✨ 碎片收藏 / 资讯文档 / 网站工具 / GitHub 项目 / Bing 壁纸
uTLS 新发现漏洞可被GFW利用高效识别代理流量
继指纹泄露漏洞之后,用于模拟真实浏览器指纹的 uTLS 库被发现还存在另外一个严重漏洞。来自 acgdaily 的研究人员发现 uTLS 在模拟 Chrome/Edge 浏览器时 TLS 握手包长度填充(Padding)缺失。
当一个真实浏览器发送的 ClientHello 数据包长度小于 512 字节,浏览器会添加一段“填充(Padding)”数据,将包的大小强行撑到至少 512 字节,这样做的目的是防止部分防火墙和服务器拒绝数据包导致僵化。但 uTLS 在模拟时遗漏了“填充”这一步骤,因此会发送一个在真实 Chrome 环境下“不可能存在”的小包。这让 GFW 仅需根据数据包的大小,就能断定该数据包是伪造的。此 BUG 会导致 uTLS Chrome 120 指纹纯被动识别。uTLS 官方已在最新的 v1.8.2 版本中修复了此漏洞。
单独 Padding BUG,域名请求有 25% 的概率被识破,IP 直接连接有 50% 概率被识破。与此前的 ECH BUG 叠加以后的单个数据包识别概率为域名 62.5%, IP 75%。但是由于代理工具会持续产生大量连接,审查系统识别出用户流量的成功率几乎可以达到100%。
如果你在上次ECH BUG修复中更新过客户端那么此漏洞现在不会影响你,未更新的用户建议使用 Firefox 并停用 Chrome 指纹。相关研究报告可在这里阅读。
[消息等级 Level C2 · 简要]
继指纹泄露漏洞之后,用于模拟真实浏览器指纹的 uTLS 库被发现还存在另外一个严重漏洞。来自 acgdaily 的研究人员发现 uTLS 在模拟 Chrome/Edge 浏览器时 TLS 握手包长度填充(Padding)缺失。
当一个真实浏览器发送的 ClientHello 数据包长度小于 512 字节,浏览器会添加一段“填充(Padding)”数据,将包的大小强行撑到至少 512 字节,这样做的目的是防止部分防火墙和服务器拒绝数据包导致僵化。但 uTLS 在模拟时遗漏了“填充”这一步骤,因此会发送一个在真实 Chrome 环境下“不可能存在”的小包。这让 GFW 仅需根据数据包的大小,就能断定该数据包是伪造的。此 BUG 会导致 uTLS Chrome 120 指纹纯被动识别。uTLS 官方已在最新的 v1.8.2 版本中修复了此漏洞。
影响范围 (Chrome 120):2023.12 - 2026.01
影响范围 (Chrome 默认值):2023.12 - 2025.05
单独 Padding BUG,域名请求有 25% 的概率被识破,IP 直接连接有 50% 概率被识破。与此前的 ECH BUG 叠加以后的单个数据包识别概率为域名 62.5%, IP 75%。但是由于代理工具会持续产生大量连接,审查系统识别出用户流量的成功率几乎可以达到100%。
如果你在上次ECH BUG修复中更新过客户端那么此漏洞现在不会影响你,未更新的用户建议使用 Firefox 并停用 Chrome 指纹。相关研究报告可在这里阅读。
[消息等级 Level C2 · 简要]
一觉醒来发生了什么 01 月 14 日
2026 年 1 月 14 日
🌍 资讯快读
1、我国成功发射遥感五十号 01 星
https://www.jiemian.com/article/13880478.html
2、“死了么”APP:将在新版本中启用全球化品牌名 Demumu
https://www.jiemian.com/article/13880459.html
3、五部门出手规范网络招聘秩序
https://www.jiemian.com/article/13878015.html
4、优化养老服务发展环境,民政部等八部门出台多项措施
https://www.jiemian.com/article/13876224.html
👬 即刻镇小报
1、如果你喜欢纸质书的触感,但许多资料只有电子格式
https://m.okjike.com/originalPosts/696619ed9f3cd84f65377bd0
2、在清晨的第一缕阳光 ☀️
https://m.okjike.com/originalPosts/696589bcacaf5d6cbd3680a4
3、罗永浩采访 Lovart 创始人陈冕。陈冕谈及了七个有趣的观点
https://m.okjike.com/originalPosts/69651a1a25bae56612e382d6
4、如果不要求系统学习、不要求坚持
