## 破裂的社会契约与日益增长的安全风险 失业四个月后，一次面试凸显了一个令人不安的趋势：雇主严重低估了薪酬的真实成本。一个高级技术职位——负责整个组织的技术基础设施，包括关键公共安全系统——提供的薪水仅略高于维持生计的水平。 这并非个例，而是工资仅仅被视为劳动报酬，忽略了其在社会稳定和组织安全方面关键作用的更大转变的一部分。工资不仅仅是为了生存，更是“保护费”——防止破坏、倦怠和脱离。 数十年停滞不前的工资和不断上涨的成本已经将工人推到了极限。从会计到信息技术专业人员，越来越多的技术娴熟的员工愿意冒公司安全的风险——通过疏忽、举报，或更糟——当他们感到不被重视时。投资员工不仅是道德的，也是一项重要的安全措施。 忽视这一现实，并依赖人工智能等技术“补救措施”，是一场危险的赌博。作者警告说，未能充分补偿工人正在破坏一项基本的社会契约，并最终将导致代价高昂的后果——甚至可能导致系统性失败。

## scsipub：面向公网的 iSCSI 目标 scsipub 是一个 iSCSI 目标，旨在直接通过公网为客户端提供服务，这与传统的机架级光纤通道设置不同。它最初是为支持 Raspberry Pi 和 ESP32 USB 桥的 PXE 启动而创建的，优先考虑稳健性和简单性。 该系统使用 Ranch 监听 TCP (3260) 和 TLS (3261) 端口，使用轻量级的 BEAM 进程处理每个连接——利用 Erlang 的并发模型来实现效率。会话将经历安全协商和参数设置，然后处理 SCSI 命令。系统采用“让它崩溃”的理念；进程失败会触发发起方重试，避免复杂的错误恢复。 数据存储在只读基础镜像之上的稀疏叠加文件中，从而最大限度地减少磁盘使用量。多 LUN 支持和 SCSI 持久保留等功能支持集群功能。安全性通过 TLS 实现，并使用 Caddy 自动轮换证书，并侧重于隔离恶意请求，而不是进行详尽的输入验证。 目前，scsipub 专注于单个数据中心，不支持 S3 后端或 RDMA 等功能。未来的开发将侧重于在重负载的 iSCSI 下对系统进行压力测试，以识别性能限制和潜在的故障模式。

## WhatCable：了解你的 USB-C 数据线 WhatCable 是一款免费的 macOS 应用程序，旨在明确你的 USB-C 数据线的功能。它解决了由外观相同的电缆却提供截然不同的性能所造成的困惑——从简单的充电到高速 Thunderbolt 4。 该应用程序利用 macOS 现有的系统信息 (IOKit) 以清晰易懂的方式显示每个连接的电缆可以做什么。它显示电缆是否支持 Thunderbolt/USB4，仅用于充电，或是一个较慢的 USB 版本。重要的是，它可以诊断充电问题，识别瓶颈，例如电缆限制或 Mac 请求的功率较低。 WhatCable 提供详细信息，包括电缆速度、电流额定值、充电器电压曲线以及连接设备识别。对于任何想要确保使用正确电缆以获得最佳性能的人来说，它都是一个有价值的工具，可以直接从开发者处下载——由于沙盒限制，没有在 App Store 上架。需要 macOS 14 (Sonoma) 或更高版本。

本文档概述了开发者利用强大API访问各种AI模型的资源。它涵盖了从**API入门**（REST & gRPC）和理解**模型与定价**，到管理**速率限制**和**成本跟踪**的方方面面。 主要功能包括对多种数据类型的支持——**文本、图像、视频和语音**，以及函数调用、网络搜索、代码执行和集合搜索（RAG）等高级工具。 文档还详细介绍了**高级API用法**选项，如**批量处理、提示缓存和预留吞吐量**，以及**mTLS身份验证**等安全功能。提供了**迁移**到较新API版本和模型的资源，以及**社区示例、常见问题解答**和**数据与隐私**信息。一个**API控制台**可用于测试和探索。

