人工智能正迅速成为人们构建软件的默认方式。<p>即使你试图执行一些规则,安全性往往还是会出现漏洞。需要覆盖的面太多,情况很快就会变得复杂。<p>我不断遇到同样的模式:项目虽然能正常运行,但却存在容易被忽视的安全漏洞。<p>因此,我开发了 Data Hogo——一个扫描你的代码库并用通俗易懂的语言指出安全问题的工具。没有冗长的报告,只有问题所在、其重要性以及如何修复的简明说明。<p>如果你想试试,可以扫描你的代码库,看看会出现什么结果。<p>这只需几分钟,我也很想知道大家会得到什么样的结果——即使什么都没发现。<p>请在 <a href="https://www.datahogo.com" rel="nofollow">https://www.datahogo.com</a> 进行免费的扫描。
返回首页
最新
我创建了Pillser。这是一个补充剂研究的数据库,我已经花了几年的时间在不断丰富它。
https://www.reddit.com/r/Probiotics/comments/1s2kxpy/for_over_2_years_ive_been_using_ai_to_analyze/
我曾经每天有数千用户,项目也在不断增长。
然而,去年发生了一些事情,搜索流量完全崩溃了。现在每天的点击量仅剩十几次,无论是产品更新还是博客文章都无法改变这种情况。新内容没有被索引。我怀疑网站被谷歌标记为YMYL(Your Money or Your Life),因此几乎被下架。即使你在谷歌上搜索网站的名称,此时你找到的链接都是其他网站指向该网站,而不是网站本身。
这个项目本来是一个面向消费者的产品,旨在让人们通过搜索研究论文来发现和研究补充剂。现在感觉就像是走到了死胡同。
我还有哪些选择?
本文解释了为什么2行16键的键盘结构非常适合移动环境,以及它是如何扩展的。同时,还探讨了QWERTY mini Pro的一些关键特性背后的原因,包括标准布局和宽布局的整合、快速切换和高效输入。
我很高兴地介绍Zerobox,这是一款用Rust编写的跨平台单一二进制进程沙箱命令行工具。它使用了OpenAI Codex库中的沙箱化组件,并增加了诸如秘密注入、SDK等额外功能。
<p>观看演示:<a href="https://www.youtube.com/watch?v=wZiPm9BOPCg" rel="nofollow">https://www.youtube.com/watch?v=wZiPm9BOPCg</a>
<p>Zerobox遵循与Deno相同的沙箱策略,默认情况下拒绝所有操作。命令唯一可以执行的操作是读取文件,所有写入和网络I/O默认被阻止。没有虚拟机,没有Docker,没有远程服务器。
<p>想要阻止对/etc的读取吗?
<pre><code> zerobox --deny-read=/etc -- cat /etc/passwd
cat: /etc/passwd: 操作不允许
</code></pre>
它是如何工作的:
<p>Zerobox会包装任何命令/程序,运行一个MITM代理,并利用每个操作系统的本地沙箱解决方案(例如Linux上的BubbleWrap)在沙箱中运行给定的进程。MITM代理有两个任务:阻止网络调用和在网络层注入凭证。
<p>可以这样理解,我想注入“Bearer OPENAI_API_KEY”,但我不希望我的沙箱命令知道这个,Zerobox通过将“OPENAI_API_KEY”替换为占位符来实现,然后在实际的出站网络调用时再替换回来,见以下示例:
<pre><code> zerobox --secret OPENAI_API_KEY=$OPENAI_API_KEY --secret-host OPENAI_API_KEY=api.openai.com -- bun agent.ts
</code></pre>
Zerobox与其他沙箱解决方案的不同之处在于,它可以轻松地在本地沙箱化任何命令,并且在所有平台上工作方式相同。我一直在探索不同的沙箱解决方案,包括本地的Firecracker虚拟机,而这就是我在本地沙箱化命令时能够实现的最接近的效果。
<p>我接下来要探索的是`zerobox claude`或`zerobox openclaw`,它们将包装整个代理并预加载正确的策略配置文件。
<p>我很想听听你的反馈,特别是如果你在本地运行AI代理(例如OpenClaw)、MCP或AI工具的话。