https://m.okjike.com/originalPosts/695dcdbdc5a1d4e6492143c2
今日即刻镇小报内容来自 @哈雷 Halley @月月有十月散落在每一个月 @玉伯 @EimiApp ,感谢以上即友的创作与分享。
2026 年 1 月 14 日
🌍 资讯快读
1、我国成功发射遥感五十号 01 星
https://www.jiemian.com/article/13880478.html
2、“死了么”APP:将在新版本中启用全球化品牌名 Demumu
https://www.jiemian.com/article/13880459.html
3、五部门出手规范网络招聘秩序
https://www.jiemian.com/article/13878015.html
4、优化养老服务发展环境,民政部等八部门出台多项措施
https://www.jiemian.com/article/13876224.html
👬 即刻镇小报
1、如果你喜欢纸质书的触感,但许多资料只有电子格式
https://m.okjike.com/originalPosts/696619ed9f3cd84f65377bd0
2、在清晨的第一缕阳光 ☀️
https://m.okjike.com/originalPosts/696589bcacaf5d6cbd3680a4
3、罗永浩采访 Lovart 创始人陈冕。陈冕谈及了七个有趣的观点
https://m.okjike.com/originalPosts/69651a1a25bae56612e382d6
4、如果不要求系统学习、不要求坚持
https://m.okjike.com/originalPosts/695dcdbdc5a1d4e6492143c2
今日即刻镇小报内容来自 @哈雷 Halley @月月有十月散落在每一个月 @玉伯 @EimiApp ,感谢以上即友的创作与分享。
经过仔细调查发现,gitlab-ce 上游提供的 apt 仓库中,不同发行版中,为不同发行版打包的相同 gitlab 版本的二进制包的包名和版本号均相同,并且所在路径也相同,但实际上是不同的二进制包文件。我们目前无法正确镜像这样的仓库。
gitlab 的上游 apt 仓库之所以能正常工作,是因为它的服务器会记录访问者的 IP 地址上一次请求的 Release 文件所属的发行版,并在请求二进制包文件时返回对应发行版的二进制包文件。
https://github.com/tuna/issues/issues/2395#issuecomment-3745611787
震撼我妈一整年了属于是,这是有多闲才能做出这种玩意儿来
PasteMD - 一键将 Markdown(AI 对话内容)完美粘贴到 Word、WPS 和 Excel 的效率工具
https://github.com/RICHQAQ/PasteMD
一个 #Windows 常驻托盘的小工具: 从剪贴板读取 Markdown,调用 Pandoc 转换为 Word Docx 格式,并自动插入到 Word/WPS 光标位置。
● 全局热键(默认 Ctrl+Shift+B)一键粘贴 Markdown → Word Docx
● 智能识别 Markdown 表格,自动粘贴到 Excel
● 自动识别当前前台应用:Word 或 WPS
● 智能打开所需应用为 Word/Excel
● 托盘菜单,可保留文件、查看日志 / 配置等
● 支持系统通知提醒
● 无黑框,无阻塞,稳定运行
#Tool #GitHub #Editor
https://github.com/RICHQAQ/PasteMD
一个 #Windows 常驻托盘的小工具: 从剪贴板读取 Markdown,调用 Pandoc 转换为 Word Docx 格式,并自动插入到 Word/WPS 光标位置。
● 全局热键(默认 Ctrl+Shift+B)一键粘贴 Markdown → Word Docx
● 智能识别 Markdown 表格,自动粘贴到 Excel
● 自动识别当前前台应用:Word 或 WPS
● 智能打开所需应用为 Word/Excel
● 托盘菜单,可保留文件、查看日志 / 配置等
● 支持系统通知提醒
● 无黑框,无阻塞,稳定运行
#Tool #GitHub #Editor
GitHub
GitHub - RICHQAQ/PasteMD: 一键将 Markdown 和网页 AI 对话(ChatGPT/DeepSeek等)完美粘贴到 Word、WPS 和 Excel 的效率工具 | One-click paste Markdown and…
