启用 JavaScript 和 Cookie 以继续。
启用 JavaScript 和 Cookie 以继续。
## React 安全漏洞 - 紧急更新 React Server Components 中发现了一个严重的安全漏洞(CVE-2025-55182,CVSS 10.0),允许**未经身份验证的远程代码执行**。此漏洞影响 React 的 19.0、19.1.0、19.1.1 和 19.2.0 版本。 **需要立即采取行动:** 升级到 React 19.0.1、19.1.2 或 19.2.1 版本。 此漏洞影响使用 React Server Components 的应用程序,即使您没有直接实现 Server Function 端点。**受影响的框架和打包工具包括:** Next.js、React Router、Waku、Parcel、Vite 和 Redwood SDK。每个框架的具体升级说明详见完整公告。 虽然一些托管服务提供商已实施了临时缓解措施,但**依赖这些措施是不够的** – 升级至关重要。该漏洞源于 React 解码发送到 Server Function 端点的负载方式中的缺陷,允许攻击者通过精心构造的 HTTP 请求在服务器上执行代码。 该问题由 Lachlan Davidson 于 2025 年 11 月 29 日报告,并于 2025 年 12 月 3 日发布了修复程序。如果您的应用程序不使用服务器或支持 React Server Components 的框架,则不受影响。
Rocketable 正在构建软件公司的未来——完全自主的企业,完全由人工智能驱动。他们收购盈利的 SaaS 公司,并系统性地用人工智能代理取代人工角色(工程、支持、运营),目标是实现零人工干预。 核心挑战在于构建一个能够跨越多样化技术栈和业务领域的平台。初期阶段专注于自动化客户支持,然后扩展到自我调试、功能创建,并最终实现超人性能。Rocketable 优先考虑生产就绪的系统,而非研究,需要具备扩展分布式架构(TypeScript/Python、Kubernetes、云基础设施)的强大工程背景。 他们正在寻找一位架构师来领导这项工作,这个人必须相信完全自动化是不可避免的,并且有动力去应对前所未有的挑战。这不仅仅是渐进式改进,而是为新一代人工智能驱动的企业构建基础架构。在 650 万美元的种子资金支持下,Rocketable 提供了一个高杠杆的机会来塑造工作的未来。
近十年以来,Valve一直在秘密资助“Fex”项目,该项目旨在将Windows游戏带到基于ARM的设备上。Steam Deck负责人Pierre-Loup Griffais透露,该举措是对他们成功的Linux兼容层Proton的补充,并扩展了PC游戏超越传统x86架构的可能性。 Valve认为ARM在较低功耗下提供更高的效率,为超便携式笔记本电脑、平板电脑甚至手机运行更广泛的游戏打开了大门。他们正在开发ARM版本的SteamOS,利用专门的Proton构建和Fex模拟器来翻译Windows游戏。 目标是降低用户门槛并提供选择,潜在地使游戏在Linux上运行*更好*,因为系统开销降低。虽然仍然存在挑战——特别是多人游戏中的反作弊系统——但Valve的工作正在促进一个不断增长的Windows替代生态系统,这从SteamOS和Bazzite等发行版的受欢迎程度可以看出。最终目标是扩大PC游戏市场,并赋予玩家更多的硬件选择。
此仓库提供针对 New World Mac OS Toolbox 镜像(1.2+ 版本)的补丁,以启用在较新硬件上启动较旧的系统版本,如 System 7.x。 随着时间的推移,关键接口(程序间通信、声音、通讯、事件管理器、图片/文本/图标工具)被从 Toolbox 中移除。这些补丁恢复了这些功能。 包含的脚本会根据 Toolbox 镜像中现有的陷阱自动应用正确的补丁集。 此外,还提供了一个针对 `ProcessMgrSupport.pef` 的特定补丁,解决了 TBXI 版本之间初始化更改的问题,并需要使用 Retro68 进行重建以支持较旧的系统。 进一步的补丁解决了与 Mac OS 9 中引入的文件控制块的兼容性问题,允许较旧的系统运行,但可能存在不稳定情况。 建议以 TBXI v10.2.1 作为基础,并提供特定的偏移量补丁。 虽然这些补丁允许启动较旧的系统,但由于不兼容的扩展或控制面板(例如 System 7.x 中的日期和时间面板),可能会发生崩溃。 不能保证完全稳定的系统,但这提供了一种在更现代的配置上运行经典 Mac OS 的途径。
