NordVPN否认其内部Salesforce开发服务器遭入侵的指控，并表示网络犯罪分子从第三方自动化测试平台的试用账户中获取了"虚拟数据"。

该公司发表声明前，一名威胁行为者（使用1011代号）上周末在黑客论坛声称，通过对NordVPN开发服务器进行暴力攻击，窃取了包含SalesForce API密钥和Jira令牌等敏感信息的10余个数据库。

"今天我泄露了来自nordvpn开发服务器的10多个数据库源代码。这些信息是通过暴力攻击NordVPN配置错误的服务器获取的，其中存储了salesforce和jira信息。泄露信息包括：SalesForce API密钥、jira令牌等。"该威胁行为者表示。

然而据NordVPN今日披露，这实际上是从数月前测试潜在自动化测试供应商时部署的临时测试环境中窃取的测试数据。

这家立陶宛VPN服务商补充说明，该测试环境与其自有基础设施无关联，且被盗数据不包含任何客户敏感信息或商业数据。

NordVPN解释道："泄露的特定API表和数据库架构等元素，只能是独立第三方测试环境的产物，仅包含用于功能检查的虚拟数据。虽然转储文件中没有任何数据指向NordVPN，我们仍联系了供应商获取更多信息。"

"由于这是初步测试且从未签署合同，该环境从未上传过真实客户数据、生产源代码或有效的敏感凭证。"

"我们最终选择了其他供应商，并未与测试对象继续合作。相关环境从未连接过我们的生产系统。"

尽管此次只是虚惊一场，但2019年黑客曾入侵NordVPN和TorGuard的服务器，获得完全root权限并窃取用于保护其Web服务器和VPN配置的私钥。

针对2019年事件，NordVPN推出了漏洞赏金计划，并聘请外部网络安全专家进行"全面"的第三方安全审计。

该公司还宣布计划改用其独家拥有的专用服务器，并将全部5100台服务器基础设施升级为RAM服务器。

Agentic AI本质上是身份问题，CISO需为结果负责

赞助商：Token Security

作者：Itamar Apelblat, Token Security CEO兼联合创始人

如今，如果您是一位首席信息安全官（CISO），Agentic AI可能会以一种令人不安的方式让您感到似曾相识。技术是新的，但模式并不陌生。业务领导者正大力推动在整个组织内部署AI智能体，而安全团队则被期望在确保安全的同时不拖慢任何进程。

这种紧张关系在云、SaaS和DevOps时代早已存在。每一次，身份都处于风险和解决方案的核心。

Agentic AI也不例外。它主要不是一个AI治理问题，而是一个身份问题，最终将由CISO对结果负责。

多年来，安全方案的设计一直围绕人类身份展开。员工和承包商身份集中管理，角色明确定义，访问权限定期审查，离职流程可预测。机器身份的出现颠覆了这一模式，它们数量激增并遍布云、流水线和SaaS平台。治理虽然后滞，但核心假设仍然成立。而AI智能体则彻底打破了这些假设。

AI智能体代表了一类新的身份。它们像人类一样有意图地行动，却又以机器的规模和持久性运作。它们天生是去中心化的，易于创建，并且能够在没有人类直接干预的情况下跨多个系统执行操作。

从身份角度看，这是可能的最复杂组合。这些智能体进行身份验证、授权并采取行动，但它们无法完全契合现有的身份模型。

这至关重要，因为身份仍然是导致安全漏洞最常见的根本原因。凭证被滥用、权限不断累积、所有权变得模糊。Agentic AI会同时放大所有这些风险。

许多智能体被授予广泛的访问权限，仅仅是为了快速运行。很少被审查，被停用的更是少之又少。

有些智能体在其创建者或所属项目早已不存在后，仍长期运行。对于攻击者而言，这些始终在线、权限过大的身份是理想的目标，这一点可以从OWASP的最新报告中得到印证。

传统的IAM和PAM工具并非为此现实而设计。它们假设用户是人，或者最多是可预测的工作负载。AI智能体不驻留在单一目录中，不遵循静态角色，也不局限于单一平台边界。

试图用传统的、以人为中心的控制措施来保护它们，会造成盲点和虚假的安全感。依赖AI平台供应商来解决这个问题同样危险。正如云提供商没有解决云安全问题一样，智能体平台也不会解决企业身份风险。

