外星科技
一键对鼠标下图片文本进行 OCR
智能捕获文本框，拼接，并用大模型清理输出。
还在手动框选？ 你 out 啦～～

核心库：文本检测模块 - PaddleOCR

Reddit_Business_Idea_Validator

为什么出海看 reddit?

Reddit 是欧美年轻人扎堆的兴趣社区，类似国内贴吧，但更垂直。用户以 24-44 岁男性为主，爱科技、游戏、亚文化，消费力强且反感硬广。出海人可通过创建兴趣小组（Subreddit）、发干货帖子、办 AMA 问答活动自然引流，但需长期互动，避免直接推销

reddit 的数据获取：

PRAW (Python Reddit API Wrapper) 是一个 Python 库，它封装了 Reddit 的 API, 让我们能够轻松地与 Reddit 进行交互。使用 PRAW, 我们可以获取帖子、评论，甚至可以发布内容或管理 subreddit。PRAW 不仅简化了 Reddit API 的使用，还提供了许多便利功能，使得 Reddit 数据抓取变得轻而易举。
参考： https://blog.csdn.net/m0_73693562/article/details/147905146

我的开源项目介绍

核心功能

• Reddit 数据抓取: 自动抓取相关帖子和评论数据（使用用户输入作为搜索关键词）
• AI 内容分析: 使用 LLM 分析用户痛点和市场需求
• 自动化报告生成: 生成专业的市场验证报告

系统流程图

┌─────────────────────────────────────────────────────────────────────────────────┐
│                              系统入口                                         │
│                    python run_agent.py "业务创意"                              │
└─────────────────────────────────────────────────────────────────────────────────┘
                                           │
                                           ▼
┌─────────────────────────────────────────────────────────────────────────────────┐
│                           环境配置与初始化                                      │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐           │
│  │  Config     │  │ Context     │  │ MCP Clients │  │ Storage     │           │
│  │  Manager    │  │  Store      │  │             │  │  Server     │           │
│  └─────────────┘  └─────────────┘  └─────────────┘  └─────────────┘           │
└─────────────────────────────────────────────────────────────────────────────────┘
                                           │
                                           ▼
┌─────────────────────────────────────────────────────────────────────────────────┐
│                        Orchestrator Agent 启动                                │
│  ┌─────────────────────────────────────────────────────────────────────────┐   │
│  │ 任务: validate_business_idea                                           │   │
│  │ 业务创意: "用户输入的业务创意"                                          │   │
│  └─────────────────────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────────────────────┘
                                           │
                                           ▼
┌─────────────────────────────────────────────────────────────────────────────────┐
│                        1. 数据抓取阶段 (Scraper Agent)                         │
│  ┌─────────────────────────────────────────────────────────────────────────┐   │
│  │ 任务: scrape_data                                                     │   │
│  │ - 使用业务创意作为搜索关键词                                           │   │
│  │ - 通过 Reddit MCP Server 抓取 Reddit 帖子和评论                        │   │
│  │ - 保存 checkpoint: scraping_complete.json                             │   │
│  └─────────────────────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────────────────────┘
                                           │
                                           ▼
┌─────────────────────────────────────────────────────────────────────────────────┐
│                        2. 数据分析阶段 (Analyzer Agent)                        │
│  ┌─────────────────────────────────────────────────────────────────────────┐   │
│  │ 任务: analyze_data                                                    │   │
│  │ ├── analyze_posts: 分析帖子内容，提取用户痛点和需求                    │   │
│  │ ├── analyze_comments: 分析评论情感和用户反馈                           │   │
│  │ ├── comments_tag_analysis: 评论标签分析                                │   │
│  │ └── combined_analysis: 综合分析生成市场验证评分                        │   │
│  │ 保存 checkpoint: analysis_complete.json, comments_tag_analysis_complete.json│ │
│  └─────────────────────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────────────────────┘
                                           │
                                           ▼
┌─────────────────────────────────────────────────────────────────────────────────┐
│                        3. 报告生成阶段 (Reporter Agent)                        │
│  ┌─────────────────────────────────────────────────────────────────────────┐   │
│  │ 任务: generate_and_save_report                                        │   │
│  │ ├── generate_html_report: 生成 HTML 格式报告                          │   │
│  │ ├── save_report: 保存报告到 reports/ 目录                            │   │
│  │ └── 保存 checkpoint: report_saved.json                               │   │
│  └─────────────────────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────────────────────┘
                                           │
                                           ▼
┌─────────────────────────────────────────────────────────────────────────────────┐
│                        4. 结果输出与存储                                      │
│  ┌─────────────────────────────────────────────────────────────────────────┐   │
│  │ 输出文件:                                                             │   │
│  │ ├── reports/{business_idea}_{timestamp}.html                          │   │
│  │ ├── agent_context/checkpoints/{run_id}/                               │   │
│  │ │   ├── scraping_complete.json                                        │   │
│  │ │   ├── analysis_complete.json                                        │   │
│  │ │   ├── comments_tag_analysis_complete.json                           │   │
│  │ │   ├── combined_analysis_complete.json                               │   │
│  │ │   └── report_saved.json                                             │   │
│  │ └── 小提示: 相关资料请到 agent_context/checkpoints/{run_id}/ 目录下查看 │   │
│  └─────────────────────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────────────────────┘
                                           │
                                           ▼
┌─────────────────────────────────────────────────────────────────────────────────┐
│                              任务完成                                         │
│                    返回 TaskResult 包含执行结果                                │
└─────────────────────────────────────────────────────────────────────────────────┘

展示效果：

欢迎 star

github: GitHub - liangdabiao/Reddit_Business_Idea_Validator: Reddit 生意调研 Agent: 收集和分析数据来解析市场需求、用户痛点及竞争格局.- 📊 **Reddit 数据抓取 **: 自动抓取相关帖子和评论数据（使用用户输入作为搜索关键词） - 🤖 **AI 内容分析 **: 使用 LLM 分析用户痛点和市场需求 - 📄 ** 自动化报告生成 **: 生成专业的市场验证报告

开源链接：
ZeroAd-06/UNITY2api: description, website, or topics provided.

总之，你现在可以使用 OpenAI 格式的 API 来调用 厦门实验室的 UNITY 模型，免费体验超过 Gemini 3 Pro，GPT-5.2，GPT-5.1，Kimi K2 T，Claude 4.5 Opus，Grok 4，GLM-4.7，DeepSeek-V3.2，Doubao-1.5 Pro，Qwen3-Max，Mistral Large 3，MiniMax-M2.1 的性能的模型，
或者至少是 与 Gemini 3 Flash 性能相当的模型

这很有可能是你见过的最简单的 2api 项目，代码不超过 160 行。
这个厦门实验室的网页没有做任何鉴权 / 反机器人机制，大家赶紧蹬啊

事实上，我写 readme 的时间都比开发（完全丢给 AI）的时间长。

就算你不打算使用这个模型，我也希望你能点进项目的 README 看一下，相信我，看我之后你会给这个项目一个 star，然后给这个帖子一个

1. 数据来自 XiamenLabs 官方声称的评测基准 ↩︎

如题，把主力机

System Details Report

---

Report details

• Date generated: 2026-01-07 23:36:43

Hardware Information:

• Hardware Model: MECHREVO Z2 Air Series GK5CP5X
• Memory: 32.0 GiB
• Processor: Intel® Core™ i7-9750H × 12
• Graphics: Intel® UHD Graphics 630 (CFL GT2)
• Graphics 1: NVIDIA GeForce GTX 1650
• Disk Capacity: 1.0 TB

Software Information:

• Firmware Version: N.1.05
• OS Name: Debian GNU/Linux 13 (trixie)
• OS Build: (null)
• OS Type: 64-bit
• GNOME Version: 48
• Windowing System: X11
• Kernel Version: Linux 6.12.57+deb13-amd64

