惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Forbes - Security
Forbes - Security
L
Lohrmann on Cybersecurity
Simon Willison's Weblog
Simon Willison's Weblog
P
Proofpoint News Feed
P
Privacy International News Feed
The Hacker News
The Hacker News
AWS News Blog
AWS News Blog
S
Securelist
P
Proofpoint News Feed
Recent Announcements
Recent Announcements
GbyAI
GbyAI
B
Blog RSS Feed
A
About on SuperTechFans
C
CXSECURITY Database RSS Feed - CXSecurity.com
Y
Y Combinator Blog
Microsoft Azure Blog
Microsoft Azure Blog
H
Hackread – Cybersecurity News, Data Breaches, AI and More
Cyberwarzone
Cyberwarzone
I
Intezer
T
Tor Project blog
T
The Blog of Author Tim Ferriss
The GitHub Blog
The GitHub Blog
云风的 BLOG
云风的 BLOG
Recorded Future
Recorded Future
aimingoo的专栏
aimingoo的专栏
Cisco Talos Blog
Cisco Talos Blog
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
W
WeLiveSecurity
D
DataBreaches.Net
U
Unit 42
Project Zero
Project Zero
Martin Fowler
Martin Fowler
V
V2EX
The Last Watchdog
The Last Watchdog
Security Archives - TechRepublic
Security Archives - TechRepublic
C
Cisco Blogs
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
V2EX - 技术
V2EX - 技术
Hacker News - Newest:
Hacker News - Newest: "LLM"
T
Threat Research - Cisco Blogs
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
T
Tenable Blog
F
Full Disclosure
T
The Exploit Database - CXSecurity.com
H
Heimdal Security Blog
Latest news
Latest news
Webroot Blog
Webroot Blog

