Total Pageviews

Wednesday, 8 July 2026

本田思域车主请注意:你的车载系统可能正被「恶意的代客泊车」盯上

 你有没有想过,把车交给酒店代客泊车的那一刻,你交出去的不只是方向盘?

2026 年 6 月,一位叫 Eric McDonald 的安全研究员在个人博客上发布了一篇更新,披露了一个名为 EvilValet 的漏洞——攻击者只需物理接触你的本田思域(2021 款第十代)中控屏的 USB 接口,就能通过 USB 更新路径,在车载系统上实现任意代码执行。

这不是理论推演,而是已经开源了完整工具链、可以直接复现的实战漏洞。 
一个被遗忘的 AOSP 测试密钥

Eric 的研究始于 2023 年。他花了一年多的时间逆向自己的 2021 款本田思域车机,最终在 2026 年 6 月公开了完整成果。

最致命的一点是:本田在车机的 Android 系统中,保留了 AOSP(Android 开源项目)的公开测试密钥(res/keys/ 目录下的 testkey)。这意味着任何人都可以用这个公开密钥签名一个更新包,让车机误以为这是官方更新。

换句话说,只要有人能插上一根 U 盘,就能往你的车机里装任何东西。
为什么叫 EvilValet?

传统安全领域有个经典攻击模型叫 Evil Maid(恶意的客房服务员)——攻击者趁你不在酒店房间时,在你的电脑上植入后门。

Eric 觉得这个概念放在车上更贴切:记者把车交给酒店代客泊车,代客泊车的人(假设是某个三字母机构的人)插上 U 盘,装了一个更新。记者回来时,车机已经被改了,但完全不知道。

所以他叫它 EvilValet——恶意的代客泊车。

汽车车载系统安全
开源工具链:ota-builder 和 apk-rebuilder

更值得警惕的是,Eric 不仅公布了漏洞原理,还开源了完整的工具链: 免费软件下载

    ota-builder:自动生成能被车机接受的更新包。虽然还在早期阶段,但用它来安装一个带 setuid 的 su 二进制文件(也就是 root 设备)已经不难了。
    apk-rebuilder:把网上下载的本田车机更新包自动解包,还原出 smali 代码、资源文件、ramdisk 等。这解决了法律上的敏感问题——研究者不需要发布本田的源代码,而是发布一个"输入更新包、输出可分析代码"的工具。

整个项目托管在 GitHub 上,仓库名 ic1101(第十代思域的内部代号),MIT 协议,176 个 stars。
不只是本田的问题

Eric 在文章里明确说,他高度怀疑所有官方更新都是用 AOSP 测试密钥签名的。他下载了一个公开的欧盟版更新文件 MRC_EU_SW_v12_4.zip,确认它确实是用测试密钥签名的。

这意味着什么?意味着不只是他那一台车有这个问题,而是整个第十代思域的车机都可能存在同样的漏洞。
开源逆向工程的正面案例

这件事还有一个值得注意的侧面:Eric 选择把整个研究过程工具化、开源化,而不是写成一份传统的漏洞报告。

他的思路是:与其维护一份随时可能过时的文档,不如提供可靠的、确定性的工具,让其他人可以用 LLM 去查询这些工具输出的中间产物。车机代码本身才是唯一的真相源。

这种做法在安全研究圈越来越常见——把逆向工程成果变成可复用的工具链,而不是封闭的 PDF 报告。
车主能做什么?

坦白说,普通车主能做的不多。Eric 也在呼吁开第十代思域的人去贡献"已知版本"信息,帮助完善工具链的兼容性。

但对于安全研究者来说,这件事传递了一个清晰的信号:车载系统的 USB 更新路径,可能是所有汽车厂商都需要重新审视的安全边界。

参考资料

https://juniperspring.org/posts/honda-evil-valet/
https://github.com/librick/ic1101
https://github.com/librick/ic1101/tree/main/ota-builder
https://github.com/librick/ic1101/tree/main/apk-rebuilder

相关链接

https://github.com/librick/ic1101

Anthropic 开源了一个 AI 安全扫描器, AI背后的攻防博弈

 你写的代码里,到底藏了多少 bug?

