v2ex_hot_2026-01-01

V2EX 热门帖子

1. 2026 年,开始怀疑自己不适合干这一行了,脑子越来越转不动了

作者: JustRookie | 发布时间: 2025-12-31 16:57

2. 你们 js 用过双等号吗

写了很多年 js ,都是用三等号。即使类型不匹配也要强制使用 Number String 等方式转换一下再判断。

现在发现双等号直接可以帮你转类型后再比较。

甚至可以这么用: if (a == 0) { ... }, 这里当 a 是 0 / "" / false 时候都成立。

看到很多项目都把双等号给禁了( eslint eqeqeq ),没仔细研究,但有些情况下还是不错的。

作者: ethusdt | 发布时间: 2025-12-31 01:21

3. 去年写代码跨年,今年 review 代码中跨年。好像什么都变了,又好像什么都没变。

看了下时间,已经跨年。
朋友圈很热闹,我却在 review AI 的代码。
去年写代码跨年,今年 review 代码跨年。
好像什么都变了,又好像什么都没变。
那么,
明年是不是就不用 review 了

作者: zencitta | 发布时间: 2025-12-31 16:45

4. 2026 新年快乐,祝大家 2026 年发发发!

作者: programMrxu | 发布时间: 2025-12-31 15:53

5. 请问使用 Claude Code 的话,是不是直接上 Open Spec 用就好了哇?

没啥经验,现在无头苍蝇额

不知道怎么用这个工具才对,无脑问问题的话,太宽泛了

作者: BearCookie | 发布时间: 2025-12-31 02:00

6. 让 Cursor/Claude 直接“读懂”钉钉文档: mcp-dingtalk-doc 上手与实战

让 Cursor/Claude 直接“读懂”钉钉文档:mcp-dingtalk-doc 上手与实战

把钉钉文档接入 MCP ,让 AI 在对话里直接读取、解析、导出内容。

一、为什么你需要它?

很多团队的知识沉淀都在钉钉文档里:需求、方案、周报、事故复盘、流程规范……

但当你想让 AI 帮你“总结、提炼、改写、生成 PPT 大纲、做问答”,最大的问题往往是:

  • 文档在钉钉里,AI 读不到
  • 复制粘贴太麻烦,格式还容易丢
  • 表格、代码块、图片等内容更难保真

mcp-dingtalk-doc 做的事情很直接:把“钉钉文档读取/解析”能力通过 MCP ( Model Context Protocol ) 暴露给 AI 客户端(如 Cursor ),让 AI 能在对话里自动调用工具获取文档内容。

二、mcp-dingtalk-doc 是什么?

mcp-dingtalk-doc 是一个 钉钉文档 MCP 服务器 ( Node.js/TypeScript ),核心目标是:

  • 让 AI 助手可以直接读取钉钉文档内容
  • 支持自动登录与 Cookie 管理
  • 输出可用的 HTML (适合进一步转换/存档/二次加工)

项目与安装入口:

三、核心特性(你会用得上的点)

  • 快速接入:npm 一键安装
  • 自动 Cookie 管理(推荐):减少手动抓 Cookie 的麻烦
  • 支持解析并导出 HTML:适合交给 AI 做总结/改写,也适合做归档
  • 对常见内容类型支持较好:段落富文本、表格(含合并单元格)、图片、代码块、文本样式等

四、它提供了哪些工具( AI 能调用什么)?

在 MCP 侧,最常用的是这两个工具:

1 ) parse_document

完整解析钉钉文档,并生成 HTML 文件(适合“导出落地”)。

  • 参数
    • url_or_node_id(必需):钉钉文档 URL 或 NODE_ID
    • cookie(可选):Cookie 字符串(不传则尝试使用环境变量/自动登录)
    • save_files(可选):是否保存文件,默认 true
    • output_dir(可选):输出目录

2 ) get_html

快速获取 HTML 内容(不保存文件,适合“即时提取给 AI”)。

  • 参数
    • url_or_node_id(必需)
    • cookie(可选)

思路很简单:先让 MCP 能拿到可用 Cookie ,再把 MCP 接到 Cursor (或其它客户端),最后在对话里直接让 AI 读取文档。

适合经常用、希望省事的同学:通过自动化方式登录并管理 Cookie (底层通常依赖浏览器自动化能力)。

你可以在项目 README 中按“自动 Cookie 管理”的流程完成初始化与登录。

适合一次性/临时场景:

  • 打开钉钉文档站点并登录:<http://alidoc.dingtalk.com>
  • 按 F12 打开开发者工具,找到 Network 请求
  • 从 Request Headers 里复制 Cookie
  • 将 Cookie 作为参数传给工具,或写入环境变量(例如 DINGTALK_COOKIE

六、在 Cursor 里怎么配置(关键一步)

Cursor 的 MCP 配置文件路径(项目 README 有说明):

  • Windows:%APPDATA%\\Cursor\\mcp.json
  • macOS:~/Library/Application Support/Cursor/mcp.json
  • Linux:~/.cursor/mcp.json

配置思路是:在 mcp.json 里新增一个 server ,启动 mcp-dingtalk-doc 这个 MCP 服务进程。

建议启动方式:

  • npx 启动(免全局安装)
  • 或者 clone 项目后本地启动(便于跑 cookie 管理脚本)

不同客户端/版本的 MCP 配置字段名可能略有差异(例如 mcpServers / servers),你按你本机 mcp.json 的现有结构补进去即可。

七、实战:让 AI 总结钉钉文档(可直接复制给 AI 的提示词)

当 MCP 配置正确后,你可以在 Cursor 里这样说:

  • “读取这篇钉钉文档并总结成三段:背景、关键结论、待办事项。”
  • “把文档内容整理成会议纪要:议题、结论、责任人、截止时间。”
  • “提取所有代码块并解释每段代码在做什么,给出风险点与优化建议。”
  • “把表格转成结构化要点,并输出一个可执行的项目计划。”

( AI 会自动调用 get_html / parse_document 去读取内容。)

八、已知限制与注意事项(建议你在文末加上)

  • Cookie 会过期:需要定期更新(常见 7–30 天)
  • 部分元素可能未完全支持:如列表、引用块等(以项目说明为准)
  • 权限与合规:仅对你有权限的文档生效;不要把敏感 Cookie 明文发给不可信工具/服务

九、结语

如果你的团队“知识在钉钉文档里,AI 在外面”,那么 mcp-dingtalk-doc 属于那种装上就能立刻提升效率 的工具:从“复制粘贴喂给 AI”,变成“对话里直接读文档、做总结、做沉淀”。

项目地址:

作者: shinjiyu | 发布时间: 2025-12-31 15:49

7. 大家能否反馈一下 Antigravity 的使用体验

作者: qianyidui5 | 发布时间: 2025-12-30 06:37

8. 年终, 主力浏览器从 Safari 换回 Chrome,终端从 Ghostty 换回 iTerm

折腾的原因在于懒得折腾。

浏览器

浏览器循环永不停歇,上次主力浏览器从 Chrome 迁移到 Safari 还是两年前,这也意味着我用了 2 年的 Safari 。Safari 作为主力浏览器没什么问题,个人认为 UI 和操作方式都更清爽一些,常用的插件也都有,主要原因还是日常使用有一些边边角角的 BUG ,以及开发者工具没有 Chrome 好用。

终端

终端经历了从 iTerm => Warp => Ghostty => iTerm 的迁移。换 Wrap 的动机是尝新,是否需要登录其实我不太关心,换掉 Wrap 是因为它的很多功能我都用不上,按传统的方式使用它,效率反而变低了。Ghostty 也是尝新,没什么大毛病,偶有兼容性问题,所以换回 iTerm 。

PS:Windows 上继续使用 Warp 。

其他

一直使用 Alfred ,中间数次尝试切换到 Raycast ,还是觉得 Alfred 更好用一些。(也一个原因是不想舍弃 Powerpack )

作者: nanajj | 发布时间: 2025-12-31 02:41

9. 将 Markdown 文件导入为 React 组件 - 写作文档,即时获取交互式演示

我最近将 react-code-view 进行了重写, 基于 unplugin 让 Markdown 可以直接导入渲染成一个 React 组件. 以下是一个简单示例

1.安装

npm install @react-code-view/react @react-code-view/unplugin

2.配置构建工具(支持 vite/webpack/esbuild/rollup)

// vite.config.js
import { defineConfig } from 'vite';
import react from '@vitejs/plugin-react';
import reactCodeView from '@react-code-view/unplugin/vite';

export default defineConfig({
  plugins: [
    react(),
    reactCodeView() // Enable markdown import
  ]
});

使用有代码块创建 Markdown 文件

demo.md

# Counter Example


A simple counter to demonstrate live code editing and preview.


