一个名为Zestix的威胁行为者正在兜售从数十家公司窃取的企业数据，这些数据很可能是通过入侵其ShareFile、Nextcloud和OwnCloud实例获取的。

根据网络犯罪情报公司Hudson Rock的分析，初始访问权限可能是通过部署在员工设备上的信息窃取恶意软件（如RedLine、Lumma和Vidar）收集的凭证获得的。

这三种信息窃取程序通常通过恶意广告活动或ClickFix攻击传播。此类恶意软件主要针对浏览器存储的数据（凭证、信用卡、个人信息）、即时通讯应用和加密货币钱包。

当缺乏多因素认证（MFA）保护时，持有有效凭证的威胁行为者可以未经授权访问文件共享平台等服务。

Hudson Rock在今日的报告中指出，部分被分析的被盗凭证已在犯罪数据库中存在多年，这表明相关企业未能及时更换凭证，甚至在长时间后仍未使活跃会话失效。

多起入侵事件被公开兜售

Hudson Rock表示，Zestix在地下论坛担任初始访问经纪人（IAB），出售高价值企业云平台的访问权限。

这家网络安全公司指出，攻击者入侵了跨航空、国防、医疗、公用事业、公共交通、电信、法律、房地产和政府等多个行业组织使用的ShareFile、Nextcloud和OwnCloud环境。

地下论坛中Zestix兜售数据的样本

来源：Hudson Rock

通过解析信息窃取器日志并"专门查找企业云URL（ShareFile、Nextcloud）"，该威胁行为者使用有效的用户名和密码登录了未启用MFA的文件共享服务。

Hudson Rock表示，通过将其平台上的信息窃取器数据与公开图像、元数据和开源信息进行关联分析，锁定了可能的入侵点。

在至少15个分析案例中，这家网络安全公司发现云文件共享服务的员工凭证确实被信息窃取器收集。

需要强调的是，这种验证是单方面的，所列公司均未公开确认存在安全漏洞。可能的例外是Iberia航空公司，尽管其近期披露的安全事件未必与Hudson Rock的发现直接相关。

Zestix兜售的被盗数据量从数十GB到数TB不等，声称包含飞机维护手册和机队数据、国防与工程文件、客户数据库、健康记录、公共交通示意图、公用事业LiDAR地图、ISP网络配置、卫星项目数据、ERP源代码、政府合同和法律文件。

许多据称被盗的文件可能使相关组织面临安全、隐私和工业间谍风险，而暴露的政府合同可能引发国家安全担忧。

暴露数据的规模与类型

来源：Hudson Rock

Hudson Rock还发现了Zestix使用别名"Sentap"销售的另外30个受害者，但研究人员未以相同方式验证这些案例。

研究人员报告称，除已列出的受害者外，其威胁情报数据表明云暴露是一个更广泛的系统性问题，根源在于组织未能遵循良好的安全实践。

他们报告已识别出数千台受感染计算机，其中包括德勤、毕马威、三星、霍尼韦尔和沃尔玛的设备。

Hudson Rock向BleepingComputer透露，已就已验证的暴露事件通知ShareFile，并将向Nextcloud和OwnCloud发出警报，以便采取适当措施。

浅谈一次 cherry-studio 捉虫记录并浅谈它内置联网原理

最近因为 cherry-studio 内置的三大搜索（bing、baidu、google）过于难用于是我开启了捉虫行动。

大家都遇到过这种情况：在 cherry 里问 AI 一个问题然后它通过调用联网搜索的方式回答，但是很操蛋的是内置的三大搜索都几乎不可用，这太操蛋了。

我通过查阅 cherry 的源代码最终理解了为什么三大搜索这么难用，下面举例说明为什么难用

1. cherry 会将 AI 生成的查询关键词做一些可有可无的处理导致搜索范围变窄（我个人认为这是其中之一的原因，他们这样写肯定有自己的原因），比如会在搜索关键词前面插入当前的日期信息 today is 20**-**-** \r\n 后面插入用户的语言 lang: **** , 这就导致整个搜索关键词变得繁杂冗长，能搜到的内容自然变少了。
2. cherry 通过一个隐藏的窗口获取网页信息，但由于是隐藏的窗口导致加载出来的网页信息和正常的网页有非常大的差异。
3. cherry 获取网页源码的时机有点问题，在页面还有抖动的时候就尝试获取了，这导致有时候获取的是空内容

