24小时热榜

安全工业复合体推销的是一堆情绪数据表、严重性徽章和仪式扫描。然而，在关键时刻，它却拒绝一个简单而成熟的问题：你真的能攻破它吗？ 香农（Shannon）回答是肯定的。它做了一件不合时宜的事：尝试漏洞、发送收据，或者闭嘴。没有漏洞，就没有报告。这句话直接消除了半数的仪式和所有迷信。 Shannon Uncontained 是为那些不需要容器来运行 Node、并不总是拥有源代码、也不向单一大型语言模型（LLM）供应商宣誓效忠的人设计的。它原生运行，支持 Claude、GPT-4.1，并可以通过 GitHub 模型和本地（Ollama/llama.cpp/LM Studio）连接。 当你只有一个 URL 和权限时，它会进行爬虫、指纹识别，并组装伪源代码——一个结构化的路由、输入和流的模型——然后将其交给同样以漏洞为先的管道。少些香火，多些影响。 这是一款表现得很认真负责的渗透测试工具： 如果它无法让漏洞发挥作用——无论是 shell、XSS、身份验证绕过还是 SSRF——它就不会将其记录为真理。它将你的混乱映射到 OWASP 前十名，生成供审计员使用的 SARIF 格式，供人类使用的 JSON/HTML，并保持一个真正的审计记录，而不是一份自白。 它可以无缝融入 CI/CD，而无需容器伪装，因为“可移植”不应该意味着“伪装成 JavaScript 的 Linux”。 是的，语气是对抗性的。这是因为默认状态是自满。“我们运行了扫描器”只是摇篮曲。如果你的应用程序可以被攻破，你的管道应该在其他人发现之前就先找到问题。 如果伪源代码的概念让你感到反感，那很好——告诉我它哪里失败了。如果你认为它有用，告诉我你希望在 CI 中设置的保护措施（超时、范围限制、身份验证流程）。无论如何，前提是：没有概念验证的怀疑就像是用 YAML 进行的占星术。 代码库： [https://github.com/steake/shannon-uncontained](https://github.com/steake/shannon-uncontained)

“持续学习”被认为是大型语言模型（LLMs）的一个“障碍”：它们无法在工作中学习，无法随着时间的推移而改进等。特别是，Dwarkesh Patel将其描述为必须解决的一系列问题，以实现通用人工智能（AGI）。 许多学术文章提出了一种记忆系统，可能被视为“持续学习”的一种形式。但大多数评估侧重于记忆事实，这实际上并不是很有用（通过工具使用获取事实比将其存储在神经记忆中更好），而这些提议可能不太适合常见的LLM API使用模式。 在这篇文章中，我提出了一种“新”的方法，称为“技能胶囊”，这种方法非常务实，易于理解和评估，并且可能很好地融入现有工具中。 技能胶囊是一个具体的对象——基本上是一组向量。你可以将其插入到LLM上下文的某个中间位置，从而提高在特定技能上的表现，例如，使工具调用更加可靠，使用特定的写作风格、编码风格等。理论上，它可以用来修补任何LLM的不足。一个胶囊可以包含知识（例如，如何调用特定的API或编写涉及特定库的代码）。 技能胶囊可以通过对“单个示例”的单次前向传播生成，而不需要梯度或“微调”。因此，它可能允许LLM“在工作中学习”——即通过一次正确执行某项操作的演示，可以用来创建一个胶囊。 你可能会问——为什么是“Show HN”，而不是学术文章？因为研究人员已经知道这种方法——它被称为“软提示”、“超网络”、“引导向量”、前缀调优等。所有这些术语都很糟糕，并不能传达这种方法的可能性。我只是希望更多的人知道LLM可以即时改进。而一个更好的术语——“技能胶囊”——可能会帮助人们思考如何应用这些技术（我希望如此）。 另一个原因是它是“Show HN”： * 它展示了一个人可以在几天内使用Claude Code和几美元的GPU费用进行一种相当酷的机器学习实验 * 以及我如何到达那里的一些有趣故事