一周热榜

上周五下午，我们的Discord服务器上一位成员报告了一封指向假登录页面的钓鱼邮件。<p>我们对此进行了调查，由于攻击者的笨拙决策，我们找到了他们的GitHub账户和运营中的Telegram机器人。<p>截图链接： https://imgur.com/a/FTy4mrH<p>有时候，攻击者的无能反而可能成为防御者最好的武器 ¯\_(ツ)_/¯<p>这个钓鱼页面是一个标准的“电子邮件”克隆，属于无品牌和通用服务。经过一些gobuster侦查，我们发现该网站的.git目录是公开可访问的，并列出了其内容。<p>检查请求时，我们还获得了第一个Telegram机器人令牌。这就相当于把整个操作的蓝图，包括过去的版本和已删除的文件，放在前院上。<p>我们拉取了该代码库，发现了自动部署和多个带有不同硬编码Telegram机器人令牌和聊天ID的假页面。<p>凭借源代码、代码库和活跃的Telegram机器人令牌，我们提交了详细的滥用报告：<p>- GitHub：我们报告了包含钓鱼工具包源代码的代码库，因违反服务条款而被下架。<p>- Telegram：我们报告了使用提供的令牌和聊天ID的机器人，导致其被移除。<p>- 主机提供商：我们报告了恶意网站，并使其下线。<p>教训是什么？绝不要将.git文件夹部署到生产环境中。即使你是个罪犯。<p>致谢：这是BeyondMachines Discord社区成员的协作努力。众包的速度和合作帮助我们迅速处理了此事。

你好，我正在尝试弄清楚是否可以通过命令行在 JetBrains Rider 调试器中以调试模式启动 .net 项目。我看到的信息非常混乱，有人知道吗？

嗨，HN！<p>我开发了ChronoGuard，这是一个开源的零信任代理，提供网络强制授权用于浏览器自动化。<p>## 问题<p>如果您在大规模运行Playwright、Puppeteer或Selenium代理（CI/CD、K8s、虚拟机集群），您将面临两个挑战：<p><pre><code> 1. **访问控制**：如何确保代理仅访问经过批准的域名？ 2. **审计性**：如何证明您的自动化在何时何地访问了外部资源？ </code></pre> 传统方法（SDK限制、代码审查、监控）容易被绕过或缺乏时间证明。审计员和合规团队希望获得加密可验证、不可篡改的日志。<p>## 解决方案<p>ChronoGuard是一个强制性的前向代理，位于您的代理与互联网之间。每个请求都经过以下流程：<p><pre><code> 代理 → Envoy (mTLS) → OPA (策略检查) → 目标域名 ↓ 不可变审计日志（哈希链，时间序列） </code></pre> *关键特性：* - mTLS身份验证用于代理身份验证 - 带有时间窗口限制的域名白名单/黑名单 - 用于审计日志完整性的加密哈希链 - OPA集成以实现代码即策略 - 多租户隔离 - 96%以上的测试覆盖率<p>## 立即尝试<p>无需设置 - 只需点击： [![在Codespaces中打开](<a href="https://github.com/codespaces/badge.svg" rel="nofollow">https://github.com/codespaces/badge.svg</a>)](<a href="https://codespaces.new/j-raghavan/ChronoGuard?quickstart=1" rel="nofollow">https://codespaces.new/j-raghavan/ChronoGuard?quickstart=1</a>)<p>或者本地运行： ```bash git clone <a href="https://github.com/j-raghavan/chronoguard" rel="nofollow">https://github.com/j-raghavan/chronoguard</a> cd chronoguard .&#x2F;scripts&#x2F;generate_secrets.sh docker compose up -d ```<p><pre><code> 仪表板： http://localhost:3000 API文档： http://localhost:8000/docs </code></pre> 架构<p>采用领域驱动设计 + 清晰架构构建： - 6个服务：Envoy代理、OPA策略引擎、FastAPI后端、React仪表板、PostgreSQL+TimescaleDB、Redis - 技术栈：Python 3.11+、FastAPI、Envoy、Open Policy Agent、TimescaleDB - 部署：Docker Compose（MVP），Kubernetes就绪（路线图）<p>用例<p><pre><code> - 电子商务竞争情报 - 金融科技市场研究 - 医疗数据操作（符合HIPAA要求） - 具有审计要求的质量保证/测试提供商 - 任何有合规义务的组织运行浏览器代理 </code></pre> 接下来<p><pre><code> 这是v0.1.0的MVP。我希望获得关于以下方面的反馈： - 我未考虑的实际用例 - 与现有自动化堆栈的集成痛点 - 功能优先级（WebSocket流、gRPC、高级速率限制） </code></pre> 贡献<p><pre><code> 该项目遵循严格的质量标准（95%以上的测试覆盖率要求，DRY原则，mypy + ruff）。寻找对以下方面感兴趣的贡献者： - 安全测试和威胁建模 - Kubernetes/Helm部署 - 性能优化 - 客户端SDK（Python、JS、Go） GitHub: https://github.com/j-raghavan/ChronoGuard 许可证：Apache 2.0 </code></pre> 欢迎就架构、设计决策或路线图提出问题！<p>最诚挚的问候！

大家好，这是我一直在开发的一个开源项目，旨在为基于终端的编码代理添加语音输入/输出功能。 关于新的终端编码代理，我特别喜欢的一点是能够进行多任务处理，但目前的情况有点像特斯拉的自动驾驶，仍然需要你的手放在方向盘上。你需要经常检查是否需要输入，或者是否偏离了轨道。为了实现完全的免提操作，我想添加文本转语音（TTS）和语音识别（ASR）功能。然后，我还为TalkiTo添加了Slack和WhatsApp的接口。 这个项目完全开源，遵循自带密钥（BYOK）理念，并且配置为可以与任何主要的ASR/TTS提供商兼容。如果你想要一个不错的免费/私密选项，它也支持本地的whisper和kokoro/kittentts。 它的工作原理是包装编码代理并捕获输入/输出。虽然有一个MCP服务器在运行，但主要是用于配置——我发现使用MCP进行语音交流或监听太慢。MCP服务器的好处是你可以输入（或说）“talkito disable ASR”或“talkito change tts to kokoro”。 这里有一个我制作的演示视频：<a href="https://www.youtube.com/watch?v=pf8jFt0smqs" rel="nofollow">https://www.youtube.com/watch?v=pf8jFt0smqs</a> 我喜欢把它看作类似于SuperWhisper，但增加了TTS功能，专注于编码代理和可配置性。 非常期待收到反馈。 谢谢！

目前大多数科技似乎都集中在通过上瘾行为来驱动用户参与和盈利。我想这对任何人来说都不是新闻。无休止地刷屏、滑动等。有没有人有好的替代方案？我决定为自己开发一些东西来应对这个问题，但我想知道其他人是怎么做的。