惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

T
Threatpost
IT之家
IT之家
Hugging Face - Blog
Hugging Face - Blog
Engineering at Meta
Engineering at Meta
爱范儿
爱范儿
博客园 - Franky
博客园 - 【当耐特】
MyScale Blog
MyScale Blog
雷峰网
雷峰网
月光博客
月光博客
云风的 BLOG
云风的 BLOG
博客园 - 司徒正美
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
P
Proofpoint News Feed
The GitHub Blog
The GitHub Blog
N
Netflix TechBlog - Medium
WordPress大学
WordPress大学
罗磊的独立博客
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
H
Hackread – Cybersecurity News, Data Breaches, AI and More
Y
Y Combinator Blog
Know Your Adversary
Know Your Adversary
宝玉的分享
宝玉的分享
L
Lohrmann on Cybersecurity
S
SegmentFault 最新的问题
L
LangChain Blog
K
Kaspersky official blog
P
Palo Alto Networks Blog
P
Privacy & Cybersecurity Law Blog
美团技术团队
Scott Helme
Scott Helme
B
Blog RSS Feed
T
Threat Research - Cisco Blogs
博客园_首页
L
LINUX DO - 热门话题
腾讯CDC
C
CERT Recently Published Vulnerability Notes
A
About on SuperTechFans
博客园 - 三生石上(FineUI控件)
J
Java Code Geeks
V
V2EX
Martin Fowler
Martin Fowler
T
The Exploit Database - CXSecurity.com
人人都是产品经理
人人都是产品经理
MongoDB | Blog
MongoDB | Blog
Latest news
Latest news
S
Schneier on Security
AWS News Blog
AWS News Blog

