Saika

## 从 V2.1 到 V2.5EXP：进步有目共睹 自**25年12月**正式发布 **Axon V2.1** 以来，我们始终没有停下脚步。经过长达数月的深度测试与持续迭代，**26年3月**推出的 **Axon V2.5EXP** 在与 V2.1 的全面对比中展现出了**显著的性能跃升**——无论是在推理精度、响应速度还是任务泛化能力上，V2.5EXP 都交出了一份令人振奋的答卷。 > 📊 *"经过如此长时间的对比验证，我们可以自信地说：Axon V2.5EXP 是一次真正意义上的代际跨越。"* --- ## 🔥 下一步：Axon V3EXP 正式启航 在 Axon V2.5EXP 坚实基础上，我们即将迎来一次**架构级别的重大革新**。以下是本次升级的核心亮点： ### 🧠 全新模型架构 基于 V2.5EXP 的成功经验，我们对底层模型架构进行了**全面重构**，为下一阶段的能力突破奠定基础。 ### ⚡ 自研 DSRA 注意力架构 本次更新将引入我们**自主研发的 DSRA 注意力架构**。该架构旨在提升模型对关键信息的聚焦能力与长距离依赖的捕获效率，同时有效降低计算开销，实现**性能与效率的双重突破**。 ### 🔬 机器学习类型升级：迈向深度学习 模型的核心学习范式将从原有机器学习方案**全面升级为深度学习**，以更深层的网络结构、更强大的特征提取能力，释放 Axon 系列的全部潜力。 --- ## 📌 版本信息速览 | 项目 | 详情 | |---|---| | **新模型名称** | Axon V3EXP（暂定） | | **基础版本** | Axon V2.5EXP | | **核心升级** | DSRA 自研注意力架构 + 深度学习范式 | | **架构变动** | 模型架构全面重构 | | **状态** | 🔧 开发中，敬请期待 | --- ## 💬 写在最后 > *从 V2.1 的稳扎稳打，到 V2.5EXP 的厚积薄发，再到 V3EXP 的架构革新——Axon 系列的每一步，都在向着更远的未来迈进。* 感谢所有关注与支持 Axon 系列的朋友。**Axon V3EXP，即将到来。** --- *更多技术细节与正式发布时间，请持续关注后续公告。*

有bug都可以反馈到本帖中来，本帖会记录并跟踪所有bug情况

作为一款注重用户隐私的社区平台，MyndBBS 在安全设计上投入了大量精力。本文将介绍本论坛的技术安全细节，帮助您了解我们如何保护您的账号和数据安全。 --- ## 一、端到端加密（E2EE） 私信功能是本论坛的核心特性之一。我们采用 **端到端加密** 确保您的私人通信只有对话双方可以阅读，即使是服务器管理员也无法解密。 ### 加密架构 | 层级 | 技术方案 | 说明 | |------|---------|------| | 密钥交换 | P-521 ECDH | 椭圆曲线 Diffie-Hellman，提供 521 位安全级别 | | 后量子加密 | ML-KEM-1024 | 抗量子计算的密钥封装机制（X-Wing 混合方案） | | 密钥派生 | HKDF-SHA256 | 从共享密钥派生最终的 AES 加密密钥 | | 消息加密 | AES-256-GCM | 带认证标签的对称加密，防篡改 | ### 工作流程 1. 发送消息时，使用您的私钥与对方的公钥通过 ECDH 派生共享密钥 2. 结合 ML-KEM-1024 的共享密钥形成混合密钥材料 3. 通过 HKDF 导出 AES-256-GCM 会话密钥 4. 加密后的消息以 Base64 格式传输 ### 私钥保护 您的私钥本身使用独立的 AES-256-GCM 密钥加密存储。每次登录时，您需要输入密码解锁私钥。我们不会在服务器端存储您的明文私钥或密码。 --- ## 二、认证与授权体系 ### JWT 双 Token 机制 | Token 类型 | 有效期 | 存储方式 | |-----------|--------|---------| | Access Token | 15 分钟 | HttpOnly Cookie | | Refresh Token | 较长有效期 | HttpOnly Cookie | - Access Token 过期前会自动刷新，无需频繁登录 - Token 签名使用 HS256 算法，密钥由环境变量 `JWT_SECRET` 提供 - 生产环境下强制使用 HTTPS 传输（Secure Cookie） ### CASL 细粒度权限控制 我们采用 **CASL** 权限引擎实现基于角色的访问控制（RBAC）： | 角色 | 权限范围 | |------|---------| | SUPER_ADMIN | 完全控制权（manage all） | | ADMIN | 完全控制权（manage all） | | MODERATOR | 读取所有 + 管理面板访问权 | | 版主 | 仅限管辖分类内的管理权限 | | 普通用户 | 读写自己创建的内容 | | 游客 | 仅读取公开且无等级限制的内容 | 权限规则支持数据库驱动，允许管理员在不修改代码的情况下调整权限配置。 ### 会话管理 - 会话状态缓存在 Redis 中，加速验证 - 支持会话撤销（强制登出） - 被封禁用户无法通过缓存的 Token 继续访问 --- ## 三、无密码认证（Passkeys） 我们支持基于 WebAuthn 标准的 **Passkeys** 无密码登录。 ### 技术特性 - **平台认证器**：支持 macOS Keychain、Windows Hello、手机指纹等 - **Resident Key**：登录时无需输入用户名 - **用户验证**：优先要求生物特征验证（指纹、面容、PIN） ### 安全性优势 - 不存在密码泄露风险 - 无法被钓鱼攻击骗取 - 私钥永远不离设备 首次设置 Passkey 后，您可以在安全设置中管理已注册的认证器。 --- ## 四、两步验证（TOTP） 为账号安全提供额外保护层。 ### 加密存储 您的 TOTP 密钥（Base32 格式）不会明文存储在数据库中。我们使用： - **AES-256-GCM** 加密算法 - **HKDF-SHA256** 从 `JWT_SECRET` 派生加密密钥 - **认证标签（Auth Tag）** 检测密文篡改 - **`v1:` 前缀** 区分加密数据与遗留明文数据 ### 敏感操作二次认证 以下高风险操作需要进入 **Sudo 模式**（重新验证身份后执行）： - 删除已注册的 Passkey - 修改或禁用 TOTP 两步验证 - 修改安全相关的账号设置 --- ## 五、速率限制 为防止暴力破解、灌水和滥用，我们部署了多层级限流： | 场景 | 限制规则 | |------|---------| | 发帖/评论 | 5 分钟内最多 10 次 | | 文件上传 | 10 分钟内最多 5 次 | | 好友请求 | 1 小时内最多 20 次 | | 公开读取 | 1 分钟内最多 30 次 | 限流基于客户端 IP（经代理识别后的真实 IP）计算。 --- ## 六、HTTP 安全头部 后端使用 **Helmet.js** 设置安全相关的 HTTP 头部，包括但不限于： - `X-Content-Type-Options: nosniff` — 防止 MIME 类型嗅探 - `Content-Security-Policy` — 限制资源加载来源 - CORS 白名单 — 仅允许配置的域名跨域请求 ### CSRF 防护 针对非安全 HTTP 方法（POST/PUT/DELETE），我们验证： 1. `Origin` 请求头必须在允许的域名列表中 2. `X-Requested-With` 头必须为 `XMLHttpRequest` ### 文件下载安全 访问上传文件时： - 头像文件：以内联方式展示，设置 `Content-Disposition: inline` - 其他文件：强制下载，设置 `Content-Disposition: attachment` - 点文件（`.gitignore` 等）一律拒绝访问 --- ## 七、Cookie 安全配置 | 属性 | 值 | 作用 | |------|-----|------| | HttpOnly | true | 禁止 JavaScript 读取 | | Secure | production 环境为 true | 仅通过 HTTPS 传输 | | SameSite | lax | 限制跨站请求携带 | | Path | /api | 仅在 API 路径下生效 | --- ## 八、代码层面安全 ### 输入限制 - 请求体大小限制：**100KB** - URL 编码数据大小限制：**100KB** ### 安全默认值 - 隐藏 `X-Powered-By` 响应头 - 禁用调试模式 - 生产环境校验 `JWT_SECRET` 和 `JWT_REFRESH_SECRET` 必须不同 ### 审计日志 后端集成审计中间件，记录关键操作的元数据。 --- ## 九、隐私保护 - 私信内容采用端到端加密，服务器无法解密 - 数据库中不存储明文敏感信息 - 符合 GDPR 和《个人信息保护法》（PIPL）要求 --- ## 十、安全建议 作为用户，您也可以采取措施提升账号安全： 1. **启用 Passkeys**：使用生物特征登录，无密码泄露风险 2. **开启两步验证**：即使密码泄露，攻击者也无法登录 3. **使用强密码**：如果使用密码登录，确保密码足够复杂且唯一 4. **警惕钓鱼**：我们不会通过私信索要您的密码或验证码 5. **及时举报**：发现可疑行为或收到违规私信，请使用举报功能 --- MyndBBS 致力于为用户提供安全、可靠的社区环境。我们将持续关注安全领域的新技术，不断优化平台安全能力。 如您对安全有任何疑问或建议，欢迎通过站内渠道反馈。

各位用户： 为维护 MyndBBS 社区的健康氛围，保障所有用户的合法权益，我们依据《服务条款》第四条，特制定以下发帖行为规范。请您在发布内容前仔细阅读并严格遵守。 --- ## 一、基本原则 MyndBBS 是一个开放、包容、互助的社区平台。我们鼓励用户分享知识、交流观点、结交朋友。同时，每一位用户都有义务维护社区秩序，对自己的言行负责。 --- ## 二、禁止发布的内容 以下内容 **严禁** 在 MyndBBS 发布，一经发现，将根据违规程度给予删除、警告、临时封禁或永久封禁等处理： ### 1. 违法内容 - 任何违反中华人民共和国法律法规、国际法或您所在地区法律的内容 - 包括但不限于：传播淫秽色情信息、赌博、毒品相关内容、暴力犯罪等 ### 2. 侵犯性内容 - 诽谤、污蔑、侮辱、骚扰、威胁他人的文字、图片或视频 - 基于种族、民族、性别、宗教、性取向、年龄、残疾等的歧视性内容 - 任何形式的网络霸凌 ### 3. 侵权内容 - 未经授权发布他人的原创作品（文章、图片、音乐、视频等） - 侵犯他人商标、专利、商业秘密的内容 - 未经本人同意发布其个人信息（姓名、照片、联系方式等），即侵犯隐私权 ### 4. 垃圾信息与恶意内容 - 重复发布相同或相似内容（灌水） - 无关推广（广告、推销未经授权的商业内容） - 恶意软件、病毒、木马、钓鱼链接 - 任何试图破坏系统稳定或数据安全的行为 ### 5. 