<!--start-code-->
\`\`\`jsx
const App = () => {
  const [count, setCount] = useState(0);
  return (
    <button onClick={() => setCount(c => c + 1)}>
      Clicked {count} times
    </button>
  );
};

render(<App />);
\`\`\`
<!--end-code-->

- Click "Show Code" to view and edit the source
- Preview updates instantly while you type
- Click the copy button to reuse the code

4.导入并使用

import Demo from './demo.md';

function App() {
  return <Demo />;
}

最好渲染成的效果

文档

作者: simonguo | 发布时间: 2025-12-30 03:26

10. nextjs 有更优雅的自部署方案么?

官方文档 Nextjs Deploying

用 nextjs 部署到自己服务器有点麻烦的,必须部署到 vercel 这种 serverless 才方便。

我使用过笨办法,在服务器上克隆整个项目,服务器执行 build ,然后 start ( tmux/screen/systemctl )。

或者麻烦一点用 docker 打包一个镜像,配置 github action 的 ci ,某个打包分支有提交会自动打包镜像,服务器再 pull 镜像就比较方便了。但还是要折腾一下 ci 和 docker 。

或者自己本地打包后 rsync 到服务器,但要踩一下 standalone 之类的坑( node runtime 依赖 node_modules )。

难道就没优雅一点的么?

web 页面和 server api 都在一块确实好用,对前端入门后端来讲也算个不错的选择。

作者: ethusdt | 发布时间: 2025-12-31 03:00

11. spring ai alibaba 官网为什么这么卡

一个文档网页怎么做的这么卡,搞得我以为是电脑不行了

作者: juzuojuzou | 发布时间: 2025-12-31 09:41

12. 新的一年给 NAS 简单升级下

原本我是一个硬盘外挂方案,,见这篇nas 硬盘外挂,就简单用了一个台式机的硬盘笼,后来发现供电不够掉盘,又单独搞了个 ATX 电源,结果就是一大坨摆在那里,很不美观。

年中的时候把 pcie 转 sata 换成了 pcie 转 sff8087 ,见这篇近期好物分享,线缆更规整了些

最近在闲鱼上刷到这个硬盘柜,4 盘位、独立供电、sata 直连,简直完美符合我的需求,直接购入,整体美观度瞬间上了一个台阶

图片 1

图片 2

图片 3

作者: xuxiake | 发布时间: 2025-12-31 06:48

13. 25 年底最后一天 玩个有意思的纪念一下 谁愿意和我互换特产(洒家甘肃的)

当然不可能给你土豆子

作者: qianyidui5 | 发布时间: 2025-12-31 05:37

14. 最近在研究 ai 变声 太爽了

打游戏 全是舔狗

目前两台电脑 一台推理 一台打游戏. 副机推理的声音作为主机的麦克风输入
完美解决了 1 个显卡压力太大的问题

作者: baby0w0 | 发布时间: 2025-12-30 01:56

15. 2025 年工作 git 活力图, 抛砖引玉一下

忙里偷闲

给 2025 的工作提交最后一次 git 记录,(●’◡’●)

tu-pian.png

作者: Foxkeh | 发布时间: 2025-12-31 09:33

16. 大龄程序员改行做书法老师,免费给大家写字啦,想要和明星一样拥有自己的签名体么

大龄程序员改行做书法老师,免费给大家写字啦,想要和明星一样拥有自己的签名体么

废话不多,参与方式:

在我的公众号 [书法迷] ,聊天框留言即可,我晚上写好拍照公众号里面回复。

下面是一些平时写的字:

平时写字

日常字体

硬笔行书

更多字和写字视频可以看我的公众号[书法迷],记录自己练字的一些作品。

作者: Acheron | 发布时间: 2025-12-31 03:47

17. 最近 ssh 访问黑群晖提示没启用后量子算法

突然感觉就不安全了,大家有什么应对办法么?

作者: cnfczn | 发布时间: 2025-12-31 09:43

18. 大家好呀,一个月已经过去了,马上 2026 年了,我的小小的 witnote 笔记本已经有 300 多个星星了

App Store 审核受难记:修了一天“窗口”交互,提前祝大家 2026 新年快乐

WitNote: Local AI Writer 终于重新提交审核了。

昨天第一次提交被秒驳回,苹果审核那边的反馈如下:

Guideline 4 - Design

We noticed an issue with your app’s user interface that contributes to a lower-quality user experience than App Store users expect.

