澳大利亚要求中国投资者出售稀土股份
澳大利亚政府已下令稀土公司 Northern Minerals Ltd. 的最大股东出售其股份,这是堪培拉为保护该公司免受与中国有关联的投资者影响而采取的两年内第二次此类干预。
根据财政部的一份声明 ,这家价值 2.29 亿澳元(1.63 亿美元)的公司有六名股东必须在周一(即声明发布日)起的两周内出售其股份。声明称,其中五名股东在中国或香港注册,一名在英属维尔京群岛注册。
来源:彭博社
长鑫科技:长鑫科技集团股份有限公司科创板首次公开发行股票招股说明书(申报稿)_1.pdf
6.3 MB
特朗普访华行凸显全球力量向东方转移
美国总统特朗普于近日结束对中国的访问。在与中国国家主席习近平的会谈中,中方就美对台军售问题展现出强硬立场,而美方在此次出访中表现出的妥协态度引发各界关注。分析人士指出,尽管美方试图将此次访问塑造为一场胜利,但无论是在美对台军售的暂停、先进芯片出口的让步,还是在面对中方警告时的克制反应,都凸显出美国在战略博弈中的被动。
国际舆论和学者普遍认为,此次会晤的细节和舆论交锋,不仅展示了中国面对美方关税与地缘压力的强韧性,更成为全球地缘政治力量加速向东方转移的标志性缩影。尽管中国自身面临经济调整,但其在国际事务与双边关系中展现出的战略定力,表明其已确立了与美国并驾齐驱的平等大国地位。
来源:TIME
中美双方同意通过一定范围产品的相互降税等安排,推动扩大包括农产品在内等领域的双向贸易。
来源:外汇交易员
当地时间5月16日,伊朗议会国家安全委员会主席阿齐兹在社交平台表示,在维护国家主权和保障国际贸易安全的框架下,伊朗已制定一套专业的霍尔木兹海峡航线交通管理机制,并将于近期正式公布。该机制仅对与伊朗合作的商船和相关方开放。伊朗将收取必要的费用,作为其通过该机制提供的专业服务的交换。该航线将继续对美国“自由计划”的参与者关闭。
来源:每经网
重要/漏洞:QEMUtiny:QEMU CXL Type-3 设备仿真存在可被利用的越界读写漏洞链
漏洞编号: 暂无公开 CVE / PoC 名称:QEMUtiny
重要等级: 需要关注的(虚拟机逃逸风险)
CVSS 分数:无
影响范围:
受影响组件:QEMU CXL Type-3 设备仿真模块
受影响代码路径:hw/cxl/cxl-mailbox-utils.c
受影响功能:CXL mailbox 相关命令处理逻辑
主要受影响配置:
启用了 CXL 支持的 QEMU 实例;
向 guest 暴露了 cxl-type3 设备;
guest 内攻击者具备 root 权限或可访问 PCI config / CXL BAR / mailbox MMIO 的等效能力。PoC README 明确说明复现程序需要在 guest 内以 root 运行,因为需要写 PCI config space 并通过 sysfs mmap CXL 设备 BAR。
注意: 仅安装 QEMU 但未运行相关虚拟机;普通 QEMU 虚拟机未启用 CXL / 未配置 cxl-type3;QEMU user-mode emulation;物理 CXL 硬件本身通常不受影响。
漏洞原理:
该漏洞链出现在 QEMU CXL Type-3 设备仿真的 mailbox 处理逻辑中。CXL Type-3 设备在 QEMU 中用于模拟接入 CXL host 的内存设备,CXL 设备会通过 PCIe 相关接口和 BAR-mapped memory 访问寄存器与 mailbox。
漏洞链由两个核心缺陷组成:
1. GET_LOG 越界读
cmd_logs_get_log() 在处理 CEL log offset 时,边界检查按“字节偏移”理解,但实际 memmove() 源地址表达式中把该 offset 用在结构体指针运算上,导致可读取 CEL buffer 之外的相邻 QEMU 进程内存。PoC README 将其描述为 CXL mailbox GET_LOG 路径中的 out-of-bounds read。