不是那种"少了个分号"的低级错误,而是真正的安全漏洞——能让攻击者远程执行代码、偷走用户数据、甚至接管整台服务器的那种。

大多数人不愿意想这个问题。但 Anthropic 最近做了一件事,让整个安全圈都坐不住了。
Claude Mythos 的”副作用”

事情要从今年 4 月说起。Anthropic 发布了一个叫 Claude Mythos Preview 的模型,本来是想做个代码能力超强的通用模型。结果发现这东西有个"副作用"——它特别擅长挖漏洞。

有多擅长呢?在每个主流操作系统和浏览器里,它都能自主发现并利用零日漏洞。OpenBSD 这个以安全著称的系统,被它找到了一个藏了 27 年的 bug。它还搞出了一个浏览器漏洞利用链,把四个漏洞串在一起,通过 JIT 堆喷射逃逸了渲染沙箱和操作系统沙箱。

更吓人的是,Anthropic 说 Mythos 找到的漏洞里,超过 99% 还没被修补。

这意味着什么?一个 AI 模型,比全世界的安全研究员加起来找 bug 还快。攻防的天平,正在剧烈倾斜。
从”矛”到”盾”

但 Anthropic 没有止步于"我们的模型好厉害"。他们做了一个更务实的决定:把整套漏洞发现流水线开源了。 

这就是 defending-code-reference-harness,GitHub 上刚上线三周就拿了 5800 多个 star。名字很拗口,但做的事情很直白——让普通开发者也能用 Claude 自动扫描自己代码里的安全漏洞。

它不是简单的"AI 帮你读代码"。整个流程分成了几个阶段:

/threat-model:先帮你的项目建威胁模型,搞清楚哪些地方最可能出问题。
/vuln-scan:跑静态扫描,把可疑的地方揪出来。
/triage:对扫描结果做分诊,过滤掉误报。
/patch:对确认的漏洞,自动生成修复补丁。

你可以一步步交互着来,也可以让它全自动跑。全自动模式下,它会在 gVisor 沙箱里执行目标代码——意思是即使测试出了问题,也不会炸到你自己的机器。

Anthropic 开源 AI 漏洞发现框架
三行命令,开始扫描

用起来比想象中简单得多:

git clone https://github.com/anthropics/defending-code-reference-harness
cd defending-code-reference-harness
claude

然后在 Claude Code 里输入 /quickstart,它会引导你完成第一次扫描。整个过程大概 30 秒就能上手。

默认配置是扫 C/C++ 代码的内存漏洞,用 ASAN(Address Sanitizer)做崩溃检测。但它的设计是可定制的——跑一下 /customize,Claude 会帮你把流水线移植到你的技术栈,不管你用的是 Java、Go、Python 还是 Rust。 
Mozilla 的安全实践

可能有人记得,上个月 Mozilla 用 Claude Mythos 在 Firefox 150 里找到了 271 个安全漏洞,其中 180 个是高危。

Mozilla 的做法是自己搭了一套"agentic harness"——本质上跟 Anthropic 现在开源的这套是同一思路。区别在于,Mozilla 的是内部工程,而 Anthropic 这次开源的是一个可以直接用的参考实现。

换句话说,Mozilla 需要投入上百人的团队来跟进 AI 找到的漏洞。但现在,你也可以用类似的流水线扫自己的项目了。门槛从"雇一个安全团队"降到了"跑三行命令"。
说点实在的

这个工具到底值不值得折腾?我觉得分情况。

如果你维护的是 C/C++ 项目——恭喜,这是默认支持的场景,开箱即用。C/C++ 的内存安全问题一直是安全重灾区,buffer overflow、use-after-free、double-free 这类漏洞,传统 fuzzer 有时候很难覆盖到复杂的代码路径,但 AI 擅长分析这些。

如果你用的是其他语言,也值得试试 /customize。虽然移植后的效果可能不如 C/C++ 那么成熟,但 Anthropic 说他们已经在多个代码库里验证了这套流水线的通用性。

当然,也别太乐观。这个仓库自己也说了——"This repo is not maintained and is not accepting contributions"。它是个参考实现,不是产品。意思是,你拿去学习、定制、搭自己的流水线可以,但别指望它像商业工具那样有持续的维护和客服支持。

不过话说回来,Anthropic 同时推出了 Claude Security 这个商业产品,做的事情跟开源版一样,只不过是托管服务。所以这个开源版本某种程度上也是个"试用装"——让你体验一下 AI 安全扫描能做什么,觉得好用再上商业版。 
AI 安全的下一步

当 AI 找漏洞的速度远超人类修补的速度,会发生什么?

