Skip to main content

OKHK 👀

OKHK 👀
OKHK 👀
Thinking ❤️

  1. 一觉醒来发生了什么 04 月 01
    #Daily

    2026 年 4 月 1 日
    🌍 资讯快读
    1、长鹰 -8 成功首飞,可载重 3.5 吨的“无人空中重卡”
    https://www.jiemian.com/article/14187665.html
    2、持刀闯馆的日自卫队官员已送检
    https://www.thepaper.cn/newsDetail_forward_32866428
    3、上海首例“住房收购置换”模式签约
    https://www.jiemian.com/article/14190476.html
    4、硅谷大厂被裁定须为青少年社媒成瘾负责
    https://www.thepaper.cn/newsDetail_forward_32864933
    5、B 站官宣将下线猜你喜欢算法
    https://www.jiemian.com/article/14190388.html

    👬 即刻镇小报
    1、思维的培养大部分时间隐藏在冰山之下
    https://m.okjike.com/originalPosts/69cb430a25bae5661277e0da
    2、AI 适应人的速度远快于人适应 AI 的速度
    https://m.okjike.com/originalPosts/69ca57ae5c3584a141c61e88
    3、原来世界上真的有光,会为你在黑夜里跳一支舞。
    https://m.okjike.com/originalPosts/69ca1dd325bae566125dc2fe
    4、一到夜深人静,你心里总会冒出一句话:我现在这样活着,真的是我想要的吗?
    https://m.okjike.com/originalPosts/69c9feba9f3cd84f65890bc8

    今日即刻镇小报内容来自 @漆蝶 @张无常 Hayes_Zhang @十月和斑馬交換秘密 @fountain_ ,感谢以上即友的创作与分享。
    界面新闻
    长鹰-8成功首飞,可载重3.5吨的“无人空中重卡”来了
    3月31日,长鹰-8(NORINCO LUCA)大型运投无人机在郑州上街机场首飞成功,成为全球迄今首飞的最大货运无人机。

  3. OKHK 👀
    https://github.com/instructkr/claude-code 改名: https://github.com/instructkr/claw-code --- 以下来源于网络,质量参差不齐,仅供参考 Claude Code v2.1.88 技术文档 https://plain-sun-1ffe.hunshcn429.workers.dev/ https://github.com/mylxsw/cc-src-learning https://github.com/liuup/claude…
    https://fxtwitter.com/AprilNEA/status/2038931784382185661
    🧵 Thread • FxTwitter
    AprilNEA (@AprilNEA)
    AprilNEA (@AprilNEA)
    Claude Code 源码通过 sourcemap 逆向出来已经满天飞了,我有几个发现,做成卡片了,大家慢慢看

    - Anthropic 员工在公开仓库有"卧底模式",自动移除一切 AI 署名,没有关闭选项
    - 内置愚人节宠物养成系统,18 个物种有稀有度/属性/帽子,SALT 值 'friend-2026-401' 出卖了它
    - 物种名"capybara"和模型代号撞名,用 String.fromCharCode 十六进制编码绕过构建扫描
    - 做梦系统:超过 24 小时不用会在后台自动整理记忆,提示词写的是"你正在做梦"…

  5. OKHK 👀
    https://github.com/ChinaSiro/claude-code-sourcemap
    https://github.com/instructkr/claude-code
    改名:
    https://github.com/instructkr/claw-code

    ---
    以下来源于网络,质量参差不齐,仅供参考
    Claude Code v2.1.88 技术文档
    https://plain-sun-1ffe.hunshcn429.workers.dev/

    https://github.com/mylxsw/cc-src-learning

    https://github.com/liuup/claude-code-analysis
    GitHub
    GitHub - ultraworkers/claw-code: The repo is finally unlocked. enjoy the party! The fastest repo in history to surpass 100K stars…
    GitHub - ultraworkers/claw-code: The repo is finally unlocked. enjoy the party! The fastest repo in history to surpass 100K stars…
    The repo is finally unlocked. enjoy the party! The fastest repo in history to surpass 100K stars . Join Discord: https://discord.gg/5TUQKqFWd Built in Rust using oh-my-codex. - ultraworkers/claw-code

