Chenkaixuan's Blog

Embrace The Grind
Leave It All To God

Visitors: 993 | Views: 2395 | Analytics by Umami
0%

科技补全101:一秒偷走所有账号密码,你的浏览器有多危险?

发表于 分类于
浏览器明文存储密码的安全隐患分析,以及豆包收费、三星退出中国、Linux新提权漏洞、Chrome后台下载AI模型等一周科技动态汇总

视频链接:https://v.douyin.com/KJDVx7wJz7Q/

浏览器密码安全:你的密码真的安全吗?

安全研究员 Tom Uren 在 X 上发帖指出,Arc 浏览器会在打开时将用户保存的所有密码以明文形式加载到内存中,只需读取内存数据就能一键提取所有密码。相比之下,同样使用 Chromium 内核的 Chrome 等浏览器则会在内存中加密相关数据,仅在需要时解密。

Arc 官方对此回应称,这属于设计特性,不是安全问题,并选择”工质余重”。Tom Uren 在 GitHub 上开源了一个验证工具,实测确实可以一键提取所有密码,直接在内存中搜索也能找到明文保存的数据。

虽然此次问题仅针对 Arc,但这并不意味着其他浏览器就能保护好你的密码。如果别人能物理接触你的电脑,浏览器保存的所有数据几乎等于裸奔。比如开源项目 HackBrowserData,可以一键提取浏览器上保存的:

  • 账号密码
  • 书签
  • Cookie
  • 下载记录
  • 浏览记录
  • 已安装的扩展

支持 Windows、macOS、Linux 全平台,覆盖 Chrome、Edge、Firefox、Safari 等主流浏览器。此外还有 System Information for Windows 这类工具,不仅能提取浏览器密码,还能拿到 WiFi 密码、硬件信息、软件信息等。

结论:浏览器在内存中明文保存密码虽然看起来离谱,但只是降低了一些获取数据的门槛。真正重要的是——不要让别人随意使用你的电脑

CC Switch:AI 编码工具的模型切换器

2026 年是 AI Agent 的时代,Claude Code、Codex、Open Code 等工具百花齐放,但随之而来的是在不同工具间切换模型的配置难题。

CC Switch 解决了这个痛点:选择目标工具,点击加号添加模型提供商,填写 API Key 后即可一键切换。支持功能包括:

  • 多模型快速切换(重度任务用 Claude,轻度任务切换到高性价比国产模型)
  • 查询模型用量
  • 故障转移:一个模型不稳定时自动切换到备用模型

Deepseq TUI:终端里的 AI Agent

有人为 Deepseq 开发了一个专用的终端 Agent,可以写代码、读写本地文件、执行命令、搜索浏览网页等。目前在 GitHub 上非常火爆,几天就拿到了 20K+ Star。

同期还有 Deepcode 等 Agent 项目也很火。但说实话,目前各种 Agent 工具实在太多,AI 厂商自己出的、开源的数不胜数。对于普通用户来说,体验差别并没有那么大,如果你已经有了顺手的工具,没必要折腾

开源工具速览

用户名搜索工具:输入一个用户名,自动从 3000+ 网站搜索同名用户,找出所有主页并生成报告。海外平台信息很全,国内平台也有一些覆盖。如果在意互联网隐私,建议多准备几个不同的用户名。

开源剪辑软件:目标替代剪映,基础剪辑功能已经很齐备,还有文字转语音、自动生成字幕等 AI 功能。适合做基础剪辑,专业创作还是需要专业软件。

开源桌宠:可以陪你学习工作、互动的桌面宠物,支持创意工坊,可以嵌入到自己的软件里或定制专属桌宠。

行业动态

三星家电退出中国大陆

三星发布公告,因市场环境变化,决定在中国大陆市场停止销售包括电视、显示器在内的所有家电产品,已购买用户售后不受影响。目前三星在售的家电产品涵盖电视、音响、投影仪、冰箱、洗衣机、空调等。据韩联社报道,三星家电业务盈利能力持续下滑,部分部门已出现亏损。

豆包即将收费

根据 App Store 页面信息,豆包将上线收费订阅服务:

  • 连续包月:68 / 200 / 500 元
  • 连续包年:688 / 2048 / 5088 元
  • 基础服务继续免费

金融产品支付新规

《非银行支付机构网络支付业务管理办法》规定,从 9 月 30 日起,非银行支付机构不得将贷款、资产管理产品等列入支付工具选项。余额宝、零钱通等属于资产管理产品,花呗、白条属于贷款产品,届时都可能受到影响。不过腾讯和蚂蚁都有自己的银行牌照,可能会有规避方案。

AI 行业快讯

  • OpenAI 上线广告平台:商家可购买广告,根据用户聊天内容个性化展示。广告仅对成年免费用户和付费用户展示,用户可自行关闭(关闭后额度会减少)
  • OpenAI 发布三款语音模型:高级推理、实时翻译、实时语音转文字
  • GPT 5.5 发布:更适合日常聊天,能更好利用记忆,将成为 ChatGPT 默认模型
  • Codex 推出 Chrome 扩展:可在浏览器中运行访问网站的任务
  • 马斯克宣布 XAI 作为独立公司解散,AI 业务整合进 SpaceX
  • Anthropic 与 SpaceX 达成合作:可使用 Colossus 数据中心 22 万张 GPU 全部算力,用于提高 Claude Code 和 Claude API 的使用额度,相关变更已生效
  • 小米开源 OmniVoice:声音克隆模型,几秒语音即可克隆相似音色,支持 600+ 语言
  • 百度发布文心 5.1 模型

安全警报:Linux 新提权漏洞

一个新漏洞几乎覆盖当前所有主流 Linux 发行版,利用非常简单,只需执行一个脚本就能从任意用户提权到 Root。该漏洞由两个问题串联而成,其中一个问题的补丁和缓解措施已发布,请尽快更新系统。

Google 动态

  • Android 限制引发抗议:Google 计划今年 9 月对安卓系统实施限制,引发 22 个国家 70 个组织签署公开信抗议。不过 Google 此前已因抗议多次妥协,最新方案是 3 月发布的,可能不会再调整
  • Chrome 自动下载 4G AI 模型:最新版 Chrome 会在需要时自动下载一个 4GB 的本地 AI 模型,提供网页总结、智能辅助等功能。如不需要,可在设置中关闭

盗版警示案例

本周两起盗版相关判刑案例:

  1. 家庭检察院白皮书案例
  2. 央视报道:影视 app 开发者徐茂,因嫌盗版影视网站广告太多,自己写了一个 app,提取盗版网站资源并去除广告,实现打开即看。用户越来越多后动了心思,最终非法获利 529 万,被警察抓获

核心教训:和盗版内容相关且有获利行为,被发现之后必然出事。

iPad 限免游戏

本周 iPad 三款游戏可免费领取:

  1. 便费维保哥布林:店铺经营类游戏,扮演经营古董店的哥布林,从土块中发掘小物品并修复改造出售
  2. Puzzling Adventure:网格解谜经营游戏,推箱子、躲障碍、打怪物、触发机关,不拼手速只拼思考
  3. T-Cup:治愈系叙事小游戏,跟随剧情收集食材、逛小镇、和小动物聊天,适合小朋友

以上就是本期科技补全的内容。