Specifically, we found that when the user closes the main application window there is no menu item to re-open it.

Next Steps It would be appropriate for the app to implement a Window menu that lists the main window so it can be reopened, or provide similar functionality in another menu item. Alternatively, if the application is a single-window app, it might be appropriate to save data and quit the app when the main window is closed.

简单总结一下核心问题(也是 macOS 开发容易忽略的细节):

  1. 没有标准的“Window”菜单 :macOS 应用通常需要在顶部菜单栏有一个 Window(窗口)菜单,里面需要列出当前窗口或提供“打开主窗口”的选项。
  2. 点击 Dock 图标无反应 :用户在主窗口关闭的情况下点击 Dock 栏图标时,应该自动创建一个新窗口( Reopen 逻辑),而不是没反应。

花了一整天时间修改代码,补全了 applicationShouldHandleReopen 的逻辑和菜单栏配置,刚才又去申请了。

不得不吐槽,苹果商店的要求是真的高,而且最折磨人的是它不会一次性把所有问题告诉你,而是一次只卡你一个点。改完这个,下次可能又因为别的原因驳回。

看来上架没准真要拖到 26 年了 😂。

在这里提前祝大家 26 年新年快乐,希望大家新的一年都能发财!

作者: hashtome | 发布时间: 2025-12-31 09:12

19. Google 的 Antigravity 有稳定登录使用的办法吗?

自己的老账号显示有配额,但是地区不对,切换地区发了申请一直不通过。。。
注册的新账号刚开始能用,后来直接就被 ban 了,无法使用,
海鲜市场咸鱼买的账号,一开始能用,后续没几天又被 ban 了

作者: FawkesV | 发布时间: 2025-12-31 01:33

20. vibe coding 最佳实践之”约束带来自由”

有没有人会感觉 vibe coding 开发出来的东西代码一多就变成了屎山,自己失去了对项目的掌控感,经常改了一个地方其地方就爆炸。

我想分享一个我的 vibe coding 最佳实践: 极致严格的约束+90%的测试覆盖率。

  1. 给项目开启最严格的 lint

比如 Go 的 golangci-lint ,Rust 的 Cargo clippy 。以前人因为偷懒老是忽略编译器警告,但是 AI 时代改起来真的很快,而且帮助很大。

  1. 强制 90%的测试覆盖率(Design for Testability)

让 AI 生成的代码设计全部以提高测试覆盖率为主要目标,后期加需求再也不担心破坏已实现功能了。真的爽的一批啊,体验过就知道什么叫做稳稳地幸福。

  1. 强制代码行数检查

从我强制要求极高的测试覆盖率,并开启所有合理的 lint 检查之后,代码质量肉眼可见的提升了。但我逐渐发现还缺少一个工具用来限制代码行数,AI 老是喜欢在一个代码文件堆屎山啊!开源社区逛了一圈发现还没有类似的工具,于是自己用 Rust 搞了个sloc-guard

  1. 文件命名风格检查

个人不太喜欢 commonhelper,这种毫无意义的文件名,以前懒还能忍,自从代码基本都让 AI 写之后,索性也是直接上了强制约束。

这一套搞下来,我觉得基本实现了全自动防止 AI 堆屎山的效果。我相信 AI 写的代码可读性已经超过大多数人了,AI 也不会偷懒,该有的注释也都有,写出来的代码可以用赏心悦目来形容了哈哈。

Talk is cheap, show me the code.

sloc-guard,这个 Rust 项目全程实践上述做法,原汤化原食,5 万行代码勉强算是个中型项目吧,90%测试覆盖率,clippy 严格模式 0 warn ,没一个文件超过 600 行,我保证这个项目的规范程度绝对达到了非常高的水平,不信来看看嘿嘿

作者: doraemonki | 发布时间: 2025-12-31 04:26

21. 一夜之间多了 5000+ 个账号,我和 Claude 给自研 GTD 做了一次线上演习

昨天,我的自研 GTD 系统后台突然多了 5000 多个新增账号,actions 也陡增了 3000 多条。

第一反应当然是:难道产品突然爆火了? 几分钟之后我冷静下来:这更像是一场「恶意注册 / 接口攻击」,而不是增长奇迹。

这篇文章想简单记录一下:

  • 这次攻击是怎么暴露出来的
  • 我是怎么用 Claude Code 快速排查问题的
  • 我对「小产品的安全边界」的几个反思

希望能给同样在做小产品 / side project 的同学一点参考:就算你现在只有几十个真用户,也值得认真对待安全和风控。

一、事情是怎么被发现的?

