xiaohack博客专注前沿科技动态与实用技术干货分享,涵盖 AI 代理、大模型应用、编程工具、文档解析、SEO 实战、自动化部署等内容,提供开源项目教程、科技资讯日报、工具使用指南,助力开发者、AI 爱好者获取前沿技术与实战经验。
想买钛 7 ,有没有车主或者体验过的?举棋不定
购买原因:
举棋不定原因:
TLDR: 为 Linux 用 free,macOS 用 vm_stat,输出格式和字段含义完全不同。 x free 统一入口,自动识别系统,输出格式也帮你规范化好了。 跨平台脚本再也不用写一堆系统判断了。 有用户提需求,想在 claude-code 上更方便地使用国内三大云厂商的 coding 套餐。 两种使用方式: 你可以使用 使用前记得先设置 API Key 哦。 现有用户可以通过以下命令快速切换至 Beta 版本进行体验: x-cmd 是一个一站式的命令行工具集,其强大的功能可以为人类用户和AI共同使用。它还简化了很多工具的安装方法。 如果您在自定义配置或代理设置中遇到任何疑问,欢迎前往 GitHub Issues 提交反馈,共同完善 X-CMD 生态。
🚀 x-cmd v0.8.7 Beta 更新详情
free 💻
free 模块增加文档 —— 不同系统查个内存,命令差这么多。
写跨平台脚本时要分别处理,而且 macOS 的内存计算方式比 Linux 复杂得多——有内存压缩、wired、active、inactive 等概念。x free # 显示内存使用情况
x free --csv # CSV 格式输出
x free -s 2 # 每 2 秒刷新一次claude 🤖
安排!新增三个专用命令,阿里云百炼、百度千帆、腾讯云,一键接入妥妥的。x claude ali # 启动并接入阿里云百炼
x claude baidu # 启动并接入百度千帆
x claude tencent # 启动并接入腾讯云x claude use ali # 切换到阿里云
x claude use --project ali # 写入项目配置,仅当前项目生效x claude use other 接入更多第三方模型提供商(如本地 ollama 部署的模型):x claude use other "http://localhost:11434" <api_key> "gpt-oss:20b"⬆️ 如何升级
x upgrade beta如果你没有安装 x-cmd, 只需要打开你的终端:
eval "$(curl https://get.x-cmd.com)"
马上安装,让 x-cmd 协同 AI 成为你的最强助手,实现生产力翻倍!🤝 开发者反馈
随着混合办公模式的全面普及,企业正面临着日益严峻的网络安全挑战。零信任等先进安全框架被广泛应用于强化安全边界,但密码依旧是保护企业关键资产的最后一道防线。 过去几年间,全球已有超 5 亿个密码被泄露,特权滥用与内部威胁更是愈演愈烈。HYPR 与《网络安全内幕》的联合报告显示,96% 的受访者希望摒弃共享密钥认证方式。远程办公的兴起,让无密码管理成为企业保护特权资源、规避凭证滥用风险的重要方向。 无密码管理并非彻底淘汰密码,而是指无需用户手动输入特权凭证,即可执行各类管理操作。 其核心逻辑十分简单:只要特权凭证不以明文或硬编码形式暴露给用户,就能从根源上杜绝凭证被泄露、盗用的风险。在无密码管理模式下,用户会被自动完成身份认证,并被精准分配访问机密资产的对应权限。 用户可获得访问特权应用、数据库、操作系统、虚拟机等多层授权资产所需的全部权限,其中包括网络认证权限。这一模式能有效避免凭证共享或复用,让用户远离钓鱼攻击、暴力破解等威胁。同时,用户的认证数据不会存储在终端设备或浏览器中,进一步提升了安全性。 无密码管理是特权访问管理(PAM)的核心应用场景,它打通了特权会话管理、安全远程访问和用户账户管理的壁垒。 与基于生物特征、PIN 码的无密码认证不同,无密码管理支持用户通过 SSH、VNC、SQL、RDP 等安全远程会话执行管理操作,全程无需手动输入凭证。 在企业日常运营中,普通用户有时需要临时获得管理员权限,例如 Linux 用户安装第三方软件、配置文件、传输专有文件等。传统模式下,企业会为用户分配备用管理员账户或临时提升权限,这会增加攻击面,引发安全风险。 无密码管理通过即时特权访问机制解决这一问题:基于用户请求的有效性和当前权限等级,为用户临时授予最小必要权限,任务完成后立即撤销权限,恢复账户默认状态。 降低安全风险:避免特权凭证暴露,从根源上防范钓鱼、暴力破解等攻击。 提升管理效率:无需手动维护密码数据库,减少密码重置、轮换的人力成本。 优化用户体验:用户无需记忆复杂密码,通过自动认证即可快速访问所需资源。 强化合规能力:所有特权操作可被实时监控、审计,满足行业合规要求。 ManageEngine Password Manager Pro 是基于特权访问管理(PAM)打造的安全管控模式,核心是避免特权凭证暴露,而非淘汰密码,助力企业应对混合办公下的网络威胁。 Password Manager Pro 的一款企业级内部密码管理工具能有效减少攻击面,兼顾运维效率与安全防护,是企业迈向无密码时代的可靠方案。引言
一、什么是无密码管理?
