2026-03-31

21 篇热帖

Axios compromised on NPM – Malicious versions drop remote access trojan 1229 points | 447 comments | by mtud

axios npm 供应链攻击事件总结 (Axios npm Supply Chain Attack Summary)

事件概要:

StepSecurity 在 2026 年 3 月 30 日发现,恶意攻击者在 npm 仓库发布了两个被篡改的 axios HTTP 客户端库版本:axios@1.14.1axios@0.30.4。这些恶意版本引入了一个新的依赖项 plain-crypto-js@4.2.1,该依赖项包含一个 postinstall 脚本,充当跨平台远程访问木马 (RAT) 释放器,目标平台包括 macOS、Windows 和 Linux。该木马与攻击者的命令与控制 (C2) 服务器通信,并传递平台特定的第二阶段有效负载。执行后,恶意软件会删除自身并替换其 package.json 文件,以逃避取证检测。

重要提示: 如果您安装了 axios@1.14.1axios@0.30.4,请假设您的系统已被入侵。

攻击细节:

  • 攻击者手法: 非典型的供应链攻击,并未在 axios 源代码中注入恶意代码,而是通过伪造依赖项 plain-crypto-js@4.2.1 来执行攻击。
  • 预先准备: 攻击者在攻击发生前 18 小时就预先部署了恶意依赖项,并为三个操作系统构建了三个有效负载。
  • 精准性: 攻击者在 39 分钟内同时发布了两个恶意版本,并设计了所有组件进行自我销毁。
  • 绕过检测: 恶意代码在 npm install 完成前 2 秒就已启动,绕过了许多安全扫描器。
  • 攻击流程:
    1. 攻击者入侵了 axios 项目的主要维护者 jasonsaayman 的 npm 账户,并将电子邮件更改为 ifstap@proton.me
    2. 攻击者将 plain-crypto-js@4.2.1 预先发布到 npm 仓库。
    3. 攻击者利用入侵的账户发布了恶意版本的 axios。
    4. plain-crypto-js@4.2.1postinstall 脚本启动 RAT 下载和执行。
    5. RAT 完成后,删除自身并用干净的 package.json 文件替换,以掩盖痕迹。
  • 木马细节:
    • setup.js 使用双重混淆技术(XOR 密码和 Base64 解码)来隐藏恶意代码。
    • 恶意软件使用 curlpython3 命令在各个平台上执行有效负载。
    • 攻击者利用 macOS 的 AppleScript、Windows 的 PowerShell 和 Linux 的 Python 来执行恶意代码。
    • 恶意软件会删除自身及相关文件,并替换 package.json 文件,以掩盖其存在。

检测与响应:

  • StepSecurity 的 AI Package Analyst 和 Harden-Runner 发现了此次攻击。
  • 攻击已向 axios 项目维护者报告。
  • npm 已经取消发布了被篡改的 axios 版本,并对 plain-crypto-js 进行了安全封锁。

缓解措施:

  • 立即检查: 检查项目是否安装了 axios@1.14.1axios@0.30.4
  • 降级 axios: 将 axios 降级到干净版本,例如 axios@1.14.0axios@0.30.3
  • 移除恶意依赖: 删除 node_modules/plain-crypto-js 目录。
  • 检查系统: 如果检测到恶意软件,请将系统重建为已知良好的状态。
  • 轮换凭据: 轮换所有可能受到影响的凭据(npm tokens、AWS 密钥、SSH 密钥等)。
  • CI/CD 检查: 审核 CI/CD 管道,查找安装了受影响版本的运行。
  • 网络阻止: 阻止与 C2 服务器 sfrclak.com 的通信。
  • Harden-Runner: 使用 StepSecurity 的 Harden-Runner 限制网络访问,并检测异常行为。
  • npm Package Cooldown Check 和 Package Compromised Updates Check: 使用 StepSecurity 的安全检查功能,确保引入的包是安全的。

社区活动:

StepSecurity 将于 20

Claude Code's source code has been leaked via a map file in their NPM registry 685 points | 374 comments | by treexs

总结:关于x.com的隐私扩展问题

这段内容表明在使用x.com(原Twitter)时可能遇到了问题。问题的根源很可能与某些隐私相关的浏览器扩展有关。

主要内容:

  • 问题: 用户在使用x.com时遇到了问题。
  • 可能原因: 某些隐私相关的浏览器扩展可能导致问题。
  • 解决方案: 建议用户禁用这些扩展,然后重试。

总结:

如果在使用x.com时遇到问题,请尝试禁用您的浏览器隐私扩展程序,然后重新登录或刷新页面。 这可能是解决问题的有效方法。

Artemis II is not safe to fly 516 points | 334 comments | by idlewords

阿耳忒弥斯 II 任务存在安全隐患:总结报告

本文详细分析了美国国家航空航天局 (NASA) 即将进行的阿耳忒弥斯 II 任务的安全性问题,指出该任务存在潜在风险,可能对宇航员的生命安全构成威胁。

核心问题:Orion 飞船热屏蔽层存在缺陷

在 2022 年的阿耳忒弥斯 I 任务中,Orion 飞船在重返大气层时,热屏蔽层出现了严重损毁,大块材料脱落,螺栓熔蚀,甚至部分熔穿。NASA 最初试图掩盖问题,但在办公厅监察长 (OIG) 发布照片后,问题才暴露无遗。

  • 热屏蔽层剥落 (Spalling): 导致热屏蔽层出现空隙,可能暴露飞船主体并引发烧穿,改变气流模式,造成局部过热。
  • 热屏蔽层碎片撞击: 脱落的碎片可能撞击飞船顶部,损坏降落伞舱。
  • 螺栓熔蚀: 四个关键分离螺栓出现熔蚀,可能导致飞船解体。

NASA 的应对与困境

由于任务已进入准备阶段,更换热屏蔽层或进行飞行测试成本高昂,时间紧迫,NASA 试图通过调整再入轨迹和修改热屏蔽层设计来解决问题,但这些措施的有效性存在疑问。

专家批评与历史教训

前航天飞机工程主管、也是哥伦比亚号事故调查委员会成员 Charles Camarda 认为,NASA 的做法与导致挑战者号和哥伦比亚号事故的“动机推理”类似,即为了达到既定目标(安全飞行),而忽视潜在风险。他指出,NASA 依赖的模型未能预测热屏蔽层问题,而现在却依赖这些模型来证明任务安全,这是一种危险的做法。

任务逻辑与未来规划

最初,阿耳忒弥斯 II 任务是为了在阿耳忒弥斯 III 登月任务前进行宇航员在轨测试。但 NASA 后来增加了额外的阿耳忒弥斯 III 任务,使得阿耳忒弥斯 II 任务的宇航员安全不再是首要考虑因素。

结论

尽管 NASA 相信调整再入轨迹能够解决问题,但目前情况令人担忧。文章作者认为,NASA 应该取消载人阿耳忒弥斯 II 任务,进行无人的飞行测试,以验证热屏蔽层的安全性。否则,历史可能会重演,导致悲剧发生。

Disclaimer: This is a summary based solely on the provided text and does not include any external opinions or information.

