惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
W
WeLiveSecurity
O
OpenAI News
N
News and Events Feed by Topic
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Webroot Blog
Webroot Blog
Google Online Security Blog
Google Online Security Blog
云风的 BLOG
云风的 BLOG
N
News | PayPal Newsroom
H
Hacker News: Front Page
博客园_首页
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
The Last Watchdog
The Last Watchdog
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
H
Heimdal Security Blog
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
S
Schneier on Security
宝玉的分享
宝玉的分享
H
Hackread – Cybersecurity News, Data Breaches, AI and More
Recent Commits to openclaw:main
Recent Commits to openclaw:main
Y
Y Combinator Blog
Cyberwarzone
Cyberwarzone
Microsoft Security Blog
Microsoft Security Blog
C
CXSECURITY Database RSS Feed - CXSecurity.com
GbyAI
GbyAI
Cloudbric
Cloudbric
TaoSecurity Blog
TaoSecurity Blog
人人都是产品经理
人人都是产品经理
P
Palo Alto Networks Blog
M
MIT News - Artificial intelligence
G
GRAHAM CLULEY
C
Check Point Blog
Apple Machine Learning Research
Apple Machine Learning Research
Last Week in AI
Last Week in AI
T
Troy Hunt's Blog
L
Lohrmann on Cybersecurity
www.infosecurity-magazine.com
www.infosecurity-magazine.com
P
Proofpoint News Feed
Blog — PlanetScale
Blog — PlanetScale
量子位
博客园 - 聂微东
S
Securelist
博客园 - 三生石上(FineUI控件)
F
Full Disclosure
G
Google Developers Blog
L
LINUX DO - 热门话题
P
Proofpoint News Feed
AI
AI
PCI Perspectives
PCI Perspectives

V2EX

我用 AI 写代码,但终端管理反而成了累赘——于是我做了 codux - V2EX [调研] 各位在公司都用什么 ide 和 agent 写代码? 老运维 share 一个运维平台 新电脑 brew install node 之后,一个小设置可以提升对供应链投毒的防御 - V2EX GLM-Coding 调用持续报错: z.ai 的 Lite 套餐几乎无法使用,官方 Pro/Max 是否稳定? - V2EX 上海漕河泾内推,本组有 2 个 hc,一个后端,一个前端,预算都是 20k 左右,不打卡,氛围好 如果 V2EX 上有一组不永久保存聊天记录(比如只保存 7 天或者 24 小时)的聊天室,那么会开启哪些有用或者有趣的可能? - V2EX gemini cli 貌似挂了,一直返回 403 - V2EX 第一次在自媒体上赚到钱 收集了最近在使用的低价 GPT, Gemini,邮箱等 AI 会员的小店合集 讨论个大实话:现在企业还在说 AI 编程提效 20%, 30%的,真的太落后,没用懂 AI。因为包括很多前沿公司,已经狂奔到提效 200%-500%的情况 [招聘][远程][币安] 前端/后端/QA/iOS/Android 至少 3 年以上经验 目前有大量 HC 欢迎投递 Chatgpt Pro 用量用不完的可以开这些设置 面试的时候好像遇到钓鱼了,给各位避个坑 cursor 年续费 22 号到期, 自动续费是否还是老的计次套餐呢 - V2EX 被两件破事毁掉的一下午,琐碎的内耗消磨人的精力 使用 Planet 存储 Codex 的会话或者重要信息 - V2EX 如果业务部门领导不要你开发功能,而是要求你教会它用 claude code 开发功能,你会怎么做? 分享一个 MacOS 接绿联 CM818 USB 转 DP 转接器使用感受 - V2EX 我的 HR 朋友 10 年老 Java ,非全大专,大家帮忙看看简历 开源了一个 AI 口语练习工具,音素级发音评分,完全免费可自部署 V2EX 上有哪些你觉得很有趣、印象深刻的妹纸? 字节为啥不出个国内版 Vercel? 有在大马的朋友吗? 问个运营商问题 你们在有领导的公司大群发过的最大胆的消息是什么 公司裁员,目前没有工作。想试试摆摊,做一个移动鲜啤打酒车 我的硬盘 Memblaze Pblaze 5 Linux 下不识别,给 Linux 内核提交了补丁, AI 说有望被合并 - V2EX 只有我一个人觉得 codex 不好用? 做了个 AI + 真人专家监督的广告投放平台 Auxora, 7 个品牌跑出 6x ROAS 如何走出至亲的离世 Claude Web 端貌似 claude-opus-4-7 偷偷上了? 现在 Apple 开发者帳號應該是用哪个地区会更好? - V2EX 用回测筛选因子的一点经验分享 给女儿 vibe 了一个故事类的 app,做完发现,这类应用似乎上线难度极大? - V2EX 手机格式化 bitget 钱包没了,里面开通的银行卡还有机会拿到吗 - V2EX [送码] TransVoice - 我的第一款 App 上架啦!实时转写+翻译+字幕,会议听课好助手! PictureHub 高清摄影作品的画廊 Planet 的第一个使用 macOS 26 SDK 构建的 Insider 版本 20260416-1 - V2EX 成都二手房是不是在涨价,有点坐不住了 - V2EX claude 生态(skill mcp plugin)等 Studio Display XDR VESA 适配器脱落 有在用印度区 applestore 的大哥嘛,请教一下礼品卡去哪里买呢 - V2EX 我好像知道京东家政爆火的原因了 - V2EX 薅了公司的 a 家 api key,用机场 ip 做代理容易被封吗 如何在初期就识别 HR 在刷 KPI,没打算招你? [分享]精心打造一个 AI 编程知识库(算法/设计模式/提示词/Skills),助力程序员转型 港版 iPhone 在国内支持联通 5GA 吗?在广东用 想办港卡 AI 对 it 行业影响太大了 我做了个把照片变成 iOS 小组件贴纸的 App ChatGPT Pro 5x 套餐 量真的很足! I have found a method to directly generate advertising video materials using scripts 在小城市开个店,给人写软件,有前途吗 chrome 最新的 147 版直接卡爆炸了 - V2EX 为什么厂家不在 skill/mcp 这类的工具中塞广告呢?这样不是可以大赚嘛? minimax 真是脸都不要了,工作日下午 14:00 定时开启 529,脸都不要了。训练模型居然占用用户使用时间 外资非核心部门 vs 另一家外资的核心部门,该跳吗? iTad 标签 扩展 加小动作 ? - V2EX 去年 H200 能买,不让买是代替快出来了? - V2EX AI 赛事通 - 2026 年 4 月中国区新增 AI 竞赛和黑客松汇总 - V2EX V2EX › 登录 现在安卓开发都在做啥 - V2EX 浏览器插件 沉浸式翻译 是不支持自定义模型了吗? - V2EX Codex 里的 GPT5.4 也能降智?上午让它改两个问题,改了一个小时了, plus 额度用了一半了还是没改好,和前几天用的体感完全不一样。要它改的问题也不复杂。服了。 目前有使用 claude code 的收到人脸认证的吗 - V2EX 分享一个自己做的 Nginx 管理工具,实时请求动态预览!(无奈市面上实在找不到好用的,自己撸了个) - V2EX claude code 崩了么? 今天在反重力上用 claude 一点都不丝滑,有同样的感受吗? opencode 消息周知插件 今天 claude opus 和前两天比,质的飞跃 - V2EX 999 包月价? - V2EX 一个版本, 50 项更新:我们几乎重做了整个播放页 本地大模型多大显存够用? GOGDNS 一款简易的私人 DNS 服务器 - V2EX API key (GLM) 怎么使用 claude code desktop ? Claude 这样订阅有问题吗 - V2EX 帮我爸找回了一篇赛博兰亭集序 求推荐稳定、高性价比使用 Claude Opus 4.6 的渠道/平台 搞个云端 claude code 防止 封号 - V2EX 用 Claude 要实名了,内地用户怎么办? OpenAI Plus 和 Team 都缩水了吗 海外 Android 手机有什么好用的国内第三方应用市场推荐吗 - V2EX 把电脑伪装成电视,用 DLNA 投屏拿到视频号直播流地址 - V2EX claude 认证莫慌 北京互联网法院有什么攻略么?起诉北京智谱华章科技股份有限公司退款可行么? - V2EX Claude 开始引入身份验证 求 vscode 做笔记软件的插件推荐 - V2EX 讯飞星辰的 Coding Plan 如何? Anthropic 宣布在 Claude 平台推行身份验证机制 科普一下低价 gpt 是怎么来的 有没有长期关注 Claude 的朋友,我建了一个 Channel 自动抓取 Claude Team 的推文 啃了那篇 54 页的 Agent Harness 综述, 给大伙讲个省流版 现在那家的 coding plan 还能买到 是不是最近会有什么更聪明的大模型要发布了呀? 用多了 AI 后,有没有觉得 AI 生成的文章有很强的既视感? 如何 实践 Harness 工程? 今日份 GPT 5.4 笑话 如何建一个自己的号池,让 cursor 真正实现 token 自由 写了三个月 Agent Harness,我终于敢让 Claude Code 全自动写代码了
安卓的权限管理是假的,拒绝了仍然可以获取
NekoBoss · 2026-05-02 · via V2EX
NekoBoss

