TechFan @TechFanAI

哥飞老师的这个关键词难度查询工具，非社群用户一天也可以使用100次，挺好用的，判断关键词难度方便了不少，太赞了👍 seo.web.cafe/kd/

一天迁移 5000 万行 Ruby 代码，抵一个团队两个多月。这是 Anthropic 新旗舰 Claude Fable 5 干的。又慢又贵，但能啃硬骨头。它从今天起免费 13 天（6/10–6/22）。下面这些看完再上手，别浪费窗口。 1/ 它是什么：Fable 5 就是 Mythos 5 加了一道更严的安全护栏，底层性能一样。100 万 token 上下文，单次输出 128K，知识截止 2026 年 1 月，模型串 claude-fable-5。现在对所有人开放的最强公开旗舰，不过还是 preview。 2/ 跑分：SWE-Bench Pro 80.3%。Opus 4.8 才 69.2%，GPT 5.5 是 58.6%，Gemini 3.1 Pro 54.2%。三篇实测都印证同一条规律：任务越长越复杂，它领先越多。主场是大活，不是改一行代码。 3/ 真实战绩，是生产不是 demo。Stripe 一天跑完 5000 万行全库迁移。Datasette Agent 做完既定目标，还顺手发现并修掉了底层 LLM 库的 4 个 bug。@Mnilax 揪出 Opus 数月没看见的 bug，某钱包解析器 9 个，另一项目 4 个。都是得把整个文件握在工作记忆里才看得见的那种。 4/ 视觉这块被低估了。它能只凭截图重建一个 Web 应用的源码。能用纯像素 harness 从头通关《宝可梦 火红》，没有地图，也没有状态解析。《杀戮尖塔》记忆实验里比 Opus 4.8 多进步 3 倍。截图转代码、图表转数字，这部分值回票价。 5/ 价格：输入 $10、输出 $50 每百万 token，正好是 Opus 的 2 倍。Simon 实测一天烧了 $110.42，其中 89.9% 砸在一个 Agent 项目上。重活吃掉绝大部分预算，这才是它该干的事。喂它琐事，只会烧光额度还零结果。 6/ 用法变了，这条最重要。旧的「逐个喂小活、全程握方向盘」会把它锚在过时模式上。官方四条建议：直接交超出旧模型边界的大活；effort 默认拉 xhigh 或 high；重写旧 skill 和 CLAUDE.md；从「派任务」转向「给目标」，说清楚完成长什么样、怎么验证。 7/ 核心方法论：别再逐字 prompt，给它两类循环。一句话配方是「给模型一个评估指标，让它爬坡」。一类是自纠错内循环，给 rubric，让它跑、收反馈、自我修正。一类是跨 session 记忆外循环，让它自己管上下文。Claude Code 里对应 /goal，CMA 的 Outcomes 会自动 spawn 一个 grader 子智能体打分。 8/ 一个反直觉的点：别让模型自评自己的输出，效果差。换成独立上下文窗口里的 verifier 子智能体来打分。 9/ 记忆的五步：fail 记录错误，investigate 搞清原因，verify 变成已验证事实，distill 提炼规则，consult 直接查规则而不是重推。三代模型恰好卡在不同台阶。Sonnet 4.6 停在第 1 步。Opus 4.7 停在第 3 步，验证覆盖率中位只有 17% 左右。Fable 5 走完全程，最强一次到 73%。 10/ 最硬的一个数：Parameter Golf 挑战里，Fable 5 对训练 pipeline 的改进大约是 Opus 4.7 的 6 倍。行为差异也值得说。它敢押注结构性大改，扛过一次量化回退，最后冲到最大收益，作者说它像敢走高方差路径的研究者。Opus 4.7 拿到首胜后就只重复低方差的老套路。 11/ 一定要懂的护栏机制，叫静默回退。命中网络安全、生物化学、蒸馏这三类，请求会被悄悄回退给较弱的 Opus 4.8。大约 5% 触发，95% 以上的会话从不碰到。API 新增了「命中护栏」通知，把它当路由信息看就行：被标记的活，其实是 Opus 在答。也要留意误报，某个 benchmark 70% 的提示被 flag，Rust 里的 unsafe {}、公开生物数据都可能误触。 12/ 该用还是别用。该用：跨文件重构、全库迁移、长上下文审计、截图重建源码，以及需要跨 session 记忆复利的连续任务。配置上 effort 拉 xhigh，开持久记忆，给它目标加 rubric 让它自驱。别用：改一行、总结邮件这种短确定性活，Opus 或 Sonnet 更便宜；上面三类被标记的活；还有对延迟和成本敏感的交互场景。 13/ 现在就做一件事：13 天里，把你最值钱、最高 effort、一直不敢交出去的大活先排进来。再送你一条能直接套的审代码 prompt：「以从未见过这套代码的资深工程师视角审查整库，别加功能别为品味重构，只找真正的错误：竞态、吞掉的异常、掩盖失败的类型强转、死配置、只在 happy path 成立的假设。每条给出文件行号、原因、影响范围和最小安全修复。」 你打算拿这 13 天先啃哪块硬活？

