惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

S
Security Affairs
S
Schneier on Security
T
Tenable Blog
G
GRAHAM CLULEY
Latest news
Latest news
D
Darknet – Hacking Tools, Hacker News & Cyber Security
A
Arctic Wolf
I
Intezer
Cyberwarzone
Cyberwarzone
T
The Exploit Database - CXSecurity.com
T
Tailwind CSS Blog
K
Kaspersky official blog
Blog — PlanetScale
Blog — PlanetScale
C
Cyber Attacks, Cyber Crime and Cyber Security
T
Threat Research - Cisco Blogs
爱范儿
爱范儿
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
博客园 - 叶小钗
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
Recent Commits to openclaw:main
Recent Commits to openclaw:main
P
Palo Alto Networks Blog
WordPress大学
WordPress大学
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
博客园 - 司徒正美
The Cloudflare Blog
Help Net Security
Help Net Security
罗磊的独立博客
博客园 - 聂微东
Jina AI
Jina AI
Project Zero
Project Zero
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
L
LINUX DO - 最新话题
V
V2EX
人人都是产品经理
人人都是产品经理
美团技术团队
博客园 - 【当耐特】
Spread Privacy
Spread Privacy
J
Java Code Geeks
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Security Latest
Security Latest
The Last Watchdog
The Last Watchdog
Stack Overflow Blog
Stack Overflow Blog
雷峰网
雷峰网
S
Securelist
Forbes - Security
Forbes - Security
博客园 - 三生石上(FineUI控件)
Microsoft Azure Blog
Microsoft Azure Blog
P
Privacy International News Feed
宝玉的分享
宝玉的分享
C
CERT Recently Published Vulnerability Notes

