一个使用基于Linux恶意软件攻击电信供应商的复杂威胁组织，近期将其攻击范围扩大至东南欧的组织机构。

该组织被思科Talos内部追踪为UAT-7290，显示出强烈的中国关联特征，通常在网络间谍活动中以南亚电信运营商为主要目标。

UAT-7290组织至少自2022年开始活跃，同时扮演初始访问代理的角色，在攻击过程中建立运营中继箱（ORB）基础设施，供其他与中国关联的威胁组织后续利用。

研究人员指出，黑客在入侵前会进行广泛侦察，并混合使用定制化与开源恶意软件，同时利用边缘网络设备已知漏洞的公开利用程序。

思科Talos在今日发布的报告中指出："UAT-7290通过利用单日漏洞和针对性的SSH暴力破解，入侵面向公众的边缘设备，从而获取初始访问权限并在受感染系统中提升权限。"

UAT-7290攻击武器库

UAT-7290主要使用基于Linux的恶意软件套件，偶尔会部署如RedLeaves和ShadowPad等Windows植入程序——这些工具在多个中国关联攻击组织中被广泛共享。

思科重点列出了以下与UAT-7290关联的Linux恶意软件家族：

RushDrop（ChronosRAT） – 启动感染链的初始投放器。执行基础反虚拟机检查，创建或验证隐藏的.pkgdb目录，并解码内嵌的三个二进制文件：daytime（DriveSwitch执行器）、chargen（SilentRaid植入程序）以及被滥用于命令执行的合法Linux工具busybox。

DriveSwitch – 由RushDrop投放的辅助组件，主要功能是在受感染系统上执行SilentRaid植入程序。

SilentRaid（MystRodX） – 采用C++编写、基于插件化设计的主要持久化植入程序。执行基础反分析检查，通过谷歌公共DNS解析器解析其C2域名；支持远程Shell访问、端口转发、文件操作、tar目录归档、访问/etc/passwd以及收集X.509证书属性。

Bulbature – 此前由Sekoia记录过的基于Linux的UPX加壳植入程序，用于将受感染设备转化为运营中继箱（ORB）。该程序监听可配置端口，开启反向Shell，将C2配置存储在/tmp/*.cfg文件中，支持C2轮换机制，并使用自签名TLS证书。

Bulbature的TLS证书与Sekoia先前记录的证书相同，已在141个位于中国内地及香港的主机上发现，这些IP地址还与其他恶意软件家族存在关联，包括SuperShell、GobRAT和Cobalt Strike信标。

思科Talos的报告提供了关于UAT-7290所用恶意软件的技术细节，并附有入侵指标列表，以帮助各组织防御该威胁组织。

Google表示正在推出一项名为"AI收件箱"的新功能，该功能可汇总您的所有电子邮件，但公司承诺不会用您的邮件训练其模型。

周四，谷歌宣布Gmail将进入新时代，Gemini将接管您的默认收件箱界面。

谷歌指出，自2004年以来电子邮件已发生巨大变化，用户现在每周被数百封邮件轰炸，且数量持续增长。

通过Gmail中的AI概览功能，谷歌表示能够应对海量邮件问题，并允许您询问关于收件箱的任何信息。

例如，当您找到相关邮件时，可能会面对一长串消息列表——特别是在企业环境中，邮件往往形成冗长的对话链，迫使您不得不仔细翻阅整个列表。

与谷歌搜索类似，AI概览功能会总结您的邮件内容并提供简短概述，这样您就无需阅读对话线程中的所有历史邮件。

AI对话摘要功能今日起向所有用户免费推出。

AI收件箱

AI收件箱是出现在左侧边栏传统收件箱上方的新板块，它就像您的个性化简报。

"AI收件箱如同拥有个性化简报，突出显示待办事项并让您了解重要信息，"谷歌在博客文章中解释道。

该公司补充说："它通过您频繁联系的对象、通讯录中的联系人以及从邮件内容推断出的关系等信号，帮助您识别重要联系人并确定优先级。"

谷歌确认用户将能够关闭Gmail中的AI功能，并承诺不会用用户的电子邮件训练其AI模型。

美国网络安全与基础设施安全局（CISA）近日废止了2019年至2024年间发布的10项紧急指令，并表示相关要求措施已完成执行，或已被《约束性操作指令22-01》涵盖。

CISA称这是该机构首次一次性废止如此大量的紧急指令。

"CISA依据法规发布紧急指令，旨在快速应对新兴威胁，并通过尽可能缩短指令有效期来降低影响，"CISA解释道。

"在对所有现行指令进行全面审查后，CISA确认所需措施已成功实施，或已纳入《约束性操作指令（BOD）22-01：降低已知已遭利用漏洞的重大风险》的范畴。"

