微软承认 Material Theme 被错误下架，并恢复相关插件及开发者帐号。

VSCode 称将进一步明确插件市场对于代码混淆的政策。

gh:microsoft/vsmarketplace#1168

thread: /4680

#VSCode

tj-actions/changed-files 被骇，被骇版本会将 secret 写入运行日志；现已修复。

- 骇客伪装成 Renovate bot 更新了 minify 的 Actions 代码，亦修改了所有 tag 使其指向恶意 commit。
- 维护者称原因是自己的一个 PAT (Personal Access Token) 泄露 [1]。

- gh:tj-actions/changed-files#2463
- stepsecurity.io/~

1. gh:tj-actions/changed-files#2464

#Security #GitHubActions

音频管理软件 Funkwhale 计划利用 Wikidata 数据在其软件中禁止极右翼音乐。

dev.funkwhale.audio/~

linksrc: yeen.town/~

#Funkwhale #FOSS #Music

Windows 在 3/11 的更新卸载了 Microsoft Copilot。Microsoft 称这是一个失误。

- 用户（如果想）可以从 Microsoft Store 重新下载 Copilot 并将其钉至任务栏。
- Microsoft 365 Copilot 不受影响。

theverge.com/~

#Windows #Copilot #Microsoft

GNOME GitLab 使用 PoW 工具 Anubis 应对 GenAI 爬虫滥用行为。

- Anubis 是通过 Proof of Work 进行站点访问用户验证的开源组件。
- GNOME 统计发现，只有 3% 的请求通过了 Anubis 验证，即 97% 的请求可能都来自爬虫。

thelibre.news/~
seealso: HackerNews:43422413

#GenAI #OpenSource #WebSpider

#PSA: Next.js 中间件权限验证漏洞；请尽快更新。

影响 11-15 版本；修复于 14.2.25/15.2.3 版本；mitigation 亦可应用。

zeropath.com/~

cve: CVE-2025-29927
cvss: 9.1 (GitHub)
ghsa: GHSA-f82v-jwr5-mffw

linksrc: https://www.tg-me.com/hyi0618/6574

#Security #Nextjs

据称俄罗斯于 3/20 曾切断部分 ISP 到 Cloudflare 的连接。

Cloudflare 状态页 [1] 和 Cloudflare Radar [2] 均有显示。

1. cloudflarestatus.com/~
2. radar.cloudflare.com/~

linksrc: https://www.tg-me.com/solidot/26673

#Russia #Cloudflare

BanG Dream! 宣布制作 It's MyGO!!!!! / Ave Mujica 动画续作。

https://www.bilibili.com/video/av114234369251192/

#BanGDream #today

Google 宣布将全部 AOSP 开发工作转移到内部分支上进行，仅在发布新版本时更新公开源码库。

文章提到：
- Android 有两个开发分支，其中内部分支只有签订 GMS 协议的厂商可以访问。
- 目前 Android 大部分组件的开发工作都在内部分支上进行。
- Google 称转移开发工作用分支的原因是为了节省合并公开与内部分支时解决冲突所需的时间。

Android 官网 FAQ 中依然宣称「计划将更多组件的开发工作转移到公开环境」 [1]。

[感谢 夜坂雅 提供此消息。]

androidauthority.com/~

1. source.android.com/~

#Android #Google #OpenSource

Windows 11 计划移除 BypassNRO，强制用户在 OOBE 中联网并关联微软帐户；微软称是为提高安全性和用户体验。

theverge.com/~

#Windows

Nintendo Switch 2 宣布 6/5 发售（除中国地区）；国际版比日本版贵两万日元。

- 任天堂于今天的 Nintendo Direct 宣布了 NS2 相关资讯。
- NS2 的日本版仅支持日语及关联日区 Nintendo 账号，厂商指导价为 49980 日元（约 2430 CNY）；国际版则为 69980 日元（约 3400 CNY）。
- NS2 内置 256 GB 存储，另可添置 microSD Express 外置存储卡。Joy-Con 2 更带有鼠标功能。
- NS2 引入了 "Key Card" 的新概念。Key Card 卡带中将不再记载游戏数据，而是只保存密钥。游玩前需要下载数据到设备上，游玩时卡带依然需要插入。 [1]
- 今日任天堂直面会 (Nintendo Direct) 上宣布的游戏包括利用 Joy-Con 2 鼠标功能游玩的三对三轮椅篮球系游戏《DRAGxDRIVE》、与《UNDERTALE》师出同门的《deltarune》，以及数字豪华版售价 11000 日元、标准版售价 8800 日元的偶像经营模拟游戏《シャインポスト Be Your アイドル！》 [2] 等。

