最近几个月,我们团队做了一个新的东西,也是目前我们主推的一个产品: OOMOL OOMOL:让你本地的 AI Agent ( Claude Code 、Codex 等)能安全地调用你自己的第三方账号和服务。 你对一个服务授权一次,之后本机的 AI 就能随时用上它,不用每次重新贴 token 、配 MCP 。 目前我们的 connector 支持近 600 个 service ( provider ) ,覆盖 6000 多个 action (动作) 。 它能做到什么 授权完之后,你在 Claude / Codex 里直接说出需求就好,如: /oo 帮我看看 gmail 里最近 3 天的邮件 我们也支持跨服务串联: /oo 将我最近 2 天 github 的 PR 汇总,写入到 notion 中的「 github 总结」下的子页面中 同时,你可以非常方便的在不同电脑中使用,无需重新配置鉴权,只需要在另一台电脑中安装并登录 oo 即可。 而且,我们还内置了 oo skills sync upload 和 oo skills sync download ,以便你可以在不同电脑中同步 SKILL 。 工作流程 在 OOMOL Console 对第三方服务做一次 OAuth 授权(比如授权 Google ),或填入你自己在某个平台的 API Key 。凭证从这一步起就加密托管在云端。 安装 oo-cli oo-cli 首次启动会往本地 AI Agent 的 skills 目录里释放内置的 skills (写到 ~/.claude/skills 、 ~/.agents/skills 这类目录),这一步自动完成。 之后你在 Claude / Codex 里输入自然语言描述需求。 oo skill 调 oo-cli → 连上 connector → 云端用你授权好的凭证发请求 → 返回结果。 provider 和 action 用的时候会反复见到这两个概念,所以这里简单描述下: 每个服务是一个 provider 。比如 gmail 、 googlecalendar 、 googledrive 、 notion 、 slack 、 github 各是一个 provider 。 每个 provider 下面有很多的 action ,即具体能做的事。如 gmail 下面有 send_email (发邮件)、 fetch_emails (拉邮件)、 search_threads (搜会话)等 即「 哪个服务( provider )+ 干哪件事( action ) 」。 skills 为了让 AI 调得更快更准确,我们在 connector 的基础之上,通过 agentic-markdown 为每一个 provider 都生成了 skill ,这样一来当使用的时候,会更加快速且准确。 我们将其发布在了 Clawhub 上: https://clawhub.ai/user/oomol 以及我们自己的 Hub 上: https://oomol.com/en/skills 可以通过 oo skills add 来进行安装使用 安装方式 可以打开: https://console.oomol.com/install-oo-cli 复制提示词或者复制命令进行安装 安全模型 所有凭证和私钥绝不会再通过 response 返回到本地。 你在 OOMOL Console 完成 OAuth 授权、或填入自己的 API Key 之后,凭证将 加密托管在云端 。 之后所有用到凭证的环节: 拿 token 去请求第三方、等第三方返回 全部发生在云端的 connector 上 。回到你本地的,只有这次请求的 结果 。 认证一旦完成, 你本地永远无法再把这些凭证取回来 。 在云端: 所有凭证使用 KMS 加密 (信封加密 / envelope encryption ),数据密钥由主密钥包裹,明文密钥不落盘。 凭证存储与 业务数据库完全隔离 ,不和业务数据混在一张库里。 加密密钥 每 30 天轮换一次 。 整套代码通过了 CASA(SAST) 安全认证 。 开源与意见 oo-cli (开源): https://github.com/oomol-lab/oo-cli 各 provider 的 skills (开源): https://github.com/oomol-lab/skills 现成的 skills 列表: https://clawhub.ai/user/oomol 官网: https://oomol.com 授权 / 连接管理: https://console.oomol.com/connections 联系我们: https://oomol.com/en/support 我们还在快速迭代中,所有可能会出现某些 provider 缺失,或者 action 覆盖不全,以及偶尔会有调用失败。