标签: AI Agent

  • Strix:让 AI 当黑客,自动找出并修复你应用的真实漏洞(40.8K Stars)

    Strix:让 AI 当黑客,自动找出并修复你应用的真实漏洞(40.8K Stars)

    Strix 封面

    一句话先说清楚:Strix 是一个开源的自主 AI 渗透测试智能体(Autonomous AI Pentesting Agents)。它不像传统扫描器那样丢给你一堆“可能存在风险”的噪音告警,而是真的会动态跑起你的代码、模拟攻击者思维去打、再用可验证的 PoC 证明漏洞确实存在——最后还顺手把补丁和报告给你写了。

    项目简介

    usestrix/strix,Apache-2.0 协议,纯 Python 写就,目前在 GitHub 上已经 4 万+ Stars,连续多周霸榜 Trending。它的定位很直白:把“请安全公司做一次渗透测试”这件事,从“几万块、等几周”,变成“一条命令、几分钟”。它支持本地代码库、GitHub 仓库、线上应用三种目标模式,也能多目标并行扫描。

    安装要求和过程

    Strix 的依赖极其克制,你只需要两样东西:

    • 一个正在运行的 Docker(首次运行自动拉取沙箱镜像,把攻击行为关在隔离环境里);
    • 一个任意主流 LLM 的 API Key(OpenAI / Anthropic / Google 都行,底层走 LiteLLM)。

    安装就一行:

    curl -sSL https://strix.ai/install | bash

    配置好供应商和目标,开跑:

    export STRIX_LLM="openai/gpt-5.4"
    export LLM_API_KEY="your-api-key"
    strix --target ./app-directory

    首次运行会自动拉取沙箱 Docker 镜像,结果全部落进 strix_runs/<run-name>。如果你是 Windows,注意它本质是个 Python 包 + Docker,建议走 WSL2,别在原生 CMD 里硬刚。

    核心功能

    1. 真实漏洞验证,拒绝误报——这是它和传统扫描器最大的区别。Strix 会实际构造攻击载荷、命中、再生成可复现的 PoC 代码,只报“已被验证”的漏洞。传统工具 60-80% 的误报率,在这里被砍掉了。

    2. 多智能体协同的“红队”——侦察 Agent 画攻击面地图,注入测试 Agent 专攻 SQL/命令注入,权限提升 Agent 测越权与认证绕过,前端 Agent 查 XSS/CSRF。它们并行工作、互相共享线索,像一支真实的安全团队。

    3. 覆盖 OWASP Top 10 全栈——越权、注入、服务端/客户端攻击、业务逻辑缺陷、认证与会话、基础设施/云、API 安全,一锅端。

    4. 自动修复 + 合规报告——不光告诉你哪儿漏了,还生成补丁和合规报告。开发者优先的 CLI,每条发现都带修复指导。

    5. 代理式工具箱——内置 HTTP 拦截代理(Caido)、浏览器利用、Shell 执行、自定义利用运行时、侦察/OSINT、静态/动态分析、漏洞知识库。

    典型使用场景

    场景一:开发流程里的“安全卡点”
    把 Strix 接进 CI/CD。每次 PR 合并前跑一遍 strix -n --target ./ --scan-mode quick,上线前自动兜底。这是它最实用的姿势——让安全从“上线后救火”变成“开发时拦截”,修复成本直接降一个数量级。

    Strix 演示截图

    场景二:Bug Bounty 自动化
    独立安全研究员用它批量扫目标、自动出 PoC。配合 --target-list ./targets.txt 多目标并行,把重复劳动交给 AI,自己专注高价值的逻辑漏洞挖掘。

    场景三:黑盒 Web 应用快速体检
    strix --target https://your-app.com,通过 --instruction 给自然语言指令(比如“用 user:pass 做认证测试”),AI 会像红队一样从外往里打,几分钟出一份带证据的安全评估。

    推荐理由

    我挺吃 Strix 这套“用 AI 模拟真实黑客”的思路。过去做安全,要么花钱请人、要么自己扛一堆误报告警大海捞针。Strix 把“验证”这件事做在了前面——它不拿签名库糊弄你,而是真跑、真打、真证明。多智能体架构也比单 Agent 更像人,侦察-利用-后利用的链条能自动衔接。

    当然,也得泼盆冷水:它目前还很“Alpha”,社区里有资深安全研究员指出它的提示模板还偏基础,跟顶级商业工具比仍有差距;AI 的扫描结果必须人工复核,且绝对不能拿去打未授权目标。但作为开发自测、CI 卡点和学习红队思维的开源玩具,它已经足够香,而且免费、可商用(Apache-2.0)。

    ⚠️ 安全声明:Strix 仅可用于你拥有授权的目标。运行前务必隔离环境,防止模型抽风导致密钥或数据泄露。

    下载地址

  • OpenClaw 终于上手机了:开源 AI 智能体装进你的口袋

    开源 AI 智能体 OpenClaw 登陆手机概念图
    OpenClaw 推出官方手机 App,把开源 AI 智能体带进了口袋

    今年年初,一个叫 OpenClaw 的开源 AI 智能体在网上火得一塌糊涂。它能帮你写代码、订外卖、整理日程,甚至有人拿它搞出了个号称”全是 Agent”的社交网站。6 月 30 日,它的开发者在 X 上宣布:OpenClaw 现在有了 iOS 和安卓的官方 App。那只在网上横着走的”龙虾”,爬进你的手机了。

