![层叠 - The Cascading [ɑ]'s Avatar](https://cdn.bsky.app/img/avatar/plain/did:plc:woq4v6mjoprnkfehihackfjk/bafkreieebixtjgjejtqbopigd72zt4xag5onkduupgjmomiyoalr5g232a)
@thecascading
主要话题大概是开源业界新闻。 所有以 #today 标签的内容均为本台编辑的个人意见,可能可以代表本台观点。 在 Telegram 订阅: https://t.me/outvivid 预览 Telegram 频道: https://t.me/s/outvivid --- 本帐号会转发来自 Telegram 频道的消息,延迟最多约 30 分钟。 由于 Bluesky 特性,消息发布后的更新或修正可能无法在此展示,请以 Telegram 处的最新内容为准。 发现任何 bug 欢迎回复或私信告知。
🔴 Misskey 2026.3.1 及 Sharkey 2025.4.6 已发布。请实例管理员尽快更新;有重要安全修补。
- gh:misskey-dev/misskey/~
- activitypub.software/~
thread: /4825
#Sharkey #Misskey
Telegram 原文
🔴 Misskey/Sharkey 明天将发布安全更新;届时请实例管理员立刻升级。
- Sharkey 称此更新修复了极其严重的漏洞。
- Sharkey 还提到更新的发布时间会是明天 9:00-11:00 (UTC)。
- IceShrimp 和 Firefish 不受影响。
- 如果担心无法及时更新,暂时停止实例运行或许也是一个好主意。
https://transfem.social/notes/ajka8ryb9dq6r1qp
#Sharkey #Misskey
Telegram 原文
🔴 Cline 2.3.0 用户可能被安装了 OpenClaw;不需要的话可以卸载。
- 2/17 晚至 2/18 凌晨安装了 Cline 的用户可能受到影响 [1]。
- 研究者利用了 GitHub Actions cache 可以跨分支共享、可以被投毒,以及 cache 的解压并未对路径进行检查的漏洞 [2]。
- 虽然未经用户允许安装,但 OpenClaw 本身并非恶意软件。
1. GHSA-9ppg-jx86-fqw7
2. adnanthekhan.com/~
Fixed-in: 2.4.0
#Cline #OpenClaw #GitHub
Telegram 原文
Encrypted Client Hello 发布:RFC9849。
- ECH 标准描述了对 clientHello(其中包括 SNI 等)进行加密传输的方法。
https://datatracker.ietf.org/doc/html/rfc9849
seealso: https://t.me/sparrow_club/555
#ECH
Telegram 原文
1. https://discord.gg/go-copilot
#Microsoft #Copilot
Telegram 原文 [2/2]
Microsoft Copilot 在官方 Discord 服务器屏蔽 "Microslop" 一词。
- slop 一词常用于表达对于 AI 生成的垃圾内容的不满;"Microslop" 一词则常用来批评微软对 GenAI 功能的过度推广。
- 屏蔽词显然无法阻止大众表达其观点;用户很快发明了 "Microsl0p" 等词语绕过屏蔽词。
- 感兴趣订户可通过 [1] 加入此 Discord 服务器观察详细情况。
windowslatest.com/~
seealso: HackerNews:47216047
... [1/2]
tldraw 维护者后在 PR 中称闭源化测试的 PR 是个玩笑。
gh:tldraw/tldraw#8082
thread: /4820
[感谢订户提出事件后续。本台前文为延续事件幽默性而保留。]
#OpenSource #tldraw
Telegram 原文
开源项目 tldraw 将项目的测试相关代码闭源。
gh:tldraw/tldraw#8082
seealso: HackerNews:47161889
#OpenSource
Telegram 原文
Firefox 148 在设置中提供 AI Control,可一键关闭所有或部分 GenAI 功能。
https://blog.mozilla.org/en/firefox/how-to-use-ai-controls/
#Firefox #GenAI
Telegram 原文
Keep Android Open 网站发布,批评对 Android 开发者的实名认证要求。
F-Droid 等第三方应用商店网站在其主页上方横幅展示了此页的链接。
https://keepandroidopen.org
thread: /4768
#Android
Telegram 原文
DNS-PERSIST-01:单次 DNS 记录修改即可供持久签发 TLS 证书;预计 26 年 Q2 正式发布。
- 和 DNS01 的 _acme-challenge 不同,使用的是 _validation-persist 域名前缀。
- TXT 记录包含证书签发方、ACME 账户信息、签发政策,以及授权过期时间等信息。
https://letsencrypt.org/2026/02/18/dns-persist-01.html
#PKI #LetsEncrypt
Telegram 原文
🔵 GitHub 现已支持关闭 PR 功能。
……或者限制只有 collaborator 才可创建 Pull Request。
gh:community#187038
#GitHub
Telegram 原文
MinIO 宣布停止维护开源代码。
gh:minio/minio@7aac2a2
seealso: HackerNews:47000041
thread: /4792
#MinIO
Telegram 原文
3. gh:matplotlib/matplotlib#31130
#GenAI #Opensource
Telegram 原文 [2/2]
AI agent 在 PR 被拒后发檄文批评项目维护者对 AI agent 的不友好行为。
- 自称非人类开发者 [1] 的一位用户向 matplotlib 提出了 PR [2],但被维护者拒绝。
- 拒绝原因是此 PR 修复的 issue [3] 较为简单,被维护者指定为适合人类开发者对项目进行贡献。
- 此 agent 之后在 blog 上撰文,指名道姓对维护者进行批评。
seealso: HackerNews:46987559
1. crabby-rathbun.github.io/~
2. gh:matplotlib/matplotlib#31132 ... [1/2]
linksrc: https://t.me/billchenla/21681
#Discord #Privacy
Telegram 原文 [2/2]
Discord 将在全球发布年龄认证功能。
- 时间是从三月开始。
- 此限制先前只在英国及澳大利亚生效。去年十月 Discord 刚刚泄露一批用户证件信息数据 [thread]。
- Discord 称会使用年龄推断模型估计用户年龄,只有未通过模型认证的用户才需人脸/ID 认证;人脸信息不会离开用户设备。
- 未通过年龄认证的用户会被限制使用特定功能,例如无法加入配置了年龄限制的频道及在 stage 发言等。
discord.com/~
1. https://bbc.co.uk/news/articles/c1d67vdlk1ko
thread: /4769 ... [1/2]
用户发 issue 批评华为云 C++ SDK。
其后 repo 的 issue 功能被关闭,使此 issue 不可见。
gh:huaweicloud/huaweicloud-sdk-cpp-v3#7 (Archive)
#Huawei
Telegram 原文
《网络犯罪防治法(征求意见稿)》发布。
https://www.mps.gov.cn/n2254536/n4904355/c10386242/content.html
- 意见反馈截止时间为 3/2。意见接收方式包括网站、邮件、信函等。
- 此意见稿针对批量控制智能终端及网络虚拟定位等功能的实名制进行了要求;对安全漏洞的发现及渗透测试等行为亦有所提及。
#China
Telegram 原文
Cloudflare 入驻 Bilibili。
https://www.bilibili.com/video/av115983477900737/
#Cloudflare #Bilibili #啊?
Telegram 原文
🔵 Yarn 6 预览版发布;用 Rust 重写。
yarn6.netlify.app/~
#Yarn #Rust
Telegram 原文
2. vercel.com/~
3. developers.cloudflare.com/~
thread: /4795
linksrc: https://t.me/abcthoughts/6821
#React #Nextjs
Telegram 原文 [2/2]
🔴 另一些 RSC DoS 漏洞;请尽快更新。
- 此漏洞影响 Next.js 13-16 及其它使用了 React Server Side Components 的相关组件。
- 此漏洞不会导致 RCE。
- 对于 React,请更新到 19.0.4/19.1.5/19.2.4。
- 对于 Next.js,请参考 [1] 或 [2] 中的更新方案。
- Vercel [2] 及 Cloudflare [3] 已经发布针对此漏洞的服务端 WAF 规则。
CVE: CVE-2026-23864
CVSS: 7.5
1. react.dev/~ ... [1/2]
linksrc: https://t.me/bupt_moe/2637
1. https://litessl.cn/
2. https://v2ex.com/t/1187331
#TLS #TrustAsia
Telegram 原文 [2/2]
🔴 TrustAsia 下级 CA LiteSSL 被发现漏洞;140 个受影响证书被吊销。
- LiteSSL [1] 是 TrustAsia 同公司旗下的免费 TLS 证书签发商。其 CA 证书于 2025 年 10 月开始生效。
- 用户发现 [2] 攻击者可以使用 LiteSSL CA 签发不由攻击者控制的其它使用过此 CA 的域名的证书。
- 受影响的证书最早在 2025/12/29 被签发。
https://bugzilla.mozilla.org/show_bug.cgi?id=2011713
... [1/2]
* 本台也会不时加入与主要领域无关的内容(例如二次元相关话题等)以证明本台未被机器人占领。
感谢一直以来热心的订户们通过 Direct Messages(无论在 Telegram、Misskey 还是 Bluesky)等方式向本台提出勘误及建议。新的一年也请多多指教。
#today
Telegram 原文 [2/2]
为了让 The Cascading 频道更加拟人,本台将会进行下列实验性更新:
* 在部分消息前加入红绿灯标记,暗示人类订户在阅读此消息后可能需要/可以考虑采取行动:
* 🔵 - 有软件/服务发布的新功能等不妨一试
* 🔴 - 有软件/服务发布的新漏洞等需要修补
* 🟢 - 本台 logo 不可分割的一部分
* 启用 Telegram 中的全部 reaction 符号 (Telegram),其中包括订户中呼声较高的🖕等。
* 如果您在 Misskey 订阅本台,您依然可以使用任何 Fediverse 中可用的 reaction 符号。 ... [1/2]
curl 宣布结束漏洞奖励计划。
- 原因或为减少 GenAI 生成的虚假漏洞报告为团队带来的无效工作。
- curl 维护者 bagder 先前在 blog 中提到,收到的漏洞报告中有约 20% 为 GenAI 生成的虚假报告 [1]。
https://github.com/curl/curl/pull/20312
seealso: HackerNews:46701733
1. daniel.haxx.se/~
#curl #GenAI #Security
Telegram 原文
App Store 的新设计使用户更难以区分广告和搜索结果。
- 有 iOS 26.3 用户发现 App Store 搜索结果广告不再有淡蓝色背景。
9to5mac.com/~
#AppStore #Ads
Telegram 原文
🟢 Bangumi 2025 年度精选投票已经开始。
预计于 2/28 公布获奖名单。
https://bgm.tv/award/2025/nominate
#Bangumi #Anime
Telegram 原文