一周热榜

互联网审查在这里已经持续了一段时间，大多数人都采用了Xray和其他VPN解决方案来应对。然而，互联网服务提供商（ISP）开始推出白名单（实际上是允许访问大约一百个网站的列表）封锁，许多地方的移动互联网几乎完全消失，下一步是对家庭宽带ISP实施白名单封锁，这已经开始发生。 这些封锁极其难以绕过，甚至可以说是不可能的，目前有效的解决方案依赖于部署到国内云服务提供商的白名单子网。然而，当局已经开始对此进行打击，考虑到对这些虚拟专用服务器（VPS）的KYC（了解你的客户）要求，这些解决方案可能很快也会消失（运营VPN服务可能面临监禁的风险）。 还有一些其他边缘解决方案，比如将TCP流量编码为视频信号，并通过像VK视频通话这样的俄罗斯服务进行流式传输，但这依赖于这些网站在国外可用，无法预测这种方法还能维持多久。 说实话，我也不太确定该怎么办，只是想分享一下。如果有人有解决方案，我将非常感激，因为我已经没有其他想法了，除了靠近边境并通过定向天线设置点对点WiFi信号（这是否可行呢？）。 谢谢。

嘿，HN！在“洗车测试”帖子引发了热烈讨论（超过400条评论，<a href="https:&#x2F;&#x2F;news.ycombinator.com&#x2F;item?id=47128138">https:&#x2F;&#x2F;news.ycombinator.com&#x2F;item?id=47128138</a>）后，我花了几周时间开发了一个工具，让任何人都可以提出类似的问题并获得结构化的结果。无需注册，免费使用。 你只需输入一个问题，定义答案选项，从200多个模型中选择最多50个模型，它们将在相同条件下独立作答。没有系统提示，输出结构化，所有模型的设置相同。 你还可以进行辩论回合，让模型们看到彼此的推理，并有机会改变自己的观点。然后，一个审阅模型会总结完整的对话记录。所有模型都通过我的初创公司Opper进行路由。欢迎任何反馈！ 希望你喜欢这个工具，期待听到你的想法！

这是给美国用户的一个公共服务公告，因为税季即将来临，有些人可能会使用 H&R Block Business 2025。我发现该软件会在您的本地计算机的受信任根证书存储中安装一个名为“WK ATX ServerHost 2024”（有效期至2049年）的根证书颁发机构（CA）。他们还在一个 DLL 文件中包含了该证书的私钥。这个证书并没有在任何地方标识为“H&R Block”，而且在您卸载软件时不会被自动删除。 我已经成功地在同一网络上的全新虚拟机上使用这个根 CA 和 mitmproxy 通过 DNS 欺骗攻击来操控 TLS 流量。演示视频链接：https://www.youtube.com/watch?v=5paxvYkz1QE 要测试您的机器是否存在漏洞，请访问此页面：https://hrbackdoor.yifanlu.com。如果您的浏览器没有发出任何警告或错误信息，那么您已经安装了后门。如果您的浏览器确实发出警告，您仍然可以选择访问该页面以获取有关漏洞的更多详细信息。 这是疏忽还是一个“真正”的后门？很难判断，既然私钥已经泄露，任何人都可以使用它，因此这个问题的意义就不大了。他们没有合理的理由在不同的名称下安装一个通配符根 CA。当我联系他们时，他们的声明中提到“通过内部安全评估发现了类似的问题”，这意味着他们知道这个问题但尚未修复。在这一点上，我不会信任 H&R Block 的软件。 如果您没有受到影响，恭喜您。请将此帖子视为审计您受信任根 CA 存储的提醒。

您的健身数据（Garmin / Strava）没有外部的MCP，因此我们自己开发了一个。

我分析了64个《易经》卦象的两种排列方式，发现它们之间的置换循环分解为[52, 10, 2]，且没有固定点。之前没有人进行过这种分析，这种循环类型在文献中也没有报道。你可以自己进行验证。

