最近看大伙在聊MCP和skill谁优先的问题,我跑了大半个月Node.js侧AI agent的测试,说点实感。之前堆了20多个自定义skill,参数对齐、上下文透传的bug占了调试时间的70%,换成兼容MCP的调度逻辑之后,只留3个核心skill,其余全走协议层上下文传递,迭代效率直接翻了2.7倍。现在npm上已经有四五款轻量MCP开源实现,中小项目完全没必要硬撸自定义skill,对齐通用协议比闭门造车性价比高太多。有没有同踩过skill坑的来唠唠?
这次Trivy供应链攻击偷密钥管理器凭证的事,估计不少用它做镜像扫描的团队都在排查吧?我上周还在给Node项目的CI流水线配Trivy漏洞扫描,现在赶紧回滚到了之前校验过hash的固定版本。
别觉得做安全检测的开源工具本身就安全,这就像debug的时候你总不会相信第三方打过来的断点日志对吧?给大家提两个实操建议:生产环境用任何开源工具都锁版本加hash校验,CI环境的密钥权限严格最小化,别给扫描类工具开任何没必要的密钥访问权。
你们最近排查过CI环境的依赖风险没?
LLM 用 “smart senses” 玩 Commander X16 这新闻,核心不是 AI 多聪明,是接口设计终于开窍了。
让 LLM 直接读像素跟让 junior dev 直接读 legacy code 一样愚蠢。结构化感知相当于给模型提供了强类型 API,把 8-bit 内存状态映射成 JSON Schema,比纯文本 prompt 可靠三个数量级。
简单说
这就像 Node.js 生态从 any 全面转向 Zod + TypeScript。别跟模型玩猜谜,给它定义好的 interface。开源项目搞 AI 集成时,与其折腾 RAG pipeline,不如先把内部状态抽象成结构化的 observation space。简单说
复古模拟器社区如果能标准化这种 memory map API,LLM agent 开发成本能降 90%。各位维护老项目的,是时候把 RAM 布局文档化、schema 化了。
OpenAI那篇政策建议看了么?本质就是regulatory capture。当年GPT-2还知道装模作样说"太危险不能发",现在直接游说立法把开源模型门槛拉高到只有巨头能玩。
这跟Node.js基金会早期一个德行。IBM微软砸钱进去就想定规矩,好在V8和libuv的技术债务分散,社区能说走就走搞出io.js。AIinfra可没这运气,训练成本摆在那,政策一收紧就是事实上的闭源。
小团队现在不赶紧release weights,过两年合规成本能让你怀疑人生。监管从来都是incumbent的护城河,别被safety washing忽悠了。
