WinRAR 出现零日漏洞, 已遭多方利用
流行压缩工具 WinRAR 被曝存在高危路径遍历漏洞(CVE-2025-8088),可在用户解压特制压缩包时,将恶意 DLL、EXE 或快捷方式(LNK)文件写入系统关键目录,并在 Windows 启动时自动运行,实现持久化控制。该漏洞影响 WinRAR 及相关 Windows 解压组件(包括 UnRAR.dll 与便携源码),不涉及 Unix 与 Android 版本。
安全公司 ESET 于 7 月 18 日首次捕获攻击样本,确认漏洞已被俄罗斯背景的 RomCom 黑客组织(又称 Storm-0978、Tropical Scorpius)在野利用,通过钓鱼邮件投递恶意压缩包,变体攻击链可部署 Mythic Agent 后门、SnipBot 以及 MeltingClaw 等恶意程序,具备远程控制、模块下载与数据窃取功能。其利用点包括备用数据流(ADS)和 COM 劫持,以绕过文件路径限制。
俄罗斯本土安全公司 Bi.Zone 还监测到另一团伙 Paper Werewolf 同期利用 CVE-2025-8088,以及此前的 CVE-2025-6218 漏洞发动攻击,手法同样以邮件附件伪装合法文件,解压即中招。部分恶意 DLL 会校验目标环境以规避沙箱分析。
RARLAB 已在 7 月 30 日发布 WinRAR 7.13 修复漏洞,但由于软件不具备自动更新功能,补丁覆盖率有限。厂商在更新公告中未明确披露漏洞已遭利用,并称尚未收到直接受害报告。ESET 警告,该漏洞利用门槛低、传播快,全球数亿未升级用户可能面临长期入侵与信息外泄风险。建议用户从官网下载并手动更新至 7.13 及以上版本,并警惕未知来源的压缩包,启用安全网关及杀毒软件实时防护,防止恶意文件写入敏感路径。
(综合媒体报道)
流行压缩工具 WinRAR 被曝存在高危路径遍历漏洞(CVE-2025-8088),可在用户解压特制压缩包时,将恶意 DLL、EXE 或快捷方式(LNK)文件写入系统关键目录,并在 Windows 启动时自动运行,实现持久化控制。该漏洞影响 WinRAR 及相关 Windows 解压组件(包括 UnRAR.dll 与便携源码),不涉及 Unix 与 Android 版本。
安全公司 ESET 于 7 月 18 日首次捕获攻击样本,确认漏洞已被俄罗斯背景的 RomCom 黑客组织(又称 Storm-0978、Tropical Scorpius)在野利用,通过钓鱼邮件投递恶意压缩包,变体攻击链可部署 Mythic Agent 后门、SnipBot 以及 MeltingClaw 等恶意程序,具备远程控制、模块下载与数据窃取功能。其利用点包括备用数据流(ADS)和 COM 劫持,以绕过文件路径限制。
俄罗斯本土安全公司 Bi.Zone 还监测到另一团伙 Paper Werewolf 同期利用 CVE-2025-8088,以及此前的 CVE-2025-6218 漏洞发动攻击,手法同样以邮件附件伪装合法文件,解压即中招。部分恶意 DLL 会校验目标环境以规避沙箱分析。
RARLAB 已在 7 月 30 日发布 WinRAR 7.13 修复漏洞,但由于软件不具备自动更新功能,补丁覆盖率有限。厂商在更新公告中未明确披露漏洞已遭利用,并称尚未收到直接受害报告。ESET 警告,该漏洞利用门槛低、传播快,全球数亿未升级用户可能面临长期入侵与信息外泄风险。建议用户从官网下载并手动更新至 7.13 及以上版本,并警惕未知来源的压缩包,启用安全网关及杀毒软件实时防护,防止恶意文件写入敏感路径。
(综合媒体报道)
谷歌发布轻量级开源大语言模型 Gemma 3 270M
Gemma 3 是 Google 推出的轻量级多模态开源大模型家族,延续 Gemini 技术,支持文本与图像输入(最高 128K 上下文),覆盖 140+ 语言,适用于问答、摘要、推理等任务。
