Twitter 现无法发送 Mastodon 的 邀请链接 (fake) 了

这绝对是找张小龙偷师了，快进到 Mastodon 口令（雾）：

「復·制这段描述 $114514.1919$ 后咑閞 𝓜𝓪𝓼𝓽𝓸♂𝓭𝓸𝓷♀，或 http://shorturl.at/GHP58 点几链街，再选择瀏..覽..噐dakai」

——————

原推主更新：

https://twitter.com/t_trace/status/1593463827340791808

joinmastodon.com 目前会跳转到 joinmastodon.org ，先前是钓鱼链接，但可发送。

IBM 360 系统之父、人月神话作者 Fred Brooks 去世
https://www.oschina.net/news/218362/fred-brooks-passed-away

悲报：McD 双层深海鳕鱼堡从白芝麻风味酱变成黄芥末酱了

更悲报：麦香鱼酱也开始缺货

#可能是科技圈的日常

今天翻鬼畜区的时候听到了时域科技的「ACE 虚拟歌姬」合成的歌曲，震撼吉米一晚上

官方的技术演示视频: https://www.bilibili.com/video/BV1ZS4y137NR/

B 站网友使用该引擎制作的鬼畜视频*: https://www.bilibili.com/video/BV1Sa41117Fk/

在可预见的未来，AI 声音合成技术的应用可能比我们想象中的来的更快，很多流量歌手也可能更快的被淘汰。

两年前看的 MSRA 的做的 AI 歌姬 [1] 还是有比较明显的合成感的，没想到落地这么快。

官方简介：「ACE 坚持大规模使用毫无妥协的前沿人工智能技术，用高性能计算的力量带来富有无可比拟情感的自然歌声。」

[1]: https://arxiv.org/pdf/2009.01776.pdf

*视频仅用作技术演示，不针对任何群体和个人，仅代表视频作者观点

对乙酰氨基酚，这个月见过最冷的冷笑话，已经冻感冒了（

不知道该说啥，不走流程了直接乐吧 🎆

咱警告你们，戴着金属外壳的耳机千万不要摸卵路由！！！尤其是耳机插在接了地的设备上！！！！！！！！！！！！！！！！！！咱要升天了！！！！！！！！！！气鼓鼓！！！！！

ColorOS 13 的短信应用会将用户收到的广告替换为第三方广告

当用户收到如右图显示的广告短信时，ColorOS 的「智能短信识别」服务会自动将广告替换为第三方广告（见左图）。

原短信中的 URL 对应为「众〇保险」的广告，但 ColorOS 给出的卡片化短信点击却会跳转至「泰〇保险」的广告。

如用户关闭此服务，将无法使用验证码识别等功能；如用户关闭「卡片化显示」功能，其他应该被作为卡片显示的短信亦无法被显示（如机票、火车票等）。

测试环境：一加 11（国行，Color OS PHB110_11_A_06）

顺带：一加 11 仍未有任何国行设备完美切换至氧 OS 的方法，目前切换后 OTA 会导致 BootLoop。

PS：l5y.cn 域名的 ICP 备案信息为苏州致顺杰智能科技有限公司，该公司名下备案的数个域名均为三位左右的短域名，看起来是短链接服务提供商。

北大团队发布聊天表格应用 ChatExcel

https://36kr.com/p/2158219573305094

------

PS：求和！理解万岁！（雾

Microsoft Loop 发布

大概是 M$ 版 Notion，目前提供网页版，以及移动端客户端（iOS 及 Android）。

https://loop.microsoft.com/learn

Linus Tech Tips 的主要 YouTube 频道被入侵，攻击者修改了频道名称和 @ 开头的 handle，隐藏了绝大部分近年的视频，并进行诈骗直播（截止发稿时直播已经结束，不清楚是否为 YouTube 官方介入），目前 LTT 官方 Twitter 尚未作出回应。

