Linuxcat周刊(第30期) EA 开源包括红警在内的四款《命令与征服》经典游戏

👏我们的软件推荐站已经完成了升级,欢迎查看: Github
可以向 i@mei.lv 发送邮件或通过 issue 投稿
现在可以通过 nav.linuxcat.top 来访问

正文

1 Figure AI人形机器人推出 Helix 系统：“听懂”语音指令和多机器人协调

机器人初创公司 Figure AI 2月20日推出了一种名为 Helix 的新型人工智能系统，能够让人形机器人通过语音命令执行复杂的动作。该系统旨在让机器人无需针对每个物体进行专门训练，就能轻松处理不同物体
官方公布的演示视频中，两台机器人在一个展示厨房中合作，将食物放入冰箱，且全程无需为这些物体进行任何特定的预先训练。
Helix 系统只需 500 小时的训练数据，远低于同类项目的要求。它依靠机器人内置的嵌入式 GPU 运行，这使得该技术在商业应用上具备了可行性

消息来源: IT之家 | figure.ai

2 中国防火长城（GFW）DNS 注入系统中存在严重的内存泄露漏洞

中国防火长城（GFW）的DNS注入系统部署在网络边界的中间设备上，该系统监控并干扰DNS查询，通过发送伪造的DNS响应来阻断对特定网站的访问。这些伪造的响应速度较快，从而使客户端优先处理它们。GFW的DNS注入既处理来自中国境内的查询，也处理进入中国的查询。例如，如果境外的主机向一个位于中国大陆的IP地址发送DNS请求，只要请求中包含了被封锁的域名，GFW就会在流量进入中国时插入伪造的响应。
Wallbleed是GFW DNS注入模块中的一个严重漏洞，类似于Heartbleed。该漏洞源于DNS报文解析代码的缺陷，尤其是在处理DNS查询的域名（QNAME）时，未能正确检查域名标签的长度是否超出了报文的实际长度。当发送畸形的DNS查询，其域名标签的长度字节被故意设置得过大时，就会触发这个漏洞。这导致GFW的注入器错误地读取了报文末尾之外的内存内容，并将这些本不应包含的数据写入到伪造的DNS响应中，最终泄露给查询者。
泄露的数据不仅限于DNS信息，还包括IPv4和TCP头信息，违反了其仅应处理特定UDP端口53上DNS查询的预期功能。这种内存泄露可能涉及私有IP到公共服务器的内部流量。
GFW在2023年9月至11月间测试并部署了补丁，增加了对DNS报文的字段完整性校验，不再接受缺失QTYPE/QCLASS的查询，并且增加了对异常长度的检测策略。以前只要域名匹配黑名单就立即伪造回复，而现在还要检查报文格式是否正常，否则宁可不回应。这种调整出于安全考虑，某种程度上削弱了DNS注入的覆盖面，某些非常规查询即使包含被封锁域名也不再触发，从而可能让查询穿透注入系统获得真实答案。
总结：当DNS查询通过中国网络传输至顶级域（TLD）服务器时，GFW可能会在这些查询中注入伪造的DNS响应。这意味着即使请求来自中国以外，只要数据流经中国，就可能被GFW所干扰。此外，GFW向中国的根DNS服务器查询注入了伪造的响应。泄露的数据不仅包括大量隐私数据，还有栈帧和可执行代码片段，由于互联网路由的复杂性，部分境外通信也可能途经中国，从而受到GFW的影响。即使是两个海外主机的通信，如果其数据路径经过中国，Wallbleed漏洞也可能泄露数据。
来自本篇编辑的话： GFW是一个非常复杂的封锁系统，通过边界网关已经植入中国大陆网络的方方面面，限制本片篇幅有限有兴趣的可以阅读原文。但是也有不同的地方，比如 新疆、河南、福建、江苏4个省份审查尤其严格， 新疆的反向墙（屏蔽中国大陆的IP）、 福建的白名单（主要针对海外IP）、 河南的阻断（端口阻断攻击） 、江苏的反诈（独有的江苏反诈系统）， 这些统称为地方墙 ， 以及最后的全国大墙， 即封锁整个IP和 封锁整个域名， 一般是将整个域名DNS响应到墙的黑名单的IP（黑名单IP就是 例如twitter.com、fb.com， 这些直接封锁整个AS的IP还有一些不断被封锁的IP地址）

消息来源: 科技圈🎗在花频道 | GFW | GFW

3 VS Code 知名 Material Theme 主题插件被爆存在恶意代码

Material Theme 主题插件具有巨大的装机量，但是在近期 VS Code 社区成员分析该插件存在恶意代码，其后微软安全专家确定其为恶意插件并找到了其他后门。
目前 VS Code 已经在市场删除该插件并且要求全部插件用户立即卸载该插件以保护安全，该插件开发者已被封禁。目前尚未收到可能的收集数据和恶意入侵后果报告。
我们提醒该插件很多用户都在使用，请务必确认已经卸载该插件并且建议利用安全软件扫描全盘以降低可能的潜在风险。

消息来源: Hacker News 讨论 | 互联网档案馆存档 | GitHub 插件市场 Issue | 科技圈🎗在花频道

4 EA 开源包括红警在内的四款《命令与征服》经典游戏

EA 在 GitHub 上开源了四款经典的《命令与征服》系列游戏，包括备受喜爱的《命令与征服：红色警戒》。这四个开源项目包括《命令与征服：泰伯利亚的黎明》、《命令与征服：红色警戒》、《命令与征服：叛逆者》和《命令与征服 将军：绝命时刻》。
这些项目采用 GPL 许可协议，允许粉丝社区修改和扩展，且有助于确保这些经典游戏在未来平台上继续运行。此外，EA 还将 Steam Workshop 支持引入其更现代的《命令与征服》系列，并提供模组支持包，包含使用 SAGE 引擎的游戏资源。

消息来源: GitHub | 科技圈🎗在花频道

5 国家网络安全通报中心通报大模型工具Ollama存在安全风险

报告称，Ollama默认开放的11434端口无任何鉴权机制，导致未授权访问、数据泄露、算力盗取等风险。攻击者可利用历史漏洞实施数据投毒、参数窃取等恶意操作。专家建议用户限制端口访问、配置防火墙、启用多层认证，并及时更新软件以修复漏洞。国家网络与信息安全信息通报中心呼吁用户加强隐患排查，发现攻击立即报告。

消息来源: 国家网络安全通报中心 | 科技圈🎗在花频道
相关消息：DeepSeek私有化部署安全风险：近九成服务器“裸奔”引隐患