Anthropic 的数据已经给出了初步答案——99% 的漏洞还没补。这不是因为厂商懒,而是因为发现和修补之间存在巨大的时间差。以前这个差是"安全研究员花三天找到一个漏洞,厂商花两周修补"。现在变成了"AI 花三分钟找到一百个漏洞,厂商……还在排优先级"。

开源这套工具,某种程度上是在试图缩小这个差距。让更多人能用 AI 来防守,而不只是攻击。但真正的挑战在于——工具给了你,你能不能用好?分诊、验证、修复,每一步都需要安全工程的经验。 

AI 能找到漏洞,但判断一个漏洞在你的业务场景下到底有多危险、应该优先修哪个、怎么修才不会引入新问题——这些事,目前还得靠人。

不过有一点是确定的:如果你还在靠人工代码审计来找安全问题,是时候试试新工具了。反正它免费的,试试又不亏。

项目地址:github.com/anthropics/defending-code-reference-harness

F-Droid 急了:直接把 Google 的 ADV 骂成「恶意软件」

 F-Droid 这次是真急眼了。 

7 月 1 号,他们直接甩出一份声明,标题就一句话:Android Developer Verifier 本身就是恶意软件。不是"担忧",不是"影响",是"就是"。

这事得从头讲。
Google 的 ADV 是什么

去年 Google 官宣过一个"Android 开发者验证计划"(Android Developer Verification, ADV)。官方说法是:为了打击恶意软件分发、诈骗侧载,要求所有想在 Android 设备上跑应用的开发者实名注册。

这个说法听起来挺正常对吧?网诈那么凶,实名一下怎么了?

但 F-Droid 这回挖出了一个更要命的事实——ADV 已经偷偷推到 40 亿台设备上了。 

不是一个待启用的政策,是一个已经装在你手机里的系统服务。

为什么 F-Droid 敢直接骂它是「恶意软件」?

F-Droid 给出的理由很硬: 
    拥有 root 权限——ADV 以系统服务的形式静默运行,权限高得离谱。
    无法屏蔽、无法禁用、无法移除——你既不能关掉它,也不能卸载它。它就趴在你手机后台,等 Google 一声令下。
    唯一功能是阻止用户运行未经 Google 批准的开发者应用——一旦被激活,你装个 F-Droid 商店、装个第三方编译的工具,可能直接被拦下来。
    「恶意软件」的判定权完全在 Google 一手——Android Developer Console 的条款说,如果 Google 认为你"违反任何条款"或者"分发恶意应用",可以随时封你的开发者账号。什么叫恶意?Google 说算就算。广告拦截?VPN?开源修改版?都可能在它眼里属于"恶意"。
最阴的——它不告诉你规则是什么,因为规则就是它自己。

时间表已经定下来了

Google 的计划:

    2026 年 9 月 30 日起,第一批国家开始激活 ADV:巴西、印尼、新加坡、泰国。
    之后逐步推到全球,预计 2027 年之后全面铺开。

首批这四个国家有什么共同点?新兴市场、Android 占比高、监管力度相对弱。Google 选了最容易被"先吃螃蟹"的地区先试水。 

反对方有多大声

不是 F-Droid 一家在那喊。

电子前哨基金会(EFF)、自由软件基金会(FSF)、美国公民自由联盟(ACLU)——超过 70 个组织、数十万人联署公开信反对。

连 Google 自家的 Gemini 聊天机器人被问到这事时,AI 自己都承认:"除了 Google 本身,技术社区几乎找不到热心支持者。"

这话 Gemini 说的是它亲爹。

F-Droid 这次的措辞升级是个信号。 

过去一年,他们的口径是"开放生态受到威胁"、"F-Droid 生存危机"——是防守话术。这次直接定性为"恶意软件",是把 Google 推到了被告席上。

为什么?因为防守话术打了一年没用。Google 该推还是推。该激活还是激活。

你看,F-Droid 的选择是:既然你给我的设备装了一个我删不掉、能 root、随时能让我不能装东西的服务,那我只能用「恶意软件」这个词来定义它。这是被迫升级的修辞。

但话又说回来,F-Droid 真的能扛住这一轮吗?