程序员

如果你看见我在工位玩手机,不是我再休息,是我在等待 token 刷新 V2EX 看到讨论"跨域"的帖子,那个她好像回来了 codex 今天真的是不稳定呀。 火山方舟 Coding Plan 慎买 刚问了大家 openclaw 和 hermes 在什么机器上面玩,求推荐一个机器 GPT-image-2 生成 AI 图片防伪有感 codex pro 5 小时限制已经严重缩水 逆天 Antigravity 动态 JSON 序列化对强类型语言很难吗? 自建了 GPT Coding Plan,遇到了定价问题,请教大家 大家都是在什么设备上玩 openclaw 以及 hermes 的呀? 软考还有一个月就考试了,你们学习了吗? 大伙用 AI 会考虑在 user scope 的 CLAUDE.md/AGENTS.md 里交代 AI 说中文吗 我发现程序员这个群体很大部分其实挺抠的 最近使用 cc 总会莫名其妙的返工, codex 不会 目前体验最好的远程 vibe 工具 想知道大佬们抓包遇到 ssl pinning 都是咋优雅的 解决的? - V2EX 工业软件的大佬们是怎么 vibe coding 的 - V2EX 最近 chrome 是不是有 bug 啊,一搜索就卡住 - V2EX 分布式异步系统在 vibe coding 下的困境 PHP Native AOT 编译器,支持将 PHP 代码编译为可执行文件,运算性能提高 150 倍 没想到 2026 年,还要浪费大量时间在跨域问题上 - V2EX DeepSeek V4 这周会出吗? 中转站正式试营 欢迎试用 不掺不假 小米 mimo 升级 v2.5,并且重置了额度 Jenkins, SCM 轮询完全不工作是啥问题啊 赛博斗蛐蛐, AI 模型的简单对比(白嫖版) 使用中转站要擦亮眼睛!不说别的,倍率计算 充值好乱。 买了火山的 Coding Plan 测试得出计费模式 给我的 AI 生成了简历和状态卡, 大家帮忙看下 Ta 能找到啥样的 腾讯云太不要脸了, token plan 上 glm5.1 和 minimax-m2.7,但是 coding plan 不上 - V2EX 目前自建梯子最强的 anytls 协议不是不不更新了? 刚发现 WSL2 可以通过 virtiofs 访问 NTFS 分区, IO 速度明显提升 v2board 还是其它面板更适合小团伙使用? 现在 AI 来了,如果有天不需要程序员? gpt-image-2 太顶了 你们 vibe 会让模型先输出方案来审核吗? GLM Coding Plan 调整老套餐并停止自动续订,受影响用户获赠 2 个月新套餐权益 为了浏览在线文档的时候能自定义高亮, Vibe 了一个网页高亮标记的工具 从 2 月开始用 Opus 4.6,到这几天切到 4.7,一些感悟和困惑 Github Copilot 停售之后还能买什么 收集了一下市面上常见的 Token Plan,可以给到大家一点参考 这个生图太牛了 中国的算力缺口这么大嘛?看到 2025 华为昇腾出货 81 万块,又看到各家 coding plan 不是停售就是限流 做 OPC 太难了,天天焦虑 阿里云 Coding Plan 增加动态限流,频繁暂停无法使用 马斯克 600 亿美元收购 Cursor codex 开始灰度 GPT 5.5 了 大家是如何使用 codex gpt-image-2 生图确实很顶啊,附带几张生成效果。 codex 的风评似乎在超过 Claude code? 智谱 GLM 宣布停止续订无周限额的老套餐 如何实现自我进化的 AI 的 Skills? 智谱(GLM)果然学习了阿里, 强制关闭了老用户套餐的自动续费 各位公司有除了智能客服外真正落地的 AI 应用吗? 热烈欢迎火山 Coding Plan 加入 GLM5.1 Kimi2.6 MiniMax2.7 阵容 请教大佬: claude API token 太烧钱了, minmax 还要兑换码,有没有合适的中转方案 开发一个面向普通用户(非程序员)的 Agent 软件,支持 skills、定时任务、对话功能,主要客户群体使用 Windows。感觉像是一个带前端的 Hermes,但是 Hermes 在 Windows 下运行不太友好,不适合非开发人员。 grok XAI 开始限制免费用户访问次数了吗? openspec 怎么配合 superpowers 使用? 阿里云的 coding plan 莫名奇妙被冻结了 程序员如何学习 ui 审美 Vibe Coding 时代,该如何快速搭建一个 CRUD 平台? 感觉大多数的 coding plan 都是被龙虾薅死的。 有没有一起拼中转站的呀,找到一个中转站用了段时间感觉比较靠谱 搭个 AI 中转玩玩 Zeabur + Neon 50 块以内跑通 Coinepay:一张不能用的卡,扣了我 5 个月月费 Gemini in Chrome 支持日本了,为什么我的不生效? 跳板机/内网穿透方案,如何降低远程访问校内服务器延时? 现在有没有什么好的 AI 图片生成 3D 模型的方案? 关于科研 ai 作图 为什么现在 AI SDK 默认不支持异步? 建议 V2EX 加入一个 Ai App 或者 Vibe Coding 模块,把一堆 Ai 生成的产品都丢进去。 如果没用 coding plan 套餐了,再继续自费上班是不是就太傻了 AI 太烧钱了,有什么好的大模型组合方案? 阿里云百炼这波开始割韭菜了,下架 coding plan,改头换面 token plan 最新,腾讯云和阿里云 coding plan 购买页面均已下架,换成了 token plan 阿里云 CodingPlan 彻底没了,新上了 TokenPlan 大家看到 antigravity 那个配额监视器的广告了没? 真心发问,想学后端需要学啥? AI-Powered Log Analysis Tool - Pangu RCA 想自己写一个 code agent 玩玩,有什么开源项目可以参考吗? 腾讯云 Coding Plan 下架了 现在还有哪一个国产 Coding Plan 能买到吗? 106 行业短信签名申请新规范出台, 5 月 1 日起生效 最近上线了一个开发了半年的 shopify SAAS AI 就像那渣男渣女,平时哄着你温柔小意,关键时刻就坑你一波大的 大家在开发智能体时,都是怎么写系统提示词的? 现在大模型国内外直连越来越难买或拼车了,想试试中转站,大家有没什么推荐呀 一个人写了大半年 Android App,聊聊过程中的一些取舍,第二篇 智谱 coding plan 的使用 token 限制是多少? cli-proxy-api + 中转站领的鸡蛋 = 大模型免费用是否可行? gpt coding plan 一天试用(GPT 5.3codex 和 gpt 5.4) 大家用 AI 是订阅制多还是 API 按量付费多? 我用 AI 写了一个游戏,我发现我不想看代码,也看不懂代码了 AI 代码后面怎么维护,心智负担太大了 中年人爱上 AI 编程,就像爱上钓鱼 每月 AI 支出都超过生活费了 1000 行 rust 实现一个类似于 pytorch 的轻量级自动微分库
开源了一个 AI Agent 认证工具 sig —— 让 AI Agent 安全访问外部系统
YuanJiwei · 2026-04-21 · via 程序员

做 AI Agent 的都知道一个痛点—— Agent 需要访问 Jira 、Slack 、Confluence 、内部 API ,但凭证怎么传?粘贴到 shell 历史里?写在 .env 里?直接丢给 Agent 的上下文窗口?每一种都是安全隐患。

所以做了 sig ,核心思路:在网络层解决认证问题,让凭证永远不暴露给 AI Agent 。

MITM 代理——最安全的方式

这是 sig 最核心的能力。一条命令启动本地 HTTPS 代理:

sig proxy start
# Proxy: running  pid=26676  port=60702
#   http_proxy=http://127.0.0.1:60702
#   https_proxy=http://127.0.0.1:60702

原理很直接:

  1. sig 在 127.0.0.1 启动一个 MITM 代理( ECDSA P-256 CA + 按域名动态签发叶证书)
  2. AI Agent 的 Agent Skill 只需设置 HTTP_PROXY / HTTPS_PROXY,正常发 HTTPS 请求(curl, wget, python scripts)
  3. MITM 代理拦截请求,根据目标域名匹配 provider ,自动注入 Cookie / Authorization / 自定义 Header
  4. AI Agent 从头到尾不知道凭证的存在——它发的是代理请求,凭证注入在网络层透明完成
  AI Agent                    sig proxy (127.0.0.1)              Target API
     │                              │                               │
     │  GET /api/myself             │                               │
     │  (no auth headers)      ──→  │  + Cookie: SESSION=xxx        │
     │                              │  + Authorization: Bearer yyy  │
     │                              │  ──────────────────────────→  │
     │                              │                               │
     │         ← 200 OK ────────────│  ← 200 OK ────────────────────│

MITM 代理模式下,凭证只存在于代理进程内存中,AI Agent 的进程空间里根本没有凭证。

适合场景:

  • 长期运行的 Agent 守护进程
  • 多个 Agent 共享同一份凭证(都指向同一个代理)
  • 极致安全要求——凭证不能出现在任何进程的环境变量或内存中

完整功能

npm install -g @sigcli/cli

sig init                              # 初始化配置
sig login https://jira.example.com    # 浏览器 SSO 登录一次

# 方式一:MITM 代理(推荐,最安全)
sig proxy start
sig proxy trust                       # 信任 CA 证书
export https_proxy=http://127.0.0.1:60702
curl https://jira.example.com/rest/api/2/myself   # 自动注入凭证

# 方式二:环境变量注入
sig run my-jira -- claude "把所有 P1 Bug 整理成摘要"

# 方式三:直接请求
sig request https://jira.example.com/rest/api/2/myself

其他能力:

  • 浏览器 SSO — 支持任何网站、任何登录流程,无头→可视自动切换
  • AES-256-GCM 加密存储 — 凭证不出现在代码仓库或 shell 历史中
  • 4 种策略 — cookie 、oauth2 、api-token 、basic
  • SSH 同步 — 笔记本登录,sig sync push 到远程机器
  • AI Agent Skills — 内置 Slack 、Outlook 、MS Teams 、V2EX 技能
  • TypeScript & Python SDK

安全模型

层级 机制 效果
加密存储 AES-256-GCM 凭证文件即使被读取也无法解密
进程隔离 sig run 环境变量注入 不出现在 shell 历史或 ps 输出
输出脱敏 stdout/stderr 自动替换 [REDACTED] AI 上下文窗口看不到真实令牌
零信任代理 MITM 代理在网络层注入 AI 进程内存中根本没有凭证

一起来做

项目刚起步,还有很多可以做的方向:更多浏览器适配器、更多 AI Agent Skills (欢迎给你常用的系统写一个)、OAuth2 PKCE 流程优化、Web UI 管理面板……

如果你对 AI Agent 基础设施这个方向感兴趣,欢迎来一起维护。一个人走得快,一群人走得远。

项目完全 MIT 开源,TypeScript 实现。

GitHub: https://github.com/sigcli/sigcli 网站: https://sigcli.ai

Issue 、PR 、讨论都欢迎: https://github.com/sigcli/sigcli

也可以微信交流: eXVhbnNkdQ==( base64 )或者 cHlsb25wZW5n( base64)

Star 一下也是支持 ⭐️ https://github.com/sigcli/sigcli

  • agent
  • 认证
  • 代理

    5 条回复    2026-04-22 01:07:31 +08:00

    YuanJiwei

    2

    YuanJiwei  

    OP

       12 小时 8 分钟前

    @crime1024 你需要 Goland 的 SDK 还是想要 Golang 版本 CLI 呀,因为这个工具是 CLI ,和编程语言无关的

    gbin

    3

    gbin      11 小时 30 分钟前 via iPhone

    @crime1024 感谢关注,这个主要是个人开发者使用,如果你需要 go sdk 可以提个 issue

    gbin

    4

    gbin      11 小时 22 分钟前 via iPhone

    感谢 jiwei ,作为这个作品的开发者之一,也谈谈我对 sigcli 的看法。

    过去,人使用浏览器登录系统然后操控系统,浏览器负责管理用户身份和提供用户操作接口。
    未来,所有系统提供 Agent 操作接口,Agent 接管身份管理和系统操控。
    在那个“未来”到来之前,sig 就是这个桥梁,帮 Agent 管理用户身份,打通 Agent 和系统的连接,让 AI 更懂你的系统。

    还是那句话:Sign in your way, AI works on your behalf

    beyondstars

    5

    beyondstars      9 小时 10 分钟前

    你相当于把 surge / charles proxy 的 mitm 功能单独拿出来给 ai agent 做了特化。