https://nintendo.co.jp/corporate/release/2025/250402.html

1. nintendo.com/~
2. https://konami.com/games/shinepost/

#NintendoSwitch #today

Unity 6 及后续版本将不再向中国用户提供；由「团结引擎」承接。

文章称，Unity 2022 LTS 及旧版不受影响。

developer.unity.cn/~

thread: /4297

#Unity #China

GitHub 似乎屏蔽了来自中国 IP 的非登录用户的访问，返回 HTTP 403。

https://github.com/orgs/community/discussions/156515

#GitHub #China

GitHub 称这是一个配置错误。中国大陆未登录用户无法访问的问题现应已经恢复。

https://www.githubstatus.com/incidents/jfvgcls9swln

thread: /4699

#GitHub #China

CA/B Forum 投票通过 SC-081v3。新提案的内容之一是将公共 TLS 证书有效期缩短到 47 天。

根据提案，在 2026、2027 和 2029 年的 3 月 15 日，证书的最长有效期将被缩短到 200 天、100 天和 47 天。 [1]

groups.google.com/~

1. github.com/~

thread: /4610

linksrc: https://www.tg-me.com/bupt_moe/2403

#CABForum #PKI

linux.cn 域名被 clientHold 导致网站无法访问。

虽然 linux.cn 早在 2024 年初就宣布停止运营，但网站上依然有大量的优秀文章。这些内容目前可以通过 linux.net.cn 访问。

mp.weixin.qq.com/~

thread: /4432

linksrc: https://www.tg-me.com/NewWorldObservationLog/2414

#LinuxCN #China

[新：CISA 宣布与 MITRE 续约。] MITRE 称 DHS 停止与其合约，或将停止运营。

- 作为久负盛名的安全业非营利组织，MITRE 维护包括 CVE 漏洞数据库等项目。
- DHS （美国国土安全部）和 CISA（美国网络安全和基础设施安全局）是美国的政府部门。

seealso: HackerNews:43700607

#MITRE #Security #US

Redis 8 发布；支持 RSALv2/SSPLv1/AGPLv3 授权三选一。

这也意味着 Redis 8 重新成为使用 OSI 认证开源协议的开源软件。

https://redis.io/blog/agplv3/

thread: /4480

#Redis #Opensource

经过大学伦理委员会批准，UZH 研究人员在 Reddit 研究 LLM 生成内容的观点操纵能力。

- UZH 即苏黎世大学 (Universität Zürich)，是位于瑞士苏黎世的一所综合大学。
- /r/ChangeMyView 管理员发布贴文，称 UZH 研究人员在事后告知其使用 GenAI 机器人账户在 /r/ChangeMyView 发文，以研究 LLM 说服人类的能力。
- 研究者称实验已经过大学伦理委员会同意；由于提前告知会使实验失去意义，即使违反了社群规则，也并未在实验开始前告知管理员。研究者也提到其在评论发布之前人工检查了每条评论，确保其无害。
- /r/ChangeMyView 的管理团队向 UZH 伦理委员会表示担忧，要求终止发布实验成果。委员会称其没有终止实验成果发布的权力，并且认为实验引发的负面影响与其意义相比十分微小，不致终止其成果发布。
- 研究者要求不具名；Reddit 已经移除了这些机器人账户和相关发布内容。

old.reddit.com/~

linksrc: blog.gslin.org/~

#GenAI #Reddit #UZH

openSUSE 宣布移除 Deepin DE，原因包括软件安全性问题及打包者试图绕过 openSUSE 的安全查核等。

- DDE (Deepin Desktop Environment) 是由深度科技开发的桌面环境。一位与深度科技无关的 openSUSE 社区成员贡献了将 DDE 软件在 openSUSE 打包的工作 [1]。
- 作为一个功能丰富的桌面环境，DDE 有大量的软件包需要查核。由于发现的大量安全问题及 openSUSE 在一段团队重组时期的工作积压，查核自 2017 年起一直未能完成。
- 2025 年一月的一次检查中，openSUSE 发现 2021 年引入的 deepin-feature-enable 软件包有蹊跷。软件包内的脚本向用户解释 DDE 和 openSUSE 团队在安全方面存尚未达成一致，并允许用户手动选择启用未被 openSUSE 安全团队查核通过的功能。openSUSE 本以为大量查核的结束表明 DDE 的各组件已被查核通过，但实际上核心组件从未经过查核，而是通过此软件包在用户的系统上被启用。
- openSUSE 团队认为社区打包者的行为由于有向用户开诚布公因此并非恶意，但 DDE 开发团队对安全性的意识不足，且软件包违反了 openSUSE 打包政策，因此决定从 Leap 16.0 起的版本及 Tumbleweed 滚动发行版中移除 DDE 软件包。
- 虽然 openSUSE 已不建议用户使用 Deepin DE，但想要继续使用 DDE 的用户可以参考文章中的方法手工添加 Deepin 软件包源。

security.opensuse.org/~

EDIT 5/9: 额外指出了 openSUSE 社区的 DDE 打包者与深度科技无关的情况。感谢一位匿名订户勘误。

1. g0v.social/~

#openSUSE #Deepin