LoopDNS资讯播报

LoopDNS资讯播报

1. 16:02 · May 13, 2026 · Wed

   路透：美国和中国考虑降低非敏感商品的关税
   
   双方可能会各自确定价值约300亿美元的商品，在这些商品上，他们可以降低关税并相互出售，双方预计还将讨论尚不成熟的“投资委员会”概念，以处理投资问题。
   
   来源：路透社

2. 12:12 · May 13, 2026 · Wed

   美国总统特朗普抵达北京开始访华 （来源：新华社）

3. 11:57 · May 13, 2026 · Wed

   重要/漏洞：Linux Kernel Fragnesia XFRM ESP-in-TCP page cache 存在写入本地提权漏洞
   
   漏洞编号：暂无
   关联/同类参考编号：CVE-2026-43284（Linux xfrm/ESP shared skb frag 原地解密问题）；Dirty Frag 关联链路另涉及 CVE-2026-43500（RxRPC）。NVD 对 CVE-2026-43284 的描述明确指向 Linux kernel xfrm ESP 在 shared skb frags 上避免原地解密的问题。
   重要等级： 严重（高危）
   
   CVSS 分数：
   参考关联 CVE-2026-43284：CVSS v3.1 7.8
   
   受影响系统：
   

   受 dirtyfrag 影响的所有版本都会受到影响。
   Fragnesia 属于 Dirty Frag 漏洞类别。它是 ESP/XFRM 中的一个独立漏洞，与 Dirty Frag 不同，后者已有单独的补丁。但是，它们位于同一攻击面上，缓解措施也与 Dirty Frag 相同。

   
   

   报告者称，未合入 2026 年 5 月 13 日 net: skbuff: preserve shared-frag marker during coalescing 修复补丁的 Linux 内核均可能受影响。实际风险需结合系统内核版本、发行版补丁回移情况、内核配置、ESP/XFRM 相关模块、user namespace / network namespace 策略以及容器权限配置综合确认。

   
   受影响内核条件：
   

   使用了存在 skb shared-frag 标记丢失问题的 Linux 内核，并且未合入 net: skbuff: preserve shared-frag marker during coalescing 修复补丁的系统。公开 PoC 仓库说明，该 PoC 利用 Linux XFRM ESP-in-TCP 子系统逻辑缺陷，对只读文件的 page cache 实现任意字节写。

   
   
   漏洞原理
   

   该漏洞核心问题在于：Linux 内核在 TCP skb coalescing 过程中，没有正确保留 skb frag 的 shared-frag 标记。修复补丁说明，skb_try_coalesce() 可以把一个 skb 的 paged frags 转移到另一个 skb；如果来源 skb 带有 SKBFL_SHARED_FRAG，合并后的目标 skb 仍然可能包含外部拥有或 page-cache-backed 的 frag，但旧逻辑会丢失该标记。之后 ESP input 检查 skb_has_shared_frag() 时可能得到 false，从而跳过 copy-on-write，直接在 page-cache-backed frag 上原地解密。
   
   攻击链路中，splice() 可将普通文件的 page cache 页引入 TCP skb paged frag。正常情况下，这类 frag 应被视为共享/外部拥有，后续可能写入 packet data 的协议栈路径应先执行 COW，避免修改文件页缓存。Fragnesia 利用的异常点是：数据进入 TCP receive queue 后再启用 ESP-in-TCP ULP，内核把这些排队数据当作 ESP 记录处理，而 shared-frag 标记在 coalescing 后丢失，导致 ESP 解密逻辑误认为可以原地写入。
   
   在 ESP/AES-GCM 解密过程中，密文与 keystream 做 XOR。PoC 通过控制 IV/nonce，使目标 page cache 字节被 XOR 成攻击者期望的值，从而实现对只读文件 page cache 的按字节修改。该修改发生在内存 page cache 中，不直接写回磁盘。

   Expand hidden content

   
   
   注意
   这是一个本地提权漏洞，攻击者需要能够在目标系统上执行本地代码，但一旦满足前提，风险非常高，尤其是多用户 Linux 主机、CI/CD Runner、容器宿主机、共享开发机、云主机和高权限 SUID 程序较多的环境。
   该漏洞修改的是 page cache，不是磁盘文件本体。因此常规文件完整性检查如果只关注磁盘内容，可能无法直接发现短时间内的内存页缓存污染。被污染期间，普通 read()、程序加载、执行路径可能命中被篡改的 page cache。
   
   受影响组件
   

   Linux kernel net/core/skbuff.c
   skb_try_coalesce()
   SKBFL_SHARED_FRAG
   XFRM ESP input
   ESP-in-TCP ULP
   TCP receive queue
   page cache / skb paged frag

   
   
   处置建议:
   在不影响业务的前提下，禁用或限制非特权 user namespace / network namespace 创建能力，降低普通用户获得 netns 内 CAP_NET_ADMIN 并配置 XFRM SA 的可能性。
   如业务不依赖 IPsec ESP，可临时禁用或阻止加载 esp4、esp6。
   避免给容器授予 CAP_NET_ADMIN、CAP_SYS_ADMIN、特权容器、host network 等高风险配置。
   
   参考来源: Github

4. 11:45 · May 13, 2026 · Wed

   Linux 内核本地提权漏洞 Fragnesia 预警
   
   网络安全团队 V12 近期披露了一个名为 Fragnesia 的 Linux 内核通用本地提权漏洞。该漏洞属于“Dirty Frag”类漏洞的新变体，主要利用 Linux XFRM 子系统中 ESP-in-TCP 模式的逻辑缺陷。攻击者通过构造特定 nonce 的 AES-GCM 密钥流，可实现对只读文件页面缓存的任意字节篡改。
   实验证明，攻击者无需竞争条件即可将恶意代码注入 /usr/bin/su 等高权限程序的内存页，从而获取 root 权限。受影响范围涵盖 2026 年 5 月 13 日补丁发布前的多个内核版本。建议管理员及时更新内核或通过禁用 esp4/esp6 模块进行缓解，并在清理受影响机器时强制刷新页面缓存。
   
   来源：V12Sec / POC

5. 08:01 · May 13, 2026 · Wed

   中美在韩国举行经贸磋商
   
   当地时间5月13日，中美经贸中方牵头人、国务院副总理何立峰与美方牵头人、美国财政部长贝森特在韩国举行经贸磋商。双方以两国元首重要共识为指引，秉持相互尊重、和平共处、合作共赢的原则，就解决彼此关注的经贸问题和进一步拓展务实合作进行了坦诚、深入、建设性的交流。
   
   来源：央视新闻

6. 06:52 · May 13, 2026 · Wed

   路透：英伟达黄仁勋加入特朗普中国行，引发 H200 交易希望
   一位知情人士表示，特朗普在媒体报道黄仁勋未被邀请后，于周二致电黄仁勋。
   英伟达发言人表示，"黄仁勋应特朗普总统的邀请参加峰会，以支持美国及政府的目标，"
   白宫发言人表示，黄仁勋的行程有所变动，最终得以安排他参加。
   中国一家大型云公司的人士告诉路透，黄仁勋的出席是一个信号，表明这场旷日持久的僵局可能产生积极的结果。

7. 03:36 · May 13, 2026 · Wed

   

   ×

   

   英伟达首席执行官黄仁勋正在登上空军一号，准备加入特朗普总统的中国之行。
   
   来源：X

8. 01:30 · May 13, 2026 · Wed

   谷歌发布Android 17：确立智能系统新范式
   
   谷歌在近期举办的Android Show上正式宣布，Android将由传统操作系统转型为“智能系统”。核心升级在于深度集成的Gemini Intelligence，其强化了多模态能力，使Gboard键盘支持跨App自动填入信息，并新增可根据指令生成自定义桌面组件的“Create my widget”功能。此外，针对语音输入推出的Rambler功能可自动清洗冗余口播，大幅提升转文字的逻辑性。
   
   硬件生态方面，谷歌推出专为AI打造的Googlebook笔记本标准，支持通过摇晃光标唤醒AI，并实现与Android应用的无缝兼容。Android Auto也迎来更新，增强了车机互动与多步任务执行能力。此次变革标志着谷歌已构建起涵盖手机、PC及车载的统一AI生态，通过底层模型整合，让硬件成为智能服务的载体。
   