前进的方向不是限制创新，而是应用CISO们已经理解的准则：生命周期管理。只有当组织将身份视为一个从入职到离职的完整生命周期时，员工身份安全才变得可扩展。AI智能体需要同样的思路，并适应其速度和规模。

每个智能体都需要与身份提供商关联的明确所有权。其目的必须明确且可衡量。其访问权限应与实际行为相符，而非创建时的便利性。活动必须持续可见，以便及早发现权限漂移。当智能体闲置、项目结束或所有者离开时，访问权限必须自动撤销。没有这些控制措施，AI的采用最终将因其自身风险而崩溃。

CISO必须内化的一个关键转变是：智能体身份安全本质上是一个数据关联问题。您不能仅通过查看智能体本身来理解其风险。

真正的风险是由智能体能够触及的范围定义的。这包括它承担的云角色、访问的SaaS应用程序、可读取或修改的数据，以及它使用的下游身份。

保护Agentic AI需要跨智能体平台、身份提供商、基础设施、应用程序和数据层关联身份信号。

正是这种关联能力，使得CISO能够在审计、董事会审查和事件响应期间回答关键问题：谁有访问权限？为什么有？是否恰当？以及，是否还应继续存在？没有这种上下文，AI智能体将仍然不透明且难以治理。这里有一份CISO安全清单，有助于规划此类问题。

目前，许多组织正处于被动应对阶段，在智能体蔓延至生产环境后才开始发现。这个阶段将很快过去。下一阶段是预防。

身份管理必须前移到生命周期的更早阶段，即在智能体创建的时刻。构建者需要护栏，强制明确意图和范围，而不是为了方便而默认授予宽泛的权限。如果缺乏这种管理，CISO将继承风险并最终承担后果。

Agentic AI正成为企业运营方式中永久的一部分。问题不在于它是否会扩展，而在于它是否能安全地扩展。CISO将决定答案。如果智能体身份得不到管理，AI将引发安全漏洞、合规失败和高管的抵制，从而拖慢创新。

如果通过生命周期管理和可见性来治理智能体身份，AI将变得可持续、敏捷且安全。

成功的企业不会是那些对Agentic AI简单说“是”或“否”的企业。它们将是那些能够自信地说“是”的企业，因为它们很早就认识到，保护Agentic AI是身份管理的首要任务。

如果您已准备好自信地应对Agentic AI安全问题，Token可以为您提供帮助。

在此预约演示，我们将向您展示我们的平台在保障组织安全方面的独特之处。

本文由Token Security赞助并撰写。

Ledger正在通知部分客户，由于黑客入侵第三方支付处理商Global-e的系统，他们的个人数据已遭泄露。

在一份提供给BleepingComputer的声明中，这家区块链公司强调其网络未受影响，平台硬件和软件系统仍保持安全。

公司向BleepingComputer表示："此次事件中被访问的部分数据涉及通过Global-e作为商户记录方在Ledger.com购物的客户。"

出于充分谨慎考虑，同名自托管硬件钱包制造商Ledger警告客户，此次第三方数据泄露事件暴露了他们的姓名和联系方式。

链上调查员ZachXBT发布了包含Ledger通知的社区警报：

Global-e平台为多家在线零售商和品牌处理结账、订单处理、本地化、税务、关税及合规事务。其客户包括Bang&Olufsen、adidas、Disney、Givenchy、Hugo Boss、Ralph Lauren、Michael Kors、Netflix和M&S。

这些服务需要存储客户订单数据，但Ledger特别指出泄露的详细信息不包含财务信息。

"重要的是，未涉及任何支付信息，"公司表示，同时指出攻击者可能试图通过钓鱼活动针对客户以窃取他们的助记词。

“我们提醒所有人警惕任何潜在的钓鱼活动，绝不泄露24个助记词，并尽可能始终使用明确签名交易。”——Ledger

公司还特别说明，Ledger并非唯一受影响的品牌，未经授权的第三方访问了Global-e基于云的信息系统，其中包含多个品牌的购物者订单数据。

BleepingComputer已联系Global-e以了解更多关于事件和受影响品牌的信息，但截至发稿时尚未收到回复。

Ledger表示受影响用户将收到Global-e关于事件及其影响的直接通知，建议他们联系Global-e获取更多详细信息。

中国电信人工智能研究院（TeleAI）开源了星辰语义大模型 TeleChat3 系列，包含国内首个全国产化训练的千亿参数细粒度 MoE 模型 TeleChat3-105B-A4.7B-Thinking 以及稠密架构模型 TeleChat3-36B-Thinking。

