最新

我创建了 react-kino，因为我希望在 React 中实现类似 Apple 的滚动体验，而不想引入 GSAP（仅 ScrollTrigger 就占用了 33KB）。<p>核心滚动引擎压缩后不到 1KB。它使用 CSS 的 position: sticky 和一个间隔 div 来实现固定效果——与 ScrollTrigger 使用的技术相同，但没有任何依赖。<p>提供 12 个声明式组件：Scene、Reveal、Parallax、Counter、TextReveal、CompareSlider、VideoScroll、HorizontalScroll、Progress、Marquee、StickyHeader。<p>支持服务器端渲染，尊重 prefers-reduced-motion，兼容 Next.js App Router。<p>演示：<a href="https:&#x2F;&#x2F;react-kino.dev" rel="nofollow">https:&#x2F;&#x2F;react-kino.dev</a> GitHub：<a href="https:&#x2F;&#x2F;github.com&#x2F;btahir&#x2F;react-kino" rel="nofollow">https:&#x2F;&#x2F;github.com&#x2F;btahir&#x2F;react-kino</a> npm：npm install react-kino

《点》，是《低球》中的一款政治游戏。

谷歌的 C++/Java/Python 风格指南是经过深思熟虑、经过艰苦斗争而形成的，富有智慧，能够消除大量错误，同时尽量减少有害且不必要的不一致性。它们选择了一种风格，充分利用了当时最佳的认知。 这种意图依然伟大，但现在我们应该考虑为构建本质上都是 AI 生成的程序制定良好的通用规则。什么样的通用智慧能够导致灵活、可审计、可组合和稳健的应用程序和系统？

AI发布的内容正变得与人类发布的内容难以区分，我们在HN（Hacker News）上可以看到这一点。网站运营者的传统反应是逐步加强验证系统，以区分机器人和人类，但这最终会导致匿名性的消失。 这并不是一场反对AI的抨击。如果未来的AI代理确实能够发布高质量的内容，并希望正常使用该网站，那是可以接受的。我所谈论的是那些拥有数百个新账户的垃圾邮件活动。我们需要对此问题的新解决方案。 我将首先提出一个可能适用于HN及类似论坛的解决方案。欢迎在评论中对其进行修改或提出不同的想法。以下是我的建议： 对于已登录用户，服务器不再对帖子和评论进行排名，而是仅提供一个按时间顺序排列的动态信息流，以及当前已登录用户的投票历史。 以时间顺序的动态信息流为基础，您过去的每一次投票都会稍微改变您信息流的排名，这一计算是在客户端进行的。您更有可能在顶部看到您过去点赞的用户的帖子和评论。 简而言之，这意味着新账户将看到一个完全按时间顺序排列的信息流，而已建立账户将看到一个仅由他们自己过去的投票所修改的信息流。 对于未登录用户，公共信息流仍将由服务器进行排名，这一点没有变化。 因此，每个用户在登录时都会获得一个完全个性化的信息流，但这并不是一个孤立的泡沫，因为n=1。而且通过注销，用户很容易就能跳出这个泡沫。 垃圾邮件机器人可以随意发布和投票，但它们不会对核心用户群的体验产生太大影响，因为这些机器人只能访问按时间顺序排列的信息流。它们没有积累的品味，因此无法在真实对话中进行大量的垃圾投票和回复。

嗨，HN， 几天前我在这里发布了SkillFortify，作为一种针对三种代理技能格式的正式验证工具。根据反馈，v0.3现在支持22种代理框架，并且可以在零配置的情况下扫描整个系统。 问题是：在2026年1月，ClawHavoc活动在代理市场中植入了1200个恶意技能。CVE-2026-25253是代理软件中的第一个远程代码执行（RCE）漏洞。研究人员记录了6000多个恶意代理工具。行业对此的回应是使用启发式扫描器——模式匹配、YARA规则、LLM作为评判者。一款流行的扫描器在其文档中指出：“没有发现并不意味着没有风险。” SkillFortify通过正式验证消除了这一警告。 它的功能： ``` pip install skillfortify skillfortify scan ``` 就这么简单。没有参数，没有配置文件，没有路径。它会自动发现您机器上所有AI工具，支持23种以上的IDE配置： ``` [*] 正在自动发现系统上的AI工具... [+] 找到：Claude Code（12个技能） [+] 找到：Cursor（8个技能） [+] 找到：VS Code MCP（5个服务器） [+] 找到：Windsurf（3个技能） [*] 正在扫描4个工具中的28个技能... 结果 严重：2个技能存在能力违规 高：3个技能权限过大 清洁：23个技能通过所有检查 ``` 支持的22种框架包括：Claude Code、Cursor、VS Code、Windsurf、Gemini、OpenCode、Cline、Continue、Copilot、n8n、Roo、Trae、Kiro、Kode、Jules、Junie、Codex、SuperVS、Zencoder、CommandCode、Factory、Qoder——并且可以自动发现未知工具。 为什么选择正式验证而不是启发式：启发式扫描器检查已知的恶劣模式，而新型攻击则可能逃过检测。SkillFortify验证技能所能做的与其声称的能力。五个数学定理保证了其正确性——如果它说安全，那么它在可声明的能力范围内是可证明的。 在540个技能基准测试（270个恶意，270个良性）中的结果： - F1 = 96.95% - 精确度 = 100%（零假阳性） - 召回率 = 94.07% - 速度：每个技能约2.5毫秒 9个命令行命令： - scan — 自动发现并分析您系统上的所有AI工具 - verify — 正式验证单个技能 - lock — 生成skill-lock.json（类似于代理技能的package-lock.json） - trust — 计算渐进的信任评分（L0-L3，灵感来自SLSA） - sbom — 生成CycloneDX 1.6代理软件材料清单 - frameworks — 列出所有22种支持的框架及其检测状态 - dashboard — 生成独立的HTML安全报告（零依赖） - registry-scan — 在安装之前扫描MCP/PyPI/npm注册表 - verify --recursive — 批量验证整个目录树 1818个测试，22个解析器，97个源模块，MIT许可。已在Zenodo上进行同行评审的论文。 GitHub: [https://github.com/varun369/skillfortify](https://github.com/varun369/skillfortify) PyPI: [https://pypi.org/project/skillfortify/](https://pypi.org/project/skillfortify/) 论文: [https://zenodo.org/records/18787663](https://zenodo.org/records/18787663) Wiki: [https://github.com/varun369/skillfortify/wiki](https://github.com/varun369/skillfortify/wiki) 登陆页面: [https://www.superlocalmemory.com/skillfortify](https://www.superlocalmemory.com/skillfortify) 这是我在研究如何使AI代理足够可靠以用于生产的一部分。伴随项目AgentAssert（arXiv:2602.22302）处理行为合约——SkillFortify则处理供应链。 欢迎提问有关正式模型、框架支持或自动发现的问题。