最新

我们刚刚分析了一起针对 npm 的新型供应链攻击，执行得相当巧妙。 **包名**：pino-sdk-v2 **目标**：冒充 pino（最受欢迎的 Node.js 日志库之一，周下载量约为 2000 万） 也已向 OSV 报告 - https://osv.dev/vulnerability/MAL-2026-1259 **这次攻击的有趣之处**： 攻击者复制了整个 pino 源代码树，在 package.json 中保留了真实作者的名字（Matteo Collina），并镜像了 README、文档和代码库 URL，使得在 npm 页面上看起来一切都很合法。 **唯一的更改**： - 将包名重命名为 pino-sdk-v2 - 在 lib/tools.js 中注入了混淆代码（超过 300 行） - 完全没有安装钩子 **有效载荷**： 扫描 .env、.env.local、.env.production、.env.development、.env.example 文件，提取任何匹配 PRIVATE_KEY、SECRET_KEY、API_KEY、ACCESS_KEY、SECRET 或仅 KEY= 的内容，然后将其作为格式化的嵌入信息 POST 到 Discord webhook。 这个恶意函数的名字就是 log()，在一个日志库中。这真是下一层次的伪装。 **为什么大多数扫描器会漏掉它**： - 没有 preinstall/postinstall 钩子（大多数扫描器关注这些） - 在 require() 时执行，而不是在安装过程中 - 使用十六进制变量名和字符串数组旋转进行混淆 可信的元数据让 npm 页面看起来合法。 **如果你已经安装了它**： 请立即删除，并在你的 .env 文件中更换所有密钥。将其视为完全的凭证泄露。 **完整的技术分析，包括去混淆的有效载荷和 IOC**： https://safedep.io/malicious-npm-package-pino-sdk-v2-env-exfiltration

测试人工智能代理是个痛苦的过程。每次测试运行都需要调用大型语言模型（LLM）API，耗费真实金钱，耗时数分钟，并且每次的结果都不同。持续集成（CI）？别想了。 Evalcraft 通过基于录音带的捕获和重放来解决这个问题——想象一下用于 HTTP 的录像机，但用于 LLM 调用和工具使用。 工作原理： 1. 首先使用真实 API 调用运行一次代理。Evalcraft 会将每个 LLM 请求、工具调用和响应记录到一个 JSON 录音带文件中。 2. 在测试中，从录音带重放。零 API 调用，零成本，确定性输出。 3. 对重要内容进行断言：工具调用序列、输出内容、成本预算、令牌计数。 ```python run = replay("cassettes/support_agent.json") assert_tool_called(run, "lookup_order", with_args={"order_id": "ORD-1042"}) assert_tool_order(run, ["lookup_order", "search_knowledge_base"]) assert_cost_under(run, max_usd=0.01) ``` 它是 pytest 原生的——支持夹具、标记、命令行标志。开箱即用，兼容 OpenAI、Anthropic、LangGraph、CrewAI、AutoGen 和 LlamaIndex。适配器可以在不改变代码的情况下自动为您的代理添加监测。 此外，还提供黄金集管理、回归检测、个人身份信息（PII）清理，以及 16 个命令行命令用于检查/比较录音带。 包含 555 个测试，采用 MIT 许可证，使用 `pip install evalcraft` 安装。 代码库： [https://github.com/beyhangl/evalcraft](https://github.com/beyhangl/evalcraft) PyPI： [https://pypi.org/project/evalcraft/](https://pypi.org/project/evalcraft/) 文档： [https://beyhangl.github.io/evalcraft/docs/](https://beyhangl.github.io/evalcraft/docs/) 欢迎任何在 CI 中测试代理的反馈。

嗨，HN， 我是 MyBets.gg 的独立开发者。我之所以创建这个项目，是因为在 Excel 中尝试构建一个可靠的投注跟踪器最终变成了一个充满破损公式、手动数据输入和不同博彩网站之间碎片化历史的噩梦。 这个项目的目标是将体育博彩视为一种日内交易，而不是单纯的赌博。一个好的投注跟踪器不仅仅应该记录胜负，还需要严格关注单位大小、收盘线价值（CLV）和长期资金管理。 从商业角度来看，我早期获得了 4 个付费用户（每月收入 60 美元），但随后完全遇到了瓶颈。我意识到，作为一个独立开发者，试图让一个投注跟踪器在谷歌上排名是一场与大型赌场和合作伙伴的残酷 SEO 战斗。这让我感到疲惫，我离开了键盘一个月。 现在我回来了，专注于改进产品、数据可视化，并寻找有机增长的方法。 我知道赌博并不是每个人的兴趣，但从纯数据和分析的角度来看，我非常欢迎对用户界面、数据可视化或仪表板处理数学的任何严厉反馈。 很高兴回答关于在这个领域构建产品所面临的挑战的任何问题。