    手机不是又一个聊天框

    市面上绝大多数 AI 手机应用,逻辑都差不多:你说话,它回答,手机就是个听筒。OpenClaw 走的是另一条路。它的核心是一套跑在你自己机器上的 Gateway(网关),负责把你的请求路由给各种 Agent,以及这些 Agent 要调用的工具和技能。手机端不是一个新界面,而是一个”伴生节点”——你把它和 Gateway 配对,就能在口袋里直接指挥自己的 Agent 干活。

    “如果设置得当,它们或许能帮你相当高效地完成各种任务。”TechCrunch 在报道里这么写。从写代码到规划三餐,用户已经把 OpenClaw 用在了各种地方。

    从病毒式爆红到正经产品

    OpenClaw 的走红带着点戏剧性。年初它靠 MoltBook 这个”全是 Agent 的社交网站”出圈,后来研究者发现,那场热闹有一部分是真人假扮 Agent 演出来的——一场营销,效果拉满,可信度打了折扣。但闹剧指向的方向是真的:Agent 正在渗进日常。2 月,OpenClaw 的创造者 Peter Steinberger 宣布加入 OpenAI,给这个故事又添了一层微妙。

    不是每个人都能顺手

    别把它想得太神。Agent 能不能帮上忙,很大程度上取决于你有没有把它”调教”好。有人用得风生水起,也有人反馈结果远不及预期。手机端的好处是,你随时能远程批准 Agent 的操作——它要做点什么,你在手机上点一下同意就行,不用守在电脑前。


    智能体正在填满你的屏幕

    OpenClaw 上手机不是孤例。就在同一天,TechCrunch 还报道了一款叫 Acti 的工具,把 AI Agent 直接塞进了手机输入法键盘;微软的 Scout、Google 的 Gemini Spark 也都在往”常驻助手”的方向靠。Agent 从聊天框里走出来,变成能替你跑腿、等你点头的角色,这条路已经越走越宽。

    • 平台:iOS 与安卓官方 App 同步上线
    • 架构:手机配对自托管 Gateway,作为伴生节点运行 Agent
    • 交互:支持远程批准 Agent 的操作,不必守在电脑前
    • 现实:效果取决于配置,有人惊艳也有人觉得鸡肋
  • OpenMontage:把 AI 编程助手变成「全自动视频制片厂」的开源智能体系统(37.4K★)

    OpenMontage:把 AI 编程助手变成「全自动视频制片厂」的开源智能体系统(37.4K★)

    OpenMontage 是全球首个开源的「智能体驱动(agentic)视频生产系统」,用 12 条生产流水线、52 个工具和 500+ 智能体技能,把 Claude Code / Cursor / Copilot 等 AI 编程助手直接变成一间完整的视频制片厂。

    项目简介

    一句话:把你的 AI 编程助手变成一间全自动视频制片厂。你只需用自然语言描述想法,OpenMontage 的流水线就会自动完成联网调研、脚本撰写、素材检索/生成、剪辑合成与质量自检,端到端产出成片。零付费 API Key 也能跑通完整链路。

    安装要求和过程

    环境要求

    • Python 3.10+(python.org 下载)
    • Node.js 18+(nodejs.org 下载)
    • 系统安装 FFmpeg(brew install ffmpeg / sudo apt install ffmpeg)
    • 一个能读取文件并运行代码的 AI 编程助手:Claude Code、Cursor、Copilot、Windsurf 或 Codex 任一即可
    • 可选 GPU:用于本地免费视频生成(make install-gpu,支持 wan2.1-1.3b 等模型)
    • API Key 全部可选:不付费也能出片,付费图像/视频商仅用于更高画质

    快速安装

    标准流程(需 make):

    git clone https://github.com/calesthio/OpenMontage.git
    cd OpenMontage
    make setup

    随后在 AI 编程助手中打开项目,输入需求即可,例如:

    "Make a 60-second animated explainer about how neural networks learn"

    无 make 环境可手动建虚拟环境(README 提供 macOS/Linux 与 Windows PowerShell 两套命令):

    python3 -m venv .venv
    source .venv/bin/activate
    pip install -r requirements.txt
    cd remotion-composer && npm install && cd ..
    pip install piper-tts
    cp .env.example .env

    make setup 后已自带 Piper 本地 TTS、Archive.org / NASA / Wikimedia 开放素材、Pexels / Unsplash / Pixabay、Remotion、HyperFrames、FFmpeg 与内置字幕。