所以欢迎大家来在使用的过程中提出意见,我们会依次解决的, 福利 固定抽 20 个 OOMOL T 恤。 评论 每满 100 层(去重后),再加抽 1 个 ,从下面里五选一: 充电宝:酷态科 15 号超级电能卡 键盘:ikbc k99 客制化键盘 AirTag:Apple 官方 AirTag 音箱:小爱音箱 Pro 路由器:小米 AX3000 路由器 另外还有一条: 你在使用过程中提的产品痛点 / 建议,一经我们采纳,也会有相应的惊喜的 活动时间:即日起至 2026 年 6 月 20 日 参与方式:在 https://console.oomol.com 注册使用,并在评论区留言 抽奖注意事项 如果在抽奖中获奖后,你的注册时间在 2026 年 6 月 19 日 12:00 之前未完成注册,将取消获奖资格,并进行重新抽取。
最近几个月,我们团队做了一个新的东西,也是目前我们主推的一个产品: OOMOL OOMOL:让你本地的 AI Agent ( Claude Code 、Codex 等)能安全地调用你自己的第三方账号和服务。 你对一个服务授权一次,之后本机的 AI 就能随时用上它,不用每次重新贴 token 、配 MCP 。 目前我们的 connector 支持近 600 个 service ( provider ) ,覆盖 6000 多个 action (动作) 。 它能做到什么 授权完之后,你在 Claude / Codex 里直接说出需求就好,如: /oo 帮我看看 gmail 里最近 3 天的邮件 我们也支持跨服务串联: /oo 将我最近 2 天 github 的 PR 汇总,写入到 notion 中的「 github 总结」下的子页面中 同时,你可以非常方便的在不同电脑中使用,无需重新配置鉴权,只需要在另一台电脑中安装并登录 oo 即可。 而且,我们还内置了 oo skills sync upload 和 oo skills sync download ,以便你可以在不同电脑中同步 SKILL 。 工作流程 在 OOMOL Console 对第三方服务做一次 OAuth 授权(比如授权 Google ),或填入你自己在某个平台的 API Key 。凭证从这一步起就加密托管在云端。 安装 oo-cli oo-cli 首次启动会往本地 AI Agent 的 skills 目录里释放内置的 skills (写到 ~/.claude/skills 、 ~/.agents/skills 这类目录),这一步自动完成。 之后你在 Claude / Codex 里输入自然语言描述需求。 oo skill 调 oo-cli → 连上 connector → 云端用你授权好的凭证发请求 → 返回结果。 provider 和 action 用的时候会反复见到这两个概念,所以这里简单描述下: 每个服务是一个 provider 。比如 gmail 、 googlecalendar 、 googledrive 、 notion 、 slack 、 github 各是一个 provider 。 每个 provider 下面有很多的 action ,即具体能做的事。如 gmail 下面有 send_email (发邮件)、 fetch_emails (拉邮件)、 search_threads (搜会话)等 即「 哪个服务( provider )+ 干哪件事( action ) 」。 skills 为了让 AI 调得更快更准确,我们在 connector 的基础之上,通过 agentic-markdown 为每一个 provider 都生成了 skill ,这样一来当使用的时候,会更加快速且准确。 我们将其发布在了 Clawhub 上: https://clawhub.ai/user/oomol 以及我们自己的 Hub 上: https://oomol.com/en/skills 可以通过 oo skills add 来进行安装使用 安装方式 可以打开: https://console.oomol.com/install-oo-cli 复制提示词或者复制命令进行安装 安全模型 所有凭证和私钥绝不会再通过 response 返回到本地。 你在 OOMOL Console 完成 OAuth 授权、或填入自己的 API Key 之后,凭证将 加密托管在云端 。 之后所有用到凭证的环节: 拿 token 去请求第三方、等第三方返回 全部发生在云端的 connector 上 。回到你本地的,只有这次请求的 结果 。 认证一旦完成, 你本地永远无法再把这些凭证取回来 。 在云端: 所有凭证使用 KMS 加密 (信封加密 / envelope encryption ),数据密钥由主密钥包裹,明文密钥不落盘。 凭证存储与 业务数据库完全隔离 ,不和业务数据混在一张库里。 加密密钥 每 30 天轮换一次 。 整套代码通过了 CASA(SAST) 安全认证 。 开源与意见 oo-cli (开源): https://github.com/oomol-lab/oo-cli 各 provider 的 skills (开源): https://github.com/oomol-lab/skills 现成的 skills 列表: https://clawhub.ai/user/oomol 官网: https://oomol.com 授权 / 连接管理: https://console.oomol.com/connections 联系我们: https://oomol.com/en/support 我们还在快速迭代中,所有可能会出现某些 provider 缺失,或者 action 覆盖不全,以及偶尔会有调用失败。所以欢迎大家来在使用的过程中提出意见,我们会依次解决的, 福利 固定抽 20 个 OOMOL T 恤。 评论 每满 100 层(去重后),再加抽 1 个 ,从下面里五选一: 充电宝:酷态科 15 号超级电能卡 键盘:ikbc k99 客制化键盘 AirTag:Apple 官方 AirTag 音箱:小爱音箱 Pro 路由器:小米 AX3000 路由器 另外还有一条: 你在使用过程中提的产品痛点 / 建议,一经我们采纳,也会有相应的惊喜的 活动时间:即日起至 2026 年 6 月 20 日 参与方式:在 https://console.oomol.com 注册使用,并在评论区留言 抽奖注意事项 如果在抽奖中获奖后,你的注册时间在 2026 年 6 月 19 日 12:00 之前未完成注册,将取消获奖资格,并进行重新抽取。
最近几个月,我们团队做了一个新的东西,也是目前我们主推的一个产品: OOMOL OOMOL:让你本地的 AI Agent ( Claude Code 、Codex 等)能安全地调用你自己的第三方账号和服务。 你对一个服务授权一次,之后本机的 AI 就能随时用上它,不用每次重新贴 token 、配 MCP 。 目前我们的 connector 支持近 600 个 service ( provider ) ,覆盖 6000 多个 action (动作) 。 它能做到什么 授权完之后,你在 Claude / Codex 里直接说出需求就好,如: /oo 帮我看看 gmail 里最近 3 天的邮件 我们也支持跨服务串联: /oo 将我最近 2 天 github 的 PR 汇总,写入到 notion 中的「 github 总结」下的子页面中 同时,你可以非常方便的在不同电脑中使用,无需重新配置鉴权,只需要在另一台电脑中安装并登录 oo 即可。 而且,我们还内置了 oo skills sync upload 和 oo skills sync download ,以便你可以在不同电脑中同步 SKILL 。 工作流程 在 OOMOL Console 对第三方服务做一次 OAuth 授权(比如授权 Google ),或填入你自己在某个平台的 API Key 。凭证从这一步起就加密托管在云端。 安装 oo-cli oo-cli 首次启动会往本地 AI Agent 的 skills 目录里释放内置的 skills (写到 ~/.claude/skills 、 ~/.agents/skills 这类目录),这一步自动完成。 之后你在 Claude / Codex 里输入自然语言描述需求。 oo skill 调 oo-cli → 连上 connector → 云端用你授权好的凭证发请求 → 返回结果。 provider 和 action 用的时候会反复见到这两个概念,所以这里简单描述下: 每个服务是一个 provider 。比如 gmail 、 googlecalendar 、 googledrive 、 notion 、 slack 、 github 各是一个 provider 。 每个 provider 下面有很多的 action ,即具体能做的事。如 gmail 下面有 send_email (发邮件)、 fetch_emails (拉邮件)、 search_threads (搜会话)等 即「 哪个服务( provider )+ 干哪件事( action ) 」。 skills 为了让 AI 调得更快更准确,我们在 connector 的基础之上,通过 agentic-markdown 为每一个 provider 都生成了 skill ,这样一来当使用的时候,会更加快速且准确。 我们将其发布在了 Clawhub 上: https://clawhub.ai/user/oomol 以及我们自己的 Hub 上: https://oomol.com/en/skills 可以通过 oo skills add 来进行安装使用 安装方式 可以打开: https://console.oomol.com/install-oo-cli 复制提示词或者复制命令进行安装 安全模型 所有凭证和私钥绝不会再通过 response 返回到本地。 你在 OOMOL Console 完成 OAuth 授权、或填入自己的 API Key 之后,凭证将 加密托管在云端 。 之后所有用到凭证的环节: 拿 token 去请求第三方、等第三方返回 全部发生在云端的 connector 上 。回到你本地的,只有这次请求的 结果 。 认证一旦完成, 你本地永远无法再把这些凭证取回来 。 在云端: 所有凭证使用 KMS 加密 (信封加密 / envelope encryption ),数据密钥由主密钥包裹,明文密钥不落盘。 凭证存储与 业务数据库完全隔离 ,不和业务数据混在一张库里。 加密密钥 每 30 天轮换一次 。 整套代码通过了 CASA(SAST) 安全认证 。 开源与意见 oo-cli (开源): https://github.com/oomol-lab/oo-cli 各 provider 的 skills (开源): https://github.com/oomol-lab/skills 现成的 skills 列表: https://clawhub.ai/user/oomol 官网: https://oomol.com 授权 / 连接管理: https://console.oomol.com/connections 联系我们: https://oomol.com/en/support 我们还在快速迭代中,所有可能会出现某些 provider 缺失,或者 action 覆盖不全,以及偶尔会有调用失败。所以欢迎大家来在使用的过程中提出意见,我们会依次解决的, 福利 固定抽 20 个 OOMOL T 恤。 评论 每满 100 层(去重后),再加抽 1 个 ,从下面里五选一: 充电宝:酷态科 15 号超级电能卡 键盘:ikbc k99 客制化键盘 AirTag:Apple 官方 AirTag 音箱:小爱音箱 Pro 路由器:小米 AX3000 路由器 另外还有一条: 你在使用过程中提的产品痛点 / 建议,一经我们采纳,也会有相应的惊喜的 活动时间:即日起至 2026 年 6 月 20 日 参与方式:在 https://console.oomol.com 注册使用,并在评论区留言 抽奖注意事项 如果在抽奖中获奖后,你的注册时间在 2026 年 6 月 19 日 12:00 之前未完成注册,将取消获奖资格,并进行重新抽取。
最近几个月,我们团队做了一个新的东西,也是目前我们主推的一个产品: OOMOL OOMOL:让你本地的 AI Agent(Claude Code、Codex 等)能安全地调用你自己的第三方账号和服务。 你对一个服务授权一次,之后本机的 AI 就能随时用上它,不用每次重新贴 token、配 MCP。 目前我们的 connector 支持近 600 个 service(provider) ,覆盖 6000 多个 action(动作) 。 它能做到什么 授权完之后,你在 Claude / Codex 里直接说出需求就好,如: /oo 帮我看看 gmail 里最近 3 天的邮件 我们也支持跨服务串联: /oo 将我最近 2 天 github 的 PR 汇总,写入到 notion 中的「github总结」下的子页面中 同时,你可以非常方便的在不同电脑中使用,无需重新配置鉴权,只需要在另一台电脑中安装并登录 oo 即可。 而且,我们还内置了 oo skills sync upload 和 oo skills sync download ,以便你可以在不同电脑中同步 SKILL。 