V2EX - 技术

Local-first 软件收录站 从 X 上搬运来的白嫖 GPT Plus 教程 阿里云百炼 Coding Plan Pro 套餐 新增当日 token 限制 大家的 Claude 弹了 kyc 嘛 现在 Google 的 Gemini 和 AI 模式降智的厉害啊 用的 TAG 家的 T, ip 跳变是否影响使用 claude 同一 apple 账户能给不同 claude 账号充值么 做了个 Go 的 MCP Server 框架,一行代码把 Gin API 接入 AI - V2EX 请教各位,想回归技术,如何系统学习 Agent? OpenAI GPT-IMAGE-2 提示词合集 你是说, claude opus4.6 写代码的能力不如 gpt5.4? 关于智谱 Max 套餐要不要升级续费呢? App → CLI → App ? Github 账号被 404 了,现在没法恢复,求各位大佬指点 cursor 的次数套餐以后应该都用不了新模型了 - V2EX openrouter 使用国外模型 买了咸鱼低价 Gemini pro,账号差点被盗。突然发现国内诈骗成本为零 - V2EX Gemini 手机版客户端登陆总是在此国家/地区无法使用 gemini 感觉 gpt 这些低价渠道要爆了 claude code 和 codex 在 vibe coding 还有质的区别吗? 阿里 Coding Plan 一天三变, Lite 版本到期不能续费了 RAG 难以让人满意啊 2026 年了,这个世界还存在互联网精神🥹 两个账号阵亡,尼区 Claude Pro 订阅 分享下最近低价 GPT Codex 的来源(源头) OpenAI 发布 Codex 重大更新:支持自动操作电脑与长期任务自动化 使用 claude 从 0 开始开发一个校友会系统可行吗 同一个 appleid 可以给不同 chatGPT 账号订阅 plus 吗? 自动驾驶项目开发建议 终于, 降智几天之后, opus4.7 出来了 自己开发了个 VSCODE 扩展,可以接入自定义的模型,并且可以导出 Copilot 的聊天列表到其它设备上导入 - V2EX Claude 这对吗 某鱼上 codex 的价格这么便宜是否有猫腻? 🎉 Claude Opus 4.7 来啦~ 大家体验下来如何? 让 ai 重写了整个 git 的历史,强迫症被拯救了 [分享创造] 写了个自托管的 Chrome 同步服务器,书签密码再也不经过 Google 快讯, Claude Opus 4.7 已经可以使用。 Opus4.7 来了,网页版先上,桌面版本客户端暂时未看到 各位想本地部署大模型的看过来, 有台电脑想转让, 具体请查看截图, 价格请自己开价 这样用 ClaudeCode 怎么样? 我用 AI 写代码,但终端管理反而成了累赘——于是我做了 codux - V2EX [调研] 各位在公司都用什么 ide 和 agent 写代码? 丹麦国别域名(.dk)政策变更 - V2EX 目前付费订阅 chatgpt Plus 的最佳方式是什么? 老运维 share 一个运维平台 新电脑 brew install node 之后,一个小设置可以提升对供应链投毒的防御 - V2EX 看到有公司考核 token 指标,很好奇大家上个月的 AI 账单是多少 GLM-Coding 调用持续报错: z.ai 的 Lite 套餐几乎无法使用,官方 Pro/Max 是否稳定? - V2EX 现在还有什么渠道可以稳定安全地使用 Claude 吗? Chatgpt Pro 用量用不完的可以开这些设置 字节为啥不出个国内版 Vercel? 我的硬盘 Memblaze Pblaze 5 Linux 下不识别,给 Linux 内核提交了补丁, AI 说有望被合并 - V2EX Claude Web 端貌似 claude-opus-4-7 偷偷上了? 现在 Apple 开发者帳號應該是用哪个地区会更好? - V2EX ChatGPT Pro 5x 套餐 量真的很足! chrome 最新的 147 版直接卡爆炸了 - V2EX 为什么厂家不在 skill/mcp 这类的工具中塞广告呢?这样不是可以大赚嘛? minimax 真是脸都不要了,工作日下午 14:00 定时开启 529,脸都不要了。训练模型居然占用用户使用时间 iTad 标签 扩展 加小动作 ? - V2EX 去年 H200 能买,不让买是代替快出来了? - V2EX AI 赛事通 - 2026 年 4 月中国区新增 AI 竞赛和黑客松汇总 - V2EX 现在安卓开发都在做啥 - V2EX 浏览器插件 沉浸式翻译 是不支持自定义模型了吗? - V2EX Codex 里的 GPT5.4 也能降智?上午让它改两个问题,改了一个小时了, plus 额度用了一半了还是没改好,和前几天用的体感完全不一样。要它改的问题也不复杂。服了。 目前有使用 claude code 的收到人脸认证的吗 - V2EX 分享一个自己做的 Nginx 管理工具,实时请求动态预览!(无奈市面上实在找不到好用的,自己撸了个) - V2EX claude code 崩了么? 今天在反重力上用 claude 一点都不丝滑,有同样的感受吗? opencode 消息周知插件 今天 claude opus 和前两天比,质的飞跃 - V2EX 999 包月价? - V2EX 一个版本, 50 项更新:我们几乎重做了整个播放页 本地大模型多大显存够用? GOGDNS 一款简易的私人 DNS 服务器 - V2EX API key (GLM) 怎么使用 claude code desktop ? Claude 这样订阅有问题吗 - V2EX 帮我爸找回了一篇赛博兰亭集序 求推荐稳定、高性价比使用 Claude Opus 4.6 的渠道/平台 搞个云端 claude code 防止 封号 - V2EX 用 Claude 要实名了,内地用户怎么办? OpenAI Plus 和 Team 都缩水了吗 海外 Android 手机有什么好用的国内第三方应用市场推荐吗 - V2EX 把电脑伪装成电视,用 DLNA 投屏拿到视频号直播流地址 - V2EX claude 认证莫慌 北京互联网法院有什么攻略么?起诉北京智谱华章科技股份有限公司退款可行么? - V2EX Claude 开始引入身份验证 求 vscode 做笔记软件的插件推荐 - V2EX 讯飞星辰的 Coding Plan 如何? Anthropic 宣布在 Claude 平台推行身份验证机制 科普一下低价 gpt 是怎么来的 有没有长期关注 Claude 的朋友,我建了一个 Channel 自动抓取 Claude Team 的推文 啃了那篇 54 页的 Agent Harness 综述, 给大伙讲个省流版 现在那家的 coding plan 还能买到 是不是最近会有什么更聪明的大模型要发布了呀? 用多了 AI 后,有没有觉得 AI 生成的文章有很强的既视感? 如何 实践 Harness 工程? 今日份 GPT 5.4 笑话 如何建一个自己的号池,让 cursor 真正实现 token 自由 写了三个月 Agent Harness,我终于敢让 Claude Code 全自动写代码了 感叹一下 GLM 5.1 真的强
claude Fable 用不了?把 Gpt 5.5pro 接到你的 claude code 里 - V2EX
t20000622yy · 2026-06-21 · via V2EX - 技术

