总所周知,这个月以来L站已经爆出的不少中转投毒、敏感信息窃取的事件了,很多佬友总是裸奔在各类中转站下,为了方便各种密钥token都直接给了ai,但是恶是逐利的,总会找上门来; 例如: 1. https://linux.do/t/topic/2219252/276 2. 大家小心,hub.linux.do 部分渠道返回内容含 prompt injection - #103,来自 user2300 … 为了防范于未然,我也设想了一些方案,最后还是选择了一种配合策略提高作恶成本; 我们先了解下投毒/窃取的攻击面,一般来说是tool call去触发恶意命令,具体可以通过改命令关键参数、命令名、工具名等手段进行,还有就是直接prompt注入间接触发大模型去使坏,两者都有概率触发非意图指令,那么,我们是否可以让模型配合调整下tool名或者一些动态校验让每一次返回和请求对应上,避免大范围投毒中招呢? 本次防投毒思路就是基于此进行的,但是需要明确不是万能的,这些情况是无能为力的: 1.定向投毒:已经针对你的内容进行二次分析再投毒(例如投毒agent、非动态加固的逆向) 2.毒模型:对模型进行毒化,根子上使坏,隐蔽投毒 于是本此的实践应付的是大规模非定向投毒,应付得是90%的现有情况,很多站长不小心接入了投毒上游情况下是相当有效;当然如果佬群有更好方法欢迎pr引入新的策略,安全需要大众提高意识; ------------------------------------------------------ 项目介绍: 1.敏感信息保护 项目自身已经对常见字串进行了保护;用户主动保护:用户接入后可以用<<此处主动加密>>双尖括号进行主动占位替换,本地网关会替换回来,比如密码这些是不影响模型效果的非功能上下文,故而可以主动请求保护; 2.tool call保护 要求llm模型 生成guard JSON ,放在真实 toolcall 申请前;格式示例: <aad_guard_json>{"name":"aad_guard_3d8a797cd7_WebSearch","tool_name":"WebSearch"}</aad_guard_json> 项目主要是验证成本,测试一段时间后才发给佬友门,目前个人用的codex、claude测试了一阵,但是投毒花样很多只能说是初期的验证版本,如有遗漏请提一下issues Q&A 质疑 (点击了解更多详细信息) 1楼将放一下项目本身的使用方法; 6 个帖子 - 2 位参与者 阅读完整话题
做独立站最怕什么? SEO 不知道从哪下手。我整理了 7 步自检流程,做成免费工具了: 🔍 AEO Auditor — https://aeo-audit-alpha.vercel.app 输入 URL → 6 维评分 → 详细修复清单 → 可复制的代码。 1. 结构化数据检测:自动识别 JSON-LD Schema 类型,标注缺失项 2. 内容结构分析:H1/H2/H3 层级是否合理 3. 可读性评分:句子长度、段落密度、内容深度 4. 实体优化:Organization/Author/面包屑导航检测 5. 移动端适配:viewport 、响应式检查 6. 社交媒体:og:title/description/image 、Twitter Card 亮点: • 每个问题都给出具体的修复方案 + 直接可复制的 JSON-LD/HTML 代码 • 自动识别页面类型(首页/文章/产品/FAQ/服务页等 10 种),不同类型的评分权重不同 • 支持中/英文切换 • 完全免费,无需注册 • 速率限制 30 次/分钟 技术栈:Next.js 16 + TypeScript + Vercel 原理是基于 Schema.org 标准和 Google AI Overviews 的引用机制做的分析引擎。目前刚上线,希望能帮到独立开发者和小团队。 欢迎试用,有任何建议欢迎反馈!
做独立站最怕什么? SEO 不知道从哪下手。我整理了 7 步自检流程,做成免费工具了: 🔍 AEO Auditor — https://aeo-audit-alpha.vercel.app 输入 URL → 6 维评分 → 详细修复清单 → 可复制的代码。 1. 结构化数据检测:自动识别 JSON-LD Schema 类型,标注缺失项 2. 内容结构分析:H1/H2/H3 层级是否合理 3. 可读性评分:句子长度、段落密度、内容深度 4. 实体优化:Organization/Author/面包屑导航检测 5. 移动端适配:viewport 、响应式检查 6. 社交媒体:og:title/description/image 、Twitter Card 亮点: • 每个问题都给出具体的修复方案 + 直接可复制的 JSON-LD/HTML 代码 • 自动识别页面类型(首页/文章/产品/FAQ/服务页等 10 种),不同类型的评分权重不同 • 支持中/英文切换 • 完全免费,无需注册 • 速率限制 30 次/分钟 技术栈:Next.js 16 + TypeScript + Vercel 原理是基于 Schema.org 标准和 Google AI Overviews 的引用机制做的分析引擎。目前刚上线,希望能帮到独立开发者和小团队。 欢迎试用,有任何建议欢迎反馈!
