一周热榜

我正在构建Nucleus，因为大多数“代理安全”仍然只是政策层面的：一个配置文件上写着“不要做坏事”，而代理仍然可以做这些事情。 Nucleus是一个开源实验，它将一个小型的、组合式的权限模型与运行时强制执行相结合：*副作用只能通过一个强制工具代理访问*，并且是在Firecracker微虚拟机内。这个封装是*非升级的*：它只能收紧或终止，绝不会默默放松。 目前有效的功能包括： * MCP工具代理，具有*读取/写入/运行*（在微虚拟机内强制执行） * 默认拒绝出口 + DNS白名单 + Linux上的iptables漂移检测（失败关闭） * 强制执行时间和预算上限 * 哈希链审计日志 + HMAC批准令牌（范围限定，过期）用于受限操作 目前缺失的部分（直言不讳）： * web/搜索工具在模型中存在，但尚未与MCP连接 * 远程追加审计存储 + 验证仍在规划中 * 早期/粗略；目标是“安全地运行在敏感代码库上”，而不是“替代你的本地终端” 大部分代码是使用Anthropic工具编写的；我一直依赖测试/模糊测试/属性测试来保持代码的可靠性。 希望能收到关于以下方面的反馈：（1）除了致命三合一之外，还有哪些危险的能力组合，（2）你希望首先关闭哪些强制执行的漏洞，（3）你会如何评估这个与仅限网关的方法相比。

近年来的叙述是科技是邪恶的。那么，有哪些软件技术的好例子仍然能让你感到乐观呢？

在HN动态中显示的一些URL（以小字显示）在第一个路径段中包含，例如GitHub。能够看到第二个路径段，即仓库名称，将会是一个改进。

这只是一个人们喜欢的叙述，因为它听起来很美好。或者说，这可能是因为它让人工智能听起来不那么威胁，甚至显得更容易接受。“别担心，人工智能只会取代你工作中重复的部分。”但是，如果你花一点时间去审视这个叙述，你会意识到它是多么荒谬。 人类已经找到了自动化重复的物理和数字劳动的方法，我们已经用机器和计算技术做了几十年甚至几个世纪。简单来说：如果是重复的工作，那么你根本不需要人工智能来自动化它。 事实上，我们希望人工智能自动化的任务恰恰是那些不重复的任务。这正是人工智能的初衷。 我们是如何从人工智能的最初目的转变为声称它将做我们已经做了几十年的事情的？这些叙述来自哪里，为什么人们会相信它们？

独立开发者。宅在家里。构建一个独立的开源深度研究工具。<p>并且在多个指标上超越了谷歌、OpenAI和Perplexity：<a href="https:&#x2F;&#x2F;veritas-test.neocities.org&#x2F;" rel="nofollow">https:&#x2F;&#x2F;veritas-test.neocities.org&#x2F;</a><p>（请翻译成德语）<p>大家：让我们让这个工具被广泛使用。因为知识不应该被锁在付费墙后面。

我从来无法在计时器上保持足够的专注。分心的诱惑总是很强烈——而且由于很容易忽视计时器，我常常会这样做。<p>在未能遵循番茄工作法后，我会感到恼火、沮丧，并自责。不久，这个 routine 就会崩溃，我又会回到我习惯的工作方式——没有界限或计时器。<p>然后我有了一个顿悟：专注于计时器让你与自己展开了一场斗争。由于很难对抗自己潜意识中的微反应和习惯，最终你会感到沮丧。死板地遵循计时器是错误的目标。真正的目标应该是定期休息——专注会自然而然地随之而来。<p>为了验证这个想法，我创建了“Windows黑屏”——一个强制我在固定间隔内将屏幕黑掉几分钟的应用程序。通常是每20到30分钟黑屏3到5分钟。<p>这种强制性的定期休息不仅改善了我的身心健康，还显著提升了我的生产力——而且没有任何沮丧。我的专注力也得到了提升，方法很简单：我从30分钟的间隔开始，然后逐渐缩短，直到找到一个我可以保持清晰、无干扰专注的时间段。<p>我发现这对我来说比经典的分层番茄工作法更有效。<p>你怎么看？

我创建了Frame，以更好地管理我与Claude Code开发的项目，为我的Claude Code项目带来标准化，改善项目和任务规划，并减少上下文和记忆的丧失。在目前的状态下，Frame完全在本地运行。您无需输入任何API密钥或类似的东西。您可以直接在Frame内部使用终端运行Claude Code。 为什么我不使用现有的IDE？简单来说，因为我不再需要它们。我需要的是一个以终端为中心的界面，而不是一个代码编辑器。我最初构建了一个可以将终端放置在网格布局中的工具，但后来我决定进一步发展。我意识到我还需要管理我的项目并保持上下文。 我仍处于非常早期的阶段，但在5到6天内能够构建出我心中最初的构想——使用Claude Code本身——感觉有点疯狂。 您可以使用Frame做什么？ 您可以启动一个全新的项目，或将现有项目转换为Frame项目。为此，Frame会创建一组我定义的Markdown和JSON文件，这些文件主要用于管理任务和保持上下文。 您可以通过用户界面手动添加与项目相关的任务。我还没有机会测试非常复杂或长时间运行的场景，但从我所见，Claude Code经常会问类似的问题： “我应该将这个添加为tasks.json中的任务吗？”或者 “在这个项目决策后，我们应该更新project_notes.md吗？” 我建议对此回答“是”。 我还创建了一个JSON文件，用于跟踪项目结构，甚至到函数级别的细节。这部分仍然非常粗糙。未来，我计划尝试不同的数据结构，以帮助AI更快更有效地理解项目。 如前所述，您可以选择在网格或标签视图中打开终端。我添加了最多3×3网格的选项。由于该项目是开源的，您可以根据自己的需求进行修改。 我还添加了一个面板，您可以在其中查看和管理插件。 对于代码文件或其他文件，我包含了一个非常简单的编辑器。这部分目前故意保持简约和基础。 根据我自己的测试，我没有遇到任何重大错误，但可能会有一些。如果您遇到任何问题，我提前表示歉意。 我的核心目标是为AI辅助项目建立一个标准，使其更易于管理。我非常欢迎您的想法、支持和反馈。您可以在GitHub上查看更多详细信息：<a href="https:&#x2F;&#x2F;github.com&#x2F;kaanozhan&#x2F;Frame" rel="nofollow">https:&#x2F;&#x2F;github.com&#x2F;kaanozhan&#x2F;Frame</a>

我是一名DevOps工程师，最近开始认真尝试使用AI辅助编码，以了解它在实际工作中的实用性。 它检查以下内容： - HTTPS重定向 - SSL证书有效性 - 混合内容 - 基本安全头部 - HTTP/3支持 AI在速度上帮助很大——搭建框架、生成样板代码和快速迭代。但在测试、边缘案例和审查与安全相关的逻辑时，我很快意识到，AI并不能替代理解。你仍然需要对自己发布的每一行代码负责。 这主要是一个学习项目，并不打算替代完整的安全扫描工具。我非常欢迎任何反馈、错误报告或关于缺失或误导内容的想法。 请查看： https://httpsornot.com