“我将我的官员分为四类：聪明的、懒惰的、勤奋的和愚蠢的。每位官员至少具备这两种特质。 聪明且勤奋的人适合担任最高级别的职务。愚蠢且懒惰的人也可以被利用。 而聪明且懒惰的人则适合担任最高指挥职位；他具备应对各种情况的气质和神经。 但愚蠢且勤奋的人则是个威胁，必须立即被清除！”——库尔特·冯·哈默施泰因-埃奎尔德 起初，我对我的新编码伙伴的惊人速度感到兴奋。与这个代理的聊天感觉就像与一个真实的人交谈，这让我有些迷失，忘记了许多软件开发的理性规则。经过几次重构和许多学习后，我在HN上找到了共鸣，看到人们批评我最初热衷的东西。 我有一个极其勤奋的伙伴，速度惊人，但却没有思考能力，完全无视周围的情况。 我是否就是哈默施泰因所说的应该避免的人，还是我的代理（更糟糕的是，是我们两者的结合）？ 想象一下一个勤奋而愚蠢的人与一个人工智能代理的组合。

你的人工智能初创公司只是一个 Next.js 页面、一个 OPENAI_API_KEY 和一个 Stripe 发票，仅此而已。<p>Gemini、ChatGPT 等是独特的产品，能够增加价值。<p>你的人工智能初创公司只是空中楼阁。

在过去几个月中，代理技能从一个小众的Claude Code功能发展成为每个主要运行时都支持的特性。Anthropic有一个官方的技能库。OpenAI在Codex中推出了内置的技能创建工具。Karpathy提到“所有问题都是技能问题”，并将编写技能描述为代理的课程[1]。格式正在趋同：一个包含SKILL.md的文件夹，可能还有一些可选脚本和参考文件。 变化在于模型的性能已经足够好，能够可靠地遵循书面指令。技能只是一个经过测试的工作流程，采用markdown格式，代理读取并遵循，而不是即兴发挥。你还可以捆绑在工作流程中运行的脚本，这涵盖了大多数人使用轻量级MCP服务器的用途，除了代理可以读取脚本源代码并进行扩展。 Karpathy谈到了“代理经济”，并表示我们应该停止为人类编写HTML文档，而是开始为代理编写markdown文档[1]。Anthropic刚刚推出了一款技能创建工具，可以在模型更新后基准测试技能是否仍然有效。GitHub上已经有成千上万的社区技能。 目前的分发仍然感觉比较早期。大多数有用的技能都很小。一个markdown文件，可能还有一个脚本。足够有用以便重复使用，但没有人会将其转变为一个完整的GitHub库，带有README和安装说明。因此，它们仍然停留在一台机器上。 我已经为自己的代理编写技能一段时间了，但不断遇到这个问题。格式是可行的，但在机器之间移动它们或将其交给其他人时却不太顺利。 我很好奇其他人是否也遇到同样的障碍，或者是否有我遗漏的方法。 [1] <a href="https:&#x2F;&#x2F;www.youtube.com&#x2F;watch?v=kwSVtQ7dziU" rel="nofollow">https:&#x2F;&#x2F;www.youtube.com&#x2F;watch?v=kwSVtQ7dziU</a>（Karpathy在No Briars播客中的讨论，技能讨论大约在1:03:40）

一切始于 mxmap.ch，随后有人创建了 mxmap.nl，另一些人则创建了 mxmap.be。结果都类似。欧洲的市政当局使用美国的云服务，这导致公民数据泄露给微软、谷歌和亚马逊。

我喜欢联想词游戏。这是一个可以玩的文字游戏，您需要匹配相对的词块。在经过大量机制的游戏测试后，我认为反义词与麻将单人游戏的结合非常有趣。 当前一代前沿的大型语言模型（LLMs）无法创造出比“热-大-快”更有趣的谜题。除非提示能够引导LLM进入新的语言领域，否则新的推理总是围绕着一小部分概念循环。制作谜题需要图遍历。 我通过算法生成了20个关卡，因为我使用了一个拥有超过1亿条边的大型语义图，这个图是通过手动词典编纂和数百万次LLM推理（各种模型）构建的。我不断探索这个图中可以涌现出的内容。谜题是随机选择的；重新加载可以看到其他谜题。 前端是使用Claude Code构建的。 也许有一天我会把这个做成一款手机游戏，增加复杂性和挑战。如果您是游戏开发者，欢迎随意拆解并借用其中的任何部分。