标签 github 下的文章
CC IS ALL YOU NEED !!! 让 Calude/Codex 继续发力
在 【solo-agile-template】人人都是全栈工程师 以及 人人都是全栈工程师第二弹 后,作者君持续探索全栈工程师 & 一人公司 这条道路。在之前的探索上,这次我基于 AionUi 新包还没发成(skills 有 bug),先冲上 github 榜 1 了... 瓦砾酱的 AionUI 二次开发了 CodeConductor(简称 CC )。
CodeConductor 相比与 AionUI,引入了 command、Skills 等特性,并且引入了作者念念不忘的 Multi-Agent 协作体系,允许多个 Assistant 通过协作来解决复杂项目开发和管理的问题。另外在交互上做了一点小优化。目前 CC 的中期目标是让能通过 CodeConductor 来对 CodeConductor 进行迭代开发,左脚踩右脚直接螺旋升天!
kiro.rs 反代教程(纯喂饭版本)
1. 首先是项目选择,好多佬推荐我尝试一下 kiro.rs,所以来部署一个试试,项目地址:
2. 该项目是使用 rust 编写的,那么自然需要下载 rust,rust 的下载地址:
下载后直接安装即可(此处为可能的踩坑点 1:cargo 可能在安装时并未安装到 path 中,需要手动添加)
3. 安装完 rust 按照项目的 readme 一步步进行即可
4. 然后是凭据获取,因为项目内未内置 aws 授权操作,所以借助另一个项目:
安装完成后界面如图:
获取凭据需要在 desktopOAuth
此时有三种选择
1.google(这个不太推荐,因为 google 注册稍微难点)
2.github (这个和下面的方式差不多,因为 qq 邮箱也可以注册一个 github666 还有套娃)
3.aws Builder (这种方式比较推荐,直接无限白嫖 qq 邮箱即可,qq 邮箱注册详见:https://linux.do/t/topic/1418287/140)
我们直接选择第三种然后授权,授权后点击
添加后配置界面就会有:
然后选择一手右键查看详情:
该界面有所需的所有参数这里不一一放出来了
然后启动 kiro.js(windows 的话需要启动项目下的 kiro.rs\target\releasel\kiro.rs.exe)
进入管理界面 (http://127.0.0.1:8990/admin)
点击添加凭据,然后将刚刚获取到的参数填入即可
将 apikey 以及 api 地址配置一下即可
这就是全部教程了,等我用几天感受一下效果
AWS CodeBuild配置错误暴露GitHub仓库,可能引发供应链攻击
亚马逊网络服务(AWS)CodeBuild中的一项关键配置错误,可能导致攻击者完全接管该云服务提供商自身的GitHub仓库(包括其AWS JavaScript SDK),从而使每个AWS环境面临风险。
该漏洞已被云安全公司Wiz命名为CodeBreach。AWS在2025年8月25日收到负责任披露后,已于2025年9月修复此问题。
"通过利用CodeBreach,攻击者可能注入恶意代码以发起平台级入侵,不仅可能影响无数依赖该SDK的应用程序,还可能威胁控制台本身,危及每个AWS账户,"研究人员Yuval Avrahami和Nir Ohfeld在与The Hacker News分享的报告中表示。
Wiz指出,该漏洞源于持续集成(CI)管道中的一个弱点,可能使未经身份验证的攻击者侵入构建环境,泄露GitHub管理员令牌等特权凭证,然后利用这些凭证向受感染的仓库推送恶意更改——从而为供应链攻击开辟途径。
换言之,该问题破坏了AWS引入的webhook过滤器机制,这些过滤器原本用于确保只有特定事件才能触发CI构建。例如,AWS CodeBuild可以配置为仅当代码更改提交到特定分支时,或当GitHub或GitHub Enterprise Server账户ID(即ACTOR_ID或参与者ID)与正则表达式模式匹配时才触发构建。这些过滤器旨在防范不受信任的拉取请求。
此配置错误影响了以下AWS管理的开源GitHub仓库,这些仓库配置为在拉取请求时运行构建:
- aws-sdk-js-v3
- aws-lc
- amazon-corretto-crypto-provider
- awslabs/open-data-registry
这四个项目虽然实施了ACTOR_ID过滤器,但存在一个"致命缺陷":它们未包含两个确保精确正则表达式匹配所必需的字符——即起始锚点^和结束锚点$。相反,正则表达式模式允许任何作为已批准ID(例如755743)超字符串的GitHub用户ID绕过过滤器并触发构建。