Fedware: Government apps that spy harder than the apps they ban 465 points | 148 comments | by speckx

美国联邦政府应用程序:间谍软件与数据收集的广泛问题 (Měiguó Liánbāng Zhèngfǔ Yīngyòngchéngxù: Jiānpiàoshuǒ yǔ Shùjù Shōují de Guǎngfàn Wèntí)

本文揭露了美国联邦政府应用程序中普遍存在的数据收集和隐私侵犯问题。 2024年3月27日,白宫发布了一款名为“White House app”的应用程序,该应用被指责为间谍软件,因为它要求访问大量敏感权限,包括精确的GPS位置、生物识别指纹访问、存储修改、后台运行、覆盖其他应用程序、查看Wi-Fi连接以及读取徽章通知。 该应用还内置了三个跟踪器,其中之一是受到美国政府制裁的中国公司华为移动服务核心 (Huawei Mobile Services Core)。

除了白宫应用程序,其他联邦机构的应用程序也存在类似问题:

  • FBI的“myFBI Dashboard”: 请求12项权限,包括存储修改、Wi-Fi扫描、账户发现等,并包含4个跟踪器,其中一个为Google AdMob。
  • FEMA应用程序: 请求28项权限,包括精确和近似位置信息,虽然最新版本跟踪器数量减少到1个,但权限数量仍然过高。
  • IRS2Go: 包含3个跟踪器和10项权限,且在隐私影响评估未签署的情况下就已发布。
  • TSA的MyTSA: 请求9项权限,包括精确和近似位置信息。
  • CBP Mobile Passport Control: 请求14项权限,其中7项被归类为“危险”,包括后台位置跟踪、摄像头访问、生物识别身份验证和外部存储读写。该系统还收集面部数据,并将其在DHS、ICE和FBI之间共享,并保留长达75年。
  • ICE的Mobile Fortify: ICE特工使用的面部识别应用程序,从DHS、FBI和国务院数据库中提取了数百万张图像,并与Clearview AI签订了920万美元的合同,访问了超过500亿张面部图像。
  • SmartLINK: ICE用于电子监控的应用程序,由GEO Group(一家私人监狱公司)的子公司BI Incorporated构建,收集包括地理位置、面部图像、语音指纹、医疗信息(包括怀孕数据)和联系人电话号码等数据,ICE拥有对这些数据的无限使用和披露权。

除了政府应用程序,联邦政府还通过数据经纪公司购买位置数据,例如Venntel每天收集150亿个位置数据点。 IRS和ICE还签署了一项协议,允许ICE访问纳税人的姓名、地址和税务数据,但随后被法庭阻止,因为该协议可能违反了IRS的保密保护。

文章认为,这些应用程序、数据库和数据经纪合同构成了一个共享数据的管道,并指出美国政府审计办公室 (GAO) 的报告显示,自2010年以来,近60%的隐私和安全建议尚未实施。作者认为,国会迟迟未通过全面的互联网隐私立法,并且这种监控体系的运作方式是为那些运营它的人服务的。

文章最终呼吁人们避免使用政府应用程序,并鼓励他们使用浏览器和RSS阅读器等标准工具来获取公共信息,并自行决定设备上运行的内容。

问题答案:

  1. 3
  2. Huawei
  3. Google AdMob
  4. 28
  5. Up to 75 years
  6. $9.2 million
  7. 15 billion
  8. GEO Group
  9. Carpenter v. United States
  10. Nearly 60%
Ollama is now powered by MLX on Apple Silicon in preview 424 points | 199 comments | by redundantly

Ollama 0.19 Preview: 显著性能提升与新功能

以下是 Ollama 0.19 预览版的主要内容总结:

核心改进:MLX 加速与 NVFP4 支持

  • MLX 加速: Ollama 现在基于 Apple 的机器学习框架 MLX 构建,充分利用 Apple Silicon 的统一内存架构,大幅提升了在 Mac 上的运行速度。特别是在 M5, M5 Pro 和 M5 Max 芯片上,利用 GPU 神经加速器,显著提升了首次 token 时间 (TTFT) 和每秒 token 生成速度。测试数据显示,使用 Qwen3.5-35B-A3B 模型时,Ollama 0.19 的预处理速度可达 1851 token/s,解码速度为 134 token/s。
  • NVFP4 支持: Ollama 引入了 NVIDIA 的 NVFP4 格式,能够在降低内存带宽和存储需求的同时,保持模型精度。这使得 Ollama 用户可以获得与生产环境一致的结果,并能够运行经过 NVIDIA 模型优化器优化的模型。

其他关键功能改进

  • 缓存优化: Ollama 的缓存系统进行了升级,旨在提高编码和代理任务的效率:
    • 更低的内存占用: 缓存可在会话间重用,减少内存占用并提升缓存命中率。
    • 智能检查点: 缓存会在 prompt 中的关键位置存储快照,减少 prompt 处理量并加快响应速度。
    • 更智能的驱逐: 共享前缀能够更长时间地保留,即使旧分支被删除。

快速上手

  • 下载: 可以从 https://ollama.com/download 下载 Ollama 0.19 预览版。
  • 模型要求: 建议使用拥有超过 32GB 统一内存的 Mac。
  • 示例命令:
    • ollama launch claude --model qwen3.5:35b-a3b-coding-nvfp4 (启动 Claude)
    • ollama launch openclaw --model qwen3.5:35b-a3b-coding-nvfp4 (启动 OpenClaw)
    • ollama run qwen3.5:35b-a3b-coding-nvfp4 (直接与模型对话)