做独立站最怕什么? SEO 不知道从哪下手。我整理了 7 步自检流程,做成免费工具了: 🔍 AEO Auditor — https://aeo-audit-alpha.vercel.app 输入 URL → 6 维评分 → 详细修复清单 → 可复制的代码。 1. 结构化数据检测:自动识别 JSON-LD Schema 类型,标注缺失项 2. 内容结构分析:H1/H2/H3 层级是否合理 3. 可读性评分:句子长度、段落密度、内容深度 4. 实体优化:Organization/Author/面包屑导航检测 5. 移动端适配:viewport 、响应式检查 6. 社交媒体:og:title/description/image 、Twitter Card 亮点: • 每个问题都给出具体的修复方案 + 直接可复制的 JSON-LD/HTML 代码 • 自动识别页面类型(首页/文章/产品/FAQ/服务页等 10 种),不同类型的评分权重不同 • 支持中/英文切换 • 完全免费,无需注册 • 速率限制 30 次/分钟 技术栈:Next.js 16 + TypeScript + Vercel 原理是基于 Schema.org 标准和 Google AI Overviews 的引用机制做的分析引擎。目前刚上线,希望能帮到独立开发者和小团队。 欢迎试用,有任何建议欢迎反馈!
做独立站最怕什么? SEO 不知道从哪下手。我整理了 7 步自检流程,做成免费工具了: 🔍 AEO Auditor — https://aeo-audit-alpha.vercel.app 输入 URL → 6 维评分 → 详细修复清单 → 可复制的代码。 1. 结构化数据检测:自动识别 JSON-LD Schema 类型,标注缺失项 2. 内容结构分析:H1/H2/H3 层级是否合理 3. 可读性评分:句子长度、段落密度、内容深度 4. 实体优化:Organization/Author/面包屑导航检测 5. 移动端适配:viewport 、响应式检查 6. 社交媒体:og:title/description/image 、Twitter Card 亮点: • 每个问题都给出具体的修复方案 + 直接可复制的 JSON-LD/HTML 代码 • 自动识别页面类型(首页/文章/产品/FAQ/服务页等 10 种),不同类型的评分权重不同 • 支持中/英文切换 • 完全免费,无需注册 • 速率限制 30 次/分钟 技术栈:Next.js 16 + TypeScript + Vercel 原理是基于 Schema.org 标准和 Google AI Overviews 的引用机制做的分析引擎。目前刚上线,希望能帮到独立开发者和小团队。 欢迎试用,有任何建议欢迎反馈!
做独立站最怕什么? SEO 不知道从哪下手。我整理了 7 步自检流程,做成免费工具了: 🔍 AEO Auditor — https://aeo-audit-alpha.vercel.app 输入 URL → 6 维评分 → 详细修复清单 → 可复制的代码。 1. 结构化数据检测:自动识别 JSON-LD Schema 类型,标注缺失项 2. 内容结构分析:H1/H2/H3 层级是否合理 3. 可读性评分:句子长度、段落密度、内容深度 4. 实体优化:Organization/Author/面包屑导航检测 5. 移动端适配:viewport 、响应式检查 6. 社交媒体:og:title/description/image 、Twitter Card 亮点: • 每个问题都给出具体的修复方案 + 直接可复制的 JSON-LD/HTML 代码 • 自动识别页面类型(首页/文章/产品/FAQ/服务页等 10 种),不同类型的评分权重不同 • 支持中/英文切换 • 完全免费,无需注册 • 速率限制 30 次/分钟 技术栈:Next.js 16 + TypeScript + Vercel 原理是基于 Schema.org 标准和 Google AI Overviews 的引用机制做的分析引擎。目前刚上线,希望能帮到独立开发者和小团队。 欢迎试用,有任何建议欢迎反馈!
