Breakdown of the Trivy GitHub Actions attack, including workflow misconfigurations, token theft, and supply chain exposure.

同事.skill做的事情，是把一个人的聊天记录、工作文档和行为模式提炼成一份Markdown格式的指令文件，然后让大模型按照这份指令来模拟回应。它模拟的是表达风格和工作流程的外壳。至于模拟那个人真正的专业判断力？还差得很远。

前几天，Anthropic 开源了 claude-desktop-buddy，用一块小屏幕显示 Claude Code 里 Buddy 的状态。我看到后想：手头刚好有一块 M5Paper ...

2026 年 3 月，Anthropic 在 npm 发布时不小心把 source map 一起打包进了生产版本，导致 57MB 的 cli.js.map 文件公开暴露——里面直接包含了 1906 个 TypeScript 源文件的完整内容。不需要反编译，不需要反混淆，原始源码直接可读。cc-mini 正是社区基于这批泄露源码，用 Python ...