全部文章

Apifox桌面端在2026年3月4日至22日期间遭遇CDN供应链投毒，恶意JS借Electron权限在Windows、macOS、Linux上窃取Apifox令牌、SSH密钥、Git凭证、命令历史、K8s配置等，并通过C2持续下发代码实现远程控制和横向攻击，虽入口文件已恢复，但期间启动过客户端的用户应按主机已失陷处理并立即轮换全部相关凭证。

Claude Code推出Auto mode，用模型分类器替代大量人工审批，在沙箱高维护与完全跳过权限高风险之间提供折中，借助输入层提示注入探测和输出层两阶段动作审查，自动放行大多数低风险操作并拦截越权、误判、数据外传等危险行为，实测将正常操作误拦率降至0.4%，但对真实危险操作仍有17%漏拦，适合替代无权限模式，不适合高风险场景的人审。

作者考察中国AI生态后判断，硬件显著强于软件：深圳与大湾区供应链带来极快迭代和全球竞争力；软件层面模型、营收与爆款公司均落后西方，且估值已明显泡沫化。同时，中国创业者执行强但原创性偏弱，本地VC又偏好名校大厂履历，可能错过真正具全球潜力的少数异类创始人。

作者认为编码代理在生产环境被过度放权，正加速制造脆弱、复杂且难维护的软件：代理会重复犯错、缺乏全局理解与有效检索，导致代码膨胀、测试失真、质量下滑，最终把团队和代码库逼入死角；现阶段应把代理限定在可局部验证、低风险的辅助任务中，由人主导架构、评审与最终质量关，放慢速度换取可维护性与控制权。

OpenAI宣布关闭Sora视频生成应用及相关API，具体下线时间未定，原因是算力与战略重心转向世界模拟研究、机器人及更易盈利的企业级AI服务；Sora虽上线初期登顶应用商店，但用户安装和消费持续下滑，此次停运还导致迪士尼退出合作并取消10亿美元投资。

一项跟踪13万余人长达43年的研究发现，适量饮用含咖啡因咖啡或茶与更低痴呆风险和更慢认知衰退相关，其中每天2至3杯咖啡或1至2杯茶效果最明显，痴呆风险约降18%，脱咖啡因咖啡无同等关联，且这一关联在高遗传风险人群中也成立。

LiteLLM 的 PyPI 版本 1.82.7 和 1.82.8 被植入恶意代码，疑似经 Trivy 所在 CI/CD 链路入侵，安装或导入即可窃取密钥与凭证；PyPI 已隔离并删除相关版本，维护方轮换发布密钥、暂停发布并启动供应链审查。事件暴露其下游依赖面大、未锁版本和自动更新风险高，结论是必须强化沙箱隔离、OIDC 发布、版本锁定和镜像治理。

文章将AI编程类比为从汇编到C语言的抽象升级，指出新范式初期总因可控性、性能和审查问题遭质疑，但长期看会成为更高效的人机表达方式，真正决定编程能力的不是是否手写代码或掌握某种语言，而是拆解问题、定义边界、发现错误和构建系统的编程思维。

Anthropic通过为Claude引入规划、生成、评估多智能体架构，并用可评分标准、QA反馈和长时任务编排替代单智能体自评，显著提升了前端设计质量与端到端应用构建能力；结果是模型能在数小时内自主完成更完整、可用的全栈产品，但代价是更高的成本、时延与系统复杂度，且评估环节仍需随模型能力迭代简化。

Cloudflare将Dynamic Worker Loader开放公测，允许在运行时为AI生成代码即时创建隔离沙箱，替代启动慢、成本高的容器；其基于V8 isolates，启动仅数毫秒、内存占用更低，可按请求级并发扩展，并支持通过TypeScript API、RPC与HTTP过滤安全调用外部服务；结论是它让大规模、低延迟、相对安全的AI代理执行代码成为可行方案。