好，那么如何解决呢？首先让我将一下 cherry 是如何搜索的吧。

cherry 负责搜索的模块在接受到 AI 生成的搜索关键词后会对关键词进行一定的处理，处理完成后会开启一个浏览器的窗口访问处理好的搜索链接，当页面加载完成后会获取整个网页内容传递给对应搜索的解析器进行数据提纯，完成这一切后浏览器窗口会将其关闭（当然由于是隐藏的所以你什么也看不见），这时候就完成了搜索，AI 就可以根据返回的内容输出答案。

问题就出现在开启浏览器的过程和获取源代码的时机上面，当我让 cherry 创建窗口获取网页源代码的时候获取的页面是这样的

但是在不显示窗口的情况下获取到的页面是这样的

这时候解决方法就呼之欲出了，这里引用我提交的 pr 说明

通过启用离屏渲染并修改executeJavaScript执行时机修复bing、baidu、google无法获取搜索内容的bug。

这个bug是因为在electron中隐藏窗口时候获取的页面会与显示窗口时有差异导致的无法获取搜索内容，且原有的did-finish-load会导致窗口内网页的抖动，这进一步导致随机性的无法正常获取搜索内容。

我通过启动离屏渲染确保不显示窗口时页面内容和显示窗口时一致解决无法获取搜索内容的问题，并改用ready-to-show事件确保完全加载完成页面后再获取完整的页面dom，这样即可解决搜索的bug

最后贴一张修复后的使用效果图，使用内置 bing 搜索（要是能加载后面需要翻页的内容就好了）

今天 08:45 悲报，由于我修复了这个 bug，现在出现了新的问题，由于这东西搜索在获取具体的网站链接后会直接并发请求目标网站，这就导致搜索很容易被知乎、豆瓣等网站 403 拦截（麻痹的 cherry 怎么就不搞个节流呢？我回头研究一下怎么搞上去吧，乏了）

今天 14:47 @DeJeune 为我提交的 pr 添加了请求节流

笔记同步方法分享（含图床配置和同步配置）

本人使用的是 Obsidian 进行笔记管理 + Typora 进行笔记的编写，因为 Obsidian 多端同步且显示效果不会那么割裂，比较好用，实际效果如下：

Windows：

平板端：

有一说一 Obsidian 的阅读要比 typora 体验好很多，但是用多了 Typora，编辑体验比 Ob 强很多捏（个人感觉），尤其是 Typora+picgo 的图床配置，无感上传并自动转换图片为图床链接很爽。我使用的是 CF 的 R2 存储桶，免费的容量和访问次数完全够用，使用下来非常舒服。

图床配置

贴一下 picgo 相关配置：

配置方法的话也写一下吧，如下：

1. 创建一个存储桶

2. 开启 R2 存储桶的权限，然后配置一个桶，我这里是使用的是 这个桶，然后在 cloudflare 页面配置这个桶，

然后把这个 S3API 配置到 PicGo 的自定义节点，如果你嫌链接太长，可以在这里配置你的自定义域，也就是域名，配置后会自动在你的域名下创建相关 DNS 记录，其他的可以照抄我的也行。

3. 配置访问令牌

然后把上边的访问密钥 ID 和访问密钥配置到你的 PicGO 中的应用密钥 ID 和应用密钥即可

4. 大功告成，设置 Typora 使用 PicGO 上传即可。

• 偏好设置 → 图像
• 

同步配置

这里使用的是 Obsidian 中的一个插件 Remotely Save，因为我不想登录 Obsidian，本来就是本地管理笔记，登录干嘛哈哈哈哈。这里我是用的 Webdev 进行同步的，我是用的一个 GitHub 的夸克网盘的项目来实现对 Webdev 服务的支持（88VIP 必须物尽其用！）这里贴一下相关的项目：

这个项目的 stars 数还是很少的，但是我用下来体验还是不错的，虽然偶尔报错有点多，但大部分时间是好的哈哈哈哈

配置好，在 Typora 中写完东西，只要在 Obsidian 点一下同步，就可以在手机平板上肆意浏览你的笔记啦。

这里有一些配置推荐：

如果和我一样只在电脑上写笔记，在别的地方只是看笔记的话，建议开启这样的配置：

Windows：

观看端的话也是这样：

但是同步方向修改一下，万一在手机改了一下，可能会有一些冲突和覆盖：

配置同步也很方便，这里有一个导出的配置，用二维码扫一下就好咯：

结尾

这就是全部的内容啦，我个人目前的笔记管理，是这样的，在期末周忙里偷闲（其实是不想学习 ），想给大家分享下我的方案。当然可能会有欠佳的地方，大家可能也有比较好用的方案，都可以分享出来，我们共同学习共同进步！