加拿大文化部长马克·米勒表示，联邦政府*必须*监管在线内容，称加拿大在解决“网络危害”方面落后于澳大利亚和英国等国。政府目前正在制定一项新法案，可能包括禁止儿童使用社交媒体，但具体时间表尚不清楚。 这将是政府第三次尝试制定此类立法，此前在2021年（C-36法案）和2024年（C-63法案）的法案均已失败。之前的提议受到保守派和公民自由组织的批评，他们担心会对言论自由造成限制。 政府已重新召集一个专家咨询小组，为新法案提供信息，重点关注仇恨内容和网络欺凌等问题。虽然过去的法案提出了监管机构和更严厉的处罚，但司法部长肖恩·弗雷泽表示，新立法将会有所不同，尽管他之前曾表示与之前的尝试相似。自由党还承诺将使深度伪造犯罪化，并增加对未经同意分享私密图像的处罚。

{{statusMessage.message}} 暂存模式说明 时区切换语言信息 订阅 订阅 时区信息栏 本地时区信息栏 更改时区 首页 事件历史 RSS 页面由 Site24x7 状态页提供 Cookie 同意横幅文本 本页面使用 Cookie 来存储偏好设置并改善用户体验。继续访问本页面即表示您同意我们使用 Cookie。了解更多关于我们的 Cookie 和隐私政策。

自动马球，一项独特的美国赛车运动，在20世纪10年代初作为马球的惊险但危险的替代品出现。它由福特经销商拉尔夫·“帕皮”·汉金森作为宣传噱头发明，这项运动涉及用汽车代替马匹进行马球比赛，最初于1912年以“红魔”和“灰影”等队伍进行展示。尽管这个概念更早存在，但汉金森通过在美国乃至欧洲的展览推广了这项运动，尽管存在怀疑——一家英国出版物称之为“疯狂的游戏”。 比赛场地类似于马球场，由两辆汽车和四名球员组成的队伍使用球棍将篮球击入对方球门，时速可达每小时40英里。这项运动在20世纪20年代达到鼎盛时期，纽约和芝加哥等主要城市都举办过比赛。然而，频繁的碰撞、球员受伤（经常被甩出汽车）以及车辆损坏的巨额成本导致了它的衰落。 虽然在20世纪20年代末 largely 逐渐消失，但自动马球在二战后经历了一次短暂复兴，自2016年以来，斯里兰卡出现了嘟嘟车马球的现代形式。

一名45岁的英国国民，原籍索马里，在伦敦北部袭击了两名犹太男子，导致英国的恐怖主义威胁级别从“重要”提升至“严重”。这意味着在未来六个月内，恐怖袭击被认为“极有可能”发生。 内政大臣沙巴娜·马胡德谴责此次袭击为恐怖主义，并宣布增加对犹太社区场所（包括犹太教堂和学校）的安全资金，以应对日益增长的担忧和最近的反犹事件增加。 联合恐怖主义分析中心的决定反映了犹太社区发生的袭击模式。一些评论将威胁升级与英国的移民政策联系起来，将其视为大规模移民的负面后果，但这一观点仍存在争议。“严重”威胁级别是第二高的级别，上次达到该级别是在2021年11月。