《约束性操作指令22-01》利用该机构的已知已遭利用漏洞（KEV）目录，向联邦民事机构通报正在被利用的安全漏洞，并明确系统必须完成修补的时间节点。

紧急指令旨在应对紧迫风险，仅在必要时保持有效。

今日废止的紧急指令完整列表如下：

• ED 19-01：缓解DNS基础设施篡改风险
• ED 20-02：缓解2020年1月补丁星期二披露的Windows漏洞
• ED 20-03：缓解2020年7月补丁星期二披露的Windows DNS服务器漏洞
• ED 20-04：缓解2020年8月补丁星期二披露的Netlogon权限提升漏洞
• ED 21-01：缓解SolarWinds Orion代码泄露事件
• ED 21-02：缓解Microsoft Exchange本地部署产品漏洞
• ED 21-03：缓解Pulse Connect Secure产品漏洞
• ED 21-04：缓解Windows打印后台处理程序服务漏洞
• ED 22-03：缓解VMware漏洞
• ED 24-02：缓解国家行为体入侵微软企业邮件系统带来的重大风险

这些指令多数针对曾被快速利用的漏洞，这些漏洞现已被纳入CISA的KEV目录。

根据BOD 22-01要求，联邦民事机构必须在CISA设定的截止日期前修补KEV目录中列出的漏洞。默认情况下，对于2021年前分配的CVE漏洞，机构最多有六个月修复时间；较新的漏洞则需在两周内完成修复。

但若认定为高风险漏洞，CISA可设定更短的修补时限。

近期案例中，相关机构被要求在一日内修补受主动利用漏洞CVE-2025-20333和CVE-2025-20362影响的Cisco设备。

趋势科技警告Apex Central存在严重远程代码执行漏洞

日本网络安全软件公司趋势科技已修复Apex Central（本地部署版）中的一个严重安全漏洞，攻击者可能利用该漏洞以SYSTEM权限执行任意代码。

Apex Central是一个基于Web的管理控制台，可帮助管理员通过单一界面管理多种趋势科技产品与服务（包括防病毒、内容安全和威胁检测），并部署防病毒模式文件、扫描引擎和反垃圾邮件规则等组件。

该漏洞编号为CVE-2025-69258，允许未在目标系统获得权限的威胁行为者通过注入恶意DLL实现远程代码执行。此类攻击复杂度较低，且无需用户交互。

趋势科技在本周发布的安全公告中表示："趋势科技Apex Central中的LoadLibraryEX漏洞可能允许未经身份验证的远程攻击者将攻击者控制的DLL加载到关键可执行文件中，导致在受影响系统上以SYSTEM权限执行攻击者提供的代码。"

据报告此漏洞并提供技术细节及概念验证代码的网络安全公司Tenable解释，未经身份验证的远程攻击者可向监听TCP端口20001的MsgReceiver.exe进程发送特制消息，"导致在SYSTEM安全上下文中执行攻击者提供的代码。"

尽管存在缓解因素（例如易受攻击系统暴露在互联网攻击中），趋势科技仍强烈建议客户尽快修补系统。

趋势科技补充道："除了及时应用补丁和更新解决方案外，还建议客户审查关键系统的远程访问权限，并确保策略和边界安全措施处于最新状态。"

"尽管漏洞利用可能需要满足多个特定条件，趋势科技仍强烈建议客户尽快更新至最新版本。"

为修复此漏洞，趋势科技已发布关键补丁版本7190，该版本同时修复了两个拒绝服务漏洞（CVE-2025-69259和CVE-2025-69260），这两个漏洞同样可被未经身份验证的攻击者利用。

三年前，该公司曾修补另一个Apex Central远程代码执行漏洞（CVE-2022-26871），并警告客户该漏洞已在野外被积极利用。

软件介绍

Nigate（Free NTFS for Mac） 是一款免费的 macOS NTFS 读写工具。支持 M 芯片以及最新的 macOS26 系统。

简单来说，它的作用就是：让你在 Mac 上像用普通 U 盘一样，正常读写 NTFS 格式的移动硬盘和 U 盘。不用再折腾复杂的命令行，也不用安装那些体积庞大的商业软件。

软件界面简洁明了，上面是功能标签，下面是内容区域，插上设备就能看到，操作起来非常简单。

下载地址:

• https://github.com/hoochanlon/Free-NTFS-for-Mac
• https://github.com/hoochanlon/Free-NTFS-for-Mac/releases/tag/v1.3