一键将 Markdown 和网页 AI 对话(ChatGPT/DeepSeek等)完美粘贴到 Word、WPS 和 Excel 的效率工具 | One-click paste Markdown and AI responses (ChatGPT/DeepSeek) into Word, WPS, and Excel perfectly. - RICHQAQ/PasteMD
台湾士林地检署查出中国大陆手机厂商OnePlus(一加)涉嫌非法在台招募工程师,汇入营运资金金额约23亿元新台币。地检署13日依违反《两岸人民关系条例》起诉一加2名台籍干部,并通缉一加创始人刘作虎。
起诉书指出,刘作虎于2014年年底赴台,与林某洽谈在台筹组手机软件研发团队事宜,在未经主管机关许可下,林某依刘作虎指示在台为深圳万普拉斯公司陆续招揽70多名员工。
刘作虎与郑某、林某合谋,于2014年和2015年分别在港台设立“香港一加公司”和“香港商一加科技有限公司台湾分公司”。2020年两家公司分别更名为“香港商声呐顾问有限公司”“香港声呐公司台湾分公司”。
侦讯时,郑某辩称其只是挂名负责人,负责税务规划,不了解公司业务,也未领薪,并指台湾公司唯一的业务,就是帮深圳公司做研发。林某则坦承,自己是经刘作虎安排担任研发主管,负责面试及带领团队,台湾公司未曾自己开发客户,营运方向皆由刘作虎决定。
证人供词指出,台湾公司所开发的软件仅供一加和OPPO手机使用,且行政主管须定期向深圳总部汇报员工出勤与财务状况。
(中央社)
起诉书指出,刘作虎于2014年年底赴台,与林某洽谈在台筹组手机软件研发团队事宜,在未经主管机关许可下,林某依刘作虎指示在台为深圳万普拉斯公司陆续招揽70多名员工。
刘作虎与郑某、林某合谋,于2014年和2015年分别在港台设立“香港一加公司”和“香港商一加科技有限公司台湾分公司”。2020年两家公司分别更名为“香港商声呐顾问有限公司”“香港声呐公司台湾分公司”。
侦讯时,郑某辩称其只是挂名负责人,负责税务规划,不了解公司业务,也未领薪,并指台湾公司唯一的业务,就是帮深圳公司做研发。林某则坦承,自己是经刘作虎安排担任研发主管,负责面试及带领团队,台湾公司未曾自己开发客户,营运方向皆由刘作虎决定。
证人供词指出,台湾公司所开发的软件仅供一加和OPPO手机使用,且行政主管须定期向深圳总部汇报员工出勤与财务状况。
(中央社)
Claude-Ally-Health - 个人医疗数据中心 (Personal Health Information System)
https://github.com/huifer/Claude-Ally-Health
Claude-Ally-Health 是一个基于文件系统的 AI 智能个人健康信息管理系统。
使用 Claude Code 命令行工具配合 Skills 实现健康数据的智能管理,无需数据库即可完全本地私密存储。
支持医疗报告图像识别、生化检查数据提取、医学影像分析、手术历史管理、出院小结存储、多学科团队(MDT)协作咨询等功能。
#Tool #AI #GitHub
https://github.com/huifer/Claude-Ally-Health
Claude-Ally-Health 是一个基于文件系统的 AI 智能个人健康信息管理系统。
使用 Claude Code 命令行工具配合 Skills 实现健康数据的智能管理,无需数据库即可完全本地私密存储。
支持医疗报告图像识别、生化检查数据提取、医学影像分析、手术历史管理、出院小结存储、多学科团队(MDT)协作咨询等功能。
#Tool #AI #GitHub
Agent-Browser - Vercel 推出的 AI Agent 专属命令行无头(Headless)浏览器
https://github.com/vercel-labs/agent-browser
#AI #Tool #Chrome #GitHub
https://github.com/vercel-labs/agent-browser
某种程度上比 PlayWright / Browser-MCP 体验更快更好,配合 Skills 渐进式加载,节省上下文占用,
npm install -g agent-browser
agent-browser install#AI #Tool #Chrome #GitHub
GitHub
GitHub - vercel-labs/agent-browser: Browser automation CLI for AI agents
Browser automation CLI for AI agents. Contribute to vercel-labs/agent-browser development by creating an account on GitHub.