V2EX

我用 AI 写代码,但终端管理反而成了累赘——于是我做了 codux - V2EX [调研] 各位在公司都用什么 ide 和 agent 写代码? 老运维 share 一个运维平台 新电脑 brew install node 之后,一个小设置可以提升对供应链投毒的防御 - V2EX GLM-Coding 调用持续报错: z.ai 的 Lite 套餐几乎无法使用,官方 Pro/Max 是否稳定? - V2EX 上海漕河泾内推,本组有 2 个 hc,一个后端,一个前端,预算都是 20k 左右,不打卡,氛围好 如果 V2EX 上有一组不永久保存聊天记录(比如只保存 7 天或者 24 小时)的聊天室,那么会开启哪些有用或者有趣的可能? - V2EX gemini cli 貌似挂了,一直返回 403 - V2EX 第一次在自媒体上赚到钱 收集了最近在使用的低价 GPT, Gemini,邮箱等 AI 会员的小店合集 讨论个大实话:现在企业还在说 AI 编程提效 20%, 30%的,真的太落后,没用懂 AI。因为包括很多前沿公司,已经狂奔到提效 200%-500%的情况 [招聘][远程][币安] 前端/后端/QA/iOS/Android 至少 3 年以上经验 目前有大量 HC 欢迎投递 Chatgpt Pro 用量用不完的可以开这些设置 面试的时候好像遇到钓鱼了,给各位避个坑 cursor 年续费 22 号到期, 自动续费是否还是老的计次套餐呢 - V2EX 被两件破事毁掉的一下午,琐碎的内耗消磨人的精力 使用 Planet 存储 Codex 的会话或者重要信息 - V2EX 如果业务部门领导不要你开发功能,而是要求你教会它用 claude code 开发功能,你会怎么做? 分享一个 MacOS 接绿联 CM818 USB 转 DP 转接器使用感受 - V2EX 我的 HR 朋友 10 年老 Java ,非全大专,大家帮忙看看简历 开源了一个 AI 口语练习工具,音素级发音评分,完全免费可自部署 V2EX 上有哪些你觉得很有趣、印象深刻的妹纸? 字节为啥不出个国内版 Vercel? 有在大马的朋友吗? 问个运营商问题 你们在有领导的公司大群发过的最大胆的消息是什么 公司裁员,目前没有工作。想试试摆摊,做一个移动鲜啤打酒车 我的硬盘 Memblaze Pblaze 5 Linux 下不识别,给 Linux 内核提交了补丁, AI 说有望被合并 - V2EX 只有我一个人觉得 codex 不好用? 做了个 AI + 真人专家监督的广告投放平台 Auxora, 7 个品牌跑出 6x ROAS 如何走出至亲的离世 Claude Web 端貌似 claude-opus-4-7 偷偷上了? 现在 Apple 开发者帳號應該是用哪个地区会更好? - V2EX 用回测筛选因子的一点经验分享 给女儿 vibe 了一个故事类的 app,做完发现,这类应用似乎上线难度极大? - V2EX 手机格式化 bitget 钱包没了,里面开通的银行卡还有机会拿到吗 - V2EX [送码] TransVoice - 我的第一款 App 上架啦!实时转写+翻译+字幕,会议听课好助手! PictureHub 高清摄影作品的画廊 Planet 的第一个使用 macOS 26 SDK 构建的 Insider 版本 20260416-1 - V2EX 成都二手房是不是在涨价,有点坐不住了 - V2EX claude 生态(skill mcp plugin)等 Studio Display XDR VESA 适配器脱落 有在用印度区 applestore 的大哥嘛,请教一下礼品卡去哪里买呢 - V2EX 我好像知道京东家政爆火的原因了 - V2EX 薅了公司的 a 家 api key,用机场 ip 做代理容易被封吗 如何在初期就识别 HR 在刷 KPI,没打算招你? [分享]精心打造一个 AI 编程知识库(算法/设计模式/提示词/Skills),助力程序员转型 港版 iPhone 在国内支持联通 5GA 吗?在广东用 想办港卡 AI 对 it 行业影响太大了 我做了个把照片变成 iOS 小组件贴纸的 App ChatGPT Pro 5x 套餐 量真的很足! I have found a method to directly generate advertising video materials using scripts 在小城市开个店,给人写软件,有前途吗 chrome 最新的 147 版直接卡爆炸了 - V2EX 为什么厂家不在 skill/mcp 这类的工具中塞广告呢?这样不是可以大赚嘛? minimax 真是脸都不要了,工作日下午 14:00 定时开启 529,脸都不要了。训练模型居然占用用户使用时间 外资非核心部门 vs 另一家外资的核心部门,该跳吗? iTad 标签 扩展 加小动作 ? - V2EX 去年 H200 能买,不让买是代替快出来了? - V2EX AI 赛事通 - 2026 年 4 月中国区新增 AI 竞赛和黑客松汇总 - V2EX V2EX › 登录 现在安卓开发都在做啥 - V2EX 浏览器插件 沉浸式翻译 是不支持自定义模型了吗? - V2EX Codex 里的 GPT5.4 也能降智?上午让它改两个问题,改了一个小时了, plus 额度用了一半了还是没改好,和前几天用的体感完全不一样。要它改的问题也不复杂。服了。 目前有使用 claude code 的收到人脸认证的吗 - V2EX 分享一个自己做的 Nginx 管理工具,实时请求动态预览!(无奈市面上实在找不到好用的,自己撸了个) - V2EX claude code 崩了么? 今天在反重力上用 claude 一点都不丝滑,有同样的感受吗? opencode 消息周知插件 今天 claude opus 和前两天比,质的飞跃 - V2EX 999 包月价? - V2EX 一个版本, 50 项更新:我们几乎重做了整个播放页 本地大模型多大显存够用? GOGDNS 一款简易的私人 DNS 服务器 - V2EX API key (GLM) 怎么使用 claude code desktop ? Claude 这样订阅有问题吗 - V2EX 帮我爸找回了一篇赛博兰亭集序 求推荐稳定、高性价比使用 Claude Opus 4.6 的渠道/平台 搞个云端 claude code 防止 封号 - V2EX 用 Claude 要实名了,内地用户怎么办? OpenAI Plus 和 Team 都缩水了吗 海外 Android 手机有什么好用的国内第三方应用市场推荐吗 - V2EX 把电脑伪装成电视,用 DLNA 投屏拿到视频号直播流地址 - V2EX claude 认证莫慌 北京互联网法院有什么攻略么?起诉北京智谱华章科技股份有限公司退款可行么? - V2EX Claude 开始引入身份验证 求 vscode 做笔记软件的插件推荐 - V2EX 讯飞星辰的 Coding Plan 如何? Anthropic 宣布在 Claude 平台推行身份验证机制 科普一下低价 gpt 是怎么来的 有没有长期关注 Claude 的朋友,我建了一个 Channel 自动抓取 Claude Team 的推文 啃了那篇 54 页的 Agent Harness 综述, 给大伙讲个省流版 现在那家的 coding plan 还能买到 是不是最近会有什么更聪明的大模型要发布了呀? 用多了 AI 后,有没有觉得 AI 生成的文章有很强的既视感? 如何 实践 Harness 工程? 今日份 GPT 5.4 笑话 如何建一个自己的号池,让 cursor 真正实现 token 自由 写了三个月 Agent Harness,我终于敢让 Claude Code 全自动写代码了
claude Fable 用不了?把 Gpt 5.5pro 接到你的 claude code 里 - V2EX
t20000622yy · 2026-06-21 · via V2EX