   来源：ifanr

9. 01:10 · May 13, 2026 · Wed

   GitHub调整Copilot个人计划：Pro和Pro+增加弹性额度，新增Max档位
   
   在付费计划中，月度包含用量将由基础额度和弹性额度两部分组成。Pro计划价格仍为每月10美元，包含10美元基础额度和5美元弹性额度；Pro+计划每月39美元，包含39美元基础额度和31美元弹性额度；新增Max计划每月100美元，包含100美元基础额度和100美元弹性额度。
   
   GitHub称，基础额度将优先消耗，超出后系统会自动使用弹性额度，适用于IDE、github.com和CLI等使用场景。付费计划中的代码补全和下一步编辑建议仍保持不限量，不消耗额度。
   
   GitHub表示，弹性额度属于可变部分，会随AI模型价格、新模型推出和效率改进等因素调整；与订阅价格对应的基础额度则保持不变。
   
   GitHub

10. 20:29 · May 12, 2026 · Tue

    EDA_入门指南：从_RTL_到硅片_The_EDA_Primer_From_RTL_to_Silicon.pdf

    27 MB

11. 17:03 · May 12, 2026 · Tue

    松下LUMIX新品 m43 卡片机发布，售价1499美元
    

    松下LUMIX新品L10相机发布，2050万像素图像传感器，等效固定24-75mm F1.7-2.8镜头，相位混合对焦系统，具备光学防抖，3.0英寸184万点屏幕，30张/秒蕞高连拍速度，可录制5.7K60p、4K120P、全高清240p视频，使用SD卡，重约508克，提供黑色/银色/钛金色可选，海外定价1499美元，约合10199 元。

    Expand hidden content

    
    @独立摄影师pro:
    

    发布视频

    Expand hidden content

    1:13

    Media is too big

    VIEW IN TELEGRAM

12. 13:00 · May 12, 2026 · Tue

    LoopDNS资讯播报

    万科表示深圳地铁将提供高达23.6亿元人民币的贷款 来源：新浪财经

    万科A：就深铁集团220亿元股东借款签署补充协议
    
    根据《框架协议》，在2025年以来至公司2025年度股东会召开日为止期间深铁集团向公司提供不超过220亿元借款额度，公司将对借款额度下实际发生的借款提供抵/质押担保。公司于2026年5月12日与深铁集团就《框架协议》签署《关于股东借款及资产担保的框架协议之补充协议》，就原220亿元股东借款事项下的担保方式、担保物、抵质押率等相关安排进行了补充约定。
    
    来源：证券时报

13. 11:40 · May 12, 2026 · Tue

    中国与美国在特朗普-习近平峰会前讨论潜在农业协议
    
    据熟悉相关讨论的交易员透露，中方官员正在与美方对口人员磋商，计划采购包括玉米、高粱、酒糟干饲料（DDGS）以及大豆在内的美国农产品。随着美国总统唐纳德·特朗普本周访问中国，双方正寻求维持脆弱的贸易休战，并有可能在特朗普自2017年以来首次对中国进行国事访问期间达成更广泛的协议，因此此次谈判可能促成一项协议的落地。包括采购数量和时间安排在内的细节目前仍在讨论之中。
    
    来源：彭博社

14. 07:35 · May 12, 2026 · Tue

    中央网信办全面推进规范短视频内容标注工作
    
    各平台须提供包括“虚构演绎”、“AI生成”及“无需标注”在内的6类必选标签。管理部门将加强对新增及存量短视频的审核与回溯，确保应标尽标。下一步，网信办将加大监督检查力度，对未按要求标注的账号及落实不力的平台依法严惩，维护健康有序的网络生态。
    
    来源：新华社

15. 05:17 · May 12, 2026 · Tue

    据产业调研，谷歌或采用Coherent-lite方案，将2.4T相干光模块（入门版相干下沉光模块）用于ocs与服务器之间的连接。其根本驱动因素在于传统IMDD链路受OCS插损约束瓶颈凸显，采取相干方案可显著提升对于链路损耗的耐受能力。
    
    从产业进度来看，27年可能是2.4T相干光模块的启动元年，谷歌或将配合新一代TPU使用单波300G的2.4T过渡方案，再往28年的8*400G方案切换。目前谷歌正积极接触相关公司，并给出了明确的量产预期。
    