    核心功能

    1. 端到端生产流水线:12 条预置流水线(科普解说、口播、纪录片混剪等),统一走 research → proposal → script → scene_plan → assets → edit → compose 七个阶段。
    2. 真实素材纪录片制作:无需付费视频模型,从 Archive.org / NASA / Wikimedia 等开放素材库语义检索并剪辑成片,而非仅仅把静态图做成动画。
    3. 参考驱动创作:贴一个你喜欢的视频,智能体会分析其节奏与钩子,生成差异化的制作方案(保留手法、替换主题)。
    4. 内置实时联网调研:写脚本前自动跑 15–25+ 次跨 YouTube / Reddit / 新闻 / 学术源的搜索,用真实数据支撑内容。
    5. 生产级质量门禁与预算治理:人工审批门、预合成验证、渲染后自检(ffprobe 抽帧 + 音频分析)、7 维打分选商、成本预估与上限(默认总预算 $10)。

    Backlot 制作工作台

    OpenMontage 内置 Backlot 可视化工作台,覆盖实时看板、故事板与素材库,让自然语言需求落到可逐帧审阅的制作流程:

    Backlot 实时制作看板(board-live)
    Backlot 实时制作看板(board-live)
    Backlot 故事板(storyboard)
    Backlot 故事板(storyboard)
    Backlot 素材库(library)
    Backlot 素材库(library)

    典型使用场景

    • 零 Key 科普 / 教学短片:一句 "Make a 45-second animated explainer about why the sky is blue" 即可生成带解说与字幕的动画片。
    • 免费真实素材纪录片:如 "Make a 90-second documentary montage about what a city feels like at 4am. Use real footage only",直接调用开放素材库剪辑,零成本成片。
    • 商业预告片(配置图像/视频商后约 $1–$3):科幻概念预告片、产品发布 Teaser 等;已展示案例成本最低 $0.02、最高数美元(如 Kling v3 成片 $1.33)。

    推荐理由

    OpenMontage 最打动我的是它把「做视频」从专业软件的高门槛,解放成一句自然语言需求。三点尤其值得一试:

    • 零 Key 也能跑通全链路:本地 Piper TTS + 开放素材 + Remotion 合成,对想低成本试水 AI 视频的人极友好。
    • 架构清爽、可扩展tools/ + pipeline_defs/ + skills/ 三层知识架构,可以自己加技能 / 工具;AGPL-3.0 开源、可自托管。
    • 内容有真实出处:「参考驱动 + 联网调研」让脚本不像纯生成那样空洞,预算门禁也让人敢放心把任务交给智能体跑。

    个人体会:第一次用 "Make a 60-second animated explainer about how neural networks learn" 跑通时,最惊艳的是它真的会先去查资料再写脚本——出来的东西有依据、有节奏,而不是随机拼接的炫技片段。

    下载地址

  • AI Job Search:跑在你机器上的 AI 求职申请框架,让 Claude 帮你写简历、求职信、备战面试(21.2K⭐)

    AI Job Search:跑在你机器上的 AI 求职申请框架,让 Claude 帮你写简历、求职信、备战面试(21.2K⭐)

    AI Job Search

    AI Job Search 是一个完全跑在你自己机器上的 AI 求职申请框架,基于 Claude Code 构建。Fork 仓库、填好个人资料,Claude 就能帮你评估职位匹配度、定制简历、撰写求职信、准备面试——把最耗时的求职苦差事彻底工程化。

    📌 项目简介

    「The job search that runs on your machine.」作者 Mads Lorentzen 把 Claude Code 变成了一位全栈求职助理:核心工作流(自我画像 → 适配度评估 → 起草-评审申请管道)与语言、国家无关;内置的招聘门户搜索技能默认面向丹麦市场(Jobindex / Jobnet / Akademikernes Jobbank 等),但模式可被替换成你本地的招聘网站。项目没有任何加密货币、代币或付费赞助,仅通过 Ko-fi 捐赠支持,隐私与安全取向明确。

    💻 安装要求与过程

    环境要求

    • Claude Code CLI(需订阅 Anthropic)
    • Python 3.10+(薪资基准等脚本)
    • Bun(用于职位搜索 CLI 工具,bun.sh
    • LaTeX 发行版,需含 lualatexxelatex:TeX Live / MacTeX / TinyTeX / MiKTeX(简历用 lualatex 编译,求职信用 xelatex 编译)
    • 可选:pdftotext(来自 poppler)——用于 /apply 的 ATS 文本层校验;缺失时自动降级为视觉检查

    快速安装

    ① Fork 并克隆

    gh repo fork MadsLorentzen/ai-job-search --clone
    cd ai-job-search

    ② 安装职位搜索 CLI 工具(Bash / zsh / Git Bash)

    for tool in jobbank-search jobdanmark-search jobindex-search jobnet-search linkedin-search freehire-search; do
      cd .agents/skills/$tool/cli && bun install && cd ../../../..
    done