仓库地址:https://github.com/tt-a1i/proxide

image.png

最近 Fable5 被 A%关停了,别急,Gpt 5.5pro 会出手🤣

虽然 5.5pro 只能在网页上使用,但是我们可以把网页的 gpt5.5pro 接给你本地跑的 agent 来使用。

你本地有一个项目,里面有代码、git diff 、README 、开发约定和一堆还没提交的改动。

你还想借网页端 GPT Pro 看一眼。不是问一个孤立问题,而是让它读这个项目,帮你 review ,写一个 edit plan ,甚至参与后面的 PR 流程。

麻烦从这里开始。

最粗暴的办法,是让本地 Agent 操作浏览器:复制上下文,粘到 ChatGPT ,等回答,再复制回来。这能跑,但边界很松。另一个方向是把本地项目做成一个 MCP server ,让网页端 GPT Pro 自己调用工具。这个更强,也更危险:一旦网页模型能调本地工具,它就不再只是“看一段文字”,而是在接触你的 workspace 。

Proxide 做的是中间那层窄门:让网页端 GPT Pro 可以通过受控入口读本地仓库,但不能一上来就拿到本地通行证。

它的第一次测试也很小:只让 GPT Pro 做两件事——先对上项目名(open_workspace),再念一遍入口处贴的说明(read README.md)。如果它连自己到了谁家门口都说不清,review 、edit plan 、PR handoff 都先别开。

open_workspace 成功以后,ChatGPT 的工具调用面板里只出现了几行很普通的记录:先列资源,再打开 workspace ,最后读 README.md。这几行记录没什么戏剧性。它背后的分工才有意思:本地 Agent 没有把浏览器当遥控器乱点,也没有把整个家目录交出去。它只是启动了一个本地 Rust MCP server ,把一个很窄的 /mcp 入口交给网页端 GPT Pro 。

很多人讨论 AI coding 的时候,喜欢问“哪个 Agent 更强”。问法没错,但只问了半个问题。强模型不一定在本地,强 Agent 也不一定会操作浏览器。

Codex 会跑在本地,Claude Code 会跑在终端,Cursor/Cline 自带一套工具,ChatGPT Pro 又在网页端。它们各自都能做一部分事。本地仓库、网页强模型、工具权限、审计记录——四样东西天然是散的。

MCP 要解决的就是这个:连接。但连上只是第一步。官方 MCP 规范把 server 提供的东西分成 resources 、prompts 、tools ; OpenAI 的 ChatGPT Developer mode 已经支持 MCP 工具调用,也明说了 read/write 工具很强也很危险。连上以后,谁能看什么、谁能改什么、谁能留下证据,才是真麻烦。

Proxide 的判断很窄:先把边界做对,再谈自动化。

image.png

强模型拿不到本地通行证

最顺手,也最危险。

如果 Agent 能操作浏览器,最简单的方案就是:打包上下文,打开 ChatGPT ,粘进去,等回答,复制回来。Proxide 叫这条路 Bridge Mode——自动把项目打成一个精简信息包(管它叫 context packet ),扫掉 secret 、token 、private key 、内部 URL ,再把 outbox/inbox 留在 .codex-web-bridge/。适合借网页模型做规划、解释、审查。

但是 Bridge Mode 有一个硬边界:网页模型不能直接调用本地工具。它得到的是一份上下文,不是一把钥匙。

MCP Connector Mode 是另一回事。这次 GPT Pro 不再只读一份别人打包好的材料——它自己上场,作为 host 主动问本地 Proxide 这个 server 要工具。两边通过 POST /mcp 走 JSON-RPC 通信;initialize 握手后,connector 发一个 Mcp-Session-Id,后面每次调用都带着它,像你去办公楼拿的访客牌。这个时候,网页模型已经越过“看一段粘贴材料”的阶段,可以请求 open_workspacereadsearchgit_diff 这些工具。

所以 Proxide 没把 MCP 做成一个“全能入口”。默认是 trust_level=readonly

{
  "allowed_roots": ["/Users/you/work/your-repo"],
  "skill_roots": ["/Users/you/work/codex-pro/skills"],
  "trust_level": "readonly",
  "tool_mode": "full",
  "write_mode": "workspace",
  "shell_mode": "full",
  "host": "127.0.0.1",
  "port": 8765,
  "public_base_url": "https://your-tunnel-host.example.com"
}

