Marico's space

最近折腾 AI agent 开发，发现一个问题——npm 包有 npm audit，Python 有 pip-audit，但我给 agent 装了一堆插件技能后，却没有任何工具能检查这些插件的安全性。 如果你说"确实没有"，你不是一个人，这就是我做了 tessl-audit 的原因！可以在 GitHub 和 npm 上找到它。 这个问题比你想象的严重 Agent 插件本质上是加载到 AI

最近帮几个朋友公司梳理自动化流程，发现一个挺有意思的现象：大家一聊自动化就想着上AI、搭复杂的工作流，结果折腾半天要么用不起来，要么一堆bug没人管。 其实多数中小企业需要的自动化没那么多花头。减少点复制粘贴的操作，少漏几封跟进邮件，发票别老压在某人邮箱里没人处理——这才是真正有用的自动化起点。 真正有效的自动化往往挺无聊的。它不是那种"机器人替代整个部门"的科幻场景，而是：表单填完数据自动进

好了，休假回来继续肝技术文 😄 大家都知道，我时不时会写一些类似Stop Installing Libraries: 10 Browser APIs That Already Solve Your Problems这种风格的帖子——说实话我挺喜欢写这种的，读者反馈也不错 🙂 今天我想换个角度来聊这个话题。给大家看几个有意思的东西，它们可能在悄悄让你的应用变慢很多，但乍一看完全人畜无害。更爽的

相信很多人都有过这种体验——心跳加速、手心冒汗、思绪开始打转。不管是老板发来的刁难邮件、突然要交的方案，还是一场棘手的对话，压力似乎已经成了现代生活的标配。但你有没有想过，其实可以在压力荷尔蒙进入身体之前就把它们拦截掉？ 今天要聊的是 Lila Veronica，她原本在俄亥俄州立大学教环境政策，后来转型成了高性能教练，专门研究正念和身体感知。Lila 把科学研究和实战经验结合起来，给压力预防提

跑 AI Agent 钱包的容器不用 root 身份运行，这不只是一个安全建议——而是防止权限提升攻击的关键手段，一旦被突破，你整个宿主机都得完蛋。尤其是你的交易机器人或者 DeFi Agent 在处理真实资金的时候，遵循最小权限原则已经成了基础设施的基本卫生要求。 容器安全漏洞是云基础设施里增长最快的攻击向量之一。一个被攻破的 root 容器可以直接逃逸到宿主机，访问其他容器，不光能掏空你 A

最近折腾 API 认证，前两篇分别聊了 Basic Auth 和 API Key，这篇把 JWT（JSON Web Token）说清楚。和前面两位前辈相比，JWT 解决的问题更尖锐，也更有意思。 为什么 API KEY 不够用 第二篇里说过，API Key 本质上就是一个长字符串，你的软件每次请求时把它亮给服务器看。能用，但有个隐藏代价：每次 Key 被使用，服务器都必须去数据库里查一下——

如何使用 GITHUB ACTIONS 自动部署 LARAVEL 应用到 DIGITALOCEAN 手动部署 Laravel 应用这事儿，一旦项目频繁更新，就会变成纯粹的体力活。每次都要 SSH 连上服务器跑一堆命令，久了真的烦。最近折腾了一下 GitHub Actions 的 CI/CD（持续集成/持续部署），把整个流程自动化了，这篇把踩过的坑和具体做法说清楚。 本文要实现的目标很简单：当你

前阵子接手了一个项目，上线后发现接口响应时间动不动就超过 500ms，用户反馈卡顿严重。排查了一圈代码，发现问题很简单——之前写 API 的时候压根没按规范来，该用的注解没用，该做的异常处理没做。 踩了这个坑之后，花时间系统梳理了一下 Spring Boot REST API 的最佳实践，写出来分享给各位。下面的内容全部是实战经验，不整虚的。 * REST API 设计原则 * HTTP

最近折腾了一套 Django 项目的 CI/CD（持续集成/持续部署）流水线，用的是 Jenkins + Docker，部署在阿里云 ECS（类似 AWS EC2）上。这玩意儿折腾了我好几天，踩了几个坑，今天把核心架构和关键点捋清楚。 技术架构 整体架构分两层：基础设施层和集成安全层。 基础设施层： * 阿里云 ECS t2.medium 实例（Jenkins 控制器 + 应用宿主机）

最近在搞一个 Gmail 邮件分析 Actor，第一个真正需要做的决策不是报告格式，而是授权模型。在多租户场景下，OAuth 不再只是一个安全问题，它直接决定了产品的使用门槛。 最终我选了纯 refresh-token（刷新令牌）模式，而不是每次调用都跑完整的 3-legged flow（三-legged OAuth 授权码模式）。这里面的 reasoning（考量）挺实际，没什么花哨的。