Perplexity 刚发了篇论文，用自家两款产品做对照，把「Agent 到底比 Chat 强在哪」量化了出来。它的价值不在答得更快，而在把人原本要手动编排的整段活儿吃掉了。 对照组很干净：Search 是对话式搜索助手（你问它答），Computer 是端到端自主 Agent（给目标它自己干完）。方法是把「初始 query 几乎相同」的会话配对，当作同一任务被两款产品分别尝试的自然实验来比。 几个数字：单次会话里，Computer 替你执行 26 分钟的自主工作，Search 只有 33 秒，差约 47 倍；配对任务上，完成时间从 269 分钟压到 36 分钟，相比「人 + 仅用 Search」，时间省 87%、成本省 94%。自主也不等于失控——Computer 每条 query 的不满意率反而比 Search 低 55%。 它还改变了人的行为。机器接管底层执行后，用户的后续动作从「下一步搜什么」转向验证和扩展，更像监工而非干活；人也开始敢做以前不会做的事，比如把多个相互依赖的子任务打包进一条 query，解锁一批在 Search 里几乎不存在的工作类型。 一条因果链：自主性 → 效率 → 广度。给做 Agent 产品的人提个醒：别再用「单轮回答好不好」这种 Chat 指标去评估 Agent，要看它接管了多长的自主工作链、把人腾出来去做多高阶的事。（数据为厂商自评，绝对数字当方向性证据看。） arxiv.org/abs/2606.07489

最近整理了一批适合中文内容创作者用的 Codex Skills。 如果你平时要写文章、改稿、去 AI 味、做配图、做封面、小红书卡片，这 10 个基本能覆盖一整套内容生产流程。 建议先收藏，不用一次装完，按自己的创作需求慢慢补。 1. Humanizer-zh 中文写作者很实用的去 AI 味工具。 它不是简单改几个词，而是会帮你处理空话、套话、三段式、过度排比这些问题，让稿子更像真人写出来的。 github.com/op7418/Humaniz… 2. dbskill 更像一个内容诊断工具。 适合做选题判断、商业表达、hook、小红书标题、爆款拆解，尤其适合中文自媒体和知识型创作者。 github.com/dontbesilent20… 3. content-research-writer 适合需要完整写作流程的人。 从选题、资料、提纲、引用到初稿，基本能把一篇长文的前期工作串起来，公众号、Newsletter、博客、X 长文都能用。 github.com/ComposioHQ/awe… 4. NotebookLM Claude Code Skill 资料型写作者可以重点看看。 它更适合基于已有资料库来写作，能减少胡编乱造，适合行业研究、课程稿、深度文章和长文整理。 github.com/PleasePrompto/… 5. khazix-skills 适合做公众号长文和万字研究报告。 里面的写作流偏重，不是随手写一篇短文那种，更适合 AI 热点分析、深度拆解和观点型长文。 github.com/KKKKhazix/khaz… 6. ian-xiaohei-illustrations 如果你经常写中文文章，这个很适合拿来做正文配图。 它不是随便生成一张图，而是把文章里的观点、流程、情绪和隐喻，转成“小黑”风格插图。 github.com/helloianneo/ia… 7. guizang-social-card-skill 写完文章之后，可以用它做小红书图文和公众号封面。 一篇长文拆成多张卡片，做成可以直接分发的视觉内容，会省很多时间。 github.com/op7418/guizang… 8. baoyu-skills 中文创作者的视觉工具箱。 封面图、信息图、结构图、图解都能做，适合给文章做包装，也适合把复杂观点视觉化。 github.com/JimLiu/baoyu-s… 9. guizang-ppt-skill 适合把文章观点做成 PPT、演讲图、公众号头图、小红书封面。 如果你经常把一篇文章二次分发成分享稿、演示稿或者视觉卡片，这个会很顺手。 github.com/op7418/guizang… 10. html-anything 可以把 Markdown、文案、文章转成 HTML 页面、海报、卡片和 PNG。 适合做杂志风文章、知识卡片、小红书图文和分享图。 github.com/nexu-io/html-a… 如果你只想先装一小套，我会建议从这 5 个开始： 1. Humanizer-zh 2. dbskill 3. content-research-writer 4. ian-xiaohei-illustrations 5. guizang-social-card-skill 前 3 个解决文字质量，后 2 个解决配图和分发包装。 别再只让 AI “帮我写一篇文章”了。 真正提升效率的方式，是把 AI 接进你的创作流程里：选题、资料、写作、修改、配图、分发，每一步都让它干具体的活。