PT 站新手入门指南

最近元旦 btshcool 开放注册，我也是注册了一个新号，由此开始我的新手入门。

什么是 PT 站？

PT 站（Private Tracker）是一种私有的种子分享站点，和公共 BT 站点不同，只有在站内注册且满足一定门槛的用户才能相互分享和下载资源。因此，PT 站点一般资源更加丰富，但门槛也更高。

进站后的规则

进入 PT 站点后，需要遵守以下规定：

• 只能使用允许的 BT 客户端下载站内资源，不能使用迅雷、QQ 旋风、离线网盘等下载工具。
• 所有资源不能用于盈利，也不能在其他站点分享。
• 过低的分享率会导致严重的后果，包括禁止帐号。

站点有各自的规定和门槛，需要仔细阅读站点介绍和规则后再进行相应的操作。

H&R 是什么？

H&R 就是 Hit and Run 的缩写，表示下载完资源后在规定时间内没有完成最少做种时间的行为，简单说就是 "下完就跑"。实行 H&R 考核是为了提高资源保种率，使老资源不断种。

H&R 有四种状态：

1. 考察中：需要保种的种子，做种时间没完成或上传量小于下载量。
2. 已达标：下载的种子已完成做种时间或上传量大于等于下载量。
3. 未达标：没完成种子做种时间且种子的上传量小于下载量。
4. 已免罪：大赦天下，这情况特殊！

在 btshcool 站点，下载一个种子后，需在下载完成后 10 天内做种时间达到 20 小时。

网站速度限制规则

网站限制上传速度最高为 25 MByte/S (超过 100 MByte/S 系统自动封号)，下载不限。

新人考核要求

• 上传量：需要 60 GB
• 下载量：需要 60 GB
• 魔力值：需要 6000.0

如何完成考核？

下载量：下载一些热门的影视资源即可完成。

上传量：保种电影资源，一个月 60GB 的上传量总会满足的，或者挂魔力值，到时候用魔力值兑换上传量。

魔力值：获得方式为 0.5 个魔力值 * 做种数 (做种数最多计 100 个)。实际操作中，可以在种子页按大小顺序排列，下载 100 个小种子，总共大小也就 100 多 M，最后一直挂种，每个小时能获得 50 魔力值。

计算一下：30 天 X24 小时 = 720 小时，考核期结束前最多能拿 36000 魔力值，减去考核所需要的 6000 魔力值，其他都可用来兑换上传量。10GB 上传量为 4200 魔力值，30000 魔力值可兑换 70G 上传量。

BT 下载工具设置

推荐直接下载官方优化版 μTorrent，我选择使用 Aria2，但需要修改配置以符合 PT 站要求。以下是关键配置：

# 断点续传 continue=true # 最大同时下载任务数 max-concurrent-downloads=100 # 同一服务器连接数 max-connection-per-server=8 # 最小文件分片大小 min-split-size=10M
# 单个任务最大线程数 split=32 # 整体下载速度限制 max-overall-download-limit=0 # 整体上传速度限制 max-overall-upload-limit=3M
# 禁用IPv6 disable-ipv6=false ## BT/PT下载相关 ## # 当下载的是一个种子时, 自动开始BT任务 follow-torrent=true # 禁用DHT功能 enable-dht=false # 禁用IPv6 DHT功能 enable-dht6=false # 禁用本地节点查找 bt-enable-lpd=false # 禁用种子交换 enable-peer-exchange=false # 客户端伪装 peer-id-prefix=-TR2770-
user-agent=Transmission/2.77 # 当种子的分享率达到这个数时, 自动停止做种 seed-ratio=2.0 # 继续之前的BT任务时, 无需再次校验 bt-seed-unverified=true # 强制校验种子完整性 check-integrity=true # 下载完成前限制上传 bt-upload-only-on-complete=true 

这些配置确保 Aria2 符合 PT 站要求，不会因为违规而被封号。特别是禁用 DHT、PEX 等功能，以及客户端伪装，都是 PT 站的基本要求。

最后提醒

PT 站点管理严格，第一次使用建议先了解规则，不要急于下载大量资源。保持良好的分享率，遵守站点规定。

以上内容只是个人理解，有错误麻烦指正。

放心用吧，没有任何限制，值得点赞

NeriPlayer 有什么优点

• 我一直想要一种 “不迁移歌单、不转存音频、还能跨平台切源” 的听歌方式：喜欢在网易云刷歌单，又常常在 B 站收藏音声 / Live；但现实是这两个 App 来回切换，既麻烦又繁琐，还费流量。
• 而 NeriPlayer：一个把多个平台的音视频 “聚合到同一播放体验” 的开源播放器：同一首歌，不同来源随手切，搜索、封面、歌词也能自动补齐；
• 而且它不上传你的任何播放记录或账号信息，所有数据都只留在本地（后续会支持使用 GitHub 仓库实现歌曲同步）。

