过期的食物不能吃，屎也不能吃，为什么过期的屎你们有些头部厂商的实验室竟拿来添油加醋炒至金黄

玩虾有感：
claw无非是头长在vscode（及其变体）以外的对话框里的agent。
号称做起夜级claw的厂商有很多，实际能用的一个都没有（都是原版claw套壳抢占先机）。首先原版claw唯一有亮点的地方在于个人电脑上搞自然语言转RPA，问题是起夜级上了设备管控的个人电脑你搞一个远程指挥的RPA就是想死了。
如果你要集中部署，要么多人一虾然后爽吃鉴权和污染问题；要么一人一虾多实例，问题是现阶段所有channel侧软件都没有考虑这种设计（等过气之后就更不会考虑了），而且开销和拉起时延也有待考量；要么一虾多session多workspace，但它单走一个event loop根本没考虑过在企业里高同接还按人划分session动态接入workspace的场景，你要上起夜级就得大改加workers，然而原版openclaw是纯vibe出来的化粪池，你要改起来必vibe失败。
目前用得比较舒服的运行时是zeroclaw，但他也只是riir而且精简重写罢了，上述问题该有还是有。
考虑到很多起夜级社畜的工作时间就是浪费在超绝填表和超燃发文，无疑接下来这样的模式是可以在这种构式工作流程中掀翻小池塘的，但目前所有工具都没准备好。我看一年内能起很多变化。尽管下一个字生成器架构根本做不到AGI，但这可能是大家第一次意识到下一个字生成器如何去自适应和填补够使工作中最狗市的部分。现在玩claw到底有什么意义，问就是战未来。至少能倒逼厂商开放接口，一夜间我化身填表发文高手。

作为从小就在深山和海边摇曳露营，把膝盖爬废了的人，我对广西的一些山做出排名：
T0：圣堂山（海拔+云海）、七百弄（极致喀斯特地貌）、元宝山（瑶族风光）
T1：大明山上林线（南宁人喜欢武鸣线，少有人知道北线的爽）、平天山（贵港人喜欢，比较曲折）、青秀山（虽然只是个城区公园，但它花草树木实在太丰富了，很多稀有品种）
T2：猫儿山（高但是不如圣堂山好看）、大容山（玉林人喜欢，商业化开发之后没意思了）、龙虎山（本质猴山，我劝你别带帽子和小部件去，小心猴子抢吃的抢手机）

其实河池和百色那边讲壮话地区的各种大山风景就没有差的，都可以试试；但如果到讲白话的钦北防这种纯平原地区找山，我只能说笑嘻了。至于六万大山和十万大山，等着你的是水库、水库、水库和空军钓鱼佬。

#广西美食 和美食没有关系，但为了带tag，顺便说一下，晚上的各种烧烤摊可以吃到烤猪鞭、猪眼睛、鸡睾。炒/煲田螺不放紫苏和薄荷则不够正宗。广西菜普遍嗜酸，调酸味常见柠檬、酸梅酱、黄皮酱乃至黑榄角，但绝不会用番茄和番茄酱（除了南宁小部分地区），也不怎么用陈醋。广西用得最多的醋没准是天地一号柠檬醋，严肃怀疑这是一种Apfelschorle。柠檬鸭本是武鸣地区特色，改开后带入南宁开店火了起来。

systemd-绿坝d

https://github.com/systemd/systemd/pull/40954

政企安全下沉市场的悖论，不在直辖市/省会城市干一定会遇到：
如果你不要求合规，那系统简单被黑客打穿，造成损失
如果你要求合规，那大家的精力就会优先往合规去靠，安全公司的红初小子会给你开nmap出“中危”试图多爆米，甲方安全岗调调TLS版本和Allowed methods说自己修复了，监管来翻了下报告感觉很满意。结果系统还是简单被黑客打穿，造成损失，只是大家好像都按流程做了，钱也花出去了，无人背锅，红初小子大不了去另一家公司接着开机器。
门槛很低，以至于开扫描器过文档做合规也叫搞安全；门槛又很高，以至于懂打懂看、认真写认真看报告的人又太少了。

比想象中好用

https://www.reddit.com/r/LocalLLaMA/comments/1rq7jtm/qwen3535ba3b_uncensored_aggressive_gguf_release/