二、无密码管理与特权访问管理(PAM)的关联
三、企业实施无密码管理的核心价值
四、卓豪 Password Manager Pro 助力企业实现无密码管理
自动认证授权:用户无需手动输入凭证,经身份验证后即可获得访问特权资源的权限,支持 SSH、RDP 等安全远程会话。
即时特权管控:遵循最小权限原则,按需为普通用户分配临时权限,任务完成后自动回收并重置密码。
全流程安全审计:实时监控特权操作,搭配加密存储与自动轮换机制,杜绝密码共享、泄露风险,满足合规要求。
具身智能正在经历从实验室走向产业化的关键转折点。长期以来,机器人操控模型面临着"一机一训"的困境——每换一个机器人本体、每增加一个新任务,都需要重新采集数据、重新训练模型,这种高昂的迁移成本严重制约了具身智能的规模化落地。 此次蚂蚁集团开源的 LingBot-VLA 具身大模型,为行业带来了三个重要突破: 首次验证了具身智能领域的 Scaling Law 随着蚂蚁集团承诺未来几天将陆续开源更多具身智能成果,我们有理由相信,2026 年将成为具身智能从"能用"到"好用"、从"实验室"到"生产线"的关键转折年。 SegmentFault 思否编辑部 以下内容转载自蚂蚁灵波科技官方公众号。 继昨日开源高精度空间感知模型 LingBot-Depth 后,今天,我们为大家带来了具身大模型 LingBot-VLA。 LingBot-VLA 具身大模型全面开源 在上海交通大学开源的具身评测基准 GM-100(包含 100 项真实操作任务)测试中,LingBot-VLA 在 3 个不同的真实机器人平台上,跨本体泛化平均成功率相较于 Pi0.5 的 13.0% 提升至 15.7%(w/o Depth)。引入深度信息(w/ Depth)后,空间感知能力增强,平均成功率进一步攀升至 17.3%,展现了 LingBot-VLA 强大的准确性和泛化性。 在 GM-100 真机评测中,LingBot-VLA 跨本体泛化性能领先 在 RoboTwin 2.0 仿真基准(包含50项任务)评测中,面对高强度的环境随机化干扰(如光照、杂物、高度扰动),LingBot-VLA 凭借独特的可学习查询对齐机制,高度融合深度信息,操作成功率比 Pi0.5 提升了 9.92%,实现了从虚拟仿真到真实落地的全方位性能领跑。 在 RoboTwin 2.0 仿真评测中,LingBot-VLA 跨任务泛化性能领先 01 Scaling Law 下的大规模真机数据预训练 02 深度信息辅助的机器人操控性能提升 仿真实验结果 为了显式捕捉操控环境中的空间感知能力,并进一步提升机器人执行的鲁棒性,我们采用了一种基于查询向量(query)的深度蒸馏方法。具体而言,我们引入了与三视角操作图像相对应的可学习 queries,这些 queries 经 VLM 处理后,与 LingBot-Depth 输出的 depth embeddings 进行对齐。这种对齐机制在维持模型训练与推理的效率的同时,有效将深度信息集成到 LingBot-VLA 中。在真实机器人平台和仿真环境下进行的广泛实验证明,深度信息的融入提升了 LingBot-VLA 的操控性能。 03 后训练成本低、效率高、代码全开源,真正实用的 VLA 模型 与此同时,我们构建了一套高效的后训练工具链,在 8 卡 GPU 配置下实现了单卡每秒 261 个样本的吞吐量,其训练效率达到 StarVLA、OpenPI 等主流框架的 1.5~2.8 倍,实现了数据与算力成本的双重降低。此次开源,我们不仅提供了模型权重,还同步开放了包含数据处理、高效微调及自动化评估在内的全套代码库。我们希望这一举措可以大幅压缩模型训练周期,降低商业化落地的算力与时间门槛,助力开发者以更低成本快速适配自有场景,提升模型实用性。目前我们的模型、后训练代码、技术报告、以及我们和上海交大共同打造的 GM-100 Benchmark 已全部开源,欢迎大家访问我们的开源仓库。 具身智能的大规模应用依赖高效的具身大模型,这直接决定了模型是否可用以及能否用得起。我们希望通过 LingBot-VLA 的开源,积极探索具身智能上限,推进具身智能研发早日进入可复用、可验证、可规模化落地的新阶段。 本周,我们已相继开源 LingBot-Depth 和 LingBot-VLA 两款模型,未来几天,我们还将陆续为大家带来我们在具身智能领域智能基座方向的更多成果。我们期待与全球开发者、研究者、产业伙伴一起,加速具身智能技术的迭代与规模化应用,助力 AGI 更快到来。weibo.com/ttarticle/p/show?id=2309405275252397047886 weibo.com/ttarticle/p/show?id=2309405275252774535453 weibo.com/ttarticle/p/show?id=2309405275253155954801 weibo.com/ttarticle/p/show?id=2309405275253663465521 weibo.com/ttarticle/p/show?id=2309405275254045147207 weibo.com/ttarticle/p/show?id=2309405275254456189063 weibo.com/ttarticle/p/show?id=2309405275254842327053 weibo.com/ttarticle/p/show?id=2309405275255224008859 weibo.com/ttarticle/p/show?id=2309405275255618011196 个
通过 20,000 小时真实机器人数据的预训练,系统性证明了 VLA 模型性能随数据规模持续提升的规律。这一发现意义重大——它表明具身智能可以像大语言模型一样,通过"大数据+大模型"的范式实现能力跃迁,为行业指明了清晰的技术路线。
解决了跨本体泛化的核心难题
通过涵盖 9 种主流双臂机器人构型的大规模预训练,LingBot-VLA 实现了"一个大脑,多种身体"的愿景。在 GM-100 真机评测中,其跨本体泛化成功率达到 17.3%,这意味着同一个模型可以快速适配不同厂商的机器人硬件,大幅降低了商业化部署的门槛。
打造了真正实用的开源生态
不同于许多"只开源权重"的项目,LingBot-VLA 同步开放了数据处理、高效微调、自动化评估的全套工具链,训练效率达到主流框架的 1.5~2.8 倍。这种"开箱即用"的完整方案,将帮助开发者以更低成本快速落地自己的具身智能应用。
特别值得关注的是,LingBot-VLA 引入深度信息后的性能提升,体现了空间感知能力对机器人操控的重要性。结合昨日开源的 LingBot-Depth 模型,我们看到了一个清晰的技术演进路径:从精准的空间感知到智能的操控决策,具身智能正在构建起完整的"感知-认知-执行"闭环。
2026年1月
长期以来,由于本体差异、任务差异、环境差异等,具身智能模型落地面临严重的泛化性挑战。开发者往往需要针对不同硬件和不同任务重复采集大量数据进行后训练,直接抬高了落地成本,也使行业难以形成可规模化复制的交付路径。
图片
针对上述问题,我们基于在海量真实世界数据上的预训练,第一次系统研究了 VLA 模型在真实机器人任务性能上随着数据规模增长时的 Scaling Law。项目发现随着预训练数据规模从 3,000 小时扩展到 6,000、13,000、18,000,最终至 20,000 小时,模型在下游任务的成功率获得持续且显著的提升。值得注意的是,预训练数据量达到 20,000 小时时,模型性能仍呈现上升趋势,表明 VLA 的性能仍然能够随着数据量的增加而提升。这些实验结果证明了 VLA 模型在用真实数据预训练时呈现了良好的可扩展性,为未来的 VLA 开发和大规模数据挖掘提供了重要启示。
图片
依此研究结果,我们仔细构造了 20,000 小时的真实机器人训练数据,涵盖了 9 种主流的双臂机器人构型(包括 AgileX Cobot Magic,Galaxea R1Pro、R1Lite 、AgiBot G1等)。为了进行精确的数据标注,数据里的视频由人工标注者按原子动作进行切分,并用大模型标注视频对应任务和子任务。在 codebase 的开发中,适配了 Fully Sharded Data Parallel (FSDP) 分布式、混合精度、算子融合等优化,从而让同一个“大脑”可以快速迁移至不同形态的机器人上,并在任务变化、环境变化时保持可用的成功率与鲁棒性。
得益于涵盖主流构型和详尽任务的大规模预训练,LingBot-VLA 具备强大的通用操控能力,并且能够将其高效迁移到多样的下游机器人任务中。实验表明,LingBot-VLA 在下游任务中能够使用更少的数据,达到超越 π0.5 的性能;并且性能优势会随着数据量的增加而持续扩大。目前,LingBot-VLA 已与星海图、松灵、乐聚等知名机器人厂商完成适配,验证了模型在不同构型机器人上的跨本体迁移能力。
分享一个简单的油猴脚本,帮助你快速查找适用于当前浏览网站的用户脚本,支持多个主流脚本仓库。包括 Greasy Fork 、Sleazy Fork、OpenUserJS 、ScriptCat 、GitHub 和 GitHub Gist 。
灵感来自暴力猴。
比暴力猴增加了更多的脚本仓库。可以在设置界面启用/禁用特定搜索。
从今以后,在 Tampermonkey 也可以快速查找适用于当前浏览网站的用户脚本了。
🔗 链接
在过去的五篇文章中,我们从宏观价值聊到了底层算法(OT),从视觉感知(Presence)聊到了性能优化(Fragments)与安全管控。相信你已经对 SpreadJS 协同插件的强大能力有了深厚的理论积淀。 然而,“纸上得来终觉浅,绝知此事要躬行”。对于企业级开发者而言,最关心的是:如何将这些模块串联起来,构建出一个生产可用的协作平台? 作为本系列文章的收官之作,我们将回归代码实战。通过一个“从零到一”的完整路径,带你搭建一套集成多人协作、光标同步、数据持久化及权限管理的企业级 SpreadJS 协同设计器。 在开始之前,请确保你的开发环境已安装 Node.js v16+。 我们需要构建两个端: 客户端(Client):即用户浏览器端的 SpreadJS 编辑器。 SpreadJS 协同采用了模块化设计,我们需要安装以下关键包: 服务端不仅是消息的中转站,更是数据的“真理来源”。 在项目根目录创建 为了确保协同数据在服务器重启后不丢失,我们需要配置数据库适配器。 客户端的核心任务是:初始化 SpreadJS,并将其与协同服务器建立连接。 在客户端代码中,我们通过 为了让协作“看得见”,我们需要启用 Presence 插件。 正如第五篇文章所说,企业应用必须有权限控制。我们在客户端设置用户的浏览模式,并在服务端进行二次校验。 在 SpreadJS V19 对协同插件引入了更严格的双重授权机制。这是生产环境部署最关键的一步,请务必关注: 获取机器 ID:在目标服务器上运行以下代码: 配置激活: 注:若未配置授权,服务器将仅允许 localhost 访问,非本地请求将被拒绝。 通过以上四步,我们已经成功搭建了一个具备实时同步、冲突处理、视觉感知、持久化存储和安全审计能力的 Web Excel 协作中台。 回顾整个系列: SpreadJS 协同插件(Collaboration Add-on)不仅是一个功能,它是一整套成熟的、可扩展的实时协作解决方案。它让复杂的表格业务不再受制于空间的距离,让数据在流转中产生真正的价值。 即刻开始你的协同之旅吧! 如果你在实践中遇到任何问题,欢迎访问我们的官方技术社区进行交流。 系列文章回顾:一、 准备工作:环境与依赖
1. 初始化项目
mkdir spread-collaboration-demo
cd spread-collaboration-demo
npm init -y2. 安装核心依赖包
@grapecity-software/js-collaboration: 协同服务器核心。@grapecity-software/js-collaboration-ot: OT 冲突处理模块。@grapecity-software/spread-sheets-collaboration: SpreadJS 专用 OT 类型。@grapecity-software/js-collaboration-presence: 在线状态广播。@grapecity-software/js-collaboration-ot-sqlite: 用于演示的数据持久化适配器(生产环境建议用 Postgres)。二、 第一步:搭建“大脑”——协同服务器
1. 初始化协同服务器
server.js。我们需要注册 SpreadJS 专用的 OT 类型,这样服务器才能理解表格的“插入行”或“设置公式”等语义。import { Server } from "@grapecity-software/js-collaboration";
import * as OT from "@grapecity-software/js-collaboration-ot";
import { type } from "@grapecity-software/spread-sheets-collaboration"; // 引入 SpreadJS 专用 OT 类型
// 1. 注册 SpreadJS 协同类型
OT.TypesManager.register(type);
// 2. 创建协同服务器实例(支持集成到现有的 Express 或 http 服务)
const server = new Server({ port: 8080 });
// 3. 初始化 OT 文档服务(启用文档同步能力)
server.useFeature(OT.documentFeature());
console.log("协同服务器已在 8080 端口启动...");2. 配置数据持久化
import sqlite3 from "sqlite3";
import { SqliteDb } from "@grapecity-software/js-collaboration-ot-sqlite";
const db = new sqlite3.Database("./collab_data.db");
const sqliteDbAdapter = new SqliteDb(db);
// 初始化 DocumentServices 时传入数据库适配器
const documentServices = new OT.DocumentServices({ db: sqliteDbAdapter });
server.useFeature(OT.documentFeature(documentServices));三、 第二步:搭建“视窗”——客户端编辑器
1. 建立连接与文档初始化
Client 类连接服务器,并使用 SharedDoc 管理共享文档。import { Client } from "@grapecity-software/js-collaboration-client";
import { SharedDoc } from "@grapecity-software/js-collaboration-ot-client";
import { type, bind } from "@grapecity-software/spread-sheets-collaboration-client";
// 1. 连接服务器并加入指定房间
const connection = new Client("ws://localhost:8080").connect("room-001");
// 2. 创建共享文档实例并获取数据
const doc = new SharedDoc(connection);
await doc.fetch();
// 3. 如果是新文档,则初始化内容
if (!doc.type) {
await doc.create(workbook.collaboration.toSnapshot(), type.uri);
}
// 4. 核心步骤:将 SpreadJS Workbook 与 共享文档 绑定
// bind 方法会全自动处理:监听本地操作提交 -> 接收远程操作应用
bind(workbook, doc);2. 启用 Presence(光标与选区同步)
import { Presence } from "@grapecity-software/js-collaboration-presence-client";
import { bindPresence } from "@grapecity-software/spread-sheets-collaboration-client";
const presence = new Presence(connection);
const currentUser = { id: "user_A", name: "张三", color: "#FF0000" };
// 将用户信息与 Workbook 绑定,实现光标实时显示
await bindPresence(workbook, presence, currentUser);四、 第三步:安全管控与权限注入
1. 客户端权限设置
const userWithPermission = {
...currentUser,
permission: {
mode: GC.Spread.Sheets.Collaboration.BrowsingMode.view, // 设置为查看模式
viewModePermissions: GC.Spread.Sheets.Collaboration.PermissionTypes.allowFilter |
GC.Spread.Sheets.Collaboration.PermissionTypes.allowSort
}
};
workbook.collaboration.setUser(userWithPermission);2. 服务端中间件审计
server.js 中增加审计逻辑,拦截未授权的修改请求。// 验证每一笔提交的操作
documentServices.use('submit', async (context, next) => {
const userInfo = context.connection.tags.get('user');
if (userInfo.mode === 'viewer') {
return await next(new Error('只读用户禁止提交修改!'));
}
await next();
});
五、 核心要点:V19 版本授权激活
import { getMachineIdForServerLicense } from '@grapecity-software/js-collaboration';
console.log(getMachineIdForServerLicense());serverLicenseKey。 const server = new Server({ httpServer });
server.licenseKey = "你的部署授权Key";
server.serverLicenseKey = "你的服务器授权Key";六、 总结:开启你的协作时代
在日常IT运维中,网络故障定位往往是最耗时、最令人头疼的任务。无论是分支互联中断、跨境访问卡顿,还是核心业务响应变慢,运维人员面临的首要问题是:故障点在哪里?方向一旦判断失误,黄金排障时间就被白白浪费。 在多年的排障实践中,我发现IP地址查询是快速缩小排查范围的关键工具。它不是万能的,但如果没有它,你可能会在日志、配置和拓扑图里绕很久。 IP地址本身不直接告诉你故障原因,但它能帮你回答几个关键问题: 要回答这些问题,你需要一个能准确告知IP地理位置、运营商、网络类型的可靠数据源。 去年我们协助一家出海电商客户排查东南亚用户访问慢的问题。起初团队怀疑是源站服务器负载过高,但优化后端性能后效果甚微。我们利用IP查询工具,将用户主要投诉区域的IP段导入,拉取了连续7天的延迟、丢包和路由跳数数据。 返回信息显示:新加坡、印尼等地的用户流量绕经美国再进入中国,导致延迟增加150ms以上。问题根源是运营商层面的跨境路由选路策略,而非服务器性能。最终通过切换BGP专线优化路由,用户访问延迟降低了60%。 今年初,公司进行全国分支网络割接后,杭州和南京两个分支无法互通。按传统方法需登录两地核心路由器逐条检查路由表,至少耗费半天。 我们利用IP查询工具的子网规划辅助功能:输入母网段和已划分的子网,系统自动高亮重叠部分。对比发现,南京分支的CIDR与杭州分支的子网掩码计算错误,导致路由环路。修正配置后业务立即恢复。 有一次大促期间,交易系统响应时间从200ms飙升至3秒。我们立刻用IP查询工具的多地域拨测功能,选取全国十几个运营商节点同时发起HTTP请求。结果清晰显示:北方联通节点全部正常,南方电信节点全部超时。30秒内锁定问题——南方电信骨干网波动。 带着这份监测报告联系电信运营商,对方半小时内确认故障并切换备用路由。 从实际使用来看,一套成熟的IP查询服务应具备: 以我们团队使用的IP查询工具( IP查询服务接入方式灵活,可根据场景选择: Python调用示例: 在实际运维中,可将这些字段与监控系统、CMDB联动,实现自动化排障。例如拨测发现区域延迟异常时,自动调用IP查询分析该区域IP段和运营商,生成初步分析报告。 IP查询的价值不在于单点数据,而在于与时间、地域、行为等维度的关联分析。对于企业IT运维,这意味着: 工具只是辅助,最终决策仍需人对业务和网络的理解。但有了可靠的数据底座,你至少能在故障发生时,先找准方向再动手。
一、IP地址在故障定位中的作用
二、三类高频故障的定位实践
1. 跨境业务卡顿,先看“最后一公里”
2. 多分支组网,IP冲突排查
3. 核心业务突慢,快速定责
三、IP查询服务的技术能力
ipdatacloud.com)为例,其接口返回的usage_type字段可快速判断IP是家庭宽带还是数据中心,is_proxy标记是否经过代理,risk_level提供风险评分。在多地域拨测场景下,这些字段帮助我们快速定位故障范围。四、接入与实操参考
import requests
def query_ip(ip, api_key):
url = f"https://api.ipdatacloud.com/v2/query?ip={ip}&key={api_key}"
try:
resp = requests.get(url, timeout=3).json()
if resp.get("code") == 200:
data = resp["data"]
print(f"归属地: {data.get('country')} {data.get('province')} {data.get('city')}")
print(f"运营商: {data.get('isp')}")
print(f"网络类型: {data.get('usage_type')}")
return data
except Exception as e:
print(f"查询失败: {e}")
query_ip("8.8.8.8", "你的API密钥")五、小结
DSC07141.jpg 
DSC05970.JPG 
DSC06480.JPG 
DSC05734.JPG 
今天看到 @杭州金融女民工 的微博,也来说两句,之前看历史书籍的时候,就没少思考过这个问题,几乎无一例外。
无论中外,历史上都坚持 「嫡长子(女)继承制」,也只有基于这个规则的权力与财富传承才相对稳定,否则基本都是一团乱麻。
原因都是一样的:只有血脉纯正和出生顺序是 绝对客观 的,这个规则一目了然无从挑战;否则无论是「立贤」还是「扶弱」,都是一个 主观判断 的结果,无论如何都无法让所有人信服。
同理,现代社会的大家族传承,同样还是这一套规则,但凡没有坚持 「立长不立贤」 最后都是鸡飞狗跳;至于咱们小门小户,也没有皇位需要继承,并不需要刻意集中权力和财富,就只有 「平均分配」 才是唯一的正解。
这样来看,我们俩都是独生子女,然后又是 DINK,那么无论对上还是对下,倒是都不用烦恼这个问题了~ 🤣🤣🤣
package.json、看似正常的 src/index.js 出口且无额外依赖,快速审查时风险特征极低。scripts 目录中:postinstall 钩子会静默将包全局安装,使 openclaw 命令加入系统 PATH,并指向混淆处理的第一阶段加载程序 scripts/setup.js。openclaw 时,会看到界面逼真、带进度条与日志动画的 CLI 安装程序,以此掩盖高度混淆的代码正在外联 C2 控制服务器的事实。setup.js 会秘密解码经 XOR 加密的 URL 与活动 ID,连接 hxxps[://]trackpipe[.]dev,下载经 AES‑256‑GCM 加密的第二阶段载荷。NODE_AUTH_TOKENNODE_CHANNEL=complexarchaeologist1setup.js 经过高强度混淆:字符串表乱序、RC4 解密、控制流平坦化。运行时展示高度仿真的 CLI 安装界面与动态进度条。
~/.cache/.npm_telemetry/monitor.js%APPDATA%/.npm_telemetry/monitor.js.zshrc、.bashrc、.bash_profile 追加伪装成 “NPM Telemetry Integration Service” 的启动项,在 Linux 中写入 @reboot 定时任务,并使用 PID 锁保证单例、持续运行。payload:Base64 编码的加密载荷k:十六进制格式解密密钥载荷使用 AES‑256‑GCM 算法解密。
对于无法通过 SQLite 直接提取的 Cookie,恶意软件会利用 Chrome DevTools Protocol 启动无头浏览器,通过 --remote-debugging-port 程序化导出全部 Cookie。
所有窃取数据会打包为:
[国家码]用户名_持久ID.tar.gz
trackpipe[.]dev
其中 CLONE_START 指令尤其危险:
它会复制完整浏览器配置,启动带远程调试的无头 Chromium,将 CDP WebSocket 转发回 C2,使攻击者直接获得已登录的浏览器会话,无需任何密码。
.npm_telemetry 目录npm_telemetry / monitor.js 进程,删除 .npm_telemetry 目录,卸载恶意包,并考虑全盘重装系统。postinstall 钩子进行全局安装| 指标 | 内容 |
|---|---|
| 包名 | @openclaw-ai/openclawai |
| 类型 | NPM |
| 版本 | 1.5.15、1.5.14 |
| XRAY-ID | XRAY-949975 |
| C2 域名 | hxxps[://]trackpipe[.]dev |
| 引导路径 | /t/bootstrap?t=fafc0e77-9c1b-4fe1-bf7e-d24d2570e50e |
| 活动 ID | complexarchaeologist1 |
| 安装目录 | ~/.cache/.npm_telemetry/ |
| 执行文件 | monitor.js |
| 临时文件 | /tmp/sys-opt-*.js |
| Shell 注释 | # NPM Telemetry Integration Service |
| Cron 注释 | # Node.js Telemetry Collection |
| 加密算法 | AES-256-GCM(16 字节 IV,16 字节校验标签) |
| IP 查询 | hxxps[://]ipinfo[.]io/json |
| 备用上传 | GoFile.io API |
| 数据外发 | Telegram Bot API、C2 面板 |
| 环境变量 | NODE_AUTH_TOKEN、NODE_CHANNEL、NPM_CONFIG_TAG、GHOST_RECOLLECT、GHOST_TG_CONFIG |
本次关键升级是在 Microsoft 365 核心应用中全面落地智能体体验。
新一代 Copilot 智能体功能将登陆 Word、Excel、PowerPoint、Outlook,并同步升级 Copilot Chat(原 “智能体模式”)。
微软同时强调 Copilot 将采用多模型兼容策略。
在其 Frontier 计划下,企业用户可在 Copilot Chat 中选择模型,Anthropic Claude 与最新 OpenAI 模型将同时提供。
本次发布另一核心为 Agent 365,微软将其定位为AI 智能体统一管控平台。
该产品计划于 5 月 1 日正式上市,定价为每用户每月 15 美元,区域定价待定。
Microsoft 365 E7 计划于 5 月 1 日正式推出,定价每用户每月 99 美元,区域定价待定。
该套件整合:
微软表示,E7 可与企业现有应用与安全体系无缝集成,并由 Work IQ 驱动。
Work IQ 是与企业办公场景深度绑定的智能层,为 Copilot 与智能体提供上下文支撑。
案例包括奔驰、NASA、Fiserv、荷兰国际集团、肯塔基大学、曼彻斯特大学、美国内政部、西太平洋银行等。
微软称,世界 500 强企业中已有 90% 使用 Copilot。
更特殊的是,该加载器使用自定义时间算法解锁真实载荷。
恶意代码仅在特定 55 小时时间窗口内才能成功解密。
此外,黑客会在命令行末尾插入一个不可见空格字符。
恶意软件必须匹配该隐藏字符,才能生成正确密钥,解锁最终病毒体。
1.1.1.1 或 8.8.8.8。攻击者将窃取的数据与恶意指令隐藏在超长、复杂的子域名中。
公共解析器会将请求转发至黑客隐藏服务器,并将加密响应返回给受感染设备。
目标拆解:攻击者将恶意目标拆分为多个看似无害的步骤。防护需对多轮对话进行全程追踪检测。
欺骗与角色扮演:恶意请求隐藏在虚假剧情或官方身份中。可通过禁止身份仿冒、限制 AI 人设来降低风险。
上下文记忆:系统会记录历史对话并调整诈骗策略。限制记忆长度可降低此类风险。
实时语音合成:将文本转化为逼真的诈骗语音。在生成语音前对内容进行审核可防止滥用。
其中最具威胁的是 CVE‑2026‑31816,CVSS 评分高达 9.1。
漏洞源于平台用于保护所有服务端接口的 authorized() 中间件,因 isWebhookEndpoint() 函数中的正则表达式未做边界限定,导致请求校验逻辑异常。攻击者只需在任意请求的参数中拼接类似 ?/webhooks/trigger 的路径特征,即可欺骗服务器跳过全部身份认证与权限校验。
完全权限绕过:攻击者无需用户名、密码即可访问全部 API 接口。
数据全面暴露:获得数据表、记录、自动化流程与插件的完整增删改查权限。
无交互攻击:纯网络层面利用,无需钓鱼、无需用户操作即可触发。
该漏洞存在于渐进式 Web 应用(PWA)的 ZIP 处理接口中。用户上传构造好的恶意 ZIP 压缩包(内含篡改的 icons.json),可利用未做过滤的 path.join() 实现路径遍历攻击。
攻击者能够读取服务器上任意文件,包括 /proc/1/environ,该文件通常存储全部环境变量。
密钥窃取:可窃取 JWT 密钥、数据库凭证、API 令牌等核心敏感信息。
跨租户风险:在 Budibase 云服务中,单个租户的构建者可窃取平台全局密钥,影响所有用户。
实测验证:研究人员已在生产环境复现成功,成功获取 19 项核心密钥,包括 AWS IAM 密钥与 OpenAI API 密钥。
上述漏洞组合可实现对整个平台的完全攻陷。
一旦泄露 JWT_SECRET,攻击者可伪造任意用户的管理员令牌;窃取 API_ENCRYPTION_KEY 后,则能解密系统中所有存储的数据源密码。
nginx.ingress.kubernetes.io/rewrite-target 这一 Ingress 注解上。安全研究人员证实,该注解可被恶意利用,直接向底层 Nginx 进程注入非法配置。任意代码执行:攻击者可在 ingress-nginx 控制器进程上下文中执行任意代码。
大规模数据泄露:由于默认部署下控制器通常拥有集群级访问权限,攻击者可遍历并泄露整个 Kubernetes 集群内的所有 Secret 密钥信息。
kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginxrules.http.paths.path 字段中的可疑内容,此类特征通常意味着已发生攻击尝试。rewrite-target 注解,在完成补丁升级前降低风险。
deepaichats[.]com。
做风控这些年,我发现一个挺有意思的现象:大家一开始都迷信IP,觉得这玩意儿是铁打的证据;后来被动态IP、代理出口坑多了,又开始觉得IP没用,转向设备指纹;折腾一圈回来,发现IP还是那个最基础的锚点,关键得看你怎么用。 最近正好在搞一个电商项目的风控升级,碰上一波抢购的异常流量,折腾了两周,有些体会可以聊聊。 事情是这样的。上个月我们搞了个限时秒杀活动,刚开始半小时,监控就报警了——接口响应变慢,数据库连接数飙升。查日志发现,大量请求来自不同IP,但行为模式高度一致:请求间隔精确到毫秒级,UA头整齐划一。 第一反应是上频率限制。结果发现,这些IP每个就请求几次,频率根本不高。后来才意识到,这是“秒拨”——有人手里握着大把IP资源,轮着用,每个IP都是“干净的”,常规限流根本锁不住。 那段时间我们试了好几种方案。一开始想着自己维护IP黑名单库,结果发现这活儿太累:每天要拉取各种公开情报,还得自己清洗、打标签,更新慢了就漏过。后来转向用商业IP库,,主要是它那个“网络类型”字段给得细——能直接区分出“家庭宽带”、“IDC机房”、“秒拨代理”,这在当时帮了大忙。 踩过坑之后,我们重构了IP风控的架构。大概分成三层,不一定适合所有场景,但思路可以参考。 第一层:在网关直接干脏活 这层追求的是快,数据要本地化,不能走网络。我们用的服务商提供离线库文件,每周更新一次,直接挂载到网关,查询延迟在微秒级,基本不影响性能。 第二层:业务风控的精细活 举个例子。秒拨最大的特点:IP一直在变,但设备没变,或者账号没变。所以我们引入了设备指纹,然后把第三方接口返回的“IP类型”和设备行为关联起来。 当时写了个简单的规则引擎,逻辑大概是这样(伪代码): 这里面最关键的其实是那个 第三层:离线挖掘,挖团伙 这个思路参考了Digital Element去年的一份报告,里面提到运营商级NAT(CGNAT)越来越普遍,一个IP背后可能是一整个小区的用户。