---

一句话总结

简易多平台音视频聚合播放器（Android 9+），遵循 Material You 设计与动效，目标是 “聚合内容、隐私自控”。

项目优点：

1. 同歌不同源，一键切换
   网易云、B 站等来源整合，支持聚合一起，随时切换播放。
2. 统一搜索 + 元数据补齐
   自动补封面、歌词和曲目信息，自动帮你维护歌单。
3. “本地优先”
   不上传、不分发任何媒体文件；Cookie 与账号仅保存在本地。
4. 流畅的视觉与动效
   Material You 动态色 + 音频可视化背景，听歌时背景会随音乐律动。
5. 自研 PlayerManager，稳定耐用
   播放队列、缓存、失败重试、随机播放遵循伪随机里的真随机，避免同一歌曲被多次轮询。
6. 完全开源，GPL-3.0
   可自由使用、修改、分发，社区也能持续演进。

安全性说明

• 不是下歌 / 缓存工具：账号即能力，会员内容依旧按原平台规则执行。
• 不做云端画像：没有埋点、没有广告 SDK，使用痕迹只在你的设备上。
• 工程化扎实：Media3+ Compose 架构清晰，FFMpeg 渲染器，扩展新平台很方便。

项目地址

预览图

示例图

如果这个项目对你有帮助，请点个 star 谢谢啦！
目前只支持安卓，未来会拓展到桌面版

关于播放器的建议也可以在 Issues · cwuom/NeriPlayer 中提出，目前还在维护中

前言：
这到底是啥，我就不展开详细解释了，懂的肯定懂。

背景：
原本 Bytemuse 自带的 BT 数据库停止维护，导致无法自动下载，很是头疼。后来机缘巧合下发现 Bytemuse 支持了新的 BT 数据搜索格式，又发现了一个神级镜像 byte-muse-bt。两者一结合，可谓天衣无缝，完美解决了搜刮问题。

下面分享一下我的接入步骤，只需简单三步。

第一步：部署中间件 byte-muse-bt

使用 Docker Compose 部署。将以下内容保存为 docker-compose.yml 并启动：

version: '3' services: byte-muse-bt:  liqman/byte-muse-bt:latest container_name: byte-muse-bt ports: - "3850:3850" environment: - CONFIG_PATH=/app/config.json volumes: - /mnt/user/appdata/byte-muse/bt/config.json:/app/config.json:ro restart: unless-stopped 

第二步：创建配置文件 config.json

在映射的路径下创建 config.json。以下是我的配置模版，集成了 bitmagnet 和 cilijia 等源，大家可根据自己的网络环境按需修改。
当然如果你选择自建 bitmagnet，那就更哇塞了。

注意：如果不走代理，请确保你的网络能访问这些 BT 源的 API。

{ "bt": { "provider_defaults": { "count": 20, "timeout_seconds": 20, "min_size_mb": 512, "max_size_mb": 51200, "proxy": { "enabled": false, "url": "http://192.168.1.2:7890", "username": "", "password": "" } }, "providers": [ { "name": "bitmagnet", "enabled": true, "base_url": "http://daninas.ddnsfree.com:3333/graphql", "retries": 3, "min_seeders": 1, "verify_ssl": false }, { "name": "cilijia", "enabled": true, "base_url": "https://cilijia.net/apis/apis/search", "retries": 3, "cookies": "" } ] }, "api": { "seeders_default": 5, "limit": 20, "priority_keywords": [ "98t", "色花堂" ], "keyword_match": { "enabled": true, "mode": "auto", "partial_threshold": 0.6 } }, "logging": { "level": "DEBUG" } } 

第三步：修改 Bytemuse 配置

修改 Bytemuse 的环境变量文件 app.env，将 BT_URL 指向我们刚才部署的容器：

# 请将 IP 修改为你部署 byte-muse-bt 容器的实际 IP
BT_URL='http://192.168.1.X:3850/bt/api' 

最后

重启 Bytemuse 容器，享受丝滑的自动搜刮吧！效果立竿见影。祝大家玩得开心！

https://yupp.ai/
注册第一次使用并给排名后就送 5000 点数，可选择多个模型目前看好像没上限，不过选的越多消耗的越快，规则是每次选择模型回答完后，会让你选择哪个模型更好，选择后会给一张刮刮乐，积分随机多的时候能拿 1000+，少的时候就 better luck last time，不过整体的期望还是朝上的