    之前市场一直把相干方案当作DCI远距离连接的专属，实际上相干下沉是重要的技术趋势，km级甚至更短距离的传输也是未来相干光模块的重要应用场景。

16. 04:02 · May 12, 2026 · Tue

    韩国总统府政策室长金容范提出，应考虑设立所谓“公民红利”，资金来源为AI产业产生的超额利润。
    

    “AI时代的超额利润本质上是集中化的。那些已经掌握生产性资产的阶层，例如存储公司的股东、关键工程师以及首都地区的资产持有者，极有可能通过市场机制获得巨额收益。另一方面，相当一部分中产阶级只能间接受益，例如韩元走强带来的购买力提升、有限的财政转移支付以及部分资产增值。”
    
    “现有的解决方案主要有两种：一是扩大公共部门就业岗位，二是增加福利转移支付。两者都不可或缺，但单靠任何一种都不足以解决问题。”
    
    “人工智能基础设施时代的收益，并非仅由个别企业创造，而是源于整个国家在过去半个多世纪中所构建的产业基础。因此，这些收益中的一部分应通过制度安排回馈给全体国民。”

    Expand hidden content

    
    来源：外汇交易员

17. 03:56 · May 12, 2026 · Tue

    LoopDNS资讯播报

    5月11日，话题 微信状态 访客记录 冲上热搜，引发网友热议。腾讯客服对此回应称，目前查看微信状态访客记录的功能正在iOS客户端进行灰度测试，未获得该功能体验资格的用户可后续留意版本更新，安卓及鸿蒙客户端相关功能也在积极推进中，用户可持续关注微信版本升级动态。该功能可支持用户在微信状态有效期内，在右下角查看该条状态的浏览人数，若浏览者也设置了微信状态，还可看到对方头像，轻点头像即可查看对方当前状态。 来源：凤凰科技

    12日，腾讯公司公关总监腾讯张军回应：的确，这个小范围测试浏览人数的功能(不具体到个体)，被误解了。但这是我们的责任。 已读功能和访客功能，我没记错的话，大家其实反复多次都表明，千万不要有。这里，再次特别强调一下：此二项功能已焊死，不会开发，不会提供。 至于此次小范围测试的浏览人数展示功能，也已停止。感谢大家！
    
    来源：大象新闻

18. 01:11 · May 12, 2026 · Tue

    掉盘 黑屏 卡死,为什么主板的PCIE不稳定:关于PCIe5.0信号完整性的科普
    

    回波反射､插入损耗､串扰,以及误码率.
    决定信号完整性的,从来不是营销参数与概念,更不是KOL俺寻思的脑补,而是隐藏在表象背后的物理与数学公式.

    Expand hidden content

    
    @HOMOLAB:

    8:19

    Media is too big

    VIEW IN TELEGRAM

19. 00:21 · May 12, 2026 · Tue

    陪同特朗普访华的首席执行官们
    
    本周，特朗普总统将与包括埃隆·马斯克和蒂姆·库克在内的16位首席执行官一同访问中国。
    白宫周一公布了一份将陪同总统访问北京的商界领袖名单。特朗普总统计划于周二离开华盛顿，并于本周晚些时候与中国国家主席习近平举行会晤。
    白宫公布名单后，思科公司表示其首席执行官查克·罗宾斯无法出席。
    

    代表团名单：
    
    苹果公司首席执行官蒂姆·库克
    贝莱德集团的拉里·芬克
    黑石集团的史蒂芬·施瓦茨曼
    波音公司的凯利·奥特伯格
    嘉吉公司的布莱恩·赛克斯
    花旗集团的简·弗雷泽
    连贯公司的吉姆·安德森
    通用电气航空航天公司的拉里·库尔普
    高盛集团的戴维·所罗门
    Illumina公司的Jacob Thaysen
    万事达卡公司的迈克尔·米巴赫
    Meta公司的Dina Powell McCormick
    美光公司的桑杰·梅赫罗特拉
    高通公司的克里斯蒂亚诺·阿蒙
    特斯拉的埃隆·马斯克
    Visa公司的Ryan McInerney

    Expand hidden content

    
    来源：NYTimes