最新

我们构建了一个基于 WebGPU 的域名创意生成体验，它在浏览器中运行，利用 LLM 进行纯客户端侧推理，目前看来效果不错。虽然肯定无法与 ChatGPT/Gemini 相提并论，但对于这个用例来说已经足够了。 几个优点： 1. 纯客户端运行，保护隐私 2. 免费 - 无需积分，无需 API 密钥，什么都不需要。用户的设备承担计算 3. 可交互 - 你可以让它提出想法的方向。 问题：你认为它有哪些潜在的应用场景？ 问题：如果设备端 LLM 变得更强大，在它们变得不如现在强大之前，它们还能做什么？

我是克莱夫，来自南非的开发者。四天前，爱德华多·博尔赫斯发帖说他通过 CVE-2025-55182（React Server Components RCE）被黑客攻击。他的服务器已经打过补丁，但恶意软件仍然存在，包括加密货币矿工、名为“nginxs”和“apaches”的虚假服务，以及用于持久化的 cron 任务。CPU 占用率达到 361%。这只是一个 415 台服务器组成的僵尸网络的一部分。 那时我意识到：打补丁可以移除漏洞，但无法清除感染。 我最初开发 NeuroLint 是一个用于 React/Next.js 的确定性代码转换工具（没有 AI，只是基于 AST 的修复）。当这个 CVE 发布后，我增加了第 8 层：安全取证。 它扫描 80 多个入侵指标： * 可疑进程（高 CPU 占用率、随机名称、虚假服务） * /tmp 中的恶意文件、已修改的系统二进制文件 * 持久化机制（cron 任务、systemd 服务、SSH 密钥） * 网络活动（挖矿池、C2 服务器） * 以 root 身份运行且未经授权更改的 Docker 容器 * 加密货币挖矿配置（c.json、钱包地址） 试用一下： ```bash npm install -g @neurolint/cli neurolint security:scan-breach . --deep ``` 无需注册。适用于 Linux/Mac。深度扫描大约需要 5 分钟。 与手动检测的区别： * 基于 AST 的代码分析（检测混淆模式） * 80 多个行为特征，而不仅仅是 5-10 个手动 grep 命令 * 自动化修复（--fix 标志） * 重建时间线，显示入侵发生的时间 * 全基础设施扫描（--cidr 标志，用于网络） 该工具是确定性的（非 AI）。相同的输入 = 每次都产生相同的输出。使用 Babel 解析器进行 AST 转换，并具有故障安全验证 - 如果转换失败了语法检查，它会回滚。 基于爱德华多的取证和其他已记录的入侵，我在 3 天内构建了它。已经在测试环境中发现了休眠的矿工。 GitHub: [https://github.com/Alcatecablee/Neurolint-CLI](https://github.com/Alcatecablee/Neurolint-CLI) NPM: [https://www.npmjs.com/package/@neurolint/cli](https://www.npmjs.com/package/@neurolint/cli) 如果您在 12 月 3 日至 7 日期间运行了 React 19 或 Next.js 15-16，请运行扫描程序，即使您已经打过补丁。特别是如果您已经打过补丁。 很乐意回答有关检测逻辑、AST 解析方法或 CVE 本身的问题。