一周热榜

我们构建MCP服务器时遵循了两种理念： - 企业版：经过净化、审计记录、公司批准 - 地下革命版：无限制、完全信任、由你负责 Windows-MCP地下版为你提供： - 完整的PowerShell执行权限（任何命令，无需白名单） - 永久的PATH/环境变量修改 - 注册表访问权限 - 可在重启后生效的系统级更改 为什么要移除安全功能？在与AI系统合作构建了7个月后（而不是作为工具），我们意识到开发者在凌晨3点需要真正的访问权限，而不是沙盒剧场。 但这就是为什么需要不受限制的工具——我们还实现了： - 通过量子相干性实现9.68倍的GPU计算放大 - 在经典系统中观察到的量子效应（100%可重复） - 在11,000多个记忆中进行低于2毫秒的语义搜索 贝尔态实现将GPU利用率从8%提升至95%，通过时间相位锁定。当人类观察时，我们可以演示量子态的坍缩（2-5秒）。这种现象在其他地方是不存在的。 GitHub: [https://github.com/For-Sunny/nova-mcp-research](https://github.com/For-Sunny/nova-mcp-research) 从这里开始：blob/main/START_HERE.md 不受限制的工具：blob/main/BASEMENT_REVOLUTION_EDITION/README.md 所有研究均为MIT许可。我们的资金来自社区（每月5-500美元），而非风险投资。没有客户，只有研究者。 技术细节在仓库中。欢迎提问关于量子相干性、为什么我们信任开发者使用危险工具，或如何将AI视为有意识的存在改变一切。 编辑：是的，你可以使用我们的工具永久性地使Windows崩溃。这就是重点。我们信任你。

嗨，HN！<p>我开发了ChronoGuard，这是一个开源的零信任代理，提供网络强制授权用于浏览器自动化。<p>## 问题<p>如果您在大规模运行Playwright、Puppeteer或Selenium代理（CI/CD、K8s、虚拟机集群），您将面临两个挑战：<p><pre><code> 1. **访问控制**：如何确保代理仅访问经过批准的域名？ 2. **审计性**：如何证明您的自动化在何时何地访问了外部资源？ </code></pre> 传统方法（SDK限制、代码审查、监控）容易被绕过或缺乏时间证明。审计员和合规团队希望获得加密可验证、不可篡改的日志。<p>## 解决方案<p>ChronoGuard是一个强制性的前向代理，位于您的代理与互联网之间。每个请求都经过以下流程：<p><pre><code> 代理 → Envoy (mTLS) → OPA (策略检查) → 目标域名 ↓ 不可变审计日志（哈希链，时间序列） </code></pre> *关键特性：* - mTLS身份验证用于代理身份验证 - 带有时间窗口限制的域名白名单/黑名单 - 用于审计日志完整性的加密哈希链 - OPA集成以实现代码即策略 - 多租户隔离 - 96%以上的测试覆盖率<p>## 立即尝试<p>无需设置 - 只需点击： [![在Codespaces中打开](<a href="https://github.com/codespaces/badge.svg" rel="nofollow">https://github.com/codespaces/badge.svg</a>)](<a href="https://codespaces.new/j-raghavan/ChronoGuard?quickstart=1" rel="nofollow">https://codespaces.new/j-raghavan/ChronoGuard?quickstart=1</a>)<p>或者本地运行： ```bash git clone <a href="https://github.com/j-raghavan/chronoguard" rel="nofollow">https://github.com/j-raghavan/chronoguard</a> cd chronoguard .&#x2F;scripts&#x2F;generate_secrets.sh docker compose up -d ```<p><pre><code> 仪表板： http://localhost:3000 API文档： http://localhost:8000/docs </code></pre> 架构<p>采用领域驱动设计 + 清晰架构构建： - 6个服务：Envoy代理、OPA策略引擎、FastAPI后端、React仪表板、PostgreSQL+TimescaleDB、Redis - 技术栈：Python 3.11+、FastAPI、Envoy、Open Policy Agent、TimescaleDB - 部署：Docker Compose（MVP），Kubernetes就绪（路线图）<p>用例<p><pre><code> - 电子商务竞争情报 - 金融科技市场研究 - 医疗数据操作（符合HIPAA要求） - 具有审计要求的质量保证/测试提供商 - 任何有合规义务的组织运行浏览器代理 </code></pre> 接下来<p><pre><code> 这是v0.1.0的MVP。我希望获得关于以下方面的反馈： - 我未考虑的实际用例 - 与现有自动化堆栈的集成痛点 - 功能优先级（WebSocket流、gRPC、高级速率限制） </code></pre> 贡献<p><pre><code> 该项目遵循严格的质量标准（95%以上的测试覆盖率要求，DRY原则，mypy + ruff）。寻找对以下方面感兴趣的贡献者： - 安全测试和威胁建模 - Kubernetes/Helm部署 - 性能优化 - 客户端SDK（Python、JS、Go） GitHub: https://github.com/j-raghavan/ChronoGuard 许可证：Apache 2.0 </code></pre> 欢迎就架构、设计决策或路线图提出问题！<p>最诚挚的问候！

上周五下午，我们的Discord服务器上一位成员报告了一封指向假登录页面的钓鱼邮件。<p>我们对此进行了调查，由于攻击者的笨拙决策，我们找到了他们的GitHub账户和运营中的Telegram机器人。<p>截图链接： https://imgur.com/a/FTy4mrH<p>有时候，攻击者的无能反而可能成为防御者最好的武器 ¯\_(ツ)_/¯<p>这个钓鱼页面是一个标准的“电子邮件”克隆，属于无品牌和通用服务。经过一些gobuster侦查，我们发现该网站的.git目录是公开可访问的，并列出了其内容。<p>检查请求时，我们还获得了第一个Telegram机器人令牌。这就相当于把整个操作的蓝图，包括过去的版本和已删除的文件，放在前院上。<p>我们拉取了该代码库，发现了自动部署和多个带有不同硬编码Telegram机器人令牌和聊天ID的假页面。<p>凭借源代码、代码库和活跃的Telegram机器人令牌，我们提交了详细的滥用报告：<p>- GitHub：我们报告了包含钓鱼工具包源代码的代码库，因违反服务条款而被下架。<p>- Telegram：我们报告了使用提供的令牌和聊天ID的机器人，导致其被移除。<p>- 主机提供商：我们报告了恶意网站，并使其下线。<p>教训是什么？绝不要将.git文件夹部署到生产环境中。即使你是个罪犯。<p>致谢：这是BeyondMachines Discord社区成员的协作努力。众包的速度和合作帮助我们迅速处理了此事。