仓库地址:https://github.com/tt-a1i/proxide

image.png

最近 Fable5 被 A%关停了,别急,Gpt 5.5pro 会出手🤣

虽然 5.5pro 只能在网页上使用,但是我们可以把网页的 gpt5.5pro 接给你本地跑的 agent 来使用。

你本地有一个项目,里面有代码、git diff 、README 、开发约定和一堆还没提交的改动。

你还想借网页端 GPT Pro 看一眼。不是问一个孤立问题,而是让它读这个项目,帮你 review ,写一个 edit plan ,甚至参与后面的 PR 流程。

麻烦从这里开始。

最粗暴的办法,是让本地 Agent 操作浏览器:复制上下文,粘到 ChatGPT ,等回答,再复制回来。这能跑,但边界很松。另一个方向是把本地项目做成一个 MCP server ,让网页端 GPT Pro 自己调用工具。这个更强,也更危险:一旦网页模型能调本地工具,它就不再只是“看一段文字”,而是在接触你的 workspace 。

Proxide 做的是中间那层窄门:让网页端 GPT Pro 可以通过受控入口读本地仓库,但不能一上来就拿到本地通行证。

它的第一次测试也很小:只让 GPT Pro 做两件事——先对上项目名(open_workspace),再念一遍入口处贴的说明(read README.md)。如果它连自己到了谁家门口都说不清,review 、edit plan 、PR handoff 都先别开。

open_workspace 成功以后,ChatGPT 的工具调用面板里只出现了几行很普通的记录:先列资源,再打开 workspace ,最后读 README.md。这几行记录没什么戏剧性。它背后的分工才有意思:本地 Agent 没有把浏览器当遥控器乱点,也没有把整个家目录交出去。它只是启动了一个本地 Rust MCP server ,把一个很窄的 /mcp 入口交给网页端 GPT Pro 。

很多人讨论 AI coding 的时候,喜欢问“哪个 Agent 更强”。问法没错,但只问了半个问题。强模型不一定在本地,强 Agent 也不一定会操作浏览器。

Codex 会跑在本地,Claude Code 会跑在终端,Cursor/Cline 自带一套工具,ChatGPT Pro 又在网页端。它们各自都能做一部分事。本地仓库、网页强模型、工具权限、审计记录——四样东西天然是散的。

MCP 要解决的就是这个:连接。但连上只是第一步。官方 MCP 规范把 server 提供的东西分成 resources 、prompts 、tools ; OpenAI 的 ChatGPT Developer mode 已经支持 MCP 工具调用,也明说了 read/write 工具很强也很危险。连上以后,谁能看什么、谁能改什么、谁能留下证据,才是真麻烦。

Proxide 的判断很窄:先把边界做对,再谈自动化。

image.png

强模型拿不到本地通行证

最顺手,也最危险。

如果 Agent 能操作浏览器,最简单的方案就是:打包上下文,打开 ChatGPT ,粘进去,等回答,复制回来。Proxide 叫这条路 Bridge Mode——自动把项目打成一个精简信息包(管它叫 context packet ),扫掉 secret 、token 、private key 、内部 URL ,再把 outbox/inbox 留在 .codex-web-bridge/。适合借网页模型做规划、解释、审查。

但是 Bridge Mode 有一个硬边界:网页模型不能直接调用本地工具。它得到的是一份上下文,不是一把钥匙。

MCP Connector Mode 是另一回事。这次 GPT Pro 不再只读一份别人打包好的材料——它自己上场,作为 host 主动问本地 Proxide 这个 server 要工具。两边通过 POST /mcp 走 JSON-RPC 通信;initialize 握手后,connector 发一个 Mcp-Session-Id,后面每次调用都带着它,像你去办公楼拿的访客牌。这个时候,网页模型已经越过“看一段粘贴材料”的阶段,可以请求 open_workspacereadsearchgit_diff 这些工具。

