/tag/守护

把抢机脚本从 Cloud Shell （断连就停）改成了跑在自己机器上的 launchd 守护进程，连跑直到抢到。几个关键点踩出来分享下： 用 API 签名密钥别用 session token （会过期）。 错误按消息文本分类：Out of host capacity 其实是 500 InternalError ，不能只看状态码； 429 要退避。 OCI CLI 默认对 5xx 内部重试退避~110s ，把轮换节奏全打乱→launch 加--no-retry 秒返回。 抢到即停且不能抢第二台：launch 不加 --wait-for-state （退 0=已建无歧义）+每次 launch 前查存量+KeepAlive{SuccessfulExit:false}+哨兵守卫扛重启。 Oracle Ubuntu 镜像自带 iptables 挡 80/443 （只放行 22 ）+默认 MTU 9000 ，装 Web 服务记得处理。 抢中率最大杠杆：升级 PAYG （只用免费额度仍 $0 ，但拿容量优先级高得多）。 升级 PAYG 后约 1 小时抢到 4 核/24G 。机器拿来给我的 IP 检测小工具 ipok.io 做双栈 echo 端点了。有需要细节的可以交流。

把抢机脚本从 Cloud Shell （断连就停）改成了跑在自己机器上的 launchd 守护进程，连跑直到抢到。几个关键点踩出来分享下： 用 API 签名密钥别用 session token （会过期）。 错误按消息文本分类：Out of host capacity 其实是 500 InternalError ，不能只看状态码； 429 要退避。 OCI CLI 默认对 5xx 内部重试退避~110s ，把轮换节奏全打乱→launch 加--no-retry 秒返回。 抢到即停且不能抢第二台：launch 不加 --wait-for-state （退 0=已建无歧义）+每次 launch 前查存量+KeepAlive{SuccessfulExit:false}+哨兵守卫扛重启。 Oracle Ubuntu 镜像自带 iptables 挡 80/443 （只放行 22 ）+默认 MTU 9000 ，装 Web 服务记得处理。 抢中率最大杠杆：升级 PAYG （只用免费额度仍 $0 ，但拿容量优先级高得多）。 升级 PAYG 后约 1 小时抢到 4 核/24G 。机器拿来给我的 IP 检测小工具 ipok.io 做双栈 echo 端点了。有需要细节的可以交流。

