MongoDB 披露严重安全漏洞 MongoBleed,涉及多版本未授权信息泄露
MongoDB 披露编号为 CVE-2025-14847 的高危安全漏洞,社区将其称为「MongoBleed」。该漏洞存在于 MongoDB Server 的 zlib 压缩消息解压缩处理逻辑中,允许未经验证的远程攻击者通过发送特制的恶意压缩包,诱导服务器返回未初始化的堆内存数据。由于该漏洞触发于身份验证之前,且无需任何用户交互,攻击者可借此窃取驻留在内存中的数据库凭据、应用令牌、WiredTiger 引擎配置及内部日志等敏感信息。
受影响版本范围广泛,包括已停止支持的 3.6、4.0、4.2 全系版本,以及 4.4.0–4.4.29、5.0.0–5.0.31、6.0.0–6.0.26、7.0.0–7.0.27、8.0.0–8.0.16 和 8.2.0–8.2.2。目前已出现公开的概念验证(PoC)代码及在野利用活动。
MongoDB 官方建议自建用户立即升级至 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32 或 4.4.30 及以上修复版本;若短期无法升级,应在配置中通过 networkMessageCompressors 显式移除 zlib 以缓解风险。
(综合媒体报道)
MongoDB 披露编号为 CVE-2025-14847 的高危安全漏洞,社区将其称为「MongoBleed」。该漏洞存在于 MongoDB Server 的 zlib 压缩消息解压缩处理逻辑中,允许未经验证的远程攻击者通过发送特制的恶意压缩包,诱导服务器返回未初始化的堆内存数据。由于该漏洞触发于身份验证之前,且无需任何用户交互,攻击者可借此窃取驻留在内存中的数据库凭据、应用令牌、WiredTiger 引擎配置及内部日志等敏感信息。
受影响版本范围广泛,包括已停止支持的 3.6、4.0、4.2 全系版本,以及 4.4.0–4.4.29、5.0.0–5.0.31、6.0.0–6.0.26、7.0.0–7.0.27、8.0.0–8.0.16 和 8.2.0–8.2.2。目前已出现公开的概念验证(PoC)代码及在野利用活动。
MongoDB 官方建议自建用户立即升级至 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32 或 4.4.30 及以上修复版本;若短期无法升级,应在配置中通过 networkMessageCompressors 显式移除 zlib 以缓解风险。
(综合媒体报道)
智谱推出 GLM-4.7 模型
智谱(Z.ai)于 12 月 23 日正式发布并开源其最新旗舰模型 GLM-4.7。该模型专为 Agentic Coding 场景优化,引入了增强的「思考模式」(Thinking Mode),包含 Interleaved Thinking、Preserved Thinking 和 Turn-level Thinking 三种机制,以提升复杂指令遵循和长程任务的稳定性。
在 LMArena Code Arena 盲测中,GLM-4.7 位列开源及国内模型首位;部分基准测试(如 LiveCodeBench V6 和 AIME 2025)成绩超越 Claude Sonnet 4.5 和 GPT-5.1。此外,模型强调 Vibe Coding 能力,显著增强了对 UI 规范的理解,能生成更具现代感的网页和幻灯片。
目前 GLM-4.7 权重已在 Hugging Face 和 ModelScope 开源,并上线 Z.ai。
——————
MiniMax Agent 平台上线 M2.1 模型
MiniMax 同日宣布在其 Agent 平台上线 M2.1 模型。该模型旨在通过「可见的状态管理」(Visible State Management)提升复杂问题解决能力与用户信任度,支持实时展示文件处理、工具调用、任务进度及决策逻辑。
官方表示,M2.1 是专门针对 Agent 协作和复杂任务处理设计的迭代版本,目前用户已可在其官方在线平台进行体验。
(综合媒体报道)
智谱(Z.ai)于 12 月 23 日正式发布并开源其最新旗舰模型 GLM-4.7。该模型专为 Agentic Coding 场景优化,引入了增强的「思考模式」(Thinking Mode),包含 Interleaved Thinking、Preserved Thinking 和 Turn-level Thinking 三种机制,以提升复杂指令遵循和长程任务的稳定性。