所以 Proxide 没把 MCP 做成一个“全能入口”。默认是 trust_level=readonly

{
  "allowed_roots": ["/Users/you/work/your-repo"],
  "skill_roots": ["/Users/you/work/codex-pro/skills"],
  "trust_level": "readonly",
  "tool_mode": "full",
  "write_mode": "workspace",
  "shell_mode": "full",
  "host": "127.0.0.1",
  "port": 8765,
  "public_base_url": "https://your-tunnel-host.example.com"
}

这段配置里最关键的是 allowed_rootstrust_level。前者把仓库范围钉死,后者把权限上限钉死。open_workspace 不回传本机绝对路径,只回 workspace 名、项目指令、嵌套 instruction 文件和显式授权的 skill entrypoint 。read 读 skill 资源时,还有一个小规矩:先读 SKILL.md,再读同目录下其它资源。

这听起来啰嗦。可 Agent 系统的很多事故,就是从“不啰嗦”开始的。

“任意 Agent”不是宣传词

做 Proxide 之前,最值得看的两个相邻项目是 DevSpace 和 codexpro 。

DevSpace 证明了 ChatGPT 连接本地 workspace 这件事有用。codexpro 把新手 setup 、doctor 、handoff 、fallback 文档做得更像一个能发布的产品。Proxide 借了这些方向,但没有把自己绑死在某一个 Agent 或某一种浏览器流里。

它的分流很直白,但每条路都有硬边界。

MCP-capable Agent 启动 Rust connector 。ChatGPT Pro 、Claude 或其它 MCP host 直接接 /mcp。它能走标准工具调用,但权限仍然受 trust_levelwrite_modeshell_mode 限制。

browser-capable Agent 走 Bridge Mode 。打包、scrub 、粘贴、抓回复。它能借网页模型思考,但网页模型不能越过 packet 直接读本地文件。

只会运行本地命令的 Agent 也能用。它启动本地 MCP server ,把 /mcp endpoint 交给网页端 GPT Pro ;人完成一次 ChatGPT connector 配置,后面 GPT Pro 自己调用工具。网页授权仍然要人做,Agent 不能替人跳过 owner approval 。

这才是“任意 Agent 可用”的实际含义。每个 Agent 不必获得同样的能力,只要能走到自己够得着的那条路径,并且在那条路径上被限制住。

这里要把 skill 和 MCP 分清。

skill 是操作规程。它告诉 Agent 怎么工作,先读什么文件,遇到什么任务该走什么步骤。MCP server 是工具边界。它决定外部模型到底能调用哪些工具,能不能写文件,能不能跑 shell 。把这两个混在一起,就会出现一种很危险的错觉:好像写了一份更长的 prompt ,就等于有了安全系统。

不是。

一个 skill 如果不能改变 Agent 下一步动作,它只是长 prompt 。一个 MCP server 如果不限制动作,它就是公网工具箱。

权限不是一个开关

Proxide 的权限设计分三层。

image.png readonly 只负责看:open_workspacereadlistsearchgit_statusgit_diffpreview_patchshow_session。第一次接入 ChatGPT Pro ,就应该停在这里。preview_patch 放在 readonly 里,是因为验证一个 patch 的形状,不应该等于应用它。

review 或 handoff 层只写 connector state ,不改源码。GPT Pro 可以创建 review note 、edit plan ,更新 plan 状态,或者渲染 render_reviewrender_edit_plans 这类 ChatGPT Apps card 。本地 Codex 、Claude Code 或其它 Agent 再接手执行。

execute 才能改 workspace:writeeditapply_patchmove_path、safe/full shell、managed worktree 、publish branch 、PR handoff 。即使到了 execute ,Proxide 还要再切一刀:

./bin/codex-connector init \
  --root /absolute/path/to/project \
  --trust-level execute \
  --tool-mode minimal \
  --write-mode handoff \
  --shell-mode off \
  --force

trust_level 是上限。tool_mode 控制它手上能有多少工具,write_mode 控制源码写入,shell_mode 控制 shell 开不开。第一次给 GPT Pro 或能力较弱的 Agent 用,minimal + handoff + off 比“全部打开再相信模型”更像工程。

shell_mode=safe 也有实际限制。它只允许常见 check/test/build 命令和只读 Git 命令;rmgit pushcurldockersudo 这种副作用大的命令不该出现在它能碰的工具里。