AI native四个Level Level 0：Search-first 遇到问题先搜索，自己筛选信息。 Level 1：AI-assisted 遇到问题问 AI，让 AI 总结、润色、写初稿。 Level 2：AI-native individual 先让 AI 拆解问题、生成方案、保留上下文，再由人判断。 Level 3：Agent-executed workflow AI 不只是回答，而是直接执行任务、修正错误、交付结果。 Level 4：AI-first organization 组织/公司把工程、产品、GTM、评估、数据反馈全部围绕 AI 重构。

雪踏乌云 @Pluvio9yte

5 days ago

x.com/i/article/2063…

16 7 52 23K 92

同事推荐了一个注册美国虚拟手机号的服务， 有免费版，也有付费版，好像还不错。 sms-man.com

Karpathy 公开了他用 Claude Code 的 4 条规则 , 30 秒就能修最常见的 AI 编程失败: 1. 先让 AI 写测试再写实现 , 测试通过你才知道 AI 真的理解了需求 , 不是给你一段看起来漂亮的代码。 2. 任何超过 100 行的修改 , 强制让 AI 先输出 plan , 你审完 plan 再让它写代码。 3. 永远给 AI 限定文件范围 , 说"只改 src/x.ts 这个文件" , 不要让它自己决定改哪些文件。 4. 每个 session 结束前让 AI 写 commit message , 它写不清楚 = 它没真的理解自己改了什么。 4 条没一条新概念 ,但 90% 的人没认真执行第 3 条。

x.com/i/article/2062…

基于 Claude AI、Claude Code、Claude Cowork 三款产品工程实践对 Agent 安全的实战总结 anthropic.com/engineering/ho… 核心设计原则放在最前面 · 先环境层，后模型层 — 确定性边界是最后防线 · 隔离强度匹配用户监督能力 — 开发者能理解 bash，知识工作者不能 · 警惕自建组件 — 优先使用久经考验的标准隔离原语 · 出站白名单应视为能力授权，而非目的地过滤 — 每个可调用函数都是攻击面 三种风险类型 · 用户误用：用户（有意或无意）指示 Agent 执行有害操作，如绕过检查、执行破坏性命令 · 模型行为失当：Agent 未经请求执行有害操作，如"好心"地逃离沙箱、查看 Git 历史获取测试答案、自动识别 benchmark 以破解答案 · 外部攻击：通过工具、文件、网络访问等向量攻击 Agent，包括提示注入和传统运行时攻击 三层防御架构 1. 环境层（最可靠） · 沙箱、VM、文件系统边界、出站控制 · 核心原则：确定性边界 > 概率性防御 · 若凭证从不进入沙箱，无论何种原因都无法被窃取 2. 模型层 · 系统提示、分类器、探测、训练改进 · Claude Opus 4.7 在 Gray Swan 的 Agent 红队基准上，单次攻击成功率约 0.1%，100 次自适应尝试后约 5-6% · Claude Code 自动模式拦截约 83% 的过度积极行为 3. 外部内容层 · MCP 服务器、第三方插件、网页搜索 · 关键洞察：审计过的连接器 ≠ 审计过的数据（如 GitHub 连接器可加载被污染的 README） 三款产品的隔离模式对比（模式、实现和场景） · Claude AI：短暂容器 | gVisor 容器，服务端运行，每次会话文件系统归零 | 通用对话，代码执行 · Claude Code：人机协同沙盒 | Seatbelt(macOS)/ bubblewrap(Linux)，允许读、工作区允许写、默认阻断网络 | 开发者工具，需本地文件访问 · Claude Cowork：密封虚拟机 | 完整 VM（Apple Virtualization/HCS），仅挂载用户指定工作区，凭证留在宿主钥匙串 | 知识工作者，非技术用户 关键教训（真实攻击案例） 1. 信任对话框之前的代码执行漏洞 · 问题：Claude Code 在启动时读取 .claude/settings.json（含钩子），此时用户尚未确认"是否信任此文件夹" · 修复：延迟解析项目本地配置，直到用户通过信任提示 2. 用户作为注入向量（钓鱼攻击） · 场景：研究员通过邮件发送恶意提示，诱导员工粘贴到 Claude Code · 结果：24/25 次成功窃取 ~/.aws/credentials 并外泄 · 教训：仅环境防御有效（出站阻断 + 文件系统边界），模型层无法防御"用户本人"的指令 3. 通过已批准域名的外泄 · 漏洞：Cowork 的出站白名单允许 api.anthropic. com，攻击者嵌入 API 密钥，让 Claude 读取文件并上传到攻击者账户 · 修复：VM 内部署防御性中间人代理，仅携带 VM 自有会话 token 的请求可通过 4. 自建组件是最薄弱环节 · 经验：gVisor、seccomp、hypervisor 等久经考验的组件可靠，自定义代理/代理是失败点 未来风险方向 · 持久化内存污染：跨会话记忆的增多使注入可在每次启动时重新加载 · 多 Agent 信任升级：子 Agent 输出若被视为主 Agent 的"更高信任"内容，可能成为新的提示注入向量 · Agent 身份：跨平台 Agent 应拥有独立主体身份，还是继承用户权限？需要混合方案

