
Research
/Security News
Compromised npm Packages in the AsyncAPI Namespace Deliver Miasma Botnet Loader
4 compromised asyncapi packages deliver miasma botnet loader on macOS, Linux and Windows.
content-studio
Advanced tools
布谷AI 是一个基于 Electron、React、Vite、Lime Agent Server 和协议化生成服务路由的桌面内容工厂。
产品主线不是通用聊天平台,而是面向电商和个人 IP 内容生产的「已成型知识库 -> 提示词包 -> 场景库 -> 文章 / 图片 / 视频素材」闭环。
已成型知识库
-> 品牌 / 产品提示词包
-> 产品场景库
-> 文案 / 脚本 / 图片提示词
-> 图片素材
-> 视频生成队列
-> 生成历史 / 素材库
.bugu/skills 主路径;工作区 .claude/skills / .agents/skills 仅作为兼容扫描,用户主目录能力仅在调试环境变量开启时扫描。.content-studio 保存知识库索引、提示词包、场景卡、生成日志和能力启用状态。blocked,不再用 mock/占位产物伪装成功。image_generation、OpenAI Chat data URI、Gemini GenerateContent 图片协议;未配置图片 Key 时返回 blocked,不生成 SVG 占位。blocked,只保存可追溯队列文件。npm install
npm run dev
首次运行后:
operation: "analyze" 或生成请求 payload。当前 GitHub Actions 产物用于内部预览,默认没有 Apple 签名和 notarization。macOS 可能会提示「布谷AI 已损坏,无法打开」或阻止启动。
如果确认安装包来自本仓库 Release,可按以下方式移除 quarantine 标记:
布谷AI.app 拖入「应用程序」目录。xattr -dr com.apple.quarantine "/Applications/布谷AI.app"
布谷AI.app;如仍被拦截,右键点击应用并选择「打开」。仅对可信来源的安装包执行该命令;正式分发会在接入 Apple 签名和 notarization 后移除此步骤。
src/main/ Electron main process
services/ Settings、模型配置、能力库、知识库、提示词包、场景库、生成日志
providers/ 文字 / 图片 / 视频生成服务适配
src/preload/ 类型化 IPC facade
src/renderer/ React 工作台 UI
src/shared/ main / preload / renderer 共用类型
resources/skills/ App 内置能力模板
resources/knowledge-bases/脱敏内置知识库样例
docs/roadmap/v1/ v1 PRD、UI 蓝图、架构图和实施计划
布谷AI优先使用工作区 .bugu/skills 能力路径,同时兼容历史 Craft / Agent 风格路径:
<workspace>/.bugu/skills/{slug}/SKILL.md # current,安装 / 管理写入这里
<workspace>/.claude/skills/{slug}/SKILL.md # compat,只扫描
<workspace>/.agents/skills/{slug}/SKILL.md # compat,只扫描
~/.claude/skills/{slug}/SKILL.md # dev-only,需要 CONTENT_STUDIO_INCLUDE_USER_SKILLS=1
~/.agents/skills/{slug}/SKILL.md # dev-only,需要 CONTENT_STUDIO_INCLUDE_USER_SKILLS=1
Agent runtime 统一由 Lime Agent Server 承接;客户端不再保留 SDK fallback 或第二套 runtime adapter。文本和媒体生成走显式协议路由:
| 能力 | 协议 | 典型端点 |
|---|---|---|
| Anthropic 兼容文字 | anthropic-messages | /v1/messages |
| OpenAI 兼容文字 | openai-chat | /v1/chat/completions |
| Gemini 原生文字 / 图片 | gemini-generate-content | /v1beta/models/{model}:generateContent |
| OpenAI Responses 图片 | openai-responses | /v1/responses + image_generation |
| Chat 图片兼容网关 | openai-chat-data-uri | /v1/chat/completions 返回 data:image/...;base64 |
npm run typecheck
npm run build
npm run test:functional
npm run smoke:electron
npm run verify:local
仓库包含 .github/workflows/release.yml:
v*.* 或 v*.*.* tag 时自动构建 macOS / Windows / Linux 桌面包,并上传到对应 GitHub Release。Release Desktop Packages,输入已有 tag,例如 v0.3。CSC_IDENTITY_AUTO_DISCOVERY=false,产物用于内部预览;正式分发签名和 notarization 后续通过 CSC_* / APPLE_* secrets 接入。latest.json 作为静态兜底。CONTENT_STUDIO_ENABLE_DEV_UPDATE_CHECK=1。详见 RELEASE_NOTES.md。
FAQs
布谷AI内容工厂桌面应用,用于知识库、提示词、图片、视频和文章生产。
We found that content-studio demonstrated a healthy version release cadence and project activity because the last version was released less than a year ago. It has 1 open source maintainer collaborating on the project.
Did you know?

Socket for GitHub automatically highlights issues in each pull request and monitors the health of all your open source dependencies. Discover the contents of your packages and block harmful activity before you install or update your dependencies.

Research
/Security News
4 compromised asyncapi packages deliver miasma botnet loader on macOS, Linux and Windows.

Research
/Security News
A compromised jscrambler npm release added a malicious preinstall hook that runs hidden native binaries on Linux, macOS, and Windows.

Research
/Security News
A malicious .NET package is typosquatting the Braintree SDK to steal live payment card data, merchant API keys, and host secrets from production apps.