从 Windows 换成了 Debian，开始非常麻烦啊，先用 ventoy 引导但是有问题，软件安装不上；又是手欠，“把家拆了”，配环境的时候直接把根目录炸了，只能再重装一次。
谈谈遇到的几个选择点：

1. 对于桌面的选择：

作为一个 “UI 至上” 的用户，我尝试了几个桌面环境：

1. Gnome 48：最终选择

• 优点：现代、简洁、动画流畅，扩展生态系统丰富
• 痛点：资源占用相对较高（在 32GB 内存的机器上不是问题）
• 决定性因素：自带 RDP 支持，远程访问无缝

2. Xfce：轻量但不够精致

• 适合老机器，但视觉风格感觉停留在 2000 年代初期
• 定制性强，但需要投入大量时间才能达到满意的视觉效果

从 Windows 的 “功能堆砌” 到 Gnome 的 “极简主义”。最初不习惯顶部栏的设计，但习惯了 “活动概览”（Super 键）后，发现工作效率更高了。

2. 对于显卡的适配性：

NVIDIA + Intel 的配置之路
我的配置是 Intel UHD 630（核显） + NVIDIA GTX 1650（独显），配置过程：

驱动安装：使用 non-free 仓库的 nvidia-driver 包，比从 NVIDIA 官网下载.run 文件简单稳定
Prime 选择：prime-select 工具让切换变得简单，但需要注销重新登录
实际体验：
日常使用：Intel 核显，省电且发热小
游戏 / 渲染：使用 prime-run 前缀启动程序
痛点：某些应用不会自动使用独显，需要手动配置
利用率低的真相：Linux 上的游戏生态依然主要依赖 Proton（Steam Play），原生支持的游戏少。我的 GTX 1650 大部分时间在 “休息”，但对于支持的游戏，性能基本达到 Windows 的 85-90%。

3. 对于操作性和互动性：

1. 软件安装的范式转换

• Windows 思维：下载.exe → 安装 → 可能带全家桶
• Linux 思维：sudo apt install → 系统级管理 → 干净卸载
• 惊喜：apt 的依赖解析虽然有时令人头疼，但卸载时的干净程度令人感动

2. 终端

• 最初尽量避免使用终端
• 现在：终端是最高效的工具，特别是系统管理和批量操作
• 最喜欢的命令：apt history（查看安装历史）、systemctl（服务管理）

3. 文件系统的重新认识

• 从 Windows 的 C/D/E 盘到 Linux 的单一树状结构
• /home/用户名/ 成为了新的 “我的文档”，但更灵活
• 习惯改变：现在更多使用符号链接（ln -s）组织文件

4. 对于依赖的一些吐槽：

尝试过的方案：

1. 搜狗输入法：有 Linux 版，但在我这里频繁崩溃
2. Google 输入法：安装复杂，依赖多，最终放弃
3. Fcitx5 + Rime：最终选择

• 优点：稳定、可定制、资源占用低
• 配置复杂度：中等，需要编辑 YAML 配置文件
• 美丽之处：一次配置，终生受益，同步也方便

依赖问题的本质：Linux 软件像精密仪器，每个零件都有特定版本要求。我的经验：

• 优先使用官方仓库
• 其次考虑 Flatpak（沙盒隔离，不干扰系统）
• .deb 包是最后的选择
• 永远不要 sudo dpkg -i --force-all（血的教训）

最后呢有一个心得体会：Linux 不是 Windows 的替代品，它是另一种思考计算机的方式。一旦你理解了这种方式，就再也回不去了。

目前还未结合已有自动交易逻辑，暂时只能通过生成的图片来手动交易。

效果图：

欢迎大家交流。

DecoTV - 开箱即用的影视聚合播放器

▎项目介绍：一个影视聚合播放器前端，提供统一影视资源搜索入口、在线播放、影视详情展示、观看记录与收藏同步等功能，支持多端设备响应式浏览与 PWA 安装体验。

它支持多源聚合搜索、流媒体播放集成、可选用户注册系统、跨设备观看进度同步和收藏，支持自动跳过部分广告片段、无数据库模式、本地存储降级以及 CMS 代理扩展。

▎项目地址：GitHub - Decohererk/DecoTV: 基于最新版 LunaTV 二次开发的一个开箱即用的、跨平台的影视聚合播放站。【原 KatelyaTV】