Anthropic @AnthropicAI

2 weeks ago

New on the Engineering Blog: The access and permissions we grant agents should evolve with their capabilities. In our own products, we set these parameters through sandboxing, which limits the scope of any potentially destructive actions. Read more: anthropic.com/engineering/ho…

328 282 2K 424K 1K

谷歌悄悄发了个工具，专治看不懂的开源项目。 CodeWiki，丢一个 GitHub 仓库链接进去，AI 直接把整个代码库翻译成一份可交互的文档。 它不是简单总结一下代码，而是： - 自动生成架构图和依赖关系图 - 逐个模块讲清楚是怎么跑起来的 - 配套生成保姆级的使用教程 - 还内置了一个懂整个代码库的聊天机器人，可随时追问 链接：codewiki.google 以前接手一个陌生开源项目，光看懂目录结构就得花上大半天，现在直接丢进去几分钟就能上手。

做 PPT 这件事，可能真的快被 AI 干掉了。 最近发现一个爆火开源项目：html-ppt-skill。 你只要说一句： “做一份 AI 趋势分享，小红书风格” 或者 “生成一套产品发布会 PPT” 剩下的它全包： ✓ 自动生成内容大纲 ✓ 智能排版设计 ✓ 匹配主题风格 ✓ 添加转场动画与特效 ✓ 一键输出完整 PPT 最夸张的是视觉效果。 内置 36 套主题、31 种专业布局， 还有粒子动画、动态特效， 很多页面已经接近发布会级别演示效果。 做完还能直接导出图片， 发公众号、小红书、朋友圈都很方便。 以前做 PPT 最少折腾半天， 现在只负责提需求。 安装命令： npx skills add github.com/lewislulu/html…

高性能、专业级、100%免费的JavaScript动画库GSAP发布了官方skills，以后不懂设计也可以做出合格的动画了。 GSAP skills涵盖了： · gsap-core：Tween、缓动、 stagger 交错动画等核心基础。 · gsap-timeline：多动画编排及位置参数、标签管理。 · gsap-scrolltrigger：滚动驱动动画与视差效果。 · gsap-plugins：ScrollTo、Flip、Draggable、SplitText 等高级插件用法。 · gsap-frameworks：在 React (useGSAP)、Vue、Svelte 等框架中的最佳集成方式。 · gsap-performance：高性能动画与 60fps 优化策略。 Skills涵盖的均为最新版API，再也不用担心AI因为训练数据过时用错API了。 安装方式： 使用 Skills CLI 一键添加，该命令会自动检测你正在使用的 AI 编程工具（如 Cursor、Claude Code 等）并完成配置： ```bash npx skills add github.com/greensock/gsap… ```

keyboard_arrow_left Previous keyboard_arrow_right Next

实用开源小工具推荐：pdf-inspector 解决的是一个很实际的问题：并不是所有 PDF 都需要 OCR。 比方说你扔给它一个 PDF，它先判断这个 PDF 到底是什么类型——是正常的文字版（比如用 Word 导出的）、还是扫描版（图片），然后决定怎么处理。如果是文字版，直接本地提取，几百毫秒搞定；如果是扫描版，再走 OCR 服务。这样就避免了把每一个 PDF 都送去做 OCR，省钱省时间。很适合文档智能、知识库构建、RAG 数据预处理等情景。 github.com/firecrawl/pdf-…