## 亿万富翁开发者的熔炉 灵感源于一个有趣的思考实验——如果你拥有无限资金，你会建造什么？作者设想了一个下一代代码熔炉，一个超越 GitHub、GitLab 和 Gitea 的版本控制平台。虽然这些现有熔炉都建立在 Git 之上，但它们优先考虑围绕 Git 的功能，而不是增强 Git 的核心优势。 作者理想中的熔炉解决了关键痛点：代码提交*之后*才进行反馈（而不是通过强制预提交检查进行反馈之前），过于简单的 PR 审批，僵化的 PR 流程，以及功能膨胀。它将优先考虑简化的工作流程，允许进行细致的代码审查和可定制的审批流程，甚至可以利用 LLM 来处理低风险的变更。 至关重要的是，这个熔炉将是模块化和可扩展的，允许组织将其托管在较小的基础设施上，例如树莓派，并专注于核心版本控制功能——避免添加不必要功能的陷阱。它还将强调版本控制系统与熔炉本身之间的更紧密集成，例如浅克隆和可离线使用的操作。 最终，作者感叹这个领域缺乏创新，指出当前解决方案似乎是为*除了*每天使用它们开发人员之外的其他人设计的。

受技术历史的吸引，作者最近创建了一个编码代理，并决定在1978年的数字设备公司VT-100终端上测试它——这是一个与现代终端出人意料的相关祖先。该项目源于一种愿望，即看看为今天系统设计的软件是否能在原始硬件上运行。 VT-100拥有3KB的RAM和独特的CRT啸叫声，通过简单的字节流和ANSI转义序列来控制光标和显示文本。使其工作涉及克服几个障碍：错误的串行电缆、通过Linux虚拟机启用流控制（macOS缺乏支持），以及优化应用程序以避免由于终端的9600波特速率而导致的缓慢的全屏重绘。Unicode和OSC序列的兼容性问题也需要实现仅ASCII模式。 尽管面临挑战，作者发现使用这款老式终端出人意料地令人愉快，强调了旧技术和新技术之间令人满意的对比。这次经历强调了计算的持久原则，甚至促使一位企业客户提出了仅ASCII模式的功能请求！

中国在与美国-伊朗冲突相关的短暂中断后，重新启动精炼燃料出口。这一决定表明国内燃料库存充足，尽管受海湾地区紧张局势影响，亚洲的供应中断仍在持续。 国有炼油企业，包括中石化和中石油，已获得政府批准，在五月份出口50万吨汽油、柴油和航空煤油。这些货运旨在缓解越南和老挝等邻国日益严重的燃料短缺。 此举回应了国际货币基金组织、世界银行和国际能源署呼吁避免囤积能源的呼吁，以及对潜在的海湾能源供应问题可能对亚洲造成重大影响的警告。中国的这一转变旨在为该地区提供缓解，并稳定燃料市场。

## 科技界的“它被烤过了”：Meta 与社交媒体的公关策略 一个世纪前，美国烟草公司使用“It’s Toasted”（它被烤过了）的口号来转移人们对香烟健康风险的担忧，将标准的生产过程作为独特的优势来宣传。今天，Meta（Facebook/Instagram）在社交媒体对心理健康产生越来越大的负面影响，尤其是对年轻人的影响时，也采用了类似的策略。 与烟草公司一样，Meta 强调对“安全功能”的投资——内容审核、家长控制和宣传活动——将重点从可能令人上瘾的平台设计转移到反应式的安全措施上。这反映了“It’s Toasted”的策略，将标准运营的必要措施包装成积极的关怀。 越来越多的诉讼，包括最近对 Meta 的疏忽判决，以及立法行动——例如澳大利亚禁止 16 岁以下青少年使用社交媒体，以及美国拟议的警告标签——预示着越来越大的反弹。尽管首席执行官马克·扎克伯格为青少年安全道歉并声称优先考虑青少年安全，但批评人士认为 Meta 避免解决鼓励强迫性使用并导致焦虑和抑郁的基本设计缺陷。 与烟草行业的比较非常明显：两者都面临着对危害的认识不断提高、对风险的内部了解，以及最终的监管。Meta 目前的策略有重蹈覆辙的风险，需要转向主动重新设计，以打造真正更安全的平台，而不仅仅是声称它们“被烤过了”。

德国总理弗里德里希·梅尔茨与前美国总统特朗普因梅尔茨批评特朗普处理与伊朗冲突的方式而公开争论。梅尔茨最初表示美国正在被“羞辱”，并遗憾自己没有更强烈地劝阻特朗普发起冲突，理由是霍尔木兹海峡关闭等事件会对德国经济造成影响。 特朗普在Truth Social上猛烈回应，指责梅尔茨在俄乌战争中“完全无效”，并将德国称为“支离破碎”。他还威胁要减少驻德美军。 分析人士指出，欧盟内部存在虚伪，领导人最初支持美国对伊朗的策略，现在却表达不满。这次争论凸显了欧洲领导人对特朗普的态度正在重新评估，鉴于他过去质疑北约和欧洲联盟的行为，正在从绥靖转向更批判的立场。这场冲突可能会加剧特朗普的反欧盟言论。

## Softmax：深入解析 Softmax 是机器学习中普遍使用的函数，用于多类别输出、概率归一化和计算注意力权重。它将实数向量转换为概率分布——介于 0 和 1 之间的值，总和为 1——有效地将向量映射到“概率单纯形”上。 虽然看似简单（softmax(xi) = e^xi / Σ_je^xj），但 softmax 会夸大值之间的相对差异，使预测具有决定性，但可能对不确定性估计造成问题。它将所有维度耦合在一起；由于总和为 1 的约束，改变一个输入会影响所有输出。 **数值稳定性**至关重要。朴素的实现可能因输入过大而溢出。解决方法？将输入移动最大值（softmax(xi) = softmax(xi - max(x))），确保没有指数超过 0。 **雅可比矩阵**揭示了 softmax 的相互关联性。其结构（对角线加秩 1）允许高效的反向传播，而无需完全实现潜在的巨大矩阵。与交叉熵损失结合使用，反向传播简化为预测概率和真实标签之间的差异 (s - y)。 最后，**轴参数**处理批量处理，沿指定维度进行归一化。**温度缩放**控制分布的“锐度”，影响置信度和确定性。

苹果公司正在经历Mac mini和Mac Studio的重大发货延误，可能持续数月。首席执行官蒂姆·库克将此归因于意外的高需求，这得益于这些平台日益被认可为强大的AI和代理应用工具。 此次短缺尤其影响着配置升级内存的版本——Mac mini的32GB/64GB以及Mac Studio的128GB/256GB，一些型号现在完全无法订购。这与更广泛的全球内存芯片短缺情况一致，该短缺是由AI服务器制造商的需求增加所驱动的。 与此同时，AI公司Perplexity推出了“个人电脑”服务，该服务利用Mac mini创建一个始终在线的AI代理，进一步凸显了Mac mini在蓬勃发展的AI领域的吸引力。苹果公司正在努力平衡供需，但客户应预计更长的等待时间。

一份由俄罗斯和印度智库联合撰写的最新报告，概述了在2030年前实现1000亿美元双边贸易目标 的策略，尽管面临美国制裁、官僚障碍和物流问题等挑战。该报告强调要利用中小企业（中小企业），尤其是在石油炼制领域，效仿中国的“茶壶”模式，因为它们不太容易受到二级制裁的影响。 主要建议包括增加医疗和纺织品等行业的本地化生产，通过数字平台简化贸易程序，并优化北向-南向运输走廊等贸易通道。 报告还强调了通过联合研发在关键矿产资源方面进行合作，以及用印度工人取代中亚劳工。 虽然技术合作面临着巨大的全球竞争，但该报告强调其战略重要性。 实现这一雄心勃勃的贸易目标需要立即实施这些建议，而最近的地缘政治事件带来的全球变化使这项任务更加复杂。 该报告保持谨慎乐观，承认维持这种增长的难度。

## 汤姆·布里克：与学生共筑未来 汤姆·布里克是亚利桑那州PS学院的一名科技教师，该学校为自闭症和其他特殊学习需求的学生提供教育。他一生都在构建，从童年的机器人技术到拥有White Box Robotics的职业生涯，最终他发现自己真正的使命在于教育，源于他想要“回馈”自己所接受的指导。 目前，布里克正带领他的学生进行一个非凡的项目：复制一台ENIAC，这是世界上第一台可编程电子计算机之一，以纪念其80周年。这项雄心勃勃的计划利用了学生的优势——特别是高度专注和精确性——同时提供实践经验。 布里克本人患有计算障碍，他认为神经多样性是一种超能力，营造了一种鼓励学生拥抱自己独特能力的氛围。他分享自己面临的挑战来激励他们，强调毅力以及不同思维方式带来的天赋。用纸板、胶水和油漆建造的ENIAC项目需要一丝不苟的细节，最终呈现出对这台历史机器的令人惊叹的重现，展示了他学生的巨大潜力。布里克计划继续用类似的大型项目来挑战他们，这源于他对科技的热情和对指导的承诺。

## Local.vibe：本地开发启动器 作者因为厌烦管理众多本地运行的服务以及它们不断变化的端口号，创建了**local.vibe**，一个仅适用于macOS的工具，旨在简化本地开发。它解决了“端口腐烂”问题——遗忘的端口和失效的浏览器标签页的混乱——通过提供一种单一、统一的方式来启动和访问项目。 Local.vibe使用每个项目中的`vibe.json`文件来定义如何启动应用程序。它会自动分配一个空闲端口，并将自定义的`.vibe`域名（例如`https://blog.vibe`）代理到该端口，并使用受信任的本地证书处理HTTPS。 `https://local.vibe`上的仪表盘提供了一个集中视图来管理正在运行的服务，而单个二进制文件安装则最大限度地减少了设置的复杂性。重要的是，它与编码代理集成良好——像Claude或Cursor这样的工具可以通过专用API自动配置和管理`local.vibe`。 该项目是开源的，并在GitHub上可用，寻求反馈以改进其可用性并扩展兼容性。

特朗普总统签署了《外国情报监视法》（FISA）702条款的45天延期，以避免其失效，而国会仍在继续辩论其重新授权。这项临时延期获得了两院两党的支持，但也面临来自两党的反对。 702条款允许美国情报机构出于国家安全原因收集在国外外国公民的通讯，但也允许在未经授权的情况下附带收集美国公民的数据，这是争议的关键点。 特朗普此前曾批评FISA的滥用（提及对其2016年竞选活动的监视），但他目前支持“清洁”的重新授权。然而，许多立法者，包括他的一些盟友，仍然担心公民自由和第四修正案的保护。之前众议院通过的一项延长FISA三年期限的法案，并包含禁止中央银行数字货币的条款，未能获得参议院的支持。45天的延期允许继续辩论和潜在的改革。

## winpodx：在Linux上原生运行Windows应用 (v0.3.0) winpodx 是一款通过容器化Windows虚拟机（使用 dockur/windows）并在Linux上通过FreeRDP RemoteApp将应用呈现为原生Linux窗口的工具。最新版本 (v0.3.0) 具有重新设计的、基于 bearer 认证的命令通道，消除了应用启动期间PowerShell闪烁的问题。 **主要特性：**无缝集成（应用显示为原生窗口，可固定，可文件关联）、零配置安装（首次启动时自动配置）以及对稳定性和安全性的关注（密码轮换，隔绝安装选项）。全面的健康检查（CLI & GUI）监控pod、RDP和磁盘状态。 **安装**过程简化为一键脚本，支持主流发行版（Debian、Ubuntu、Fedora、Arch、openSUSE），并提供离线安装选项。 winpodx 与 Wine 不同之处在于它*运行* Windows，而不是翻译API，从而提供更广泛的兼容性。它非常适合 Microsoft 365、Adobe Creative Suite 以及需要 100% Windows 功能兼容性的应用程序。 **资源：**[https://github.com/kernalix7/winpodx/issues](https://github.com/kernalix7/winpodx/issues) 用于提交错误报告。