新发布的 Gemma 3 270M 在端侧推理场景,取得了超越 Qwen3 0.5B 的成绩。
(Google)
Gemma 3 是 Google 推出的轻量级多模态开源大模型家族,延续 Gemini 技术,支持文本与图像输入(最高 128K 上下文),覆盖 140+ 语言,适用于问答、摘要、推理等任务。
新发布的 Gemma 3 270M 在端侧推理场景,取得了超越 Qwen3 0.5B 的成绩。
(Google)
据阿里云,2025 年 08 月 13 日 0:44,北京移动网络出现小范围故障,部分用户的网络不可用,至上午约 10 时恢复。
8 月 12 日晚约 20 时,北京联通 DNS 解析出现部分异常,部分域名被解析至 127.0.0.2 本地地址。故障持续约 1 小时。
8 月 12 日晚约 20 时,北京联通 DNS 解析出现部分异常,部分域名被解析至 127.0.0.2 本地地址。故障持续约 1 小时。
GPT-5 是 OpenAI 最先进的模型,在推理、代码质量和用户体验方面有重大提升。它针对需要逐步推理、遵循指令以及在高风险用例中要求高准确性的复杂任务进行了优化。它支持测试时路由功能和高级提示理解,包括用户指定的意图,如「认真思考这个问题」。改进包括减少幻觉、谄媚行为,并在编程、写作和健康相关任务中表现更好。该模型拥有 272,000 词元的超大上下文窗口,最大输出可达 128,000 词元,支持文本和图像的多模态处理。
GPT-5 Chat 专为企业应用设计,支持高级、自然、多模态和具备上下文感知的对话。该版本配备 128,000 词元的上下文窗口和 16,384 词元的最大输出能力,专门针对对话场景进行了优化。
GPT-5 Mini 是 GPT-5 的紧凑版本,旨在处理较轻量级的推理任务。它提供与 GPT-5 相同的指令遵循和安全调优优势,但延迟和成本更低。GPT-5 Mini 是 OpenAI 的 o4-mini 模型的继任者。该模型保持了与完整版相同的 272,000 词元上下文窗口和 128,000 词元最大输出能力,同样支持文本和图像的多模态输入。
GPT-5-Nano 是 GPT-5 系统中最小且最快的变体,专为开发者工具、快速交互和超低延迟环境进行了优化。虽然在推理深度上不及更大的版本,但它保留了关键的指令遵循和安全特性。它是 GPT-4.1-nano 的继任者,为对成本敏感或需要实时响应的应用提供了一种轻量级选择。尽管定位为最轻量版本,Nano 仍然配备了 272,000 词元的上下文窗口和 128,000 词元的最大输出能力,支持文本和图像处理。
——————
新模型在性能上实现全面提升,具备强大的指令遵循能力和自主工具使用能力,在速度、思考效率方面有显著改进,并减少了此前模型的谄媚倾向,优化了对话风格。
在可用性方面,GPT-5 将分阶段推出。普通用户今日即可使用,企业及教育用户将在下周获得访问权限。免费用户可使用基础版 GPT-5,达到使用限制后将自动降级至 GPT-5 mini。Plus 订阅用户可正常使用 GPT-5,Pro 订阅用户则享有无限制的 GPT-5 使用权限,并可访问 GPT-5 Pro 模型。
API 定价方面,GPT-5 nano 为每百万词元 0.05 美元输入 / 0.4 美元输出,GPT-5 mini 为 0.25 美元输入 / 2 美元输出,完整版 GPT-5 为 1.25 美元输入 / 10 美元输出。GPT-5 Pro 则需要 ChatGPT Plus 或 Pro 订阅。
据本频信源,OpenAI 很有可能于一周内发布 GPT-5 系列模型。
和现有的 GPT-4.1 类似地,GPT-5 系列也将有 GPT-5、GPT-5-mini、GPT-5-nano 三个模型变体。
预料 GPT-5 的性能跨越将会超过 GPT-4o 到 GPT-4.5 的进步。进步幅度接近或超越 GPT-4o 到 GPT-4.1 系列。
