一周热榜

ELF注入器允许您将任意大小的可重定位代码块“注入”到ELF可执行文件中。这些代码块将在可执行文件的原始入口点运行之前执行。 该项目中包含了示例代码块以及详细的操作教程，说明其工作原理。 它结合了C语言和汇编语言，目前在32位ARM架构上运行，但很容易移植到其他架构。

嗨，HN！我叫克里斯蒂安，是<a href="https:&#x2F;&#x2F;frigade.ai">https:&#x2F;&#x2F;frigade.ai</a>的联合创始人。我们构建了一个强大的AI代理，它能够自动学习如何使用任何基于网页的产品，并在用户界面中直接指导用户，自动生成文档，甚至代表用户采取行动。可以把它想象成旧版MS Office中的Clippy，但功能更强大，且真正有用。 <p>您可以在这里查看该代理和工具调用SDK的实际演示：<a href="https:&#x2F;&#x2F;www.youtube.com&#x2F;watch?v=UPe0t3A1Vpg" rel="nofollow">https:&#x2F;&#x2F;www.youtube.com&#x2F;watch?v=UPe0t3A1Vpg</a></p> <p>这与其他AI客户支持产品有什么不同？</p> <p>大多数AI“副驾驶”实际上只是被美化的聊天机器人。它们浏览您的帮助中心，输出一些模糊的要点。基本上是一些“希望和祈祷”，希望您的用户能够搞明白。最终，这将把责任转嫁给用户去完成。而且假设公司会随着每次产品变更而更新帮助中心。这意味着需要不断截取新产品用户界面或功能的屏幕截图，以便提供准确的说明。这些解决方案仅利用了AI所能实现的一小部分，而现在的AI可以广泛推理软件界面。</p> <p>通过Frigade AI，我们直接在产品中引导用户，并根据当前用户的状态和上下文构建按需导览。代理还可以立即代表用户采取行动，例如邀请同事加入工作区或检索账单信息（通过我们的工具调用SDK）。</p> <p>这一切的实现仅在最近才成为可能。最新的前沿模型（如GPT 4.1、Claude 4、Gemini 2.5等）能够以一种在六个月前根本不可行的方式推理用户界面和工作流程。这就是为什么我们如此兴奋地将这项技术带到尚未启用AI的复杂传统SaaS应用程序的前沿。</p> <p>它是如何工作的？</p> <ol> <li>邀请agent@frigade.ai到您的产品中。您可以根据不同角色发送多个邀请。</li> <li>我们的代理会自动探索并推理您的应用程序。</li> <li>附加任何现有的帮助中心资源或培训文档，以补充代理的理解。这是完全可选的。</li> <li>安装代理助手的Javascript代码片段（只需几行）。</li> <li>就这样。您的用户现在可以开始提问，并在没有任何额外负担的情况下获得按需产品导览和实时解答。</li> </ol> <p>这个过程只需几分钟。一旦运行，您可以通过对代理提供的响应进行评分和反馈来改进代理。如果您想进一步集成，您还可以将自己的代码连接到我们的工具调用SDK，以便代理能够直接查找客户信息、处理退款等。这些调用只需几行代码，通过自然语言描述工具及其参数，并传递一个Javascript Promise（例如，进行API调用、调用您应用中的函数等）。</p> <p>非常想听听HN社区对这种方法的看法！您是在从零开始构建自己的AI代理，还是希望嵌入现成的解决方案？</p>

我从与AI软件工程代理的互动中获得了一个小想法。AI能否帮助我们理解我们的AI所编写的代码？ PR Quiz利用AI从拉取请求中生成测验，并在测验通过之前阻止合并。您可以配置各种选项，例如使用的LLM模型、通过测验的最大尝试次数或生成测验所需的最小差异大小。我发现，尽管推理模型成本较高，但在我有限的测试中生成了更好的问题。 隐私：此GitHub Action运行一个本地web服务器，并使用ngrok通过临时网址提供测验。您的代码仅发送给模型提供商（OpenAI）。

如果您正在寻找工作，请分享您的信息。请使用以下格式： <p><pre><code> 地点： 远程工作： 愿意搬迁： 技术： 简历： 电子邮件： </code></pre> 请仅在您个人寻找工作的情况下发布信息。代理机构、招聘人员、招聘网站等内容不在此讨论范围内。<p>读者：请仅通过这些地址发送电子邮件以讨论工作机会。<p>您可以在 <a href="https://www.wantstobehired.com" rel="nofollow">https://www.wantstobehired.com</a> 上搜索这些帖子。