先简单说一下背景。 我用 Claude Code 搭了一套自己的 GTD 系统,名字叫 GTD Pro ,灵感来自 OmniFocus ,目前主要是我自己和少量真实用户在用,线上版本在这里: https://gtd.nebulame.com/

按照正常节奏,这个系统一天新增用户只有几个人,有时候甚至是 0 。结果昨天我在后台看统计时,发现:

  • 账号总数在很短时间里突然多了 5000+ 个
  • actions 表里多了 3000+ 条明显无效的数据

问题在于:

  • 我并没有做任何大规模推广
  • 真实的活跃用户,其实只有几十个

所以这波「暴涨」明显不正常。

我简单做了几件事:

  1. 按时间排序,发现这些账号几乎集中在一个很短的时间窗口内创建
  2. 看标识/行为,很多请求模式非常机械、重复
  3. 对比真实用户的使用行为,路径和频率完全不一样

基本可以确认:这是一次针对后端 API 的「恶意注册 + 写入」攻击,而不是自然增长。

二、这次攻击到底发生了什么?(攻击情况一览)

从日志里复盘了一下,大概情况是这样的:

  • 攻击开始时间 :2025-12-30 00:28 左右
  • 持续时间 :从 00:28 一直持续到 05:07 左右
  • 攻击方式 :不停地往两个接口打请求:
    • POST /api/auth/register 注册接口被高频调用
    • POST /api/inbox Inbox 创建接口被高频调用

几小时之内,数据变成了这样:

  • 用户数:从 38 个涨到 5512 个(+5474 个恶意账号)
  • Actions:从 119 条涨到 3209 条(+3090 条无效记录)
  • 数据库大小:从大约 400KB 涨到 12MB 左右(体积直接放大了 30 倍)

从时间分布和请求模式看,很明显这不是正常用户增长,而是脚本在持续轰炸注册接口和 Inbox 接口。这里可以放上 Claude Code 帮我整理出来的攻击摘要和时间线截图,我也是在它的提示下,开始给系统补上第一轮安全防护。

三、我和 Claude Code 做了一次「线上演习」

这次排查其实花的不是很多精力,更多是靠 Claude Code 帮我把问题结构化了一遍。

大概流程是这样:

  1. 我把相关的日志片段、数据特征、接口设计,整理成一个简化版描述
  2. 丢给 Claude Code ,让它帮我:
    • 分析可能的攻击路径
    • 提出优先级最高的几条防护建议
    • Review 一下现有的注册 / 写入接口设计

Claude 给出的几个方向非常实用:

  • 后端 API 暴露在公网,没有最基本的 rate limit
  • 注册和写入接口缺少「人类门槛」,脚本可以无限请求
  • 没有给「可疑账号」打标 / 隔离,只是直接进入正式业务表

我对照这些建议,很快做了第一轮处置:

  • 给这批可疑账号和对应 actions 打上标记,而不是直接物理删除
  • 在业务逻辑上先软删除:统计、报表、产品逻辑里一律不算它们
  • 开始在代码里补上 rate limit 和简单风控策略

这次体验对我来说有点意思:

  • 不是「 AI 帮我写了一大堆代码」,而是
  • 「 AI 帮我快速梳理威胁模型 + 设计第一版防护方案」,我自己做关键决策和实现细节

对一个只有几十个真实用户的小产品来说,这种「 AI + 人」的协作方式刚好合适。

四、我给 GTD 系统加了三道基础安全锁

这次事件之后,我给 GTD Pro 加了三道「基础安全锁」,也推荐给还在早期的独立开发者:

1 )给注册和写入接口上闸门

  • 对注册接口加简单节流:同 IP / 同 UA / 同邮箱域名在单位时间的上限
  • 对写 actions 的接口也加上 rate limit ,避免有人用单一账号或脚本刷爆写入

2 )引入一个「人类门槛」

  • 可以是邮箱验证 / 一次性验证码 / 极简验证码
  • 不一定要很重,但要让大规模脚本攻击的成本变高

3 )业务上把「可疑流量」和「真实用户」彻底分开

  • 给这 5000 多个账号统一打上 is_suspicious = true
  • 统计和报表默认只看「未标记为可疑」的账号
  • 以后如果还有类似事件,可以快速对比行为模式、复用处理流程