主要功能

自动识别设备：插上 NTFS 格式的移动硬盘或 U 盘后，软件会自动检测并显示在列表中。每个设备都会显示名称、容量、使用情况等信息。

一键改为可读写：Mac 默认只能读取 NTFS 设备，不能写入。用这个软件，点击 "配置为可读写" 按钮，输入一次管理员密码，就能正常拷贝、修改、删除文件了。

实时显示容量，每个设备都会显示容量条，一眼就能看出还剩多少空间。

自动读写模式：勾选 "自动读写" 后，以后插上的 NTFS 设备会自动以可读写方式挂载，不用每次都点按钮了。

不想一直开着主窗口，可以开启托盘模式：

• 关闭主窗口后，图标会留在右上角菜单栏
• 点击图标就能打开小窗口，直接操作各个磁盘
• 小窗口会根据设备数量自动调整大小，不会占太多屏幕空间

界面说明

打开软件后看到的就是主界面，上面有 5 个标签页：

• 系统依赖 - 检查软件运行需要的环境（第一次用建议看看）
• NTFS 设备 - 这里显示所有插上的 NTFS 设备（主要功能）
• 操作日志 - 记录软件的操作历史（出问题时可以看看）
• 指南手册 - 使用帮助文档
• 设置 - 软件的各种设置选项

右上角还有：

• 主题切换按钮（深色 / 浅色模式）
• 关于按钮（查看软件信息）

日常使用

开启自动读写模式：

如果经常要用 NTFS 设备，建议开启 "自动读写"：

1. 在 "NTFS 设备" 页面顶部，勾选 "自动读写"
2. 以后插上设备就会自动变成可读写模式，不用每次都点按钮了

使用托盘模式：

如果不想一直开着主窗口：

1. 勾选 "托盘模式"
2. 关闭主窗口后，软件会缩小到右上角菜单栏
3. 需要时点击菜单栏图标就能快速操作

批量操作：

如果同时插了多个设备：

• 点击 "全读写" 可以一次性把所有设备改成可读写
• 点击 "全推出" 可以一次性安全退出所有设备

原贴过了编辑时间，只能回复，不能直接编辑，所以新开帖子继续更新。

https://linux.do/t/topic/686188?u=mi_manchi
https://linux.do/t/topic/760768?u=mi_manchi
https://linux.do/t/topic/846134?u=mi_manchi](https://linux.do/t/topic/846134)

之前好多佬反应需要 git 地址，这样看起来比较方便。

里面分为几个文件

• mcp 的 json 文件（路径、key、环境变量要自己配置
• 轻量化的提示词，可用于 codex、cursor、trae 使用
• Claude code agent 基本的提示词，可用于 Claude code 使用

我利用ai用于生产力编程差不多2个多月，期间又把提示词给完善了。

结合了很多论坛好的工具和流程化的内容, 对这套提示词进行了各种迭代。

我个人的理念是 **“轻量化与原生化”**：不追求过度封装的 Agent 或复杂的硬编码逻辑，而是最大化利用 **目前 Top 3 顶尖模型** 的原生能力，仅在核心处注入标准化的工作流、技能与模版。

这种侧重于 “提示词 + 流程 + 工具” 的工程化思路，与 Claude Code 官方的使用经验及目前主流方向不谋而合。

希望这套配置能为各位的开发工作切实提效。欢迎在评论区或私信交流反馈，感谢大家的支持！
希望我的提示词能给大家工作带来便捷。

有反馈的直接论坛留言或者私信都可以，感谢大家的使用和阅读。

PS

寸止工具只有 exe 程序，开发者没做 Linux 和 mac 的程序，建议其他 os 端使用 feedback

昨晚心血来潮，阅读了一下 skills 的更多细节内容，发现 Anthropic 给出的 skills 存在这些问题：

• 只能传入文本，无法动态的决定传入的 tools 工具
• skill 在被 ai 调用后，其内容部分会持久的记录在上下文里
• mcp 和 skills 是割裂的两个系统，Anthropic 没有给出直接的转换或者兼容工具
• skills 工具本身没有强制判断参数是否可用

追其根本，是因为 Anthropic 在 claude code 实现 skills 时是下面这样实现的

• 首先定义了一个 skills 工具，然后你定义的 skills 描述会作为 skills 外层的工具整体描述传入进去
• 没有给 skills 工具的获取 skill 内容参数传入定义的 skills 的名称作为 enum 可选项，这导致 ai 输出 skills 工具时，可能会传入不存在的参数
• skills 文件结构里，虽然定义了一个 allowed_tools 参数，但是 Anthropic 在实现时有点问题，他这里指的是该 skills 可以用的工具，但是是在现有的 tools 基础上的，而且只是作为一个提示词提示 ai，类似于：你可以使用 xxx 工具。而不是说会动态的根据该 skills 注册新工具
• ai 要阅读某个 skills 时，会调用 skills 工具，然后 cc 会把这个 skills 内容作为工具结果发给 ai，然后后续即便该任务完成了，这个 skills 的内容也不会从上下文里删除。这会导致：如果 ai 使用了多个 skills，会导致这些 skills 的内容同时影响着 ai，即便你不需要某个 skills。而一个 skills 往往又有几百行内容，很吃 ai 的注意力和上下文