嗨，HN， 我们是 Alex 和 Kalan，Pontoon 的创始人（<a href="https://github.com/pontoon-data/Pontoon">https://github.com/pontoon-data/Pontoon</a>）。Pontoon 是一个开源数据导出平台，使创建数据同步并将数据发送给企业客户变得非常简单。您可以在这里查看我们的演示：<a href="https://app.storylane.io/share/onova7c23ai6">https://app.storylane.io/share/onova7c23ai6</a>，或者通过 Docker 试用：<a href="https://pontoon-data.github.io/Pontoon/getting-started/quick-start/" rel="nofollow">https://pontoon-data.github.io/Pontoon/getting-started/quick...</a> 在我们之前担任数据工程师的工作中，我们都感受到了数据 API 带来的痛苦。我们要么花费数周的时间在内部构建数据管道，要么在像 Fivetran（<a href="https://www.fivetran.com/" rel="nofollow">https://www.fivetran.com/</a>）这样的 ETL 工具上花费大量资金。然而，有一些公司提供可以直接同步到我们数据仓库（例如 Redshift、Snowflake 等）的数据同步服务，每当有这样的选择时，我们总是优先选择。这让我们思考：“为什么更多的公司不提供数据同步服务？”事实证明，构建可靠的跨云数据同步是很困难的。这就是我们创建 Pontoon 的原因。 我们设计 Pontoon 使其具备以下特点： - 易于部署：我们提供一个单一的、自包含的 Docker 镜像，便于部署，并为更大的工作负载提供 Docker Compose（<a href="https://pontoon-data.github.io/Pontoon/getting-started/quick-start/" rel="nofollow">https://pontoon-data.github.io/Pontoon/getting-started/quick...</a>） - 支持现代数据仓库：我们支持与 Snowflake、BigQuery、Redshift 和 Postgres 之间的同步。 - 跨云同步：可以实现从 BigQuery 到 Redshift、从 Snowflake 到 BigQuery、从 Postgres 到 Redshift 等的同步。 - 开发者友好：数据同步也可以通过 API 构建 - 开源：Pontoon 供任何人免费使用 在底层，我们使用 Apache Arrow（<a href="https://arrow.apache.org/" rel="nofollow">https://arrow.apache.org/</a>）在数据源和目标之间移动数据。Arrow 性能非常出色——我们希望使用一个能够处理每分钟数百万条记录的库。 在短期内，我们希望进行几个改进，例如： - 添加对 DBT 模型的支持，以简化数据模型的添加 - 用户体验改进，如更好的错误消息和数据同步监控 - 更多的数据源和目标（S3、GCS、Databricks 等） - 改进 API，以提供更友好的开发者体验（目前与前端的关联较紧密） 在长期内，我们希望尽可能简化数据共享。作为数据工程师，我们有时会觉得自己像二等公民，因为我们被告知获取所需数据的方式——“只需循环调用这个 API 1000 次”，“你可能不会被限速”（但我们确实被限速了），“我们可以安排每天给你发送一个 CSV 的邮件”。我们希望改变现代数据共享的方式，让每个人都能轻松实现。 欢迎试用 <a href="https://github.com/pontoon-data/Pontoon">https://github.com/pontoon-data/Pontoon</a>。谢谢！