据介绍，该系列模型完全基于国产算力（上海临港国产万卡算力池）训练，基础数据量达 15T tokens。TeleChat3 全系支持 Thinking 思考模式，通过在 chat template 中加入特定引导符号生成推理过程，在知识、数学、创作、代码、Agent 及指令遵循等 六 个维度均比肩业内头部模型。
目前，该系列模型已实现对昇腾 Atlas 800T A2 训练服务器及昇思 MindSpore 框架的深度适配，相关资源已在 GitHub 和 ModelScope 上线。

开源地址：GitHub - Tele-AI/TeleChat3
ModelScope 魔搭社区

坛子内貌似是禁止发AI生成内容的，我这个项目readme.md是让AI写的，大家自己看吧。
这个项目用途是存储管理常用脚本亦或是分享出去。
放一下脚本分享演示链接：脚本分享演示
先放点预览图：

开源地址： GitHub - wang4386/ZenShellHub: 极简、高颜值的单文件脚本管理中心。
博文地址：ZenShellHub单文件脚本管理中心 - 倾城于你

鸽了一天了~刚刚下班现在发下教程

彻底优化了项目部署,快速配置降低大量配置难度,但是有部分的操作是无法避免的,还是需要手动接管~

刚刚成型,功能还不够完善,如果后续有什么需要的功能或者修改Bug可以提issuse或者帖子留言会尽量更新的(没办法还要上班只能尽量搞了 ,如果有感兴趣的朋友可以直接fork项目自己改造哦 )

项目地址 :GitHub - qinsehm1128/cloud_claude_code
SEO优化页 :https://ccc.qinshm1128.top

PS:

• 我用的是宝塔面板,会降低操作难度,大家如果用别的方案可能会麻烦些
• 暂时没实现https
• 理论上任何cli都支持,因为我是直接启动了linux完整容器,通过pty监听输出流实现的,只不过监控功能没办法实现,因为我是监听pty子进程里面是否存在claude来确认是否监控的,感兴趣的朋友可以自己加一下这个功能

项目开始准备

• 需要一个最少4h8g的服务器,当然如果项目很小2h4g也可以
• 需要两个域名 1.项目访问的主域名 2.用于转发应用端口的泛解析域名,例如 *.code.example.com

1:拉取项目

项目链接:GitHub - qinsehm1128/cloud_claude_code
拉取地址:GitHub - qinsehm1128/cloud_claude_code

2: cd到项目目录,对根目录下的 deploy.sh文件授予777权限并运行

注意,如下操作需要root权限

cd cloud_claude_code/
chmod +x deploy.sh
./deploy.sh

运行之后根据指引进行快速安装即可,env文件会根据指引动态创建,如果有什么问题可以查看项目的deploy.md里面有详细讲解

注意:

• 前端部署路径,会直接把前端打包的dist文件里面的内容粘贴过去,而不是把dist文件夹粘贴过去

• 后端部署会将需要的docker,data目录都转移过去,所以需要在创建好的后端项目里面编译docker哦,或者提前手动编译好也行(见3)

  

• cors配置,输入字符串 xxx,yyy 使用","进行分割,不需要中括号

• CODE_SERVER_BASE_DOMAIN(Code-Server 基础域名) 域名配置,例如你的泛解析域名是 *.code.example.com ,填写的时候只需要填写 code.example.com 根路径即可

  

3: 进入部署目录(在项目初始部署的时候会询问部署目录)里面的docker文件夹,授予build-base.sh文件777权限,然后直接运行

这部分主要是编译预装环境的docker容器,分为两个一个是带code-server的,一个是不带的

4: 配置nginx

• 进入deploy文件夹,打开nginx.conf文件

  

• Traefik 服务的域名是自动分配的,可以在docker中查看映射80端口的域名即可,如果需要仪表盘,可以查看映射9080的端口

• 这里面是写好的主服务和Traefik服务的nginx配置,只要修改好域名和端口号,直接使用即可,如果有别的需求可以自行实现配置哦

5:关于更新项目

只需要进入项目目录运行如下两条命令即可

• git pull
• ./deploy.sh

6:完结!!!

