Axios 刚被投毒了:一次普通的 npm update,怎么就可能把后门请进公司电脑
axios 这次中招,不是代码里多了几行恶意逻辑,而是有人用被盗的维护者账号发了带后门依赖的版本。对开发者来说,这件事最吓人的地方不是‘某个包出事了’,而是你一次看起来再普通不过的 npm update,也可能直接把机器送进事故现场。
Blog
产品教程、技术实践与更新公告
最新文章
OpenAI 开始给安全问题发悬赏了:这次盯上的不是漏洞,是 AI 自己会乱来
OpenAI 新开的 Safety Bug Bounty,不只盯传统安全漏洞,还开始给提示注入、数据外泄、Agent 越权这种 AI 特有风险发悬赏。风向已经很明显:接下来真正难的不是模型会不会写代码,而是它会不会在真实环境里乱动东西。
Android 要开始验明正身了,野路子分发以后没那么丝滑
Google 开始推进 Android 开发者验证,侧载不会立刻消失,但未来的默认分发体验会明显变化。独立开发者、企业内部分发和 Play 外渠道都得开始适应。
AI 开始自己决定要不要申请权限了:Claude Code 这步,像极了打工人熬成组长
Anthropic 给 Claude Code 加了一个很关键的新能力:不是单纯放权,也不是继续让人类一下一下点确认,而是让 AI 先判断这步操作值不值得打扰你。对开发者来说,这可能比再提一点模型分数更重要。
电话那头像真人,结果票还是没改成:语音 Agent 终于被一把尺子量明白了
ServiceNow 和 Hugging Face 联合发布 EVA,第一次把语音 Agent 的‘任务完成率’和‘对话体验’放进同一把尺子里测。真正扎心的是:能把事办成的 Agent,往往聊得并不舒服。
知识库 Agent 可能根本不需要向量库,Vercel 这刀捅得有点狠
很多团队做知识库 Agent,第一反应就是上向量库、切 chunk、调 embedding。Vercel 最近直接反手来了一句:别折腾了,先把文件系统和 bash 用明白。这套思路不一定适合所有场景,但它确实把很多人从复杂管线里拽回了问题本身。
AI 帮你把 PR 提了,为什么人反而更心虚了?
越来越多人开始用 AI 写代码、整理 diff、生成 PR 描述,效率是上去了,但一种很拧巴的情绪也跟着来了:明明结果有价值,自己却像没参与一样。问题不只是工具变强,而是工程师对“我到底算不算在创造”的判断,被整个工作方式重写了。
Kagi 翻译器新增 LinkedIn 话术模式:把普通话翻译成浮夸体
LinkedIn 上那些浮夸的职业宣言,现在有专门的翻译器了。Kagi 推出 LinkedIn Speak 模式,把我被裁员了翻译成我正在探索新的职业机会。这是讽刺,也是实用工具。问题是:为什么我们需要一个翻译器来说人话?
Kagi 翻译器新增 LinkedIn 话术模式:把普通话翻译成浮夸体
LinkedIn 上那些浮夸的职业宣言,现在有专门的翻译器了。Kagi 推出 LinkedIn Speak 模式,把我被裁员了翻译成我正在探索新的职业机会。这是讽刺,也是实用工具。
每多一层审批,速度就慢 10 倍
一个 30 分钟能修好的 bug,为什么一个月后还在那儿?Tailscale CEO 揭示了一个残酷的真相:每增加一层审批,速度就慢 10 倍。AI 能加速写代码,但解决不了流程问题。真正的瓶颈不是技术,是信任。
2026年3月13日2 分钟
「这台电脑不适合你」——但也许正适合
科技评测说 MacBook Neo「不适合你」,但他们错过了重点:没人是从正确的工具开始的。你通过折腾不够用的东西来学习,通过撞墙来理解边界。Neo 不是够用的电脑,是刚好能让你开始的电脑。
AI 人脸识别把一个奶奶送进了监狱,关了快半年才发现搞错了
AI 人脸识别把一个从没去过北达科他州的奶奶送进了监狱,关了快半年才发现搞错人了。问题不只是 AI 不靠谱,而是整个系统没有纠错机制。
2 / 5