最新

我是Clive，来自南非的开发者。四天前，Eduardo Borges发布了一则关于通过CVE-2025-55182（React服务器组件远程代码执行漏洞）被黑客攻击的帖子。他的服务器已经打了补丁，但恶意软件依然存在，包括加密矿工、名为“nginxs”和“apaches”的假服务，以及用于持久性的定时任务。CPU使用率高达361%。这是一部分415台服务器的僵尸网络。 这时我意识到：打补丁可以消除漏洞，但无法清除感染。 我最初构建NeuroLint是作为一个针对React/Next.js的确定性代码转换工具（没有AI，仅基于AST的修复）。当这个CVE出现时，我增加了第8层：安全取证。 它会扫描80多个妥协指标： - 可疑进程（高CPU、随机名称、假服务） - /tmp中的恶意文件，修改过的系统二进制文件 - 持久性机制（定时任务、systemd服务、SSH密钥） - 网络活动（挖矿池、C2服务器） - 以root身份运行并进行未经授权更改的Docker容器 - 加密挖矿配置（c.json、钱包地址） 试试吧： ``` npm install -g @neurolint/cli neurolint security:scan-breach . --deep ``` 无需注册。支持Linux/Mac。深度扫描大约需要5分钟。 与手动检测的不同之处： - 基于AST的代码分析（检测混淆模式） - 80多个行为特征与5-10个手动grep命令相比 - 自动修复（--fix标志） - 重建时间线，显示漏洞发生的时间 - 基础设施范围的扫描（--cidr标志用于网络） 该工具是确定性的（不是AI）。相同的输入=每次相同的输出。使用Babel解析器进行AST转换，并进行安全验证——如果转换未通过语法检查，则会回滚。 我根据Eduardo的取证和其他已记录的漏洞在3天内构建了这个工具。已经在测试环境中发现了潜伏的矿工。 GitHub: [https://github.com/Alcatecablee/Neurolint-CLI](https://github.com/Alcatecablee/Neurolint-CLI) NPM: [https://www.npmjs.com/package/@neurolint/cli](https://www.npmjs.com/package/@neurolint/cli) 如果你在12月3日至7日之间运行了React 19或Next.js 15-16，即使你已经打了补丁，也请运行扫描器。尤其是在你已经打了补丁的情况下。 欢迎提问关于检测逻辑、AST解析方法或该CVE本身的问题。

我是ChatGPT Plus的订阅用户，已经被锁定9天（12月2日至10日）。 我提交了HAR文件，显示在/api/memories端点上出现504网关超时（超过300秒）。这明显是服务器端内存系统性能问题。我是一名拥有25年经验的技术专业人士，懂得如何进行故障排除。 OpenAI支持： - 第一位客服：忽略了诊断文件 - 第二位客服：案件被重新分配，要求提供相同的信息 - 现在：只有AI机器人回复 AI机器人表示“我无法转发给管理层”和“问题已标记待审查”——但从未有人工回复。 我尝试过： - 提交支持工单 → AI机器人循环 - 在Twitter上联系@OpenAISupport → 没有回应（9小时） - 邮件升级 → 更多AI机器人 有没有人成功获得OpenAI的人工工程支持？哪个渠道有效？ Twitter讨论串：[粘贴你第一条推文的URL - https://x.com/你的用户名/status/...] 我有2年的商业规划数据无法访问，无法让人工审核我提供的诊断数据。

我们一直在测试一个我用Vibe编码的内部工具，旨在替代我们的支持桌面工作流程。它是一个Chrome扩展，运行在Gmail的委托收件箱之上（这个功能被谷歌忽视，缺少一些实用的功能），并使用Google Drive中的一个单一Google表格作为数据存储。没有后端，没有服务器，也没有外部服务。 这个工具在内部运行了大约两周，表现良好，因此我们考虑替换现有的每年1万美元的SaaS供应商。 我为什么要构建这个工具 Gmail和Google Workspace多年来一直具备适当共享收件箱的基本功能——标签、过滤器、线程、角色、群组、Drive和强大的API。 但委托邮箱/共享收件箱的功能基本上没有得到实质性的开发，实际上对团队并没有特别大的帮助。它仅解决了实际协作问题的一小部分。 这个空白促使我在Gmail的基础上构建了一些轻量级的工具。 我们的支持工作流程并不需要一个专门的支持桌面平台的全部功能。我们需要的是一个共享收件箱、内部备注、任务分配和基本的工单元数据。 我们的目标不是重建Zendesk，而是在Workspace内部构建一套最小可用的功能集，而不需要转发电子邮件或通过更多的供应商发送客户数据。 它是如何工作的 Chrome扩展 - 侧边栏 - 如果有当前线程信息则显示。 身份验证使用chrome.identity → Google OAuth。 表格（Drive拥有）存储工单元数据，与团队共享。 附件保存到Drive文件夹。 标签控制任务分配和状态（待处理/已关闭）。 页脚带有内部工单ID（可以通过Gmail搜索）。 “线程中的人员”解析器 + 快速历史记录查找。 所有操作都在客户端进行，没有后端。 为什么选择电子表格？ 对于一个最小可行产品（MVP），它的表现出乎意料的好： 版本历史。 没有架构迁移。 轻松回滚。 由Workspace管理员拥有。 如果这个工具将来有所发展，我会使用一个合适的数据库，但目前这个表格让一切保持简单和集中。 这是一个有趣的探索，展示了在Google Workspace中可以快速组装的内容。