前排先说定位：这个不是 Cursor++ 那种 BYOK / 协议接管方案，也不是模型中转。 它更像是我自己日常用 Cursor 时攒出来的一组“小补丁”：专门处理几个高频但很烦的点。 MAX Mode 偶尔误开，手一滑就开始心疼余额 mcp-feedback-enhanced 的 interactive_feedback 要切 WebUI 回复，打断心流 中文输入法组字时按回车上屏，被 Cursor 当成发送 / 提交 于是揉成了一个本机 workbench 增强包，装上后随 Cursor 启动自动加载。 项目地址： https://github.com/Srgay/cursor-extension npm 包： @srgay/cursor-extension 直接开始 需要 Node.js >= 20。 持久安装： npx @srgay/cursor-extension install 卸载还原： npx @srgay/cursor-extension uninstall 安装后需要完整退出 Cursor，再重新打开。 如果 Cursor 更新后功能没了，大概率是 workbench.html 被覆盖了，重新执行一次 install 即可。 它做了什么 1. MAX Mode 守护 这个是防手滑用的。 脚本会检测 Cursor 输入框附近的彩色 MAX 标记，如果发现菜单里的 MAX Mode 当前是开启状态，会尝试自动关掉。 另外，如果彩色 MAX 还在，并且聊天框里已经有内容，会做两层保护： 输入框显示醒目的红色渐变边框 禁用发送控件，并拦截点击发送 / 回车发送 主要目标就一个：别让自己迷迷糊糊把一大段任务用 MAX Mode 发出去。 2. MCP Follow-up 面板 如果你在用 mcp-feedback-enhanced ，应该会遇到这个场景： Agent 跑着跑着调用 interactive_feedback ，然后你要切到它自己的 WebUI 里回复。 这个工具会在 Cursor 聊天输入框上方塞一个小面板，直接连接本机 mcp-feedback-enhanced 的 WebSocket： 自动扫描 8765-8769 端口 识别正在等待反馈的 session 可以直接在 Cursor 里回复 feedback 支持多个项目同时开着时，按当前 Cursor 工作区自动匹配对应端口 支持常用提示词下拉 支持自动提交配置，比如等一段时间后自动发某个预设提示词 这个是我自己体感最明显的部分，因为不用在 Cursor 和反馈 WebUI 之间来回切了。 3. 中文输入法回车修复 这个问题很细，但碰到就很烦。 用拼音 / 注音这类中文输入法时，组字过程中按回车本来应该只是“上屏候选词”，但某些 Cursor 输入框会把这个回车当成提交。 脚本会在更早的捕获阶段识别输入法 composing 状态，拦住这次回车继续传给应用层的提交逻辑，但不会 preventDefault ，所以输入法本身仍然可以正常上屏。 目前也覆盖了 Cursor 里 AskQuestion 的 Other 输入框。 临时注入方式 日常推荐上面的 install。 如果只是想调试，也可以用 CDP 临时注入。这个方式重启 Cursor 后会失效。 macOS 先这样启动 Cursor： open -na /Applications/Cursor.app --args --remote-debugging-port=9222 然后： npx @srgay/cursor-extension inject 只注入某一个功能： npx @srgay/cursor-extension inject max npx @srgay/cursor-extension inject followup npx @srgay/cursor-extension inject ime 自定义路径 / 端口 如果 Cursor 不在默认安装目录，可以指定 workbench 目录： CURSOR_WORKBENCH_DIR="/path/to/workbench" npx @srgay/cursor-extension install 临时注入时自定义 CDP 端口： CURSOR_DEBUG_PORT=9333 npx @srgay/cursor-extension inject MCP 面板读写配置时会用到本机 python，默认会自动探测。少数 Windows 环境如果探测不对，可以手动指定： CURSOR_MCP_PYTHON=python npx @srgay/cursor-extension install 已知边界 目前是本机增强脚本，会 patch Cursor 的 workbench.html Cursor 更新可能覆盖 patch，需要重新 install Windows 如果 Cursor 安装在 C:\Program Files 这类受保护目录，可能要管理员 PowerShell MCP Follow-up 面板依赖 mcp-feedback-enhanced 本身已经在本机跑起来 端口自动扫描默认只扫 8765-8769 Cursor 内部 DOM 如果大改，相关选择器可能需要跟着修 状态检查 在 Cursor DevTools 里可以看几个对象： window.__cursorMaxModeGuard.status() window.__cursorMcpFollowup.status() window.__cursorImeEnterFix.status() 如果 MCP 面板没挂上，也可以试： window.__cursorMcpFollowup.remount() window.__cursorMcpFollowup.scan() window.__cursorMcpFollowup.reconnect() 最后 这个东西本质上就是我给自己 Cursor 工作流补的三个小洞，功能不大，但每天用的时候能少几次“啊？”。 如果你刚好也有这些痛点，可以试一下： npx @srgay/cursor-extension install 有问题欢迎评论区反馈，我看情况继续修。 1 个帖子 - 1 位参与者 阅读完整话题

