Marico's space

最近折腾了 AI-DLC（AI-Driven Development Life Cycle），踩了几个坑，这篇把问题说清楚。 先说结论：AI-DLC 是 AWS 出的一个基于规则的引导系统——不是工具，不是库——作用是把 AI 结对编程从"看心情 prompt"变成结构化的三阶段生命周期（Inception → Construction → Operations）。它跑在任何支持规则文件的 AI

最近供应链安全又出事了。2026年5月，一个叫Shai-Hulud的蠕虫病毒搞定了42个TanStack包，包括@tanstack/react-router——一个装在数百万个JavaScript项目里的库。从上线到被发现大概3个小时，够长了。如果你那天正好装了依赖，可能已经中招了。 这篇不是写给库维护者看的。是写给咱们这些普通开发者的——谁还没npm install过呢。 > "冷知识"1

最近折腾了 AI Agent 的安全防护，踩了几个坑，Shai-Hulud 这个开源蠕虫让我意识到问题比想象中严重得多，这篇把问题说清楚。 Shai-Hulud 蠕虫不是理论性的。它是一种自我复制的 AI 蠕虫，通过在 Agent 读取、处理和执行的内容中嵌入恶意提示来进行传播。研究人员已经演示了它的可行性。然后有人把源代码放出来了。 第二件事才是重点。构建一个可用的 AI 蠕虫不再需要复杂的

最近折腾 NestJS 微服务，发现每次新建项目都要重复配置一堆基础设施：Docker 环境、数据库连接、消息队列、日志系统……光这些准备工作就够磨半天性子了。正好手头写了个脚手架工具 Candy-Nest-CLI，把这些流程自动化了，这篇把踩坑经历和工具用法说清楚。 用 NestJS 写微服务的同学应该都清楚，这框架确实结构清晰、功能强大。但每次新起一个服务，前期配置的工作量并不少： *

最近折腾 AI agent 开发，发现一个问题——npm 包有 npm audit，Python 有 pip-audit，但我给 agent 装了一堆插件技能后，却没有任何工具能检查这些插件的安全性。 如果你说"确实没有"，你不是一个人，这就是我做了 tessl-audit 的原因！可以在 GitHub 和 npm 上找到它。 这个问题比你想象的严重 Agent 插件本质上是加载到 AI

最近帮几个朋友公司梳理自动化流程，发现一个挺有意思的现象：大家一聊自动化就想着上AI、搭复杂的工作流，结果折腾半天要么用不起来，要么一堆bug没人管。 其实多数中小企业需要的自动化没那么多花头。减少点复制粘贴的操作，少漏几封跟进邮件，发票别老压在某人邮箱里没人处理——这才是真正有用的自动化起点。 真正有效的自动化往往挺无聊的。它不是那种"机器人替代整个部门"的科幻场景，而是：表单填完数据自动进

好了，休假回来继续肝技术文 😄 大家都知道，我时不时会写一些类似Stop Installing Libraries: 10 Browser APIs That Already Solve Your Problems这种风格的帖子——说实话我挺喜欢写这种的，读者反馈也不错 🙂 今天我想换个角度来聊这个话题。给大家看几个有意思的东西，它们可能在悄悄让你的应用变慢很多，但乍一看完全人畜无害。更爽的

相信很多人都有过这种体验——心跳加速、手心冒汗、思绪开始打转。不管是老板发来的刁难邮件、突然要交的方案，还是一场棘手的对话，压力似乎已经成了现代生活的标配。但你有没有想过，其实可以在压力荷尔蒙进入身体之前就把它们拦截掉？ 今天要聊的是 Lila Veronica，她原本在俄亥俄州立大学教环境政策，后来转型成了高性能教练，专门研究正念和身体感知。Lila 把科学研究和实战经验结合起来，给压力预防提

跑 AI Agent 钱包的容器不用 root 身份运行，这不只是一个安全建议——而是防止权限提升攻击的关键手段，一旦被突破，你整个宿主机都得完蛋。尤其是你的交易机器人或者 DeFi Agent 在处理真实资金的时候，遵循最小权限原则已经成了基础设施的基本卫生要求。 容器安全漏洞是云基础设施里增长最快的攻击向量之一。一个被攻破的 root 容器可以直接逃逸到宿主机，访问其他容器，不光能掏空你 A

最近折腾 API 认证，前两篇分别聊了 Basic Auth 和 API Key，这篇把 JWT（JSON Web Token）说清楚。和前面两位前辈相比，JWT 解决的问题更尖锐，也更有意思。 为什么 API KEY 不够用 第二篇里说过，API Key 本质上就是一个长字符串，你的软件每次请求时把它亮给服务器看。能用，但有个隐藏代价：每次 Key 被使用，服务器都必须去数据库里查一下——