Apple Music Classical 只在部分地区上架的原因目前猜测可能是本地化问题

比如「The Story of Classical」一上来就是一个小时的英语 Podcast，甚至没有字幕（想了想听障人士可能也不太能用到这个 App）。

版权问题的原因感觉是一小部分，毕竟不用给作曲者钱，给演奏者支付的版权费大概远不如 Apple Music 多。

大概是因为本地化做起来太麻烦了所以先不给使用者可能较少的地区适配？

闲鱼交易不要扫描任何对方发来的二维码，通常是以补快递费等理由发的付款码。
目前支付宝存在逻辑漏洞，一个精心构造的虚假页面可以直接拉起确认收货提示框，如果此时确认收货会钱货两空。
虽然确认收货需要二次验证（密码、指纹、面容），但如果使用了 Face ID，这个二次验证基本等于自动确认。Mozzie（蚊子）大佬录制了一段视频来展示复现过程，可以看到在开启 Face ID 的情况下会直接完成确认收货操作。
目前支付宝似乎已对大额交易进行风控（确认收货后仍然冻结 3 天资金），但是小额交易仍需谨慎。
这个问题在一周前就已在知乎（相关文章）和小红书等平台被数人提起，但至今除了风控之外没有进一步动作。

群友补充内容：

淘宝系 App 本身并不提供担保服务，担保交易功能由支付宝提供。

这个接口是公开的 jsbridge 接口，不管是阿里系还是第三方都在调用这个接口。

接口设计之初并没有考虑到根据调用域名来鉴权，所以并不容易改动。

PS：

看起来调用这个接口时支付宝并没有做二次确认，直接触发了确认流程（Face ID），连付款都是假的。

这个页面全套流程都是假的，但用户看到的流程和「支付 1 元」的流程别无二致，大概也是这么多人上当的原因。

（换咱也可能被骗了）

反而不是代码上的漏洞，而是逻辑上的漏洞。

最简单的修复方式大概是在支付宝 SDK 里对「确认收货」行为做二次弹窗确认了。

看到隔壁频道主发的诈骗提醒的评论区，似乎最近诈骗的手段又升级了[1]

据说会有 Bot 构建的虚假 Telegram 官方页面，通过这个外部页面来骗取你输入二步验证密码，从而盗取你的账户

给普通用户一点安全建议：

建议所有没有设置二步验证密码的用户，立即设置二步验证密码。这样即使你的验证码泄露，对方也无法成功登录你的账户

除了在官方客户端首次登录时，没有任何时候需要你主动输入二步验证密码。永远不要泄露你的二步验证密码。

一旦对方可以成功登录你的账户，就可以修改你绑定的手机号码，从而永久性的控制你的账户

Telegram 二步验证密码设置方法：

设置 —> 隐私与安全(Privacy and Security) —> 二步验证(Two-Step Verificaton)

[1]: https://news.1rj.ru/str/lychee_wood/32515?comment=69952

安全提醒：如果你在一个月左右游玩了装有 Mod 的 MineCraft，请检查你的电脑是否遭到入侵

数个 Curseforge 和 Bukkit Repo 账户遭到入侵，分发了多个包含恶意软件的 Mod 及 Mod 包。

根据研究人员的分析，该恶意代码将会窃取用户的多个浏览器 Cookies 及登录数据、Discord 用户信息、多个启动器的 MineCraft 登录信息、用户的加密货币钱包数据。同时会替换用户剪切板中的加密货币地址。

据称恶意代码最早在四月中就出现了报告，所以如果你在四月中之后下载了 Mod，即使没有直接从上述来源下载 Mod，也建议检查你的电脑是否遭到入侵。

数条来源：

https://news.1rj.ru/str/abcthoughts/4951

https://hackmd.io/@jaskarth4/B1gaTOaU2

https://hackmd.io/5gqXVri5S4ewZcGaCbsJdQ

https://www.mcbbs.net/thread-1447445-1-1.html

国内部分手机厂开始承诺提供长系统维护时间

部分厂商提供的承诺如下：

小米为 K60 至尊版（MTK）提供 4 个大版本更新，5 年 OTA。

一加为 11 提供 4 个大版本更新，5 年 OTA；为 Ace 系列提供 3 个大版本更新，4 年 OTA。

OPPO 为 Find X 系列提供 4 个大版本更新，5 年 OTA。

用于对比：

Google 从 Pixel 6 开始提供 3 年系统更新，5 年安全更新。（根据 Pixel 的发布周期，3 年系统更新往往会垮 4 个大版本）

苹果的 iOS 更新时间目前为 6 年，安全更新时间目前为 7 年。*

索尼往往只提供 2 年左右的系统更新。

Ubuntu LTS 的支持周期是 5 年。

五年时间对于手机来说已经足够长到大部分钉子户更换下一代手机了，国内手机厂开始承诺 EOL 时间的事情咱觉得是好事。

* 部分数据取自 endoflife.date

via https://news.1rj.ru/str/TooruchanNews/27121