半月，3,500+ 注册用户。 不是广告堆出来的，是从一堆中转里被一次次稳定的 200 响应留下来的。 专注 Max 分组｜技术团队全天值守｜真实倍率、真实算力、真实日志可对账。 一、为什么团队会从别家迁过来？ 我们做的不是"卖 token"，而是为 AI Coding 团队 提供一条 稳定、可审计、可托付 的算力链路。 上线 15 天，3,500+ 用户用脚投票——这不是巧合，是工程化运营的必然结果。 二、核心承诺：把"行业潜规则"摊到台面上 维度 行业常态 Green Mountain 倍率 标 1.2x，实际虚标 1.5x+ 真实 1.2x ，随时拉日志对账 号池 多家上游混卖、串号 自建 Claude Max 号池 ，单一可控源 分组 Max / Pro / 共享池混合出售 物理隔离 ，绝不混池 维护 出故障才响应 每日主动巡检 + 灰度演练 永不掺假 · 永不混卖 · 永不甩锅 —— 写进公告，也写进每一次调用。 三、技术亮点：把成本结构透明化 对深度使用 Claude Code / Cursor / Cline 的团队， Token 成本 = 研发成本 。 自研智能缓存机制 针对系统提示词、工程上下文、Few-shot 模板等高频重复场景， 缓存命中率稳定 90%+ ，把原本被白白消耗的算力直接转化为团队的成本优势。 全链路自建 Max 号池 拒绝任何第三方上游中转，杜绝"上游跑路 / 降级 / 限流"三大不确定性。你看到的每一个 token，都来自我们自己的资源池。 数据安全闭环 请求 不留痕、不训练、不分析 。企业敏感代码上行，我们 不碰、不存、不看 。 四、面向企业客户 不仅服务个人开发者，更欢迎企业级深度合作： 官方开票 私有化分组 / 独立速率限制 定制化套餐 + SLA 承诺 接入咨询 · 成本测算 · 一对一商务 商务对接微信： shan191810 五、 LinuxDO 佬友专属福利 为感谢社区一路以来的关注，本次特别准备： 使用 LinuxDO 登录的用户赠送 $10 测试额度 非自动到账，需通过以下任一方式领取： QQ 群联系客服 LinuxDO 私聊 本帖楼下回复 支持 LinuxDO 一键登录 ，免注册门槛 QQ 交流群实时答疑 ： 1091368043 立即体验 Green Mountain Claude 中转站 → Claude中转站 点击直达 我们不靠话术留住用户，靠的是 每一次稳定的 200 响应 。 半个月，3,300 人选择了我们；下一个，会是你的团队吗？ —— Green Mountain Team 让每一次 Claude 调用，都值回成本。 14 个帖子 - 14 位参与者 阅读完整话题

Green Mountain · Claude AI 企业级中转服务 专注 Max 分组｜技术团队 7×24 守护｜真实倍率 · 真实算力 一、为什么越来越多团队选择 Green Mountain？ 上线仅半月， 3,300+ 注册用户 用脚投票，从茫茫中转中将信任交付于我们。 不是巧合，而是工程化运营带来的必然结果。 我们做的从来不是"卖 token"，而是 为 AI Coding 团队提供一条稳定、可审计、可托付的算力链路 。 二、核心承诺：把"行业潜规则"摆到台面上 维度 行业常态 Green Mountain 倍率 标 1.2x 实际虚标 1.5x+ 真实 1.2x，欢迎随时拉日志对账 号池 多家上游混卖、串号 自建 Claude Max 号池，单一可控源 分组 Max / Pro / 共享池混合出售 分组物理隔离，绝不混池 维护 出故障才响应 技术团队每日主动巡检 + 灰度演练 永不掺假 · 永不混卖 · 永不甩锅 —— 写进公告，也写进每一次调用。 三、技术亮点：把成本结构透明化 我们深知，对于深度使用 Claude Code / Cursor / Cline 的团队， Token 成本就是研发成本 。 Green Mountain 自研智能缓存机制 针对高频重复调用场景（系统提示词、工程上下文、Few-shot 模板），缓存命中率 稳定在 90%+ ，将原本被白白消耗的算力直接转化为团队的成本优势。 全链路自建 Max 号池 拒绝任何第三方上游中转，彻底杜绝"上游跑路、上游降级、上游限流"三大不确定性。 你看到的每一个 token，都来自我们自己的资源池。 数据安全闭环 请求不留痕、不训练、不分析。企业敏感代码上行，我们不碰、不存、不看。 四、面向企业客户 我们不仅服务个人开发者，更欢迎企业级深度合作： 官方开票 私有化分组 / 独立速率 定制化套餐与 SLA 承诺 接入咨询 · 成本测算 · 一对一商务 商务对接微信：shan191810 五、佬友福利 · 限时体验 为感谢 LinuxDO 社区一路以来的关注，本次特别为各位佬友准备： 使用LinuxDo登录的用户赠送 $10 测试额度 领取需要加QQ群联系客服 或者LinuxDO私聊 帖子回复都可以 不是直接到账的！ 支持 LinuxDO 一键登录，免注册门槛 QQ 交流群实时答疑：1091368043 立即体验 Green Mountain Claude 中转站 → 点击直达 我们不靠话术留住用户，靠的是每一次稳定的 200 响应。 半个月，3300 人选择了我们；下一个，会是你的团队吗？ —— Green Mountain Team 让每一次 Claude 调用，都值回成本 12 个帖子 - 6 位参与者 阅读完整话题

