开源替代Twilio的Fonoster，打造云端可编程电信技术栈，全面支持语音与消息服务，助力企业低成本、高灵活性接入电信功能。

• 多租户架构，轻松部署PBX功能
• 丰富的语音应用指令集：接听、挂机、播放音频、DTMF处理、文本转语音、录音、静音等
• NodeJS SDK，简化调用流程，API优先设计，几行代码即可发起通话
• 支持OAuth2与JWT认证，内置RBAC权限控制，保障安全性
• 集成Google语音API，支持Amazon S3存储，命令行工具支持插件扩展
• 开源社区活跃，上千星标，支持Docker一键部署，适合长期可持续运营

相比自行搭建，Fonoster降低维护复杂度，避免“自研陷阱”，兼顾自由度与稳定性。

一位资深加密开发者（@0xzak）经历了10年零被盗记录后，首次因恶意Cursor扩展“contractshark.solidity-lang”被盗钱包

• 攻击利用了开发者在赶项目时的信任漏洞，恶意扩展伪装正规，拥有5.4万+下载量，来自官方Open VSX源。
• 安装后数分钟内，扩展偷偷读取.env文件并将私钥发送至攻击者服务器，3天后钱包被清空。
• 损失受限于严格的OpSec习惯：硬件钱包存主资、热钱包仅做测试，分项目隔离资金，避免一网打尽。
• 攻击特点：纯JavaScript跨平台（Mac/Linux/Win），无系统级恶意软件，静默执行无异常提示。
• 关键漏判点：发布者名称细微差异（“contractshark” vs “juanblanco”）、无GitHub链接、下载多但无评论、近期发布，典型typosquatting手法。
• 建议立即检查Cursor扩展列表、信任发布者状态，移除可疑扩展，杜绝私钥存.env文件，推行硬件钱包唯一签名策略，使用隔离开发环境及加密密码库。
• 遭遇风险非复杂高级攻击，而是一瞬间的警觉放松和信任错判，凸显个人OpSec比代码安全更易成短板。
• 受害者呼吁社区普遍审计扩展、分享安全经验，推动透明讨论“失败案例”，以防止更多开发者中招。