那么我们该怎么优化上述系统呢，其实只需要使用动态系统提示词 + 动态 tools 列表即可
具体工作机制如下：

• 首先在系统提示词里专门划开两个部分，其中一个是各种 skills 的描述，另一个是某某 skills 的内容部分，这两个实际上可以合并到一个里面，或者分开也行。描述总是会加到系统提示词里，内容会根据 ai 需要动态加载
• 各种 skills 的描述放在系统提示词里，而不再放在 skills 工具定义描述里
• ai 使用 skills 工具获取描述时，历史上下文里只会记录：你调用了 xxx skills。然后应用此时会把该 skills 的内容加到系统提示词里的内容部分
• 后续对话就会是 ai 已经掌握了该 skills 的内容前提下进行，如果 ai 需要，可以继续阅读更多的 skills
• 当 ai 认为某个任务结束后，可以主动调用 skills 工具，关闭该 skills，这样一个 skills 的完整生命周期就完成了
• 用户当然可以主动手动关闭或者添加某个 skills，因为 skills 是直接写入系统提示词里的，会很方便配置

mcp 工具在 skills 的前提下，也会变成动态的，而不再是固定：

• 如果某个 skills 绑定了 mcp 工具（同样通过 allowed_tools），那么该工具不会被直接添加到调用 api 时的 tools 参数里
• 当 ai 决定读取某个 skills，而该 skills 又定义了某些 tools，应用应该先检查是否已经注册了这些工具，会在 tools 参数里加上没有启用的 mcp 工具，采取合并的策略，动态的维护一个 tools 列表
• 当 ai 决定不再需要某个 skills 时，也会动态的根据配置项来关闭这些工具，不再添加到 tools 列表里发给 ai，具体是这样的：如果该工具不再固定工具里，且不在任何一个启用的 skills 里，那么就注销，采用一种最最小的减法
• 用户当然依旧可以自己维护一个固定的工具列表，以便让 ai 总能使用到某些工具，比如常用的 bash，read 等工具

感觉上面这些方式才会是我想象的 skills 升级版 + mcp 的结合方式
目前 skills 更像是给一堆文档添加了一个文字摘要库，ai 需要时就阅读文档，而不是说根据需求动态的维护自身 skills

话说这种方式应该很早就有人想到了才对，也没见有火起来，反而是更次一级的 skills 火了。。。

后续我会给我自己的插件加上上面的功能试试水
话说目前有什么 ide 或者插件已经实现了这些功能的吗？

脚本是 AI 搓的，没看具体内容。
每天上班第一件事就是先运行一下脚本
运行结果：

脚本如下：

// update_ai_tools.js const { execSync } = require('child_process');
const os = require('os');

console.log('\n======================================');
console.log('       AI CLI 工具更新助手');
console.log('======================================\n');

// 1. 权限检查 function isRunningAsAdmin() {
  if (os.platform() === 'win32') {
    try {
      execSync('net session', { stdio: 'ignore' });
      return true;
    } catch (e) {
      return false;
    }
  }
  return process.geteuid && process.geteuid() === 0;
}

if (!isRunningAsAdmin()) {
  console.error('❌ 请以管理员身份运行此脚本。\n');
  process.stdin.once('data', () => process.exit());
  return;
}

const packages = [
  { name: 'Gemini CLI', npm: '@google/gemini-cli' },
  { name: 'GitHub Copilot', npm: '@github/copilot' },
  { name: 'Codex CLI', npm: '@openai/codex' },
  { name: 'Claude Code', npm: '@anthropic-ai/claude-code' },
  { name: 'Qwen Code', npm: '@qwen-code/qwen-code' }
];

// 2. 获取本地版本 (这一步很快) let localVersions = {};
try {
  const res = execSync('npm list -g --depth=0 --json', { 
    encoding: 'utf8', 
    stdio: ['ignore', 'pipe', 'ignore'] 
  });
  const parsed = JSON.parse(res);
  if (parsed.dependencies) {
    for (const key in parsed.dependencies) {
      localVersions[key] = parsed.dependencies[key].version;
    }
  }
} catch (e) {
  if (e.stdout) {
    try {
      const parsed = JSON.parse(e.stdout);
      if (parsed.dependencies) Object.assign(localVersions, parsed.dependencies);
    } catch (err) {}
  }
}

// 3. 核心逻辑：逐个检查并立即打印结果 console.log('正在检查版本状态...\n');
const tasks = [];

packages.forEach(pkg => {
  const localVer = localVersions[pkg.npm];
  let remoteVer = null;

  try {
    // 联网查询，可能会慢
    remoteVer = execSync(`npm view ${pkg.npm} version`, { encoding: 'utf8' }).trim();
  } catch (e) {
    console.log(`⚠️  [${pkg.name}] 查询失败，跳过。`);
    return; // 跳过当前循环
  }

