动的快速支点。

勒索软件团伙此前曾告诉BleepingComputer，他们总是瞄准受害者的VBR服务器，因为这简化了数据窃取过程，并且通过在部署勒索软件有效负载前删除备份，可以轻松阻止恢复工作。

Cuba勒索软件团伙和出于经济动机的FIN7威胁组织（此前曾与Conti、REvil、Maze、Egregor和BlackBasta勒索软件团伙合作）过去也被发现利用VBR漏洞进行攻击。

最近，Sophos X-Ops事件响应团队在2024年11月披露，Frag勒索软件利用了两个月前披露的另一个VBR RCE漏洞（CVE-2024-40711）。自2024年10月起，Akira和Fog勒索软件攻击中也利用了同一安全漏洞来针对存在漏洞的Veeam备份服务器。

Veeam的产品在全球拥有超过550,000家客户，其中包括74%的全球2000强企业和82%的财富500强公司。

文件共享平台 ownCloud 今日警告用户启用多因素认证（MFA），以阻止攻击者利用已泄露的凭证窃取其数据。

ownCloud 在全球拥有超过 2 亿用户，其中包括数百家企业和公共部门组织，例如欧洲核子研究组织、欧盟委员会、德国科技公司 ZF 集团、保险公司瑞士人寿和欧洲投资银行。

在今日发布的安全公告中，该公司敦促用户启用 MFA。此前，以色列网络安全公司 Hudson Rock 的报告显示，多家组织的自托管文件共享平台（包括一些 ownCloud 社区版实例）在凭证窃取攻击中遭到入侵。

"ownCloud 平台并未被黑客攻击或入侵。Hudson Rock 的报告明确证实，未涉及零日漏洞或平台漏洞，"ownCloud 表示。

"这些事件是通过不同的攻击链发生的：威胁行为者通过在员工设备上安装信息窃取恶意软件（如 RedLine、Lumma 或 Vidar）获取了用户凭证。然后，这些凭证被用于登录未启用多因素认证（MFA）的 ownCloud 账户。"

ownCloud 建议用户立即在其 ownCloud 实例上启用 MFA，以保护数据免受未来攻击，并防止在凭证泄露时发生未经授权的访问。

此外，ownCloud 建议重置所有用户密码，使所有活动会话失效以强制重新认证，并审查访问日志中是否存在可疑的登录活动。

此警告发布之前，一名威胁行为者（被称为 Zestix）一直试图出售从数十家公司窃取的企业数据，这些数据很可能是在入侵其 ShareFile、Nextcloud 和 ownCloud 实例后获得的。

在其 1 月 5 日的报告中，Hudson Rock 表示，攻击者可能最初是使用 RedLine、Lumma 和 Vidar 等信息窃取恶意软件窃取的凭证，获得了对公司文件共享服务器的访问权限，这些恶意软件感染了员工的设备。

这家网络犯罪情报公司识别出数千台受感染的计算机，其中包括德勤、毕马威、三星、霍尼韦尔、沃尔玛和美国疾病控制与预防中心（CDC）等知名组织网络中的一些设备。