今日随想： 注意力对于个人，就像是储备粮之于国家。 一天有很多工作要做，而这些都需要注意力来支撑你的思考。干完一个工作任务，就需要休息，去恢复注意力。类似国家充实粮仓 但不要把休息时间花在刷信息流上，比如无用新闻、短视频和各种碎片信息上。 浏览这些东西时，看起来只是"休息一下"，但实际上是在继续刺激大脑，消耗注意力和耐心。类似寅吃卯粮。 我所体会到的真正的休息，是从刺激中断开： 放空，什么都不干 ；比如脑袋放空的散步。 或者切换到一些不费脑、不需要持续反馈的轻任务。比如打扫卫生。 让大脑在这个过程中清理前面用脑工作产生的垃圾，恢复其精力槽。 让自己有足够的冗余注意力，投入到下一个正事上。 3 个帖子 - 3 位参与者 阅读完整话题

呜呜呜，想念GGBOOM，守护全世界最好的GGBOOM 1 个帖子 - 1 位参与者 阅读完整话题

IT之家 5 月 12 日消息，据科技媒体 Phoronix 今天报道，英特尔多年来一直在开发低功耗模式守护进程（IT之家注：LPMD）， 帮助混合架构移动端、桌面端 CPU 在操作系统下实现更优秀能效表现 。 据报道，LPMD 可利用硬件特性优化处理器空闲状态的功耗，并在条件允许的情况下，让电脑进入更低功耗的模式。而现在，这套机制未来可能进入 Linux Kernel 内核源码。 英特尔工程师今天已经提交一组补丁，让 LPMD 适配 Linux 内核的工具结构。目前该代码已经进入审查阶段，Linux 内核维护者将对其进行讨论。 此外，本次提交的 LPMD 相比 GitHub 版有所改动，整个代码库重新按照 Linux 内核编码风格格式化，移除 autogen 系统，但功能与原版差异不大。