彻底简化流程,通过deploy.sh可以快捷完成繁琐的初始化部署~

使用教程

现在界面只有如下几个部分

1:登录界面不必多少了吧

2:仪表盘界面

• 核心界面,使用前请先进行如下配置:

  • Settings界面配置好github token(这个教程很多了就不赘述了),该token没有持久化保存避免丢失,请注意找个安全的地方保存好哦
  • cc的base_url和key等相关的环境变量,项目主要是使用环境变量注入的方式将变量注入到容器里来实现cc api替换 (后面会加入cc直登适配)
    
    
    
    
    

• 点击 ** New Container ** 打开容器创建界面,有三个部分要注意

• 基础配置
  
  • 1.容器名,不建议使用中文,因为后续的端口转发会用项目拼接泛域名
  • 2.项目部分可以选择自己的项目,或者切换成url模式,填写开源项目的url进行使用
  • 3. 初始化和code-server配置
    • Skip Claude Code initialization 如果不勾选,会默认拉取项目之后,使用cc对项目进行初始化,为项目安装所需的环境等内容,较耗时,可以勾选跳过项目初始化
    • Enable Web VS Code (code-server) 默认是不使用code-server的,勾选之后则会使用带有code-server的容器启动项目,注意使用code-server会导致占用内存增大,如果是小内存机器要自己斟酌

• 容器资源配置,字面意思可以配置这个容器可使用的内存数和cpu数

• 网络映射配置
  
  • 1.如果勾选 Enable Traefik Proxy ,则会使用Traefik分配代理端口
  • 2.如果不勾选则会直接开放容器端口映射到服务器端口

• terminal界面介绍
  
  • 1.中间部分为基础的terminal交互部分
  • 2.点击 File出现文件界面,可以上传下载文件等操作,支持拖拽文件到终端界面,自动转换为文件路径填写到光标处(cc对话同样试用)
  • 3.下面的开启监控按钮点击口可以开启项目监控,但是请注意,因为后端检测pty子进程是否存在cc启用监控,如果不是在cc界面中使用是不会有任何作用的哦
  • 4.右侧的任务列表,可以填写任务,当开启监控并且监听模式选择Queue模式或者AI模式时才能像cc客户端注入哦
  • 5.监听逻辑是:当x时间内终端没有任何输出,则会判断是否是cc进程,如果是cc进程则根据设置进行处理,如果设置内容缺失或者任务列表为空,会跳过执行,但是监控不会中断
  • 6.完全后端实现监控和消息分发,所以即使前端关闭存在CC的对话窗口也不会销毁,要注意如果是普通的终端窗口,超过30分钟后端自动销毁
  • 7.断线重连(退出在进入窗口)的实现逻辑是将pty暂存区的输出刷入sql,并且会永久保存(只要不关闭这个终端),每次进入时会分块加载并且拼接当前暂存区的内容,组成完整的会话,加载需要时间可以耐心等待

最!最!最!最!最!最!重要的一点,开始监控的时候千万不要使用code-server,这个终端和code-server会冲突,请关闭监控后再进入code-server,我是想编写vscode插件进行控制的,但是因为没开发经验所以失败了

3:端口界面

• 展示已经映射出的端口,如果是使用code-server的容器,启动时自带映射url,点击右侧跳转可以直接打开code-server界面

4:docker管理界面

• 可以查看当前服务器上的所有docker,可以通过按钮进行控制容器启停或删除

openPangu-VL-7B 是华为（Huawei）与 FreedomIntelligence 团队于近期（2026年初）推出的开源多模态大语言模型。

该模型是 openPangu 开源系列的新成员，主打70亿参数（7B）规模，专为昇腾（Ascend）NPU 硬件架构进行了深度优化，具备强大的视觉理解、OCR（光学字符识别）和视觉定位能力。