做独立站最怕什么? SEO 不知道从哪下手。我整理了 7 步自检流程,做成免费工具了: 🔍 AEO Auditor — https://aeo-audit-alpha.vercel.app 输入 URL → 6 维评分 → 详细修复清单 → 可复制的代码。 1. 结构化数据检测:自动识别 JSON-LD Schema 类型,标注缺失项 2. 内容结构分析:H1/H2/H3 层级是否合理 3. 可读性评分:句子长度、段落密度、内容深度 4. 实体优化:Organization/Author/面包屑导航检测 5. 移动端适配:viewport 、响应式检查 6. 社交媒体:og:title/description/image 、Twitter Card 亮点: • 每个问题都给出具体的修复方案 + 直接可复制的 JSON-LD/HTML 代码 • 自动识别页面类型(首页/文章/产品/FAQ/服务页等 10 种),不同类型的评分权重不同 • 支持中/英文切换 • 完全免费,无需注册 • 速率限制 30 次/分钟 技术栈:Next.js 16 + TypeScript + Vercel 原理是基于 Schema.org 标准和 Google AI Overviews 的引用机制做的分析引擎。目前刚上线,希望能帮到独立开发者和小团队。 欢迎试用,有任何建议欢迎反馈!
做独立站最怕什么? SEO 不知道从哪下手。我整理了 7 步自检流程,做成免费工具了: 🔍 AEO Auditor — https://aeo-audit-alpha.vercel.app 输入 URL → 6 维评分 → 详细修复清单 → 可复制的代码。 1. 结构化数据检测:自动识别 JSON-LD Schema 类型,标注缺失项 2. 内容结构分析:H1/H2/H3 层级是否合理 3. 可读性评分:句子长度、段落密度、内容深度 4. 实体优化:Organization/Author/面包屑导航检测 5. 移动端适配:viewport 、响应式检查 6. 社交媒体:og:title/description/image 、Twitter Card 亮点: • 每个问题都给出具体的修复方案 + 直接可复制的 JSON-LD/HTML 代码 • 自动识别页面类型(首页/文章/产品/FAQ/服务页等 10 种),不同类型的评分权重不同 • 支持中/英文切换 • 完全免费,无需注册 • 速率限制 30 次/分钟 技术栈:Next.js 16 + TypeScript + Vercel 原理是基于 Schema.org 标准和 Google AI Overviews 的引用机制做的分析引擎。目前刚上线,希望能帮到独立开发者和小团队。 欢迎试用,有任何建议欢迎反馈!
做独立站最怕什么? SEO 不知道从哪下手。我整理了 7 步自检流程,做成免费工具了: 🔍 AEO Auditor — https://aeo-audit-alpha.vercel.app 输入 URL → 6 维评分 → 详细修复清单 → 可复制的代码。 1. 结构化数据检测:自动识别 JSON-LD Schema 类型,标注缺失项 2. 内容结构分析:H1/H2/H3 层级是否合理 3. 可读性评分:句子长度、段落密度、内容深度 4. 实体优化:Organization/Author/面包屑导航检测 5. 移动端适配:viewport 、响应式检查 6. 社交媒体:og:title/description/image 、Twitter Card 亮点: • 每个问题都给出具体的修复方案 + 直接可复制的 JSON-LD/HTML 代码 • 自动识别页面类型(首页/文章/产品/FAQ/服务页等 10 种),不同类型的评分权重不同 • 支持中/英文切换 • 完全免费,无需注册 • 速率限制 30 次/分钟 技术栈:Next.js 16 + TypeScript + Vercel 原理是基于 Schema.org 标准和 Google AI Overviews 的引用机制做的分析引擎。目前刚上线,希望能帮到独立开发者和小团队。 欢迎试用,有任何建议欢迎反馈!
做独立站最怕什么? SEO 不知道从哪下手。我整理了 7 步自检流程,做成免费工具了: 🔍 AEO Auditor — https://aeo-audit-alpha.vercel.app 输入 URL → 6 维评分 → 详细修复清单 → 可复制的代码。 1. 结构化数据检测:自动识别 JSON-LD Schema 类型,标注缺失项 2. 内容结构分析:H1/H2/H3 层级是否合理 3. 可读性评分:句子长度、段落密度、内容深度 4. 实体优化:Organization/Author/面包屑导航检测 5. 移动端适配:viewport 、响应式检查 6. 社交媒体:og:title/description/image 、Twitter Card 亮点: • 每个问题都给出具体的修复方案 + 直接可复制的 JSON-LD/HTML 代码 • 自动识别页面类型(首页/文章/产品/FAQ/服务页等 10 种),不同类型的评分权重不同 • 支持中/英文切换 • 完全免费,无需注册 • 速率限制 30 次/分钟 技术栈:Next.js 16 + TypeScript + Vercel 原理是基于 Schema.org 标准和 Google AI Overviews 的引用机制做的分析引擎。目前刚上线,希望能帮到独立开发者和小团队。 欢迎试用,有任何建议欢迎反馈!