由于GitHub按顺序分配数字用户ID,Wiz表示能够预测新用户ID(目前为9位)大约每五天就会"覆盖"一位受信任维护者的六位ID。这一发现,结合使用GitHub Apps自动化创建应用程序(进而创建相应的机器人用户),使得通过触发数百个新机器人用户注册来生成目标ID(例如226755743)成为可能。
获得参与者ID后,攻击者现在可以触发构建并获取aws-sdk-js-v3 CodeBuild项目的GitHub凭证——一个属于aws-sdk-js-automation用户的个人访问令牌(PAT),该令牌对仓库拥有完全管理员权限。
攻击者可以利用这种提升的访问权限直接向主分支推送代码、批准拉取请求并窃取仓库机密,最终为供应链攻击创造条件。
"上述仓库为AWS CodeBuild webhook过滤器配置的正则表达式本意是限制受信任的参与者ID,但存在不足,使得可预测获取的参与者ID能够获得受影响仓库的管理权限,"AWS在今天发布的公告中表示。
"我们可以确认,这些是这些仓库webhook参与者ID过滤器中的项目特定配置错误,而非CodeBuild服务本身的问题。"
亚马逊还表示已修复已发现的问题,并实施了额外的缓解措施,例如凭证轮换以及保护包含GitHub令牌或内存中任何其他凭证的构建流程的步骤。该公司进一步强调,未发现CodeBreach在野外被利用的证据。
为降低此类风险,必须确保不受信任的贡献不会触发特权CI/CD管道,具体措施包括:启用新的Pull Request Comment Approval构建门控、使用CodeBuild托管运行器通过GitHub工作流管理构建触发器、确保webhook过滤器中的正则表达式模式被锚定、为每个CodeBuild项目生成唯一的PAT、将PAT权限限制在最低必要范围,并考虑使用专用的无特权GitHub账户进行CodeBuild集成。
"此漏洞是一个教科书般的案例,说明了为什么攻击者以CI/CD环境为目标:一个微妙且容易被忽视的缺陷可能被利用以产生巨大影响,"Wiz研究人员指出。"复杂性、不受信任的数据和特权凭证的结合,为无需事先访问即可造成高影响入侵创造了完美条件。"
这并非CI/CD管道安全首次受到关注。去年,Sysdig的研究详细说明了如何利用与pull_request_target触发器相关的不安全GitHub Actions工作流,通过单个分叉拉取请求泄露特权GITHUB_TOKEN并获取对数十个开源项目的未授权访问。
Orca Security的一项类似的两部分分析发现,谷歌、微软、英伟达及其他财富500强公司的项目中存在不安全的pull_request_target配置,可能允许攻击者运行任意代码、窃取敏感机密并向受信任分支推送恶意代码或依赖项。这一现象被称为pull_request_nightmare。
"通过滥用通过pull_request_target触发的配置错误的工作流,攻击者可以从不受信任的分叉拉取请求升级为在GitHub托管甚至自托管运行器上执行远程代码(RCE),"安全研究员Roi Nisimi指出。
"使用pull_request_target的GitHub Actions工作流绝不应在没有适当验证的情况下检出不受信任的代码。一旦这样做,它们就面临完全被入侵的风险。"
写的 saas 代码,这是一种思路
来看看今天 GitHub 热门的专案 - json-render
今天热门的专案 目前已经千星
主打用文档去控制 AI 的输出
确保最后输出的 UI 是可控状态
不知道有没有佬玩过呢?
github 上 skills 收集
这个开源项目精选了超级多的 skills,从文档处理,工具调用,市场分析,数据分析,系统安全等 各大精选的 skill 都有。
给 perplexity-ai (非官方) 加了个 API 接口,方便直接进行调用。同时支持生图
在阅读完成 https://linux.do/t/topic/1371904 的内容后,发现自己想要的不是 MCP 服务,而是 API 接口,然后就自己动手修改了一个 API 的版本。在前辈的功能基础上,增加了生图的支持。
个人目前是:配合 NAS+Cloudflared 做内网穿透使用,直接变成了随便联网使用的接口。
轻喷。
Vibe 了一个 Mac 版的 Cap
之前看到 B 站上有人把 Cap 汉化并且去除登录限制了,但是一直没出 Mac 版本,就寻思自己 Vibe 一个。
Cap 是一款开源屏幕录制工具,对标 Screen Studio,基本功能大差不差,UI 也有点像,觉得有用的佬可以点个 Star 支持一下~
vercel 推出了一个 react 最佳实践的 skills
【开源】Useless Browser 指纹浏览器 260114 更新概括
你们的私人项目 git 库现在都保持到哪里?