16

NekoBoss      5 月 2 日   ❤️ 2

@sddyzm 不仅仅小米,安卓整体上都很搞笑。本人还有一台手机,刷的是 lineageOS ,不装国内软件,因为类原生 rom 没有惊喜的权限控制,无法抵挡国产 app 的强奸。
主要安装开源免费 app ,或者 play 商店下载的国外 app 。整体使用起来很安心。

但是类原生给的权限更少,没有剪贴板,没有应用列表。也更没有空白通行证。很多涉及到财产的 app ,都要访问电话权限,可以获取手机的 imei 码电话号码之类的,但是小米可以授权空白通行证。

但是搞笑的是,小米实际上在极力让这个空白通行证失去存在感。
曾经 MIUI 刚推出的时候,是可以直接授权空白通行证,现在需要自己在权限的电话权限选择空白通行证。

如果用户在第一次询问的时候就允许了,那么后续再更改,数据也早已收集了。
那么用户只能是先拒绝,然后 app 提升必须授权,那么就在 app 关闭的情况下,去权限设置先允许电话权限紧接着打开空白通行证。

所以你有没有发现国产安卓的共同点,他们可能在某一年的营销宣传中,宣传自己多么在乎隐私,但是后来等没热度了,就会为了利益忽视隐私的控制

NekoBoss

37

NekoBoss      5 月 2 日

@w568w 类原生安卓现在的作用对我来说更像是一个专门享受安卓好处的安卓机。比如说使用只有安卓才有的开源软件,比如说文件管理,比如很多工具软件,esim 白卡的管理,短信转发,F-droid 。类原生并不具备很好的隐私,主要是因为我会特意避免安装国产联网 app ,类原生作为我的第三台手机,主要是设备隔离远离国产 app 带来的一片世外桃源。
日常使用主要是小米和 iPhone 。iPhone 确实很优秀,易用,权限管理更统一。小米的通话自动录音和全部应用都可双开也很方便。

再比如国内安卓 app 弹窗提示更新,哪怕是跳转到应用商店,都还可以理解,但是大多数 app 更多的是为了安装不受应用商店监管的 app 。在无底线的国内厂商面前,易用,隐私,体验,都是牺牲品。

现在,连权限拒绝了都能绕过,那么给人的感觉就是这个设备并不可靠。安卓无论怎么挣扎,都给人一种没有底蕴的感觉。安卓的美好是 GitHub 上那些开发者的开源软件带来的。
手机厂商和软件厂商,都把安卓当成法外之地。如果在国内网站上揭露手机厂商和软件厂商的缺点,用户们可能不会团结起来多么在乎隐私,但是手机厂商和软件厂商知道自己越权获取隐私是多么的过分,然后大概率把提出问题的贴子删掉了。

这不是骂厂商的问题,而是叫天天不应,叫地地不灵。

1una0bserver

97

1una0bserver      5 月 4 日 via Android   ❤️ 2

先问是不是,再问为什么。op 这种很明显的先射箭后画靶的提问,都没有人复现下,就来论证什么 Android 的弊端了是吧,实在是给我看得气笑了😅
首先放我的结论,欢迎讨论:
因为这就不是只靠读剪贴板实现的,谁说 Web 往 app 传数据只能靠剪贴板的。