Agent 写代码最快的时候,是边界已经定好的时候。一旦它同时要猜 ownership 、协议形状、迁移顺序和执行权限,速度就会变成返工。

第一次接入要让人照着走

很多 MCP 项目会在这里突然跳到“启动服务,然后在 ChatGPT 里配置”。这对第一次使用的人不够。

首次接入拆成了 runbook 。Agent 做本地部分,人做网页授权,再用一个很小的 smoke test 验证链路。OpenAI 的 ChatGPT 连接文档要求 MCP server 通过 HTTPS endpoint 暴露给 ChatGPT ; Proxide 的 runbook 把 tunnel 、OAuth owner approval 、doctor 和 smoke test 放进同一条路径里。

image.png 本地命令不用花哨,关键是顺序不能乱:

./bin/codex-connector init \
  --root /absolute/path/to/the/project \
  --skill-root /absolute/path/to/codex-pro/skills \
  --public-base-url https://example.trycloudflare.com

./bin/codex-connector doctor
./bin/codex-connector serve

init 负责写配置和生成 owner approval password ;serve 负责启动本地 MCP server 。中间那一步 doctor 很容易被跳过,但它才是铰链。endpoint 、auth 、modes 、Git availability 、它能调的工具——任何一个不对,ChatGPT 侧配置成功也只是“连到了一个不该信的入口”。

ChatGPT 侧做另一半:开启 Developer mode ,创建 connector ,填 https://<tunnel-host>/mcp,走 OAuth owner approval 。Proxide 的文档里保留 no-auth smoke test ,但只作为短期 readonly 诊断,不建议长期挂公网。

golden prompt 很小:

Use only the Codex Pro Workspace connector. Do not use web browsing or memory.
First call open_workspace with path /absolute/path/to/the/project, then call
read for README.md. Reply with only the first heading line from README.md and
the names of the MCP tools you used.

它只验证两件事:ChatGPT 能调 open_workspace,也能 read README.md。这一步都不稳定,后面的 review 、edit plan 、PR handoff 都先别开。

很朴素。也正因为朴素,它比“让 GPT Pro 试着改个小 bug”更像工程测试。

审计里不该存正文

权限楼梯解决的是“能不能做”。审计解决的是另一件事:做过什么,能不能被人追回来。

state_dir 下面会有 workspace_state.jsonaudit.jsonlreview-notes.jsonlpr-bodies/。这些东西让 show_sessionsessions list/showshow_reviewshow_pull_requests 能恢复上下文,也让人知道 ChatGPT 调过什么工具。

但 audit/state 不保存文件正文、PR body 、shell 命令正文、patch 正文或 shell 输出。review note 正文单独进 review-notes.jsonl; PR body 单独放 pr-bodies/; Apps _meta 只放路径、计数、状态、字符数这类 compact metadata 。

这不是洁癖。外部模型一旦能调用本地工具,审计自己也会变成另一份数据——跟它该记录的东西同级。把所有正文都塞进 audit ,等于把“记录行为”变成“复制 workspace”。审计要能追责,但不能变成第二个仓库。

安全边界里还有几件小事也很要命:

  • 默认绑定 loopback ;
  • 非 loopback 的 public_base_url 必须是 HTTPS ;
  • Origin 校验防 DNS rebinding ;
  • Content-Type: application/json 防浏览器 simple request 伪造;
  • path 做 canonical containment ,拒绝绝对路径、.. 和 final symlink ;
  • OAuth scope 逐工具检查,文件/Git/worktree/PR 要 workspace:write,shell 要单独 shell scope 。

这些不适合做宣传标题,但它们决定一个 connector 是 demo 还是能长期放在机器上。工具数量只是外壳,拉开距离的是两件事:权限一层层放,审计不复制正文。

它不适合所有场景

Proxide 也不是万能胶。

如果你的目标只是让本地 Agent 问网页模型一个问题,Bridge Mode 或手动粘贴就够了。不要为了“上 MCP”而上 MCP 。

如果你准备把 execute connector 长期暴露在一个你不控制的公网入口上,也别用。这个用法从设计上就不该被鼓励。

如果一个团队还没有基本的 review 、test 、branch 、PR 纪律,Proxide 也不会凭空制造纪律。它只能把边界和证据面做出来,不能替团队决定什么代码应该 merge 。

更合适的场景是这样的:你已经在用 Codex 、Claude Code 、Cursor/Cline 或自写 Agent ,也想借网页端 GPT Pro 做更强的审查、解释、规划。

项目是 rust 写的,agent 友好

仓库地址:https://github.com/tt-a1i/proxide