虚假信息 - 故意散布未经证实的谣言 - 伪造官方通知、系统消息或他人身份 - 误导性或欺诈性内容 --- ## 三、内容发布建议 为提升帖子质量，我们建议您： | 建议 | 说明 | |------|------| | 言之有物 | 发帖前请先搜索是否已有相关话题，避免重复 | | 分类明确 | 选择恰当的板块发布对应主题的帖子 | | 态度友善 | 即使观点不同，也请保持理性讨论 | | 尊重原创 | 引用他人内容请注明来源 | | 语言规范 | 使用清晰、准确的语言表达 | --- ## 四、年龄与账号责任 - **年龄要求**：您必须年满 16 周岁方可使用本服务。未满 16 周岁的用户需在父母或监护人同意并参与下方可使用。 - **账号安全**：请妥善保管您的账号凭证（包括密码和通行密钥），对您账号下发布的所有内容负责。如发现账号被盗用，请立即联系我们。 --- ## 五、违规处理 | 违规等级 | 行为示例 | 处理方式 | |---------|---------|---------| | 轻微 | 重复发帖、偏离主题 | 内容删除 + 警告 | | 中度 | 发布广告、轻微骚扰 | 临时封禁（1-30天） | | 严重 | 违法内容、严重侵权、多次违规 | 永久封禁 | 我们保留对违规行为进行独立判断的权利，并可在不事先通知的情况下执行处理。 --- ## 六、免责声明 您发布的内容代表您的个人立场，与 MyndBBS 无关。您应对自己发布的所有内容承担全部责任。因违规发布导致的一切后果，由发布者自行负责。 --- ## 七、结语 社区环境靠大家共同维护。我们希望通过这份规范，帮助每一位用户更好地参与社区讨论，同时保护大家的合法权益。 如您发现违规内容，欢迎通过站内举报功能反馈，我们将及时处理。 感谢您的理解与支持！

欢迎使用 MyndBBS！为确保社区健康有序，营造安全、尊重、高效的交流环境，我们依据《服务条款》制定本细则。请您在使用本论坛的私信功能时严格遵守。 --- ## 一、私信功能的安全使用红线 本论坛的"安全私信"功能是为注册用户提供的端到端加密通讯服务，旨在最大限度保障您的隐私安全。但加密不代表监管豁免，严禁利用该功能从事任何违法或破坏社区生态的行为。 ### 1. 严禁传播违法与违规信息 用户不得利用私信功能发送任何违反中华人民共和国法律、行政法规以及国际相关法律（如欧盟《通用数据保护条例》(GDPR)、中国《个人信息保护法》(PIPL)）的内容。这包括但不限于： - 涉及政治敏感话题、色情低俗、暴力恐怖、赌博诈骗的信息 - 宣扬仇恨、歧视（种族、宗教、性别等）的言论 - 任何侵犯他人名誉权、荣誉权的诽谤或辱骂性文字 ### 2. 严禁骚扰、威胁与欺凌 用户应尊重他人的人格尊严。禁止利用私信进行以下行为： - 持续发送无关信息，对他人进行恶意骚扰或"轰炸" - 发送恐吓、威胁性言论，或进行人身攻击 - 冒充他人、冒充论坛管理人员或冒充官方机构进行欺诈 ### 3. 严禁侵犯隐私与数据滥用 鉴于私信的私密性，用户更应恪守法律底线： - 禁止通过私信索取、收集、买卖或泄露他人的个人敏感信息（如身份证号、联系方式、家庭住址、生物识别信息等），严格遵守《个人信息保护法》关于未成年人保护的规定 - 禁止利用私信诱导用户点击恶意链接、下载含有病毒或木马的文件，或进行网络钓鱼（Phishing）攻击 - 禁止利用私信功能进行未经授权的商业广告推广、传销或垃圾信息群发 --- ## 二、用户义务与合规承诺 根据《服务条款》第2条（资格与年龄要求）与第4条（用户行为），您在使用私信功能时需履行以下义务： - **年龄要求**：若您未满 16 周岁（或您所在地区法律规定的相应年龄），您必须在父母或监护人的指导和同意下使用本服务，且监护人需对您的私信行为负责。 - **账号安全**：您有责任保管好您的账号凭据（Passkeys/密码）。如发现账号被盗用或未经授权使用，请立即通知管理员，以防止私信功能被用于非法目的。 - **自我承担**：鉴于私信数据采用端到端加密技术，平台服务器无法获取解密密钥，因此无法查看或留存私信明文内容。用户需自行承担私信内容的法律后果。 --- ## 三、违规处理与法律追责 依据《服务条款》第6条（终止与封禁），对于违反上述规范的用户，我们将采取严厉措施： | 处理措施 | 具体说明 | |---------|---------| | 技术处置 | 依据技术日志（发送行为、频率、账号关联等）进行风险评估，暂时或永久封禁私信发送功能 | | 账号封禁 | 严重违规行为（发送恶意软件、诈骗诱导等）将依据《服务条款》永久封禁账号并列入黑名单 | | 法律追责 | 依法配合司法机关调查，提供账号注册信息、登录日志等数据，追究法律责任 | 由于私信内容加密特性，平台无法主动监测具体内容。如您收到违规私信，请务必通过"举报"功能提交相关证据（如截图、上下文记录等），我们将依据举报材料进行核实并处理。 --- ## 四、争议解决与免责说明 鉴于私信功能的加密特性，若因用户自身发送违规内容导致的法律纠纷或账号封禁，平台不承担内容审查责任，但保留依据《服务条款》对违规账号进行处置的权利。用户应妥善保管自己的私信记录，若发生争议，需自行承担举证责任。 --- ## 五、温馨提示 > 网络并非法外之地。私信虽"私"，但法律监管无"盲区"。请各位用户珍惜账号信誉，文明沟通，共同维护 MyndBBS 的安全与清朗。

亲爱的社区朋友们： 大家好！ 首先，衷心感谢大家一直以来对我们社区的关注与支持。近期，我们正式上线了全新的论坛平台，采用我团队自主研发的后端系统，旨在为大家带来更流畅、更现代、更个性化的交流体验。 然而，不少热心用户已注意到：原Discuz论坛的历史数据（如旧帖、回复、积分记录等）并未在新平台中呈现。更有用户关心这些数据的去向。在此，我们郑重说明未进行数据迁移的原因，并就数据处理情况作出明确声明。 #### 数据因隐私保护已彻底删除 首先，我们确认：原论坛的所有数据——包括线上数据库及所有备份——均已因隐私保护原因被彻底、安全地删除。 原Discuz系统运行多年，数据结构复杂，且包含大量用户敏感信息（如密码哈希、邮箱、私信记录等）。在无法确保完全安全迁移的前提下，为杜绝任何潜在的隐私泄露风险，我们决定在新旧系统切换前，对原数据执行不可逆的清除操作。这一决策优先保障了每一位用户的数字安全，是我们对“用户隐私高于数据延续”原则的坚定践行。 #### 技术架构的根本性差异 原论坛基于Discuz这一成熟但架构陈旧的PHP+MySQL系统，其数据结构高度耦合，表设计复杂。而新论坛完全由我团队从零开发，采用现代化技术栈，数据模型、权限体系、内容存储方式均与Discuz完全不同。强行映射不仅工程量巨大，更可能引发数据错乱、关联断裂等问题。为避免“迁移成功但无法使用”的局面，我们选择不进行技术上不可控的迁移。 #### 产品理念的重塑 新论坛并非原平台的“升级版”，而是一次全新的出发。我们希望用户在新环境中以清晰的身份、干净的起点参与社区建设，而非被旧系统的等级、积分、标签所束缚。我们相信，真正的社区价值在于当下的互动与未来的内容共创。 #### 我们的承诺与新起点 虽然历史数据无法保留，但我们珍视每一位用户的存在与贡献： - **历史存档已不可恢复**：因数据已彻底删除，无法提供旧内容查阅或导出服务，敬请谅解。 - **新平台将更快迭代**：我们将把资源集中于新功能开发，打造更优质的社区环境。 - **鼓励新内容共创**：我们欢迎您将重要观点、经验或创作在新平台重新发布，共同构建属于当下的社区记忆。 我们深知，一次“清零式”的切换可能让您感到遗憾。但请相信，这一决定是基于对用户隐私安全的最高承诺与对社区长远发展的审慎考量。 感谢您的理解与同行。让我们在新起点，共同书写新的篇章。 KoloBBS 管理团队 2026/5/19