LIV高尔夫正面临关键时刻，其主要资助方——沙特阿拉伯公共投资基金（PIF）计划在2026赛季后停止资助。预计即将公布的这一消息将迫使LIV首席执行官斯科特·奥尼尔寻求新的投资者来维持联赛运营。 LIV于2022年成立，旨在挑战PGA巡回赛，据报道已花费超过50亿美元，但在吸引美国观众方面收效甚微，尽管签下了米克尔森和约翰逊等知名球员。虽然团队赛制在国际上获得了一些关注，但转播协议并未提升收视率。 PIF将重心转向优先发展国内项目是导致这一决定的原因。此前与PGA巡回赛合并的尝试失败了，近期球员的离队也增加了不确定性。LIV现在面临巨大的压力，必须 확보替代资金，以避免在2026年后解散。

## 超级任天堂的心跳 超级任天堂的运作依赖于由时钟信号控制的精确时序。与现代系统不同，超任没有单一的时钟，而是利用多个振荡器来控制其各个组件。主板上有两个主要的“心脏”：一个21.300 MHz振荡器（黄色，靠近CPU/PPU）和一个24.576 MHz陶瓷谐振器（蓝色，为音频单元供电）。 有趣的是，原始文档表明有*三个*振荡器，记录的频率存在差异（21.47727MHz与实际的21.300MHz）。这是由一个可变电容器解释的，它用于微调主振荡器，允许进行调整以对抗潜在的漂移——这是超任显示问题的一个常见原因。 这些主时钟并非由处理器直接使用。相反，它们被分割成十五种不同的时钟速度，以满足每个芯片的需求，例如CPU的3.579545MHz。超任还将时钟信号路由到卡带接口，从而使像《星之狐》中的SuperFX这样的“增强芯片”能够增加额外的处理能力。一些卡带甚至包含自己的振荡器，如《洛克人X2》。

启用 JavaScript 和 Cookie 以继续。

01 01 · 大卡 BYOP 自定义提供商 内置 OpenAI 兼容客户端,Base URL / API Key / Model 自由组合。 DeepSeekOllamaOpenRouter点击切换提供商DeepSeek推理~/.config/openwarp.tomlbase_urlhttps://api.deepseek.com/v1api_keysk-•••••••••••••••••••••modeldeepseek-r1connected · streaming okPOST → /chat/completions 不上传云端 不收集遥测 凭证零外发 03 多语言界面 原生中文与英文 UI,后续社区可继续扩展更多语种。 简体中文English日本語Español 02 系统提示词模板 基于 minijinja 的强大模板,根据上下文动态渲染指令。 // minijinja You are an expert {{ role }}. Workspace: {{ cwd }} {% if locale %} Reply in {{ locale }}. {% endif %} 05 保留 Warp 体验 基于 Warp 上游持续合并,完整保留块、AI 命令、工作流、键位。 Blocks Workflows AI 命令 Keymaps 主题 06 开源协议 与 Warp 上游一致,采用 AGPL / MIT 双许可,代码全部公开。

新冠疫情迅速将工作场所转向远程办公，为员工提供了诸如灵活性、更好的工作生活平衡和个性化环境等益处。然而，随着时间的推移，雇主们越来越鼓励员工重返办公室，认识到面对面协作、即兴分享想法和社会联系的价值——这些元素很难在远程环境中复制。 尽管到2025年，仍有大约20%的美国员工完全远程工作，但有高达43%的员工已经定期回到办公室。这促使混合办公模式的兴起，试图融合两种模式的优势。这些模式旨在适应不同的员工需求，并在远程办公的自由与传统办公室环境的结构化、协作优势之间找到平衡。最终，工作的未来似乎是一种细致的混合，而不是完全回归疫情前的常态。