NginxPulse - 轻量级 Nginx 访问日志分析与可视化面板
https://github.com/likaia/nginxpulse
NginxPulse 是一个轻量级的 Nginx 访问日志分析与可视化面板。
● 实时 Nginx 日志分析与 PV 统计
● IP 归属地与地理位置查询(支持本地库与远程 API 混合查询)
● 客户端类型识别与解析
● 灵活的 PV 过滤规则(支持状态码、URL 正则表达式、IP 黑名单)
● 可视化数据面板(实时图表展示)
● 多网站支持与日志扫描记录
● SQLite 本地数据存储与持久化
link #Tool #DevOps #HomeLab #GitHub
https://github.com/likaia/nginxpulse
NginxPulse 是一个轻量级的 Nginx 访问日志分析与可视化面板。
● 实时 Nginx 日志分析与 PV 统计
● IP 归属地与地理位置查询(支持本地库与远程 API 混合查询)
● 客户端类型识别与解析
● 灵活的 PV 过滤规则(支持状态码、URL 正则表达式、IP 黑名单)
● 可视化数据面板(实时图表展示)
● 多网站支持与日志扫描记录
● SQLite 本地数据存储与持久化
link #Tool #DevOps #HomeLab #GitHub
GitHub
GitHub - likaia/nginxpulse: 轻量级 Nginx 访问日志分析与可视化面板,提供实时统计、PV 过滤、IP 归属地与客户端解析。
轻量级 Nginx 访问日志分析与可视化面板,提供实时统计、PV 过滤、IP 归属地与客户端解析。. Contribute to likaia/nginxpulse development by creating an account on GitHub.
一觉醒来发生了什么 01 月 13 日
2026 年 1 月 13 日
🌍 资讯快读
1、苹果选中谷歌 Gemini 运行将于今年推出的人工智能 Siri 系统
https://www.jiemian.com/article/13874851.html
2、卫健委等六部门:严禁医疗机构开展殡仪服务、外包太平间
https://www.jiemian.com/article/13871192.html
3、工信部部长李乐成:将深入实施“人工智能 + 制造”专项行动,培育一批重点行业智能体、智能原生企业
https://www.jiemian.com/article/13870864.html
4、柬埔寨侦破两起绑架、非法拘禁中国公民案件,抓获 8 名中国籍犯罪嫌疑人
https://www.jiemian.com/article/13874790.html
👬 即刻镇小报
1、这两年我突然意识到一件事
https://m.okjike.com/originalPosts/6963f2b325bae56612c823b9
2、因为马上和即刻是近义词,所以马年也是即刻年
https://m.okjike.com/originalPosts/6963720e527b8f0145ba4cab
3、我亲妹妹 21 岁了,还没谈过恋爱
https://m.okjike.com/originalPosts/69631cb2c5a1d4e649a02d64
4、做播客是一件很难的事情吗
https://m.okjike.com/originalPosts/69622982800201ac686d59a4
今日即刻镇小报内容来自 @崔迪 _Pepsi @七个梦 @季森 Jason. @wangchen ,感谢以上即友的创作与分享。
2026 年 1 月 13 日
🌍 资讯快读
1、苹果选中谷歌 Gemini 运行将于今年推出的人工智能 Siri 系统
https://www.jiemian.com/article/13874851.html
2、卫健委等六部门:严禁医疗机构开展殡仪服务、外包太平间
https://www.jiemian.com/article/13871192.html
3、工信部部长李乐成:将深入实施“人工智能 + 制造”专项行动,培育一批重点行业智能体、智能原生企业
https://www.jiemian.com/article/13870864.html
4、柬埔寨侦破两起绑架、非法拘禁中国公民案件,抓获 8 名中国籍犯罪嫌疑人
https://www.jiemian.com/article/13874790.html
👬 即刻镇小报
1、这两年我突然意识到一件事
https://m.okjike.com/originalPosts/6963f2b325bae56612c823b9
2、因为马上和即刻是近义词,所以马年也是即刻年