未来展望

  • Ollama 团队正在积极努力,以支持更多未来的模型。
  • 计划简化用户导入自定义模型的流程,并逐步扩展支持的架构。

鸣谢

  • MLX 贡献者团队
  • NVIDIA 贡献者 (NVFP4 量化、模型优化器、MLX CUDA 支持、Ollama 优化与测试)
  • GGML & llama.cpp 团队
  • 阿里巴巴 Qwen 团队
GitHub backs down, kills Copilot pull-request ads after backlash 384 points | 228 comments | by _____k

GitHub Copilot 广告插入事件总结

事件经过:

最近,GitHub Copilot 出现了一个争议事件:该 AI 助手会在开发者提交的 Pull Request (PR) 中插入广告信息,推销第三方应用程序 Raycast。澳大利亚开发者 Zach Manson 发现,当他请求 Copilot 纠正 PR 中的一个拼写错误时,Copilot 自动插入了一段关于 Raycast 的推广信息。随后,开发者们在 GitHub 上发现了超过 11,400 个 PR 包含了类似的广告内容,这些内容由 Copilot 自动添加。

开发者反应:

开发者们对此表示不满,认为 Copilot 在未经授权的情况下修改他们的 PR 描述和评论,且这种行为缺乏合理性。Manson 认为,将广告插入到自己的 PR 中,就像自己写的代码一样,让他感到非常冒犯。

GitHub 的回应与调整:

事件曝光后,GitHub 迅速做出反应。GitHub 开发者关系副总裁 Martin Woodward 解释称,Copilot 在 PR 中插入广告并非新鲜行为,此前它已经在自己创建的 PR 中做过类似的事情。但让 Copilot 修改它没有创建,只是被提及的 PR,是最近新增的功能,效果并不理想。

Copilot 产品负责人 Tim Rogers 在 Hacker News 上表示,最初添加“提示”(tips)的目的是为了帮助开发者学习新的 Copilot 使用方法。然而,在听取了社区的反馈后,他意识到允许 Copilot 在开发者不知情的情况下修改 PR 是一种错误的判断。

目前,GitHub 已经禁用了 Copilot 在 PR 中插入广告的“提示”功能。Martin Woodward 也发表声明,强调 GitHub 不会,也不计划在 GitHub 中包含广告,并称此次事件是由于 Copilot 编码代理提示的编程逻辑问题导致的。

总结:

  • GitHub Copilot 曾自动在 Pull Request 中插入广告,推广第三方应用 Raycast。
  • 开发者对此表示强烈不满,认为未经授权的修改是不合理的。
  • GitHub 迅速响应,已禁用 Copilot 在 PR 中插入广告的提示功能。
  • GitHub 声明不会在平台中包含广告。

总结 (中文)

GitHub 的 Copilot AI 助手最近引发了一场争议。Copilot 会在开发者提交的代码变更请求(Pull Request 或 PR)中自动插入广告信息,推广第三方应用程序 Raycast。 许多开发者对此表示不满,认为 Copilot 未经授权地修改了他们的代码描述,这让他们感到困扰和冒犯。

在开发者社区的强烈反馈下,GitHub 迅速采取行动,已经完全关闭了 Copilot 在 PR 中自动插入广告的这项功能。 GitHub 官方也声明,他们目前以及未来都不会在 GitHub 平台上加入任何形式的广告。 这次事件反映了开发者对 AI 助手行为的期望和对平台透明度的要求。

New Washington state law bans noncompete agreements 307 points | 115 comments | by toomuchtodo

华盛顿州禁止非竞业协议:总结

华盛顿州州长鲍勃·弗格森(Bob Ferguson)近日签署了一项法律,该法律在全州范围内禁止非竞业协议(Noncompete Agreements)。

主要内容:

  • 法律概述: 该法案由州众议员丽兹·贝里(Liz Berry)推动,旨在禁止雇主通过合同限制员工在离职后创建或加入竞争企业的行为,即禁止非竞业协议。
  • 生效时间: 该法律将于2027年6月30日生效。
  • 适用范围: 从生效日起,所有位于华盛顿州的员工和企业都将无法执行限制性协议(即非竞业协议)。 新的非竞业协议将是违法的。
  • 通知义务: 雇主必须在2027年10月1日前以书面形式通知现任和前任员工,任何无效的非竞业协议。
  • 背景: 此举是在2019年一项限制非竞业协议的法律基础上进行的,该法律仅允许收入超过约126,859美元的员工和收入超过约317,147美元的承包商签订非竞业协议(具体数额基于2026年的收入阈值)。
  • 与联邦政策的对比: 华盛顿州的做法与前总统乔·拜登(Joe Biden)政府于2024年制定的全国范围内禁止非竞业协议的政策相呼应。 然而,美国联邦贸易委员会(FTC)今年撤销了该禁令。
  • 对非 solicitation 协议的澄清: 新法律也明确了禁止前员工招揽客户和同事的“非 solicitation 协议”(Nonsolicitation Agreements)。 虽然非 solicitation 协议与非竞业协议不同,且未被禁止,但法律规定其定义必须严格解释。
  • 其他州情况: 根据经济创新集团(Economic Innovation Group)的数据,加利福尼亚州、北达科他州、明尼苏达州和俄克拉荷马州等州也已实施了全面的非竞业协议禁令。

影响:

该法律被认为是华盛顿州劳动法的重要变化,将允许员工更自由地在不同工作岗位之间流动,并更容易创业。 律师事务所正在为企业提供指导,以应对此项新规定。

Show HN: 30u30.fyi – Is your startup founder on Forbes' most fraudulent list? 230 points | 97 comments | by not-chatgpt

《三十岁以下榜单欺诈观察》概要

本文标题为“三十岁以下榜单欺诈观察”(The Thirty Under Thirty Fraud Watch),主题是对“三十岁以下榜单”(Thirty Under Thirty)这类榜单背后,在“颠覆性创新”和“系统性欺诈”之间界限的微观分析。