项目文件预览 - openPangu-VL-7B:昇腾原生的开源盘古 VL-7B 多模态模型 - GitCode

不管是开卷考试需要在几百页的 PPT 里瞬间定位知识点，还是写论文时需要在几十篇参考文献中寻找佐证，传统的 Ctrl+F 往往力不从心：

• 记不清确切关键词，搜不到内容。
• 语义相关但用词不同，直接被忽略。
• 搜出来几百个结果，还得一个一个点进去看。

为了解决这个问题，我开发了 Smart Search PDFs —— 一个基于语义向量（Embeddings）和 BM25 算法的本地化 PDF 混合搜索工具。

简单来说：它既能像 Google 一样理解你的语义，又能像 Ctrl+F 一样精确匹配关键词，而且全部在本地运行，无需 API Key，保护隐私。

项目地址： MrAMS/Smart-Search-PDFs

觉得不错的话就帮我点个 Star​吧～

它能做什么？

Smart Search PDFs 对 PDF 文档进行智能切分和向量化，支持以下搜索模式：

1. 混合搜索（智能推荐）： 结合了语义理解和关键词匹配。不仅能搜到字面一样的，还能搜到意思相近的。结果自动按相关度排序。
2. 语义搜索： 哪怕你输入的词文中没出现，只要意思对，就能搜到。（基于 Jina AI 的 Embeddings 模型）。
3. BM25 关键词： 经典的倒排索引算法，不仅是精确匹配，还能处理词频权重。
4. 多粒度切分（New）：

• 页面级：适合 PPT、幻灯片（搜出来是一整页）。
• 段落级：适合双栏论文、学术文章（搜出来是具体段落）。
• 固定长度：适合小说、长篇报告。

核心特性一览

• 所见即所得：搜索结果点击即达，右侧预览窗口自动裁剪白边，高亮显示搜索词。
• 结果可视化：使用彩色标签（精确、部分、语义、关键词）告诉你为什么这条结果被搜出来。
• 本地端侧：无需 GPU/API，使用 FastEmbed 和轻量级模型，CPU 也能流畅运行，无需 OpenAI API Key。
• 大文件支持：动态加载机制，几百页的文档滚动流畅不卡顿。

警惕 aff 小偷，各种层出不穷的跳转 aff、隐藏 aff 等等。改成 ref 的 aff 等等。

自动清理包含 aff 的 url 参数，自动 307 重定向。自动清理被添加的 aff cookie。

终于可以放心随便点击链接了。

aff-sanitizer.7z

用法：先解压，浏览器开发者模式下，加载解压缩的拓展。

该下哪些关键词才可以让 AI 在一开始就设计出漂亮的网站？可以试试 ui-ux-pro-max-skill 提供的解法。https://github.com/nextlevelbuilder/ui-ux-pro-max-skill 已经有 6.6k star。

没用 UI UX Pro Max 的差别

如果你只用原本的 ide 來做 Node.js 网页，AI 会专注在让功能可以运作。它生成的网页画面通常比较阳春，像是标准的工程师风格，颜色跟排版可能很普通，甚至有点过时。如果你想要网页变漂亮，你需要花很多时间跟 AI 解释你想要什么颜色、什么样的按钮，常常要改很久。

用了 UI UX Pro Max 的差别

这个 ui-ux-pro-max-skill 项目就像是给 AI 一本「顶级设计师的笔记本」。它里面存了几百种专业的配色、字体搭配和界面风格。当搭配这个项目时，AI 写网页会先去查这本笔记本。结果就是做出的网页一开始就很美，风格很现代，而且整体的视觉效果很一致，不会有拼凑感。

最快的安装方法：用指令

这也是最推荐的方法，因为最无脑。你只要打开终端机 (Terminal)，输入一行指令

Code 

npm install -g uipro-cli

先把工具装好。

接着，在你的项目目录

Code 

cd /path/to/your/project

下打

Code 

# Install for your AI assistant
uipro init --ai claude      # Claude Code
uipro init --ai cursor      # Cursor
uipro init --ai windsurf    # Windsurf
uipro init --ai antigravity # Antigravity (.agent + .shared)
uipro init --ai copilot     # GitHub Copilot
uipro init --ai kiro        # Kiro
uipro init --ai all         # All assistants 