在 LMArena Code Arena 盲测中,GLM-4.7 位列开源及国内模型首位;部分基准测试(如 LiveCodeBench V6 和 AIME 2025)成绩超越 Claude Sonnet 4.5 和 GPT-5.1。此外,模型强调 Vibe Coding 能力,显著增强了对 UI 规范的理解,能生成更具现代感的网页和幻灯片。
目前 GLM-4.7 权重已在 Hugging Face 和 ModelScope 开源,并上线 Z.ai。
——————
MiniMax Agent 平台上线 M2.1 模型
MiniMax 同日宣布在其 Agent 平台上线 M2.1 模型。该模型旨在通过「可见的状态管理」(Visible State Management)提升复杂问题解决能力与用户信任度,支持实时展示文件处理、工具调用、任务进度及决策逻辑。
官方表示,M2.1 是专门针对 Agent 协作和复杂任务处理设计的迭代版本,目前用户已可在其官方在线平台进行体验。
(综合媒体报道)
#推广
💎 特别优惠:
Cubence 是一家稳定高效的 AI 服务中转平台,为 Claude Code、Codex、Gemini 等 AI 工具提供中转服务,有着不错的稳定性和性价比。
Cubence 为 CCH 的使用用户提供了特别的优惠折扣:在购买时使用优惠券
→ 立即访问
💎 特别优惠:
Privnode 是一家平价的 AI API 聚合平台,为 Claude、Codex 等主流模型提供一站式中转服务,以良好的稳定性和较高的性价比,服务于开发者与团队的实际需求。
使用优惠码
→ 立即访问
💎 特别优惠:
PackyCode 是一家稳定、高效的 API 中转服务商,提供 Claude Code、Codex、Gemini 等多种中转服务。
PackyCode 为本软件的用户提供了特别优惠,使用此链接注册并在充值时填写优惠码
→ 立即访问
💎 特别优惠:
Cubence 是一家稳定高效的 AI 服务中转平台,为 Claude Code、Codex、Gemini 等 AI 工具提供中转服务,有着不错的稳定性和性价比。
Cubence 为 CCH 的使用用户提供了特别的优惠折扣:在购买时使用优惠券
DING113CCH,可享受 20% 优惠折扣。 → 立即访问
💎 特别优惠:
Privnode 是一家平价的 AI API 聚合平台,为 Claude、Codex 等主流模型提供一站式中转服务,以良好的稳定性和较高的性价比,服务于开发者与团队的实际需求。
使用优惠码
WITHCCH 可获得 15% 折扣 → 立即访问
💎 特别优惠:
PackyCode 是一家稳定、高效的 API 中转服务商,提供 Claude Code、Codex、Gemini 等多种中转服务。
PackyCode 为本软件的用户提供了特别优惠,使用此链接注册并在充值时填写优惠码
WITHCCH,可享受 9 折优惠 → 立即访问
Google 发布 Gemini 3 Flash
Google DeepMind 于 12 月 18 日发布 Gemini 3 Flash 模型,主打「前沿智能」与「极低成本」的结合。该模型在 GPQA Diamond(博士级推理)测试中得分 90.4%,在 Humanity's Last Exam 中无工具辅助得分 33.7%。值得注意的是,Gemini 3 Flash 在 MMMU Pro 多模态理解(81.2%)和 SWE-bench Verified 代码能力(78%)测试中的表现均超越了旗舰级的 Gemini 3 Pro。
效率方面,新模型相比 Gemini 2.5 Pro 速度提升 3 倍,日常任务的词元(Token)消耗减少 30%。定价方面,输入价格为 0.5 美元 / 100 万词元(合人民币约 3.63 元),输出为 3 美元 / 100 万词元(合人民币约 21.79 元)。
即日起,开发者可通过 Google AI Studio、Vertex AI 及新平台 Google Antigravity 调用该模型;普通用户可在 Gemini App(已取代 2.5 Flash 成为默认模型)及 Google 搜索的 AI 模式中免费体验。
(综合媒体报道)
Google DeepMind 于 12 月 18 日发布 Gemini 3 Flash 模型,主打「前沿智能」与「极低成本」的结合。该模型在 GPQA Diamond(博士级推理)测试中得分 90.4%,在 Humanity's Last Exam 中无工具辅助得分 33.7%。值得注意的是,Gemini 3 Flash 在 MMMU Pro 多模态理解(81.2%)和 SWE-bench Verified 代码能力(78%)测试中的表现均超越了旗舰级的 Gemini 3 Pro。
