标题: 佬们，这是诈骗吗
作者: #nianzhibai
板块: #搞七捻三
编号: 1779093
帖子: https://linux.do/t/topic/1779093
时间: 2026-03-18 21:26:11
摘要:

刚收到的一个邮件，打开链接是
https://token-claw.xyz/?_r=39823050
xyz域名

标题: CVE-2025-55182深度解析，另一种可能性链子的追溯
作者: #YMsora
板块: #开发调优
编号: 1779095
帖子: https://linux.do/t/topic/1779095
时间: 2026-03-18 21:27:22
摘要:

跟完了React解析next-action头动作的全逻辑链，网上很少有全链的解析跟进
我算也是，浅浅涉足了一下React吧
1.React框架的next-action初步
业务逻辑的跟进
关于next-action这个头，是一种函数身份的定位，也就是一串hax值，react框架构建以来，每个函数会绑定一串hax，作为标识符.
当然我的审计是从next-action的识别及后续开始的，所以我暂时不会在初步构建以及hax加密这块去做工作。
另外，为了加强文档可读性，我会较多换行。那就 START
if (actionId) {
        const forwardedWorker = (0, _actionutils.selectWorkerForForwarding)(actionId, page, serverActionsManifest);
        // If forwardedWorker is truthy, it means there isn't a worker for the action
        // in the current handler, so we forward the request to a worker that has the action.
        if (forwardedWorker) {
            return {
                type: 'done',
                result: await createForwardedActionResponse(req, res, host, forwardedWorker, ctx.renderOpts.basePath)
            };
        }
    }

其中selectWorkerForForwarding这个函数，溯源之后是.d.ts的声明文档，在同目录下的js文件处找到了源function。
function selectWorkerForForwarding(actionId, pageName, serverActionsManifest) {
    var _serverActionsManifest__actionId;
    const workers = (_serverActionsManifest__actionId = serverActionsManifest[process.env.NEXT_RUNTIME === 'edge' ? 'edge' : 'node'][actionId]) == null ? void 0 : _serverActionsManifest__actionId.workers;
    const workerName = normalizeWorkerPageName(pageName);
    // no workers, nothing to forward to
    if (!workers) return;
    // if there is a worker for this page, no need to forward it.
    if (workers[workerName]) {
        return;
    }
    // otherwise, grab the first worker that has a handler for this action id
    return denormalizeWorkerPageName(Object.keys(workers)[0]);
}

这里的serverActionManifest参数类似一张actionid和worker进程的对应表单，下面就是return，其中denormalizeWorkerPagename是返回转发路径的。
也就是说，serverActionsManifest的action匹配的workers值被赋值给workers，然后denormalizeWorkerPageName将所有对应的workers的路径返回。
*/ function denormalizeWorkerPageName(bundlePath) {
    return (0, _apppaths.normalizeAppPath)((0, _removepathprefix.removePathPrefix)(bundlePath, 'app'));
}

接下来就是1返回的createForwardedActionResponse，简化的最终请求就是
const response = await fetch(fetchUrl, {
            method: 'POST',
            body,
            duplex: 'half',
            headers: forwardedHeaders,
            redirect: 'manual',
            next: {
                // @ts-ignore
                internal: 1
            }
        });

body经过strearm之后可以分块读取数据，body是我们的req，headers是扒res的cookie之类的字段送过去
const forwardedHeaders = getForwardedHeaders(req, res);

以上，next-action的前置分析完成，再者就到了action的server接收以及解析。
2.action转发处理
我会叙述multipart多块在进行worker转发之后的处理情况。
因为转发之后会带x-action-forwarded。那么就走的是handler-action的
isFetchAction分支，以下是如此分支的源码
因为分支有有效的有8段，以下会一一赘述
if (isFetchAction) {
                        // A fetch action with a multipart body.
                        boundActionArguments = await decodeReply(formData, serverModuleMap, {
                            temporaryReferences
                        });

依旧异步函数，等待decodeReply的return
if (isMultipartAction) {
                    if (isFetchAction) {
                        // A fetch action with a multipart body.
                        const busboy = require('next/dist/compiled/busboy')({
                            defParamCharset: 'utf8',
                            headers: req.headers,
                            limits: {
                                fieldSize: bodySizeLimitBytes
                            }
                        });

