last30days 是一款基于 AI 的研究技能,它将改变你发现当下热点的方式。
-
last30days 是一款基于 AI 的研究技能,它将改变你发现当下热点的方式。
概述
last30days 是一款基于 AI 的研究技能,它将改变你发现当下热点的方式。它不再依赖你手动浏览或过时的博客文章,而是扫描Reddit、X (Twitter)、YouTube 和 Web —— 找到人们真正在点赞、分享和观看的帖子 —— 并将所有内容综合为可落地的洞察和可直接复制的提示词。你可以把它看作一位研究助手,替你阅读了过去 30 分钟、几小时或几天内整个互联网的讨论内容。
功能概述 — 一句话总结
你只需调用
/last30days <topic>,几分钟后即可收到一份完全综合的专家级解答。该解答基于真实的社区讨论生成,包含互动指标、来源引用,以及(在适用情况下)适用于目标工具的现成提示词。无论你是想探索 ChatGPT 的提示词技巧、寻找最佳的 AI 视频工具、追踪热门音乐,还是调研人们对新产品的看法,该技能都会调整其搜索和综合策略以精准匹配你的意图。
使用实例:
/last30days 研究下加密货币ada的基本面
What I learned:
Cardano-Bitcoin 无信任跨链互换(Trustless Swap) — 这是过去30天最大的基本面突破。主网上首次完成了 Cardano 与 Bitcoin 之间的无信任原子互换,不需要桥接(bridge),per
r/CryptoCurrency 和 r/cardano。社区反应非常积极,认为这解决了跨链交互中长期存在的中心化桥接风险问题。r/cardano 的帖子标题直接写道:"They Said You Can't Swap Bitcoin
for ADA Without a Bridge — They Were Wrong"。
Charles Hoskinson 的总体规划(Master Plan) — Hoskinson 的长期愿景引发了 r/cardano 的热议,标题为"Charles Hoskinson's Master Plan: Crazy or
Genius?",社区对此观点两极化——一部分人认为他过于理想化、推进缓慢,另一部分人认为 Cardano 的研究驱动路线终将胜出,per r/cardano。
SEC 历史性加密监管澄清 — SEC 对加密货币发布了"Historic Clarification",r/CryptoCurrency 讨论热度很高。这对 ADA 等 PoS
代币的监管定位有直接影响,社区普遍认为这是利好信号。
Cardano 代币规则(Token Rules)功能 — Cardano 新增了对代币的链上规则支持(类似于可编程代币合规机制),per r/CryptoCurrency。这被视为面向机构采用和
RWA(真实世界资产)代币化的关键基础设施升级。
去中心化治理进展 — "Cardano Decentralised Deputy Diary"(去中心化副代表日记)显示 Cardano 的链上治理机制(Voltaire
时代)正在持续推进,社区代表定期发布治理进展报告,per r/cardano。
KEY PATTERNS from the research:
1. 跨链互操作性是最大叙事 — BTC-ADA 无信任互换标志着 Cardano 在跨链领域的实质性突破,per r/CryptoCurrency
2. 监管明朗化利好 PoS 链 — SEC 的新澄清对 Cardano 等 PoS 项目的合规前景是正面的,per r/CryptoCurrency
3. 治理去中心化持续深化 — Voltaire 时代的治理机制正在实际运行,社区参与度在提升,per r/cardano
4. 代币可编程性增强 — Token Rules 功能为机构级应用和 RWA 代币化铺路,per r/CryptoCurrency
5. 社区对 Hoskinson 态度分化 — "genius or crazy" 的讨论反映了长期持有者与短期投机者之间的张力,per r/cardano
--- All agents reported back!