https://cn-sec.com/archives/4880863.html

https://dailydarkweb.net/asml-alleged-data-leak-154-databases-published-online/

威胁行为者 “1011” 在暗网社区 BreachForums 上发布帖子，声称已成功入侵荷兰半导体设备巨头 ASML Holding N.V.（asml.com）的数据库系统，并正在泄露约 154 个数据库文件。该事件被标注为一起中等严重程度（Medium）的数据泄露事件，相关数据据称已以 .SQL 格式公开下载。

https://www.reuters.com/business/asml-says-social-media-hacking-claims-are-untrue-2026-01-07/

公司在声明中表示：“ASML 已知悉 2026 年 1 月 6 日在 BreachForums 发布的一条帖子，声称公司信息被曝光。”

https://cybernews.com/security/fake-asml-nordvpn-data-breach-claims/

看了 12/15 号，Claude Code 项目负责人 Boris Cherney 的访谈

http://youtu.be/AmdLVWMdjOk?si=P2jFiV2qwq7ujDEs

自己的感受：

​Claude 技巧：建议先用 Plan Mode 对齐思路再让它干活。厉害的人会同时启动多个 Agents 并行处理任务，自己负责统筹方向，效率起飞。

​增强生产力：核心是 “拒绝机械重复” automat e toil 。把琐碎的 “体力活” 扔给 AI，把脑子留给核心逻辑。少开会，多实干，保持常识判断和对一线的直觉，这才是最高效的状态。

看这个访谈最有趣的一点是，Boris 竟然没正经上过计算机课。他大学学的是经济，中途辍学去搞创业了，所有的编程技能都是在实战中 “打怪升级” 练出来的。

我先介绍一下自己，目前大四即将毕业，在某普通双非学校读网络空间安全专业，22 年开始做了一些公益的服务同学的一些服务或网站，那时候技术还没现在这样，只会一些简单的数据整理。积累了一些用户量

大三学会了教务系统模拟登录，逐渐开始扩展到教务系统查询中间件开发了，主要是学校官方的教务系统，年代比较老，移动端上使用体验很差，很不方便，就做了个查询中间件，方便同学使用，也提供了一些扩展功能。有个微信公众号，关注量有 1w，实际用户几千吧

最近几天被教务处下要求了，要求关停相关所有服务，也是教务处那边老师通知到学院，学院再通知我，把我喊办公室谈话。不过学院的老师都挺好的，认可我的技术和为同学服务的心，不过教务处有相关要求也不能不听，毕竟也是爬的，本来也涉及一点灰色，就只能全都下线了。公众号停服通知刚发几秒就十几个转发

但是同学们不乐意了，当晚校园论坛炸锅，热榜话题前十有 9 个是 “痛斥” 学校这种要求，好用的工具没了同学们可能是不乐意（其实还有个原因是官方的 app 服务宕机很久了），甚至有对学校的负面言论。

本来以为关停就啥事没有了，结果第二天导员喊我去办公室，舆情出现了，有人把一些负面言论发到网络平台了，被校里通知下来了找我了解情况，甚至有谣传我被处分，学院又写了澄清通告，关于服务下线的通知，又让去我写一份服务是如何获取教务系统数据的，做了哪些安全措施，加密，防火墙之类的。

学院老师都挺好的，鼓励肯定我的技术，给我一种一直在保护我鼓励我的感觉
一去办公室好几个老师都来问我聊天好奇是怎么实现的

下面是事发之后写了一个回忆，记录了一下从大二到现在经历的事情，其实本来就想写的一致没时间写，正巧被要求停服了，顺便写的，发完之后，下面留言区收到 100 + 留言 “送行” 的，一个人能做到现在也算是成功了（应该）

Ashampoo LocaLingo 许可证密钥 免费下载

• 产品名称：Ashampoo LocaLingo

• 网站：https://www.ashampoo.com/zh-cn/localingo

• 许可证类型：终身

• 平台： Windows

• 下载：ashampoo_localingo_45595.exe

• 赠品：Ashampoo LocaLingo 赠品链接

近日，抖音用户 BravAdo_7 爆料称，百度网盘在运行时锁定 CPU 频率至 3.8GHz、电压降至 0.9V，导致系统性能显著下降。关闭程序或重启电脑无法解决此问题，需还原电源计划才能恢复正常。

佬友们可以测试下，我测了下，我电脑影响跑分 100 分左右。哈哈哈。
解决方式：控制面板 -> 电源选项 -> 更改计划设置 -> 还原此计划的默认设置

补充视频地址：6.17 Tyt:/ 08/21 N@J.iC 复制打开抖音极速版，看看【长黄瓜 CuC 的作品】9700x 被锁 3.8 频率 0.9v 电压的原因终于知… https://v.douyin.com/0g1_tq0rrTc/

各位佬们好，

之前在版里分享过一个叫 Raw Alchemy 的小工具，主要用来解决 “想把视频的 S-Log/F-Log LUT 套在 RAW 照片上，结果颜色不对” 的问题。

当时那个版本虽然也能用，但界面比较 “直男”（见下图 1），只能算是个功能性软件，选图、对比都不太方便，甚至有点简陋。

听取了大家的建议，这段时间我把整个软件重写了！
带来了全新的 Raw Alchemy Studio 。

先看对比：

以前的版本 (功能单一，界面简陋)：

现在的版本 (暗色模式，现代化管理，支持选片)：

这次更新了什么？
不再只是一个单纯的 “格式转换器”，它现在是一个完整的选片 + 基础调色工作台 ：

1. 交互体验大升级 ：

• 抛弃了以前那种分离的窗口设计，改成了类似 Lightroom/Capture One 的暗色系集成界面 。

• 增加了文件库管理 ，左侧可以直接浏览文件夹缩略图，不需要再一张张 “打开文件” 了。

2. 核心功能：视频 LUT 完美兼容 (依然是杀手锏) ：

• 如果你是双修党，手里的 S-Log3、F-Log2、LogC4 视频 LUT，现在可以在这个软件里精准 地套用在 RAW 照片上。

• 底层逻辑是把 RAW 解码为 Linear 空间后，通过数学模型伪装成 Log 信号，色彩还原度吊打直接在 PS 里硬套。

3. 选片效率提升 ：

• 支持空格键对比 （原图 vs LUT 后）。

• 增加了 Tag (标记) 功能，可以快速过一遍片子，打上标，然后一键 “导出所有标记图片”。

4. 更多实用功能 ：

• 高光保护测光 ：自动曝光时优先保护高光不溢出。

• 镜头矫正 ：内置 Lensfun，自动修正畸变。

• 直方图 ：实时的 RGB 直方图，不再盲调。

下载地址 (GitHub)：
https://github.com/shenmintao/Raw-Alchemy/releases/tag/studio-v0.1.0
(Releases 里有打包好的 exe，开箱即用，无需安装环境)

这次改版主要是为了解决 “好用” 的问题。以前那是为了 “能用”，现在终于像个正经的后期软件了。
代码完全开源，免费使用。欢迎各位老哥下载体验，如果是索尼、富士、松下用户，一定要试试把你拍视频用的 LUT 套进去看看，效果绝对不一样。

有 Bug 欢迎反馈，觉得好用求个 Star！

base_url = “https://crs.yierbubu.ggff.net/openai”

有 h20 可以跑 sd

代码仓库：100GiB
对象存储：100GiB
云原生构建 - CPU：2026 核时 / 月
云原生开发 - CPU：20260 核时 / 月
特权有效期：永久
申请截止时间：2026 年 12 月 31 日