某些 React 包(版本 19.0.0、19.1.0、19.1.1 和 19.2.0)以及使用这些包的框架(包括使用 App Router 的 Next.js 15.x 和 16.x)受到一个漏洞的影响。该问题在上游被追踪为 CVE-2025-55182。 修复版本: React: 19.0.1, 19.1.2, 19.2.1 Next.js: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7 该漏洞还影响了从 14.3.0-canary.77 开始的实验性 Canary 版本。任何 14.3 Canary 构建的用户应降级到 14.x 稳定版本或 14.3.0-canary.76。所有使用稳定版 15.x 或 16.x Next.js 版本的用户应立即升级到已修复的稳定版本。 受影响的 React 包是: react-server-dom-parcel react-server-dom-turbopack react-server-dom-webpack
## AI 数据中心:不会重蹈电信业崩溃覆辙 将当前 AI 数据中心繁荣与 2000 年代的电信业崩溃进行比较具有误导性。虽然两者都涉及大规模基础设施支出和泡沫担忧,但仔细分析数据会发现根本性的差异。 电信业崩溃源于对需求的灾难性误判(高估了 4 倍),并伴随着光纤技术的*指数级*提升,导致大量已建基础设施未被使用——95% 处于“暗纤”状态。然而,AI 面临的是每瓦 GPU 性能提升*放缓*,以及由向 AI 代理转变推动的潜在*加速*需求。 与迅速过时的光纤不同,由于效率提升递减,今天的 GPU 能够更长时间地保持价值。虽然短期内的修正是可能的——可能由代理采用速度放缓、金融不稳定或意外的效率突破触发——即使是过度建设的 AI 基础设施也不会变得无用。它只是会被利用更长的时间。 核心风险不在于建设*过多*,而在于*时机*。预测的代理采用率与实际采用率之间的错配可能导致暂时性产能过剩。然而,这与为从未实现的需求而建设,同时技术又使基础设施过时的情况截然不同,就像电信业发生的那样。AI 繁荣似乎是由真实且不断增长的需求推动的,这使得重蹈电信业崩溃覆辙的可能性不大。
React 服务器组件 (RSC) 和 Next.js 等框架中发现了一个严重远程代码执行 (RCE) 漏洞 (CVE-2025-55182 & CVE-2025-66478)。在默认配置下,攻击者可以通过精心构造的 HTTP 请求在服务器上执行特权 JavaScript 代码,*无需*身份验证。 该漏洞在于 `react-server` 包处理 RSC “Flight” 协议的方式,具体是逻辑反序列化问题,恶意负载绕过了验证。测试表明,漏洞利用的成功率接近 100%。目前估计约 39% 的云环境存在漏洞。 **立即修补至关重要。** 将 React 升级到版本 19.0.1、19.1.2 或 19.2.1,Next.js 升级到 14.3.0-canary.88 或 15.x 和 16.x 系列的更高版本。其他启用 RSC 的框架 (Redwood, Waku 等) 的用户应检查其捆绑的 `react-server` 版本是否有更新。 详细的漏洞利用信息暂时保密,以优先考虑防御。
此文件详细介绍了MinIO项目的当前状态:**目前已进入维护模式。** 不接受新的功能、增强或拉取请求。 关键安全补丁*可能*会被考虑,但现有的问题和拉取请求将不会被积极审查。 社区支持仍然可以通过Slack获得,但对于正在积极维护的版本和企业支持,用户将被引导至**MinIO AIStor**。 该文件还包括标准快速入门信息,例如Slack频道的链接、Docker拉取统计信息和AGPL V3许可证。 基本上,这标志着核心MinIO项目重心转向稳定化,并引导需要积极开发的用户转向AIStor产品。