最近一段时间发生了多次投毒事件，恶意代码随意读取 ~/.ssh 、.npmrc 、等机密文件然后静默上传。整个过程中系统没有任何阻拦。机密文件的泄露后导致的密钥轮换工作操作了不少额外的工作和风险，所以最近 Vibe Coding 了一个简单的工具，来尝试解决这个问题。 下面简单介绍一下开发的思路和实现原理，更详细内容可以阅读 https://www.npmjs.com/package/@yangch/shield 的 README.md 它做了什么 Shield 是一个基于 FUSE （用户空间文件系统） 的 macOS 命令行工具，能让你指定的敏感文件在被任何进程读取时，弹出一个原生对话框问你“允许还是拒绝”。 技术实现细节 核心流程只有三步：文件重定向 → FUSE 拦截 → 用户授权。 1.存储与重定向 当你执行 shield add ~/.ssh/id_rsa 时： 原始文件被移动到 /usr/local/var/shield/storage/ 下对应的路径 原位置创建一个符号链接，指向 FUSE 挂载点 /usr/local/var/shield/mount/ 下的相同路径 之后，任何对 ~/.ssh/id_rsa 的读写都会经过这个 FUSE 挂载点，由守护进程接管。 2.FUSE 层拦截 Shield 内部运行一个 shield-daemon ，它通过 FUSE 实现了一个简单的文件系统。当进程执行 open() 调用试图打开受保护的文件时，内核将该调用转发到守护进程的 FUSE 处理函数。 这里使用的是 fuse-t （推荐，无需内核扩展，支持 macOS 13+），也可以回退到 macFUSE 。整个拦截发生在用户空间，不影响系统稳定性。 3.用户授权对话框 守护进程收到访问请求后，通过调起一个原生 macOS 对话框，选择 Allow 会放行本次读取，并缓存授权 10 秒。在这 10 秒内，同一文件再次被读不会重复弹窗，避免频繁打扰。选择 Deny 则直接返回错误给调用方，调用方会收到类似 Operation not permitted 的结果，文件内容不会被泄露。 所有授权/拒绝决定都会被写入日志，事后可以审计。 4.后台驻留 Shield 作为 launchd 服务运行，开机自启。用户可以通过 shield start/stop/status 管理守护进程，不占用 Dock 或菜单栏，静默运行。 安装与使用 # 先安装 fuse-t （推荐，无 kext ） brew install fuse-t # 安装 Shield sudo npm install -g @yangch/shield # 初始化并启动服务 sudo shield install # 添加要保护的文件 sudo shield add ~/.ssh/id_rsa sudo shield add ~/.aws/credentials sudo shield add ~/.npmrc # 查看守护列表 shield list # 移除保护（会还原文件到原始位置） sudo shield remove ~/.ssh/id_rsa 之后只要你在使用系统，任何对受保护文件的读取都会弹窗询问。 一些说明 1 、只支持 macOS ，推荐使用 fuse-t （用户空间，无需批准内核扩展），Windows 暂时还没有支持。 2 、目前只拦截了文件的访问，但是并未对原文件做加密，只能阻拦有针对性的机密文件获取。

最近一段时间发生了多次投毒事件，恶意代码随意读取 ~/.ssh 、.npmrc 、等机密文件然后静默上传。整个过程中系统没有任何阻拦。机密文件的泄露后导致的密钥轮换工作操作了不少额外的工作和风险，所以最近 Vibe Coding 了一个简单的工具，来尝试解决这个问题。 下面简单介绍一下开发的思路和实现原理，更详细内容可以阅读 https://www.npmjs.com/package/@yangch/shield 的 README.md 它做了什么 Shield 是一个基于 FUSE （用户空间文件系统） 的 macOS 命令行工具，能让你指定的敏感文件在被任何进程读取时，弹出一个原生对话框问你“允许还是拒绝”。 技术实现细节 核心流程只有三步：文件重定向 → FUSE 拦截 → 用户授权。 1.存储与重定向 当你执行 shield add ~/.ssh/id_rsa 时： 原始文件被移动到 /usr/local/var/shield/storage/ 下对应的路径 原位置创建一个符号链接，指向 FUSE 挂载点 /usr/local/var/shield/mount/ 下的相同路径 之后，任何对 ~/.ssh/id_rsa 的读写都会经过这个 FUSE 挂载点，由守护进程接管。 2.FUSE 层拦截 Shield 内部运行一个 shield-daemon ，它通过 FUSE 实现了一个简单的文件系统。当进程执行 open() 调用试图打开受保护的文件时，内核将该调用转发到守护进程的 FUSE 处理函数。 这里使用的是 fuse-t （推荐，无需内核扩展，支持 macOS 13+），也可以回退到 macFUSE 。整个拦截发生在用户空间，不影响系统稳定性。 3.用户授权对话框 守护进程收到访问请求后，通过调起一个原生 macOS 对话框，选择 Allow 会放行本次读取，并缓存授权 10 秒。在这 10 秒内，同一文件再次被读不会重复弹窗，避免频繁打扰。选择 Deny 则直接返回错误给调用方，调用方会收到类似 Operation not permitted 的结果，文件内容不会被泄露。 所有授权/拒绝决定都会被写入日志，事后可以审计。 4.后台驻留 Shield 作为 launchd 服务运行，开机自启。用户可以通过 shield start/stop/status 管理守护进程，不占用 Dock 或菜单栏，静默运行。 安装与使用 # 先安装 fuse-t （推荐，无 kext ） brew install fuse-t # 安装 Shield sudo npm install -g @yangch/shield # 初始化并启动服务 sudo shield install # 添加要保护的文件 sudo shield add ~/.ssh/id_rsa sudo shield add ~/.aws/credentials sudo shield add ~/.npmrc # 查看守护列表 shield list # 移除保护（会还原文件到原始位置） sudo shield remove ~/.ssh/id_rsa 之后只要你在使用系统，任何对受保护文件的读取都会弹窗询问。 一些说明 1 、只支持 macOS ，推荐使用 fuse-t （用户空间，无需批准内核扩展），Windows 暂时还没有支持。 2 、目前只拦截了文件的访问，但是并未对原文件做加密，只能阻拦有针对性的机密文件获取。