特朗普政府正在积极准备对美国国防工业基础进行重大扩张，预示着潜在的“武器生产繁荣”。 这次动员包括对成熟的国防承包商和新兴的“战争独角兽”进行投资，并正在讨论将民用制造能力转化为武器生产——特别是与通用汽车、福特和通用电气航空航天公司等公司。 L3Harris Technologies 正在利用这一趋势，已秘密提交其导弹解决方案 (MSL) 业务的 IPO 申请。 此举紧随美国战争部 (DoW) 10 亿美元的投资之后，旨在提高研发和生产能力。 MSL 将直接受益于战争部对关键导弹系统（如 PAC-3 和战斧导弹）的需求增加，这得益于乌克兰和伊朗冲突导致的库存减少。 L3Harris 首席执行官克里斯托弗·库巴西克强调，此次合作将加强国家安全并确保强大的国防工业。

这篇短文探讨了作者对“适应不良的节俭”的认识——将节俭推向有害的极端。在不必要地支付了苹果保修本应涵盖的 iPhone 维修费用后，作者意识到这是一种模式，源于父母在经济不稳定的香港长大时灌输的储蓄金钱的教训。 节俭被视为一种美德，而消费几乎是不道德的。虽然有时有用（例如，能够负担得起旅行），但这种心态导致了拖延和错失的机会，最终在压力和潜在损失方面*花费*更多。作者承认，即使产生缺点，也坚持选择最低成本的方案是适得其反的。 关键在于要留意节俭在你生活中的作用。不要让过去的信念决定现在的选择，而要关注当前的需求和潜在的收益。节俭应该是一种通往自由的工具，而不是限制性的主人，并且优先考虑生活质量的投资至关重要。

美国目前在中东地区，伊朗附近维持三个航空母舰战斗群，作为“史诗狂怒”行动的一部分，这比2003年伊拉克入侵时部署的六个力量要小得多。尽管紧张局势持续，并且美国主导的经济封锁仍在进行，但指标表明目前没有立即入侵伊朗的计划。 值得注意的是，美国“杰拉尔德·R·福特”号航空母舰将在创纪录的300多天部署后返回美国，留下“乔治·H·W·布什”号和“亚伯拉罕·林肯”号来执行海上封锁——拦截了数十艘伊朗船只，但并非每次都成功。 尽管特朗普政府声称伊朗即将崩溃，但尚未出现明确的内部崩溃迹象。美国保留其他航母战斗群，以备未来可能的部署，尤其是在冲突升级或扩大时。“福特”号的撤离部分原因是船员疲惫以及在长期任务中遇到的持续维护问题。

## cPanel 漏洞 (CVE-2026-41940) 概要 watchTowr Labs 详细描述了一个影响 **所有受支持版本的 cPanel & WHM** 的严重身份验证绕过漏洞 (CVE-2026-41940)。cPanel & WHM 是一种广泛使用的托管控制面板，为超过 7000 万个域名提供支持。该漏洞源于会话处理不足，具体表现为会话数据未正确编码以及缺少会话密钥 (`<ob>`) 的检查。 利用方式涉及将恶意数据（如 `\r\n`）注入到会话 cookie 中，绕过标准的身份验证检查。这使得攻击者能够伪造会话并可能获得未经授权的访问权限。虽然已经存在补丁，但该漏洞已被积极利用，属于零日漏洞。 watchTowr Labs 成功演示了通过操纵会话文件、通过 CRLF 注入注入命令并最终绕过密码检查来利用该漏洞。他们确定了一个关键代码更改——移动会话数据过滤器——对于理解该漏洞至关重要。 为了帮助防御者，watchTowr Labs 在 GitHub 上发布了一个 **检测工件生成器**，以识别受影响的系统。这项研究强调了主动安全措施的力量以及 watchTowr Platform 快速响应新兴威胁的能力，在发生利用时提供关键的反应时间（数小时内）。