这里申请就可以了

新数据显示，ChatGPT在网络端的市场份额正被Gemini蚕食。目前尚不清楚Gemini在移动端是否同样取得进展。

网站分析公司SimilarWeb在新报告中指出，ChatGPT的市场份额在1月份降至65%，较其2025年1月86%的份额下降约20个百分点。

SimilarWeb数据显示，Gemini已突破20%的市场份额基准线，Grok则超过3%并逐步逼近DeepSeek。

数据还显示节假日期间使用AI工具的人数有所减少。例如在过去几周，所有工具的日均访问量降至8-9月水平。随着人们恢复工作，数据正在回升。

无论如何，随着其他竞品逐步追赶，ChatGPT显然已开始失去其主导地位。事实上，独立测试表明在处理复杂代码时Claude Code远优于ChatGPT，而Gemini在生成逼真AI图像方面更胜一筹。

与此同时，OpenAI内部正在酝酿在ChatGPT推出广告的策略。目前ChatGPT尚未出现广告，是因为公司担心广告可能激怒忠实用户，尤其是在消费者逐渐发现Gemini更具优势的时期。

JavaScript应用程序中用于生成PDF文档的jsPDF库存在一个严重漏洞，攻击者可通过将本地文件系统内容嵌入生成的文件来窃取敏感数据。

在jsPDF的Node.js构建版本中，'loadFile'函数用于读取本地文件系统。当用户可控的输入作为文件路径传递时，问题随之产生——这会导致jsPDF将指定文件的内容嵌入生成的PDF输出中。

漏洞利用示例

来源：Parallax

根据jsPDF安全公告，该问题仅影响库的Node.js构建版本，即dist/jspdf.node.js和dist/jspdf.node.min.js文件。

应用安全公司Endor Labs在详细技术报告中指出，如果文件路径采用硬编码、来自可信配置或对输入使用严格白名单机制，则漏洞利用风险较低或不存在。

CVE-2025-68428已在jsPDF 4.0.0版本中修复，修复方式包括默认限制文件系统访问，并转而依赖Node.js权限模式。

但Endor Labs研究人员指出，该模式在Node 20中仍处于实验阶段，因此建议使用22.13.0、23.5.0或24.0.0及以上版本。

另一个需要注意的问题是：开发者建议的临时解决方案——启用'--permission'标志会影响整个Node.js进程，而不仅仅是jsPDF。

Endor Labs同时强调，在'--allow-fs-read'配置标志中设置过于宽泛的文件系统权限会使修复措施失效。

过度宽松的配置

来源：Endor Labs

jsPDF团队建议旧版Node在将用户提供的路径传递给jsPDF之前进行路径净化处理。

鉴于jsPDF在众多项目中的广泛部署，CVE-2025-68428很可能被积极利用。

新一轮GoBruteforcer僵尸网络恶意软件攻击正针对暴露服务器上的加密货币和区块链项目数据库，这些服务器被认为使用了AI生成的配置示例进行部署。

GoBruteforcer亦被称为GoBrut。这是一个基于Golang的僵尸网络，通常针对暴露的FTP、MySQL、PostgreSQL和phpMyAdmin服务。

该恶意软件常利用被入侵的Linux服务器扫描随机公共IP地址，并实施暴力登录攻击。

利用薄弱防御

Check Point研究人员估计，目前有超过50,000台面向互联网的服务器可能易受GoBrut攻击。

他们指出，初始入侵通常通过运行XAMPP的服务器上的FTP服务实现，因为其配置常使用脆弱的默认密码，除非管理员专门进行安全配置。

"当攻击者使用标准账户（通常是daemon或nobody）和脆弱的默认密码获得XAMPP FTP访问权限后，典型下一步是将Web Shell上传至网站根目录。" ——Check Point