这次攻击也间接帮我确立了一个心态:

  • 只要你的产品暴露在公网,就默认会被扫、被撞、被试探
  • 安全不是「有大公司再做」,而是「你第一次被攻击的那天,就该开始认真设计」

五、小产品也要有安全边界

这次恶意注册事件,对我最大的提醒是:

  • 就算你现在只有几十个真实用户,也应该早点想好:
    • 注册/登录的边界
    • 写入数据的节流
    • 垃圾数据的隔离策略
  • AI 不只是用来给用户做「炫酷功能」,也可以拿来帮你做基础设施:
    • 设计威胁模型
    • 帮你 review 代码
    • 帮你想「最小代价的安全升级」

严格来说,这次并不能算一场「大规模攻击」,更像是给我提了个醒:

  • 我的 GTD 不再只是本地小玩具
  • 它开始作为一个真正对外的在线服务存在

六、如果你也想试试这套 GTD / 看看代码

最后,留两个入口:

如果你也在做自己的小工具、小产品,建议不要等到「出事了」再补安全。哪怕只是在注册接口前面多加几行简单的 rate limit 逻辑,都是一个好的开始。

也欢迎你来试试 GTD Pro ,或者在 issue 里告诉我你遇到的安全/风控问题,我们可以一起继续把这套系统打磨得更像一个真正可依赖的「第二大脑」。

如果你对我在做的通用 Agent 框架也感兴趣,可以看看:

GTD Pro 目前主要跑在 Claude Code 上,后面也会逐步和这套 Agent 基础设施打通。

作者: femto | 发布时间: 2025-12-31 08:10

22. vscode 的 prompt.md 和 instructions.md 有什么区别?

个人理解 prompt.md 是 copilot 通用的提示词 instructions.md 是专门针对某个项目、某类语言的提示词

但是感觉两个能互相替代?

官方的说明

https://code.visualstudio.com/docs/copilot/customization/custom-instructions

https://code.visualstudio.com/docs/copilot/customization/prompt-files

作者: whitewatercn | 发布时间: 2025-12-31 08:05

23. 为什么我要做 ClaudeBox:一篇关于 AI Agent 沙箱的科普

最近在研究 AI Agent 的时候发现了一个很有意思的问题:AI Agent 到底需要什么样的运行环境?

问题的由来

现在的 AI Agent (比如 Claude Code 、OpenAI Operator )已经不只是聊天机器人了,它们可以:

* 执行代码
* 访问文件系统
* 运行终端命令
* 浏览网页
* 甚至操作桌面 GUI

这种能力很强大,但也带来了一个核心问题:如何让 AI 安全地使用这些能力?

AI Agent 为什么需要沙箱?

根据最近的研究[1],AI Agent 的沙箱主要解决两个问题:

1. Context Delegation (上下文委托)

AI 对话的上下文很容易就达到 100k 甚至 1M tokens 。想象一下,一个复杂的多轮对话,AI 需要记住:

* 你的项目结构
* 历史命令
* TODO 列表
* 之前的错误和修复

把这些全部塞进上下文会非常昂贵且低效。所以沙箱的文件系统可以作为”外部记忆”,AI 按需加载需要的信息。

1. Runtime Isolation (运行时隔离)

更重要的是安全性。当 AI 要执行 Python 代码、运行 bash 命令时,如果没有隔离:

* 可能访问你的敏感文件
* 可能破坏主机系统
* 可能产生不可预期的副作用

现有方案的问题

目前主流的 AI Agent 都有自己的沙箱实现:

* Claude Code:使用 ~/.claude/ 目录
* OpenAI Operator:使用完整的 Linux VM
* MiniMax Agent:使用 Python 开发环境

但这些方案都有一个共同点:它们依赖各自的专有基础设施。

作为开发者,如果我想:

* 在自己的应用中集成类似能力
* 确保真正的硬件级隔离(而不是进程级)
* 让 AI 可以安全地操作 GUI 桌面环境

就会发现没有一个开箱即用的解决方案。

ClaudeBox 的设计思路

这就是为什么我做了 ClaudeBox 。它的核心特点:

1. 硬件级隔离:基于 micro-VM (通过 BoxLite[2]),而不是 Docker 容器
2. 完整桌面环境:内置 XFCE ,AI 可以真正"使用电脑"
3. 简单易用:几行 Python 代码就能跑起来
4. 真正安全:VM 级别的隔离,不怕 AI "越狱"




  async with ClaudeBox() as box:
      result = await box.code("Create a hello world Python script")
      print(result.response)

为什么用 micro-VM 而不是容器?