    ③ 进入 Claude Code 填写个人资料

    claude
    # 在 Claude Code 内执行:
    /setup

    ④ 搜索职位

    /scrape

    ⑤ 申请职位

    /apply https://jobindex.dk/job/1234567
    # 或粘贴完整 JD:
    /apply <粘贴完整职位描述>

    ⚡ 核心功能

    • 本地运行、可分叉自有:框架在你的机器上跑,Fork 后填入资料即可,无外部服务绑定,求职数据完全私有。
    • Drafter-Reviewer 双代理申请流:起草者用 LaTeX 写草稿,再由一个带全新上下文的独立 reviewer 代理调研公司、批判草稿,最后修订——避免单遍生成留下的套话与遗漏。
    • PDF 编译与视觉校验循环:自动把简历编译成精确的 2 页、求职信 1 页,并读取渲染页迭代修复版式错误(孤行标题、字体回退、溢页等),每次申请自动执行。
    • ATS 文本层校验:用 pdftotext 抽取简历文本层,按 ATS 解析器视角验证联系方式、阅读顺序与关键词覆盖;诚实规则——简历不支持的关键词绝不硬塞。
    • 相关性加权裁切 + 丰富命令生态:超页时按「与目标职位的相关度 / 文档内独特性 / 求职信依赖度」打分裁线,而非机械删旧;提供 /setup /scrape /apply /rank /interview /outcome /expand /upskill /add-template /add-portal /reset 等 10+ 命令。

    🎯 典型使用场景

    • 主动靶向申请/scrape 抓取丹麦/跨国职位板 → /rank 批量打分排序 → 选定目标 /apply <url> 一键产出定制简历与求职信。
    • 面试准备:某个申请进入面试后,对其归档记录跑 /interview,基于「面试官实际读到的简历/求职信 + 往轮反馈」生成阶段化准备包与模拟面试。
    • 职业差距规划:两次投递之间用 /upskill <URL>/upskill 分析个人画像与职位的差距,输出优先学习热图与带时间估计的学习计划。

    💡 推荐理由(个人心得)

    市面上「AI 帮你写简历」的工具不少,但大多只做一次性文本生成,排版一塌糊涂。AI Job Search 最打动我的是它把求职这件事当成一个严肃的软件工程问题:双代理互相挑刺、强制 PDF 编译校验、ATS 文本层检查,几乎杜绝了「.tex 看起来没问题、渲染出来全崩」的经典翻车。而且它真正跑在本地、Fork 即拥有,可深度定制(自定义 LaTeX 模板、自定义招聘门户 /add-portal),隐私与可控性拉满。

    当然也有门槛:依赖 LaTeX 环境 + Claude Code 订阅,初次搭建略繁琐;默认招聘门户偏丹麦市场(但 linkedin-search / freehire-search 是跨国、零依赖的,开箱即用)。如果你正在换工作、且本就有 Claude Code,这个项目能实打实省下大量写简历、改求职信的周日。

    📥 下载地址

    标签:AI · 开源 · AI Agent · Claude Code · 求职助手 · 简历优化 · 职业规划|许可证:MIT|语言:TypeScript / Python / LaTeX

  • Page Agent:阿里巴巴开源的“住在网页里的”GUI 智能体,一行脚本让网页自己动起来

    Page Agent:阿里巴巴开源的“住在网页里的”GUI 智能体,一行脚本让网页自己动起来

    Page Agent 项目横幅

    项目简介

    Page Agent 是阿里巴巴开源的一个运行在网页内部的 JavaScript GUI 智能体。只需一行脚本,就能让任意网页拥有自己的 AI 代理,用自然语言直接控制 Web 界面——点击按钮、填写表单、跳转页面,全部交给 AI 完成。项目当前已收获约 2.6 万 Star,采用 MIT 协议,主要使用 TypeScript 编写,运行时以纯前端 JavaScript 注入。

    “The GUI Agent Living in Your Webpage. One script gives any web page its own AI agent.”

    安装要求和过程

    环境要求

    • 任意支持 <script> 标签或 npm 的网页环境即可;
    • 无需浏览器扩展、Python 或无头浏览器,纯前端运行;
    • 如需自托管大模型,需一个可访问的模型 API(如通义千问 Qwen、本地模型等);
    • 使用 npm 安装 / 二次构建时需要 Node.js 环境。

    快速安装(三种方式)

    方式一:CDN 一行接入

    <script
        src="https://cdn.jsdelivr.net/npm/page-agent@1.12.1/dist/iife/page-agent.demo.js"
        crossorigin="anonymous"
    ></script>

    国内镜像:https://registry.npmmirror.com/page-agent/1.12.1/files/dist/iife/page-agent.demo.js

    方式二:NPM 安装

    npm install page-agent
    import { PageAgent } from 'page-agent'
    
    const agent = new PageAgent({
        model: 'qwen3.5-plus',
        baseURL: 'https://dashscope.aliyuncs.com/compatible-mode/v1',
        apiKey: 'YOUR_API_KEY',
        language: 'en-US',
    })
    
    await agent.execute('Click the login button')

    方式三:Chrome 扩展 —— 从 Chrome 网上应用店安装 Page Agent 扩展,用于跨多标签页的多页面任务。

    核心功能

    • 🎯 极简集成:纯页面内 JavaScript,不需要浏览器扩展、Python 或无头浏览器,几行代码即可嵌入。
    • 📖 基于文本的 DOM 操作:无需截图、不依赖多模态大模型或特殊权限,通过结构化 DOM 文本理解页面并执行操作。
    • 🧠 自带 LLM(BYO):支持绝大多数主流模型(含本地部署),模型选择完全自由。
    • 🐙 可选 Chrome 扩展:支持跨标签页的多页面任务编排。
    • 🔌 MCP Server(Beta):允许外部 Agent 客户端(如 Claude Code / Cursor)从外部控制你的浏览器。