工作流程 在 OOMOL Console 对第三方服务做一次 OAuth 授权(比如授权 Google),或填入你自己在某个平台的 API Key。凭证从这一步起就加密托管在云端。 安装 oo-cli oo-cli 首次启动会往本地 AI Agent 的 skills 目录里释放内置的 skills(写到 ~/.claude/skills 、 ~/.agents/skills 这类目录),这一步自动完成。 之后你在 Claude / Codex 里输入自然语言描述需求。 oo skill 调 oo-cli → 连上 connector → 云端用你授权好的凭证发请求 → 返回结果。 provider 和 action 用的时候会反复见到这两个概念,所以这里简单描述下: 每个服务是一个 provider 。比如 gmail 、 googlecalendar 、 googledrive 、 notion 、 slack 、 github 各是一个 provider。 每个 provider 下面有很多的 action ,即具体能做的事。如 gmail 下面有 send_email (发邮件)、 fetch_emails (拉邮件)、 search_threads (搜会话)等 即「 哪个服务(provider)+ 干哪件事(action) 」。 skills 为了让 AI 调得更快更准确,我们在 connector 的基础之上,通过 agentic-markdown 为每一个 provider 都生成了 skill,这样一来当使用的时候,会更加快速且准确。 我们将其发布在了 Clawhub 上: @oomol — ClawHub 以及我们自己的 Hub 上: OOMOL Skills | OOMOL 可以通过 oo skills add 来进行安装使用 安装方式 可以打开: OOMOL Console 复制提示词或者复制命令进行安装 安全模型 所有凭证和私钥绝不会再通过 response 返回到本地。 你在 OOMOL Console 完成 OAuth 授权、或填入自己的 API Key 之后,凭证将 加密托管在云端 。 之后所有用到凭证的环节: 拿 token 去请求第三方、等第三方返回 全部发生在云端的 connector 上 。回到你本地的,只有这次请求的 结果 。 认证一旦完成, 你本地永远无法再把这些凭证取回来 。 在云端: 所有凭证使用 KMS 加密 (信封加密 / envelope encryption),数据密钥由主密钥包裹,明文密钥不落盘。 凭证存储与 业务数据库完全隔离 ,不和业务数据混在一张库里。 加密密钥 每 30 天轮换一次 。 整套代码通过了 CASA(SAST) 安全认证 。 开源与意见 oo-cli( 开源 ): https://github.com/oomol-lab/oo-cli 各 provider 的 skills( 开源 ): https://github.com/oomol-lab/skills 现成的 skills 列表: https://clawhub.ai/user/oomol 官网: https://oomol.com 授权 / 连接管理: https://console.oomol.com/connections 联系我们: https://oomol.com/en/support 我们还在快速迭代中,所有可能会出现某些 provider 缺失,或者 action 覆盖不全,以及偶尔会有调用失败。所以欢迎大家来在使用的过程中提出意见,我们会依次解决的, 福利 固定抽 20 个 OOMOL T 恤。 评论 每满 100 层,再加抽 1 个 ,从下面里五选一: 充电宝:酷态科 15 号超级电能卡 键盘:ikbc k99 客制化键盘 AirTag:Apple 官方 AirTag 音箱:小爱音箱 Pro 路由器:小米 AX3000 路由器 另外还有一条: 你在使用过程中提的产品痛点 / 建议,一经我们采纳,也会有相应的惊喜 活动时间:即日起至 2026 年 6 月 19 日 12:00 参与方式:在 https://console.oomol.com 注册使用,并在评论区留言 注意事项 如果在抽奖中获奖后,你的注册时间在 2026 年 6 月 19 日 12:00 之前未完成注册,将取消获奖资格,并进行重新抽取。 这是因为我们注意到之前抽奖时,部分中奖用户甚至还没注册 (当然还是将礼物发出了) 如果遇到问题,或者想要讨论的话,可以移至: OOMOL 抽奖贴 - 讨论 因为本帖是作为抽奖贴存在的,每人只能回复一次 2 个帖子 - 2 位参与者 阅读完整话题