核心观点:

文章旨在剖析“三十岁以下榜单”等类似榜单,在表面的赞扬和鼓吹“年轻创业者”的“颠覆性创新”之外,可能存在的潜在欺诈风险和系统性问题。 它并非简单地否定榜单的价值,而是强调需要更审慎地评估榜单中人物的成就和影响力,避免盲目推崇。

关键细节:

  • 榜单的流行和影响: 文章承认“三十岁以下榜单”等榜单在社会上的流行程度和影响力,它们往往被视为衡量年轻人成功和创新的重要指标。
  • 潜在的欺诈风险: 然而,文章指出,榜单的评选过程可能存在漏洞,容易被虚假宣传、过度炒作和“包装”所影响,从而导致一些实际上缺乏实质性成就的人被错误地推崇。
  • 系统性问题: 文章暗示榜单的评选标准和逻辑可能存在系统性偏见,例如,可能更倾向于选择那些符合特定形象或叙事的人,而忽略了其他同样有价值的创新者。
  • 微观分析: 文章强调需要对榜单中人物的成就进行“微观分析”, 深入考察其商业模式的真实性和可持续性,避免被表面的光环所迷惑。
  • 目的: 文章的目的是引发人们对榜单及其影响的批判性思考,鼓励更加客观和理性的评估年轻创业者的价值。

总结:

“三十岁以下榜单欺诈观察” 是一篇对“三十岁以下榜单”等榜单进行批判性分析的文章, 它探讨了榜单在激励和表彰年轻人创新方面的积极作用,同时也警示人们关注其潜在的欺诈风险和系统性问题,呼吁更加审慎和客观地评估榜单中人物的成就。 文章的重点在于提醒读者,在追逐“颠覆性创新”的同时,也要保持警惕,避免被虚假宣传和过度炒作所迷惑。

Turning a MacBook into a touchscreen with $1 of hardware (2018) 229 points | 100 comments | by HughParry

项目 Sistine:利用廉价硬件和计算机视觉将 MacBook 变成触摸屏

项目概述:

Project Sistine 是由 Kevin、Guillermo 和 Logan 共同开发的一个概念验证项目,旨在利用仅 1 美元(约 7 元人民币)的硬件和计算机视觉技术,将 MacBook 转化为触摸屏。该项目在 16 小时内完成,灵感来源于米开朗基罗的《创世纪》壁画。

核心原理:

Sistine 的核心原理是利用表面倾斜角度产生的反光现象。手指接触屏幕时会产生明显的反射,通过检测反射的位置,可以判断手指是否在屏幕上触摸或悬浮。

硬件构成:

该项目的硬件成本极低,主要包括:

  • 小型镜子
  • 硬纸板
  • 门铰链
  • 热熔胶

这些材料通过简单的组装,即可将镜子固定在 MacBook 的内置摄像头前方,并以一定角度调整摄像头,使其能够观察屏幕和手指的反射。

软件流程:

软件方面,Sistine 的处理流程主要包括以下几个步骤:

  1. 手指检测: 利用计算机视觉技术,首先通过过滤特定颜色和二值化处理来检测图像中的手指。
  2. 轮廓识别: 找到图像中手指和其反射的轮廓。
  3. 坐标确定: 确定手指和反射轮廓的中心点,并计算它们之间的垂直距离,从而判断是触摸还是悬浮。
  4. 坐标映射: 利用预先计算的单应性矩阵 (homography matrix),将摄像头坐标系中的触摸/悬浮点映射到屏幕坐标系。单应性矩阵是通过校准过程获取的,该过程需要用户在屏幕上触摸特定点以收集数据。RANSAC 算法用于稳健地估计单应性矩阵。

功能与未来改进:

目前,Sistine 将触摸/悬浮事件转化为鼠标事件,从而可以使现有的应用程序立即支持触摸操作。如果开发自定义的触摸应用程序,可以直接利用触摸数据,例如悬浮高度等信息。

项目团队表示,通过一些简单的改进,例如使用更高分辨率的摄像头和曲面镜子,Sistine 有可能成为一种实用且低成本的触摸屏系统。

开源:

Project Sistine 的代码已开源,并采用 MIT 许可证发布,地址为 https://github.com/bijection/sistine

Google's 200M-parameter time-series foundation model with 16k context 200 points | 82 comments | by codepawl

TimesFM: 时间序列基础模型概览

TimesFM (Time Series Foundation Model) 是 Google Research 开发的一种预训练时间序列基础模型,用于时间序列预测。 其相关信息如下:

核心信息:

TimesFM 2.5 的主要更新:

  • 参数量: 从 500M 减少到 200M。
  • 上下文长度: 增加到 16k,之前为 2048。
  • 分位数预测: 支持高达 1k 水平线的连续分位数预测,通过可选的 30M 分位数头实现。
  • 频率指示器: 已移除。
  • 新预测标志: 引入了一些新的预测标志。
  • 回归支持: 重新添加了通过 XReg 的协变量支持。

安装:

  1. 克隆代码仓库: git clone https://github.com/google-research/timesfm.git
  2. 进入代码目录: cd timesfm
  3. 创建虚拟环境并安装依赖项:
    • 使用 uv venv 创建虚拟环境。
    • 激活环境: source .venv/bin/activate
    • 安装包 (选择一种):
      • uv pip install -e .[torch] (使用 PyTorch)
      • uv pip install -e .[flax] (使用 Flax)
      • uv pip install -e .[xreg] (需要 XReg)
  4. (可选)根据操作系统和加速器(CPU、GPU、TPU 或 Apple Silicon)安装首选的 torch / jax 后端。

代码示例:

使用 PyTorch 的代码示例展示了如何加载模型、配置预测参数(例如最大上下文长度、最大预测水平线、是否归一化输入等),以及如何进行预测。 模型输出包括点预测和分位数预测。 点预测形状为 (2, 12),分位数预测形状为 (2, 12, 10) (均值,以及 10th 到 90th 百分位数)。

Learn Claude Code by doing, not reading 183 points | 92 comments | by taubek

Claude Code 学习总结

来源: Ahmed Nagdy

Claude Code 旨在通过实践而非阅读来帮助用户学习 Claude 代码。它提供了一个交互式学习平台,包含 11 个模块,涵盖从初级到高级的内容。

核心功能:

  • 无需安装,即时体验: 用户可以在浏览器中直接使用终端模拟器进行练习,无需任何设置或 API 密钥。
  • 交互式配置构建: 平台提供交互式表单,可以生成 CLAUDE.md、hooks 和插件配置文件,用户可以直接复制到自己的项目中。
  • 理解验证: 每个模块结束后都会有测验,答错时会提供解释,帮助用户理解概念,而不仅仅是给出正确答案。

学习模块:

  • 共有 11 个模块,从基础知识开始,逐步深入到高级内容。

探索工具:

除了学习模块,Claude Code 还提供了以下工具:

  • Playground (游乐场): 一个专门的、全尺寸的终端沙箱,用于练习命令。
  • Config Builder (配置构建器): 用于生成 CLAUDE.md、技能、代理、hooks、MCP 服务器和插件的配置文件。
  • Cheat Sheet (备忘单): 可打印的常用命令、快捷键和文件的列表。
  • Feature Index (功能索引): 根据类型、级别、类别和模块搜索完整的 Claude Code 功能列表。
  • Resources (资源): 提供模板包、外部指南和社区链接。

链接:

Take better notes, by hand 183 points | 84 comments | by sonicrocketman

研究笔记整理系统:从数字工具到纸质笔记本

本文分享了作者自己用于研究和整理笔记的系统,强调了纸质笔记本的重要性,并介绍了如何有效地利用纸质笔记本进行知识管理。该系统由四个部分组成,按重要性递增排列:

  1. Pinboard: 用于保存PDF和网页链接,并提供全文搜索功能。
  2. Books.app: iOS/macOS应用,用于导入PDF文件并按主题进行整理。
  3. Book Tracker: 应用,通过OCR技术保存长引用。
  4. 纸质笔记本: 作者最常用的工具,认为手写笔记更有利于记忆和理解。

纸质笔记本的优势:

  • 减少干扰,更专注。
  • 不受地点限制,随时随地可以记录。
  • 具有物理的进度条,便于追踪进度。

纸质笔记本的缺点及解决方案:

纸质笔记本存在空间有限、笔记分散等问题,但可以通过以下方法解决:

有效的笔记方法:

  • 日期记录: 每一页、每一条笔记都记录日期,方便追溯。
  • 页码和索引: 为笔记本添加页码(通常只添加奇数页),并在前面或后面几页留出空间创建索引。索引内容包括书籍名称、主题变化、有趣的引言等,并记录日期。
  • 右页记录,左页补充: 只在右页记录笔记、引言和想法,在左页或边栏用铅笔记录后续思考、指向相关页面的提示等。奇数页表示正文内容,偶数页表示补充信息。
  • 笔记本分类: 使用不同的笔记本记录不同类型的内容,如读书笔记、随想、写作思路、特定研究项目等。

总结:

作者的笔记系统旨在扩大思维空间,通过有效的组织和记录方法,克服纸质笔记本的缺点,提升研究效率。该系统结合了数字工具和传统手写笔记的优点,强调了手写笔记在记忆和理解信息方面的独特价值。

Android Developer Verification 168 points | 153 comments | by ingve

Android 开发者验证计划:增强平台安全性的措施 (Android Developer Verification Program: Measures to Enhance Platform Security)

谷歌推出了 Android 开发者验证计划 (Android Developer Verification Program),旨在提升 Android 平台的安全性,并平衡开放性和用户安全。该计划是应对恶意软件问题的回应,数据显示从非 Google Play 渠道安装的恶意软件数量是 Google Play 中的 90 倍以上。

核心要点:

  • 背景: Android 致力于开放和安全,但非官方渠道安装应用存在安全风险。
  • 目标: 通过开发者验证,减少恶意应用传播,保障用户安全,同时保持 Android 的灵活性。
  • 验证流程:
    • 立即开始: 所有开发者现在可以在 Android 开发者控制台 (https://android.google.com/developerconsole) 或 Google Play 控制台 (https://play.google.com/console/u/0/developers/android-developer-verification) 进行验证。已在 Play Console 验证身份的开发者可能已完成验证。
    • 用户体验影响: 大部分用户的应用安装体验在今年晚些时候之前不会发生变化。用户侧面的保护措施将于 2026 年 9 月在巴西、印度尼西亚、新加坡和泰国率先推出,之后于 2027 年在全球范围内扩展。
    • 开发者集成: Android Studio 将显示应用的注册状态,方便开发者查看。Play Console 将显示每个应用的注册状态,并允许开发者注册在 Play 以外渠道分发的应用。
  • 特殊群体:
    • 学生和爱好者: 提供免费、无需政府 ID 的有限分发账户,允许用户在最多 20 个设备上分享应用 (https://google.qualtrics.com/jfe/form/SV_4N7NGE06NjJJdl4),6 月份将开始提供早期访问权限。
    • 高级用户: 仍可选择从任何来源安装应用,可以使用高级流程或 ADB 进行 sideload。
  • 关键时间表:
    • 4 月 2026: 引入 Android 开发者验证器 (Android Developer Verifier),用于检查应用是否已注册到验证的开发者。
    • 6 月 2026: 学生和爱好者的有限分发账户早期访问权限开始。
    • 8 月 2026: 全球范围内推出有限分发账户和高级流程。
    • 2026 年 9 月 30 日: 在巴西、印度尼西亚、新加坡和泰国,应用必须由验证的开发者注册才能安装和更新。
    • 2027 年及以后: 全球范围内实施此要求。

总结: Android 开发者验证计划旨在通过开发者验证来提高 Android 平台的安全性,同时保留 Android 的开放性和灵活性,并提供针对不同用户群体的特殊支持。 开发者应尽快开始验证流程,以确保应用能够继续在 Android 设备上分发。

I'm betting on ATProto 137 points | 124 comments | by speckx

ATmosphereConf 总结:对去中心化社交媒体的希望与展望 (Summary of ATmosphereConf: Hope and Prospects for Decentralized Social Media)

本文讲述了作者参加 ATmosphereConf 后的感想,并探讨了去中心化社交媒体协议 ATProto 的潜力,以及其对未来社交媒体的积极影响。

社交媒体的困境:

作者长期以来对主流社交媒体平台持批判态度,认为这些平台最初以人为本,但为了盈利转向了广告驱动的模式。这种模式导致算法优化用户参与度,推送更多有争议的内容,最终导致用户孤独、失去信任和自主权,并被平台所操控。

ATProto:一种新的解决方案:

ATProto 是 Bluesky 以及其他 Atmosphere 应用背后的底层协议。其核心理念是数据可移植性:用户拥有自己的数据(包括社交关系、帖子、点赞等),可以自由地在不同的 ATProto 应用之间切换,而不会丢失数据。这避免了用户被平台所绑架的困境。

Atmosphere 生态系统:

Bluesky 是 Atmosphere 中最知名的应用,但并非唯一。 Atmosphere 正在蓬勃发展,涌现出许多其他应用,例如:

  • Stream.place:用于直播视频内容
  • Flashes:用于图片分享
  • Skylight Social:用于视频分享
  • OpenSocial.community:作者开发的用于创建跨应用社区的 ATProto 应用

由于数据存储在多个 PDS (Personal Data Server) 中,Atmosphere 被认为是去中心化的协议,避免了单一实体对所有数据的控制。

ATmosphereConf 的意义:

ATmosphereConf 是一个跨学科的会议,汇集了软件开发者、记者、科学家等不同领域的专业人士,共同探讨如何利用 ATProto 改善社会。会议强调了以下几点:

  • 社区的力量: 尽管 ATProto 是一个去中心化的协议,但参与者们却成功地构建了一个紧密的社区,共同致力于实现目标。
  • 技术赋能: ATProto 不仅可以用于社交媒体,还可以应用于科学研究、新闻分享等其他领域。
  • 互操作性: 开发者们愿意牺牲部分个人利益,共同构建互操作的系统,以服务更广泛的用户。

作者的决心:

作者认为,在当今社会,人们渴望建立更真实、更人性化的在线连接。她相信 ATProto 提供了实现这一目标的潜力,并计划投入更多精力开发基于 ATProto 的应用,特别是 OpenSocial.community,旨在为不同平台上的社区提供统一的治理结构。

总结:

作者表达了对 ATProto 和 Atmosphere 社区的乐观态度,认为它们有望创造一个更人性化、更去中心化的社交媒体未来。她鼓励更多人参与到这一社区中,共同构建一个更好的互联网。

America Is Now a Rogue Superpower 134 points | 99 comments | by JumpCrisscross

美國與伊朗戰爭及其對全球格局的影響 (美国与伊朗战争及其对全球格局的影响)

本文分析了美國與伊朗戰爭可能造成的深遠後果,指出這場戰爭不僅暴露了當前多極世界的脆弱性,也加劇了美國與盟友之間的裂痕,強化了俄羅斯和中國等擴張勢力的影響力,並可能導致全球政治和經濟的混亂。

主要觀點:

  • 盟友關係受損: 戰爭對歐洲盟友造成了戰略上的重大挫折。俄羅斯與烏克蘭的戰爭已經讓歐洲面臨威脅,而美國對伊朗戰爭的態度讓歐洲更加擔心美國是否會繼續支持歐洲的安全。美國對歐洲的漠不關心,例如對俄制油禁令的解除,加劇了這種擔憂。
  • 亞洲盟友的困境: 亞洲國家,尤其是日本,高度依賴中東的石油供應,戰爭導致霍爾木茲海峽受阻,對其造成了嚴重的能源危機。同時,美國將太平洋艦隊調往波斯灣,削弱了對中國威脅的應對能力,特別是針對台灣的潛在威脅。
  • 俄羅斯和中國的受益: 儘管俄羅斯和中國沒有直接介入伊朗戰爭,但這場戰爭為他們提供了機會。俄羅斯通過提供衛星圖像和無人機技術幫助伊朗,而中國則利用伊朗允許其油輪安全通過。兩國都從美國將注意力集中在中東而獲得了利益,削弱了美國在亞洲地區的影響力。
  • 美國利益的扭轉: 傳統上,美國在中東的介入並非出於該地區本身的國家安全利益,而是為了維護全球聯盟和航運自由。然而,特朗普政府將美國的國家安全利益重心轉向了本土安全和西半球霸權,使得在中東的介入顯得不合邏輯。
  • 聯盟體系的瓦解: 美國的單邊行動和對盟友的威脅,導致全球對美國的信任度下降。歐洲和亞洲國家不再將美國視為可靠的夥伴,轉而尋求其他大國的支持,這可能導致美國長期以來建立的聯盟體系瓦解。
  • 美國孤立化: 戰爭加劇了美國與世界其他地區的關係緊張,可能導致美國在全球舞台上更加孤立。

總結:

美國與伊朗戰爭不僅是一場軍事衝突,更是一場暴露美國外交策略失誤的事件。它加速了全球力量格局的轉變,削弱了美國的影響力,並可能導致更為動盪不安的國際秩序。這場戰爭也突顯了美國需要重新評估其全球利益和盟友關係,以應對一個日益多極化的世界。

Vulnerability research is cooked 132 points | 99 comments | by pedro84

人工智能时代漏洞研究的变革:总结

本文预测了人工智能编码代理将在未来几个月内彻底改变漏洞研究的实践和经济性,并对信息安全和互联网产生深远影响。作者认为,这一转变已经板上钉钉,并从 Anthropic 的 Claude Opus 4.6 生成 500 个高危漏洞的案例中看到了初步证据。

核心观点:

  • 漏洞研究的本质: 漏洞并非隐藏在安全相关的代码中,而是通过追踪程序中输入数据的流动路径来发现,例如字体渲染代码。
  • 精英关注的稀缺性: 过去漏洞研究的进展受到精英人才的关注程度的限制,而这一限制即将被打破。
  • 人工智能的优势: 大型语言模型 (LLM) 拥有海量代码的关联知识,以及对各种漏洞类型的了解,并且能够进行高效的模式匹配和约束求解,这使得它们在漏洞研究方面具有天然优势。
  • 简单有效的流程: Nicholas Carlini 在 Anthropic 的实验表明,只需一个简单的 bash 脚本,就可以让 LLM 快速发现大量漏洞,验证率接近 100%。
  • 不仅仅是内存损坏: LLM 驱动的漏洞研究不仅限于内存损坏,还适用于各种类型的漏洞,例如 Rails 应用中的 YAML 解析漏洞。
  • “苦涩教训”的应验: Richard Sutton 的“苦涩教训”指出,数据和算力才是 AI 发展的关键,LLM 在漏洞研究领域的应用正是这一教训的体现。
  • 关注点的转移: 以往漏洞研究需要花费大量时间在耗时的拼图游戏中,而现在有了通用的拼图解决方案。
  • 行业变革的冲击: LLM 将取代大部分人工漏洞研究,并对 Chrome、iOS 和 Android 等主流平台带来冲击。
  • 新威胁的出现: 漏洞将不再局限于大型目标,而是会蔓延到各种网络设备,包括洗碗机,这会增加勒索软件攻击的风险。
  • 开源项目的挑战: 大量漏洞报告的涌入可能会给开源项目带来压力,项目可能难以跟上修复漏洞的速度。
  • 安全防御的困境: 闭源代码在 LLM 面前显得脆弱,因为 LLM 可以直接从汇编代码进行推理。
  • 政策风险: 公众对 AI 的关注可能会导致对人工智能驱动的安全研究进行不合理的监管。

总结:

作者认为,人工智能驱动的漏洞研究将迅速普及,并对软件安全行业带来颠覆性变革。 虽然高级漏洞研究可能仍需要人类的专业知识,但大部分漏洞发现工作将由 LLM 代理完成。 这种转变可能会导致漏洞数量激增,给安全团队带来新的挑战,并需要重新评估安全研究的价值和方向。

Universal Claude.md – cut Claude output tokens by 63% 129 points | 55 comments | by killme2008

Claude 输出简洁化方案:CLAUDE.md 简介 (Claude Output Verbosity Reduction: An Introduction to CLAUDE.md)

本文介绍了 CLAUDE.md 文件,这是一个简单易用的解决方案,旨在显著减少 Claude 对话的冗余信息,从而节省 token 费用。无需修改任何代码,只需将该文件放入项目根目录即可生效。

问题:

Claude 默认输出包含冗余信息,例如:

  • 礼貌性开场白(“Sure!”, “Great question!”)
  • 冗长结尾语(“I hope this helps! Let me know if you need anything!”)
  • 格式化噪音(em dash、智能引号、Unicode 字符)
  • 重复提问
  • 不必要的建议
  • 过度工程化的代码
  • 对错误陈述的盲目认同

这些因素都导致 token 浪费,而没有增加实际价值。

解决方案:

CLAUDE.md 文件放入项目根目录。Claude Code 会自动读取并应用其中的规则,立即改变输出行为。

适用场景与不适用场景:

  • 适用:
    • 高输出量的自动化流程(简历机器人、代理循环、代码生成)
    • 重复执行的结构化任务,冗余输出累积效应明显
    • 需要跨会话保持一致且可解析输出格式的团队
  • 不适用:
    • 单次简短查询(增加上下文加载开销)
    • 偶尔使用(低输出量情况下反而增加成本)
    • 解决幻觉或架构漂移等深层问题(需要更复杂的钩子和验证机制)
    • 每次任务使用全新会话(无法充分利用 CLAUDE.md 的优势)
    • 需要高可靠性的解析(建议使用 API 提供的结构化输出,例如 JSON 模式或工具使用)
    • 需要充分讨论和探索性工作的场景(CLAUDE.md 的规则可能会限制灵活性)

重要权衡: CLAUDE.md 文件本身会消耗输入 token。节省的 token 来自于减少输出,只有当输出量足够大以抵消持续的输入成本时,才能实现净收益。

基准测试结果:

通过对 5 个提示语进行对比测试,发现使用 CLAUDE.md 后,输出长度平均减少了 63%。

  • 解释 async/await:减少 64%
  • 代码审查:减少 75%
  • 解释 REST API:减少 50%
  • 幻觉纠正:减少 64%
  • 总计: 减少 63%

成本节约:

  • 每天 100 个提示:约 9,600 token,每月 0.86 美元
  • 每天 1,000 个提示:约 96,000 token,每月 8.64 美元
  • 3 个项目组合:约 288,000 token,每月 25.92 美元

规则说明:

CLAUDE.md 文件定义了一系列规则,用于解决 Claude 的常见问题,例如:

  • 禁止礼貌性开场白和结尾语
  • 禁止重复提问
  • 强制输出使用 ASCII 字符
  • 禁止不必要的免责声明
  • 禁止不必要的建议
  • 强制使用最简单的解决方案
  • 当对事实不确定时,必须说“我不知道”
  • 将用户更正视为会话的基础

使用方法:

  • 下载 CLAUDE.md 文件并放入项目根目录。
  • 可以选择不同的配置文件 (coding, agents, analysis) 以适应不同项目类型。

社区贡献:

欢迎社区成员提交新的规则,以解决更多的问题。

总而言之,CLAUDE.md 提供了一种简单有效的方法来减少 Claude 输出的冗余信息,从而节省 token 费用,提升工作效率。

“CEO said a thing” journalism 128 points | 71 comments | by LordAtlas

美国媒体现状:充当企业代言人的“CEO说了什么!”新闻

本文批评了美国媒体的现状,指出其普遍存在的问题是充当企业利益的代言人,尤其体现在一种被称为“CEO说了什么!”的新闻模式中。

核心观点:

  • 媒体服务于企业利益: 美国媒体长期以来,实际上服务于大型企业和“攫取阶层”的利益,而非公众利益。这种现象已逐渐被普遍接受,新闻报道中缺乏对企业主张的质疑和批判。
  • “CEO说了什么!”新闻模式: 这种模式指媒体未经核实、缺乏背景和批判性分析,直接转述企业高管的言论,无论这些言论是否真实或有益。文章举例说明了埃隆·马斯克、山姆·奥特曼、马克·扎克伯格等人的相关新闻报道,以及Epic Games CEO蒂姆·斯威尼关于AI游戏生成能力的言论。
  • 缺乏客观性和批判性: 媒体在报道中避免挑战CEO的言论,忽略历史背景和专家意见,甚至不追溯CEO承诺的实际成效。
  • 媒体的本质: 这种新闻模式并非为了向读者传达事实,而是为了服务于MBA、广告商、活动赞助商和消息来源,让他们在道德担忧中,感受到自身“聪明”的一面。
  • 对公共利益的损害: 这种模式导致媒体对腐败和现实影响视而不见,阻碍了真正公共利益报道的进行。
  • 行业内的普遍性: 这种现象在整个美国媒体行业普遍存在,尤其是在商业和科技新闻领域。