2. SET_FEATURE 越界写
cmd_features_set_feature() 接受写入多个 feature write-attribute 结构的 offset,但部分 PPR / sparing 路径缺少 offset + bytes_to_copy 是否仍在目标结构体内的完整边界检查。PoC README 指出受影响路径包括 soft_ppr_wr_attrs、hard_ppr_wr_attrs、cacheline_sparing_wr_attrs、row_sparing_wr_attrs、bank_sparing_wr_attrs、rank_sparing_wr_attrs。
攻击者在满足前置条件后,可先利用越界读泄露 QEMU 进程地址信息,再利用越界写破坏 CXL Type-3 设备对象后续字段,最终通过 QEMU 内部 memory dispatch / sanitize 路径触发受控回调。本频道在实际复现后发现最终权限等同于运行 QEMU 的宿主进程权限,同时结合先前的内核漏洞攻击者可以获取root权限。
注意: 该漏洞依赖特定 QEMU 构建和宿主 libc 布局偏移, 目标 VM 需要暴露 CXL Type-3 设备、guest 内具备较高权限。
受影响组件:
QEMU Backend / CXL Type-3 device emulation
具体路径:
hw/cxl/cxl-mailbox-utils.c
CXL mailbox LOGS / GET_LOG
CXL mailbox FEATURES / SET_FEATURE
CXL mailbox MEDIA_OPERATIONS / SANITIZE 相关触发路径
受影响对象:
启用 cxl=on 的 QEMU 实例
配置了 cxl-type3 的虚拟机
将 CXL mailbox BAR 暴露给不可信 guest 的测试、云平台、CI/fuzzing 或研发环境
处置建议:
1. 排查生产和测试环境中的 QEMU 启动参数,重点确认是否存在 cxl=on、cxl-type3、pxb-cxl、cxl-rp 等配置。
2. 不要向不可信 guest 暴露 QEMU CXL Type-3 设备。
3. 临时禁用 CXL Type-3 emulation,或仅在隔离实验环境中使用。
参考链接:Github
波音:“我们的中国之行非常成功,实现了重开中国市场订购波音飞机的主要目标。我们收获了包括200架飞机的初步承诺,后期预计还会达成更多的购机承诺。我们非常感谢特朗普总统以及美国政府促成这一里程碑式成果,并期待继续满足中国的飞机需求。”
来源:外汇交易员
广西柳州市柳南区5月18日00:21发生5.2级地震,震源深度8千米。收到7栋沿街自建房屋倒塌报告,有人员被困,部分房屋有开裂现象。
截至3:40,初步统计当地已有4人送医,3人失联。
震中距离柳州市城区约16公里。柳州本地震感强烈,相邻的南宁、河池、来宾、桂林等地亦有明显震感。
香港天文台也接获超过十名市民报告有感。初步分析显示烈度为II 度(修订麦加利地震烈度表)。
(中国地震台网,新华社,中新社 1,2,香港天文台)
莫斯科遭遇无人机袭击,造成至少3人死亡、12人受伤。塔斯社称此次袭击为“一年多来的最大规模的一次”。
莫斯科市长索比亚宁称,袭击主要发生在炼油厂附近,但炼油厂的“技术”没有受损。部分无人机碎片落在莫斯科谢列梅捷沃机场,未影响航班。
乌克兰称,袭击针对莫斯科地区的采油和炼油设施以及军工复合体。泽连斯基称袭击“完全正当”。
与此同时,俄罗斯无人机也袭击乌克兰多地,造成至少8人受伤。
(美联社)
委内瑞拉5月16日宣布驱逐马杜罗的亲信、商人亚历克斯·萨博。
萨博拥有委内瑞拉和哥伦比亚双重国籍,与马杜罗关系紧密。他被美国官员称为马杜罗的中间人,通过委内瑞拉的政府合同积累了财富。
