挖个坟，我在 #21 留了一个带有本帖标识、只在这里发过的邮箱地址，刚刚收到了一封热乎的垃圾邮件

https://i.imgur.com/NtuFglY.jpeg

看来 base64 确实有先见之明 https://i.imgur.com/agAJ0Rd.png

@digwow 收到，没有问题

已经有了，例如 https://openrouter.ai/moonshotai/kimi-k2.5 ，下面的 [Providers for Kimi K2.5] ，input 从 0.42 到 1.10 都有

而且 tokens 价格应该不会像汇率那样频繁波动

Your Order Number is: 3693118125

没有遇到一样的，但是遇到过类似的伪造发件人的。

下载邮件文件，或者查看邮件源码，把邮件头部分发给 AI 过一遍，我记得有种伪造方式发件人的方式。有些邮件厂商不一定会显示，但是文件头能看出来

伪造的过不了各种（如 DKIM 等）验证，而且转发阶段（ Receive 字段好像？）也有不太正常的特征

@zsh2517 #11 @zyxk

@EeveeRibbon #7 密码管理器自己实现一个 ssh agent ，并通过 SSH_AUTH_SOCK 变量或者 ~/.ssh/config 的 IdentityAgent 字段，让 ssh 使用

当 ssh 向 agent 请求签名（ ssh 登录的一个过程）时，1p agent 弹窗要求用户授权，通过后才会继续。私钥存在 1password 内，不落盘。从而实现使用密码管理器登录 ssh

Linux 吧，图形界面不清楚，但是 LLM 对 shell 脚本的熟练程度高于 powershell/cmd 。

而且印象见到过好几次 AI cmd 转义出问题的了

@zsh2517 这里只是说这三种用法都是有规范定义的，至于为什么这么设计我也不清楚。

我个人不觉得硬件密钥数量是主要考虑因素 https://i.imgur.com/MAyk5GN.png 盲猜可能会有兼容性/隐私/安全性之类的原因

确实存在三种规范

1. 不需要输入用户名（或者邮箱）的：discoverable credential （之前也叫 resident key ）
2. 需要输入的用户名不需要密码的：non-discoverable credential
3. 需要输入用户名，再输入密码，再验证密钥，作为 MFA ，好像叫做 U2F 来着

1 、2 都是主流用法，3 是比较老的方案。

原理忘了，大概印象是，第一种要往设备上存东西，所以硬件密钥比如 yubikey 支持的数量有限（几十或者一百个）。non-dis 和 U2F 不需要，所以可以几乎无限。建议找 AI 详细问一下，大概要结合三种认证的具体流程来分析

@zsh2517 没打完发出去了

可能与地域无关（虽然如果被识别为大陆确实不会出现 claude 系列）

但是今天下午确实出现了很多 pro 订阅（ Pro+ 不确定，我是 pro+，还在）或者 free trail 丢失 claude opus/sonnet, gpt-5.4 的反馈

详见 https://github.com/orgs/community/discussions ，靠前有好几条讨论这个的

可能与地域无关


https://github.com/orgs/community/discussions 已经有很多讨论了，不确定是 bug 还是未公开的策略。

1. 卖课，帮人安装 openclaw ，帮人卸载 openclaw

2. 不成正比，而且各方面优化空间都很大。openclaw 感觉为了支持通用性付出了很多 tokens ，很多场景我认为可以进一步迭代成专精的 agent （比如楼上说的抓取内容等等）。
目前完全自然语言处理随机需求的话还算可以，但是例行任务类的东西，流程固化下来之后，理论上就不再需要 openclaw 每次执行都重新读取各种 md 文件了，这块目前好像还没系统的方案。比如说，crontab 写一个

*/30 * * * * claude --dangerously-skip-permissions --dangerously-skip-permissions "你是一个拥有系统完整权限的 agent ，请阅读 ~/tasks/weibo-hot.md ，并遵循规则执行内容，相关数据和日志写入到 ~/xxx/xxx 中。然后使用 xxx 将消息发送给 xxx"