容器( Docker )本质上是进程级隔离,共享主机内核。而 micro-VM 提供硬件级隔离:

  • 独立的内核
  • 完整的桌面环境(容器里跑 GUI 很麻烦)
  • 更强的安全边界

同时保持轻量级:启动只需要几秒钟,而不是传统 VM 的几分钟。

总结

AI Agent 的能力越来越强,但能力越大,责任越大。合适的沙箱不仅是技术需求,更是安全必需。

ClaudeBox 试图提供一个标准化、安全、易用的解决方案。如果你也在构建类似的 AI 应用,欢迎尝试。

References

作者: d0r1an | 发布时间: 2025-12-31 09:03

24. 我的 2025 年度总结

言简意赅,直接上图。

作者: 92Developer | 发布时间: 2025-12-31 08:46

25. 见多识广的 V 友们,有知道这张图片的出处吗

想知道这张图有没有 V 友见过的,或者有没有类似的社区或者博客自媒体讲解 AI 产品的,最好是跟着技术产品的发展一直持续更新的

作者: coderMonkey | 发布时间: 2025-12-31 07:13

26. 大家讨论下自建内网 RAG 知识库和 AGENT 平台

公司现在还没有引入飞书等平台,想在小组内试搭一套 RAG 平台,内网有 QWEN 的大模型接口,于是有了下述方案,大家看看是否合适,运行硬件配置不高,无单独 GPU:

1.传统知识库用基于 MARKDOWN 格式的 OUTLINE ,支持团队协作,单点登录,缺点是没有离线功能。
2.RAG 知识库平台和 AGENT 平台选用 FASTGPT ,没有用 DIFY ,感觉 DIFY 要重一点,也没用只聚焦于 RAG 的 MAXKB 。
1 ) LLM 用内网已经有的 QWEN 大模型
2 ) embedding 用本地的 m3e
3 ) rerank 模型也用本地的 bge rerank 模型
3.胶水准备用 N8N ,从 OUTLINE 把知识定期推送到 FASTGPT 。
4.最后是文档的问答模式准备用 NGINX 做拦截嵌入,在 OUTLINE 文档页面做个弹窗把上下文传到后端 FASTPGT

作者: milestance | 发布时间: 2025-12-31 07:35

27. 如何自己搭建远程开发机?体验怎么样?

如果搭建一台远程开发机,windows 或 linux 的,然后把机器放在家里,随时用 mac 或 window 笔记本远程访问并用来开发。

不知道有什么方案实现?体验怎么样?

想着高配台式机放家里,随时随地用便携式设备接入

作者: qviqvi | 发布时间: 2025-12-30 11:07

28. 才发现 RIME 可以在 MacOS 上安装,更换了开源输入法,太舒服了

https://rime.im/download/
感觉打字效率直线上升。也不用担心隐私泄露给大厂。

作者: MindMindMax | 发布时间: 2025-12-30 04:48

29. 求推荐 win11 上简单好用的免费个人防火墙软件,规则不可篡改,只可以手动允许

rt

最好有拦截日志可以查看

最好只有防火墙功能就 OK 了,其他乱七八糟的用不着

新程序首次联网时必须有弹窗,手动确认是否允许放行

目前试用了:

GlassWire 免费版基本不算有防火墙

ZoneAlarm 只提供一个下载器 没有安装包,感觉下了个操作系统 安装极其困难

TinyWall 算是很不错的防火墙,但新程序不弹框直接被拦了,没有选择余地,官网有写“The no-popup approach”原因,但就是难用

至于 Windows Defender ,不太会用 太难了,允许软件自己加规则 反人类,还得跑到 gpedit.msc 里面的防火墙去阻止😂 鬼知道这里面还会不会被什么地方篡改