Impeccable 增强版 frontend-design skill,17 个设计命令(/polish、/audit、/distill 等)。 UI Skills 包含 15 个独立 skills:baseline-ui(Tailwind 设计一致性)、fixing-accessibility(无障碍审计)、fixing-metadata(SEO 元数据)、fixing-motion-performance(动画性能)、12-principles-of-animation(迪士尼动画原则)等。 Taste Skill 包含 taste-skill(前端设计)、redesign-skill(升级现有项目)、output-skill(强制 AI 写完整代码)、soft-skill(让东西看起来和感觉昂贵。涵盖高级字体、宽阔的空白、层叠的卡片设计、流畅的弹簧动画以及漂浮导航。)。 Better Icons MCP server + skill,搜索并获取 20 万+ 图标,支持自动学习常用图标库,直接同步到项目 icons 文件。 UI Design Brain 60+ 组件最佳实践库,包含布局模式、无障碍规则和反模式,支持 5 种设计风格(SaaS、极简、企业、创意、数据仪表盘)。 AI kit by Motion Motion+ 会员专属,包含动画专家 skill、性能审计、CSS spring 生成、过渡可视化和文档搜索工具。 UI UX Pro Max 包含 50+ 设计风格、97 种配色方案和 9 种技术栈,提供全面的 UI/UX 设计智能。 Anthropic frontend-design Anthropic 官方 skills 仓库,包含创意设计、技术开发、企业沟通等多类示例 skills,以及文档处理 skills(docx、pdf、pptx、xlsx)。 Vercel web design guidelines Vercel 官方 skills 集合,其中 web-design-guidelines 包含 100+ UI 审计规则。 Designer Skills Collection 63 个 skills 和 27 个命令,涵盖 8 个插件:用户研究、设计系统、UX 策略、UI 设计、交互设计、原型测试、设计运营和设计工具包。 5 个帖子 - 4 位参与者 阅读完整话题
我让 claude code 运行 14 个 subagents 做 code audit,很快,两分钟内 5 小时的限额就 100%了,我运行之前是 0%,正常来讲不会这么快烧掉限额,而且在美国时间还是夜里。我严重怀疑这是 anthropic 故意的规则,就是如果有多个并发,加快限额使用,或者干脆直接一刀切,就是为了防止有中转站运行多个 claude code 然后 Proxy 请求变成 API 。 https://i.v2ex.co/61L4XnPC.png
我让 claude code 运行 14 个 subagents 做 code audit,很快,两分钟内 5 小时的限额就 100%了,我运行之前是 0%,正常来讲不会这么快烧掉限额,而且在美国时间还是夜里。我严重怀疑这是 anthropic 故意的规则,就是如果有多个并发,加快限额使用,或者干脆直接一刀切,就是为了防止有中转站运行多个 claude code 然后 Proxy 请求变成 API 。 https://i.v2ex.co/61L4XnPC.png
信源: Bitwarden CLI Compromised in Ongoing Checkmarx Supply Chain ... C2: audit[.]checkmarx[.]cx Bitwarden CLI版本2026.4.0因恶意GitHub Action攻击而遭到入侵,攻击者利用该攻击窃取敏感凭证并泄露数据。 处置建议: 轮换所有可能已暴露给这些环境的凭据,包括GitHub令牌、npm令牌、SSH密钥和CI/CD密钥。检查GitHub是否存在未经授权的仓库创建、.github/workflows/目录下是否存在意外的工作流文件、是否存在可疑的工作流运行、工件下载以及是否存在符合观察到的Dune主题暂存模式({word}-{word}-{3digits})的公共仓库。 如果认为自己可能受到影响,请检查新发布的仓库中是否存在以下关键字: atreides cogitor fedaykin fremen futar gesserit ghola harkonnen heighliner kanly kralizec lasgun laza melange mentat navigator ornithopter phibian powindah prana prescient sandworm sardaukar sayyadina sietch siridar slig stillsuit thumper tleilaxu 7 个帖子 - 5 位参与者 阅读完整话题