Hermes Agent 初探:一个会长记性的个人 Agent,以及它和 OpenClaw 的比较

Posted on 六 25 4月 2026 in Tech • Tagged with AI Agent, Hermes Agent, OpenClaw, Feishu, OpenAI API, DeepSeek, OPC

Hermes Agent 有趣的地方,不只是能聊天、能跑工具,而是把 memory、skills、gateway、scheduler 和 provider routing 放进一个长期运行的个人 agent。这篇文章基于 2026-04-25 查阅的官方资料,聊聊 Hermes Agent 的定位、它和 OpenClaw 的比较,以及接入 Feishu/Lark、DeepSeek 与 OpenAI-compatible API 的实践清单。


Continue reading

如何把你的论文发布到 arXiv

Posted on 六 25 4月 2026 in Tech • Tagged with arxiv, research, paper, thesis, open access

介绍 arXiv 是什么, 适合发布什么类型的论文, 以及从准备稿件到提交、背书、授权和公告的完整流程。


Continue reading

安全混沌工程:把安全事故演练成消防演习

Posted on 五 24 4月 2026 in Tech • Tagged with security, chaos-engineering, incident-response, resilience, tabletop-exercise, game-day

混沌工程不该只服务于稳定性。面对密码泄漏、账号被盗、数据外泄、勒索加密等安全事故,团队也需要像消防演习一样,在平时用可控、低风险的方式反复演练发现、响应、隔离、恢复和复盘。


Continue reading

从 Cursor 迁到 Codex:别急着抄配置,先把脑回路迁过去

Posted on 四 23 4月 2026 in Tech • Tagged with Cursor, Codex, AGENTS.md, hooks, AI coding, workflow

很多人以为从 Cursor 迁到 Codex 只是把 .cursor/ 改成 .codex/,结果第一天就撞墙。真正难迁的不是目录,而是概念:Rules、Commands、AGENTS、Skills、Hooks、Sandbox、Approval 在两边的含义并不一样。结合官方文档和我在博客仓库里的真实迁移痕迹,聊聊怎么迁、先迁什么、哪些坑最容易踩。


Continue reading

AI 时代,别只囤笔记:我是怎么把知识库做成一部活的 Wiki

Posted on 三 22 4月 2026 in Tech • Tagged with AI, knowledge-base, wiki, PKM, RAG

AI 很强,但它并不了解你的项目、你的经历和你的判断。真正有用的知识库,不是把笔记堆起来,而是把原始材料、结构化页面、治理规则、来源与校验串成一条流水线。结合我最近折腾的一套私人原型,聊聊我是怎么搭自己的知识库,以及怎样让它不只是一个"仓库"。


Continue reading

Axios 被投毒:一场教科书级的供应链攻击复盘

Posted on 三 01 4月 2026 in Tech • Tagged with security, supply-chain, npm, axios, RAT, dependency-management

2026 年 3 月 31 日,周下载量过亿的 npm 包 axios 被投毒,两小时内所有 npm install 的机器可能已沦陷。这次事件再次说明:你写的代码也许没有 bug,但你装的依赖里可能藏着一扇后门。


Continue reading

从 Prompt Engineering 到 Harness Engineering:AI 编程的四次进化

Posted on 六 28 3月 2026 in Tech • Tagged with harness-engineering, AI, prompt-engineering, context-engineering, Tauri, Rust, Claude Code

OpenAI 用 Codex 在五个月内生成了百万行代码,零行手写。背后的方法论叫 Harness Engineering——不是教 AI 怎么写代码,而是给 AI 搭一个"跑不偏"的环境。本文梳理从 Prompt Engineering 到 Harness Engineering 的四次进化,并用一个实战案例演示:一个不会 Rust 的老程序员,如何靠 Harness Engineering 用 Tauri 写出一个桌面 Todo 应用。


Continue reading

从 LiteLLM 供应链投毒事件聊聊密钥安全

Posted on 六 28 3月 2026 in Tech • Tagged with security, supply-chain, python, secrets-management, LiteLLM

2026年3月,LiteLLM 遭遇供应链投毒,恶意包窃取用户密钥和云凭证。本文从 .pth 文件机制、漏洞根因、密钥不落盘理念到业界通用方案,聊聊 AI 时代的密钥安全。


Continue reading

从 RAG 到 GraphRAG:当检索增强生成遇上知识图谱

Posted on 四 26 3月 2026 in tech • Tagged with graphrag, rag, knowledge-graph, llm, ai, leiden, community-detection

传统 RAG 在处理复杂多跳问题时力不从心,GraphRAG 通过引入知识图谱为检索增强生成带来了结构化推理能力。本文从痛点分析、核心架构、Leiden 社区检测算法到工程实践,全面深入剖析 GraphRAG。


Continue reading

用 Playwright 自动发帖到知乎和小红书:一个程序员的偷懒指南

Posted on 六 21 3月 2026 in Tech • Tagged with Playwright, automation, Python, 知乎, 小红书, browser automation

写完一篇文章,手动复制粘贴到知乎、小红书、公众号……每次都要重新排版、加标签、传图片,烦不烦?这篇文章聊聊怎么用 Playwright 把这些重复劳动自动化掉——从录制操作到封装脚本,附完整代码。


Continue reading

如何写好一个 AI Skill:让 AI Agent 从"什么都会"变成"真的能干活"

Posted on 二 17 3月 2026 in Tech • Tagged with AI, Skill, Agent, Prompt Engineering, Claude Code, Cursor, 方法论

AI Agent 就像你新招的天才实习生——什么都学过,但到了你的项目里,连 CI 怎么跑都不知道。AI Skill 就是那份"入职培训手册",把你的领域知识、工作流程、最佳实践打包成 AI 能理解和执行的模块。本文拆解写好 AI Skill 的方法、原则、示例和自检清单。


Continue reading

AI Friendly:为什么你的架构、API 和 UI 也该为 AI 设计?