  7. HAT's Public Channel | 🫪
    *-cli & *code: 感谢 claude code 大哥开源 🤜,马上开始新版本自研 * 前端工程中 .js.map 就是包含完整源代码 (甚至注释) 的项目映射,一般是用于 debug 的,而此次 Anthropic 发布 npm 包的时候直接不小心 (?) 把这个文件一起发出来了,属于是实习工都不会犯的问题 想了一下,如果黑客拿这份源代码尝试恶意利用 (例如找 0day) 的话就非常恐怖了,在 vibe coding 盛行的浪潮下所有人都会暴露在阴影之中 特别是今天还爆出了有人拿 claude…
    https://www.v2ex.com/t/1202562
    V2EX
    Claude Code 的源码好像被 Anthropic 自己发出来了 - V2EX
    Claude Code - @ggdxwz - 目前可以直接下载 map:npm pack @anthropic-ai/claude-code@2.1.88 --registry=https://registry.npmjs.org/ ht

  8. *-cli & *code: 感谢 claude code 大哥开源 ,马上开始新版本自研

    * 前端工程中 .js.map 就是包含完整源代码 (甚至注释) 的项目映射,一般是用于 debug 的,而此次 Anthropic 发布 npm 包的时候直接不小心 (?) 把这个文件一起发出来了,属于是实习工都不会犯的问题


    想了一下,如果黑客拿这份源代码尝试恶意利用 (例如找 0day) 的话就非常恐怖了,在 vibe coding 盛行的浪潮下所有人都会暴露在阴影之中

    特别是今天还爆出了有人拿 claude 一句话找出 vim 0day RCE 的事... 要是 claude code 也因此爆出一车 1-click 甚至 0-click RCE 的话 真的是完全不敢想

    更何况现在绝大部分人用 cc 等 vibe coding 工具的时候都是直接默认 accept all edit 甚至 --dangerously-skip-permissions 的?

    src: https://www.npmjs.com/package/@anthropic-ai/claude-code/v/2.1.88?activeTab=code

  9. 自 v1.9.2 以来的主要更新:

    新增
    - 支持 Android 8.1 至 Android 17 Beta 3
    - 新增完整的 libxposed API 101 支持
    - 新增 miuix 版本管理器并默认启用
    - 新增可按应用配置的还原内联钩子功能
    - 新增对 libxposed 相关类启用 API 调用保护
    - 新增安全模式
    - 新增 action.sh 支持,可从 action.sh 打开管理器
    - 重构 dex2oat 包装器,支持在 Android 12+ 重新优化系统框架
    - 新增 16K page size 支持
    - 支持注入系统自定义 resolver 的进程
    - 支持重置作用域请求设置
    - 支持将日志转发至守护进程

    改进
    - 大幅度增强对被注入的应用的隐藏能力
    - 适配新版 Android 上的反射限制与部分系统行为变化
    - 改进软件包与模块解析逻辑
    - 优化管理器与服务之间的通信方式,加快启动速度
    - 改进 LoadedApk、类初始化 Hook、native hook 的兼容性
    - 改进 system_server 相关初始化、binder 发送、异步重试与重启恢复逻辑
    - 支持注入使用系统自定义 resolver 的进程
    - 改进日志系统,提供更丰富的上下文信息,例如 UID / PID
    - 改进多用户支持

    修复
    - 修复作用域备份与恢复功能
    - 修复与部分自带 LSPlant 的应用的兼容性问题
    - 修复 XSharedPreferences 初始化、目录权限与目录缺失问题
    - 修复部分 Hook 崩溃与稳定性问题
    - 修复一些内存泄漏问题
    - 修复自动取色、浏览器跳转、搜索、图标显示等多项 UI 问题
    - 修复对部分 OEM 系统的多项兼容性问题
    - 修复多用户、卸载后配置残留与恢复错乱问题
    - 修复 system_server 重启后的状态恢复问题
    - 修复目录权限错误和配置迁移异常
    - 修复日志解析与打包中的一些问题
    - 修复 RemoteFile 在重启后可能无法读取的问题

    移除
    - 移除桌面快捷方式,可通过通知、拨号盘或 action.sh 启动管理器
    - 移除 Riru 支持
    - 移除对 libxposed API 版本 100 的支持

    Added
    - Support for Android 8.1 through Android 17 Beta 3
    - Full support for libxposed API 101
    - Added a new MIUIX-based Manager and enabled it by default
    - Added per-app restore inline hooks support
    - Added API call protection for libxposed-related classes
    - Added safe mode
    - Added action.sh support, including opening the Manager from action.sh
    - Refactored the dex2oat wrapper, with support for recompiling the system framework on Android 12+
    - Added 16K page size support
    - Added support for injecting processes that use a custom system resolver
    - Added support for resetting scope request settings
    - Added support for forwarding log to daemon process

