1作者: shuddha74356 个月前
我开源了一个极简的启动套件,用于构建由 MCP 服务器(可流式 HTTP + SSE)支持的 ChatGPT 应用,并部署到 Vercel。 我特意保持了它的简洁和可审计性,因为我反复遇到 SSE 标头、CORS 预检、运行时差异和部署问题。 核心代码库采用 MIT 许可证,旨在作为一个可运行的参考,而不是一个框架。还有一个可选的 Pro 版本,包含额外的示例,但免费的代码库本身就足够使用了。 欢迎提供反馈。
1作者: dgrcode6 个月前
我正在经历一个引起了一些警惕的互动,目前我确信这是一次黑客攻击尝试。但我认为在这里提问可以让我从局外人的角度获得更好的看法。以下是事件的经过: 有人在领英上联系我,声称有全职和兼职职位与我的个人资料相符。我说我对兼职工作可能感兴趣,他们立刻回复说每周工作15-20小时,月薪4000美元。 我回复说这只是我时薪的一半,他们回复说客户几乎愿意接受,但想先和我见面。第一个警惕信号:对加倍报价没有异议。 我接受了并与他们的技术人员预约了时间。第二个警惕信号:日历上几乎所有时间都可用。 他们告诉我需要在会议前完成一项任务,并提供了一个微软团队聊天,让我和他们团队的人讨论任务。 聊天中的人给我发了两个问题的截图。我问他们是否有代码在 GitHub 上,他们回复说“GitHub?”。第三个警惕信号。 然后同一个人给我发了一个zip文件,并询问我的 Node 版本。第四个警惕信号。 此时我已开始怀疑,并且不愿意在我的机器上运行该代码。我在一台旧机器上安装了全新的 Linux 系统并下载了代码。我让 Cursor 查找任何可疑之处,唯一发现的是 package.json 和 package-lock.json 之间的依赖关系不匹配。我检查了 package-lock 中存在的包 `json-map-source`,该包在 https://security.snyk.io/package/npm/json-map-source 上被标记为恶意包。这个包在18天前从 npm 上被移除。重大警惕信号。 我检查了 npm 对这种不匹配的解决方案,我发现它会安装 `json-mappings`。我在 npm 上检查了该包,该包是18天前创建的,第一个也是唯一一个版本是2.3.8,恰好与被标记为恶意包的 `json-map-source` 的版本相同。巨大的警惕信号。 此外,该包不在 Git 上,它是由一个临时邮箱上传的,npm 上显示的 README 将 yarn 安装命令列为 `yarn add json-map-source`(恶意包)。在代码中,该包只是被加载并作为中间件传递给一个 express 应用程序。该包有 `sqlite3` 作为原生依赖,它会编译原生代码。 在我写这篇消息的时候,我真的看不出这除了是黑客攻击尝试之外还能是什么,但我很乐意听取其他人的意见。尤其是那些比我更了解安全的人,这很容易。 谢谢!
3作者: Norris-Eng6 个月前
嘿,HN,我是一名从系统管理员转型的开发者。<p>假期期间,让你的矿机无人看管是有风险的,所以我开发了一个工具来自动化监控。<p>我厌倦了来自 PJM 和 ERCOT 等 ISO 的延迟/碎片化数据,所以我构建了一个规范化的 API 来实时跟踪电网压力。<p>技术栈:<p>抓取器:Python 3.11(Pandas/Requests)处理混乱的 ISO 格式。 计算:Azure Functions(Consumption Plan),以将成本降至最低。 存储:Azure Data Lake Gen2(Parquet),用于历史数据保留。<p>我还编写了一个简单的 Python 客户端“紧急停机开关”,用于在价格飙升期间自动停止比特币矿机。<p>代码库在这里:<a href="https:&#x2F;&#x2F;github.com&#x2F;Norris-Eng&#x2F;gridwatch-kill-switch" rel="nofollow">https:&#x2F;&#x2F;github.com&#x2F;Norris-Eng&#x2F;gridwatch-kill-switch</a> API 在这里:<a href="https:&#x2F;&#x2F;rapidapi.com&#x2F;cnorris1316&#x2F;api&#x2F;gridwatch-us-telemetry" rel="nofollow">https:&#x2F;&#x2F;rapidapi.com&#x2F;cnorris1316&#x2F;api&#x2F;gridwatch-us-telemetry</a><p>很乐意回答关于抓取逻辑或 Azure 成本的问题!