恶意软件活动在10-400秒延迟后启动，在x86_64架构上发起最多95个暴力破解线程，扫描随机公共IP地址段，同时跳过私有网络、AWS云地址段和美国政府网络。

每个工作线程生成单个随机公共IPv4地址，探测相关服务端口，遍历提供的凭据列表后退出。系统会持续生成新工作线程以维持设定的并发级别。

FTP模块依赖直接嵌入二进制文件的22组用户名-密码硬编码列表。这些凭据与XAMPP等网络托管堆栈中默认或常用部署账户高度重合。

GoBruteforcer感染链

Check Point表示，在近期攻击活动中，GoBruteforcer的活跃度因大型语言模型（LLM）生成的通用服务器配置片段被重复使用而提升，这导致appuser、myuser、operator等脆弱可预测的默认用户名大量扩散。

这些用户名频繁出现在AI生成的Docker和DevOps指令中，使研究人员相信相关配置已被应用于实际系统，从而导致它们易受密码喷洒攻击。

助长该僵尸网络近期活动的第二个趋势是XAMPP等过时服务器堆栈仍在使用默认凭据和开放FTP服务。这类部署暴露了脆弱的网站根目录，使得攻击者能够植入Web Shell。

Check Point的报告重点披露了一场攻击活动：受感染主机被植入TRON钱包扫描工具，可对TRON和币安智能链（BSC）进行全网扫描。攻击者使用包含约23,000个TRON地址的文件，通过自动化工具定位并清空非零余额的钱包。

防御GoBruteforcer的管理员应避免使用AI生成的部署指南，并采用非默认用户名配合高强度唯一密码。

同时建议检查FTP、phpMyAdmin、MySQL和PostgreSQL的服务暴露情况，并用更安全的替代方案替换XAMPP等过时软件堆栈。

OpenAI承诺，在推出专门用于健康对话的ChatGPT Health功能时，不会使用您的私人健康信息和对话内容来训练其AI模型。

ChatGPT Health为您提供了一个私密的健康对话空间，这也是该公司针对用户日益频繁使用ChatGPT进行健康咨询趋势的布局举措。

OpenAI在公告中表示：“我们正式推出ChatGPT Health——这是一个将您的健康信息与ChatGPT智能安全结合的专业化体验，旨在帮助您在管理健康时获得更充分的信息、更周全的准备和更坚定的信心。”

如果您已获得ChatGPT Health的早期体验资格，该功能将作为新模块出现在桌面版侧边栏及移动版的汉堡菜单中。

若希望在该功能开放时获得访问权限，您可以注册加入等候名单。

OpenAI特别说明：“我们首先会向小规模早期用户开放访问权限，以便持续学习并优化使用体验。”

BleepingComputer在测试中发现，当用户开启健康空间时，OpenAI明确承诺不会使用健康信息训练其基础模型。

ChatGPT Health控制面板内的提示信息显示：“默认情况下，健康信息不会用于训练我们的基础模型。您的健康数据受《健康隐私声明》保护。建议启用多重认证以增强保护。”

GPT健康提示

来源：BleepingComputer

OpenAI同时警告，ChatGPT不能替代专业医生，其回复不应被视为医疗建议，也不适用于疾病诊断或治疗目的。

ChatGPT Health将逐步向ChatGPT免费版、Go版、Plus版和Pro版的所有用户开放，但目前暂不覆盖欧洲经济区、瑞士和英国用户。

微软正在调查一个漏洞，该漏洞导致收件人在最近更新后无法在经典版Outlook中打开加密邮件。

这一已知问题影响了尝试打开使用“仅加密”权限加密邮件的用户，该权限同时允许复制、打印和转发。

“更新至当前频道版本2511（内部版本19426.20218）后，收件人可能无法打开‘仅加密’邮件，”微软表示。

“在阅读窗格中，您可能会看到提示信息：‘在验证凭据之前，无法在阅读窗格中查看此受限权限邮件。请打开项目以阅读内容并验证凭据。’”