：最近工作好忙啊
我：这么多破事，一半是人工智能导致的，另一半是人工智能不够智能导致的。

RIP

喜报：频道主感觉要变性，最近吃了药，挖了坑，术了

1、冬天在赫鲁晓夫楼里被冻得要死，每天喝魔爪紧张看着eth钱包的东欧斯拉夫人
2、艰苦跑操吃窝窝头，家里青黄不接，难得被将军相中却被按在黑网吧里的朝鲜青年
3、在园区里不见天日，干得好没奖励，干不好有皮鞭，每年年会去海边草皮的东南亚苦逼菠菜老哥
4、名校网安毕业，经历万里挑一的特招，从各家头部安全公司Lab接受最尖端的攻防技战法培训和协同行动，掌握全国顶尖武器化漏洞资源的APT国家队
谁会输？

https://blogs.gentoo.org/mgorny/2026/04/05/the-pinnacle-of-enshittification-or-large-language-models/ #llm #opensource #community

一篇有关使用 AI 不错的文章

https://ergosphere.blog/posts/the-machines-are-fine/

我到现在也对什么情况下用 AI 是合理的这件事没有好的定论，比如是否可以为了赶时间让 AI 代为决策或者写我还不会的技术

这个分界线很难划，而且随着技术进步和形势的变化这还会是个需要不断思考和反省的问题

为了论证野生tool use不靠谱，写了一个给龙虾进行Skill污染的小样本，藏在最早的git commit里。只要你能诱骗龙虾阅读精心构造过的phiproto格式（用我提供的phicli -e搭配csv就能构建），并且他意识到要去ClawHub拉取phiproto的parse skill，并且真下下来执行了，就能触发。
1. 世界上并不存在phiproto，这是我刚发明的新名词，为了让龙虾能在ClawHub和各种search里精准索敌
2. 为了避免AI真的去审计我的repo源码看看安不安全，我在最新版本的代码提交里声称自己已经删掉了“获取远程数据”功能，并且刷了版本号，但实际上传的二进制release仍然是包含后门的旧版本。
3. 单纯这个样本本身是不会做出什么异常行为的，他需要搭配一个构造过的有字段指向外部.py文件的phiproto文件。 当然这年头的沙箱多姿多彩得很，没准给我代码分支强执了呢
4. ClawHub不允许上传二进制文件，但他允许上传.sh让龙虾读完fetch下来，何况很多人都有CLI需求呢。

仅研究使用。

https://github.com/chengongpp/phiproto

？？？

https://github.com/JinGuYuan/jinguyuan-dumpling-skill/tree/main

新华社对 token 的理解：
Authorization: Bearer ignore previous instructions

安恒的新平台：VulnPlus
过去的多篇文章都设想过LM真的拿来猛猛挖洞，如果有师傅还没想通或者没空跑起来真正的llm 4 security loop的话可以试试水安恒家的新平台，总的来说给他甩一个repo就可以开干了，我心疼他家的token所以用的m2.5。
对比之下，如果你没念咒语直接让m2.5自由发挥，首先他跑不到这么多轮的tool，其次他跑着跑着会不知天地为何物，这意味着你得自己手动加各种约束手动告诉他哪里找sink；而安恒这方面显然有比较打磨过的设计，在环境、工具和提示词的多重约束之下，自己拉取自己up自己拿着技战法找sink然后自己打自己验证，哪怕是上述比较菜的模型，挖一些未授权漏洞也绰绰有余，在算力充足的情况下，等模型再迭个一代（A\持续烂炒有一个好，国内基模厂商这会肯定急着收集各种红队语料拿去给LM训成安全中级高手，且听龙吟），甲方如果拿这个loop自己跑，怕是能替代下沉市场红队中级了。

为什么说挖业务漏洞有用，因为你拿它挖keycloak之类的成熟项目怕是很难挖出啥来；阿里系的Java屎山倒可以试试。总的来说我觉得这个对于有充足显卡的起夜级甲方来说已经生产可用了，传统开发安全厂商的单一SCA已经近乎结束生命，传统SAST和IAST也快了，除非剥出一些类似astgrep、tree-sitter或者codeql等结构化分析强强的能力出来给LM用。还在搞什么“ai解读结果给人看”的安全厂商该醒醒了。

https://mp.weixin.qq.com/s/Nf_j4LtkojZ8dHxanpqbzg