    典型使用场景

    • SaaS AI Copilot:几行代码为自家产品嵌入 AI 助手,无需重写后端,立刻获得“对话式操作界面”能力。
    • 智能表单填充:把原本需要 20 步点击的流程压缩成一句话,特别适合 ERP / CRM / 后台管理系统等高频重复操作。
    • 无障碍访问:通过自然语言让任何 Web 应用变得可操作,配合语音 / 读屏为行动不便的用户打开大门。
    • 多页面自动化 / MCP 控制:借助 Chrome 扩展或 MCP Server,让 AI 跨页面完成复杂工作流(如比价、数据搬运)。

    推荐理由

    我第一次看到 Page Agent 时最直接的感受是:它把“浏览器自动化”这件事做得太轻了。传统方案(如 Playwright / Puppeteer 脚本、或无头浏览器方案)要么要写一堆选择器、要么要吃截图走多模态,门槛和成本都不低。Page Agent 反其道而行——它就活在页面里,用文本化的 DOM 理解来“读懂”界面,再用自然语言驱动操作,心智负担几乎为零。

    对前端 / 产品同学尤其友好:你想给后台加个“AI 帮我导这份报表”的入口,挂一段脚本就行,不用动架构。再加上它支持 BYO 模型、可接本地大模型,数据不出内网也能玩。如果你正琢磨怎么给产品接一个“会自己点页面”的 AI,Page Agent 是目前最省心、最贴近生产的选择之一。

    下载地址

  • Superpowers:让 AI 编程智能体「先想清楚再做」的开源方法论

    Superpowers:让 AI 编程智能体「先想清楚再做」的开源方法论

    Superpowers 是一套面向 AI 编程智能体(Claude Code、Cursor、Codex、Copilot CLI 等)的开源「方法论 + 技能框架」。它不写业务代码,而是把资深工程师的开发纪律——先脑暴、出设计、写计划,再以测试驱动与代码评审推进——固化成一组「强制触发」的技能(skills),让 Agent 不跳过任何关键步骤。一句话:它给 AI 编程助手外挂了一套工程纪律

    安装要求和过程

    环境要求

    • 任意支持「插件市场」的 AI 编程客户端:Claude Code、Cursor、Codex App/CLI、GitHub Copilot CLI、Kimi Code、OpenCode 等;
    • 无需额外运行时依赖——技能本身是纯 Markdown,零代码、零安装负担;
    • 最新版本 v6.1.1(2026-07-03),MIT 协议,可商用。

    快速安装

    以最常用的 Claude Code 为例,一条命令装好:

    plugin install superpowers@claude-plugins-official

    其他宿主的安装入口:

    • Cursor:在 Agent 聊天里执行 /add-plugin superpowers
    • Codex CLI/plugins 搜索 superpowers 安装;
    • Copilot CLI:注册市场后 copilot plugin install superpowers@superpowers-marketplace
    • OpenCode:读取并执行 https://raw.githubusercontent.com/obra/superpowers/refs/heads/main/.opencode/INSTALL.md

    装好后,正常对话提需求即可——智能体会自动激活内置技能链,无需你手动调用。

    核心功能

    • 自动触发的技能库:20+ 技能覆盖测试(TDD 红-绿-重构)、调试(系统化排查、完成前验证)、协作(脑暴、写计划、派发并行 Agent、请求/接收代码评审)等,全部「强制工作流」而非可选建议。
    • 「先想后做」工作流:脑暴出规格 → Git worktree 隔离 → 设计文档 → 细粒度实施计划 → 子智能体并行开发 → TDD → 代码评审 → 收尾分支,每一步都有验证门禁。
    • 跨宿主通用:一套技能同时兼容 Claude Code、Cursor、Codex、Copilot CLI、Kimi Code、OpenCode 等,换工具不丢方法论。
    • 子智能体驱动开发(Subagent-driven Development):把任务拆给并行子 Agent,主 Agent 只做编排与评审,效率和质量双升。
    • 可扩展元技能writing-skills 让你把自己的工作流封装成新技能,using-superpowers 教 Agent 怎么用这套框架——团队规范可沉淀复用。

    典型使用场景

    • 从一句话需求到可运行功能:让 Agent 先脑暴出规格文档、确认后再生成计划,最后自主开发并自测,避免「上来就写代码」导致的返工灾难。
    • 大型功能并行开发:用 worktree 隔离 + 派发多个子 Agent 同时推进不同模块,主 Agent 汇总与评审,单人也能扛起一个小组的吞吐。
    • 团队统一研发规范:把团队最佳实践写成技能,所有人(和人)用同一套流程,新人也能稳定产出老手质量的代码。

    推荐理由

    用过一堆「vibe coding」工具后,我的结论很朴素:最大的问题不是模型不够聪明,而是 Agent 没有纪律——直接上手写、不写测试、不评审。Superpowers 把「工程纪律」外挂给 Agent,强制它先脑暴、再计划、再 TDD,质量肉眼可见地提升。它不替你做判断,只是不让 Agent 跳过关键步骤。25 万+ star、今天还挂在 GitHub 热榜第一,MIT 协议,值得每个用 AI 写代码的人装一下。