最近一段时间发生了多次投毒事件，恶意代码随意读取 ~/.ssh 、.npmrc 、等机密文件然后静默上传。整个过程中系统没有任何阻拦。机密文件的泄露后导致的密钥轮换工作操作了不少额外的工作和风险，所以最近 Vibe Coding 了一个简单的工具，来尝试解决这个问题。 下面简单介绍一下开发的思路和实现原理，更详细内容可以阅读 https://www.npmjs.com/package/@yangch/shield 的 README.md 它做了什么 Shield 是一个基于 FUSE （用户空间文件系统） 的 macOS 命令行工具，能让你指定的敏感文件在被任何进程读取时，弹出一个原生对话框问你“允许还是拒绝”。 技术实现细节 核心流程只有三步：文件重定向 → FUSE 拦截 → 用户授权。 1.存储与重定向 当你执行 shield add ~/.ssh/id_rsa 时： 原始文件被移动到 /usr/local/var/shield/storage/ 下对应的路径 原位置创建一个符号链接，指向 FUSE 挂载点 /usr/local/var/shield/mount/ 下的相同路径 之后，任何对 ~/.ssh/id_rsa 的读写都会经过这个 FUSE 挂载点，由守护进程接管。 2.FUSE 层拦截 Shield 内部运行一个 shield-daemon ，它通过 FUSE 实现了一个简单的文件系统。当进程执行 open() 调用试图打开受保护的文件时，内核将该调用转发到守护进程的 FUSE 处理函数。 这里使用的是 fuse-t （推荐，无需内核扩展，支持 macOS 13+），也可以回退到 macFUSE 。整个拦截发生在用户空间，不影响系统稳定性。 3.用户授权对话框 守护进程收到访问请求后，通过调起一个原生 macOS 对话框，选择 Allow 会放行本次读取，并缓存授权 10 秒。在这 10 秒内，同一文件再次被读不会重复弹窗，避免频繁打扰。选择 Deny 则直接返回错误给调用方，调用方会收到类似 Operation not permitted 的结果，文件内容不会被泄露。 所有授权/拒绝决定都会被写入日志，事后可以审计。 4.后台驻留 Shield 作为 launchd 服务运行，开机自启。用户可以通过 shield start/stop/status 管理守护进程，不占用 Dock 或菜单栏，静默运行。 安装与使用 # 先安装 fuse-t （推荐，无 kext ） brew install fuse-t # 安装 Shield sudo npm install -g @yangch/shield # 初始化并启动服务 sudo shield install # 添加要保护的文件 sudo shield add ~/.ssh/id_rsa sudo shield add ~/.aws/credentials sudo shield add ~/.npmrc # 查看守护列表 shield list # 移除保护（会还原文件到原始位置） sudo shield remove ~/.ssh/id_rsa 之后只要你在使用系统，任何对受保护文件的读取都会弹窗询问。 一些说明 1 、只支持 macOS ，推荐使用 fuse-t （用户空间，无需批准内核扩展），Windows 暂时还没有支持。 2 、目前只拦截了文件的访问，但是并未对原文件做加密，只能阻拦有针对性的机密文件获取。