GNOME 体验增强

总表

• 增强使用体验
• Adwaita 风格调优
• 美化

增强使用体验

Bluetooth Battery Meter

• 显示蓝牙电量
  
  
  

Caffeine

• 关闭自动休眠
  
  

Proxy Switcher

• 快速开关代理
  
  
  
  
  

XWayland Indicator

非 Wayland 原生应用会在 panel 显示 X

Light Style

• 白色主题（我知道 dconf editor 可以开，但是开深色关掉又回 default）
  
  

Disable workspace switcher overlay

• 关掉切换工作区突兀的点
  
  
  
  以后没有了喵

Just Perfection

可以优化 Shell 的 Panel 的一些细节，比如关掉世界时钟

Adawaita 调优

• GTK3 的一个应用，接下来都会以它为例子
  
  

Adw-gtk3

• 给 GTK3 带来 GTK4 Adw 的主题
  
  

Rounded Window Corners Reborn

• 给 GTK3 GTK2 以及没用 libadwaita 的 GTK4 应用程序添加 adwaita 的圆角效果
  
  

MoreWaita

• Adw 风格图标
  
  

美化

Blur my Shell

• 用来添加透明效果的
  

Hanabi Extension

• 给 GNOME 带来动态壁纸（不放 gif 了）
  
  

把城市名替换成你所在的城市，或者你想去的城市，期待看到你们的作品

第一弹

Present a clear, side miniature 3D cartoon view of [YOUR CITY] tallest buildings. Use minimal textures with realistic materials and soft, lifelike lighting and shadows. Use a clean, minimalistic composition showing exactly the three tallest buildings in Sopot, arranged from LEFT to RIGHT in STRICT descending height order. The tallest must appear visibly tallest, the second must be clearly shorter than the first, and the third must be clearly shorter than the second.
All buildings must follow accurate relative proportions: if a building is taller in real life, it MUST be taller in the image by the same approximate ratio. No building may be visually stretched or compressed.
Each building should stand separately on a thin, simple ceramic base. Below each base, centered text should display:
Height in meters — semibold sans-serif, medium size
Year built — lighter-weight sans-serif, smaller size, directly beneath the height text
Provide consistent padding, spacing, leading, and kerning. Write "YOUR CITY NAME" centered above the buildings, using a medium

第二弹

Create a high-detail 3D isometric diorama of the entire China, where each state is represented as its own miniature platform. Inside each state, place a stylized, small-scale 3D model of that state's most iconic landmark. Use the same visual style as a cute, polished 3D city diorama: soft pastel colors, clean materials, smooth rounded forms, gentle shadows, and subtle reflections. Each landmark should look like a miniature model, charming, simplified, but clearly recognizable. Arrange the states in accurate geographical layout, with consistent lighting and perspective. Include state labels and landmark labels in a clean, modern font, floating above or near each model.

在 cherry studio 的助手配置里面加上自定义参数，关闭流式输出开关，cs 版本升级到最新

{"aspectRatio": "16:9", "imageSize": "4K"} 

4K 高清大图，17M，放在了 cf 的存储桶里

https://img.0rzz.ggff.net/china.png 20M

我个人偏好 GLM 4.7, 但是看到很多小伙伴反馈 MiniMax M2.1 也很强。现在你可以在 Kilo Code 上免费使用啦～

消息来源：官方 X

上线了，开源免费 XHS_Business_Idea_Validator - 小红书解析市场机会智能体

开源地址：

流程图：

agent_system/
├── models/                          # 数据模型
│   ├── __init__.py
│   ├── agent_models.py              # TaskResult, ProgressUpdate, ExecutionPlan
│   ├── context_models.py            # RunContext, ContextQuery
│   └── business_models.py           # KeywordModel, XhsNoteModel, etc.
│
├── agents/                          # Agent 核心
│   ├── __init__.py
│   ├── base_agent.py                # Agent 基类
│   ├── context_store.py             # 上下文存储
│   ├── config.py                    # 配置管理（支持 .env）
│   ├── orchestrator.py              # ✅ 主编排 Agent
│   ├── subagents/                   # ✅ 子 Agents
│   │   ├── __init__.py
│   │   ├── scraper_agent.py         # 数据抓取 Agent
│   │   ├── analyzer_agent.py        # 数据分析 Agent
│   │   └── reporter_agent.py        # 报告生成 Agent
│   └── skills/                      # ✅ Skills
│       ├── __init__.py
│       ├── scraper_skills.py
│       ├── analyzer_skills.py
│       └── reporter_skills.py
│
├── mcp_servers/                     # MCP 服务器
│   ├── __init__.py
│   ├── xhs_server.py                # 小红书 MCP 服务 ✅
│   ├── llm_server.py                # LLM MCP 服务 ✅
│   └── storage_server.py            # 存储服务 ✅
│
└── tests/                           # 测试
    ├── __init__.py
    ├── test_integration.py          # 集成测试 ✅
    └── test_e2e.py                  # 端到端测试 ✅