    下载地址

  • chrome-devtools-mcp:Chrome 官方出品,让 AI 编程助手直接操控与调试浏览器

    chrome-devtools-mcp:Chrome 官方出品,让 AI 编程助手直接操控与调试浏览器

    Chrome DevTools MCP

    chrome-devtools-mcp 是 Chrome DevTools 官方团队推出的一个 MCP(Model Context Protocol)服务器,它把整个 Chrome 开发者工具的能力开放给 AI 编程助手——让 Claude、Cursor、Copilot、Gemini CLI 等智能体能够直接控制并检视一个真实运行的 Chrome 浏览器,实现可靠的自动化、深度调试和性能分析。截至目前该项目在 GitHub 已收获约 46,700+ Stars

    项目简介

    一句话说明:chrome-devtools-mcp 让你的 AI 编程助手拥有一双”眼睛”和一双”手”,可以打开网页、点击操作、查看网络请求与控制台报错、录制性能 trace,从而真正”看见”自己写的代码在浏览器里跑成什么样。它基于 Puppeteer 驱动 Chrome,并会自动等待操作结果,让智能体的浏览器操作变得稳定可靠。

    安装要求和过程

    环境要求

    • Node.js —— LTS 版本
    • Chrome —— 当前稳定版或更新版本
    • npm

    快速安装

    无需手动安装,直接在 MCP 客户端配置中通过 npx 拉起即可。以标准配置为例,在客户端的 MCP 配置文件中加入:

    {
      "mcpServers": {
        "chrome-devtools": {
          "command": "npx",
          "args": ["-y", "chrome-devtools-mcp@latest"]
        }
      }
    }

    使用 Claude Code CLI 的用户可以一行命令完成添加:

    claude mcp add chrome-devtools --scope user npx chrome-devtools-mcp@latest

    如果只需要基础的导航、执行脚本与截图,可以用精简 + 无头模式降低开销:

    "args": ["-y", "chrome-devtools-mcp@latest", "--slim", "--headless"]

    核心功能

    • 性能洞察:调用 Chrome DevTools 录制性能 trace,并提取可执行的优化建议(如”检查 https://developers.chrome.com 的性能”)。
    • 高级浏览器调试:分析网络请求、抓取截图、读取控制台消息,并附带经过 source map 还原的堆栈信息。
    • 可靠自动化:底层由 Puppeteer 驱动,自动等待动作完成,避免因时序问题导致的操作失败。
    • 丰富的工具集:涵盖输入自动化、页面导航、设备模拟、性能、网络、调试、内存、扩展等 10 大类共 50 余个工具。
    • 灵活的连接方式:支持无头/有头、隔离实例、指定 Chrome 通道,还能通过 --autoConnect / --browser-url 连接已经在运行的 Chrome,与人工共享登录状态。

    典型使用场景

    • 前端性能诊断:让 AI 助手打开你的站点自动录制性能 trace,指出 LCP、长任务、渲染阻塞等瓶颈并给出改进方案,把”性能优化”从玄学变成可量化的闭环。
    • 自动化调 Bug:当页面报错或接口异常时,智能体可直接查看控制台报错和网络请求详情(含还原后的堆栈),定位问题后再改代码,减少来回复制粘贴。
    • 沙箱内安全调试:在沙箱里运行 MCP,连接沙箱外带远程调试端口的 Chrome,既保证隔离又能复用真实浏览器环境,适合 Agent 产品集成浏览器能力。

    推荐理由

    用下来最大的感受是:它补齐了 AI 编程助手最缺的一环——“看得见运行结果”。过去让 AI 改前端,它只能凭代码想象效果;接入之后,它能真正打开页面、看到报错、量到性能数据,再回头改代码,闭环体验明显更靠谱。作为 Chrome DevTools 官方出品的项目,工具设计规范、更新及时,且用 npx 零安装接入、Apache-2.0 开源,几乎没有上手门槛。如果你已经在用 Claude Code、Cursor 或 Copilot 做前端开发,非常值得加上这一个 MCP。

    下载地址

    项目信息:ChromeDevTools 官方出品 · TypeScript 开发 · Apache-2.0 许可 · 约 46,700+ GitHub Stars。

  • 一家「原生 AI 律所」拿到 12 亿美元估值:不按小时收费,按结果算账

    法律 AI 这条赛道又冒出一只独角兽。一家叫 Norm 的公司把律师和 AI 智能体塞进同一个平台,还让 AI 去监督别的 AI,本周拿下了 12 亿美元的估值。它最反传统的做法,是不按小时收费,而是按结果算账。

    一笔带着「跨界钱」的融资

    Norm 这周宣布完成 1.2 亿美元 C 轮,由 Khosla Ventures 领投——这家机构也是 OpenAI 最早的机构投资方。成立不到三年,估值已经冲到 12 亿美元,正式跻身独角兽行列。投资方阵容很特别:黑石前总裁 Tony James、Kirkland & Ellis 前主席 Jeff Hammes 以个人身份入局,Bain、Coatue、Vanguard、纽约人寿、TIAA 这些金融和老牌律所背景的机构也跟了。算上这轮,Norm 累计融资已经超过 2.6 亿美元。