最近一段时间发生了多次投毒事件，恶意代码随意读取 ~/.ssh 、.npmrc 、等机密文件然后静默上传。整个过程中系统没有任何阻拦。机密文件的泄露后导致的密钥轮换工作操作了不少额外的工作和风险，所以最近 Vibe Coding 了一个简单的工具，来尝试解决这个问题。 下面简单介绍一下开发的思路和实现原理，更详细内容可以阅读 https://www.npmjs.com/package/@yangch/shield 的 README.md 它做了什么 Shield 是一个基于 FUSE （用户空间文件系统） 的 macOS 命令行工具，能让你指定的敏感文件在被任何进程读取时，弹出一个原生对话框问你“允许还是拒绝”。 技术实现细节 核心流程只有三步：文件重定向 → FUSE 拦截 → 用户授权。 1.存储与重定向 当你执行 shield add ~/.ssh/id_rsa 时： 原始文件被移动到 /usr/local/var/shield/storage/ 下对应的路径 原位置创建一个符号链接，指向 FUSE 挂载点 /usr/local/var/shield/mount/ 下的相同路径 之后，任何对 ~/.ssh/id_rsa 的读写都会经过这个 FUSE 挂载点，由守护进程接管。 2.FUSE 层拦截 Shield 内部运行一个 shield-daemon ，它通过 FUSE 实现了一个简单的文件系统。当进程执行 open() 调用试图打开受保护的文件时，内核将该调用转发到守护进程的 FUSE 处理函数。 这里使用的是 fuse-t （推荐，无需内核扩展，支持 macOS 13+），也可以回退到 macFUSE 。整个拦截发生在用户空间，不影响系统稳定性。 3.用户授权对话框 守护进程收到访问请求后，通过调起一个原生 macOS 对话框，选择 Allow 会放行本次读取，并缓存授权 10 秒。在这 10 秒内，同一文件再次被读不会重复弹窗，避免频繁打扰。选择 Deny 则直接返回错误给调用方，调用方会收到类似 Operation not permitted 的结果，文件内容不会被泄露。 所有授权/拒绝决定都会被写入日志，事后可以审计。 4.后台驻留 Shield 作为 launchd 服务运行，开机自启。用户可以通过 shield start/stop/status 管理守护进程，不占用 Dock 或菜单栏，静默运行。 安装与使用 # 先安装 fuse-t （推荐，无 kext ） brew install fuse-t # 安装 Shield sudo npm install -g @yangch/shield # 初始化并启动服务 sudo shield install # 添加要保护的文件 sudo shield add ~/.ssh/id_rsa sudo shield add ~/.aws/credentials sudo shield add ~/.npmrc # 查看守护列表 shield list # 移除保护（会还原文件到原始位置） sudo shield remove ~/.ssh/id_rsa 之后只要你在使用系统，任何对受保护文件的读取都会弹窗询问。 一些说明 1 、只支持 macOS ，推荐使用 fuse-t （用户空间，无需批准内核扩展），Windows 暂时还没有支持。 2 、目前只拦截了文件的访问，但是并未对原文件做加密，只能阻拦有针对性的机密文件获取。