一旦 ADV 激活,F-Droid 上所有应用的开发者都要去 Google 注册、付费、提交身份证件。F-Droid 自己没法替开发者注册,因为它不是 Google。它也没办法把 Google 的"未批准"标志绕开——因为那个标志是 Google 在系统层设的。

技术上,F-Droid 没有反制手段。

它能做的,就是把事情搞大,让监管出手。欧盟的反垄断调查、巴西的本地立法、美国的国会听证——这是 F-Droid 现在真正的指望。
普通用户现在能做什么

说实话,短期能做的有限。

    如果你在国内:影响暂时不大。9 月 30 日首批国家不包含中国。
    如果你用的是国行 ROM 或者自定义 ROM(比如 LineageOS、Pixel Experience):F-Droid 还能装。趁现在能装,赶紧装、常用常更新。
    如果你是海外用户、在巴西/印尼/新加坡/泰国之一:9 月 30 日后,侧载体验会大幅收紧。建议提前做好备份。
    不管你在哪:关注 F-Droid 后续动态。它是开源 Android 生态最重要的"逃生舱"之一,它要是倒了,损失是结构性的。
---------------------------

他妈的,谷歌是“店大欺客”啊。

Tuesday, 7 July 2026

赖岳谦 | 中国试射‘巨浪'洲际导弹,警告日本

-中国的实力绝对是今非昔比。美国都不是中国的对手,更别说日本了。

ChatGPT最全教程!15种使用技巧,彻底掌握GPT-4&4o,循序渐进小白也能快速上手

 

搭建基于nextjs的静态博客程序sl


首先fork此项目https://github.com/samzhangjy/logture,我fork后,得到的项目地址是

https://github.com/brightmann/sl/

访问https://github.com/brightmann/sl/tree/stable/posts,在此处新建源帖(即add file),我新建了源帖fh.md,内容为:

---
title: 战马
desc: 这是一篇文章
cover: /assets/posts/hi/cover.jpg
date: 2026.06.20 01:05:00
tags:
  - misc1
  - misc2
---

此处写正文或html codes.

( 详见https://github.com/brightmann/sl/blob/stable/posts/fh.md?plain=1) 

然后,访问vercel.com/new ,导入项目https://github.com/brightmann/sl

  Build Command栏填入yarn build

 Install Command栏填入yarn

然后点击底部的deploy按钮,等待部署完成。部署完成后,我得到网址:

https://sl-ebon.vercel.app/

项目地址:

https://github.com/samzhangjy/logture

https://github.com/brightmann/sl

演示博客: 

https://sl-ebon.vercel.app/

https://sl-ebon.vercel.app/posts/fh 能显示视频

搭建基于nextjs的静态博客程序asl


首先fork此项目https://github.com/atsixian/sixian.li,我fork后,得到的项目地址是

https://github.com/brightmann/asl/

访问https://github.com/brightmann/asl/tree/main/apps/sixianli/src/content/articles,在此处新建源帖(即add file),我新建了源帖fh.mdx,内容为:

---
title: 战马
date: 2026-06-20 10:58:00
tags:
  - misc1
  - misc2
  - misc3
description: 这是一篇文章
lang: en-US
---

此处写正文或html codes.

( 详见https://github.com/brightmann/asl/blob/main/apps/sixianli/src/content/articles/fh.mdx?plain=1) 

然后,访问vercel.com/new ,导入项目https://github.com/brightmann/asl

  Build Command栏填入pnpm build

 Install Command栏填入pnpm install

然后点击底部的deploy按钮,等待部署完成。部署完成后,我得到网址:

https://asl-sixianli.vercel.app/

(https://asl-ym.netlify.app/ ,这是我部署到https://app.netlify.com/后,得到的博客网址)

项目地址:

https://github.com/atsixian/sixian.li

https://github.com/brightmann/asl

演示博客: 

 https://asl-sixianli.vercel.app/writing

 https://asl-sixianli.vercel.app/writing/fh 能显示视频