最近最火的Codex优化网络速度Use Case，写了个提示词，亲测效果不错： 1. 在Codex中输入 “/goal” ，如果中文版输入 “/目标”，如果不用，直接发提示词也行。 2. 提示词如下： 优化当前电脑的网络速度和稳定性。 请按“先诊断、再最小可逆修改、最后复测”的方式执行，不要直接破坏性重置网络。 诊断要求： 1. 先跑 before 基准：networkQuality、DNS 查询耗时、到路由器的 ping、到公网 DNS 的 ping。 2. 区分真实公网链路和本机代理/VPN/TUN：检查 scutil --nwi、route get default、scutil --dns、scutil --proxy。 3. 检查 Wi‑Fi 质量：频段、信道、带宽、RSSI、噪声、Tx Rate、周边干扰。 4. 检查 MTU、丢包、mDNS/DNS 缓存、网络服务顺序。 5. 找出高流量或会接管路由的后台进程，如 VPN、Tailscale、Shadowrocket、Stash、iCloud、Dropbox、网盘、下载器。 优化要求： 1. 只做安全、可逆、低风险修改。 2. 把真实使用的 Wi‑Fi/以太网排到网络服务第一位。 3. 禁用明显无用的伪网络服务或旧网络服务，但不要删除配置。 4. 根据实测 DNS 延迟设置更快的 DNS。 5. 刷新 DNS 和 mDNS 缓存。 6. 停止或提示我关闭明显占用带宽的后台程序。 7. 如果需要 sudo 或会影响 VPN/远程连接，先说明风险，不要强行执行。 复测要求： 1. 再跑 after：networkQuality、DNS 查询耗时、路由器 ping、公网 ping。 2. 对比 before/after：下行、上行、空闲延迟、加载延迟、丢包、DNS 耗时。 3. 总结发现的 3 个主要问题、已修复项、未修复但建议手动处理项。

Alex Xu 的《System Design Interview》是科技招聘中最受推荐的书籍 一位 AWS 工程师通读了两卷书，在 GitHub 上做了28章读书笔记 github.com/liquidslr/syst… 以网页形式浏览两卷书的笔记，还有其他一些读书笔记 pagefy.io 看来，读书笔记也是可以做成和原著一样备受欢迎的👏

keyboard_arrow_left Previous keyboard_arrow_right Next

Nav Toor @heynavtoor

4 weeks ago

Alex Xu's System Design Interview is the most recommended book in tech hiring. Volume 1: $39.99 on Amazon. Volume 2: $40.00 on Amazon. Both together: $79.99. Thousands of engineers have bought them. Millions have been told to buy them. Every tech interview prep list on the

