## 反向工程 TP-Link Tapo C200 摄像头 & 发现漏洞
本报告详细描述了一个针对 TP-Link Tapo C200 IP 摄像头的反向工程项目,展示了利用人工智能辅助的现代技术。作者出于学习和测试人工智能在安全研究中的能力,尽管该摄像头此前已进行过安全评估,但仍发现了多处漏洞。
该过程始于轻松地从开放的 TP-Link S3 存储桶获取固件——这缺乏令人惊讶的安全措施。解密使用公开可用的工具 (`tp-link-decrypt`) 实现,该工具利用 TP-Link 作为其开源义务发布的一部分的密钥。分析使用了 Ghidra,并借助 GhidraMCP 和 Cline 等人工智能工具快速理解代码并识别关键组件。
调查发现了四处漏洞:一个预身份验证 ONVIF SOAP XML 解析器内存溢出、一个预身份验证 HTTPS Content-Length 整数溢出、一个预身份验证 WiFi 劫持漏洞允许网络接管,以及一个预身份验证 WiFi 网络扫描功能,泄露附近网络详细信息(可能暴露位置)。这些缺陷影响了大约 25,000 个公开暴露的设备。
尽管作者在 150 多天前已将这些发现报告给 TP-Link 的安全团队,但承诺的补丁尚未发布,导致公开披露。作者强调了 TP-Link 既是供应商*又是* CVE 编号机构的利益冲突,这可能会激励淡化漏洞数量。
持续的DDR5内存价格危机意外地推高了较旧AMD CPU的成本,特别是锐龙7 5800X3D。这款游戏芯片采用较旧的DDR4标准,现在的售价*高于*更新的锐龙7 9800X3D——在eBay上的平均价格为500-600美元,有时甚至达到800美元。
这种上涨是由消费者寻求避免更新平台(如AMD的AM5和英特尔最新系列)昂贵的DDR5需求所驱动的。5800X3D凭借AMD的3D V-Cache技术,以其出色的游戏性能而闻名,与容易获得(但现在价格也在上涨)的AM4主板和DDR4内存搭配使用时,提供了一种可行且更便宜的替代方案。
虽然看似不合逻辑,但对5800X3D的需求是由AM4平台的负担能力所推动的。锐龙7 5700X3D也在经历价格上涨,但仍然是AM4生态系统内更经济实惠的选择。当前拥有者可能现在是出售的好时机,而买家则建议谨慎购物。
Ploum批评了《华尔街日报》最近一篇报道,该报道介绍了一台由Anthropic聊天机器人控制的零食自动售货机,认为这更像是为两家公司精心伪装的广告,而非新闻报道。核心观点——在完全自动化的流程中添加聊天机器人——被认为本质上毫无意义,使得机器效率降低且更容易出错。
文章巧妙地将人工智能融入到各个地方的想法正常化,甚至包括毫无意义的应用。Ploum指出,Anthropic员工似乎不相信自己的宣传,这令人感到不安,甚至暗示了潜在的缺点,例如系统锁定。
他对《华尔街日报》记者热情地接受这个缺陷系统表示特别批评,强调他们尽管浪费时间且荒谬,却渴望获得免费的可乐。最终,这篇文章警告不要被过度饱和的不必要人工智能的未来所麻痹,并鼓励人们对其应用进行批判性思考。
## 年龄验证法:对在线自由日益增长的威胁
Spitfire News 庆祝订阅者达到 1 万人,并举行促销活动,但最近的经历凸显了一个令人担忧的趋势:日益严格的年龄验证法。作者在俄亥俄州探亲时,发现由于一项新的州法律,为了访问 Bluesky 私信,必须向 Epic Games 提供敏感的个人数据——例如护照,该法律旨在打击“淫秽”内容。
这项本意在于保护儿童的法律,具有讽刺意味的是,它影响了像 Bluesky 这样没有明确成人内容的平台,而其他平台却忽视了它。作者认为这些法律无效,容易绕过(例如通过 VPN),并构成重大的隐私风险,近期年龄验证服务的数据泄露事件证明了这一点。
更广泛地说,这些法律威胁着言论自由和获取重要信息的机会,可能审查 LGBTQ+ 资源、生殖健康信息,甚至是对时事的讨论。在两党支持下,类似的联邦立法也迫在眉睫,可能导致监视和审查,尤其针对边缘化群体。专家警告说,限制在线访问实际上会*增加*弱势青年的风险,剥夺他们重要的支持网络和信息。作者敦促读者联系他们的代表,反对这些有害的法律。