展示例子

生成的报告 reports 在根目录

整个过程的资料在 agent_context/checkpoints:

部署上线使用？

部署，要考虑安全，需要等等，暂时不上线。或者 谁想测试， 直接 email 给我，然后我会返回 全部资料。资料很丰富的，除了那个报告还有很多东西。是真正的调研市场的作用。 email 格式：【市场调研哪方面】

使用了什么服务 /api

1, openai 兼容的 api 就可以
2，https://tikhub.io/ 小红书等数据抓取

怎样使用

python run_agent.py 在香港卖陈皮
是否使用快速模式？(更少的数据，更快的执行)
输入 y 使用快速模式，其他键使用完整模式: y

怎样调试

在.env 增加 LOGGING_LEVEL=DEBUG
//DEBUG、INFO、WARNING、ERROR 级别的日志

开源地址：

欢迎 star 和提意见

阿里云的 无影云电脑

注册就可以领取 200 核时 可以一键部署 ai 绘画

每天签到可以获得 10 核时
点兑换功能 去 B 站搜索找兑换码 再领 200 核时
用 16g 显存部署 每小时消耗 30 核时 领取的 410 核时 可以玩 10 个小时
然后每天签到还可以用 20 分钟左右 可以用 api 调用 如果安全的话可以弄个共享 api 站 集合大家的核时 岂不是可以长期使用？

使用这个佬发的提示词

那些年，我写的 小说提示词从创作入门到入土 - 搞七捻三 / 搞七捻三，Lv1 - LINUX DO

集 Claude Code + Gemini CLI + Codex 之力开发

lingfengQAQ/webnovel-writer: AI 驱动的长篇网文辅助创作工具 - 基于 Claude Code，支持 200 万字连载管理，内置防幻觉机制和 5 维质量审查

把.claude 整个文件夹复制到你准备写小说的项目文件夹并在此文件夹打开 claude code 就可以使用。

发现 bug 又让 claude 改了下

大家好！

如果你在使用 Claude Code、Cursor 时配置了多个 MCP 服务，你一定能感受到上下文（Context）窗口的压力。

痛点：被工具定义吃掉的 Context

Anthropic 官方曾在 Advanced Tool Use
技术博客中披露过工具定义的开销数据：
・GitHub: 35 个工具占用约 26,000 tokens
・Slack: 11 个工具占用约 21,000 tokens

这意味着，如果你同时开启这两个 MCP 服务，还没开始对话，近 50,000 tokens 就已经消失了。这不仅让 API 成本激增，更会导致 AI 的推理能力因为背景噪声过多而下降，甚至出现指令遵循失败。

──────────────────────────────────────────

One MCP v1.0.1：两种方案帮你「减负」

One MCP 新版本增加了 服务组合 (Combo) 功能

针对不同场景提供两种瘦身方案：

方案一：导出为 Anthropic Skill (推荐)

Anthropic 近期将 Skill 定为开放标准，旨在解决大规模工具定义的开销问题。我也在 OpenCode 和 Droid 上完成了实测，效果非常理想。

・极低开销：AI 只读取一个精简的 SKILL.md（~500 tokens），替代数万 tokens 的 JSON 定义。
・按需加载：工具详情只有在 AI 决定调用时才会被实时读取，完美适配 Anthropic 的官方实践。
・零依赖：导出的 Python 执行器仅使用标准库，不需安装任何包，开箱即用。
・广泛适配：完美支持 Claude Code / Droid / OpenCode 等支持 Skill 协议的客户端。

方案二：精简版组合 MCP (适用于传统客户端)

如果你的软件尚未支持 Skill 协议，你可以将 N 个服务组合成一个统一端点：

・精简工具：Context 里只暴露 search_tools 和 execute_tool。
・动态调用：无论后台有多少工具，AI 的初始上下文里永远只有这两个入口。

──────────────────────────────────────────

性能实测

以我测试的一个包含 4 个服务（24 个工具）的组合为例：
・原生 MCP 模式：占用约 12,000+ tokens。
・One MCP Skill 模式：仅占用约 800 tokens。