之前一直使用的是 github ,用代理的话速度也还可以,并且现在 github 的私有库之类都比较方便,没有太多限制。 做一些外包跟国内朋友一起合作的时候,会选择用 gitee ,在一大部分小公司也都是用 gitee 。 但是 gitee 给的免费以及付费的限制还是比较多,比如仓库超过 1G 就很麻烦,就是用 git LFS ,这个容量也不够大。
最近发现腾讯新出的 cnb.cool ,给的容量极其慷慨,感觉是 gitee 的付费版几十倍,之前几次活动获取到一些永久权益,云开发、云构建量也很大。 就是比较新,不知道长期用是否稳定。
你们现在自己的项目都怎么存的? 就说自己的,公司里的老板说用什么我就赞成用什么。
network-calculator 网络计算器,支持 Windows、macOS、web
功能模块
IP 地址 / 子网计算
- 输出网络地址、广播地址、可用 IP 等。桌面端子网掩码计算可按主机数或掩码生成可用网段。
- 配图:
超网拆分
- 输入超网(CIDR)与目标掩码,生成拆分后的子网列表。
- 配图:
路由汇总(算法对比)
- 路由聚合示例,比较两种算法的汇总结果。
- 算法 A:
- 算法 B:
进制转换
- IP/数值在十进制、二进制、十六进制之间互转,结果即时显示。
- 配图:
历史记录(导入 / 导出)
- 支持搜索、导出、导入;“清除计算器状态” 会清空所有输入/结果缓存(Web 和桌面均生效)。
- 配图:
平台特性
- Web 端:导出历史会触发浏览器下载 JSON;导入通过文件内容;清除状态在当前浏览器环境生效。
- 桌面端:导出历史保存到系统下载目录(若不可用则退回应用文档目录);导入使用文件路径;窗口尺寸与存储目录可定制。
语言与主题
- 多语言:简体中文、繁体中文(中国香港)、English (US)、日本語。
- 主题:浅色 / 深色 / 跟随系统;支持自定义颜色主题。
下载地址
一个帮你追剧 / 追番的 MCP 服务器
- 在客厅电视播放《仙逆》最新一集
- 《凡人修仙传》更新到多少集了?
安装
方式 1: uvx
{
"mcpServers": {
"mcp-vods": {
"command": "uvx",
"args": ["mcp-vods"],
"env": {
"SEARCH_CACHE_TTL": "5"
}
}
}
}
方式 2: Docker
mkdir /opt/mcp-vods
cd /opt/mcp-vods
wget https://raw.githubusercontent.com/aahl/mcp-vods/refs/heads/main/docker-compose.yml
docker-compose up -d
{
"mcpServers": {
"mcp-vods": {
"url": "http://0.0.0.0:8821/mcp" # Streamable HTTP
}
}
}
方式 3: Home Assistant OS Add-on
快速开始
- 添加到 Claude Code, 执行命令:
claude mcp add vods -- uvx mcp-vodsclaude mcp add vods --env MITV_LIST_CFG=客厅电视:192.168.1.11 -- uvx mcp-vods
- 添加到 OpenAI CodeX, 执行命令:
codex mcp add vods -- uvx mcp-vods - 添加到 Cursor
- 添加到 VS Code
- 添加到 Cherry Studio
环境变量
免配置开箱即用
VOD_CONFIG_URL: 远程配置文件 URL,可选 (默认已内置)SEARCH_CACHE_TTL: 搜索缓存 TTL,可选 (默认 5 分钟)MAX_SEARCH_SITES: 搜索次数限制,可选 (默认 10)
使用已部署的 LunaTV/MoonTV
MOON_BASE_URL: 已部署的 MoonTV 服务地址,可选,如: http://localhost:3000LUNA_BASE_URL: 已部署的 LunaTV 服务地址,可选LUNA_USERNAME: LunaTV 登录账号,可选LUNA_PASSWORD: LunaTV 登录密码,可选
小米电视 / 投影 / 机顶盒
如需在小米电视上播放视频,要至少配置
