[image] 
[image] 
大佬们，你们有遇到这情况么？明明验证码是对的，现在提示我不对，已经好几次这情况了

GO的双解析差异+二次递归鉴权长链和CTF的吐槽(RelayDesk)
吐槽在最底下 
提前大致说一下这个链子 
（profile sync → 第一次 ticket 种 awaiting_reply → 第二次 continuation card 挂接 → threaded_handoff 投 admin → renderer 隐藏 iframe + postMessage → /mail/open 签 wid/rv → 4-gram oracle），中间还塞了个自定义 URL 规范化（canonicalizeEdgeAuthority 那堆 %解码 + 全角点 + .[ 截断的怪逻辑）来制造解析差异。 
对于AI的全自动人工局部审计的结合，我认为仍然是一个可取的大方向， 
所以在AI审计中加入自己的元素，以及学习AI的协作，开发， 
我认为这是我现在学习的方向 
这里打一个golang...

如题，佬友们经常无私的提供了一些CC/Codex的api供使用 
面临的问题： 
环境：远程服务器端linux命令行界面，如ubuntu 20.04 
历史：之前都是手动改~/.claude和~/.codex下面的.json配置文件，非常的不方便 
历史2: 最近在使用zcf。但是感觉仍旧是不太方便 
求问大家推荐一下，有哪些比较方便的管理工具，最好能够有图形化界面（远程服务器端的端口转发到本地）方便的配置。

最近写毕设和论文，用的以前师兄的系统，感觉已经是屎山叠屎山了 
只能不停的Yes Claude :xhs_023: 
 [img_v3_02109_6f981245-ff09-4077-b000-3b4187758a6g]

[image] 
我nm 😅，昨天和今天差别也太大了。大家也是这种情况吗。 
现在用claude code 做plan写md就一直卡着不动，昨天入坑看着还挺不错的，还开了个max打算爽玩呢。 😭

我本身是坚定的唯物主义者、无神论者，也是社会主义者，并不信奉道教或任何宗教。但既然来到这座道观，我便明白一个道理：入乡随俗，到哪儿守哪儿的规矩。 
一来，我敬重这里的道长，因此愿意遵守道长定下的规矩； 
二来，我感激道观收留、包容我，因此愿意维护道观的秩序； 
三来，我认为应当尊重正常的宗教习俗与仪轨——就像我们不会在清真寺里执意吃猪肉，这不是信仰问题，而是最基本的尊重与人品。 
如果有人强迫我入教、强迫我跪拜神灵，我断然不会接受。但像晚课、诵经这类正常仪式，我觉得理应尊重、配合。 
所以今天我误了时辰，心中十分惶恐，主动向道长赔罪。道长为人豁达，并未怪罪，也始终尊重我无神论者的立场。正因如此，我更应当尊重道长、尊重道观。 
我也始终认为：到哪个地方，就守哪个地方的合理规矩，如同到哪个国家，就遵守哪个国家的法律。只要不是极端、恶劣的习俗，都不应去破坏，而应保持基本的尊重。 
宗教不能强...

工作主要涉及到Java后端，以及部分Python运维脚本，数据分析等，需要利用AI提效，前段时间付费了GLM Coding plan的Pro季付套餐，四月份到期。 
之前买的时候，是春节前，270首季，续订600，后面因为GLM5的问题，收到代金券100，看了下新的季付套餐下调了用量限制，不过我也是够用，同样的季付Pro只要400多了，但是只能过期后新买，现在还买不了同档位的，新买可能限购不知道新购买不买得到，买不到续费老套餐600感觉太亏了。 
想请问佬友们，你们会怎呢选呢，是等到期新买，还是续费老套餐，还是换别的如minimax或者kimi呢？PS：目前最主要考虑要稳定，我们需求没有复杂到国产模型无法胜任，codex和claude没找到稳定渠道，所以优先考虑国产模型。

奖品
一个月的GPT Plus直充 * 1 目前很稳定 
参与方式
评论回复任意内容 
截止时间
3/31号 下午6点 
帖子被删了抱歉 重新发一下

Cluade pro一个月14900奈拉，咸鱼礼品卡约86RMB，受限于五小时和周额度 
Copilot一个月7900奈拉，咸鱼礼品卡约50RMB，应该能用100次Opus

