Posts for: #Tech

昨天重装了 eink 手机。安装后希望装少而精的几个工具即可：

Telegram、Pocket Casts、Claude、Google Tasks、Brave、YouTube、微信读书、微信输入法、Slax Reader、Slax Note、Dropbox、Gemini、Spotify。

只要产品里嵌了 AI，就一定要做 evals。这是过去两个月在 sgai.md（新加坡 AI 战略观察站）上踩坑总结出来的判断。

eval 是什么

eval = 评估测试。给 AI 输出和数据完整性写的回归测试，但和单元测试不是一回事。

单元测试测的是「函数给定输入，输出是不是这个值」——确定性的。

eval 测的是「AI 这次生成的东西，和金标 / 规则相比，质量有没有掉」——非确定性的。

简单说：单元测试盯代码，eval 盯模型 + 数据。

eval 解决什么问题

任何依赖大模型的系统，都有三个天然漏洞。代码里写的单元测试管不到，人肉 review 一定漏。

模型会幻觉。 LLM 会编一个看起来合理但根本不存在的 URL、人名、事实。我自己在 sgai.md 上踩过——5 月初让 agent 给一批 voice 人物档案补「主导项目 / 公开引言」，agent 给两条记录写了根本不存在的 sourceUrl（一个伪造的 Fintech Festival 演讲者 ID，一个伪造的航空业报道）。URL 模式正确得肉眼分辨不出，靠用户事后报错才发现。

模型会退化。 升级模型（Claude 4.6 → 4.7）或改 prompt，输出可能变差。但你不会主动知道——除非有人发现产出明显烂了。等用户先发现就太晚了。

数据会漂移。 AI 生成的内容入库后，没人持续盯着完整性，漏字段、缺翻译、链接腐烂会慢慢累积。sgai.md 是中英日三语站，数据文件里每条 record 要求 title / titleEn / titleJa 三套字段必须同时给。我有一次只 commit 了中文，下一个 PR 想补英日——结果 EN/JA 页面立刻断裂。

The Hacker News 报道了一起 npm 供应链攻击：Bitwarden CLI 的 npm 包（@bitwarden/cli）2026.4.0 版本被植入恶意代码，藏在包内的 bw1.js 文件里。

感染窗口从 4 月 22 日 ET 时间下午 5:57 到 7:30，约 1.5 小时，估计 334 次下载。被怀疑是更大规模 Checkmarx 供应链攻击的一部分，归因到 “Shai-Hulud: The Third Coming” 这一波。

攻击路径

攻击者拿下了 Bitwarden CI/CD 流水线里一个被入侵的 GitHub Action（checkmarx/ast-github-action），通过 preinstall 钩子在用户 npm install 时执行恶意代码。

据安全研究员 Adnan Khan 说，这可能是首次使用 npm Trusted Publishing 的包遭到入侵。

恶意代码偷什么

• 本地开发凭证：GitHub / npm tokens、.ssh 密钥、.env 文件、shell 历史
• 云端密钥：GitHub Actions 环境变量、CI/CD secrets、多云凭证
• AI 编码工具配置：Claude、Kiro、Cursor、Codex CLI、Aider 的认证配置
• 自传播：偷到 GitHub token 后注入恶意 Actions workflow，用偷到的 npm 凭证向下游包发布恶意版本，蠕虫式扩散
• 数据外泄走 AES-256-GCM 加密发到伪装域名 audit.checkmarx[.]cx，失败后以 GitHub commit 作为 fallback

有一个细节：如果系统 locale 是俄罗斯，恶意代码自动退出。这一行为与原始 Checkmarx 攻击不一致。

今天在终端收到一封 cron 发来的邮件，说某个脚本 “Operation not permitted”。查下去是两个问题合在一起，顺手也把 cron 和 launchd 在 macOS 上的差别重新过了一遍。

先看今天这件事

我有三个用 cron 跑的定时任务：每小时 15 分把知识库备份到 git，每小时 20 分刷新知识库的向量索引，每天早 9 点跑一次健康检查。

有一天开始，前两个任务悄无声息失败。打开日志才看见：

/bin/bash: .../brain-git-backup.sh: Operation not permitted
/bin/bash: gbrain: command not found

第一个是权限拦截——脚本文件在 ~/Library/CloudStorage/Dropbox/ 里，macOS 的隐私系统（TCC）不让 cron 碰 iCloud、Dropbox 这种云端同步目录下的文件。

第二个是 PATH 问题。cron 跑的 bash 是个干净的非交互 shell，.zshrc 里配置的 PATH 不会加载，gbrain 找不到。

cron 和 launchd 是什么

两者都是"定时工具"——让系统在指定时间跑一段命令。

cron 是 Unix 时代的老工具，几十年历史，Linux、Mac 都有，写一行配置就能用。

launchd 是苹果自己做的调度系统，2005 年随 macOS 10.4 推出。现在苹果系统里所有后台服务，包括 cron 本身，都归 launchd 管。

我维护着一个叫 context 的个人上下文系统：一份中心 markdown，分发到 Claude Code、Codex CLI、Gemini CLI、OpenClaw 的配置路径里，保证同一个"我"在各个工具之间一致。

这个系统每天自动扫当天的对话，把我说过的偏好、决策、踩坑提炼到 OBSERVATIONS.md。问题是——它只懂 Claude Code 一家的 JSONL 格式。我同时还在用 Codex、Gemini、OpenCode，这些对话历史全都被扔在一边。

每家 AI 助手的对话都存在本地，但格式各家不同。Claude 用 JSONL，Codex 也用 JSONL 但 schema 不一样；Gemini 用整块 JSON；OpenCode 用 SQLite，message 和 part 分两张表；Cline 和 Cursor 藏在 VSCode 扩展的 globalStorage 里；Aider 干脆写在项目目录的 markdown 里。

自己从零逆向这些格式，不是我想干的活。

在 GitHub 上撞见 jhlee0409/claude-code-history-viewer，简称 CCHV。本意是个桌面历史查看器——七家 AI 助手的对话在一个界面里翻。我对桌面 app 本身不感兴趣，但它的 Rust 源码里有一个 providers/ 目录：七个文件，每家一个解析模块。每家的存储路径它替我找好了，每种格式的 schema 它替我逆向完了。

让 AI 把这部分代码翻成 Python，挪进 context 项目。