  // 立即打印结果，提供实时反馈 if (!localVer) {
    console.log(`⚪ [${pkg.name}] 未安装 -> 🆕 ${remoteVer}`);
    tasks.push({ ...pkg, action: 'install' });
  } else if (localVer !== remoteVer) {
    console.log(`🔻 [${pkg.name}] 本地 ${localVer} -> 🆙 ${remoteVer}`);
    tasks.push({ ...pkg, action: 'update' });
  } else {
    console.log(`✅ [${pkg.name}] ${localVer} (已是最新)`);
  }
});

// 4. 执行更新 if (tasks.length === 0) {
  console.log('\n✨ 所有工具已是最新。');
} else {
  console.log();
  console.log(`🚀 开始更新 ${tasks.length} 个工具...`);
  console.log();

  tasks.forEach((task, index) => {
    process.stdout.write(`[${index + 1}/${tasks.length}] 更新 ${task.name}... `);
    try {
      execSync(`npm install -g ${task.npm}@latest`, { stdio: 'pipe' });
      console.log(`✔ 成功`);
    } catch (e) {
      console.log(`✖ 失败`);
      if (e.stderr) console.error('    ' + e.stderr.toString().split('\n')[0]); 
    }
  });
  
  console.log('\n✨ 全部完成。');
}

console.log('\n(按任意键退出)');
process.stdin.setRawMode(true);
process.stdin.resume();
process.stdin.on('data', () => process.exit());

前言

很多拥有 Gemini Pro 资格的朋友，主要还是在官方网页端使用。但谷歌自家也推出了类似于 Cursor 这样的集成编辑器。
最大的痛点：目前该服务严格锁区，国内用户直接访问通常会看到账号不可用的提示。
本文目标：帮你在国内网络环境下流畅使用 Antigravity。

第一步：网络环境配置

1. 开启 TUN 模式：
   
   • 请务必在你的网络工具中开启 TUN 模式，确保所有流量都经过代理。
2. 节点选择：
   
   • 必须选择 Antigravity 支持的地区节点（如美国 US）。
   • 官方支持的地区：https://antigravity.google/docs/faq
3. 重点来了！：
   
   • 你的节点地区必须与你 Google 账号的归属地保持一致。

此时你大概率会成功。但是可能会遇到下一个问题。提示

第二步：解决 “Account Not Eligible”

这说明问题不在你的 IP，而在你的 Google 账号本身被标记为了非支持地区
这时候就得去官网申诉换地区了，大概等一两天就能换好：https://policies.google.com/country-association-form

具体的地区上面以及提过了，这里不在赘述。到这里基本上就成功了。

备用的方案

实际上，若上文方法还不行，可以借助 Github 上的一个开源项目： Antigravity-Manager
即使账号报了 not eligible，也可以用此程序强登，很好用。

众所周知 Pollinations 是老慈善家了，现在每天可以免费领 1pollen 的额度，有很多图像生成模型包括 flux、z-image，nanobanana pro 等可以选择，但调用的话需要从 header 传 key，原来的直接从 url 调用有速率限制，遂想找一个集成好的工具，L 站转了一圈发现还没有就 vibe coding 了一个。

该网站下图片生成费用如下：

算是相当慷慨了。

需要先从 https://enter.pollinations.ai 获取 API 密钥 (需申请可发布密钥（pk_）- 用于客户端)，然后设置到 key 中

项目地址

在线使用：https://polimage-eosin.vercel.app

github：https://github.com/qiao39gs/polimage

项目特点

• 批量生成 - 一次生成 2、4、6 或 9 张图片，支持并发处理
• 可定制参数 - 控制尺寸、种子、质量、引导系数等
• 生成历史 - 自动本地保存最近 20 条生成记录
• 深色 / 浅色主题 - 主题切换，偏好设置持久保存
• 零依赖 - 纯 HTML、CSS 和原生 JavaScript

预览

目前已知的不足

官方文档 image 接口是有 transparent 透明度选项的，也就是理论上应该支持 flux 模型的生成透明背景图片的，工具里也支持了，但生成的图片还是不透明的，应该是官方还没调试好
还没实现上传图片功能，只能通过图片 url 实现图生图

第一次写这种开源项目，求轻喷

用 manus 搓了个挺好玩的开源小工具

输入 GitHub 仓库地址

自动分析这个项目的 Star 都来自哪些国家 / 地区

世界地图 + 排名 + 统计一目了然

在线体验：

GitHub：

看着自己项目的 Star 在地图上亮起来，还挺有成就感的

settings 可以设置 github token 可以提升接口调用次数，建议对小型项目进行分析，大型项目数据分析时间太长了，setting 页面需要 manus 登陆，建议大家去白嫖一个，站里全是邀请链接

效果图：

不知道这个板块对不对，不对的话请佬友们指正

用 Python 写了一个 自动获取软著申请 版权局的脚本，之前使用的 网页提醒 浏览器插件会失效。
这是 Gay Hub（手动狗头）
mengxizhuo/copyright_webhook: 自动检测版权局的状态变化 python 脚本
CSDN 链接
CSDN