IT之家 6 月 7 日消息,微软研究人员发现,Anthropic 旗下 Claude Code 的 GitHub 自动化流程存在一处漏洞,该漏洞可能导致持续集成 / 持续部署(CI / CD)工作流中的机密信息泄露,攻击者或可通过提示词注入攻击窃取敏感凭证。 微软威胁情报团队在监测到公开代码库中出现针对人工智能辅助型 GitHub 工作流的提示词注入尝试后,启动了本次研究。 据IT之家了解,提示词注入是一类人工智能安全漏洞。攻击者会在大模型处理的内容中嵌入误导性指令,以此操控模型行为。大型语言模型的常规设计逻辑是遵循开发者指令、响应用户提问,而攻击者会设法诱骗模型,使其无视预设指令。 研究人员举例说明,有攻击者将注入指令藏在 HTML 注释中。这类内容在 GitHub 展示界面中不可见,但读取原始 Markdown 源码的人工智能模型却能识别。涉事代码库当时借助 GitHub 自动化流程来自动处理工单问题。 攻击者可将恶意指令伪装成普通的功能需求,无需获得项目修改权限,仅需提交一条 GitHub 工单,就能诱骗人工智能机器人代为执行修改操作。 微软证实,同类提示词注入手段同样可针对 Anthropic 的 Claude Code GitHub 自动化流程发起攻击。此前 Anthropic 已为部分工具(例如可让 Claude 在系统中执行命令的 Bash 工具)设置了沙箱防护。 但微软发现,Claude 用于读取文件的读取工具并未受到同等安全限制。 研究人员制作了提示词注入攻击载荷,对该漏洞进行验证测试。测试中,恶意提示词成功绕过两层防护,诱导这款人工智能助手读取了存放着应用程序接口密钥及其他凭证的系统文件。 微软于 4 月 29 日向 Anthropic 上报了该漏洞 。Anthropic 已于 5 月 5 日发布 Claude Code 2.1.128 版本完成修复,通过限制程序对 /proc/ 目录下敏感文件的访问,防止相关信息被非法窃取。
IT之家 6 月 5 日消息,FlagLeft 安全研究团队于当地时间 6 月 2 日发文,披露了 Microsoft 365 安卓应用中存在的一项严重漏洞。好消息是这一漏洞在披露前便已被修复。 安全研究人员表示,微软旗下的多款 Android 移动应用在发布过程中由于开发人员的疏忽,不慎将一个用于测试流程的调试标记(Debug Flag)带入了正式生产版本中。 这一低级失误直接导致其安全校验机制失效,使得安装在同一设备上的任何第三方应用,都能在用户完全不知情的情况下静默窃取 Microsoft 365 账户的登录凭证(Token),进而以已登录用户的身份读取邮件、访问文件、查看日历乃至发送消息 受该漏洞影响的重点应用包括 Word、PowerPoint、Excel、Microsoft 365 Copilot、Microsoft Loop 以及 OneNote。 目前微软已紧急修复了相关问题,并针对不同应用发布了相应的安全补丁,建议所有受影响的用户立即通过应用商店更新至最新版本。 安全研究人员指出,Teams 应用因未启用该调试标志而不受影响。但这些应用在谷歌 Play 商店的累计下载量达数十亿次。 漏洞的技术原理并不复杂。微软为了在正常情况下提升用户体验,在 Microsoft 365 应用之间设计了一种凭证共享机制(即单点登录)。例如,当用户登录了 Word 之后,再打开其他微软应用无需重复验证即可使用同一账户。 正常的令牌交接过程中,应用需要校验请求来源是否为受信任的微软应用。然而,由于开发人员的疏忽。安卓版 Microsoft 365 在正式版本中保留了 setIsDebugMode (true)。这一本属于开发阶段的调试标记在进入正式生产环境后,直接跳过了针对调用方身份的合法性校验,导致任何未经验证的第三方本地应用只需发送特定请求,即可直接拦截并获取账户登录凭证,全程无需用户密码,也不会弹出登录页面,甚至无需请求任何可能引起用户警觉的权限。 研究人员进一步指出,被泄露的凭证属于危险系数极高的 FOCI(Family of Client IDs)特殊凭证。此类凭证不仅可以长期重复使用和静默刷新,且在其被恶意利用时,其产生的网络流量与系统日志表现得与用户正常使用完全一致,故极其隐蔽。 攻击者通过本地恶意 App 劫持该凭证后,无需获取用户的账号密码,也无需申请任何敏感的安卓系统权限,便能直接以受害者账户的身份为所欲为,包括读取、修改和发送电子邮件、翻阅云端文档、查看日程表等。 随后,研究人员利用 AI 进行了分析,确认该安全漏洞因共享 SDK 的缘故大范围蔓延至 M365 全系六款主力安卓应用中。