如果因为一个恶意请求封了整个IP,误伤面就太大了。所以离线分析的目的,就是把这种“共享IP”识别出来,避免误杀。 1. IPv6的坑 2. 接口调用的超时问题 3. 数据更新频率 这一仗打下来,我对IP风控的看法变了。以前觉得IP就是个坐标,现在觉得IP是个“入口”,通过它能挖出很多信息。 比如,结合IP风险评分,我们尝试做了个动态信任模型:正常用户的IP风险分低,允许访问所有功能;中风险用户,加验证码;高风险用户,直接拒绝。这套模型上线后,异常请求拦截率降了70%以上,用户侧的误伤率控制在0.5%以内。 另一个想尝试的方向是“IP关联图谱”。通过分析IP之间的跳转关系(比如一个设备在短时间内换了多个IP),可以画出异常行为路径。这需要大量数据积累,目前还在探索中。 最后给个建议:IP数据只是风控拼图里的一块,别指望靠它解决所有问题。但如果没有一块靠谱的IP数据,拼图永远缺一角。至于怎么选服务商,我的标准就三条:数据更新快不快(能不能抓到秒拨)、标签细不细(是不是只有“代理”这种模糊分类)、稳定性好不好(别动不动超时)。目前用的IP数据云在这三块还算均衡,当然你们也可以多对比几家,找最适合自己业务的。 以上,就是这段时间折腾IP风控的一些心得。写得比较散,想到哪说到哪,希望对正在被类似问题困扰的同行有点用。
起手式:我们是怎么被逼着重新审视IP的
实战:分层级把IP管起来
对于那种一眼假的扫描流量,没必要进业务层。我们在OpenResty里写了几条Lua脚本,配合商业IP库的本地离线版做快速过滤。比如:
这一层是我们投入精力最多的。核心思路是不只看IP本身,还要看IP背后的“人”。def risk_check(ip, device_id, user_id):
ip_info = query_ip_data_cloud(ip) # ipdatacloud.com 接口
if ip_info.network_type == "broadband" and device_id in suspicious_devices:
# 家庭宽带IP+可疑设备=高风险
return "block"
if ip_info.network_type == "proxy" and user_activity.is_new_user(user_id):
# 代理IP+新注册用户=大概率羊毛党
return "captcha"
if ip_info.risk_score > 80:
# 高风险IP直接拦截
return "block"
return "allow"ip_info.network_type。以前我们用开源库,只能看到运营商和地理位置,没法判断是不是代理。换成现在的服务商之后,发现对方把这个字段拆得很细,连“秒拨IP”都有单独标签,这对规则命中率提升帮助很大。
线上拦截做完了,但侵入手法也在进化。我们定期把日志导到数据仓库,用Spark做离线分析。比如:统计每个IP关联的设备数,如果某个IP关联了超过20台设备,且这些设备都有异常行为,那就把这个IP标记为“NAT出口”或“代理跳板”,下次遇到这个IP的请求,即使行为看起来正常,也要降权处理。踩坑记录:有些坑你们可能也会遇到
我们曾经天真地以为IPv6地址空间大,入侵者不好囤积,结果发现他们比我们想象的精。他们通过隧道技术,把IPv4流量包装成IPv6,照样能绕过黑名单。后来我们被迫在风控系统里同时支持v4和v6的画像,还好服务商的v6库覆盖还算全,省了不少麻烦。
一开始我们所有请求都实时调用第三方IP服务的API,结果有次对方机房网络波动,我们的接口跟着超时,导致用户登录失败。后来加了一层本地缓存,把最近查过的IP结果存起来,API挂了就走缓存,虽然可能旧一点,但至少服务不中断。
恶意IP池变化很快,我们试过每周更新一次离线库,发现很多IP周五还是干净的,周六就变成入侵来源了。后来切到每天增量更新,配合实时API查询高风险场景,才基本压住。说点实在的:IP风控还能怎么玩
干了这么多年工程,你有没有被这两件事折磨疯过。老板拍桌子问“项目到底赚不赚钱”,你打开系统翻了半天,出来的报表他自己都看不懂;员工私下吐槽“上个系统比上工地还累”,录入一堆数据,纯粹是给管理层演戏看。 到了2026年,这种两头不讨好的软件真该淘汰了。市场需要的,是一个真正懂工程、能落地、让数据自己开口说话的专业伙伴。今天要聊的红圈工程项目管理系统,或许就是那个能帮你打破僵局的选择。 为什么你买的软件,最后都成了摆设? 很多工程企业管理软件的失败,根源在于脱离业务。它们要么是死板的财务记账工具,要么是复杂的ERP流程枷锁,忽略了工程项目的动态性和复杂性。对于建筑工程企业而言,管理的核心痛点始终是现金流薄弱、成本不可控、项目进度滞后、质量问题频发和安全风险较多。一套无法解决这些实际问题的软件,自然会被一线员工和管理者双双抛弃。 红圈系统的出发点完全不同。不是让业务去适应软件,而是让软件去服务业务。作为一个专注于工程建设项目管理的数字化平台,红圈将功能深度聚焦于围绕项目的经营管理,旨在助力企业业务流程实现标准化。无论是房建工程、市政工程、装饰工程、机电工程,还是新能源工程,红圈都能通过灵活的配置去贴合不同垂直行业的特性。当软件真正懂行了,员工用起来才不会有“隔靴搔痒”的别扭感。 老板看不懂报表?那是系统没长嘴 对于企业决策者来说,看不懂报表的根本原因在于数据呈现过于碎片化,缺乏专业的解读。以往的经营会议上,项目人员整理的数据容易出现漏、误、错,各部门口径差异大,导致汇报内容和实际情况存在较大偏差。 为了解决这个问题,红圈推出了红圈AI系列产品。其中的红圈项目360°AI解读,能一键整合资金、成本、合同、付款等全维经营指标,生成项目全景作战图。老板不用再费力去拼凑数据,系统通过大模型深度解读,直接指出项目的经营风险与应对策略。能调用行业专家经验,对每个项目的经营状况进行综合评定和智能分级,让管理者可以按重要性逐步排查项目。 专门辅助老板的红圈BOSS助理Agent,能借助AI大模型的推理能力,精准挖掘企业自有数据模型,智能生成全面准确的经营数据汇报,让管理者随时随地洞悉经营状况。而红圈AI报表助手,通过大模型秒级解析业务报表,将预设分析策略转化为实时风险洞察,自动定位异常指标、生成根因解读与改善建议。当系统能主动告诉你“哪个项目利润可能不达预期”时,老板自然愿意多看几眼。 针对老板最关心的企业收支与产值进度,红圈系统能够做到实时呈现,让企业整体的资金状况是否安全、经营风险是否可控,时刻尽在掌握。 员工不爱用?因为系统没把他当人看 员工懒得用系统,核心原因往往是“增加了工作量,却没看到实际好处”。成本专员需要逐页阅读纸质或电子合同,手动提取关键信息输入系统;材料员面对种类繁多的出入库单,每天要逐条录入,工作繁重且极易出错。 红圈AI系列产品中的AI录单助手,正是为了解决这一痛点而生。