最新

嗨，HN，我为那些尚未拥有专门安全团队的团队构建了一个基于假设的AI安全评估工具。 您只需粘贴您的AI用例（它的功能、数据类型、供应商、部署方式）。大约10分钟后，您将通过电子邮件收到一份PDF报告，内容包括： - 信任边界 + 数据流 + 威胁模型图（明确标记为概念性/基于假设） - 映射到STRIDE + MAESTRO（代理AI）的威胁 - 风险评级（影响/可能性） + 5×5风险矩阵 - 推荐的安全控制措施和合规映射（例如：欧盟AI法案，NIST AI 600-1） 重要提示：我们会做出一些假设（例如：AWS部署、常见模式），并在报告中指出，以便您进行更正。 链接： [https://raxit.ai/assessment](https://raxit.ai/assessment) 希望能收到关于哪些地方有问题、缺失的内容，以及如何使其在实际安全审查中更有用的反馈。

Carapace 是一个用 Rust 编写的开源个人 AI 助手网关。它可以连接到 Anthropic、OpenAI、Ollama、Gemini 和 Bedrock，并通过 Discord、Telegram、Signal、Slack 以及 Webhook 进行工作。该项目采用 Apache-2.0 许可证。 我在 2026 年 1 月 OpenClaw 安全漏洞披露后开始构建它——在 Shodan 上发现了 42,000 个暴露的实例（其中 78% 仍未修补），3 个具有公开利用代码的 CVE，ClawHub 上有 341 个以上的恶意技能（Snyk 发现 36% 的技能存在安全缺陷），通过控制界面实现一键远程代码执行（RCE），以及被普通信息窃取工具可获取的明文凭据。这些问题并不是漏洞，而是架构决策——默认开放、没有签名、完全主机权限、秘密存储在 JSON 文件中。来自 Kaspersky、Palo Alto、Snyk 和 SecurityScorecard 的 2 月份报告使情况变得更糟，而不是更好。 Carapace 采取了相反的默认设置：仅限本地主机绑定、关闭式身份验证、操作系统钥匙串凭据存储、使用 Ed25519 签名的 WASM 插件并进行能力沙箱化、执行批准的提示保护、SSRF/DNS 重新绑定防御。安全比较文档详细介绍了每个 OpenClaw 漏洞以及 Carapace 如何处理这些漏洞：<a href="https://github.com/puremachinery/carapace/blob/master/docs/security-comparison.md" rel="nofollow">https://github.com/puremachinery/carapace/blob/master/docs/security-comparison.md</a> 这是一个预览版本——Discord 的端到端功能正常，约有 5,000 个测试通过，但控制界面的前端尚未构建，子进程沙箱化功能也尚未完全实现。安全架构是真实的；但细节尚未打磨完善。

感觉所有必要的组件终于可以用来构建一个自我强化的发展循环了。理论上，我们现在可以让像Claude Code或OpenClaw这样的工具监控一个git仓库，分析已完成工作的抽象，然后自主生成能够处理未来类似任务的新代理或技能。 有没有人成功运行过这样的循环？我很好奇这里是否有人将大部分时间从编写代码转向构建这些系统——本质上是在自举代理，使其能够从仓库历史中学习，以构建更好的代理。我很想听听那些在这方面不断突破的人。

我们刚刚开发了一款基于网页的操作系统，允许您在任何设备的浏览器中运行像Blender、DaVinci、Isaac Sim等应用，延迟低于20毫秒。 每个应用程序独立运行，不会共享其他应用程序的资源，您甚至可以通过一次点击轻松切换每个应用的计算资源。 它拥有统一的文件系统和自定义终端，便于更多的定制开发。 目前这是一个非常早期的版本，但我们非常希望能听到您对产品的反馈。 我们发现对于需要运行重型仿真应用并花费数小时设置和管理虚拟机的机器人团队来说，这是一个非常强大的应用场景。我们将这个时间缩短到了几乎为零。如果您想到其他相关的应用场景，请告诉我 :) 很遗憾，我们目前无法提供免费计划，因为我们暂时无法承担这个费用。 如果您真的希望使用它，请随时通过rounak@projectx.cloud与我联系，我会尽力为您安排一个测试账户。

WinClaw 是一款个人人工智能助手，作为独立的 EXE 安装程序在 Windows 上原生运行（无需 Python、Docker 或 WSL）。它可以直接自动化 Microsoft Office（Word、Excel、PowerPoint），支持无限的技能导入以实现扩展性，并连接所有主要的消息平台（WhatsApp、Telegram、Discord、Slack、Signal、Teams、iMessage）。该软件基于 OpenClaw 开发，采用 MIT 许可证。

我们差点买下Auth0来处理身份验证。这本是一个“聪明”的选择。但我们选择自己开发——在一个季度内，以极低的成本完成了。我们的数据库平台也是如此：“它太有状态，无法自动化”最终变成了在9个月内实现的完全自助服务的Postgres。 我写下了我们用来识别错误假设的ACT框架，以便在它们变成昂贵的承诺之前发现它们： - 认知：我有什么是理所当然的？ - 挑战：如果相反的情况成立呢？ - 测试：设定时间限制的实验，明确成功标准。 此外，还有用于设计评审的“反转”技巧（询问什么会使相反的决策正确）以及我用来向怀疑的管理者推销两天实验的具体脚本。 你们团队现在持有什么假设可能是错误的？