在这里走了多表单的分支，引入了busboy，这样可以以boundary分界之后进行解析。但是这里只是引入该行为，动作在后面。limit规定包大小范围
if (isFetchAction) {
                const actionResult = await generateFlight(req, ctx, requestStore, {
                    actionResult: Promise.resolve(returnVal),
                    // if the page was not revalidated, or if the action was forwarded from another worker, we can skip the rendering the flight tree
                    skipFlight: !workStore.pathWasRevalidated || actionWasForwarded,
                    temporaryReferences
                });

标题: 请问gemini 生图 这句话是什么意思？ “大香蕉生图后重新用Pro生成 2.0很难用”
作者: #老王
板块: #搞七捻三
编号: 1779100
帖子: https://linux.do/t/topic/1779100
时间: 2026-03-18 21:28:33
摘要:

我的gemini 生图现在只有“制作图像”这一个选项。
大香蕉 和pro 分别指的是？ （2.0 应该就是大香蕉吧？）

标题: ggboom,最快的一次
作者: #一个合格的复读机
板块: #搞七捻三
编号: 1779102
帖子: https://linux.do/t/topic/1779102
时间: 2026-03-18 21:29:01
摘要:

6.8秒

标题: 现在的骗局都这么抽象吗
作者: #Mojo
板块: #搞七捻三
编号: 1779109
帖子: https://linux.do/t/topic/1779109
时间: 2026-03-18 21:31:00
摘要:

晚上看了下github，看到有消息还以为关心的项目有进展了，没想到打开看到这么个抽象的内容，甚至仓库都是刚创建的，这么糊弄人的吗

标题: 考公网盘资源分享，目前市面最全
作者: #posstos
板块: #资源荟萃
编号: 1779113
帖子: https://linux.do/t/topic/1779113
时间: 2026-03-18 21:32:13
摘要:

（话题已被作者删除）

标题: 如果只能订阅一个ai会员选择哪个？
作者: #linlang8781
板块: #搞七捻三
编号: 1779117
帖子: https://linux.do/t/topic/1779117
时间: 2026-03-18 21:32:50
摘要:

只有20美金预算，只能开一个的话你们会选择哪个？
目前感觉还是chatgpt更全能一些
白嫖除外，假如都不能白嫖必须付费，你们会选择哪个

标题: 开源一个手搓的md转html/doc完美保留原格式的项目
作者: #hongyev
板块: #资源荟萃
编号: 1779118
帖子: https://linux.do/t/topic/1779118
时间: 2026-03-18 21:33:10
摘要:

经常vibe coding项目，给到的都是md格式的文档，每次都需要网站找转换的工具，虽说能进行转换但是里面包含Mermaid格式的就瞎眼了，非常不友好，自己花了10分钟手搓了一个。效果还是挺ok的。有需要的可以自己搭建下。功能比较单一，如果需要增加別的功能，可以留言。
xiaoaoke/md2html: md格式转html




功能
说明




 粘贴输入
直接粘贴 Markdown 文本到编辑区


 文件上传
拖拽 .md / .markdown / .txt 文件，支持全局拖拽


 一键转换
将 Markdown 渲染为带完整样式的 HTML 文档


 实时预览
iframe 内嵌预览转换结果，含 Mermaid 图表实时渲染


 源码查看
一键查看生成的 HTML 源码


 下载 HTML
导出自包含的 .html 文件（暗色主题）


 导出 Word
导出 .doc 文件，白色背景专业排版，Word/WPS 直接打开


 快捷键
Ctrl+Enter 转换 · Ctrl+S 下载 HTML · Ctrl+D 导出 Word


 统计信息
实时显示行数、字符数、标题数、Mermaid 图表数

标题: 【开源】微信排版/发布 Skills 开源（适配 cc、openclaw 等等）
作者: #青玉白露
板块: #开发调优
编号: 1779120
帖子: https://linux.do/t/topic/1779120
时间: 2026-03-18 21:33:19
摘要:

佬友们大家好啊～
前端时间搞了 XiaohongshuSkills，这段时间 不是小红书风控比较严（我现在是保存到草稿，手动发布），我就想试试其他平台。
搞了一个公众号排版 / 发布 Skill（保存到草稿，然后手动发布，怕被封）：
  

      github.com
  

  
    
  

  GitHub - white0dew/wechat-skill: 微信公众号发布 Skill

    微信公众号发布 Skill


  