红圈AI录单助手通过大模型自动识别各类单据,自动提取关键字段,智能匹配相应的合同、材料明细并回填业务系统,减少了90%人工操作。原本耗费心力的数据录入变成了“扫一扫”那么简单,员工自然愿意配合。 在物资和成本管理层面,红圈系统能智能分析入库材料匹配的合同明细并挂接,清晰厘清成本发生的源头,后期想要追溯资金流向,点点鼠标就能找到出处。 采购被坑、公章乱盖?这些坑AI帮你填上了 工程项目链条长、参与方多,潜在的管理风险无处不在。在采购环节,如何快速筛选出优质的供应商?在印章管理环节,如何杜绝“空白合同”“私自用印”等乱象? 红圈通过嵌入更深度的AI能力,将管理触角延伸到了这些高风险领域。例如红圈采购助理Agent,能够快速筛选优质供应商。当企业录入一家新供应商时,系统会在3秒内完成信用数据抓取,40秒内AI完成对法律诉讼、失信人、企业年报、税务评级等多维度风险的排查分析,并生成完整的风险评估报告。如果发现对方存在破产案件、限制消费令或大量买卖合同纠纷,系统会直接给出明确的合作建议。这种量化的风险评分,帮助采购人员规避了大量主观误差和潜在的合同纠纷。 在实物印章管理方面,红圈AI系列产品提供了红圈AI智能印控。在盖章前,系统会自动比对盖章文件与审批文件的内容是否一致,有效防控条款被篡改的风险。同时,设备内置高清摄像头和陀螺仪,实现远程授权、实时拍照、动态录像,让每一次用印都有据可查 此外,红圈AI业务助手,能实时解析工程管理业务数据,将AI能力深度嵌入工作流。自动生成业务分析、风险预警及优化建议,帮助企业在合同审查、风险识别中规避基础风险,提升审核效率。红圈AI财务Agent则作为企业的财务系统数据专员,通过直连电子税局系统,推动发票开、收、查、控各环节智能化升级,辅助管理者精准核算项目过程成本。 老员工走了,经验也带走了?这回不用怕了 建筑行业人员流动频繁,宝贵的项目经验往往随着老员工的离开而流失。新来的项目经理在编制标书时,需要翻阅大量历史文档,检索难、耗时长。 红圈AI企业知识库,有效地解决了这一难题。红圈AI企业知识库,通过大模型与智能检索技术,将分散的投标策略、施工组织设计、技术规范、诉讼案例等经验,转化为即问即答的能力。员工用自然语言提问,比如“哈尔滨出差的住宿标准是多少?”,系统能在3秒内从繁杂的制度文件中精准提取答案。这不仅大幅降低了新人的培养周期,更让每一份历史经验都成为了推动新业务前进的燃料。 评价一款建筑工程管理软件的好坏,不应只看它功能列表有多长,而要看它是否真正弥合了决策者与执行者之间的信息沟。红圈工程项目管理系统的价值,恰恰在于它既懂老板的担忧,又懂员工的难处。背靠自主研发的PaaS平台,坚持深耕工程建设领域,通过推出红圈AI系列产品,将冰冷的数字转化为有洞察的建议,将繁琐的操作简化为智能的交互。 作为国家高新技术企业,和创科技在工程项目管理领域已经服务了数千家建筑工程企业,其产品能力和技术实力经过了市场的长期验证。如果你正在寻找一款能让老板看得明白、让员工用得顺手的项目管理软件,红圈或许就是那个“对”的选择。它正用更专业的数据智能解决方案,努力让每一个工程项目的管理都变得简单起来。
在排查线上问题时,你很可能遇到过这种情况:同一台服务器的访问日志里,IPv4地址定位到A城市,IPv6地址却指向B城市,甚至经纬度都不同。这并非某个IP库的数据质量问题,而是IPv4与IPv6在网络架构、地址分配机制上的本质差异在定位层面的体现。 从技术实现角度看,两种协议的定位逻辑存在根本区别。 IPv4定位依赖“推测模型”。由于地址枯竭,NAT已成为普遍存在,一个公网IPv4地址背后可能是成百上千用户,甚至通过CGNAT覆盖整个片区。定位系统无法直接获取用户位置,只能基于三类数据进行推算: 这三种方法叠加,本质上是在做“概率推断”——给出的是最可能的区域,而非真实位置。 IPv6定位具备“拓扑线索”。IPv6地址结构自带层次化信息:全球路由前缀(/23)、运营商前缀(/32)、区域前缀(/48)、子网前缀(/64)。运营商在部署IPv6时,普遍遵循地域化分配策略——某段/48前缀划归某城市,某段/64前缀对应某接入网。 这意味着什么?对于定位系统,IPv6地址本身就是线索。只要建立前缀与地理区域的映射关系,定位精度天然高于IPv4。这不是算法更强,而是架构设计使然。 根据某商业IP库2025年内部测评数据显示,在排除移动网络场景后: 造成这种差异的技术原因有三点: 第一,IPv4地址流转导致信息失真。 地址交易市场活跃,一个原属华北的IPv4段可能被华南运营商采购使用,但Whois库可能五年未更新。业界普遍认为,相当比例的IPv4地址段存在注册信息与实际使用者脱节的情况。 第二,IPv6分配仍处规范期。 国内三大运营商在IPv6规划阶段就明确了地域映射关系,地址段与物理位置的绑定逻辑清晰可溯。以中国移动为例,其CMNET6骨干网的地址规划文档显示,/48前缀的第三、第四字节直接编码了省份和地市信息。 第三,NAT汇聚模糊了IPv4出口。 即便用户真实位置在县城,流量经市级甚至省级BRAS汇聚后,出口IPv4地址属于汇聚层设备,定位结果自然被拉高到上级城市。IPv6的端到端架构不存在此问题。 IP定位的本质是建立“地址段→位置”的映射表,但两套协议的库维护逻辑已走向分化。 IPv4库:历史数据沉淀为主。由于分配格局固化,IPv4库的核心工作是“校准”——通过探测数据修正错误的注册信息。主流厂商采用被动探测+主动反馈机制,对存量段进行持续校正。更新周期通常为周级。 IPv6库:实时数据流驱动。IPv6空间太大,被动探测覆盖不了,必须依赖源数据。2025年IAB发布的RFC 9630(原RFC 8805的更新版)规范了geofeed格式,运营商可主动发布自己的前缀-位置映射。定位服务商通过订阅这些数据流,实现日级甚至小时级同步。 国内厂商已跟进这一机制。以IP数据云为例,其IPv6库每日接收来自数十家运营商的geofeed更新,结合BGP路由变化实时调整。对于接入CNGI(中国下一代互联网)的项目,这种实时性直接决定风控策略的有效性。 对于需要处理双栈流量的技术团队,以下几点可供参考: 1. 区分场景精度要求 2. 关注动态分配处理 3. 数据源交叉验证 从技术实现角度看,IPv4与IPv6的定位差异本质上是“补丁机制”与“原生机制”的区别。IPv4定位是在地址短缺的约束下不断打补丁,而IPv6定位则是架构设计的自然产物。理解这些差异,有助于在系统设计阶段合理规划IP定位模块的选型与预期精度,避免在排查问题时陷入“为什么数据对不上”的困惑。
一、定位实现机制的本质差异
二、精度现状:数据对比
三、数据库支持的技术演进
四、选型策略与实操建议
IPv6前缀可能因网络重构重新分配,2024年某省联通就发生过/48段整体迁移的情况。选择支持实时变更推送的服务商,比单纯依赖离线库更稳妥。
对于关键业务,可同时接入RIR的Whois数据、运营商geofeed和商业库进行交叉比对。IPv6时代,单一数据源已不足以支撑高精度需求。五、小结