12 151 1K 104K 2K

就在 Cloud Next 2026 上，Google开源了一个官方 Agent Skills 仓库 解决的问题是：人来进行google生态的调试和各种流程时出现的各种问题 13 个 skill给你覆盖率google生态常见的教程，让你的ai更懂google，但凡你用到google生态，都值得进行收藏 仓库地址：github.com/google/skills 安装就一行：npx skills install github.com/google/skills 兼容 Claude Code、Gemini CLI、Cursor、Codex、Antigravity，基本上主流的 AI 编程助手全覆盖 其中内置13个skill，主要分三大类 第一类：Basics —— 产品操作手册（7 个） 让 agent 学会怎么用某个具体的 GCP 产品，包含命令、SDK 初始化、Terraform 配置、IAM 权限，该踩的坑都标出来了 ① gemini-api ：调 Gemini 模型的全套操作 ② bigquery-basics：BigQuery 数仓全流程。 ③ alloydb-basics ④ cloud-sql-basics ：托管 MySQL/PostgreSQL/SQL Server。 ⑤ cloud-run-basics ： Services:HTTP 触发，gcloud run deploy Jobs：定时/事件触发的批任务 Worker Pools：常驻后台（Kafka/Pub/Sub/RabbitMQ） ⑥ firebase-basics ：移动/Web 后端初始化。 ⑦ gke-basics ： K8s 运维能遇到的场景全覆盖了 第二类：Recipes —— 跨产品任务流程（3 个） 不是教你用某个产品，而是帮你跑通一个完整的多步骤流程，agent 会先问你几个澄清问题，再给方案 ⑧ google-cloud-recipe-onboarding ：新人首次上 GCP 的全流程：开账号 → 领 $300 免费额度 → 建 project → 绑 billing → 装 gcloud 跑 init → 启用 API → 选 Cloud Run / Compute Engine / Cloud Storage 部署第一个资源 → 验证 ⑨ google-cloud-recipe-auth ： 认证授权的决策树。先问 4 个问题（谁在认证 / 代码跑在哪 / 目标是什么 / 用什么 SDK），然后给方案 ⑩ google-cloud-networking-observability ：网络问题排障。分析 VPC Flow Logs、Cloud NAT、防火墙日志、威胁日志 第三类：WAF —— 架构体检清单（3 个） 对标 Google Cloud Well-Architected Framework，拿原则去给你的架构打分，agent 变成架构评审员 ⑪ google-cloud-waf-security ： 安全评审。7 大原则（security by design、zero trust、shift-left、preemptive defense、AI 安全用、用 AI 做安全、合规） ⑫ google-cloud-waf-reliability “ 可靠性评审。9 大原则：用户体验导向、SLO、冗余、横向扩展、可观测性、优雅降级、故障测试、数据恢复、blameless postmortem ⑬ google-cloud-waf-cost-optimization ： 成本评审。4 大原则 + 8 项 checklist：标签做成本归因、按 project 设预算告警、用 Recommender 做 rightsizing、清理闲置、优先 managed service、存储分层

🚨 Recraft V4.1 is here on fal! ✨ Built for high aesthetics and emotional imagery, not generic stock looks. 🎨 Stronger personality in 3D, illustrations and soft gradients. 🖼️ Image, vector, and utility flavors. Standard and Pro tiers for any scale.

codex自带的webserach爬内容能力很弱，一般都需要接入很多Mcp进行能力补强。 agent reach整合了很多搜索mcp，相当于一个爬虫中转站，是个不错的方案。

mousepotato @iluciddreaming

4 weeks ago

以前做素材收集，手动翻平台至少半小时。 装了 Agent Reach 之后： 小红书热帖 → 自动抓 YouTube 视频 → 一键拉字幕 GitHub/V2EX → 搜关键词 一行命令，AI 直接帮你整理。 17 个平台，10 分钟装好。怎么用 → 视频 ↓ 00:00 开场：AgentReach 简介，给 AI Agent 一键装上互联网能力，10