Posted on 五 13 3月 2026 in Tech • Tagged with AI, AI Friendly, 架构设计, API, Context Engineering, Human-AI Interaction, 跨越鸿沟, 程序员转型, 方法论

我们花了 30 年让软件对人友好(User Friendly),现在该花点时间让它对 AI 也友好了(AI Friendly)。AI 可以给人赋能,人也可以给 AI 赋能——你给 AI 的上下文质量,决定了 AI 能回馈给你的输出质量。API 是否结构化、文档是否机器可读、日志是否语义清晰、UI 是否有良好的无障碍标记——这些原本就是"好设计"的标准,只不过 AI 的到来让它们从"最佳实践"升级成了"生存必需"。


Continue reading

从零构建一个迷你 Zoom:Lazy Rabbit Meeting 架构全解析

Posted on 日 08 3月 2026 in Tech • Tagged with WebRTC, Go, Vue.js, SFU, 视频会议, 实时通信, Architecture

详细讲解如何用 Go + Vue.js + WebRTC 从零构建一个具备完整功能的迷你视频会议系统,包含 SFU 引擎、JMPP 信令协议、屏幕共享、服务端录制和 Docker 部署。


Continue reading

网络安全指北之 Broken Auth and Session Management:登录与会话管理翻车指南

Posted on 五 06 3月 2026 in Tech • Tagged with tech, blog, security, auth, session

认证翻车和会话翻车, 往往不是因为黑客太聪明, 而是我们把"登录态"当成了万能钥匙: cookie 没设好、token 乱放、会话不轮换、登出不失效。本文用人话拆解常见坑, 给出 Java/Go/Python 可直接抄的防护套路与自检清单。


Continue reading

MySQL 高可用:从主从复制到 InnoDB Cluster,你需要知道的一切

Posted on 五 06 3月 2026 in Tech • Tagged with MySQL, 高可用, 数据库, 主从复制, InnoDB Cluster, MHA, ProxySQL

数据库挂了,整个系统就瘫了——MySQL 高可用不是"锦上添花",而是"保命底线"。本文梳理 MySQL 高可用的主流方案(主从复制、半同步、MHA、InnoDB Cluster、Galera),对比它们的适用场景和踩坑经验,附带常见错误排查清单。


Continue reading

服务稳定性之 LMAT 和 USED

Posted on 五 06 3月 2026 in Tech • Tagged with observability, SRE, monitoring, stability, LMAT, USED

隐患险于明火,防范胜于救灾,责任重于泰山。本文介绍服务稳定性的两个核心方法论:LMAT(Log, Metrics, Alert, Trace)和 USED(Usage, Saturation, Error, Delay),并结合实践经验,讲解如何构建一套系统化的服务稳定性保障体系。


Continue reading

从 RBAC 到 OpenFGA:细粒度授权的架构、落地与取舍

Posted on 四 05 3月 2026 in Tech • Tagged with authorization, rbac, openfga, zanzibar, security, fine-grained-authorization, 授权, 访问控制

RBAC 是授权领域的"老黄牛",简单可靠,但在多租户、层级继承、动态共享等场景下力不从心。OpenFGA 基于 Google Zanzibar 论文,用关系元组(Relationship Tuple)重新定义了授权模型。本文从 RBAC 的局限出发,深入剖析 OpenFGA 的架构设计,探讨商业公司落地的路径与风险,以及开源方案与自研的取舍。


Continue reading

网络安全指北之 CSRF:Cross-Site Request Forgery (跨站请求伪造)

Posted on 一 02 3月 2026 in Tech • Tagged with tech, blog, security

CSRF 不靠"攻破你的网站",它靠的是"借你的登录态办坏事"。这篇文章把 CSRF 的本质讲清楚,顺便给出 Java/Go/Python 里能直接抄的防护做法:token、SameSite、Referer/Origin 校验,以及什么时候该用哪个。


Continue reading

网络安全指北之 IDOR: Insecure Direct Object Reference (对象引用越权)

Posted on 一 02 3月 2026 in Tech • Tagged with tech, blog, security

IDOR 不玄学,就一句话:你用 "id=123" 这种直达链接访问资源时,服务端有没有确认 "你就是 123 的主人"。这篇文章用可抄的例子讲清楚:它怎么发生,怎么被利用,怎么在 Java/Go/Python 里修到位。


Continue reading

网络安全指北之Sensitive Data Exposure:敏感数据暴露

Posted on 一 02 3月 2026 in Tech • Tagged with tech, blog, security, privacy

敏感数据暴露从来不是黑客多聪明,而是我们自己太大意:日志、报错、对象存储、备份、调试接口——每个环节都可能把数据"顺手递出去"。这篇文章给你一份可直接照抄的"数据防裸奔"清单。


Continue reading