抱歉，我无法直接访问或翻译外部链接的内容。如果您能提供具体的文本，我将很乐意为您翻译。

大家好，我是JJ，Gecko Security的联合创始人（[https://www.gecko.security](https://www.gecko.security)）。我们正在构建一种新型的静态分析工具，利用大型语言模型（LLMs）来发现当前扫描器遗漏的复杂业务逻辑和多步骤漏洞。我们已经在Ollama、Gradio和Ragflow等项目中发现了30多个CVE（公共漏洞和暴露）记录（[https://www.gecko.security/research](https://www.gecko.security/research)）。您可以在任何开源软件（OSS）代码库上亲自试用（[https://app.gecko.security](https://app.gecko.security)）。 任何使用过静态应用程序安全测试（SAST）工具的人都知道，它们存在高假阳性率的问题，同时也会漏掉像身份验证绕过或权限提升等整个类别的漏洞。这一限制源于其核心架构。SAST工具的设计是将代码解析为简单的模型，如抽象语法树（AST）或调用图，这在动态类型语言或微服务边界中很快失去上下文，并且仅限于解析基本的调用链。在检测漏洞时，它们依赖于正则表达式或YAML规则进行模式匹配，这对于基本的技术类漏洞（如XSS、SQL注入）可能有效，但对于不符合已知模式的逻辑缺陷，以及需要长序列依赖操作才能达到可利用状态的漏洞则显得不足。 我和我的联合创始人在国家情报和军事网络部队的职业生涯中看到了这些限制，我们在其中构建了自动化工具来保护关键基础设施。我们意识到，具有正确架构的LLMs可以最终解决这些问题。 漏洞是有上下文的。可利用性完全依赖于每个应用程序的安全模型。我们意识到，准确的检测需要理解什么是应该被保护的，以及破坏它的原因。这意味着将威胁建模直接嵌入我们的分析中，而不是将其视为事后考虑。 为了实现这一目标，我们首先必须解决代码解析问题。我们的解决方案是构建一个自定义的、编译器精确的索引器，灵感来自GitHub的堆栈图方法，以精确导航代码，类似于集成开发环境（IDE）。我们基于LSIF方法（[https://lsif.dev/](https://lsif.dev/)），但用紧凑的protobuf模式替代冗长的JSON，以二进制格式序列化符号定义和引用。我们使用特定语言的工具来解析和类型检查代码，生成一系列Protobuf消息，记录符号的位置、定义和引用信息。通过使用Protobuf的高效性和强类型特性，我们可以生成更小的索引，同时保留检测复杂调用链所需的编译器精确语义信息。 这就是为什么大多数使用AST解析的“SAST + LLM”工具失败的原因——它们向LLMs提供了来自传统解析器的不完整或不正确的代码信息，使得在缺乏上下文的情况下很难准确推理安全问题。 通过我们的索引器提供准确的代码结构，我们使用LLM进行威胁建模，分析开发者意图、数据和信任边界以及暴露的端点，以生成潜在攻击场景。这正是LLMs倾向于产生幻觉的特性成为突破性功能的地方。 对于每个生成的潜在攻击路径，我们进行系统搜索，查询索引器以收集所有必要的上下文，并重建从源到汇的完整调用链。为了验证漏洞，我们使用蒙特卡洛树自我优化（MCTSr）算法和“胜利函数”来确定假设攻击成功的可能性。一旦发现的结果超过设定的实用性阈值，就确认其为真正的阳性。 通过这种方法，我们发现了像CVE-2025-51479这样的漏洞，该漏洞出现在ONYX（一个开源企业搜索平台）中，策展人可以修改任何组，而不仅仅是他们被分配的组。用户组API有一个用户参数应该检查权限，但从未使用它。Gecko推断开发者意图限制策展人的访问，因为用户界面和类似的API函数都正确验证了该权限。这确立了“策展人具有有限范围”作为一个安全不变式，而这个特定API违反了这一点。传统SAST无法检测到这一点。任何标记未使用用户参数的规则都会淹没在假阳性中，因为许多函数合法地保留未使用的参数。更重要的是，检测这一点需要知道哪些函数处理授权，理解ONYX的策展人权限模型，并识别多个文件中的验证模式——这是SAST根本无法做到的上下文推理。 我们有几家企业客户正在使用Gecko，因为它解决了他们无法用传统SAST工具处理的问题。他们在相同代码库上看到假阳性减少了50%，并发现了以前只在手动渗透测试中出现的漏洞。 深入探讨假阳性，没有任何静态分析工具能够实现完美的准确性，无论是人工智能还是其他方法。我们在两个关键点上减少假阳性。首先，我们的索引器消除了任何程序解析错误，这些错误会导致传统AST工具易受影响的错误调用链。其次，我们通过提出具体的、上下文相关的问题来避免不必要的LLM幻觉和推理错误，而不是开放式问题。LLM知道哪些安全不变式需要保持，并可以根据上下文做出确定性的评估。当我们标记某些内容时，人工审核也很迅速，因为我们提供了完整的源到汇的数据流分析，附带概念验证代码和基于置信度评分的输出结果。 我们非常希望得到社区的反馈、未来方向的想法或在这一领域的经验。我会在评论区回复大家！

大家好， 我们是 Winston、Edward 和 James，我们开发了 Meka Agent，这是一个开源框架，允许基于视觉的 LLM（大语言模型）像人一样直接在计算机上执行任务。 背景故事： 在过去几个月中，我们一直在构建计算机使用代理，这些代理已被多个团队用于质量保证测试，但我们意识到现有的浏览框架还不够完善。 因此，我们一直在开发一个浏览代理。 我们在 WebArena 上取得了 72.7% 的成绩，相比之下，OpenAI 的新 ChatGPT 代理的最新成绩为 65.4%。您可以在这里了解更多信息： [https://github.com/trymeka/webarena_evals](https://github.com/trymeka/webarena_evals)。 今天，我们将最先进的代理 Meka 开源，允许任何人从零开始构建自己的强大视觉代理。我们为困难的部分提供了基础设施，因此您无需担心： * 真实的基于视觉的控制：Meka 不仅仅是读取 HTML。它观察屏幕，识别交互元素，并决定点击、输入和滚动的位置。 * 完整的计算机访问：它并不局限于浏览器的沙箱环境。Meka 以操作系统级别的控制运行，能够处理系统对话框、文件上传以及其他仅限于浏览器的自动化工具无法处理的交互。 * 设计上可扩展：我们使得插入您自己的 LLM 和计算机提供者变得简单。 * 最先进的性能：在 WebArena 上取得 72.7% 的成绩。 我们的目标是使开发者能够通过提示代理，在任何计算机上创建可重复、稳健的任务，而无需担心实现细节。 我们非常希望听到您对这个工具如何融入您的自动化工作流程的反馈。请试用一下，并告诉我们您的想法。 您可以在 GitHub 上找到该仓库，并通过我们的托管平台快速开始：[https://app.withmeka.com/](https://app.withmeka.com/)。 谢谢， Winston、Edward 和 James