效率方面,新模型相比 Gemini 2.5 Pro 速度提升 3 倍,日常任务的词元(Token)消耗减少 30%。定价方面,输入价格为 0.5 美元 / 100 万词元(合人民币约 3.63 元),输出为 3 美元 / 100 万词元(合人民币约 21.79 元)。
即日起,开发者可通过 Google AI Studio、Vertex AI 及新平台 Google Antigravity 调用该模型;普通用户可在 Gemini App(已取代 2.5 Flash 成为默认模型)及 Google 搜索的 AI 模式中免费体验。
(综合媒体报道)
OpenAI 于 12 月 16 日宣布推出新版 ChatGPT 图像生成功能,由全新的旗舰模型 GPT-Image 1.5 驱动。新版本在生成速度上最高提升 4 倍,并显著增强了指令遵循能力、编辑精度和画面细节的一致性。
(OpenAI)
OpenAI 发布 GPT-5.2 模型系列
OpenAI 今日正式发布 GPT-5.2 模型系列,包含 Instant、Thinking 和 Pro 三个版本。其中 Instant 主打快速响应,Thinking 擅长深度推理与编程,Pro 则专注于解决高难度任务。
在衡量真实工作能力的 GDPval 测试中,GPT-5.2 Thinking 取得了 70.9% 的胜率,成为首个在 44 种职业知识工作任务上达到或超过人类专家水平的模型;在抽象推理测试 ARC-AGI-2 中,其得分从前代的 17.6% 跃升至 52.9%;AIME 2025 数学竞赛更是取得 100% 满分。
此外,新模型在长文档分析(256k 上下文)、多模态空间理解及代码生成(SWE-Bench Pro 准确率 55.6%)方面均有显著提升,幻觉率降低约 30%。
目前 GPT-5.2 已向 ChatGPT 付费用户开放,API 同步上线,价格较 GPT-5.1 上涨约 40%,但官方称因效率提升综合成本反而更低。
(综合媒体报道)
OpenAI 今日正式发布 GPT-5.2 模型系列,包含 Instant、Thinking 和 Pro 三个版本。其中 Instant 主打快速响应,Thinking 擅长深度推理与编程,Pro 则专注于解决高难度任务。
在衡量真实工作能力的 GDPval 测试中,GPT-5.2 Thinking 取得了 70.9% 的胜率,成为首个在 44 种职业知识工作任务上达到或超过人类专家水平的模型;在抽象推理测试 ARC-AGI-2 中,其得分从前代的 17.6% 跃升至 52.9%;AIME 2025 数学竞赛更是取得 100% 满分。
此外,新模型在长文档分析(256k 上下文)、多模态空间理解及代码生成(SWE-Bench Pro 准确率 55.6%)方面均有显著提升,幻觉率降低约 30%。
目前 GPT-5.2 已向 ChatGPT 付费用户开放,API 同步上线,价格较 GPT-5.1 上涨约 40%,但官方称因效率提升综合成本反而更低。
(综合媒体报道)
Meta 拟推迟下一代模型发布并转向闭源策略
据 CNBC 和 Digitimes 报道,Meta 计划将代号为「Avocado」的下一代旗舰 AI 模型推迟至 2026 年第一季度发布,并放弃此前坚持的开源策略,转而开发闭源的专有模型。这一战略调整伴随着 Meta AI 部门的重大重组:新模型将由首席 AI 官 Alexandr Wang 领导的 Meta 超级智能实验室(MSL)加强控制开发;基础 AI 研究(FAIR)实验室近期遭遇裁员,著名科学家 Yann LeCun 已离职,长期产品高管 Chris Cox 也退出了 AI 领导团队。
报道称,促成这一转变的因素包括 Llama 4 系列市场反应冷淡、开源模型被 DeepSeek 等竞争对手利用的安全担忧,以及公司急需通过 API 或订阅服务实现 AI 投资回报的商业压力。
(综合媒体报道)
据 CNBC 和 Digitimes 报道,Meta 计划将代号为「Avocado」的下一代旗舰 AI 模型推迟至 2026 年第一季度发布,并放弃此前坚持的开源策略,转而开发闭源的专有模型。这一战略调整伴随着 Meta AI 部门的重大重组:新模型将由首席 AI 官 Alexandr Wang 领导的 Meta 超级智能实验室(MSL)加强控制开发;基础 AI 研究(FAIR)实验室近期遭遇裁员,著名科学家 Yann LeCun 已离职,长期产品高管 Chris Cox 也退出了 AI 领导团队。
报道称,促成这一转变的因素包括 Llama 4 系列市场反应冷淡、开源模型被 DeepSeek 等竞争对手利用的安全担忧,以及公司急需通过 API 或订阅服务实现 AI 投资回报的商业压力。
(综合媒体报道)
Cloudflare 配置变更导致短暂服务中断