Context 节省率达 93%！ 把宝贵的 Context 留给代码和真正的逻辑。

──────────────────────────────────────────
实战案例

• 1. 使用 Skill（工具：OpenCode）

这个例子，我创建了一个 cherry-studio 工具的组合，包含 exa,amap,whois 等 4 个 mcp, 导出 skill，再解压到 opencode 的 skill 目录

最终 LLM 按照 skill.md 的说明，使用 python 脚本调用了合适的 mcp 工具

• 2. 使用组合后的 MCP（工具：Cherry Studio）

一开始只占用 1000 个 token，然后查询时，这里会多调用一次查找合适的工具和参数

──────────────────────────────────────────

快速体验

1. Docker 一键启动：

docker run --name one-mcp -d \
-p 3000:3000 \
-v $(pwd)/data:/data \
buru2020/one-mcp:latest

# Access the application
open http://localhost:3000
# Default username/password
root/123456

2. 在后台安装所需的 MCP 服务，创建一个「服务组合」。
3. 导出 Skill：点击导出 zip 包，解压到对应的 Skill 目录即可使用。

──────────────────────────────────────────
也可以登录我的 demo 站点创建 skill 体验：
Demo: https://demo.one-mcp.com/

项目地址

GitHub: https://github.com/burugo/one-mcp

欢迎 Star 和试用，让我们一起终结 MCP 的 Context 焦虑！如果有使用上的问题，欢迎在评论区讨论。

前提：

1. 有一个基于 Docker Compose 编排，且包含 Nginx 部署的前端服务项目。
2. 有一个域名（证书会基于域名自动申请）。

配置流程：

1. 修改 docker-compose.yml 文件，确保前端服务映射了 443 端口。
   示例：

services: ruoyi-ui: container_name: ruoyi-ui build: context: . # Dockerfile.ui 及 nginx.conf 所在上下文路径 dockerfile: Dockerfile.ui ports: - "${FRONTEND_PORT}:80" - "443:443" # https端口 depends_on: xxx-service: condition: service_started # 后端服务及其它服务配置 xxx-service: ... 

2. 在 Dockerfile.ui 中使用正确的基础镜像，需要支持 ACME 的 nginx 镜像，如：ghcr.io/3az7qmfd/ngacme:main：

FROM ghcr.io/3az7qmfd/ngacme:main

# 移除 Nginx 默认配置
RUN rm /etc/nginx/conf.d/default.conf

# 复制自定义的 Nginx 配置文件
COPY ./nginx.conf /etc/nginx/conf.d/default.conf

# 从构建阶段复制构建好的静态文件到 Nginx 托管目录
COPY ./dist /usr/share/nginx/html

# 暴露 Nginx 端口
EXPOSE 80

# Nginx 默认会启动，也可以指定 CMD
CMD ["nginx", "-g", "daemon off;"]

3. nginx.conf 配置自动获取证书

# DNS 解析器（用于访问 ACME 服务器，推荐用可靠的如 Cloudflare 或 Google）
# 没有可用的 IPv6 出口时，可设置禁用ipv6：ipv6=off
resolver 8.8.8.8 1.1.1.1 ipv6=off valid=30s;

# ACME issuer 配置（这里用 Let's Encrypt 生产环境示例）
acme_issuer letsencrypt {
    uri         https://acme-v02.api.letsencrypt.org/directory;
    contact     xxx@qq.com;  # <----- 你的邮箱，用于通知
    state_path  /var/cache/nginx/acme-letsencrypt;  # 持久化存储路径，确保目录存在并可写
    accept_terms_of_service;
}

# 共享内存区（存储证书和挑战数据）
acme_shared_zone zone=ngx_acme_shared:1M;

server {
    listen 80;
    server_name xxx.com;  # 你的实际域名，证书会基于此自动申请

    # 可选：显式允许挑战路径
    # location /.well-known/acme-challenge/ { }

    location / {
        return 301 https://$server_name$request_uri;  # 重定向所有普通请求到 HTTPS
    }
}

server {
    listen 443 ssl; http2 on;
    server_name xxx.com;  # 你的实际域名，证书会基于此自动申请

    # ACME 自动管理证书
    acme_certificate letsencrypt;  # 使用上面定义的 issuer

    ssl_certificate       $acme_certificate;
    ssl_certificate_key   $acme_certificate_key;

    # 避免每次请求解析证书
    ssl_certificate_cache max=2;

    # 静态资源根目录（与原配置相同）
    root   /usr/share/nginx/html;
    index  index.html index.htm;

    # 处理前端 SPA 路由
    location / {
        try_files $uri $uri/ /index.html;
    }

    # API 请求反向代理
    location /api/ {
        proxy_set_header Host $http_host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_pass http://xxx-service:8080/; # <---- 你的后端服务
    }