作者: xiangyuecn | 发布时间: 2025-12-31 03:43

30. 赶着末班车, 还是定了谷歌 99 刀一年会员

虽然前阵子也搞了个学生白嫖

不过担心那天失效

还是上车了, 我需要得是一年稳定使用

600 多块钱肯定是值得

也不想 ide 啥的换来换去了

相信谷歌后面就算额度缩水点应该不至于太过分

作者: iorilu | 发布时间: 2025-12-31 07:29

31. vscode 的韭菜盒子插件有平替推荐吗

作者: Motter | 发布时间: 2025-12-31 01:10

32. 刚了解了个 ubuntu 轻量机虚拟机工具, multipass, 有人实战过吗

用来快速启动 ubuntu 虚拟机得

昨天无意中看到有人提

貌似也出来几年了, 好像没怎么看人说过

看介绍不错得

有没有人实战用过来管理开发环境工具, 服务器啥的

作者: iorilu | 发布时间: 2025-12-31 02:21

33. 求一个能获得 rss 全文的阅读软件

一直用 freshrss ,使用 css selector 获取全文,但现在发现发现知乎,微信和 cloudflare 代理的网站都不能获取了,大家有什么推荐

作者: standin000 | 发布时间: 2025-12-30 15:07

34. 国内 Linux 服务,安装各种软件有什么好的办法快速安装?

yum 、apt 等这些大部分官方源都失效了,即使换了阿里云源,清华源也是连不通,这样造成安装软件会很麻烦,最后效果也不好。
大神帮支个招

作者: v00O | 发布时间: 2025-12-30 11:40

35. 穿山甲广告总出现违规 无法屏蔽干净

app 接入了穿山甲广告,
自己添加了屏蔽,也多次找客服增加了屏蔽规则。
但总是会出现诱导广告,然后被市场巡查冻结下架。

已经多次出现这种情况了,每次去找客服屏蔽,
都说帮忙屏蔽了,然后过段时间又出现
大佬们这种问题怎么解决,就是这种的广告

作者: weYiZh11 | 发布时间: 2025-12-30 17:09

36. google 的这种验证码,怎么我每次都好好选的但是一次都没有验证通过过?

是我理解的不对?

作者: spike0100 | 发布时间: 2025-12-30 10:28

37. Google AI Studio 求助

最近在用 Google AI Studio 搞一个网页应用,用 Prisma + PostgreSQL 的方案,AI Studio 的 schema.prisma 文件始终报错 An internal error occurred.

还有这种前后端数据分离的场景在 Google AI Studio 该咋调试

求助~完全不懂代码

作者: freedom2030 | 发布时间: 2025-12-30 16:33

38. 把这些年零散做的小工具,整理成了一个统一的导航页

这几年陆陆续续写过一些小工具和服务,大多一开始都是自用需求。

时间久了之后,服务越来越多,但都散落在不同的子域名下面,用起来还得靠记。 最近索性给 gurl.eu.org 做了一个简单的主页,把这些还在维护的东西统一整理了一下。

目前导航页里已经包含的服务有:

IP 查询( IPv4 / IPv6 ): https://ip.gurl.eu.org/

图床: https://im.gurl.eu.org/

短链接服务(为防止滥用生成的链接 24 小时内有效): https://lnks.eu.org/

验证码 / 人机验证服务: https://captcha.gurl.eu.org/

浏览器主页 / 导航站: https://nav.gurl.eu.org/

导航页本身做得比较克制,主要就是一个长期维护的入口,方便自己,也顺手分享出来。 后面如果有新的工具,应该也会继续往里加。

统一入口: https://gurl.eu.org/

对了,这里面大部分服务都是开源的,如果有人感兴趣,也完全可以自己拉代码部署使用,不依赖我这边

纯个人项目,非商业用途。

作者: airka | 发布时间: 2025-12-30 15:40

39. 个人本地开发相关的软件你们都是装在哪里?

我现在是在自己电脑装了一个 VMware ,然后再 VMware 上装了 centos7 ,在 centos7 上装了一个 docker 。

docker 中装了 nacos 、kafka 、zookeeper 、MinIO 、php 、ngnix 、gitea

我电脑 32g 内存,装这一套倒还好,但每次开机都得手动把 vmware 打开。。。

你们都是什么方案呀

作者: itechnology | 发布时间: 2025-12-30 01:49

40. 刚买了个安卓机已 root,请问大佬们有什么常用和好玩的 LSP 模块推荐下啊

我不玩游戏,就日常使用,机型 oppo x8s ,坐等大佬们推荐。

作者: a394675143 | 发布时间: 2025-12-29 02:47