这个指令会自动帮你把所有需要的设置文件下载下来，并且放到 规定的文件夹里面。你不用自己去搬文件，几秒钟就搞定。

实际使用的方式

安装好之后，怎么让 AI 使用这个技能呢？

很简单，在 AI 对话窗口里，你通常可以直接用 /ui-ux-pro-max 这样的指令开头（或者直接用自然语言说「请依照 UI UX Pro Max 的规范…」）。

接着你就描述你要做的网页，例如「帮我做一个深色模式的登录页面」。你会发现 AI 吐出来的代码，会自动套用那些专业的配色跟版型，跟你平常乱聊生出來的阳春画面完全不同。demo:

原贴地址：这是一个严重的 aws 帐号批量注册漏洞・Issue #4734・kirodotdev/Kiro・GitHub

现在很多时候，我都习惯于在上面观看视频来学习新知识。为了方便回顾和消化，一直想找个好用的工具来总结视频内容。

但在实际上很遇到一些问题：

第一，很多工具都太重了，不是要装浏览器插件就是要配置一套前端环境，对于只想快速得到结果的我来说，实在有些折腾。

第二，也是最关键的一点，我发现视频的自动语音转录文本质量参差不齐，充满了 “嗯”、“啊” 之类的口水话和识别错误。我对比了低质量和高质量的转换文本给 AI 总结，发现效果差的比较多。

第三，营销号太多了，很多时候看了半天发现没啥意义。

因此，我自己搓了一个纯后端、轻量化的小工具。工作流程：1. 下载视频并转录；2. 用 LLM 格式化；3. 用 LLM 进行评估和总结。

这是 github 地址：tiandaren/video-quick-eval: AI 总结 B 站、youtube 视频，实现快速转写、评估、总结。

小工具，希望佬们给个 star。

这是效果

曝盗版 “牛头人” 游戏内藏病毒！千万别下载 _ 游民星空 GamerSky.com

UniHub 是一个插件化的桌面工具平台，你可以把它理解为一个 "工具箱"，通过安装不同的插件来扩展功能。无论是 JSON 格式化、JWT 解析、还是其他开发工具，都可以通过插件的形式集成进来。

核心特性

• 强大的插件系统 - 支持动态加载和管理插件，开发者可以轻松创建自己的插件

• 内置插件市场 - 一键安装各种实用工具，无需手动下载

• 现代化 UI - 基于 Vue 3 + Tailwind CSS，支持深色模式

• 细粒度权限控制 - 插件需要申请权限才能访问系统资源

• 自动更新 - 基于 GitHub Releases 的自动更新机制

界面预览

技术栈

• 前端: Vue 3 + TypeScript + Tailwind CSS

• 构建: Vite + electron-vite

• 桌面: Electron

已有插件

目前内置了几个实用插件：

• JavaScript 格式化器 - 美化和压缩 JS 代码

• JWT 工具 - 解析和验证 JWT Token

• 更多插件持续开发中…

插件开发

插件开发非常简单，只需要：

1. 创建一个包含 package.json 和 index.html 的目录

2. 在 package.json 中配置插件元数据

3. 打包成 zip 文件即可安装

详细的插件开发文档可以在项目 README 中找到。

参与贡献

这是一个完全开源的项目，欢迎大家：

• Star 支持一下

• 提交 Issue 反馈问题

• 提交 PR 贡献代码

• 开发自己的插件

为什么做这个项目？

作为开发者，我们经常需要使用各种小工具，比如 JSON 格式化、Base64 编解码、正则测试等。虽然有很多在线工具，但我想做一个本地化的、可扩展的工具集，让开发者可以离线使用、数据不离开本地、通过插件自由扩展功能、一个应用解决所有需求

未来计划

• 更多内置插件、插件市场完善
• 更好的插件开发工具链
• AI 支持

最后

代码可能还有很多不完善的地方，欢迎大家提出建议和意见！
如果你觉得这个项目有用，欢迎 Star 支持一下，也欢迎分享给更多需要的朋友！
项目地址：GitHub - t8y2/unihub: 🚀 UniHub - 现代化的跨平台工具集应用，支持强大的插件系统 | Modern cross-platform toolkit with powerful plugin system

感谢大家！