这段配置里最关键的是 allowed_rootstrust_level。前者把仓库范围钉死,后者把权限上限钉死。open_workspace 不回传本机绝对路径,只回 workspace 名、项目指令、嵌套 instruction 文件和显式授权的 skill entrypoint 。read 读 skill 资源时,还有一个小规矩:先读 SKILL.md,再读同目录下其它资源。

这听起来啰嗦。可 Agent 系统的很多事故,就是从“不啰嗦”开始的。

“任意 Agent”不是宣传词

做 Proxide 之前,最值得看的两个相邻项目是 DevSpace 和 codexpro 。

DevSpace 证明了 ChatGPT 连接本地 workspace 这件事有用。codexpro 把新手 setup 、doctor 、handoff 、fallback 文档做得更像一个能发布的产品。Proxide 借了这些方向,但没有把自己绑死在某一个 Agent 或某一种浏览器流里。

它的分流很直白,但每条路都有硬边界。

MCP-capable Agent 启动 Rust connector 。ChatGPT Pro 、Claude 或其它 MCP host 直接接 /mcp。它能走标准工具调用,但权限仍然受 trust_levelwrite_modeshell_mode 限制。

browser-capable Agent 走 Bridge Mode 。打包、scrub 、粘贴、抓回复。它能借网页模型思考,但网页模型不能越过 packet 直接读本地文件。

只会运行本地命令的 Agent 也能用。它启动本地 MCP server ,把 /mcp endpoint 交给网页端 GPT Pro ;人完成一次 ChatGPT connector 配置,后面 GPT Pro 自己调用工具。网页授权仍然要人做,Agent 不能替人跳过 owner approval 。

这才是“任意 Agent 可用”的实际含义。每个 Agent 不必获得同样的能力,只要能走到自己够得着的那条路径,并且在那条路径上被限制住。

这里要把 skill 和 MCP 分清。

skill 是操作规程。它告诉 Agent 怎么工作,先读什么文件,遇到什么任务该走什么步骤。MCP server 是工具边界。它决定外部模型到底能调用哪些工具,能不能写文件,能不能跑 shell 。把这两个混在一起,就会出现一种很危险的错觉:好像写了一份更长的 prompt ,就等于有了安全系统。

不是。

一个 skill 如果不能改变 Agent 下一步动作,它只是长 prompt 。一个 MCP server 如果不限制动作,它就是公网工具箱。

权限不是一个开关

Proxide 的权限设计分三层。

image.png readonly 只负责看:open_workspacereadlistsearchgit_statusgit_diffpreview_patchshow_session。第一次接入 ChatGPT Pro ,就应该停在这里。preview_patch 放在 readonly 里,是因为验证一个 patch 的形状,不应该等于应用它。

review 或 handoff 层只写 connector state ,不改源码。GPT Pro 可以创建 review note 、edit plan ,更新 plan 状态,或者渲染 render_reviewrender_edit_plans 这类 ChatGPT Apps card 。本地 Codex 、Claude Code 或其它 Agent 再接手执行。

execute 才能改 workspace:writeeditapply_patchmove_path、safe/full shell、managed worktree 、publish branch 、PR handoff 。即使到了 execute ,Proxide 还要再切一刀:

./bin/codex-connector init \
  --root /absolute/path/to/project \
  --trust-level execute \
  --tool-mode minimal \
  --write-mode handoff \
  --shell-mode off \
  --force

trust_level 是上限。tool_mode 控制它手上能有多少工具,write_mode 控制源码写入,shell_mode 控制 shell 开不开。第一次给 GPT Pro 或能力较弱的 Agent 用,minimal + handoff + off 比“全部打开再相信模型”更像工程。

shell_mode=safe 也有实际限制。它只允许常见 check/test/build 命令和只读 Git 命令;rmgit pushcurldockersudo 这种副作用大的命令不该出现在它能碰的工具里。