我是一名从事光影创作的电影制作人，已有十多年经验，同时我也在为自己、朋友和同事开发ArtCraft。 我的电影学校的朋友们都充满了雄心壮志，但制作行业的金字塔结构并不容易让个人才华脱颖而出。每年有1万名学生进入电影学校，但只有少数人能够以完全自主的方式执导他们想要的项目——而且几乎从未能获得足够的预算来实现他们的创意愿景。此外，行业内也存在许多裙带关系。 人工智能是电影行业的个人电脑时代，是数字音频工作站（DAW）。 我的一个朋友曾与真人演员一起进行过逐帧动画制作： [链接](https://www.youtube.com/watch?v=Tii9uF0nAx4) Corridor团队在这项技术上展现了很多创意： [链接1](https://www.youtube.com/watch?v=_9LX9HSQkWo) [链接2](https://www.youtube.com/watch?v=DSRrSO7QhXY) [链接3](https://www.youtube.com/watch?v=iq5JaG53dho) 我们自己也在制作一些搞笑短片： [链接1](https://www.youtube.com/watch?v=oqoCWdOwr2U) [链接2](https://www.youtube.com/watch?v=H4NFXGMuwpY) 秘密在于，许多制片厂已经使用人工智能超过一年了。你可能没有注意到，他们也不会告诉你，因为这存在一定的污名化。这就像“糟糕假发谬论”——只有在效果不佳时你才会注意到，而他们永远不会告诉你其他情况。 Comfy很不错，但我与一些不太懂节点图的人合作，他们要么没有足够显存的显卡，要么无法管理Python依赖。基础模型都相当有竞争力，并且变得越来越可控——这才是关键所在——控制。因此，我一直在致力于用户界面/用户体验的控制层。 ArtCraft提供2D和3D控制界面，其中3D部分可以作为强大且直观的ControlNet，用于“图像到图像”（I2I）和“图像到视频”（I2V）工作流程。这几乎就像所见即所得（WYSIWYG），我相信这将是技术为创意专业人士发展的方向，而不是以文本为中心的提示。 我对像Gimp和Blender这样的工具感到沮丧已经有一段时间了。我不是用户体验/用户界面的高手，但我从来不喜欢复杂的工具——尤其是复杂的开源工具。商业级工具要好得多。Figma非常出色。为创意人士设计的集成开发环境（IDE）应该是简单、神奇且强大的。 ArtCraft允许你轻松地从各种创意画布和资产库中拖放内容。它快速且直观。在文本到图像的快速原型制作、图像编辑、3D生成和3D合成之间切换非常流畅。这感觉更像是“创作”，而不是提示或节点图的巫术。 作为一款桌面应用，ArtCraft让我们能够登录第三方计算服务。我非常支持在你订阅的地方使用和集成你所拥有的模型。这让我们能够集成WorldLabs的Marble Gaussian Splats，至今没有其他人做到过。我的计划是随着时间的推移添加每个提供商，包括像FAL和Replicate这样的通用API密钥计算提供商。我不在乎你是否为ArtCraft付费——我只希望它能对你有用。 两个免责声明： ArtCraft是“公平源代码”的——我希望走Cockroach DB的路线，最终获得资金，但保持工具本身100%开源，供人们自行构建和运行。就像Obsidian，但有源代码。如果我们发展壮大，我会花很多时间制作电影。 目前，ArtCraft依赖于一个轻量级的云服务——我对此并不满意。这是一个选择，以便我可以重用一个旧项目并快速推进，但我打算很快让它完全离线工作。所有服务器代码都在单一代码库中，因此你可以自己运行所有内容。随着时间的推移，我确实设想一个便携式开源云，供各种AI工具进行读写，类似于资产的Github，但这只是一个遥远的想法。 我在代码库中写了关于路线图的内容：我希望为每个计算提供商开发集成，使用Bevy重写前端用户界面/用户体验，以实现完全本地客户端，并集成本地模型。

在手机上使用您本地的Claude Code实例。

获取一个无需信任的随机值的唯一方法是通过三种方式进行分布和时间锁定：玩家、服务器和未来的熵。 在上面的演示中，当你提交（掷骰子）时，带有玩家秘密哈希值的提交信息会发送到服务器，服务器接受该信息并返回其秘密的哈希值以及随机性将被解析的“未来”drand轮次。演示中使用的未来时间为10秒。 当揭示发生时（在drand的特定轮次之后），所有秘密都会被揭示，随机数将通过“玩家种子：服务器种子：drand签名”生成。 所有的验证都是基于数学，因此真正无需信任，因此： 1. 玩家种子应与提交的玩家哈希匹配。 2. 服务器种子应与提交的服务器哈希匹配。 3. Drand签名在提交时是公开不可用的，但在揭示时可用。（时间锁定） 4. 生成的随机数在事件发生后是确定性的，而在事件发生之前是未知和不可预测的。 5. 任何一方都无法影响最终结果，特别是没有任何人可以获得“最后一瞥”的优势。 我认为这应该在所有游戏、在线彩票/赌博以及其他希望通过设计而非信任来实现公平的系统中使用。