关注微信公众号，回复”PDF“获取独家算法资料。

CC Switch 的配额/余额展示分为两大类：自动查询（官方订阅类，开箱即用）和手动启用（内置模板 + 自定义脚本，需要用户配置后再显示）。 这三类的共同特点是数据来源唯一且语义明确（官方订阅的使用率），不存在歧义，因此 CC Switch 直接调用对应的官方或 ...

近日，安全研究员 Ammar Askar 公开了一条利用 VSCode 漏洞一键窃取 GitHub Token 的完整攻击链。攻击者无需密码、无需下载恶意程序，只要诱导用户打开一个特制链接，就有机会获取 GitHub Token，并获得对私有仓库的读写权限。 更具争议的是，在披露漏洞的同时，Askar 还公开炮轰微软安全响应中心（MSRC），称其长期低估 VS Code 安全问题，甚至曾在未给予任 ...

TanStack 发布了一份详细的事件回顾报告，描述了一次复杂的供应链攻击。此次攻击仅用六分钟就攻破了 42 个 npm 包，并发布了 84 个恶意包版本，使开发人员和 CI/CD 系统面临凭证被盗和恶意软件传播的风险。该攻击利用了 GitHub Actions 缓存投毒、不安全的 pull_request_target ...

一个 AI Skill 通常由两部分组成： SKILL.md 描述技能的用途和调用逻辑，里面会告诉 Agent 遇到什么情况时、去执行哪个脚本、传什么参数。这些被调用的脚本，才是真正干活的部分。 打开一个 Claude Code 的 Skills 目录，仔细看了看结构。 一个 AI Skill 通常由两部分 ...

IT之家5 月 12 日消息，网络安全检测机构 Socket 于当地时间 5 月 11 日发出警报，在开源工具库 TanStack 旗下约 84 个 NPM 软件包的恶意版本中发现疑似凭证窃取恶意代码。 受影响软件包覆盖 42 个 @tanstack/* 命名空间下的项目，其中 @tanstack / react-router 的周下载量超 1200 万次，此类工具包在 NPM 生态中被广泛直接或 ...

如果你正在用WebSocket给LLM应用做token流式传输，上面这些坑你大概率踩过。WebSocket确实能干活，但它带来的麻烦也不少：连接 ...

这项由美国伊利诺伊大学香槟分校牵头，联合Meta和斯坦福大学共同完成的综述研究，于2026年5月18日以预印本形式发布在arXiv平台，论文编号为arXiv:2605.18747v1。这是一篇系统梳理"代码作为AI智能体基础设施"这一新兴方向的综合性调查报告，汇集了数十位研究者的集体智慧，对有兴趣深入了解的读者，可通过上述编号查阅完整原文。