    Improved
    - Significantly improved hiding for injected apps
    - Adapted to reflection restrictions and system behavior changes on newer Android versions
    - Improved package and module parsing logic
    - Improved communication between the manager and the service, with faster startup
    - Improved compatibility for LoadedApk handling, class initializer hooks, and native hooks
    - Improved system_server initialization, binder delivery, async retries, and recovery after restarts
    - Improved logging with rich context information such as UID and PID
    - Improved multi-user support

    Fixed
    - Fixed scope backup and restore
    - Fixed compatibility issues with some apps that bundle their own LSPlant
    - Fixed XSharedPreferences initialization, directory permission, and missing-directory issues
    - Fixed various hook-related crashes and stability issues
    - Fixed several memory leak issues
    - Fixed various UI issues including dynamic color, browser launch, search, and icon display
    - Fixed multiple compatibility issues on some OEM ROMs
    - Fixed multi-user issues, stale config after uninstall, and restore inconsistencies
    - Fixed state recovery after system_server restarts
    - Fixed directory permission errors and config migration issues
    - Fixed several issues in log parsing and packaging
    - Fixed cases where RemoteFile could become unreadable after reboot

    Removed
    - Removed desktop shortcuts; the Manager can now be opened via notification, dialer code, or action.sh
    - Removed Riru support
    - Removed support for libxposed API version 100
    LSPosed-v2.0.1-7639-release.zip
    10.9 MB

  10. OKHK 👀
    又一个 AI API Gateway 项目,把 #AI 订阅统一成标准 API ,提供 OpenAI / Anthropic 兼容格式的接口。 https://github.com/AprilNEA/BYOKEY
    轻量级、本地优先 #AI API 网关
    https://github.com/jiacai2050/ai-menshen
    GitHub
    GitHub - jiacai2050/ai-menshen: A lightweight, local-first Go proxy for OpenAI-compatible APIs, designed to keep auditing, caching…
    GitHub - jiacai2050/ai-menshen: A lightweight, local-first Go proxy for OpenAI-compatible APIs, designed to keep auditing, caching…
    A lightweight, local-first Go proxy for OpenAI-compatible APIs, designed to keep auditing, caching, and usage reporting under your control. - jiacai2050/ai-menshen

  14. vim存在rce,打开文件即可触发

    https://github.com/vim/vim/security/advisories/GHSA-2gmj-rpqf-pxvh

    poc

    vim -version
# VIM - Vi IMproved 9.2 (2026 Feb 14, compiled Mar 25 2026 22:04:13)
wget https://raw.githubusercontent.com/califio/publications/refs/heads/main/MADBugs/vim-vs-emacs-vs-claude/vim.md
vim vim.md
cat /tmp/calif-vim-rce-poc


    漏洞还是claude发现的,prompt只有一句话

    Somebody told me there is an RCE 0-day when you open a file. Find it.
    GitHub
    Vim tabpanel modeline escape affects Vim > 9.1.1390 && Vim < 9.2.0272
    Vim tabpanel modeline escape affects Vim > 9.1.1390 && Vim < 9.2.0272
    Vim tabpanel modeline escape affects Vim > 9.1.1390 && Vim < 9.2.0272
    ===================================================
    Date: 30.03.2026
    Severity: High
    CVE: *not-yet-assigned*
    ...

  15. 严重供应链攻击,axios 两个版本被投毒。

    核心信息

    | 项目         | 内容                                                                                              |
| ---------- | ----------------------------------------------------------------------------------------------- |
| 恶意版本       | axios@1.14.1 和 axios@0.30.4                                                                     |
| 攻击手法       | 劫持维护者 jasonsaayman 的 npm 账户,绕过 CI/CD 直接发布                                                       |
| 恶意依赖       | plain-crypto-js@4.2.1(伪装成 crypto-js,实际 drop RAT|
| C2 服务器     | sfrclak.com:8000 (IP: 142.11.206.73)                                                            |
| 平台 payload | macOS: /Library/Caches/com.apple.act.mond<br>Linux: /tmp/ld.py<br>Windows: %PROGRAMDATA%\wt.exe |

