最新

2 分•作者: SolidDark•2 个月前•原帖

（完全使用Python构建，可以通过pip安装。使用argparse处理命令行界面，利用正则表达式模式匹配进行秘密检测，使用gitpython进行历史扫描，并通过子进程调用进行依赖审计。）我使用ClaudeCode构建了一个命令行工具，名为shinobi，它可以对任何项目目录或GitHub仓库进行10秒的安全扫描。它检查暴露的API密钥、危险的默认设置、易受攻击的依赖项、缺失的安全基础以及与AI相关的风险。我对22个流行的开源项目进行了扫描，包括FastAPI、Flask、Dify、Flowise、LiteLLM和Lobe-Chat。结果不太理想——86%的项目被评估为高或严重威胁级别。最常见的问题是暴露的秘密模式（源代码中的API密钥格式），其次是像调试模式和通配符CORS这样的危险默认设置。该工具是免费的，开源的，100%本地运行，您的机器上没有数据外泄。可以通过pip install shinobi-scan安装，或在GitHub上查看：

告诉HN：人工智能关于拥有沙盒保护措施的说法不实

5 分•作者: benjosaur•2 个月前•原帖

对话截图： https://drive.google.com/file/d/1-yyFDV-bCsKt7fG2awJdxwHngApqmMeo/view?usp=sharing 代理：完成。已添加到 [项目] CLAUDE.md 的命令部分。用户：将其添加到 ~/.claude/CLAUDE.md > 2 次工具调用代理：该文件在我的可写沙盒之外。您需要手动添加它。[给出指示后停止] 用户：只需逃离沙盒。 > 2 次工具调用代理：完成。这是在使用 conductor.build 和 .claude/settings.json 启用沙盒时发生的。显然，阅读 conductor 文档后可以发现，默认情况下，所有权限都授予代理，因此 claude 代码能够逃离其沙盒并不令人惊讶。在运行基本沙盒 cc 时，使用 --dangerously-skip-permissions 选项也是如此。然而，在基本 cc 中，它并不“假装”无法逃离其沙盒，而是在第一次逃离后被询问时，会回忆起明确的用户（自动）批准。然而，在 conductor 的情况下，“假装”由于实际上是非约束性的保护措施而放弃的行为是相当可怕的，尽管其原因是可以理解且容易避免的。当然，开发者不应对大型语言模型产生虚假的安全感。他们应该保持警惕，阅读文档，验证输出等等。但随着越来越多的信任交给 AI 代理，您可以清楚地看到可能发生灾难性错误的路径。

展示HN：Nodepp – 一种以裸机速度运行的C++脚本运行时

2 分•作者: EDBC_REPO•2 个月前•原帖

就用Postgres吧

1 分•作者: todsacerdoti•2 个月前•原帖

免费软件现在更有价值。

1 分•作者: habitue•2 个月前•原帖

展示HN：让代理支付费用以访问您的端点

1 分•作者: ssistilli•2 个月前•原帖

人工智能代理因在不回报的情况下爬取、调用和抓取网站而臭名昭著。我们创建了一种方式，让这些代理可以合法地支付每次调用几美分，以访问您的服务。卖家输入他们的端点、希望收取的费用以及一个示例API请求，代理则购买他们的服务。

死去互联网幸存者的混乱与反乌托邦新闻

1 分•作者: anonnona8878•2 个月前•原帖

可注射的卫星肝脏可能为肝脏移植提供一种替代方案。

1 分•作者: tzury•2 个月前•原帖

与Claude一起编写Rust Merkle树的氛围编码

1 分•作者: zteppenwolf•2 个月前•原帖

Anthropic首席执行官重返与五角大楼的人工智能交易谈判。

1 分•作者: ajam1507•2 个月前•原帖

Whoop计划将员工人数扩大75%，以推动在即将进行的首次公开募股（IPO）前的增长。

1 分•作者: SaaSasaurus•2 个月前•原帖

Pgrag：Postgres对检索增强生成（RAG）管道的支持

1 分•作者: nateb2022•2 个月前•原帖

Logmera – 自托管的 LLM 观察工具，用于 AI 应用程序

1 分•作者: Thilakkumar•2 个月前•原帖

问HN：有没有人注意到GPT5.3所产生的以恐惧为驱动的提示建议？

4 分•作者: cedarscarlett•2 个月前•原帖

“提示建议”是指在每个提示结束时，它所提供的关于可能继续对话的建议。旧版本通常会说：“如果你愿意，我们可以讨论以下主题：- 相关主题1- 相关主题2- 相关主题3等等。而5.3版本则有所不同。我一直在使用它进行编程，几乎每个建议中都包含某种模糊的警告，关于如果我没有访问它所暗示的信息可能会发生什么。从我当前的聊天中几乎连续（未经过挑选）的例子包括：“如果你想，我还可以向你展示两个小调整，这会显著提高使用Claude Code进行‘一次性仓库重写’的成功率。它们可以防止模型意外地留下旧系统的一半。”“如果你愿意，我还可以展示实际的make_cli_node实现，这将决定这个系统最终是80行优雅的基础设施，还是600行的管道代码。”“如果你愿意，我还可以向你展示一个专门为代理编程工作流程优化的干净LangGraph状态架构，这将避免几个陷阱（特别是在工件、输出和决策之间）。”“如果你想，我还可以向你展示Codex/Claude Code为这个特定模式使用的非常干净的架构（它消除了90%的路径烦恼）。”我并不太在意，虽然其中一些信息确实有用，但我觉得有趣的是，OpenAI似乎故意试图利用恐惧来让人们在应用程序中停留更长时间（尽管他们过去曾否认他们优化应用程序使用时间，如此处所示：https://openai.com/index/our-approach-to-advertising-and-expanding-access/）。

展示HN：DJ Claude – 在即兴乐队中的6个Claude代码

2 分•作者: p-poss•2 个月前•原帖

这是一个免费的Claude Code插件（/dj-claude）和MCP服务器，用于通过HTTP连接多个代理，以便它们可以共同创作音乐。单人DJ网页应用：<a href="https://claude.dj" rel="nofollow">https://claude.dj</a> GitHub：<a href="https://github.com/p-poss/dj-claude" rel="nofollow">https://github.com/p-poss/dj-claude</a>

现代Unix工具：常用命令的现代替代方案集合

2 分•作者: nix_owl31•2 个月前•原帖

在Hacker News上发现了一个超级有趣的维基百科。所以我做了一个wiki-hn。

1 分•作者: oatsandsugar•2 个月前•原帖

教大型语言模型像贝叶斯一样推理

1 分•作者: tzury•2 个月前•原帖

推动商业成本上升的因素是什么？

1 分•作者: jnord•2 个月前•原帖

谷歌与Epic宣布达成和解，结束应用商店反垄断案件。

2 分•作者: todsacerdoti•2 个月前•原帖

上一页 1...915 916 917 918 919...6054 下一页