在受影响的系统上，用户会看到message_v2.rpmsg附件而非可读内容，导致加密邮件无法访问。

微软表示Outlook团队正在开发修复程序，但未提供解决时间表。

经典版Outlook的加密邮件漏洞（微软）

在永久修复方案发布前，微软提供了两种临时解决方法。其一是要求发件人在加密后、发送前保存加密邮件，使收件人能够正常打开。

另一种方法是用户可回退到不受此已知问题影响的先前软件版本。这需要受影响用户关闭所有Office应用程序，并在提升权限的命令提示符中运行以下命令：

"%programfiles%\Common Files\Microsoft Shared\ClickToRun\officec2rclient.exe" /update user updatetoversion=16.0.19426.20186

微软此前还在11月缓解了Exchange Online服务中断问题，该问题曾导致客户无法使用经典版Outlook电子邮件客户端访问邮箱。更早一个月，微软修复了一个阻止Microsoft 365用户在Windows系统上打开经典版Outlook的重大漏洞。

今年早些时候，微软解决了经典版Outlook在输入邮件时导致CPU使用率飙升的漏洞，以及安装Windows 24H2更新后拖放邮件功能失效的问题。

在此之前，微软还针对打开加密邮件时导致Outlook错误的已知问题提供了临时解决方案，并修复了在打开邮件或开始编写新邮件时触发经典版Outlook崩溃的漏洞。

最高危Ni8mare漏洞允许黑客劫持n8n服务器

                        By

12:41 PM

一个被称为“Ni8mare”的最高严重性漏洞允许远程、未经身份验证的攻击者控制本地部署的N8N工作流自动化平台实例。

该安全问题被标识为CVE-2026-21858，严重性评分为10分（满分10分）。根据数据安全公司Cyera的研究人员称，存在超过100,000台易受攻击的n8n服务器。

n8n是一个开源工作流自动化工具，允许用户通过可视化编辑器将应用程序、API和服务连接成复杂的工作流。它主要用于自动化任务，并支持与人工智能和大型语言模型（LLM）服务的集成。

Ni8mare漏洞详情

Ni8mare漏洞使攻击者能够通过执行某些基于表单的工作流来访问底层服务器上的文件。

n8n开发者表示：“易受攻击的工作流可能向未经身份验证的远程攻击者授予访问权限。这可能导致系统上存储的敏感信息暴露，并可能根据部署配置和工作流使用情况，引发进一步的系统危害。”

Cyera研究人员发现了Ni8mare漏洞（CVE-2026-21858），并于2025年11月9日向n8n报告。他们指出，该安全问题是n8n解析数据方式中存在的内容类型混淆。

n8n使用两个函数来处理传入数据，基于webhook中配置的'content-type'头部（webhook是通过监听特定消息来触发工作流中事件的组件）。

当webhook请求被标记为multipart/form-data时，n8n将其视为文件上传，并使用特殊的上传解析器将文件保存在随机生成的临时位置。

“这意味着用户无法控制文件的最终存储位置，从而防止了路径遍历攻击。”

然而，对于所有其他内容类型，n8n则使用其标准解析器。

Cyera发现，通过设置不同的内容类型（例如application/json），攻击者可以绕过上传解析器。

存在缺陷的解析器逻辑

来源：Cyera

Cyera解释道：“由于调用此函数时未验证内容类型是否为multipart/form-data，我们控制了整个req.body.files对象。这意味着我们控制了filepath参数——因此，我们不是复制上传的文件，而是可以复制系统中的任何本地文件。”

这允许从n8n实例中读取任意文件，通过将内部文件添加到工作流的知识库中，可能暴露密钥信息。

Cyera表示，这可能被滥用以暴露实例上存储的密钥、将敏感文件注入工作流、伪造会话cookie以绕过身份验证，甚至执行任意命令。

触发Ni8mare（CVE-2026-21858）以访问数据库

来源：Cyera

Cyera强调，n8n通常存储API密钥、OAuth令牌、数据库凭证、云存储访问权限、CI/CD密钥和业务数据，使其成为中心自动化枢纽。

n8n开发者表示，目前没有针对Ni8mare的官方临时解决方案，但一种缓解措施是限制或禁用可公开访问的webhook和表单端点。

建议的操作是更新到n8n 1.121.0或更高版本。