美国司法部门于2019年7月以洗钱等罪名起诉萨博。2020年6月,萨博以委政府特使身份前往伊朗,经停非洲国家佛得角时被捕,2021年10月被引渡至美国。2023年12月,根据美委达成的一项协议,美方释放萨博。
委内瑞拉身份识别、移民与外国人事务管理局说,萨博“涉嫌在美国实施多项犯罪行为”,相关驱逐程序已依法执行,未明确说明其将被送往何处。声明称萨博为“哥伦比亚公民”,似乎是为了规避委内瑞拉法律不允许引渡本国公民的规定。
驱逐可能会加深委内瑞拉副总统罗德里格斯脆弱执政联盟的分裂。罗德里格斯在马杜罗被捕后向美国资本开放石油和矿业,博得了美国的好感,但却激怒了许多更加激进的盟友。
(新华社,美联社)
世界卫生组织5月17日宣布,在刚果民主共和国和乌干达出现的由本迪布焦型病毒引起的埃博拉疫情已构成“国际关注的突发公共卫生事件”,但尚不符合“大流行病突发事件”标准。
世卫组织称,截至16日,刚果伊图里省已报告8例确诊、246例疑似和80例疑似死亡病例。刚果金沙萨16日报告1例确诊,来自伊图里省。乌干达坎帕拉报告2例确诊,均为来自刚果的旅客。
(世界卫生组织)
哈马斯军事领导人伊兹丁·哈达德已身亡。
以色列5月15日晚空袭加沙地带,造成至少7人死亡、50人受伤。以色列和哈马斯高级官员16日先后证实了哈达德身亡的消息。
消息人士称,当地民众在加沙城一处清真寺举行悼念仪式,哈达德的妻子和女儿也在以军空袭中丧生。
以色列称,哈达德是哈马斯2023年10月7日突袭以色列的策划者之一,也是任职时间最长的哈马斯指挥官之一。在哈马斯时任军事领导人穆罕默德·辛瓦尔被打死后,哈达德接任该职位。
(新华社)
特朗普5月15日宣布,美国和尼日利亚军队当天击毙了“伊斯兰国”在尼日利亚的领导人阿布-比拉勒·米努基。
尼日利亚总统博拉·蒂努布证实此次行动,称米努基与其多名副手在乍得湖盆地的基地遭遇袭击后死亡。
米努基是“伊斯兰国”在西非分支的领导人,经常在萨赫勒地区活动。他被视为“伊斯兰国”组织和资金的关键人物,一直在策划针对美国及其利益的袭击。
(美联社)
北京警方5月16日宣布,“盲人在盲道行走被电动自行车撞击并遭骑车人斥责”是摆拍,对26岁刘男和24岁江女采取刑事强制措施。
(首都网警)
🗣️ 把 AI 剩余额度 用电量百分比 的形式展示是什么样的体验?
试试 Agent Battery 这个小工具,挺适合 Claude Code / Codex 重度用户的
它把 AI 编程工具的剩余用量,直接显示成 Mac 状态栏里的“电量百分比”:
✅ 支持 Claude Code & Codex
✅ 显示 5 小时额度、周额度和重置时间
✅ 读取本地文件,不需要 API Key
✅ 适合经常在终端里跑任务、排查 Bug 的开发者
让你提前知道:我还剩多少用量,什么时候恢复
对高频 AI 编程用户来说,这种小提示还挺实用
2026-05-17 实用教程
1️⃣ IT与前沿AI: ComfyUI+PS全新工作流、扣子Coze入门教程、高阶PPT进阶课
2️⃣ 名企管理与职场: 宝洪江任职资格体系(一/二)、华为HR与干部管理、个人商业与营销实践课
3️⃣ 副业与搞钱: 26年知识付费月入10W+、短视频个人IP带货、影视解说/剪辑思维、招商方案系统实战
4️⃣ 理财与塑形: 家庭理财/低风险股票实操、闫帅奇腹肌马甲线打造、欧阳春晓体态矫正、摄影调色色彩课
OmniGet:一款开源跨平台桌面工具,主打“下载+学习”闭环
它支持 Hotmart、Udemy、Kiwify 等付费课程站
以及 YouTube、Instagram、TikTok、Bilibili 等视频平台,还原生支持种子文件下载
同时内置带时间戳笔记的播放器、Anki 式闪卡、Pomodoro 专注计时器、PDF/EPUB 阅读器等学习神器
完美解决囤课党“下载了却学不完”的痛点
👉
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。