最新

我是克莱夫，来自南非的开发者。四天前，爱德华多·博尔赫斯发帖说他通过 CVE-2025-55182（React Server Components RCE）被黑客攻击。他的服务器已经打过补丁，但恶意软件仍然存在，包括加密货币矿工、名为“nginxs”和“apaches”的虚假服务，以及用于持久化的 cron 任务。CPU 占用率达到 361%。这只是一个 415 台服务器组成的僵尸网络的一部分。 那时我意识到：打补丁可以移除漏洞，但无法清除感染。 我最初开发 NeuroLint 是一个用于 React/Next.js 的确定性代码转换工具（没有 AI，只是基于 AST 的修复）。当这个 CVE 发布后，我增加了第 8 层：安全取证。 它扫描 80 多个入侵指标： * 可疑进程（高 CPU 占用率、随机名称、虚假服务） * /tmp 中的恶意文件、已修改的系统二进制文件 * 持久化机制（cron 任务、systemd 服务、SSH 密钥） * 网络活动（挖矿池、C2 服务器） * 以 root 身份运行且未经授权更改的 Docker 容器 * 加密货币挖矿配置（c.json、钱包地址） 试用一下： ```bash npm install -g @neurolint/cli neurolint security:scan-breach . --deep ``` 无需注册。适用于 Linux/Mac。深度扫描大约需要 5 分钟。 与手动检测的区别： * 基于 AST 的代码分析（检测混淆模式） * 80 多个行为特征，而不仅仅是 5-10 个手动 grep 命令 * 自动化修复（--fix 标志） * 重建时间线，显示入侵发生的时间 * 全基础设施扫描（--cidr 标志，用于网络） 该工具是确定性的（非 AI）。相同的输入 = 每次都产生相同的输出。使用 Babel 解析器进行 AST 转换，并具有故障安全验证 - 如果转换失败了语法检查，它会回滚。 基于爱德华多的取证和其他已记录的入侵，我在 3 天内构建了它。已经在测试环境中发现了休眠的矿工。 GitHub: [https://github.com/Alcatecablee/Neurolint-CLI](https://github.com/Alcatecablee/Neurolint-CLI) NPM: [https://www.npmjs.com/package/@neurolint/cli](https://www.npmjs.com/package/@neurolint/cli) 如果您在 12 月 3 日至 7 日期间运行了 React 19 或 Next.js 15-16，请运行扫描程序，即使您已经打过补丁。特别是如果您已经打过补丁。 很乐意回答有关检测逻辑、AST 解析方法或 CVE 本身的问题。

我是一名 ChatGPT Plus 订阅用户，被封禁了 9 天（12 月 2 日至 10 日）。 我提交了 HAR 文件，显示在 /api/memories 端点上出现了 504 网关超时（超过 300 秒）。这明显是服务器端内存系统性能问题。我是一名拥有 25 年经验的科技专业人士——我知道如何排除故障。 OpenAI 客服： - 第一位客服：忽略了诊断文件 - 第二位客服：案件被重新分配，要求提供相同的信息 - 现在：只有 AI 机器人回复 AI 机器人说“我无法转交给管理层”和“担忧已标记以供审查”——但从未有真人回复。 我尝试过： - 提交工单 → AI 机器人循环回复 - Twitter @OpenAISupport → 无回复（9 小时） - 邮件升级 → 更多 AI 机器人 有人成功从 OpenAI 获得了真正的技术支持吗？哪个渠道有效？ Twitter 帖子：[粘贴你的第一条推文的 URL - https://x.com/你的用户名/status/...] 我 2 年的商业计划数据无法访问，而且无法让真人查看我提供的诊断数据。

嘿，Hacker News！我开发了 ShowsWatched.com - 一个免费的应用程序，用于追踪您观看过的每部电视剧和电影，创建观看列表，并与朋友分享您的观看历史。<p>为什么我开发了这个应用：我厌倦了忘记自己已经看过的剧集，跟不上朋友的推荐，并且没有观看历史记录。现有的解决方案要么过于复杂，要么只专注于电影（Letterboxd），要么只专注于追踪进度（TV Time）。<p>主要功能：<p>追踪您观看过的电影和电视剧 评价和评论所有内容 记录个人观看日记 与朋友分享您的观看列表 在朋友观看内容时获得通知 查看您的观看统计数据和趋势 发现热门内容 从 TMDB 搜索超过 100 万部电影/剧集 技术栈：<p>React + Vite (前端) Firebase (身份验证、数据库、托管) TMDB API (电影/剧集数据) 支持离线的 PWA Lighthouse 评分：81/100 性能 有趣的部分：我们刚刚受到了 Google 11 月份算法更新的影响，失去了 99.8% 的 SEO 流量（61.6 万次 → 105 次展示）。页面仍然被索引，只是被埋在第 5 页。典型的程序化 SEO 惩罚。所以现在我在这里向 HN 寻求反馈！<p>与众不同之处：<p>完全免费，无广告 专注于社交功能（与朋友分享） 简洁、快速的 UI（无冗余） 作为 PWA 离线工作 针对家庭追踪的儿童模式 试用：<a href="https://showswatched.com" rel="nofollow">https://showswatched.com</a>

我们一直在测试我用“氛围编码”构建的内部工具，以取代我们的支持服务台工作流程。它是一个 Chrome 扩展程序，运行在 Gmail 的委托收件箱之上（谷歌对其关注不足，并且缺少一些使其有用的功能），并使用 Drive 中的单个 Google Sheet 作为数据存储。没有后端，没有服务器，没有外部服务。 它已经在内部运行了大约 2 周，并且表现良好，我们正在考虑替换我们现有的每年 1 万美元的 SaaS 供应商。 我为什么构建它 Gmail 和 Google Workspace 已经具备了多年来构建一个合适的共享收件箱的基础——标签、过滤器、线程、角色、群组、Drive 和强大的 API。 但委托邮箱/共享收件箱功能基本上没有得到触及，并且在实践中，对于团队来说并不是特别有用。它只解决了实际协作问题的一小部分。 这个差距促使我在 Gmail 本身上构建一些轻量级的东西。 我们的支持工作流程不需要一个专门的支持服务台平台的全部重量。我们需要一个共享收件箱、内部笔记、分配和基本的工单元数据。 目标不是重建 Zendesk。而是在 Workspace 中构建最少但有用的功能集，无需转发电子邮件或通过更多供应商发送客户数据。 它是如何工作的 Chrome 扩展程序 - 侧边栏 - 如果有的话，显示当前线程信息 身份验证使用 chrome.identity → Google OAuth Sheet（Drive 拥有）存储工单元数据，与团队共享 附件保存到 Drive 文件夹 标签控制分配 + 状态（待处理/已关闭） 带有内部工单 ID 的页脚（可通过 Gmail 搜索） “线程中的人员”解析器 + 快速历史记录查找 一切都在客户端发生。没有后端。 为什么选择电子表格？ 对于 MVP 来说，它出人意料地好用： 版本历史记录 无需模式迁移 简单的回滚 由 Workspace 管理员拥有 如果它发展起来，我会使用一个合适的数据库，但目前 Sheet 保持了所有内容的简单性和包含性。 对您可以在 Google Workspace 中快速组装的内容进行有趣的探索。