2025-03-16 | GitHub Action 插件被黑客植入恶意代码：上千 CI 流程受影响
10:27 Share

大家好,欢迎来到黑客新闻中文日报在今天的节目中,我们将探讨三个引人注目的科技话题首先,让我们揭开 Samsung 最新固件更新背后隐藏的问题看看为何一项简单的升级让用户们陷入了困境接着,前 Facebook 高管的新书爆料如何抖出了社交巨头背后的真相从理想主义到权力游戏这对我们理解社交媒体带来的影响至关重要

最后,我们将探讨一个革命性的浏览器技术 TinyKVM,这项技术如何在保护网络安全和提升性能方面开辟了新天地。这些都是不容错过的精彩内容,让我们一起深入了解。Samsung Q990D 的用户最近遇到了更新 1020 固件后设备无响应的问题,很多人在尝试通过遥控器或者设备上的按钮进行重置时都没有任何反应。

在论坛和 Reddit 上,有用户提到通过 USB 更新设备他们并未遇到此问题,推测可能是之前的固件更新悄悄地损坏了设备,或者 Samsung 只在受控的实验室环境中进行了测试,没有考虑到真实世界的信号干扰。显然,尽管是一个亿万美元的大公司,Samsung 在推出更新策略上似乎仍显不足。

评论区的网友们有的分享了个人设备升级后遭遇的问题有的对三丧的反应速度和解决问题的能力表示怀疑还有人提出了更新策略应该逐步推出以及设备应该具备恢复出厂设置的最后手段这样的建议显示出公众对此事件反响强烈对三丧的期望只显然很高

前 Facebook 高管新书揭露了马克·扎克伯格残酷的形象这本书引发了许多讨论评论也颇为精彩有人质疑 Facebook 是否曾经是理想主义的化身指出与其说 Facebook 是出于理想不如说它更像是一个胜者为王的亚马逊但在 Web 2.0 方面显得更酷一些这本书还提及 Facebook 在招募用户时采取的一些隐蔽策略比如通过要求提供其他网站的用户名和密码来抓取联系人信息

评论区还有人指出单个人对重要技术拥有过大的控制权如扎克伯格马斯克奥特曼和贝佐斯往往会导致对权力贪婪和灵魂的腐蚀此外 Meta 公司试图压制这本书的举动反而强化了书中的观点如果这些指控都是误导性的和没有根据的他们可能就无需如此努力的尝试将其埋没在最近发布的一篇文章中探讨了各种基于 Firefox 进行自定义开发的浏览器分支

随着 Mazela 公司的一系列举动引起了一些 Firefox 用户的不满不少人开始寻找替代品在这个寻找过程中出现了诸如 Zen、LibreWolf 和 Florp 等各有特色的 Firefox 分支版本各自采取了不同的开发方向和特色功能例如 Zen 浏览器以其开源的特点和对 ARK 浏览器用户体验模式的借鉴吸引了一批特定的用户 LibreWolf 关注于隐私保护和安全性

而 Florp 浏览器则提出了以用户捐献为背景的广告展示新模式这些项目不仅展示了开源社区对于创新和自主性的追求也反映出用户对于浏览器功能特别是隐私保护和自定义广告展示等方面的需求

从评论区的反馈来看,用户们对于这些 Firefox 分支的开发感到既兴奋又担忧一方面,他们为能找到符合个人需求的分支浏览器而感到兴奋另一方面,他们也担心这些分支浏览器的未来发展以及技术支持的可持续性此外,Florp 项目通过捐献换广告的模式也引起了不少讨论不少用户对这种尝试持开放态度,认为这或许是一种新的互联网广告形式

TinyKVM,一种运行在 Varnish 之上的快速杀核技术,让人瞩目。它通过硬件虚拟化,实现了快速的杀箱环境,为单个程序提供了一个安全的运行空间。与传统 KVM 方式相比,TinyKVM 在执行 Linux-ELF 程序时几乎与原生执行无异,其设计旨在通过大页提高性能,使用时仅需约 2 微秒的开销就能调用宾客程序中的函数。

这项技术让人兴奋的一点在于它能在极短的时间内将执行环境回滚到已知的预定义状态理想的未面向网络的服务提供了一种快速恢复的能力特别是那些经常遭受攻击的服务此外 TinyKVM 支持大规模工作负载中的内存共享并且通过 copy and write 实现了极高的可扩展性

评论区的反响也证实了其突破性,许多用户对它的高效和实用性表示赞赏,尤其是在虚拟化 IO 对性能几乎无影响的上下文中,TinyKVM 成功证明了其作为世界上最快沙箱的潜力,同时也展示了对安全性和性能的双重承诺。几年前,我们买下了一座教堂建筑,每当我在网上或社交媒体上提起这事实,总会有人惊讶地问等等,你买了座教堂?

