最近在写论文，打算用claude来润色。Free每次都用干了。如果只是网页版，需要像claude code那样子麻烦么？求解答。

上次搞 MindManager - WinWrap：Gemini 出思路，GLM 落地执行，配合得很好。
今天写 Chrome 扩展：GLM 卡壳了，Gemini 帮忙搞定，顺了。
经验教训：别绑定单一模型。这次 GLM 强，下次可能 Gemini 强，多模型轮着来才能打。
要能直接调各家模型 API 的，不要被某个站点绑死。

真是用着用着突然就变成只读了，我还又去确认了一下到期时间，没到期，只读了。
我是不是一个人，还一堆数据呢

鉴于最近机场的订阅链接频繁变化
制作了个 Clash 订阅管理网站
将订阅下载到此网站
然后再订阅此网站
开源地址
P.S. 部分用客户端的无能为力了
抓包抓了个 1yunti 的 发现拿到的节点用不了
可能内部还对节点做了什么处理  放弃使用了

本帖使用社区开源推广，符合推广要求。我申明并遵循社区要求的以下内容：

我的帖子已经打上 开源推广 标签： 是
我的开源项目完整开源，无未开源部分： 是
我的开源项目已链接认可 LINUX DO 社区： 是
我帖子内的项目介绍，AI生成、润色内容部分已截图发出： 是
以上选择我承诺是永久有效的，接受社区和佬友监督： 是

以下为项目介绍正文内容，AI生成、润色内容已使用截图方式发出


  
      

      arxiv.org
  

  
    

Meta-Harness: End-to-End Optimization of Model Harnesses



  

  
    
    
  

  


偶然了解到了关于Harness的一篇研究论文，斯坦福大学（Stanford University）的研究团队于3月30日提出，其中核心理念是对于Agent编排环境 Harness Engineering 不仅需要搭建，还需要 自动化地搜索、发现和优化整个 harness 代码，使之在目标任务上表现更好。
自己有点想法，于是就有了以下这个开源项目，这几天搓了一个框架出来，目标是建立一个通用的自动化Harness评估框架，旨在能应用在不同领域不同任务中持续优化固定的工作流，举几个场景的例子：

应用层的持续优化：openclaw等智能体的日常自动化运营，比如网站爬取或者信息分析，同一目标的不同实现形式，使用的skills不同，工具方式不同，其中的成功率和成本是不一样的，这种情况通过自动化评估框架，给出不同方案的成功率，成本的比对，来持续优化固定的工作流。
常用工作流的深度优化：代码索引工具有不同的索引方式，实现算法不同，索引时的参数不同，比如chunk参数、topk参数等，是否能通过调整参数，甚至于调整索引机制来保证对于特定的工作流有最优的效果。

落地经验分享（个人观点）：
1.方向没问题，当前对于herness环境的持续优化会是后续关注的方向
2.通用的优化框架覆盖面太广，个人需要投入极大的精力，而且实际落地具体场景

之前一直用的挺好，这两天经常卡在正在思考，一直用的是5.4，推理强度中；
我能想到的会不会是因为这两天我用的机场不稳定，得换换节点，导致触发了啥风控，给我降智了？现在是当网络稳定了，网页版codex刷新很快的时候，codex app还是卡住；佬友们，这该咋解决

佬们 如题 其实我一直有个疑问，就是关于AI产生的结果是否跟输入语言有着直接关系，平时我用Claude、GPT、Grok和Gemini比较多点 最早从两三年前我就一直用英语作为输入语言，因为我想着这些模型毕竟是人家老外的，所以英语作为token 最后理论上应该都会有着不错的结果集，不过进来我偶尔直接用中文给Claude 感觉输出结果也还可以

想开发一套基于腾讯表单/表格与本地浏览器自动化联动的访客预约系统：外部人员填写表单后，系统自动读取任务数据，按预约类型、校区（ x、y ）分类处理，自动打开浏览器完成登录、进入对应预约入口、填写访客信息并提交预约，支持单人或多人连续处理，并将预约结果、失败原因和执行状态回写到表格中；由于当前会话易失效、关闭浏览器后登录状态不可复用，且不同校区流程存在差异，因此系统需以浏览器自动化完成完整流程，并支持按批次重新获取会话后执行任务。
现在的流程是: 打开浏览器，输入网址，进入门户认证页面，进入门户，选择教师预约（或者单位预约），然后选择校区（因为表格会收集入校校区和校门），填写预约信息，提交预约，关闭浏览器（如果是多人可以再次选择提交，输入下一个人员信息）。重复这个流程
现在教师手动操作太麻烦，想开发从腾讯表格收集到信息就自动跑后面全流程，该用什么开源的agent那种吗 ，还是模拟点击这种 ，还是浏览器插件、脚本这种
小白没有开发经验，求助各位大佬

国内模型vibecoding真实感受是啥？能用吗，佬友们，我看好多帖子都在说买国内的codingplan

各位佬，claude code实在封号太厉害了，封了两个充值的号，现在注册就被封，想转投gpt了，开的是gpt的plus，现在额度消耗有点快，想知道pro的额度比plus多多少啊。有没有在用的佬，告知下使用体检如何呀，pro的能力是不是更强一些

（话题已被作者删除）

下午跑任务，MiniMax 突然报 529：

Error: 529 The server cluster is currently under high load. Please retry after a short wait and thank you for your patience. (2064)