MITV_LOCAL_IP或MITV_LIST_CFG之一
MITV_LOCAL_IP: 单台小米电视本地 IP,可选MITV_LIST_CFG: 多台小米电视配置,可选,如:客厅电视:192.168.1.11;主卧电视:192.168.1.12
分享一个俄罗斯免费的 VPN 代理仓库
kiro.rs v2026.1.5 速速支持 websearch
官方于 2026.1.7 更新了 0.8.86 版本,新增了 websearch 功能
昨天发现了后 火速研究,火速添加
kiro 的搜索超级快 貌似有缓存,数据没这么新
而且官方的搜索甚至还有思考和加密,kiro 的体验还是赶不上官方的
实现可参考:feat: 新增 websearch 工具支持・hank9999/kiro.rs@0d66014・GitHub
一个纯粹的浏览器截图插件
用哈基米写了一个夸克网盘自动切换最高画质的脚本,分享给大家
一个轻量、高效的油猴脚本,致力于提升夸克网盘网页版播放器的观影体验。认为有帮助的话帮我点个赞,助我突破 L3。
脚本地址:夸克网盘视频默认最高画质
git 仓库:GitHub - Ry-Run/quark-automatic-quality
【开源】Outlook 邮件管理,支持临时邮箱;送 100 个邮箱令牌
最近有佬分享带有令牌的 outlook 邮箱;
正好手上也有一批号,想着做个管理和取件功能;
功能可能比较简单,简约风格;
这批有使用痕迹,不保证还有效哈。我试了几个是有效的;
增加了域名的临时邮箱功能,多种选择!
感谢佬提供的 API,暂时搞不到密钥,只能用默认的了;
400 + 域名的临时邮箱已就绪,API 已开放 (域名数量动态变化,以实际为准) - 资源荟萃 - LINUX DO
[懒人] [前端组件] 简单写了一个 github 跳转 deepwiki.com 和 zread.ai 的油猴脚本
起因是日常使用 deepwiki 和 zread.ai 的时候,每次都要打开游览器网址然后选择相关部分然后修改,非常麻烦,本着程序员能自动就绝不动手的懒人思维,用 claude 写了一个油猴脚本,效果如下,供大家使用。
效果就是左下角的按钮点击新开页面跳转,仅仅在主页上实现这个功能
![[懒人] [前端组件] 简单写了一个 github 跳转 deepwiki.com 和 zread.ai 的油猴脚本1](https://xiaohack.oss-cn-zhangjiakou.aliyuncs.com/typecho/images/2026/01/14/20260114104138_6967026207f5b.jpeg!mark)
UselessBrowser - 轻量,简洁的指纹浏览器
套壳了一下 DrissionPage,并做了优化
REPO:
微软 Fluent UI 风格,有空做下打包 :P,此项目完全本地(除了 Chrome 下载用的是谷歌的 api),无需登录,欢迎审查代码
UI 演示
(声明:由于以下并未控制变量,所以不能作为实际原因,仅为一个未控制变量的小测试,没有贬低 / 引起争论的意思,如果出现问题请通知我,谢谢 qaq)
小实验
不知道为什么 RoxyBrowser 注册不了的(使用邮箱:4e4f9ba9@aspireviastudios.org,此处指 Kiro AWS 账户,图片
),UselessBrowser 可以正常注册(使用邮箱:05919999@gotrak.org,此处指 KiroAWS 账户,图片
邮箱均可通过:https://mail.chatgpt.org.uk/<我所引用的邮箱地址> 来证实
再次声明:无引战、贬低等意思,谢谢理解 XP
由于此项目刚开坑,功能可能不全,还请各位多多 Issues/PullRequest,谢谢啦
typecho 开源主题发布 SeeLTheme 1.2.0
这个主题是由我和 AI 一起开发的 typecho 模板,用了大概几天的时间,这是一款带双主题切换的主题,并且内置了网盘下载功能,全部开源给大家,这个主题后续我会持续更新,使用中有问题可以在此留言,后续我也会持续每周为大家更新一款我与 AI 的故事,最后喜欢我的主题,请在 github 帮我点个 star!
放一个 github 的链接:GitHub - FeiFan86/SeeLTheme: 一款现代化的 Typecho 博客主题,支持简洁化与玻璃态双主题自由切换。