老王的 Blog 想到啥就写点啥~~~

分类 vps 下的文章

Subconverter 高危漏洞:你的订阅转换服务器可能已被入侵 大部分公共订阅转换服务存在 RCE 漏洞——攻击者可以获取服务器控制权,盗走所有用户的节点信息。这不是理论风险,而是正在发生的事实。 漏洞概况 subconverter 是目前最流行的订阅转换后端项目,绝大多数在线转换服务都基于它搭建。它存在以下高危漏洞: 漏洞类型 影响版本 严重程度 状态 路径穿越泄漏 token 所有版本 🔴 高危 未修复 qx-script 未授权 RCE ≤ 0.7.1 🔴 紧急 0.7.2 已移除该接口 api_mode=false 无鉴权 RCE 所有版本 🔴 高危 官方认定为"特性" 漏洞详解 ...

- 阅读剩余部分 -

本地订阅转换:最彻底的隐私保护方案 如果你对节点安全有极致要求——或者你的节点特别珍贵——本地订阅转换是唯一 100% 安全的方案。节点信息永不离开你的电脑。 为什么需要本地转换? 前两篇文章分别介绍了: 在线转换的风险——节点可能被记录、服务器可能被入侵 CF Worker 方案——兼顾便利与安全,但数据仍经过网络 本地订阅转换则更进一步:整个转换过程在你的电脑上完成,数据不经过任何第三方服务器。 方案一:使用 subconverter 本地版 下载 从 subconverter 的 GitHub Releases 下载对应平台的预编译版本,或者使用 Docker: docker run -...

- 阅读剩余部分 -

用 Cloudflare Worker 搭建永不泄露的订阅转换服务 使用别人的订阅转换服务,但节点信息绝不泄漏——这听起来矛盾,但 Cloudflare Worker 的"中间人脱敏"方案让它成了现实。全程免费,部署只需 5 分钟。 核心思路:脱敏中转 这个方案的精妙之处在于一个灵感:既然在线转换一定会把节点发给后端,那就在发给后端之前,把节点里的真实 IP 和密码替换成随机值,等后端转换完再改回来。 这样,后端收到的是"假节点",转换出来的配置也是基于假节点生成的模板。Worker 拿到模板后,再把假的 IP 和密码替换回真的,返回给你。 最终结果: 你拿到正确的配置,而后端服务商永远不知道...

- 阅读剩余部分 -

订阅转换的隐私风险:你的节点可能正在裸奔 在线订阅转换很方便,但你的节点 IP、密码可能正被他人一览无余。本文系统梳理订阅转换的安全隐患,帮你认清风险在哪里。 为什么要关心订阅转换的安全? 每个用代理的人几乎都会用到订阅转换——把机场的订阅地址或自建节点链接,从一种格式转换成另一种。最常见的是将 VMess/SS/Trojan 节点链接转为 Clash/Mihomo 配置,或者反过来。 市面上主流的在线订阅转换服务(如肥羊、品云、边缘等)每天处理成千上万次转换请求。但一个被大多数人忽略的事实是: 你的节点信息在转换过程中,是明文经过别人服务器的。 一条典型的节点链接里包含什么? 服务器 IP ...

- 阅读剩余部分 -

三个爆火的开源项目:让 AI 写代码更聪明的工具箱 📝 原文来源:微信公众号 JackCui《3个爆火的开源项目,无需API Key的爬虫神器!》 做 AI 项目时最尴尬的事情往往不是"不会做",而是"做得太糙了"——代码冗余、页面走样、数据不干净。这篇文章整理了三个真正能改善 AI 工作流的开源项目,分别对应编码效率、网页克隆和数据采集三个环节。

- 阅读剩余部分 -

我把真实服务器的暴力破解日志喂给了 Qwen3.7-Max,结果…… 上周读到一篇文章——Fahd Mirza 把 Qwen3.7-Max 丢进一台正在被攻击的真实服务器,零人工干预完成了完整的安全审计。模型自己查了 auth.log、扫了端口、找到了活跃的暴力破解,甚至连 ufw 封禁规则都写好了。 读完之后我干了件事:把我三台服务器的攻防数据也丢进去,看看它在自己的数据上能说什么。 结果比我预想的要直白得多。 先看数据:三台机器,三种命运 我的基础设施刚好三台服务器,分别在中国大陆、香港和本地 NAS,暴露面和安全水位各不相同。这不是特意搭建的攻防靶场,而是每一台都在真实运行的业务服务器。...

- 阅读剩余部分 -