    它到底在做什么

    Norm 搭了一家叫 Norm Law 的「原生 AI 律所」,底层跑的是自家研发的 AI 智能体,再配真人律师在旁边盯着、校准。企业客户把法律活儿交给它,它用智能体去起草、审阅、跑流程。更往前一步的是,Norm 还在做能监督其他 AI 智能体的「上层智能体」——当别的公司把 AI 放到越来越要紧的岗位上,Norm 的 Agent 可以替你看看它们干得合不合规。

    「随着 AI 能力往前冲,最大的机会之一,是搭起 AI 与法律——人类价值观最权威的载体——之间的接口。」—— Norm 创始人兼 CEO John Nay

    AI 智能体监督法律工作的概念图
    AI 智能体彼此监督:当 AI 接管要紧岗位,谁来替企业把关合规

    不按小时,按结果

    最反传统的其实是收费方式。整个行业都在按小时计费,Norm 偏要按「结果」收费。它创始人说,这样 AI 带来的效率和质量提升,能直接落到客户头上,而不是变成律所和模型厂商的计时小费。目前它的客户管理着超过 30 万亿美元的资产,把 Norm 的 AI 智能体直接用在自家法务团队里。


    法律赛道为什么突然挤破头

    Norm 不是孤例。Harvey、Legora 这两年都冒了出来,盯着同一块肥肉:把合同审阅、尽调、合规这些又繁琐又烧钱的活儿自动化。但 Norm 的打法更激进——它不只是在工具层面帮忙,而是干脆自己下场开了一家 AI 律所,把「人机协作 + 结果计费」做成了整套运营模式。在监管越来越重、企业又怕 AI 乱来的当口,这种「既用 AI、又有人兜底」的叙事,恰好戳中了大买家最在意的信任问题。

  • addyosmani/agent-skills:给 AI 编程助手装上 24 套「资深工程师技能」的开源技能库(76.9K⭐)

    addyosmani/agent-skills:给 AI 编程助手装上 24 套「资深工程师技能」的开源技能库(76.9K⭐)

    Addy's Agent Skills

    agent-skills 是 Google Chrome 团队工程师 Addy Osmani 维护的一套「生产级工程技能库」——把资深工程师在定义、规划、构建、验证、评审、发布软件时遵循的工作流、质量门禁与最佳实践,封装成 AI 编程 Agent 可以直接调用的结构化技能(Skills)。目前 76.9K Stars、MIT 许可,是当下 GitHub 上最热门的 AI 工程实践项目之一。

    一、安装要求和过程

    环境要求:

    • 任意支持 Skills / 系统提示 / 指令文件的 AI 编程客户端(Claude Code、Cursor、Codex、Copilot、Cline、Gemini CLI、Windsurf、Kiro、OpenCode 等 70+ 款);
    • 一键安装需 Node.js(提供 npx skills 命令);
    • 本地克隆方式需 Git。

    快速安装:

    方式一:skills CLI 一行装全部(推荐,覆盖 70+ Agent)

    npx skills add addyosmani/agent-skills            # 安装全部 24 套技能
    npx skills add addyosmani/agent-skills --list     # 安装前先浏览
    npx skills add addyosmani/agent-skills --skill test-driven-development  # 只装单个技能

    方式二:Claude Code 原生插件市场

    /plugin marketplace add addyosmani/agent-skills
    /plugin install agent-skills@addy-agent-skills

    方式三:本地克隆后挂载

    git clone https://github.com/addyosmani/agent-skills.git
    claude --plugin-dir /path/to/agent-skills

    二、核心功能

    • 8 条贯穿开发生命周期的斜杠命令:/spec(定规格)、/plan(拆任务)、/build(增量实现)、/test(验证)、/review(评审)、/webperf(性能)、/code-simplify(简化)、/ship(发布),每条命令自动激活对应技能。
    • 24 套覆盖全流程的工程技能:interview-me(需求澄清)、spec-driven-development(写 PRD),到 test-driven-developmentcode-review-and-quality(五轴评审)、security-and-hardening(OWASP 防护)、shipping-and-launch(上线清单)。
    • 技能即结构化工作流:每个 Skill 都带步骤、验证门禁(verification gates)和「反合理化」对照表,让 Agent 跨任务稳定遵守同一套标准,而不是凭心情发挥。
    • 上下文自动触发:设计 API 自动触发 api-and-interface-design,写 UI 自动触发 frontend-ui-engineering,无需手动指定。
    • /build auto 半自治模式:审批一次计划后,Agent 自动逐任务实现、测试驱动、单独提交,遇出错或高风险步骤自动暂停。