在做公益站的分舵，不知道怎么查询甲骨文上使用的出站流量情况，看看能不能够撑够一个月。

现在的计算机的软件已经构建了一个数字世界，这个数字世界借鉴现实世界，人类在现实世界中提问时：比如你去看看厨房水烧开没有，这个问题你不能要求一个具有博士智力水平的模型在不采取行动就回答你，除非你故意针对这个博士，在数字世界中也是一样，你不能要求一个模型在不执行sql语句就告诉你数据库里有啥东西。而模型拥有了行动的能力，就成为了Agent。

在佬友的提示下观察了一段时间发现： 同一对话同一账号就不会被秒 
 [image] 
[image] 
请求多了就会出现401：{ "error": { "message": "Your OpenAI account has been deactivated, please check your email for more information. If you feel this is an error, contact us through our help center at help.openai.com.", "type": "invalid_request_error", "code": "account_deactivated", "param": null }, "status": 401 } 
换个账号继续这个对话，基本上就是一个请求就被秒。

如题

各位佬晚上好，最近开了个阿里云的Coding Plan，结果没怎么用。。。 
有需要的佬自取哈！ 

sk-sp-2fb498aeac3d49e18a974a13df520b45 

套餐专属Base URL 
兼容 OpenAI 接口协议工具 
https://coding.dashscope.aliyuncs.com/v1 
兼容 Anthropic 接口协议工具 
https://coding.dashscope.aliyuncs.com/apps/anthropic 
 [image]

[image] 
佬友们有买过这个卡密吗？稳不稳啊

感觉是不是号的来源渠道比较单一，一旦openai的监管升级，原来遍地开花的公益站和中转站就突然间用不了了… 
不知道佬友们还有没有推荐的公益站或者中转站，有国内比较好用的coding plan也可以推荐一下 🤔

Pickle
pickle反序列化比java和php的危害要大不少 
因为利用起来比较容易，很轻松可以RCE 
实际应用场景中经常和其它基础漏洞配合起来使用 
例如ssrf写redis序列化数据后被反序列化出恶意对象等 
在很多比赛或漏挖中出现的llm应用也经常和pickle相关 
能够序列化的对象

None
bool
int,float,complex
元素全部为可打包对象的tuple、list、set 和 dict
函数

使用def定义的模块顶层的函数(lambda不行)
内置函数


类

使用class定义在模块顶层的


实例对象

__dict__属性和__getstate__()函数的返回值为可序列化对象



PS:对于不能序列化的数据会抛出PicklingError异常 
opcode和Bytecode
pickle的序列化数据是一段字节流 
字节流由一系列pickl...

[image] 
按照他们发布 Arena 测试的时候说的，3月19号开始两周左右能发布，不知道 Qwen 这次能不能按计划发布，Qwen3.5 Max 的能力会不会给大家一些意外之喜。

如题，刚注册账号导入grok2api后，一开始显示80，一次没用刷新了下额度全部变成8 
 [image]

临时接手了一个老项目，属于是开发的七七八八的。但是太临时了，什么交接文档都不存在。并且偏内部项目之前就是没有走过完整测试的，今天刚接手第一天就时不时一张截图甩过来这里不行那里不行，排查下来可能就改几行代码就行，但是架不住实在不熟悉只能说AI grep一下了解程度都比我高。 
所以想问问佬友们有没有生成比普通init生成更详细的那种文档类似于有文件树、前后端对应关系，配合skill之类的渐进式披露让ai配合我排查定位。虽然每次他直接查或许也行，但是这样的时间效率比较低，这个项目主打的就是发现问题立马改立马发 😭

献鱼开了个gemini3.1pro的皮鞋版本，然后试用了一下，低版本模型竟然说到2026年10月份还有一年半，这时候就感觉垃圾了，然后还对她抱有期待，毕竟是高端模型，后来切换到3.1版本拿了一篇10000字的文章让他缩减到6000字，竟然输出了不到2000字就完了，比豆包都不如，垃圾，真垃圾，如果是中转站我怀疑是掺水了，可是这是官网呀，真垃圾