之前 GLM 挂了，现在 MiniMax 也倒了。
结论：别把鸡蛋放一个篮子里，多备几个 API 方案才是王道。

所以mcp被什么替代了？为什么会被替代呢？

14点半的时候三个公益站都还能正常用，15点试了一下全挂了，咋会同步挂掉呢

OpenCode部署边界的思考
关于应用模式导致的边界问题的思考，
我们知道很多是有方便本地用户而设置的默认功能，服务就会省略鉴权等等的功能
很多时候在服务配置边界不明确的情况下，对于鉴权是极其宽松的
在我审计opencode的边界时，尤为感受深刻。
在opencode的server，web模式下启动的时候，会默认bind到4096端口
function createOpencode() {
  const host = "127.0.0.1"
  const port = 4096
  const url = `http://${host}:${port}`
  const proc = spawn(`opencode`, [`serve`, `--hostname=${host}`, `--port=${port}`])
  const client = createOpencodeClient({ baseUrl: url })


这种场景下的SSRF显得尤为危险，虽然默认绑定的是127.0.0.1，但是如果未默认直接起的服务就会暴漏以下
        .route("/project", ProjectRoutes())
        .route("/pty", PtyRoutes())
        .route("/config", ConfigRoutes())
        .route("/experimental", ExperimentalRoutes())
        .route("/session", SessionRoutes())
        .route("/permission", PermissionRoutes())
        .route("/question", QuestionRoutes())
        .route("/provider", ProviderRoutes())
        .route("/", FileRoutes())
        .route("/mcp", McpRoutes())
        .route("/tui", TuiRoutes())

绑定的端口在检查query是否为字符串之后就可以直接访问了，这里列举两个高危的接口
看看FileRoutes的接入
列举两个高危接口做下示范
  new Hono()
    .get(
      "/find",
      describeRoute({
        summary: "Find text",
        description: "Search for text patterns across files in the project using ripgrep.",
        operationId: "find.text",
        responses: {
          200: {
            description: "Matches",
            content: {
              "application/json": {
                schema: resolver(Ripgrep.Match.shape.data.array()),
              },
            },
          },
        },
      }),
      validator(
        "query",
        z.object({
          pattern: z.string(),
        }),
      ),
      async (c) => {
        const pattern = c.req.valid("query").pattern
        const result = await Ripgrep.search({
          cwd: Instance.directory,
          pattern,
          limit: 10,
        })
        return c.json(result)
      },
    )

对于query只是检查了是否是字符串，就直接push进了pattern，看看search的逻辑
  export async function search(input: {
    cwd: string
    pattern: string
    glob?: string[]
    limit?: number
    follow?: boolean
  }) {
    const args = [`${await filepath()}`, "--json", "--hidden", "--glob='!.git/*'"]
    if (input.follow) args.push("--follow")

    if (input.glob) {
      for (const g of input.glob) {
        args.push(`--glob=${g}`)
      }
    }

    if (input.limit) {
      args.push(`--max-count=${input.limit}`)
    }

    args.push("--")
    args.push(input.pattern)

    const command = args.join(" ")
    const result = await $`${{ raw: command }}`.cwd(input.cwd).quiet().nothrow()
    if (result.exitCode !== 0) {
      return []
    }

对于${{raw : xxxx}}是不会经过任何转义的，并且还拼接了args，也就把pattern也拼进去了
这样如此便RCE，可以继续连接自己服务器进行进一步混淆和持久化操作
第二个是
.get(
      "/find/file",
      describeRoute({
        summary: "Find files",
        description: "Search for files or directories by name or pattern in the project directory.",
        operationId: "find.files",
        responses: {
          200: {
            description: "File paths",
            content: {
              "application/json": {
                schema: resolver(z.string().array()),
              },
            },
          },
        },
      }),
      validator(
        "query",
        z.object({
          query: z.string(),
          dirs: z.enum(["true", "false"]).optional(),
          type: z.enum(["file", "directory"]).optional(),
          limit: z.coerce.number().int().min(1).max(200).optional(),
        }),
      ),
      async (c) => {
        const query = c.req.valid("query").query
        const dirs = c.req.valid("query").dirs
        const type = c.req.valid("query").type
        const limit = c.req.valid("query").limit
        const results = await File.search({
          query,
          limit: limit ?? 10,
          dirs: dirs !== "false",
          type,
        })
        return c.json(results)
      },
    )

依旧query原样检查字符串后直接拼入，看看file search逻辑
  expor

最近老是看到一些新闻和短视频那这个题目讲段子，就是不知道是真段子，还是假段子呢。
我一直很好奇，现在的基座模型也没那么强啊，所有的skill无非就是给基座模型套个嚼子，好牵着基座模型朝着自己想要的方向去进行内容生成而已，咋滴，真把同事给蒸馏成skill就能完全取代同事了？
更搞笑的是，还看到有新闻说把张雪峰做成skill的，他做的事情如果这么简单就被AI取代的话，那他这每年过亿的收入也太好赚了吧。
总之，我的观点就是AI离能替代正常人的工作还差了20%呢，但这20%就跟可控核聚变的50年一样，至少短期内都是一直摸不着的。有佬有不同观点吗？

我这MacBook Air m1预估价1600左右，以旧换新+教育优惠+国补说给我预估价是4000，能安全下车吗？

来都来了，大家不骂几句嘛？什么时候要20字了