首先 AOSP 就没有原生的剪贴板运行时权限,各厂商所谓的空白通行证也好,剪贴板权限也好,都是在 Android 4.3+引入的 App Ops 机制上实现的,而这个和运行时权限的一个重大区别在于,这里的拒绝在实现上其实不是真的拒绝授予权限,而是通过返回空数据实现的。所以这个拒绝读取剪贴板其实就是 READ_Clipboard 权限的封装而已,虽然不能排除厂商自己魔改的实现有问题。但是我通过以下操作判断,大概率不是实现问题。
我放一下我的测试环境,Android 14 ,ColorOS ,使用 App Ops 监控和管理相关权限。
先下好客户端登录,限制其权限,关闭。在 chrome 下访问云盘页面,拉起 app ,确实成功读取到下载文件信息。
注意之后:关闭应用,按理此时已复制到剪贴板,那么我再次打开时,如果真的是读取剪贴板,应该仍然能弹出对话框,但是实际上并没有。那么就说明,可能不是读取剪贴板,或者未触发读取剪贴板的条件。尝试手动点击所有 tab ,重新手动复制剪贴板内容,均未有反应。
结合以前看到过的案例,像是 Facebook 通过 websocket 和应用通信来绕过,怀疑 websocket 。于是换了个能屏蔽本地通信的浏览器 WebLibre ,然后打开同一个网页,仍然能拉起 app 并显示弹窗,说明不是靠 websocket 本地通信,至少并不只是这个。
那么结果就显而易见了,答案就在谜面上,读取链接的方式除了剪贴板外,最简单直接的方式就在打开 app 时通过 intent/app link 传递数据!事实上,我很早就注意到了这一点,前面所有能弹出对话框的时候,基本上都是首次自动跳转和手动点击后拉起 app 的时候,而之所以这么大费周章,主要是想排除下其他可能。之后的验证就很简单了,找个能手动禁止拉起 app 的浏览器,比如 via ,禁止后打开网页,点击打开 app ,会自动复制到剪贴板。然后我们手动打开 app ,即使再次点击网页上的打开 app ,由于 intent 被阻止,即使手动切换到文件 tab ,也没有弹出保存窗口。
那么为什么 op 会认为是 bug 导致仍然能访问剪贴板呢?考虑到网盘类应用普遍在打开网页时自动复制剪贴板并跳转应用,导致注意力集中在强提示的剪贴板内容提醒,而忽略了跳转应用本身就能传递数据,加上 op 可能使用 chrome 这种不对网页唤起做拦截的浏览器,导致网页打开时的隐藏 intent 拉起被忽略,认为是自己打开的那个 app 实例。当然,我们也不能排除是 op 的 hyper OS 的垃圾代码中的漏洞导致剪贴板拦截读取无效。关于这点,我觉得都没必要先考虑漏洞问题,先随便找个开源的简单记事本应用禁止读取剪贴板,测试下能不能粘贴,再去把上面我的测试重测下,再去考虑漏洞问题也不迟。

NekoBoss

99

NekoBoss      5 月 4 日 via Android

@1una0bserver #97

我测试了很多次,可能不是你说的那种情况。

云盘分享链接(只包含链接),放在笔记里。

我还引入了一个叫 PMX 的权限管理软件
在拒绝剪贴板权限后,笔记复制链接,无论是在启动 app 时,还是把 app 放在后台再重新复制,切换到云盘时,都可以弹出链接。

但是恐怕情况并没有那么复杂,因为小米的权限记录显示“读取剪贴板-已允许”

而且 pmx 这个权限管理软件,也可以看到,权限被自动改成了 允许。

如果我同时把写入和读取都改成“忽略”,那么 123 云盘还是可以在启动的时候,获得剪贴板权限。

如果用 pmx 把权限从“忽略”改成“拒绝”,启动 app 会闪退。

如果写入和读取改成“ask 询问”,那么它不会读取,但是会在复制账号 ID 的时候弹窗问是否写入,一旦允许了本次写入,那么读取权限也就被打开了。

鉴于本帖下面有 vivo 和一加用户无法复现。我觉得可能是小米的问题,但是目前只有这个 app 有这种拒绝了还能自己打开的情况。

写入只要允许,他就可以通过写入这个权限自动打开读取,并读取复制的链接。

写入如果忽略,app 仍然可以自己开启读取和写入

如果这个 app 他真的应该别的方式绕过来获取剪贴板,那还好说。

现在的问题是,他真的是用的 WRITE_CLIPBOARD 和 READ_CLIPBOARD ,并且 app 自己通过某种方式可以自己给自己打开这个权限。
我觉得太可怕了。

这个 app 并不是很大众,小米应该不会专门给它开白名单。

但是他就是可以自己给自己打开这个权限。

小米权限记录可以看到已经允许,但是权限管理里面还是自己选择的拒绝。

pmx 则是可以清楚的看到这个权限在启动 app 或者切换到该 app 后,权限就变成开启了,这太可怕了。