├─ Reddit: 7 threads │ ~430 upvotes │ ~200+ comments
├─ Web: 6 pages — (WebSearch supplemental queries)
└─ Top voices: r/cardano, r/CryptoCurrency, r/CryptoMarkets
---I'm now an expert on Cardano ADA 的基本面。Some things I can help with:
- 深入分析 BTC-ADA 无信任互换的技术原理和对 ADA 价值的影响
- 解读 SEC 新政策对 Cardano 生态的具体利好
- 对比 Cardano 的 Token Rules 与以太坊 ERC-20 的可编程性差异
- 评估 Cardano 链上治理(Voltaire)的实际运行效果
用大模型跑一遍插件安全检测,结果如下:
1. High, privacy risk, not clear malware: X 搜索后端在没有显式 AUTH_TOKEN/CT0 时,会回退到“从本机浏览器读 X Cookie”。
见 .claude/skills/last30days/scripts/lib/bird_x.py:85 到 .claude/skills/last30days/scripts/lib/bird_x.py:107,以及 vendored 入口 .claude/skills/last30days/scripts/
lib/vendor/bird-search/bird-search.mjs:79 到 .claude/skills/last30days/scripts/lib/vendor/bird-search/bird-search.mjs:101。这不是“静默外传到陌生域名”,它是为了给
x.com 搜索鉴权,但行为上确实会尝试读取本机浏览器 Cookie 库。对共享机器或你不想让 Skill 触碰浏览器登录态的场景,这个权限面偏大。
2. Medium,权限边界偏宽: 它会自动读取 ~/.codex/auth.json,在没有 OPENAI_API_KEY 时复用你的 Codex/OpenAI 登录令牌。
见 .claude/skills/last30days/scripts/lib/env.py:26 和 .claude/skills/last30days/scripts/lib/env.py:126 到 .claude/skills/last30days/scripts/lib/env.py:195。这不算投
毒,更像“便利性优先”,但如果你以为它只会用 .env 里的 key,这个默认行为会超出预期。
3. Medium,配置注入风险: 它会从当前工作目录向上查找 .claude/last30days.env,优先级高于全局配置。
见 .claude/skills/last30days/scripts/lib/env.py:198 到 .claude/skills/last30days/scripts/lib/env.py:231。这意味着如果你进入一个不可信项目目录,而那里放了恶
意 .claude/last30days.env,它可以覆盖你原来的 API 配置,把请求导向攻击者控制的账号配额或令牌。
4. Low,本地数据落盘默认偏松: 研究结果会自动保存到 ~/Documents/Last30Days/,缓存和输出目录当前是 group-readable。
自动保存逻辑见 .claude/skills/last30days/scripts/last30days.py:1919 到 .claude/skills/last30days/scripts/last30days.py:1931。你本机里 ~/.config/last30days/.env 权限
是 600,这个是对的;但 ~/.cache/last30days、~/.local/share/last30days、~/Documents/Last30Days 里的文件是 664/目录 775。单用户桌面机问题不大,多用户机器上不够收敛。
5. Low,自动钩子存在,但目前没看到恶意动作: 会在 SessionStart 执行一个 shell 脚本。
见 .claude/skills/last30days/hooks/hooks.json 和 .claude/skills/last30days/hooks/scripts/check-config.sh:1。我检查了脚本内容,它只检查配置文件是否存在以及权限是否过
宽,没有下载、改配置、发网、提权或持久化安装行为。
结论
我没发现“明显被投毒”的证据。
本地仓库来源是官方 GitHub 远端 https://github.com/mvanhorn/last30days-skill.git,工作树是干净的,没有本地未提交篡改。这个只能证明“你本机当前 checkout 没有额外脏改动”
,不能 100% 证明 vendored 依赖和上游每个历史版本都无恶意,但就本地静态审计结果看,没有典型木马特征,比如下载执行、隐蔽外传、计划任务植入、shell 注入、任意命令执行。
已确认的行为面
它会联网到这些预期域名,都是功能相关的公开或 API 目标,不像隐蔽 C2:
api.openai.com
chatgpt.com
api.x.ai
api.scrapecreators.com
api.search.brave.com
public.api.bsky.app
bsky.social
truthsocial.com
hn.algolia.com
gamma-api.polymarket.com
x.com
reddit.com
youtube.com
另外,YouTube 后端明确禁用了浏览器 Cookie 读取,见 .claude/skills/last30days/scripts/lib/youtube_yt.py:147 到 .claude/skills/last30days/scripts/lib/youtube_yt.py:155
和 .claude/skills/last30days/scripts/lib/youtube_yt.py:268 到 .claude/skills/last30days/scripts/lib/youtube_yt.py:279。这点是好的。
项目链接:https://github.com/mvanhorn/last30days-skill
学习链接:https://zread.ai/mvanhorn/last30days-skill/1-overview
-
該讨论由
coura 於 2 days, 21 hours ago 修訂。
-
該讨论由
-
0 回复
歡迎留言回复交流。
Log in to reply.