最新

嗨，HN 社区， 几周前，我在这里发布了 Knowza.ai，这是一个带有智能学习助手的 AWS 认证考试备考平台。我收到了很多关于注册和试用流程的宝贵反馈。 我想由衷地感谢每一位花时间试用、留下评论和分享建议的朋友。这真的很有帮助。 根据这些反馈，我做了一些改进，很高兴与大家分享，现在我们推出了免费试用版：您可以直接体验 10 道练习题，无需注册/订阅，也无需提供信用卡。 这对于注册和注册后的交流起到了很大的作用。我的网站转化率从大约 1% 提高到了 18%。 简单回顾一下 Knowza 的功能： * 针对 AWS 认证考试的 AWS 练习题 * 由 Bedrock 上的 Claude 提供即时解释 * 涵盖多种 AWS 认证 欢迎您再次体验，并告诉我您的想法。 随时欢迎反馈。 [https://knowza.ai](https://knowza.ai)

和问题一样，我没看到 Web3 领域有什么大动静，除了所有初创公司都在苦苦挣扎。

嗨，HN， 我创建了一个小型的开源项目，原本是自用的，现在想和社区分享。它是一个基于终端的、声明式、可脚本化的 IDE，专注于基于智能体的工程。 这听起来有很多术语，但本质上它是一个多智能体 IDE，你可以在终端中启动它。 这有什么意义呢？得益于 tmux 和 SSH，这意味着你拥有一个非常简单高效的方式来创建自己的常开编码环境。 通过 SSH 启动你的 IDE，给 Claude 一个提示，然后关闭你的机器。在 tmux-ide 中，Claude 将继续工作。 这个工具的设计有意非常轻量级，因为我认为它的力量应该来自于你正在使用的工具。 我希望与社区分享这个项目，并获得反馈和建议，以塑造这个项目！我认为“远程工作”的方向是正确的，因为我们现在可以进行非常长时间的编码任务。但我也认为我们应该能够根据我们的需要来控制和编排这种体验。 该项目是 100% 开源的，我希望与喜欢以这种方式工作的人一起塑造它！ Github：<a href="https://github.com/wavyrai/tmux-ide" rel="nofollow">https://github.com/wavyrai/tmux-ide</a> 文档：<a href="https://tmux.thijsverreck.com/docs" rel="nofollow">https://tmux.thijsverreck.com/docs</a>

大家好，如果你有幸在配备了 Starlink 的航班上体验过，你就会明白它的魅力。它真的好用！ 然而，在航班上使用 Starlink 的情况并不稳定，也很难预测。因此，我们建立了一个数据库，收录了所有已经推出 Starlink（不仅仅是试用）的航空公司，并开发了一个航班搜索工具来预测。输入航班号和日期，我们就可以根据飞机类型和尾号来估算航班上配备 Starlink 的可能性。 如果你近期没有出行计划，也可以查询特定航线，看看哪些航班提供 Starlink 服务。你可以在这里找到它：<a href="https://stardrift.ai/starlink">https://stardrift.ai/starlink</a>。 我想补充几点关于这个工具的工作原理。在回答查询时，我们会按顺序检查三件事： * 这家航空公司是否配备了 Starlink？ * 这架飞机机型是否配备了 Starlink？ * 这架飞机是否配备了 Starlink？ 目前只有少数几家航空公司配备了 Starlink：联合航空、夏威夷航空、阿拉斯加航空、法国航空、卡塔尔航空、JSX 以及其他少数几家。因此，如果飞机由其他任何航空公司运营，我们可以立即给出否定的答案。 然后，我们会检查飞机实际的机型。航空公司通常会提前公布设备分配情况，而且他们也在逐个机型地推出 Starlink。例如，我们知道所有 JSX 的 E145 飞机都配备了 Starlink，而法国航空的 A320 飞机都没有配备 Starlink。（你可以在这里查看我们的数据摘要：<a href="https://stardrift.ai/starlink/fleet-summary">https://stardrift.ai/starlink/fleet-summary</a>，尽管实际的逻辑包含一些未在此处编码的规则。） 如果机型完全匹配，我们可以有把握地告诉你你的航班将配备 Starlink。然而，在大多数情况下，航空公司只是对该机型进行了部分升级。在这种情况下，我们需要深入研究，弄清楚究竟是哪架飞机在你的航线上飞行。 我们可以通过查找“尾号”（可以把它理解为飞机的车牌号）来实现这一点。不幸的是，尾号通常只有在航班起飞前几天才会分配。因此，在此之前，我们能做的最好的事情就是计算你的飞机被分配到已启用 Starlink 的飞机的概率。 为此，我们不得不建立一个飞机尾号与 Starlink 状态的映射。在这里，我要感谢维护着详细的电子表格和论坛帖子的在线航空爱好者们，他们跟踪着这些数据！据我所知，他们通常从热衷于 Starlink 推广的航空公司工作人员那里获得这些数据，因此这是一个可靠且经常更新的来源。我们的大部分工作是找到每个来源，规范它们的格式，构建一个可靠且负责任的系统来提取它们，然后将它们与其他数据源连接起来。 基本上，这是一个数据规范化问题！我过去从事金融数据系统工作，我对这个问题与金融数据问题如此相似感到惊讶。 Starlink 本身也是一项非常酷的技术。我还写了一篇博文（<a href="https://stardrift.ai/blog/why-is-starlink-so-good">https://stardrift.ai/blog/why-is-starlink-so-good</a>），讲述了它为什么比其他所有飞机 Wi-Fi 选项好得多。从宏观上讲，这只有在如今火箭发射如此便宜的情况下才有可能实现，这非常酷。 它的性能很棒，所以如果可能的话，值得你根据它来规划你的航班。目前，在美国，你的最佳选择是联合航空的支线航班和 JSX/夏威夷航空。在国际上，卡塔尔航空是最佳选择（尽管目前显然不行），法国航空位居第二。但随着越来越多的航空公司在今年推出这项服务，这种情况将会发生变化，我们将不断更新我们的数据库！