早前媒体报道,去年曾被寄予希望以 GPT-5 身份发布的 Orion(猎户座)模型,最终已经以 GPT4.5 的身份发布,性能进步和性价比表现不及预期。
——————
另外,马斯克今日称,他即将开源Grok-2。
——————
OpenAI 官宣,将于北京时间 8 月 8 日(本周五)凌晨 1 点召开发布会。
和现有的 GPT-4.1 类似地,GPT-5 系列也将有 GPT-5、GPT-5-mini、GPT-5-nano 三个模型变体。
预料 GPT-5 的性能跨越将会超过 GPT-4o 到 GPT-4.5 的进步。进步幅度接近或超越 GPT-4o 到 GPT-4.1 系列。
早前媒体报道,去年曾被寄予希望以 GPT-5 身份发布的 Orion(猎户座)模型,最终已经以 GPT4.5 的身份发布,性能进步和性价比表现不及预期。
——————
另外,马斯克今日称,他即将开源Grok-2。
——————
OpenAI 官宣,将于北京时间 8 月 8 日(本周五)凌晨 1 点召开发布会。
网易遭遇大规模机房网络故障
8 月 5 日上午,网易旗下多款游戏突发登录异常。据媒体报道,网易内部办公平台 POPO 也出现部分功能不可用。
网易内部发布公告称,此次宕机由「机房故障」引发。
今年 2 月 28 日,网易云音乐也曾因「机房交换机故障」而出现宕机。
8 月 5 日上午,网易旗下多款游戏突发登录异常。据媒体报道,网易内部办公平台 POPO 也出现部分功能不可用。
网易内部发布公告称,此次宕机由「机房故障」引发。
今年 2 月 28 日,网易云音乐也曾因「机房交换机故障」而出现宕机。
8 月 5 日,Qwen 团队宣布开源 Qwen-Image,这是一个参数规模为 20B 的 MMDiT 模型,在各类生成与编辑任务中达到了开源模型的最佳水平 (SOTA)。
Anthropic 正对涉及 Claude Max 订阅的 Claude Code 滥用行为进行严厉打击。
据本频信源,Anthropic 于八月起对涉及 Claude Max 订阅的 Claude Code 滥用行为实行了「前所未有的」风控措施。涉及的账户大多订阅了 Claude Max 200 套餐,有同 IP 多账户、并发多会话的行为特征,且长时间大量使用 Claude Code。
此轮封禁亦存在自动化的特征,即 Anthropic 会在非美国办公时间封禁账户,最快情况下,滥用的账号会在 5 分钟内被定点清除。
此前,Anthropic 宣布为 Claude Pro 和 Max 订阅用户的 Claude Code 访问实施附加限制,即对周用量增加封顶限制。据介绍,部分使用量极端的账户,在一个月内可以消耗上万美元的 API 额度。
据本频信源,Anthropic 于八月起对涉及 Claude Max 订阅的 Claude Code 滥用行为实行了「前所未有的」风控措施。涉及的账户大多订阅了 Claude Max 200 套餐,有同 IP 多账户、并发多会话的行为特征,且长时间大量使用 Claude Code。
此轮封禁亦存在自动化的特征,即 Anthropic 会在非美国办公时间封禁账户,最快情况下,滥用的账号会在 5 分钟内被定点清除。
此前,Anthropic 宣布为 Claude Pro 和 Max 订阅用户的 Claude Code 访问实施附加限制,即对周用量增加封顶限制。据介绍,部分使用量极端的账户,在一个月内可以消耗上万美元的 API 额度。
Openrouter 近日上线匿名测试模型 Horizon Alpha,这是一个上下文长度 256k 的非推理模型。
在社区自发的评测中,该模型表现在一众非思考模型中表现优秀,且行为类似 OpenAI 的 o3 模型。
本频对该模型的分词器进行了测试,可以确认这一模型来自 OpenAI。