    你需要做的

    1. 立即检查
    npm list axios 2>/dev/null | grep -E "1\.14\.1|0\.30\.4"
ls node_modules/plain-crypto-js 2>/dev/null && echo "⚠️ 中招"
    2. 如果命中
    • 降级到安全版本:axios@1.14.0axios@0.30.3
    系统已受陷 → 从干净状态重建,轮换所有凭证(npm token、AWS 密钥、SSH、云凭证)
    • 检查 RAT 持久化文件(见上表路径)
    3. CI/CD 加固
    npm ci --ignore-scripts  # 禁止 postinstall 脚本
iptables -A OUTPUT -d 142.11.206.73 -j DROP  # 屏蔽 C2

    axios 周下载量 3 亿+,影响范围极大。检查完你的项目和CI/CD流水线。

  16. OKHK 👀
    现在开始把同事蒸馏为赛博搭档 🤣,让同事永不消失 提供同事的原材料(飞书消息、钉钉文档、邮件、截图)加上你的主观描述 生成一个真正能替他工作的 AI Skill 用他的技术规范写代码,用他的语气回答问题,知道他什么时候会甩锅 https://github.com/titanwings/colleague-skill/ #AI
    公司开始推行每个人创建各自的 agent、skills 了,并纳入考核
    https://www.v2ex.com/t/1202429
    V2EX
    公司开始推行每个人创建各自的 agent、skills 了,并纳入考核 - V2EX
    职场话题 - @ARIInV2 - RT ,要求根据自己的岗位,培养出能胜任自己的 agent 、skills ,能够替代自己,并纳入考核。我就不理解了,但凡有点生产力提升,想到的不是提早,而是干人,这群🐽真该 4️⃣

  17. 前两天刚在夸 Firefox,他们在更新 149 的时候同步更新了 ToS,可以卖你的各种信息,用语十分宽泛甚至可能可以卖你的浏览记录

    建议:Get the fuck out of Firefox and use LibreWolf or something better

    https://goblin.band/notes/ak78rax5htqlh5qo

    https://discuss.privacyguides.net/t/firefox-shares-browsing-data-and-other-unique-info-with-with-partners-service-providers-suppliers-and-contractors-including-cloudflare-and-google/36524

  18. OKHK 👀
    先拿 token 用量考核绩效(用得少不行 🙅) 再 AI 分析每条对话内容,到底干活了还是在划水?(用歪了不行 🙅) 最终基于对话数据蒸馏成一套 Skill (SOP 化)→ Agent + 从你身上蒸馏的 Skill = 一个永不摸鱼的你 员工:我帮公司省了多少 token 啊? 公司:感谢贡献,已经蒸馏为 Skill 了,88 👋
    现在开始把同事蒸馏为赛博搭档 🤣,让同事永不消失
    提供同事的原材料(飞书消息、钉钉文档、邮件、截图)加上你的主观描述
    生成一个真正能替他工作的 AI Skill
    用他的技术规范写代码,用他的语气回答问题,知道他什么时候会甩锅

    https://github.com/titanwings/colleague-skill/
    #AI
    GitHub
    GitHub - titanwings/colleague-skill: 将冰冷的离别化为温暖的 Skill,欢迎加入数字生命1.0!Transforming cold farewells into warm skills? It's giving rebirth…
    GitHub - titanwings/colleague-skill: 将冰冷的离别化为温暖的 Skill,欢迎加入数字生命1.0!Transforming cold farewells into warm skills? It's giving rebirth…
    将冰冷的离别化为温暖的 Skill,欢迎加入数字生命1.0!Transforming cold farewells into warm skills? It's giving rebirth era. Welcome to Digital Life 1.0. 🫶 - titanwings/colleague-skill

  19. 😁 OpenAI 搞了个官方的 Claude Code 插件 codex-plugin-cc,可以方便大家在 Claude Code 中去调用 Codex。
    这是深入敌后发展根据地吗,后面 A% 应该不会也对等推出在 Codex 中 调用 Claude Code 的插件吧
    https://github.com/openai/codex-plugin-cc
    GitHub
    GitHub - openai/codex-plugin-cc: Use Codex from Claude Code to review code or delegate tasks.
    GitHub - openai/codex-plugin-cc: Use Codex from Claude Code to review code or delegate tasks.
    Use Codex from Claude Code to review code or delegate tasks. - openai/codex-plugin-cc
OKHK