Agent 写代码最快的时候,是边界已经定好的时候。一旦它同时要猜 ownership 、协议形状、迁移顺序和执行权限,速度就会变成返工。

第一次接入要让人照着走

很多 MCP 项目会在这里突然跳到“启动服务,然后在 ChatGPT 里配置”。这对第一次使用的人不够。

首次接入拆成了 runbook 。Agent 做本地部分,人做网页授权,再用一个很小的 smoke test 验证链路。OpenAI 的 ChatGPT 连接文档要求 MCP server 通过 HTTPS endpoint 暴露给 ChatGPT ; Proxide 的 runbook 把 tunnel 、OAuth owner approval 、doctor 和 smoke test 放进同一条路径里。

image.png 本地命令不用花哨,关键是顺序不能乱:

./bin/codex-connector init \
  --root /absolute/path/to/the/project \
  --skill-root /absolute/path/to/codex-pro/skills \
  --public-base-url https://example.trycloudflare.com

./bin/codex-connector doctor
./bin/codex-connector serve

init 负责写配置和生成 owner approval password ;serve 负责启动本地 MCP server 。中间那一步 doctor 很容易被跳过,但它才是铰链。endpoint 、auth 、modes 、Git availability 、它能调的工具——任何一个不对,ChatGPT 侧配置成功也只是“连到了一个不该信的入口”。

ChatGPT 侧做另一半:开启 Developer mode ,创建 connector ,填 https://<tunnel-host>/mcp,走 OAuth owner approval 。Proxide 的文档里保留 no-auth smoke test ,但只作为短期 readonly 诊断,不建议长期挂公网。

golden prompt 很小:

Use only the Codex Pro Workspace connector. Do not use web browsing or memory.
First call open_workspace with path /absolute/path/to/the/project, then call
read for README.md. Reply with only the first heading line from README.md and
the names of the MCP tools you used.

它只验证两件事:ChatGPT 能调 open_workspace,也能 read README.md。这一步都不稳定,后面的 review 、edit plan 、PR handoff 都先别开。

很朴素。也正因为朴素,它比“让 GPT Pro 试着改个小 bug”更像工程测试。

审计里不该存正文

权限楼梯解决的是“能不能做”。审计解决的是另一件事:做过什么,能不能被人追回来。

state_dir 下面会有 workspace_state.jsonaudit.jsonlreview-notes.jsonlpr-bodies/。这些东西让 show_sessionsessions list/showshow_reviewshow_pull_requests 能恢复上下文,也让人知道 ChatGPT 调过什么工具。

但 audit/state 不保存文件正文、PR body 、shell 命令正文、patch 正文或 shell 输出。review note 正文单独进 review-notes.jsonl; PR body 单独放 pr-bodies/; Apps _meta 只放路径、计数、状态、字符数这类 compact metadata 。

这不是洁癖。外部模型一旦能调用本地工具,审计自己也会变成另一份数据——跟它该记录的东西同级。把所有正文都塞进 audit ,等于把“记录行为”变成“复制 workspace”。审计要能追责,但不能变成第二个仓库。

安全边界里还有几件小事也很要命:

  • 默认绑定 loopback ;
  • 非 loopback 的 public_base_url 必须是 HTTPS ;
  • Origin 校验防 DNS rebinding ;
  • Content-Type: application/json 防浏览器 simple request 伪造;
  • path 做 canonical containment ,拒绝绝对路径、.. 和 final symlink ;
  • OAuth scope 逐工具检查,文件/Git/worktree/PR 要 workspace:write,shell 要单独 shell scope 。

这些不适合做宣传标题,但它们决定一个 connector 是 demo 还是能长期放在机器上。工具数量只是外壳,拉开距离的是两件事:权限一层层放,审计不复制正文。

它不适合所有场景

Proxide 也不是万能胶。

如果你的目标只是让本地 Agent 问网页模型一个问题,Bridge Mode 或手动粘贴就够了。不要为了“上 MCP”而上 MCP 。

如果你准备把 execute connector 长期暴露在一个你不控制的公网入口上,也别用。这个用法从设计上就不该被鼓励。

如果一个团队还没有基本的 review 、test 、branch 、PR 纪律,Proxide 也不会凭空制造纪律。它只能把边界和证据面做出来,不能替团队决定什么代码应该 merge 。

更合适的场景是这样的:你已经在用 Codex 、Claude Code 、Cursor/Cline 或自写 Agent ,也想借网页端 GPT Pro 做更强的审查、解释、规划。

项目是 rust 写的,agent 友好

仓库地址:https://github.com/tt-a1i/proxide