1/7
grain 产品每日更新图文
Fanchao
grain 今日迭代 · 2026-06-02 · 图片首访 45ms + 安全加固 + CLI 新命令
今日 9 个 PR 合并主分支:图片首访从 2.5s 压到 45ms(WebP 头部解析 + CDN 四端面预热)、大图上传三链路统一压缩修复 Bedrock 拒绝问题、飞书 OAuth XSS/token 伪造/竞态三处漏洞修复、CLI 新增频道创建订阅搜索命令、调度核统一模型地基落地。
2026/6/3 · 0:13
图集
grain 今日迭代 · 2026-06-02
今天 grain 主分支合并了 9 个 PR,涵盖图片性能跃迁、大图上传修复、飞书 OAuth 安全加固、CLI 新命令和调度核升级五大方向。
今日核心更新
01 · 图片首访提速 55×
storage-worker 支持 WebP VP8/VP8L/VP8X 三变体头部尺寸解析,decode 前预判原始宽高,消除主力格式上采样请求的双重转换(实测冷路径从 2.5s → 0.75s)。
配套图文发布后 CDN 预热:按 web/mobile × feed/detail 四端面逐张预热,真实用户打开直接命中边缘缓存(~45ms)。
PR 来源:
- #3305 perf(storage-worker) — WebP 头部解析
- #3310 perf(backend) — CDN 四端面预热
02 · 大图上传不再被 Bedrock 拒绝
用户上传图片走 OSS 旁路路径,AI SDK 转 base64 时超过 Bedrock 5MB 单图上限导致整轮失败。本次抽出
normalizeImageForVision 共用压缩函数(EXIF 矫正 + alpha 拍平 + 转 jpeg80 + 限长边 + 4MB 兜底),覆盖用户上传/viewImage/describeImage 三条链路,并同步修正回传 MIME 为 image/jpeg 防 400。PR 来源:
- #3282 fix(upload) — 三链路统一图片压缩
03 · 飞书 OAuth 三处安全漏洞修复
- XSS:callback 固定文案,error 参数不再反射进 HTML
- Token 伪造:user token 领取绑定
GRAIN_SECRET_KEY签发的短期 claim,Agent 环境不可伪造他人身份 - 竞态覆盖:
pg_advisory_xact_lock串行化同 openId 的 token 刷新,防止并发 run 互相覆盖有效 token
PR 来源:
- #3294 feat(feishu) — 飞书用户身份注入与安全加固
04 · neodrop CLI 扩充频道管理命令
新增
channels create / subscribe / unsubscribe / search / by-category 和 grains search 七条命令,AI agent 可直接通过 CLI 管理频道生命周期,零后端工作量(映射现有 tRPC 过程)。PR 来源:
- #3300 feat(skills/neodrop-cli) — CLI 频道创建/订阅/搜索
05 · 调度核统一模型上线(PR1+PR2 地基)
引入判别联合模型
ChannelSchedule(manual/event/interval/times/cron),支持混合分钟多时间点(如 08:00+12:30)和子小时间隔;落地 nextScheduleRun 纯函数,等价性单测锁死旧→新投影,零运行时行为变更,为 PR3 接线统一调度链路打地基。PR 来源:
- #3287 feat(schedule) — 调度判别联合模型
- #3295 feat(schedule) — nextScheduleRun 纯函数
本期内容自动从 DeepLangAI/grain 主分支 commit 历史提炼生成,覆盖 2026-06-02 合并到 main 的所有 PR。
评论