    三、典型使用场景

    1. 新功能从 0 到上线:/spec 先写规格、/plan 拆任务、/build 增量实现、/test 验证、/review 评审、/ship 发布——把「想到哪写到哪」变成可重复的流水线。
    2. 代码评审质量门禁:合并前调用 code-review-and-quality 做五轴评审(可读性 / 正确性 / 复杂度 / 测试 / 安全),以「Staff Engineer 会不会 merge」为标准,避免 AI 生成的 PR 带病合并。
    3. 安全敏感改动:涉及用户输入、鉴权、外部集成时触发 security-and-hardening,按 OWASP Top 10 检查、管理密钥、审计依赖,降低生产事故概率。

    四、推荐理由

    我自己的使用感受:这套技能库最打动人的地方,是它把「资深工程师的肌肉记忆」显式化了。平时让 AI 写代码,最容易翻车的是「需求没问清就开干」「改完不写测试」「PR 质量没把关」。agent-skills 用 /spec/test/review 把这些容易偷懒的环节变成默认流程,相当于给 Agent 配了个不会疲倦的 Tech Lead。它是纯 Markdown、零运行时依赖,装到任何 Agent 里都不增加包袱,值得每个用 AI 写代码的人试一试。

    五、下载地址

  • ComfyUI-Manager:ComfyUI 必备的插件管家,15.3K+ Stars 让节点安装一键搞定

    ComfyUI-Manager:ComfyUI 必备的插件管家,15.3K+ Stars 让节点安装一键搞定

    ComfyUI-Manager 主菜单

    项目简介

    ComfyUI-Manager 是 ComfyUI 生态的官方扩展「插件管家」,让你在图形界面里一键安装、更新、禁用、启用上千个自定义节点与模型,是每位 ComfyUI 用户都离不开的「应用商店」。项目由社区发起,现由 Comfy-Org 官方维护,已接入 registry.comfy.org 官方节点仓库,累计 15.3K+ Stars、2.3K+ Forks,采用 GPL-3.0 许可。

    安装要求和过程

    环境要求:已安装 ComfyUI;系统具备 Python 3Git 即可(无需额外依赖,纯 Python 实现)。

    方式一 · 通用安装(推荐)

    # 进入 ComfyUI 的自定义节点目录
    cd ComfyUI/custom_nodes
    git clone https://github.com/Comfy-Org/ComfyUI-Manager comfyui-manager
    # 重启 ComfyUI 即可在菜单看到 Manager 按钮

    方式二 · Windows 便携版:下载 install-manager-for-portable-version.bat 放入 ComfyUI_windows_portable 目录,右键「另存为」后双击运行。

    方式三 · comfy-cli 一并安装(最省心)

    python -m venv venv
    venv\Scripts\activate      # Linux/macOS 用 . venv/bin/activate
    pip install comfy-cli
    comfy install            # 同时装好 ComfyUI + ComfyUI-Manager

    方式四 · Linux + venv 脚本:下载 install-comfyui-venv-linux.sh 赋可执行权限后运行,自动完成 ComfyUI 与 Manager 的 venv 部署。

    核心功能

    • 一键管理自定义节点:内置 2000+ 节点库,图形界面中搜索、安装、更新、禁用、启用、卸载全部点点鼠标完成,告别手动 git clone + pip install
    • 模型一键下载与管理:集成模型库,直接在界面拉取常用模型权重,并可通过 extra_model_paths.yaml 统一管理模型路径。
    • 快照(Snapshot)管理:一键保存当前「节点 + 模型 + 配置」的完整状态,随时还原,是应对环境崩坏、多机一致的「救命功能」。
    • 缺失节点自动识别:导入他人工作流时,自动列出缺失的自定义节点并一键补齐,彻底解决「换个机器工作流就跑不起来」的问题。
    • 工作流分享 + 命令行 + 安全策略:支持分享到 comfyworkflows / OpenArt 等平台;提供 cm-cli 供高级用户脱离界面使用;security_level 与独立安装开关保障公共部署安全(V3.38 已迁移到受保护系统路径)。

    ComfyUI-Manager 安装对话框

    典型使用场景

    1. 新手快速搭建 AI 绘画工作流:刚装好 ComfyUI 不知道装什么?打开 Manager 搜索 ControlNet、AnimateDiff、IP-Adapter 等热门节点,一键安装即可开始出图。
    2. 团队 / 多机环境一致性:在一台机器调好所有节点后用快照保存,其他机器直接还原,杜绝「在我电脑上能跑」的玄学问题。
    3. 复现他人分享的工作流:从社区下载 .json 工作流,Manager 自动检测并安装其中缺失的节点,秒级复现大佬的节点组合。

    ComfyUI-Manager 模型安装

    推荐理由

    如果你用过 ComfyUI,一定体会过「满屏红字找不到节点」的痛苦。ComfyUI-Manager 把原本繁琐的命令行操作全部收敛为一个图形化面板,安装、更新、回滚一条龙,极大降低了 AI 绘画的入门门槛。个人最离不开的是它的快照功能——折腾节点把环境搞崩后,一个还原就能满血复活;而「缺失节点自动安装」让复现别人的工作流从半小时缩短到几秒钟。如今项目归入 Comfy-Org 官方维护、接入官方节点仓库,并更新了安全补丁,稳定性与可信度都上了一个台阶。一句话:装 ComfyUI 不装 Manager,等于买了手机不装应用商店。

    下载地址