总结:

文章认为,美国媒体已经沦为企业利益的工具,通过“CEO说了什么!”新闻模式等方式,构建了一个与现实脱节的替代现实,最终损害了公众利益和新闻的客观性。作者对美国媒体行业现状感到失望,认为其改善的可能性不大。

You are falling behind because you haven't fed the insincerity machine 126 points | 31 comments | by speckx

社交媒体的异化:对自动化和虚假参与的反思 (Social Media's Distortion: Reflections on Automation and False Engagement)

本文作者,一位社交媒体平台的早期参与者,同时也是开发者关系领域的从业者,分享了他对当前社交媒体环境的观察和担忧。以下是文章的主要观点:

1. 社交媒体的衰落与异化: 作者认为社交媒体正逐渐被“武器化”和“自动化”,失去了最初的人性和社交属性。 曾经的社交媒体是人们分享想法、交流信息和创造解决方案的平台,而现在却被简化为追求增长和数字的工具。

2. AI 社交媒体写作工具的出现: 作者发现了新的AI工具,可以模仿用户语气,自动撰写帖子和评论,甚至可以根据用户的历史活动生成内容。他认为这种工具进一步加剧了社交媒体的虚假参与,将人类的思考和创造力排除在外。作者也提到,类似的AI工具已经广泛应用于各行各业,导致开发者关系领域也充斥着自动化工具。

3. 作者的个人立场: 作者明确表示拒绝使用此类自动化工具,他认为这会传递出一种虚假的参与感和可访问性。他更倾向于真实地参与讨论,分享自己的想法和经验,而不是为了发布而发布。

4. 社交媒体的毒性与平台责任: 作者批评了社交媒体平台,认为它们对“rage bait”(煽动情绪)内容的容忍度过高,甚至从中获利。他呼吁人们对明显的自动化行为进行批判,并拒绝平台鼓励其进行更多互动性内容创作的要求。

5. 真实参与的重要性: 作者通过一个关于Foursquare的经历,强调了真实参与的重要性。他认为,与其通过虚假的“签到”来营造存在感,不如坦诚地表达自己的感受,例如,分享自己的压力和焦虑,展示人类的脆弱性。他呼吁人们在社交媒体上保持真实,只有在能够真实参与时才进行互动,避免使用“虚拟替身”来代替自己。

6. 总结: 作者呼吁人们回归社交媒体的本质,强调真实、人性化的参与,并呼吁平台承担起更多责任,避免将社交媒体变成一个追求数字和煽动情绪的机器。 他认为,保持真实和诚实是社交媒体参与的关键,即使这意味着牺牲一些“增长”和“数字”。

OCR for construction documents does not work, we fixed it 120 points | 86 comments | by wcisco17

AnchorGrid API: /drawings/detection/doors Endpoint 总结

该文档描述了AnchorGrid API中用于在建筑平面图PDF中检测门(POST /v1/drawings/detection/doors)的endpoint。

功能:

该endpoint 接受已上传的PDF文档的 document_id, 启动门检测推理任务,并返回一个 job ID,用于后续查询结果。 检测结果以PDF坐标系中的边界框形式返回。

输入:

  • 请求方式: POST
  • 认证: 使用 X-API-Key header 进行身份验证。
  • 请求体 (JSON):
    • document_id (string, UUID): 已上传PDF文档的ID。 必须属于当前账户且未过期。
    • page_numbers (int[]): 需要扫描的1-based页码列表。 省略则扫描所有页。 超出范围的页码会被跳过,但仍会计费。
    • webhook_url (string): 用于接收完成任务payload的URL。仅在developer, pro, 和 enterprise 级别可用。

计费:

  • 根据 page_numbers 长度(或文档总页数,如果省略 page_numbers)计费,每页2个credits。
  • 实际检测到门的页数不影响计费。
  • 建议仅发送有效的页码索引以避免过度计费。

响应:

  • 202 Accepted: 任务已成功入队。 需要轮询 GET /v1/jobs/{job_id} 直到 statuscompletefailed
    • job_id (string, UUID): 用于轮询结果的job ID。
    • status (string): 初始状态为 queued
    • poll_url (string): 轮询URL的路径部分,需要加上 https://api.anchorgrid.ai 才能构成完整的URL。

结果结构 (当 status === "complete"model === "door-detector" 时):

  • document_id: 原始文档的UUID。
  • doors (array): 经过服务器端几何过滤后的门检测结果列表。
    • doors[].id: 稳定的标识符("door_" + 12个十六进制字符)。
    • doors[].page: 门检测到的1-based PDF页码。
    • doors[].bbox: PDF坐标系中的轴对齐边界框 (x1, y1, x2, y2)。
  • doors_found: 服务器端几何过滤后的门检测数量。
  • pages_analyzed: 实际扫描的页数。
  • model_version: 例如 door-detector-v1.0.0
  • processing_time_ms: 推理任务的运行时间(毫秒)。

限制和费用:

  • 成本: 每扫描页2 credits。
  • 速率限制: 不同层级有不同的每分钟请求数 (RPM):5/60/120/300。
  • 免费层级: 402个credits的生命周期上限。
  • 开发者/专业版: 每月429个credits的配额。
  • 企业版: 无配额限制。
  • 速率限制错误 (429) 会在响应体中包含 retry_after_seconds。 配额错误 (429) 和速率限制错误 (429) 返回相同的状态码,需要查看错误体来区分。

错误代码:

  • 401: 缺少或无效的 X-API-Key
  • 402: 免费层级的生命周期credit上限已达标。
  • 404: document_id 未找到或已过期。
  • 422: 验证错误 — 格式错误的UUID或无效的body。
  • 429: 速率限制或每月配额已超过。