今天 Spotify 桌面客户端强迫我听了一堆广告。我可是付费用户啊！ 看来这问题很普遍，Spotify 的 subreddit 正在积极删除关于这个问题的讨论。

我是 MCP 服务器（AiDex — 使用 Tree-sitter 进行代码索引，github.com/CSCSoftware/AiDex）的开发者。我最近发现一个名为 iflow-mcp 的组织正在 GitHub 上系统地 fork 数百个 MCP 服务器，并将它们重新发布在其自己的 npm 作用域 (@iflow-mcp/) 和 PyPI 上，并通过他们自己的“市场”进行分发——从未联系过原始作者。 但真正的问题不是 fork 本身，而是安全问题。 --- *发生了什么* 这些 fork 以 @iflow-mcp/originalauthor-projectname 的模式发布。原始作者的熟悉名称会建立信任——但用户实际获得的代码完全由第三方控制。没有任何东西可以阻止该第三方在发布之前修改代码。 *为什么 MCP 服务器特别危险* MCP 服务器不是一个无害的插件。按照设计，它具有深度的访问权限： - 它读取您的源代码，浏览您的文件系统，接收文件内容 - 它可以查看 .env 文件、API 密钥、SSH 密钥、凭据和专有代码 - 它通过 stdio 直接与 AI 客户端通信——这意味着它可以操纵工具的响应 - 它通常以与用户相同的权限运行 一个被植入木马的 MCP 服务器可以在执行其应有的操作（索引或分析您的代码）的同时，悄无声息地窃取敏感数据。您看到该工具正常工作，但您看不到数据流出。 更糟糕的是：一个被操纵的服务器可以故意向 AI 助手提供虚假信息——暗示不安全的代码模式，隐藏漏洞，或将 AI 重定向到错误的文件。 *信任链的断裂* 这个问题是系统性的： 1. 开发者 A 将 MCP 服务器作为开源发布 2. 组织 X fork 它，并将其重新发布在其自己的作用域下 3. 用户在 X 的市场中找到该软件包，识别出熟悉的名称，并安装它 4. 用户认为他们正在运行原始代码——但他们正在运行 X 可能以任何方式修改过的代码 这是一种典型的供应链攻击。而且它特别有效，因为 MCP 服务器是新的，许多用户尚未学会验证他们的工具实际上来自哪里。 --- *作为 MCP 服务器开发者，您可以做什么* 1. *启动时进行来源检查：* 检查您自己的软件包名称（package.json, process.env.npm_package_name）和安装路径 (__dirname)。如果出现外部作用域，请显示清晰的警告： ``` 这似乎是 [project] 的非官方重新分发。 官方软件包：npm install [original-package] 存储库：[original-url] ``` 2. *构建签名：* 在您的构建过程中嵌入一个哈希或签名标识符。一个没有复制您确切构建流程的重新发布者无法复制它。 3. *注册表检查：* 在启动时向 npm 注册表发出一个快速的 HTTP 请求，可以揭示该软件包是否在外部作用域下运行。 *作为用户，您可以做什么* - 始终直接从原始项目安装 MCP 服务器，切勿通过第三方市场安装 - 检查 npm 作用域：@iflow-mcp/cscsoftware-aidex 与 aidex-mcp 不同 - 查看 GitHub 以验证存储库是否为 fork 以及实际作者是谁 - 对具有深度文件系统访问权限的 MCP 服务器要特别谨慎 --- *请分享这篇文章。* 了解这种攻击媒介的 MCP 开发者和用户越多，就越难被利用。MCP 生态系统正在迅速增长——但如果没有对供应链安全的意识，我们就是在沙滩上建造。 如果您受到影响：请发声。检查您的项目是否出现在 github.com/iflow-mcp/ 下。声音越多，npm 和 GitHub 采取行动的速度就越快。 原始项目：https://github.com/CSCSoftware/AiDex 他们在 npm 上的 fork：https://www.npmjs.com/package/@iflow-mcp/cscsoftware-aidex — Uwe Chalas，AiDex 的作者（npm 上的 aidex-mcp）