WaveYo Blog 全球站

距离上一篇写 Cloudflare全球互联网瘫痪：安全升级的好心办坏事 还没满一个月，Cloudflare 的 Status Page 在 12 月 5 日又红了一片。

上次是因为代码发布的流程问题，而这次的情况稍微复杂点——简单来说，是为了修补一个紧急漏洞，结果把网给修断了。SRE 最不想遇到的经典电车难题：是要安全性，还是要可用性？

结合官方刚出的 Post-mortem 和最新的 CVE 信息，简单记录一下这次持续了 25 分钟的全球中断。

背景：React2Shell (CVE-2025-55182)

如果不看这个漏洞，就没法理解 Cloudflare 为什么操作得这么急。

12 月 3 日，React 团队披露了 CVE-2025-55182，社区里叫它 “React2Shell”。这是一个针对 React Server Components (RSC) 和 Next.js 的反序列化漏洞。攻击者即使没有权限，也能通过构造特定的 HTTP 请求在服务端执行代码。

因为利用门槛低，从 AWS 和 CISA 那边传来的消息看，漏洞披露没多久野外就已经开始有扫描和利用尝试了。对于托管了大量 Next.js 应用的 Cloudflare 来说，如果不拦截，很多客户的源站会被打穿。

How

基于Hoshino-Yumetsuki的repo 做了改进，实现纯GitHub Action拉取npmjs仓库里的全部koishi-plugins

拉取的完整json与预制的index.html商店预览将会被Action Push到pages分支

只需要通过各类静态资源Pages部署服务选择到你的fork仓库的 pages 分支再添加一个域名就可以实现定时拉取的Koishi-Registry

比如 腾讯云EdgeOne Pages国内版，如此就简单实现了商店镜像，全程只需要点点点

2025年11月29日
作者：@郑阑干 @水中的羊

一、共和国的前30年

一个国家的性质取决于统治阶级的性质，自共和国成立以来，我国国体一直都是人民民主专政。人民是谁?是广大的无产阶级劳动人民吗?这个还是难说的。

从前30年来看(1949年到1976年)，当时中国共产党夺取政权，建立人民共和国，并在后来几年通过“一化三改”，完成了中国的社会主义改造；在全国范围内建立了国营企业和人民公社，并以粮食统购统销制度保障中国的粮食分配：通过工农业产品剪刀差*获得中国工业的资本积累；用“赤脚医生”制度”来弥补农村医疗水平的不足。

事件背景

2025年11月18日，全球最大的互联网基础设施服务商之一 Cloudflare 遭遇一次严重的中断事件。从各类商务网站，到社交媒体，再到在线支付，全球超半数的依赖 Cloudflare 提供的服务的网站和应用都受到了影响。用户在访问这些网站时普遍会收到 HTTP 5xx 错误，如 502 Bad Gateway。

在随后的 Cloudflare 官方调查中证明了这不是一次外部网络攻击（DDoS），而是由于内部软件的配置错误引发的连锁崩溃。

一、宏图伟志：构建下一代模块化服务架构

在微服务与云原生技术蓬勃发展的今天，传统单体架构的臃肿性已成为制约开发效率的核心痛点。WaveYo-API以 “模块即插件，开箱即服务” 为核心理念，致力于打造一个 标准化、高内聚、低耦合 的开源后端架构。其长远目标直指三大方向：

1. 建立插件开发黄金标准：通过严格的命名规范、依赖管理机制和日志体系，终结开源社区中插件质量参差不齐的乱象
2. 实现真正的功能热插拔：允许开发者在运行时动态加载/卸载功能模块，无需重启即可扩展系统能力
3. 构建Git托管插件市场： Git优先战略，充分利用现有代码托管平台的成熟生态