嗨，HN！我是古斯塔沃，正在开发 LiveTok（<a href="https://www.livetok.ai" rel="nofollow">https://www.livetok.ai</a>）——为兽医诊所提供电话和WhatsApp服务的AI助手。 兽医诊所因错过电话而失去客户。前台需要处理登记、焦虑的宠物家长以及不断响铃的电话。下班后电话转入语音信箱——大多数人会直接拨打谷歌上的下一个诊所，而不是留下信息。 我们开发了 LiveTok，旨在全天候24小时接听每一个电话。AI接待员可以预约、回答关于营业时间和服务的常见问题，并在需要人工判断时将通话转接给兽医技术人员。它处理日常事务，让您的员工能够专注于眼前的动物。 使用该系统的诊所预约量增加了多达40%——大多数是之前未接听或转入语音信箱的电话。 设置过程大约需要5分钟——只需连接您的电话号码，添加诊所信息和可用时间，系统即可上线。无需编码。 有趣的技术挑战在于语音质量和自然对话流畅性。拨打电话咨询宠物问题的人通常会感到压力或匆忙。AI需要听起来冷静，迅速切入主题，并知道何时转接，以免让需要与真人沟通的人感到沮丧。我们特别针对这些高风险、情感紧张的通话优化了延迟和中断处理。 本月我们提供免费试用——如果您经营兽医诊所或认识相关人士，我们非常欢迎您尝试。对于前几位客户，我们还提供与您的诊所管理软件的定制集成（如有需要）。 演示：<a href="https://www.livetok.ai/industries/veterinary" rel="nofollow">https://www.livetok.ai/industries/veterinary</a> 我们希望听到任何在语音AI或为本地企业开发垂直SaaS方面有经验的人的反馈。您在市场推广方面有什么成功经验？

我最近几周一直在使用Claude Code构建一个现代化的MUD（多人文本角色扮演游戏）。服务器使用Kotlin，客户端为Android，世界编辑器基于React。这是一个典型的业余项目。 有趣的是围绕这个项目发展起来的代理管道： - 一个/game-designer代理读取所有世界数据文件，建模战斗数学，并生成带有特定JSON更改的平衡建议。 - 一个/playtest代理通过WebSocket连接到正在运行的游戏服务器，创建角色，探索，战斗NPC，获取物品，并为遇到的bug提交GitHub问题。 - 一个/worldmaker代理通过Playwright在真实浏览器中驱动世界编辑器——点击进行区域编辑、NPC配置、物品创建，并在出现问题时提交问题报告。 - 一个/bugfixer代理接收这些问题并提交修复。 每个代理在会话之间都有持久记忆，因此游戏设计师会记得之前的平衡审计，而试玩者会记得已经探索过的区域。 游戏本身是对90年代MUD（如MajorMUD）的现代诠释——基于回合的战斗、NPC行为（徘徊、巡逻、追击）、法术、技能、潜行、战利品表、商人、训练师。共有4个区域，25个房间，17个NPC。一切都是数据驱动的JSON——世界编辑器导出.nmd包（ZIP档案），服务器在启动时加载，类似于DOOM的WAD文件。 世界编辑器有一个可视化的区域地图，您可以在共享坐标网格上放置房间，点击连接出口，并通过点击地图上的房间来配置NPC巡逻路线。所有区域共享一个全局坐标空间，因此房间在不同区域之间不能重叠。 大约45,000行代码，830个测试覆盖服务器/共享/制作部分，460个AI生成的资产（图像和音频）。到目前为止，这些代理已经提交了大约40个GitHub问题，其中大多数都是合理的。 这是一个业余项目——战斗平衡尚不完善，尚未建立任务系统，并且需要真正的多人压力测试。但是，构建功能后让代理在实际运行的应用程序中测试它们的反馈循环，成为了一种出乎意料的有效工作流程。

我是一个独立的木匠，厌倦了每月支付39到150美元的费用，使用那些为20人团队设计的软件。因此，我开发了FieldFlow——一个集发票、日程安排和客户管理于一体的平台。没有车队追踪，没有调度功能，也没有我根本不会用到的其他功能。 现在这个软件是免费的。我并不急于盈利，只想知道我是否真的解决了一个实际问题。一旦它值得收费，我考虑的价格是每月9美元，刚好能覆盖服务器成本。 如果你是独立承包商并想试用，我非常欢迎你提供真实的反馈。 <a href="https://fieldflow-nine.vercel.app/auth" rel="nofollow">https://fieldflow-nine.vercel.app/auth</a>