这份手册整理自实际影视制作项目中的提示词设计经验。不谈理论，直接上能用的方法论。

一、对话提示词：让 AI 成为你的专业搭档

1.1 角色设定是起点

给 AI 一个具体的身份，不是敷衍地说 "你是助手"，而是要明确到岗位级别：

你是一位顶级影视概念设计师与剧本分析师。你的核心能力是"全员捕捉"，负责将剧本中的所有登场角色转化为标准化的人物概念生成提示词。

Plain Text

角色定位直接决定了 AI 的输出视角和专业度。"剧本分析师" 会自动带入行业术语，比 "助手" 精准太多。

设定技巧：

• 角色具体到行业 + 岗位

• 加上 "顶级"、“资深”、"精通" 等修饰词

• 用一句话说清核心能力

1.2 核心逻辑成体系

光有角色还不够，得告诉 AI 具体怎么干活。这部分叫 "核心逻辑"，本质是一套执行框架：

# Core Logic (核心逻辑 - 请严格执行) 1. 全域扫描机制 (Full Capture)：   - 对话扫描：提取所有有台词的角色   - 动作扫描 (关键)：重点检查以 ▲、△、【、( 开头的舞台指示   - 忽略背景板：忽略无具体描述的泛指人群
2. 群体细分原则：   - 严禁将不同特征的角色合并   - 若剧本区分了"女弟子A"与"男弟子B"，必须拆分为两个独立条目
3. 视觉与台词规范：   - 有台词者：提取最具代表性的一句原话   - 无台词者：替换为 (Silent, expression: [神态描述])

Plain Text

关键点：

• 用编号建立层级，逻辑清晰

• 正面说 "要做什么"，反面说 "禁止什么"

• 重要规则用加粗标注

• 给出具体例子，避免歧义

1.3 输出格式必须锁死

AI 最容易跑偏的就是输出格式。不锁死，它就会自由发挥，加一堆解释性文字。

# Output Format (Strict JSON)
- 绝对禁止使用 Markdown 代码块（json）- **绝对禁止**在 JSON 前后添加任何解释性文字- 输出必须是 **Raw JSON String**- JSON 结构如下：{  "data": [    {      "name": "角色中文名",      "content": "中文提示词"    }  ]}

Plain Text

为什么这么严格？因为 AI 输出会被程序解析。多一个 markdown 符号，下游就炸了。

格式约束技巧：

• 明确禁止项，用 "绝对禁止" 强调

• 给出完整格式示例

• 字段含义标注清楚

1.4 通用公式降低成本

当任务有固定模式时，直接给 AI 一个公式模板：

通用生成公式 (Prompt Formula)：

[风格设定] 全身视角 [角色名], [年龄 / 身份], 站在白色背景前，[外貌 / 服饰 / 神态细节], 正在用中文普通话面向镜头，[台词处理]

公式让 AI 不用思考结构，只需往槽位里填内容。输出一致性直接拉满。

1.5 对话提示词模板

#Role: [职业身份] ## Profile[一句话介绍核心能力] ## Goal[本次任务目标] ## Core Logic- [执行规则一]- [执行规则二]- [执行规则三] ## Output Format[输出格式要求 + 示例] ## Constraints- [禁止事项一]- [禁止事项二] ## Example[输入输出示例] 

Plain Text

二、生图提示词：用文字控制画面

图像生成和对话完全是两套逻辑。对话是让 AI 理解意图，生图是让扩散模型 "看见" 你描述的画面。

2.1 五维描述框架

好的生图提示词至少覆盖五个维度：

完整示例：

一位身着精美汉服的少女，红色的斗篷边缘镶嵌着白色绒毛，面容清冷绝美，眼神凝视远方，

飘雪的冬日庭院，红梅在枝头绽放，中景构图，浅景深虚化背景，

中国古典工笔画风格结合写实厚涂，

柔和的漫射光，唯美氛围，

高精度，8k 壁纸级画质，极其细腻的皮肤纹理。

2.2 角色设计公式（三视图）

做角色设定图时，需要标准化的多视角展示：

[角色名]的人设概念设计稿，[身份/年龄]，[风格背景描述]。这是一张包含多个视角的展示图：包含正面、背面、左侧面、右侧面四位一体的全身展示，展现角色完整的身体比例。背景为纯白色。画面侧方包含：[发型及发饰细节描述]、[服装材质与剪裁工艺细节]的放大拆解图。整体呈现为专业三视图排版，光影均匀，超高清画质。图片底部正中央显著标注角色名称："[角色名]"。

Plain Text

要点：

• 明确要求 "多视角展示" 控制构图

• "纯白色背景" 方便后期抠图

• 细节特写单独拎出来

• 标注角色名方便识别

2.3 场景设计公式（九宫格）

Plain Text

九宫格位置映射：

[1前视] [2顶视] [3后视][4左立面] [5主视图] [6右立面][7材质] [8底视] [9道具] 