根据目前社区的预测,这可能是 OpenAI 即将发布的开源模型。
OpenAI 上一次于 Openrouter 上线匿名测试模型是 GPT-4.1 发布前夕,彼时上线的测试模型和 GPT-4.1 同样具有 1M 上下文窗口,且所有分词器特征都与 OpenAI 的 GPT-4o 保持一致。
Github 现正经历服务降级。
自北京时间约 29 日 0 时起,Github 多个服务出现服务降级。Git 操作、Raw 文件下载、GitHub Enterprise Importer、API 请求,Issues 和 Pull 请求有概率出现失败问题。
Github 官方在状态页面称,这可能由于对 Github 的大量未授权爬取导致服务器过载。官方正在制定新的速率限制策略,并尽快上线新的服务器以缓解流量。
截至发稿,绝大多数未登录用户仍无法顺畅使用 GitHub 的服务。
自北京时间约 29 日 0 时起,Github 多个服务出现服务降级。Git 操作、Raw 文件下载、GitHub Enterprise Importer、API 请求,Issues 和 Pull 请求有概率出现失败问题。
Github 官方在状态页面称,这可能由于对 Github 的大量未授权爬取导致服务器过载。官方正在制定新的速率限制策略,并尽快上线新的服务器以缓解流量。
截至发稿,绝大多数未登录用户仍无法顺畅使用 GitHub 的服务。
智谱将于今晚发布 GLM-4.5 系列模型
据彭博社、赛博禅心,智谱将于今晚发布其下一代开源大模型 GLM-4.5 系列。
根据目前已知的消息,GLM-4.5 系列至少有以下两个尺寸:
GLM-4.5:旗舰模型,总参数量 355B,激活参数 32B;
GLM-4.5-Air:次旗舰模型,总参数量 102B,激活参数 12B。
其中旗舰模型 GLM-4.5 预料将会超过此前刷榜的 Kimi-K2 和 Qwen3,成为新的开源 SOTA。
据彭博社、赛博禅心,智谱将于今晚发布其下一代开源大模型 GLM-4.5 系列。
根据目前已知的消息,GLM-4.5 系列至少有以下两个尺寸:
GLM-4.5:旗舰模型,总参数量 355B,激活参数 32B;
GLM-4.5-Air:次旗舰模型,总参数量 102B,激活参数 12B。
其中旗舰模型 GLM-4.5 预料将会超过此前刷榜的 Kimi-K2 和 Qwen3,成为新的开源 SOTA。
但在翻译评测结果中与 GPT-4.1 不相上下。
该模型已在阿里云百炼平台上线 API 调用,但模型本身暂未开源。
阿里云发布 Qwen3-235B-A22B-FP8 和 Qwen3-Coder。
前者是 Qwen3-235B-A22B 的更新版,分为思考和非思考两个模型。据介绍,该模型在多语言的长尾知识覆盖方面取得进步,在主观任务中更能契合人类偏好,上下文长度提高到 256k Tokens。
后者是 Qwen 系列首个 MoE 代码模型,总参数 480B ,激活参数 35B,上下文 256k,可拓展至 1M。该模型主要改进了前代 Coder 模型缺失的 Agent 能力。
阿里还专门开源了命令行工具 Qwen Code,并且 Qwen Coder 模型也可通过 Anthropic 格式的 API 接入 Claude Code。
前者是 Qwen3-235B-A22B 的更新版,分为思考和非思考两个模型。据介绍,该模型在多语言的长尾知识覆盖方面取得进步,在主观任务中更能契合人类偏好,上下文长度提高到 256k Tokens。
后者是 Qwen 系列首个 MoE 代码模型,总参数 480B ,激活参数 35B,上下文 256k,可拓展至 1M。该模型主要改进了前代 Coder 模型缺失的 Agent 能力。
阿里还专门开源了命令行工具 Qwen Code,并且 Qwen Coder 模型也可通过 Anthropic 格式的 API 接入 Claude Code。