“原本以为只是一个应用的问题,后来发现是 M365 安卓应用的共同模式,一个简单的 Bug 影响了总计数十亿次下载的应用。” 针对这一重大供应链与发布失误,研究团队已提前向微软安全响应中心(MSRC)进行了负责任的漏洞披露。 微软方面随后确认了上述漏洞并发布了安全指南,针对不同应用所面临的风险分别赋予了不同的 CVE 编号与危险评级。 其中,Microsoft 365 Copilot 安卓版对应的漏洞编号为 CVE-2026-41100(CVSS 评分 4.4,中危);Word 安卓版对应 CVE-2026-41101(CVSS 评分 7.1,高危);PowerPoint 对应 CVE-2026-41102(CVSS 评分 7.1,高危);而微软 Office 核心组件整体的漏洞则同样归于 CVE-2026-41102(CVSS 评分达 7.7,重要级别)。 微软表示,相关漏洞的修复程序均已包含在 5 月中旬及后续的更新日志中,企业 IT 管理员应立即核查组织内部托管的安卓设备,确保所有相关办公软件处于最新安全版本状态。
我用herosms接的码,凭证失效了,重新去oauth验证又提示接码,而且还得是第一次验证的手机号。 于是在herosms上看到有续期按钮,但是点击后提示号码离线了。 我估计意思是这个号码没了,无法续期, 因此导致所有凭证失效的plus号都废了。 所以现在要多账号的话,接码废了,得长期养手机号码了? 10 个帖子 - 9 位参与者 阅读完整话题
遇到的问题 买了一个发了如下格式凭证的号,也已经导入成功了,但是用了一天显示401了,需要重新登陆,要如何解决呀,也不是plus掉了,是号掉了,没办法再登陆了 { "type": "co***ex", "account_id": "60***30", "chatgpt_account_id": "60***30", "email": "An***om", "name": "An***om", "plan_type": "p***s", "chatgpt_plan_type": "p***s", "id_token": "ey***kI", "access_token": "ey***vA", "refresh_token": "rt***bM", "session_token": "", "last_refresh": "20***00", "expired": "20***00", "chatgpt_user_id": "us***30" } 6 个帖子 - 4 位参与者 阅读完整话题
2天前才刷新的凭证咋就AT失效了?!! 8 个帖子 - 7 位参与者 阅读完整话题
网页端访问不了,cpa凭证刷新超时?我看我网应该是没问题啊,google秒访问 13 个帖子 - 9 位参与者 阅读完整话题
(原本已经发过了,结果手贱给删了) 本人非科班,描述可能缺乏专业性,望体谅。 我跟着几个佬的帖子搞了几个gpt的free号,但是在cpa的后续使用中发现了一些问题,如下: 1,我先是在鱼上买了一下free的json,然后上传oauth,当时使用没有问题,但是第二天启动cpa刷新凭证就发现出现额度获取失败:Codex 凭证缺少 ChatGPT 账号 ID。 2.我自己弄的free号,第一天使用也是没有问题,但是第二天刷新凭证就出现额度获取失败:request failed。 请问如上问题如何解决,是不是没事不要刷新凭证?感谢各位佬 2 个帖子 - 2 位参与者 阅读完整话题
(话题已被作者删除) 1 个帖子 - 1 位参与者 阅读完整话题
我在佬的这个公益站 https://linux.do/t/topic/2182549?u=zaoanya 佬们,这里面的凭证捐赠是干啥的我选择了Antigravity,然后登陆了我的主google账号,并输入了local回调链接,会不会有什么影响? 9 个帖子 - 5 位参与者 阅读完整话题
GPT 代订阅 5x pro 20x pro 1 个帖子 - 1 位参与者 阅读完整话题
蓝点网 另类供应链攻击?每月下载量超10万次的CodexUI Android会窃取用户凭证 - 蓝点网 #安全资讯 每月下载量超过 10 万次的 CodexUI Android 开源项目暗藏恶意代码,会窃取 Codex 身份验证令牌,完… 1 个帖子 - 1 位参与者 阅读完整话题
有没有佬知道是什么问题 还有凭证报错修改了这个User-Agent也没用在cherry studio里面无法回复 codex-tui/0.118.0 (Mac OS 26.3.1; arm64) iTerm.app/3.6.9 (codex-tui; 0.118.0) 我的整个流程是日本服务器建的cpa再用香港的服务器建八爪鱼进行中转 20 个帖子 - 6 位参与者 阅读完整话题
GO-X0CDIJMMFR_sub2.txt (4.5 KB) GO-X0CDIJMMFR_cpa.txt (4.0 KB) 简单的事并没有什么好说的,把.txt改成.json就能用了 什么时候能直接上传json呢 3 个帖子 - 2 位参与者 阅读完整话题
为什么我今晚这个凭证用来七十多次,还有怎么多 2 个帖子 - 2 位参与者 阅读完整话题
The Hacker News TrapDoor Supply Chain Attack Spreads Credential-Stealing Malware via npm,... TrapDoor spread 34 malicious packages across npm, PyPI, and Crates.io, stealing developer credentials and enabling persistence. [!quote]+ 一场新的跨生态系统软件供应链协同攻击活动以 npm、PyPI 和 Crates.io 为目标,传播证书窃取恶意软件。 这场代号为 "TrapDoor "的活动涉及超过 34 个恶意软件包,版本超过 384 个。最早的活动记录于 2026 年 5 月 22 日 8:20 p.m. UTC,新软件包一波一波地从一组账户快速发布到生态系统中。 "TrapDoor的目标是加密、DeFi、Solana和人工智能社区的开发人员,"Socket说。"恶意软件包旨在窃取开发者机密、加密钱包、SSH 密钥、云凭证、浏览器数据和环境变量。 "几个 npm 软件包还部署了一个共享有效载荷 trap-core.js,它可以扫描凭证、验证 AWS 和 GitHub 令牌、尝试基于 SSH 的横向移动,并通过 .cursorrules、CLAUDE.md、Git 钩子、shell 钩子、systemd、cron 和 SSH 设置持久性。 值得注意的是,该活动与 HUMAN 的 Satori 威胁情报和研究小组上周详细报道的另一个同名活动没有任何联系,后者通过 Google Play 商店分发了 455 个安卓应用程序,从事广告欺诈活动。 该行动的显著特点是交付路径多样,使用安装后钩子、在软件包导入时执行的远程 JavaScript 有效载荷以及恶意 build.rs 脚本来攻击 Sui 和 Move 开发人员。这些软件包伪装成看似无害的工具,使攻击者能够接触到广泛的受众。 npm 软件包被发现运行一个 JavaScript 有效载荷(“rap-core.js”),它可以扫描凭据和开发人员机密,使用 AWS 和 GitHub API 调用验证窃取的凭据,使用 cron 作业、systemd 服务、Git 钩子在主机上创建持久性,并通过 SSH 在网络上移动。 Rust crates 以类似的方式搜索本地密钥库,使用硬编码 XOR 密钥加密数据,并将数据外泄到 GitHub Gists。值得注意的是,这些软件包还使用了构建脚本(“build.rs”)来触发恶意代码的执行。 与 TrapDoor 相关的 Python 软件包设计为导入时自动执行。这些软件包的主要目的是从攻击者控制的 GitHub 页面域(“ddjidd564.github[.]io”)下载 JavaScript,并使用 "node -e "运行。 "Socket 解释说:"这种技术允许 Python 软件包将执行委托给远程 JavaScript 有效载荷,使攻击者在发布后拥有更大的灵活性。"通过在外部托管有效载荷,攻击者可以在不发布新的 PyPI 版本的情况下更新行为。 该活动的一个不同寻常之处是植入了 .cursorrules 和 CLAUDE.md,其中包含隐藏指令,以诱骗人工智能(AI)助手运行 “安全扫描”,从而导致秘密被发现和外泄。这是通过在流行的人工智能和开发人员项目中打开 GitHub 拉取请求(PR)来实现的,包括 “browser-use/browser-use”、"langchain-ai/langchain "和 “langflow-ai/langflow”。 3 个帖子 - 2 位参与者 阅读完整话题
[email protected] (4.8 KB) 好心人给个赞 1 个帖子 - 1 位参与者 阅读完整话题