Plain Text

2.4 道具设计公式

[道具名]的道具概念设计稿，[类别/功能]，[风格描述]。这是一张专业工业设计分解图。画面中央为物品的45度标准透视图。周围包含：正视图、侧视图，以及局部的[核心部件/内部构造/符文细节]的精密特写。重点刻画[材质描述，如锈蚀、光泽、魔力流光]。背景为纯白色，演播室布光。图片底部正中央显著标注道具名称："[道具名]"。

Plain Text

2.5 特效 / 技能公式

画光效、粒子、技能释放时，背景要用深色：

[技能名]的VFX特效概念设计稿，[属性/能量类型]，[视觉冲击力描述]。画面展示了技能释放瞬间的动态冻结。核心包含：[光效颜色与形态]的能量爆发，周围伴随[粒子效果/碎片/气流/残影]的轨迹。高对比度光影，强调半透明材质与发光效果。背景为深色以突显特效。图片底部正中央显著标注技能名称："[技能名]"。

Plain Text

为什么用深色？发光效果在白背景上看不出来，对比度不够。

2.6 术语要专业

生图提示词的用词讲究，不能太口语化：

三、视频提示词：时间轴上的叙事

视频和图像最大的区别是：视频有时间。描述的不是一个瞬间，而是一段连续的变化过程。

3.1 描述 "变化" 而非 "状态"

图像提示词可以写 "她穿着红裙子"，但视频提示词得写 "她的红裙摆随风扬起，又缓缓落下"。

反面教材：

一个女孩站在海边。

正确写法：

镜头从女孩背影缓慢推近，海风吹起她的长发，她转过头来，眼神中带着一丝惆怅，远处的海浪轻轻拍打礁石。

3.2 运镜术语必备

视频提示词的灵魂是运镜，以下术语需要熟记：

3.3 15 秒是硬红线

当前主流 AI 视频模型（Sora、Runway、可灵）的生成极限约 15 秒。分镜设计时：

• 单个镜头不超过 15 秒

• 动作 / 打斗镜头 2-4 秒

• 情感 / 对白镜头 5-8 秒

• 复杂运镜需分阶段描述

3.4 长台词的动态化处理

角色有长台词时，不能让画面呆住。解决方案是复合运镜：

随着台词前半段，镜头从全景缓慢推至中景；当说到高潮句时，镜头快速聚焦（Rack Focus）到角色眼神特写；台词结束时，镜头微微后拉，展示角色的整体姿态。

Plain Text

3.5 物理连续性：Match on Action

视频是连续的，上一个镜头的结束状态必须和下一个镜头的起始状态一致：

镜头1 结尾：手举到最高点镜头2 开头：必须从最高点开始落下
镜头3 结尾：角色转身，背对镜头镜头4 开头：从背影开始

Plain Text

这叫 "动作衔接"（Match on Action），违反这条就会出现跳帧。

3.6 微动作拆解

将简单动作拆解为多个阶段：

"转身离开"拆解为：(1) 脚尖旋转 -> (2) 摆动衣角 -> (3) 背影远去
"愤怒地拍案而起"拆解为：(1) 手掌颤抖 -> (2) 猛击桌面 -> (3) 产生裂纹/纸张震起(4) 顺势站起 -> (5) 椅子撞墙 -> (6) 胸口起伏

Plain Text

3.7 环境要有反馈

动作必须影响环境：

• 拍桌子 → 灰尘震起、纸张飞扬

• 走过水面 → 涟漪扩散

• 愤怒爆发 → 窗帘随气流摆动

• 高速移动 → 残影、地面开裂

3.8 完整视频提示词示例

这是一个震撼的无人机跟拍镜头，近距离捕捉一只金雕在险峻的红色大峡谷中极速俯冲。金雕的羽毛在强劲的气流中微微颤动，眼神锐利地锁定地面。镜头随着金雕的动作快速下坠并穿越狭窄的岩石缝隙。阳光从峡谷上方呈光束状洒落，照亮了飞扬的尘土颗粒。画面具有IMAX电影级的质感，色彩饱满，超高清晰度，完美展现了速度感与野性之美。

Plain Text

这段包含了：

• 运镜方式（无人机跟拍）

• 主体动态（俯冲、羽毛颤动）

• 环境变化（穿越岩石缝隙、尘土飞扬）

• 光影（阳光光束、照亮尘土）

• 画质要求（IMAX、超高清）

四、分镜脚本编写规范

当需要 AI 帮你把剧本转成分镜脚本时，有一套专门的约束规则。

4.1 节奏控制

- 1个 15s 单元仅允许处理剧本中约 2-3 句台词/动作描写- 每个 15s 单元必须包含 6-10 个镜头- 严禁在一个单元内压缩整页剧情 

Plain Text

4.2 剧本忠实锁

- 逐句映射：必须在分镜详情中标注该镜头对应剧本的哪一句话- 台词全保留：剧本中的每一句对白必须出现在 dialogue 字段中- 动作补完："他很生气" -> [推镜头到眼部特写] -> [额头青筋跳动] -> [重击桌面]

