Hacker News
A developer has created 'Sherlock', a Man-in-the-Middle proxy tool that allows users to visualize and monitor real-time API requests made by their Large Language Model (LLM) tools, including saving prompts as markdown and JSON.
AI 生成摘要
一位開發者創建了一個名為「Sherlock」的中間人代理工具,讓使用者能夠即時查看和監控其大型語言模型 (LLM) 工具發出的 API 請求,並能將提示儲存為 markdown 和 JSON 格式。
這篇討論源於一位開發者分享了他開發的開源工具 Sherlock,這是一個針對 LLM 代理程式(如 Claude Code)設計的 MitM(中間人)代理伺服器。該工具旨在讓使用者能透明地觀察 AI 工具與 API 之間傳遞的原始數據,並將所有提示詞自動儲存為 Markdown 與 JSON 格式,解決了開發者對於 AI 究竟在背後傳送了哪些隱藏上下文或消耗多少 Token 的好奇心。
Hacker News 社群對此類工具展現了兩極化的反應。支持者認為,隨著企業開始大規模部署具備代理能力的 AI 工具,數據治理與透明度變得至關重要。目前的 AI 代理程式往往像個黑盒子,開發者難以追蹤模型在處理複雜任務時是否產生了過多冗餘的工具調用,或是傳送了不必要的敏感資訊。部分使用者分享了他們如何透過觀察請求內容來優化提示詞,例如強制要求模型減少廢話以節省 Token 預算。此外,將這些對話紀錄持久化儲存,也被視為未來進行模型微調或建立長期記憶的重要數據來源。
然而,這項專案也引發了關於「Vibe Coding」(意指過度依賴 AI 生成程式碼而缺乏深度理解的開發模式)的激烈爭論。資深開發者指出該專案在安全性上存在嚴重缺陷,例如原始版本為了方便攔截流量而無條件禁用了 TLS 憑證驗證,這可能導致使用者面臨遠端執行程式碼(RCE)的風險。批評者認為,這種「只要能跑就好」的開發態度在處理涉及安全與隱私的代理工具時非常危險。社群中出現了不少針對作者專業素養的質疑,認為這種由 AI 快速產出的工具雖然介面精美,卻缺乏對底層網路協議與安全實踐的尊重,甚至有人感嘆這類「AI 廢料」正在污染開源社群的品質。
在技術實作層面,討論區也貢獻了許多替代方案。有經驗的工程師建議,與其使用複雜且具安全風險的 MitM 代理,不如直接利用現有的環境變數(如 OPENAI_BASE_URL)將請求導向自定義的 HTTP 轉發器,或是直接修改開源 CLI 工具的原始碼來記錄請求。部分開發者則推薦了更成熟的企業級方案,如 LiteLLM 或 Langfuse,這些工具不僅能達成監控目的,還具備更完善的遙測與安全過濾功能。這場討論反映出開發者在追求開發效率與維護系統安全性之間,正隨著 AI 工具的普及而面臨新的權衡挑戰。
在討論串中,參與者提到了多個具備類似監控或代理功能的工具與資源: