Marico's space

跑 AI Agent 钱包的容器不用 root 身份运行，这不只是一个安全建议——而是防止权限提升攻击的关键手段，一旦被突破，你整个宿主机都得完蛋。尤其是你的交易机器人或者 DeFi Agent 在处理真实资金的时候，遵循最小权限原则已经成了基础设施的基本卫生要求。 容器安全漏洞是云基础设施里增长最快的攻击向量之一。一个被攻破的 root 容器可以直接逃逸到宿主机，访问其他容器，不光能掏空你 A

test

如何使用 GITHUB ACTIONS 自动部署 LARAVEL 应用到 DIGITALOCEAN 手动部署 Laravel 应用这事儿，一旦项目频繁更新，就会变成纯粹的体力活。每次都要 SSH 连上服务器跑一堆命令，久了真的烦。最近折腾了一下 GitHub Actions 的 CI/CD（持续集成/持续部署），把整个流程自动化了，这篇把踩过的坑和具体做法说清楚。 本文要实现的目标很简单：当你

前阵子接手了一个项目，上线后发现接口响应时间动不动就超过 500ms，用户反馈卡顿严重。排查了一圈代码，发现问题很简单——之前写 API 的时候压根没按规范来，该用的注解没用，该做的异常处理没做。 踩了这个坑之后，花时间系统梳理了一下 Spring Boot REST API 的最佳实践，写出来分享给各位。下面的内容全部是实战经验，不整虚的。 * REST API 设计原则 * HTTP

最近折腾了一套 Django 项目的 CI/CD（持续集成/持续部署）流水线，用的是 Jenkins + Docker，部署在阿里云 ECS（类似 AWS EC2）上。这玩意儿折腾了我好几天，踩了几个坑，今天把核心架构和关键点捋清楚。 技术架构 整体架构分两层：基础设施层和集成安全层。 基础设施层： * 阿里云 ECS t2.medium 实例（Jenkins 控制器 + 应用宿主机）

最近在搞一个 Gmail 邮件分析 Actor，第一个真正需要做的决策不是报告格式，而是授权模型。在多租户场景下，OAuth 不再只是一个安全问题，它直接决定了产品的使用门槛。 最终我选了纯 refresh-token（刷新令牌）模式，而不是每次调用都跑完整的 3-legged flow（三-legged OAuth 授权码模式）。这里面的 reasoning（考量）挺实际，没什么花哨的。

最近折腾了一个 Gmail 收件箱分析工具，踩了几个坑，这篇把设计思路说清楚。开源地址：apify-gmail-inbox-intel。需要强调的是，这不是爬虫，也不是批量发送工具，只是一个基于 gmail.readonly 权限范围的收件箱数据分析工具。本文不是教程，更像是设计复盘。 遇到过"哪个客户的邮件我忘了回复"或者"平均回复周期是多久"这类问题吗？这个工具就是来解决这类需求的。 为

我是如何将 Node.js 应用部署到生产环境的（2026） 我把自己从代码到生产环境的完整部署流程整理了一下，几分钟就能搞定。 我使用的技术栈 应用层: Node.js + Express 数据库: SQLite（小型项目）或 PostgreSQL（大型项目） 进程管理: systemd 反向代理: Nginx SSL证书: Let's Encrypt（免费、自动续期） 服务器: 5-1

最近折腾了好几个基于 Azure 的微服务项目，踩了不少坑，这篇把生产环境中真正管用的东西和容易翻车的地方都说清楚。 架构图看起来永远很美好，在真实流量冲击之前。 Azure 上的微服务架构承诺独立部署、团队自治、精细化伸缩、故障隔离。这些好处是真实的——但代价也是实实在在的，教程里很少有人会坦白告诉你：如果不谨慎对待，运维复杂度增长的速度会远超团队增长速度。 这不是一篇微服务入门教程。是我

花了两周排查只有生产环境才会暴露的问题——一个是 sitemap 的 _redirects 规则误把 sitemap-index.xml 给重定向走了，另一个是 Bluesky 图片上传跟 Cloudflare Pages 部署延迟的竞态条件——之后，我在工作流里加了三道部署后检查。它们很快，专门针对我实际踩过的坑，不是那种大而全的端到端测试套件。 三个站（aiappdex.com、findin