    # 错误页面
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }

    # 其他 SSL 优化（可选推荐）
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;
}

参考连接：

1. 以 Nginx 为反代服务端时以 Certbot 自动申请 HTTPS 证书的流程
2. nginx-acme
   nginx-acme/README.md at main · nginx/nginx-acme · GitHub
3. Module ngx_http_acme_module
   Module ngx_http_acme_module
4. NGINX with ACME 模块 Docker 镜像
   Package ngacme · GitHub

之前刚做完的时候，在隔壁 (v2ex) 和知乎宣传了一下，有几个朋友反馈，最近又做了一些迭代

在这里也分享一下。

更新

1. 修改了 system-prompt 更规范一点
2. 前端 UI 做了升级，渲染了 todos 和 markdown, 增加了进度条，和 spinner

功能说明

体验地址 https://ankiany.starsou.com/
代码地址 GitHub - alingse/ankiany: Anki card generator powered by Claude Agent SDK

输入任何主题，就能得到关于这个主题的一套 anki 卡片。

(当然，我的目的还是能够服务更多的用户，到时候一个卡组 0.5 元 ？

效果

(qa) Q: [基础: 开发商] 原神的开发商是哪家公司？
A: miHoYo（米哈游）

(qa) Q: [基础: 游戏平台] 原神最初是作为什么类型的游戏开发的（后来移植多平台）？
A: 移动端游戏

(qa) Q: [世界观: 大陆] 原神的故事发生在哪个大陆？
A: 提瓦特大陆

(cloze) [世界观: 七国顺序] 提瓦特七国对应的元素是：蒙德{{c1::风}}、璃月{{c2::岩}}、稻妻{{c3::雷}}、须弥{{c4::草}}、枫丹{{c5::水}}、纳塔{{c6::火}}、至冬{{c7::冰}}

(qa) Q: [世界观: 蒙德] 蒙德的神明被称为“风神”，其魔神名是什么？
A: 巴巴托斯

开发体验

将一套流程整理成 system-prompt 并且提供必要的工具，这就得到了一个 agent

当然，代码都是 gemini 写的 一些 prompt

前言

FOFA 注册用户每月有 3000 次 Web 查询下载额度，每个月会刷新。

但手动注册太麻烦了：填信息 → 识别验证码 → 等邮件 → 点激活链接…

于是就有了这个脚本，全自动完成注册流程。

功能

• 自动识别图形验证码（ddddocr）
• 临时邮箱自动收验证码并激活账号
• 支持批量注册
• 验证码错误自动重试
• 固定密码 / 随机密码可选
• 成功账号自动保存到文件

安装

pip install curl-cffi ddddocr

使用

# 交互式
python fofa.py
# 或指定数量
python fofa.py 5

项目地址

手把手教学 aws 新用户白嫖服务金 $200 开通 kiro 会员
根据尤佬的思路，我发现了普通开发者用这个方法是最为省钱，但是还是有很多佬不知道怎么弄，于是我便弄一份保姆级教程，一张 1 刀的卡便可以搏取 $200，（前提是做任务，不做任务只有 $100）
首先打开这个网站免费云计算服务 - AWS 免费套餐
进入后

创建账户

填自己的信息（反正我填的是真实的 ），因为会有概率触发水电单

绑一张 1 刀的信用卡
绑定手机号

绑定好就会显示如下的信息

来这里搜索 IAM Identity Center

进来后是这样的

点击启用后跳转如下界面

继续启动，然后还是会跳转如下界面

点击组，新建一个组

随便填，新建之后去到用户

创建一个新用户，点击确定会让你选择一个组，就选择刚刚创建的

再来这里搜索 kiro

进来后是这样的

你的界面就会是这样的

点击 add user，选择你要的套餐

选择你刚刚创建的用户

你现在以及成功了百分之九十了，记住这些信息，等下要用

打开 kiro，登录红框位置登录

填上刚刚记住的信息，我的 us-east-1 这个是参考的哈，佬们填上你们自己的 IAM

会跳转登录，

填上你的用户名（没有设置密码的他会让你设置密码，并且绑定 2fa），然后就完成了
全套保姆，希望各位佬能用上低成本的 ai，再次感谢尤佬提供的思路！我只是将其细化。

卡不要用自己的，反正虚拟卡也不贵，到时候万一扣费了，也不用担心自己被扣款，你也可以用 200$ 的套餐，看个人需求量

200$ 的套餐也可以成功，不知道为啥，明明我只有 100$ 的免费额度

散会！