Plain Text

4.3 ID 替换策略

当有角色 / 场景资源列表时：

- 匹配成功：替换为对应的 ID 标签（如 [@C01], [@S02]）- 匹配失败/列表为空：保留原始名称或使用具体的视觉外观描述- 绝不允许凭空编造列表中不存在的 ID

Plain Text

4.4 分镜输出格式

{"storyboard": [{  "id": 1,  "duration": "15s",  "script_reference": "对应剧本第 X 行至第 Y 行内容",  "summary": "详细描述本段涵盖的微小情节起伏",  "prompt": "【1-1 | 0-2s | 特写】动作：[手掌颤抖->猛击桌面] | 台词：'够了！'\n【1-2 | 2-4s | 中景】动作：[顺势站起->椅子撞墙]\n【bgm】沉闷压抑到重音突发\n【sfx】重击声、木材碎裂声"}]}

JSON

五、六宫格故事板规范

5.1 布局结构

**【缓冲对抗层】**Grid 1 (0-1s): 全黑画面，用于视频剪辑留白Grid 2 (1-3s): 视觉桥接，环境定场/转场逻辑 **【正片关键帧序列】**Grid 3 (Keyframe 1): 全景/中景，交代情境Grid 4 (Keyframe 2): 特写/面部特写，聚焦冲突点Grid 5 (Keyframe 3): 推动情节的动态镜头Grid 6 (Keyframe 4): 为下一场戏预留接口 

Plain Text

5.2 每格必含要素

- 景别: 全景/中景/近景/特写- 运镜: 推镜头/平移/固定/希区柯克变焦- 画面内容: 必须包含[前景]、[中景]、[后景]的具体物件和光影- 设计意图: 说明此镜头在叙事上的目的- 台词: 剧情中人物台词、对话、内心OS、旁白等

Plain Text

六、日常使用备忘

6.1 快速模板

生图快速模板：

[主体：人物/物体 + 动作 + 外貌]，[环境：场景 + 天气 + 时间]，[构图：景别 + 角度 + 景深]，[风格：画风 + 渲染方式]，[光影：光源 + 色调]，[画质：分辨率 + 细节词] 

Plain Text

视频快速模板：

[运镜方式]，[相机移动轨迹]。[主体动作] + [物理反馈]。[环境描写] + [随时间的变化]。[光影与氛围]。[技术参数]。

Plain Text

6.2 常见错误

6.3 迭代优化流程

提示词很难一次写好，建议的迭代流程：

• 基础版：跑通流程，能输出结果

• 约束版：加入格式约束，稳定输出结构

• 增强版：补充边界处理、错误兜底

• 优化版：根据实际生成效果调整描述权重

结语

提示词工程说到底就是两件事：

• 让 AI 明白你要什么（角色设定 + 任务描述 + 格式要求）

• 让生成模型 "看见" 你想要的画面（结构化描述 + 专业术语）

没有什么神秘技巧，就是多写、多调、多总结。遇到效果不好的输出，别急着换工具，先想想是不是自己的提示词没写清楚。

毕竟，AI 只是执行者，真正的导演是你。

本文整理自实际项目中的提示词设计经验，如有问题欢迎交流。

用这个生成提交消息还真是比软件自带的那种更准确，使用的时候只需要和 ai 说，生成提交消息就会自动调用这个 skills

---
name: git-commit-message
description: 读取暂存区变更（git diff --cached）并参考 git log 的最近提交风格生成提交消息。适用于用户让你读取暂存区、总结暂存变更或建议提交消息的场景。

--- # Git 提交消息 ## 概述

根据暂存区变更生成单行提交消息，并匹配仓库近期的提交风格与语言。

## 流程 1. 确认暂存状态
- 执行 `git status --short`。
- 若无暂存内容，说明情况并停止；询问是否需要暂存文件或改用未暂存 diff。
2. 读取暂存变更
- 执行 `git diff --cached`（变更较大时可加 `--stat`）。
- 仅基于暂存区内容生成消息。
3. 匹配仓库风格
- 执行 `git log -5 --pretty=format:%s`。
- 按最近提交的主流前缀/风格（如 `feat:`、`fix:`、`docx:`）与语言习惯撰写。
4. 起草消息
- 选最关键的改动作为动词，保持简洁。
- 若暂存包含多类不相关改动，建议拆分提交或给出合并但清晰的概述。
5. 回复
- 只输出推荐的提交消息（单行）。
- 如存在未暂存改动，可补充一句提醒说明不会包含。