然后紧接着是一连串标准的问题这座教堂位于我们所在的俄亥俄州 Bradford 小镇原本是 Bradford 的卫理工会教堂自 1919 年以来一直有着悠久的历史随着时间的推移教会的人数逐渐减少这在今天的主流新教教堂中并不少见

据我了解,该教会后来与路上的另一个教会合并,使用另一座建筑作为教堂。我们并没有将其作为住宅使用,虽然老教堂经常被改建成别样的住所,但将教堂转换为日常生活空间需要巨大的努力。我们买下这座教堂的主要原因是希望建立一个办公空间。我和 Christy 一直在谈论开启一个公司来开发非小说创意项目,以及处理我已有作品的授权和商品化。

这座教堂拥有我们想要的一切充足的办公空间和极佳的地理位置加上我们从视察中发现的其他机会使得它拥有了我们之前未曾想象的额外价值教堂的价格仅为 7 万 5 千美元对我们来说经济上绝对是合理的非常感谢前任教会保持建筑的基本维护即使他们在一些表面工程上有所延误我们也进行了一系列的翻新包括换新屋顶电力系统更新以及改善室内装修等

评论区里,很多网友对这个项目表示羡慕和称赞,尤其是对于这座建筑和地块以这样的价格拿下来感到惊讶。还有评论赞扬我们保持这座教堂作为社区的一部分的意图,认为这是对社区非常有益的举措。

苹果即将在未来的软件更新中为 iOS、iPadOS、MacOS 和 WatchOS 添加对端到端加密的 RCS 消息支持这表示 iPhone 和 Android 用户很快就能够通过新更新的 RCS 规范交换端到端加密的消息了这项更新是在与移动运营商、设备制造商和技术提供商包括苹果的合作下完成的是首次实现不同平台提供商之间的加密户操作性

GSM 协会表示已经开始推动 Android 和 iPhone 之间发送的消息能够实现端到端加密这是一项隐私和安全性功能可以防止第三方比如消息服务提供商或是手机运营商查看你短信的内容尽管苹果的专有 iMessage 系统已经支持端到端加密但以前的 RCS 标准没有提供跨平台支持导致此加密功能未能扩展到 RCS 消息中

但是,大家在评论区的看法似乎对 RCS 标准本身的评价并不高,有人担忧它让使用者过于依赖于手机号,而不是更加开放的标识符,如电子邮件地址。还有人提到如果他们在 Android 上启用了 RCS,就会开始接收到带有丰富媒体的广告,所以他们选择关闭此功能。

此外,有评论者提出了一个值得思考的问题,为什么 RCS 在设计时会有非加密模式,毕竟即使在原始规范制定时,加密、安全或隐私也是关注点。GitHub 上售欢迎的操作 TJ Actions 斜杠 Changed Files 被发现存在漏洞,这一发现震惊了成千上万的持续集成 CI 流水线。这个 Vulner 是这样的,一种恶意代码被植入,试图窃取敏感信息。

根据 SumGrab 的报告,这一问题影响深远,迫切需要用户采取措施。最直接的解决办法是停止使用 TJ Actions 斜杠 Changed Files 并转向更安全的方案。此外,建议固定使用已知安全的 GitHub Actions 特定提交线,避免使用可能被泄露的版本标签,并对过去的工作流运行进行审计,检查是否有可疑的外部网络请求。

根据目前的情况看起来所有版本都已被攻破在评论区网友 NetVarion 提出 Step Security 也就是发现这一漏洞的公司提供的原始 URL 是一个更佳的信息来源这一事件不仅提醒企业和开发者注意保护自己的代码和流程也凸显了社区在发现和分享这类安全问题上的积极作用纽约时报决定关闭齐托洋葱服务这一决定引发了广泛的讨论

托尔洋葱服务是一个旨在提高访问者隐私保护的网络服务,它通过特殊的安全和难以阻拦的 VPN 是隧道来访问纽约时报网站,尤其在无法直接访问主网站的情况下尤为重要。尽管纽约时报表示,用户仍有多种方式访问其新闻报道,如 WhatsApp 或 Telegram,但这一决定仍然引起了用户的不满。

评论区的网友指出 WhatsApp 和 Telegram 并不能有效替代托尔访问这些平台的可访问性容易受到政府的阻挡同时还有评论指出此举可能和纽约时报的内部人才流失以及当前的劳资争议有关总的来说尽管关闭托尔服务符号性的减少了访问阻碍但这一决策在评论区引发了对新闻自由和在线隐私权的深刻担忧

感谢您收听今天的黑客新闻中文日报。我们希望这些新鲜的科技资讯能为您带来启发和思考。如果您喜欢我们的内容,请别忘了订阅我们的播客,并且与您的朋友分享,共同探索科技世界的无限可能。祝您今天愉快,我们明天再会。