  
    
    
  

  


核心原理还是通过 Chrome DevTools Protocol (CDP) 控制测试浏览器完成自动化。
目前已经支持：

排版（我配套了一个网站，你可以自定义可视化排版，很方便）
保存图片/草稿

后面会考虑支持图文笔记发布。
如果你有具体场景，欢迎留言，我按需求继续加功能～嘿嘿

标题: 考公资源全套分享，目前市面最全
作者: #posstos
板块: #资源荟萃
编号: 1779129
帖子: https://linux.do/t/topic/1779129
时间: 2026-03-18 21:37:06
摘要:

考公资源分享 (click for more details)

  
      

      pan.quark.cn
  

  
    

夸克网盘分享

  夸克网盘是夸克推出的一款云服务产品，功能包括云存储、高清看剧、文件在线解压、PDF一键转换等。通过夸克网盘可随时随地管理和使用照片、文档、手机资料，目前支持Android、iOS、PC、iPad。

标题: 目前codex cli 怎么使用chat/completions端口的api
作者: #chiyuki
板块: #开发调优
编号: 1779137
帖子: https://linux.do/t/topic/1779137
时间: 2026-03-18 21:40:03
摘要:

因为公益站都是用的这个端口，所以想问一下佬友们都是怎么配置的，因为我现在看codex默认用的wire_api = "responses"如果改成chat会报错不再支持，让改成responses

标题: 马上 22 点了，奥特曼上班了会不会直接拉闸
作者: #gordonhu
板块: #搞七捻三
编号: 1779144
帖子: https://linux.do/t/topic/1779144
时间: 2026-03-18 21:41:16
摘要:

普号 5.4 能活过今晚吗？奥特曼要上班了！

标题: 首次分享徽章
作者: #kukumi
板块: #资源荟萃
编号: 1779146
帖子: https://linux.do/t/topic/1779146
时间: 2026-03-18 21:41:50
摘要:

从一键部署 Qwen3.5-35B 无审查版 —— NexGPU 实战教程继续讨论：

标题: Hunter Alpha各位使用感受是什么
作者: #huy
板块: #前沿快讯
编号: 1779149
帖子: https://linux.do/t/topic/1779149
时间: 2026-03-18 21:42:16
摘要:

使用了两三天了用了几十M感觉挺适合OpenClaw的，而且现在还是免费的，我觉得做任务和仅仅略逊于GPT5.4，你怎么看呢

标题: 恶意诈骗邮件提醒：Open Claw GitHub Contributors Allocation: 5000.00 $CLAW Processed
作者: #Xm
板块: #前沿快讯
编号: 1779159
帖子: https://linux.do/t/topic/1779159
时间: 2026-03-18 21:44:11
摘要:

前几分钟收到了一封邮件，标题名为
Open Claw GitHub Contributors Allocation: 5000.00 $CLAW Processed
Appreciate for being active on GitHub. We considered profiles and shortlisted developers to get OpenClaw award.

Airdrop Details & Claim Process
Allocation: 5000.00 $CLAW
Status: Wallets are already verified
Action: Visit 某个诈骗链接, connect your wallet, and access your distribution.
Verified Contributors

**@了一堆用户**

Didn't qualify this iteration?
Keep working on GitHub — coming distributions are expected.

Thanks|🔷|🌊|⚡

The OpenClaw Community Team

看了下发邮件的账户，3.11才创建账号，并发布了一个乱码repo。今天创建了名为 OpenClawTokens-3284358的仓库，里面除了readme什么东西都没有，只创建了discussion，内容就是邮件内容。
包是诈骗的

标题: github copilot pro+没有羊毛薅了
作者: #igofreely
板块: #开发调优
编号: 1779164
帖子: https://linux.do/t/topic/1779164
时间: 2026-03-18 21:46:37
摘要:

淘宝卖家全部消失，闲鱼也变成直充了，据说官网改规则，vscode上pro不让用高级模型了，只有pro+可以。

标题: Oracle居然过了+1
作者: #kimchou
板块: #搞七捻三
编号: 1779165
帖子: https://linux.do/t/topic/1779165
时间: 2026-03-18 21:46:42
摘要:

看好多佬友说今天放开了，我也试了试，s第一次ABC，今天居然过了，招行万事达卡