https://m.okjike.com/originalPosts/6963720e527b8f0145ba4cab
3、我亲妹妹 21 岁了,还没谈过恋爱
https://m.okjike.com/originalPosts/69631cb2c5a1d4e649a02d64
4、做播客是一件很难的事情吗
https://m.okjike.com/originalPosts/69622982800201ac686d59a4
今日即刻镇小报内容来自 @崔迪 _Pepsi @七个梦 @季森 Jason. @wangchen ,感谢以上即友的创作与分享。
【没错,死了么 APP 确实是我们做的 - 哔哩哔哩】 https://www.bilibili.com/video/av115881237547381
苹果公司正与谷歌联手,为其计划于今年晚些时候推出的Siri等产品提供人工智能功能支持。 一份声明显示,这项为期数年的合作伙伴关系将依托谷歌的 Gemini 模型和云技术,来构建苹果未来的基础模型。 苹果在声明中写道:“经过仔细评估,我们认定谷歌的技术为‘苹果基础模型(Apple Foundation Models)’提供了最强大的基础。我们非常期待这一合作为用户开启的创新体验。”(CNBC)
https://skillsmp.com/ #AI #URL
网站收录了 10000+ 个 Claude Skills,内容涵盖多个领域。
● 智能分类:按用途分成区块链、商务、内容创作、数据 & AI 、数据库、开发工具、DevOps 等十几个大类,每个技能可能属于多个分类(分类准确度还在持续优化中)
● AI 搜索:集成了 RAG Search ,可以用自然语言描述你想要的功能(搜索效果也在不断调优)
● 一键安装:支持 marketplace.json 的技能可以通过 Claude Code 一条命令安装,也提供 zip 下载
● 定期更新:定期同步 GitHub 数据,展示每个技能的最新更新时间和 star 数
Source
网站收录了 10000+ 个 Claude Skills,内容涵盖多个领域。
● 智能分类:按用途分成区块链、商务、内容创作、数据 & AI 、数据库、开发工具、DevOps 等十几个大类,每个技能可能属于多个分类(分类准确度还在持续优化中)
● AI 搜索:集成了 RAG Search ,可以用自然语言描述你想要的功能(搜索效果也在不断调优)
● 一键安装:支持 marketplace.json 的技能可以通过 Claude Code 一条命令安装,也提供 zip 下载
● 定期更新:定期同步 GitHub 数据,展示每个技能的最新更新时间和 star 数
Source
SkillsMP
Agent Skills Marketplace - Claude, Codex & ChatGPT Skills | SkillsMP
Browse 160000+ agent skills compatible with Claude Code, Codex CLI and ChatGPT. The open standard SKILL.md format for AI coding assistants.
https://github.com/numman-ali/openskills
OpenSkills 是一个开源的通用 Skills 加载工具,兼容 Anthropic Claude Code 的 skills 系统,支持从任意 GitHub 仓库安装 Skills,统一管理多 Agent 环境下的 Skills。
提供与 Claude Code 完全一致的技能格式和调用方式,但通过 CLI 操作,支持渐进式加载,避免一次性占用上下文,可同步更新
#AI #GitHub #Tool
OpenSkills 是一个开源的通用 Skills 加载工具,兼容 Anthropic Claude Code 的 skills 系统,支持从任意 GitHub 仓库安装 Skills,统一管理多 Agent 环境下的 Skills。
提供与 Claude Code 完全一致的技能格式和调用方式,但通过 CLI 操作,支持渐进式加载,避免一次性占用上下文,可同步更新
AGENTS.md 文件,实现技能版本管理和共享。#AI #GitHub #Tool
GitHub
GitHub - numman-ali/openskills: Universal skills loader for AI coding agents - npm i -g openskills
Universal skills loader for AI coding agents - npm i -g openskills - numman-ali/openskills