IT之家 5 月 10 日消息，中国空间站在太空中的每一次姿态调整、每一段轨道变化，都离不开万千航天飞控人的专注守护。央视今日播出了最新一期的《天宫故事》，讲述了北京航天飞行控制中心的科技工作者姜萍及其同事们的平凡与伟大。 作为国家太空实验室，三年来中国空间站最值得关注并非单一的某项技术突破，而是其作为国家级科研平台所展现出的系统性能力与产出效率，标志着载人航天工程已从建造阶段迈入应用与发展阶段。 截至 2025 年 12 月，在空间生命与人体研究、微重力物理科学、空间新技术与应用等领域，已在轨部署和实施 265 项科学与应用项目。空间站已全面转型为高效运行的太空实验室。 在这座太空家园的背后，北京航天飞行控制中心的科技工作者们日夜值守。姜萍就是其中之一，她长期从事航天器操控与任务设计工作，曾担任天舟二号货运飞船任务副总师，在天舟一号任务中构建了飞控方案体系，解决了推进剂在轨补加、大型航天器受控离轨等关键技术难题。 谈及空间站建造历程，姜萍印象最深刻的时刻是 2022 年 11 月 3 日。这一天上午 9 时 32 分，梦天实验舱顺利完成转位，与天和核心舱、问天实验舱组合为“T”字基本构型，中国空间站的在轨组装至此宣告完成。 姜萍回忆称，长达 13 个小时的准备之后，转位正式开始，飞控大厅里安静得能听到心跳，所有人紧盯着遥测参数，直到“转位到位，状态正常”的口令响起，掌声雷动 —— 中国人从此拥有了自己的太空家园。 这一历史性时刻的背后，是飞控团队对电磁辐射、空间碎片、太阳风暴等各种在轨威胁的严密防范。常人眼中宁静的星空，在飞控人看来危机四伏。为确保空间站和航天员绝对安全，航天飞控人遵循“多重备份、天地协同”的核心原则，构建了多层安全网。 据中国载人航天工程办公室发布的年度报告，截至 2025 年底，中国空间站已累计进行 13 次航天员出舱和多次应用载荷出舱，刷新了航天员单次出舱活动时长的世界纪录。 IT之家注意到，面对不断增加的空间碎片威胁，中国空间站持续优化碰撞预警和规避实施流程，提升低轨小目标轨道精确预报能力，多次主动实施规避操作。 与此同时，空间站各舱段出厂时已具备大部分被动防护功能，航天员还通过多次出舱安装防护装置，为舱外关键设施提供进一步保护。在极端情况下，停靠的载人飞船可作为“生命之舟”，随时搭载航天员实施紧急撤离。 展望未来，中国航天的征途更为深远。2026 年，天问二号将接近目标小行星 2016HO3，开展近距离探测并取样返回；嫦娥七号探测器计划于今年下半年择机发射，首次奔赴月球南极，勘察月表环境并寻找水冰存在的证据。新一代载人飞船、货运飞船也将为空间站乃至更远的任务提供支持，载人登月的序幕正缓缓拉开。 2026 年我国计划实施 2 次载人飞行任务和 1 次货运飞船补给任务，来自港澳地区的航天员有望于今年执行空间站飞行任务。这些全新的任务和挑战，正等待飞控团队逐项应对。

@steve5wutongyu6 哇，还有深渊课题组吗 3 个帖子 - 3 位参与者 阅读完整话题

Docker 对于大多数自托管应用支持的比较好，个人使用也基本熟悉了。 Podman 的无守护进程和默认的 Rootless 很好用，在服务器上测试部署了一个服务，感觉还挺好的。

Docker 对于大多数自托管应用支持的比较好，个人使用也基本熟悉了。 Podman 的无守护进程和默认的 Rootless 很好用，在服务器上测试部署了一个服务，感觉还挺好的。

Docker 对于大多数自托管应用支持的比较好，个人使用也基本熟悉了。 Podman 的无守护进程和默认的 Rootless 很好用，在服务器上测试部署了一个服务，感觉还挺好的。

Docker 对于大多数自托管应用支持的比较好，个人使用也基本熟悉了。 Podman 的无守护进程和默认的 Rootless 很好用，在服务器上测试部署了一个服务，感觉还挺好的。

Docker 对于大多数自托管应用支持的比较好，个人使用也基本熟悉了。 Podman 的无守护进程和默认的 Rootless 很好用，在服务器上测试部署了一个服务，感觉还挺好的。

Docker 对于大多数自托管应用支持的比较好，个人使用也基本熟悉了。 Podman 的无守护进程和默认的 Rootless 很好用，在服务器上测试部署了一个服务，感觉还挺好的。