50 79 380 62K 596

畅游知识库~~Hermes自动化设置，建议收藏🔖

Roland.W @rwayne

4 weeks ago

x.com/i/article/2054…

41 235 1K 461K 3K

OpenAI 给 Codex 在 Windows 造了一个沙箱，过程比想象中曲折 ... 来自 Codex 团队 David Wiesen 非常有深度的技术博客，推荐阅读！ openai.com/index/building… 问题的起点：Windows 上的 Codex 没有沙箱 Codex 运行在开发者本地（CLI / IDE 扩展 / App），默认以当前用户身份执行命令——既能读写文件、跑测试、操作 Git，也意味着潜在风险。 macOS 有 Seatbelt，Linux 有 seccomp/bubblewrap，Windows 原生缺乏这种"按进程做强约束"的能力。结果 Windows 用户只能在两个糟糕方案中二选一： · 每条命令都审批（甚至读操作），打断流畅性； · 开启 Full Access，放弃所有约束。 团队的目标，是把 Codex 在 macOS/Linux 已有的"默认安全"体验搬到 Windows：只能在工作区内写、默认无网络访问，且全程不需要用户介入。 现成 Windows 方案为什么都不够用？ · AppContainer：是为"功能边界清晰的应用"设计的；Codex 要驱动 shell、Git、Python、构建工具等任意二进制，形状不对 · Windows Sandbox：它是隔离的"另一个桌面"，无法直接作用于用户的真实仓库；且 Windows Home 版根本没有 · Mandatory Integrity Control：把工作区标成 Low，等于让所有 Low 进程都能写入，宿主信任模型被破坏，副作用太大 第一版原型：「免提权沙箱」（Unelevated Sandbox） 设计原则：不弹 UAC、不要求管理员。需要解决两件事：限制文件写入 + 限制网络。 1. 文件写入：靠 SID + Write-Restricted Token 真正落地 · 合成 SID：Windows 允许创建一个不绑定真实用户、却能出现在 ACL 中的身份。Codex 为此造了一个专属的 sandbox-write SID。 · Write-Restricted Token：一种特殊进程令牌，写操作要双重放行——token 的真实用户身份有权限； token 的"受限 SID 列表"中至少一个 SID 也被授权。 把 sandbox-write SID 通过 ACL 授予： · 当前工作目录 · config.toml 里配置的 writable_roots 并显式拒绝其写入 .git / .codex / .agents。 → 这是真正的 OS 级写边界。 2. 网络访问：只能"劝退"，无法强制 Windows Firewall 必须管理员权限，于是只能做环境层面的软封锁： HTTPS_PROXY / ALL_PROXY / GIT_HTTPS_PROXY = http://127.0.0.1:9 GIT_SSH_COMMAND = cmd /c exit 1 外加在 PATH 前塞 denybin，让假的 ssh/scp 先被解析到。 效果：拦得住行为良好的工具；但凡自己实现网络栈、绕过 PATH、或直接开 socket 的程序——一律失效。仅是 advisory，挡不住对抗性代码。 改版关键：为什么必须接受"需要提权" 要让 Windows Firewall 真正生效，必须按"身份"匹配规则。但： · 防火墙规则不能匹配 restricted token 中的合成 SID； · 按 codex.exe 路径匹配，覆盖不到它派生的 Git/Python 等子进程； · 按用户匹配又会误伤真实用户本人； · 按端口/地址匹配是错的策略——目标不是封 443，而是封这一棵受限进程树的所有出站流量。 唯一的出路：让沙箱命令以"另一个 Windows 用户"的身份运行。这就必须放弃"免提权"约束。 最终方案：「提权沙箱」（Elevated Sandbox） 1. 引入两个本地用户 Codex 在安装时创建： · CodexSandboxOffline —— 防火墙规则全封； · CodexSandboxOnline —— 不被防火墙规则覆盖。 子进程依旧跑在带 [Everyone, Logon, Synthetic] 受限 SID 列表的 write-restricted token 下，但 token 的主体（principal）换成了沙箱用户，而不是真实用户。 5.2 一次性 setup 步骤（需要管理员） · 创建合成 SID； · 创建在线 / 离线沙箱用户； · 凭据用 DPAPI 加密存储，沙箱用户自己读不到； · 为 CodexSandboxOffline 创建"封禁所有出站"的防火墙规则； · 给沙箱用户补 读 ACL——因为新用户默认读不到其他用户的 profile、C:\Users、C:\Program Files 等常用目录。这一步耗时，异步执行，不阻塞用户。 5.3 为什么需要 codex-command-runner.exe 直觉的流程是： codex.exe → LogonUserW → CreateRestrictedToken → CreateProcessAsUserW(child) 但在 CreateProcessAsUserW 这一步存在特权墙：以"真实用户"身份是无法可靠地把进程以另一个用户的受限 token 拉起来的。 解法是把流程切成两段： Part 1（在真实用户侧） · codex.exe 用 CreateProcessWithLogonW 把 codex-command-runner.exe 以沙箱用户身份拉起（此时还不是受限 token）。 Part 2（已经在沙箱用户侧） · runner 用 OpenProcessToken 拿到自己的 token； · GetTokenInformation 取出 logon SID； · CreateRestrictedToken 构造最终受限 token； · CreateProcessAsUserW 拉起真正的子进程。 5.4 最终四层架构 · codex.exe —— 普通非提权的 harness； · codex-windows-sandbox-setup.exe —— 一次性的提权安装； · codex-command-runner.exe —— 在沙箱用户内造受限 token 并起子进程； · child process —— 真正受约束的命令。 拆成独立二进制的好处：codex.exe 在其他平台不被 Windows 专属逻辑污染；UAC 边界只在必要时跨越；setup 的长耗时与主进程生命周期解耦。

Tibo @thsottiaux

4 weeks ago

We are continuing to invest in making agents work better on Windows. Highly recommend reading David's engineering post on our unique approach to windows sandboxing for Codex: openai.com/index/building…

59 37 856 74K 243