12 月 5 日,Cloudflare 确认其网络服务及 Dashboard、API 出现短暂不可用。官方随后解释称,此次中断并非由网络攻击引起,而是团队为了缓解本周披露的 React Server Components 行业漏洞,对 Web 应用程序防火墙(WAF)解析请求的方式进行了更改,从而意外导致了网络中断。该问题持续了数分钟,目前已完全解决,服务已恢复正常。
(Cloudflare Status)
12 月 5 日,Cloudflare 确认其网络服务及 Dashboard、API 出现短暂不可用。官方随后解释称,此次中断并非由网络攻击引起,而是团队为了缓解本周披露的 React Server Components 行业漏洞,对 Web 应用程序防火墙(WAF)解析请求的方式进行了更改,从而意外导致了网络中断。该问题持续了数分钟,目前已完全解决,服务已恢复正常。
(Cloudflare Status)
目前该故障已经修复 。然而,截至目前,阿里巴巴和支付宝方面尚未就故障原因发布官方声明 。
React Server Components 曝出严重远程代码执行漏洞
React 团队于当地时间 12 月 3 日发布安全公告,确认 React Server Components (RSC) 协议中存在一个严重的远程代码执行漏洞(CVE-2025-55182),CVSS 评分高达 10.0。该漏洞由 Lachlan Davidson 发现并报告,涉及 react-server-dom-webpack、react-server-dom-parcel 及 react-server-dom-turbopack 的 19.0.0 至 19.2.0 版本。攻击者可通过向 Server Function 端点发送恶意构造的 HTTP 请求,利用反序列化过程中的缺陷在服务器上执行任意代码,且无需经过身份验证。即使应用未直接实现 Server Function 端点,只要支持 RSC 均可能受影响。目前 React 团队已发布 19.0.1、19.1.2 和 19.2.1 版本予以修复。
受此上游漏洞影响,Next.js 同步发布了安全公告(CVE-2025-66478)。所有使用 App Router 的 Next.js 15.x 和 16.x 版本,以及 14.3.0-canary.77 之后的测试版本均受到波及。Next.js 13.x、14.x 稳定版及 Pages Router 模式不受影响。Vercel 已发布 15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7 和 16.0.7 等修复版本,建议用户立即更新;使用受影响 canary 版本的用户应降级至 14.x 稳定版。此外,React Router、Waku、RedwoodJS 等生态框架也已发布相应修复指南。
(React Blog、Next.js Blog)
React 团队于当地时间 12 月 3 日发布安全公告,确认 React Server Components (RSC) 协议中存在一个严重的远程代码执行漏洞(CVE-2025-55182),CVSS 评分高达 10.0。该漏洞由 Lachlan Davidson 发现并报告,涉及 react-server-dom-webpack、react-server-dom-parcel 及 react-server-dom-turbopack 的 19.0.0 至 19.2.0 版本。攻击者可通过向 Server Function 端点发送恶意构造的 HTTP 请求,利用反序列化过程中的缺陷在服务器上执行任意代码,且无需经过身份验证。即使应用未直接实现 Server Function 端点,只要支持 RSC 均可能受影响。目前 React 团队已发布 19.0.1、19.1.2 和 19.2.1 版本予以修复。
受此上游漏洞影响,Next.js 同步发布了安全公告(CVE-2025-66478)。所有使用 App Router 的 Next.js 15.x 和 16.x 版本,以及 14.3.0-canary.77 之后的测试版本均受到波及。Next.js 13.x、14.x 稳定版及 Pages Router 模式不受影响。Vercel 已发布 15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7 和 16.0.7 等修复版本,建议用户立即更新;使用受影响 canary 版本的用户应降级至 14.x 稳定版。此外,React Router、Waku、RedwoodJS 等生态框架也已发布相应修复指南。
(React Blog、Next.js Blog)
