Marico's space

大多数「开发者效率」工具榜单都是按 GitHub 星数排名的。但这根本不是节省时间的真正方法。 独立开发者真正的时间杀手，往往不是慢半拍的自动补全或缺失的快捷键。那些隐藏在暗处的「税」：产品还没写一行代码，后端配置已经花了三小时；密钥泄露排查掉半天；还有一个「临时」胶水代码在生产环境跑了两年。 选对技术栈不是为了让你现有工作更快——而是在你动手之前就把整个问题类别消灭掉。 本文的筛选标准只有

译者按：这篇文章来自海外安全研究者对 MCP（Model Context Protocol）生态的深度审计。MCP 是大模型 Agent 爆火后最重要的协议之一，它让 AI 能调用各种工具和数据源。但正因为是"让 AI 做事"，一旦协议层有漏洞，影响的就不只是数据安全，而是 AI 到底在替谁做事——这个根本性的信任问题。 原文披露了几家大厂（AWS、Azure）的 MCP 服务存在高危漏洞，这点

译者前言：Microsoft Agent Framework 几天前刚发布 1.0，连同 Google ADK、LangGraph、CrewAI，几乎所有主流 Agent 框架都在做同一件事：把「工作流引擎」和「Agent 运行时」打包在一起卖。但有意思的是，Anthropic 和 OpenAI 这两家模型厂，却偏偏不这么干。这篇文章就是想聊聊这背后的逻辑，以及为什么我认为某些做法其实是在重蹈覆辙

译者前言：Microsoft Agent Framework 几天前刚发布 1.0，连同 Google ADK、LangGraph、CrewAI，几乎所有主流 Agent 框架都在做同一件事：把「工作流引擎」和「Agent 运行时」打包在一起卖。但有意思的是，Anthropic 和 OpenAI 这两家模型厂，却偏偏不这么干。这篇文章就是想聊聊这背后的逻辑，以及为什么我认为某些做法其实是在重蹈覆辙

上个月，我做了一件早该做的事：打开浏览器扩展管理页面，逐一查看已安装插件的权限声明——结果差点被咖啡呛到。 一个标签页管理插件，拥有访问我所有浏览数据的权限；一个号称"简单截图"的工具，能读取并修改我访问过的每一个页面；还有一个三年前随手安装、早就忘得一干二净的 CSS 取色器，居然有权限读取剪贴板，并向一些我从未听说过的域名发送网络请求。 如果你是一名开发者，而且最近没有审计过自己浏览器里的

【译者前言】 大多数国内开发者对 JetBrains 产品的印象还停留在 IntelliJ IDEA 那种"启动慢、吃内存"的阶段。这篇文章揭示了 JetBrains Fleet 背后一套完全不同的工程思路：用 Rust 编写核心索引引擎（负责所有文件 I/O、解析和增量更新），用 Kotlin 2.0 负责上层编排和 UI 事件处理，两者通过 JNI 桥接。 核心数据很震撼：100 万行 J

独立开发者也好、中小型团队也罢，一旦开始同时跑多个 AI 代理，很快就会遇到两件事：要么各代理互相打架，输出互相矛盾；要么什么都没完成，因为压根没人真正"说了算"。整个系统运转得像一场慢动作的车祸。 我自己踩过这个坑。三个代理各干各的活、各有各的上下文，一个写的内容和另一个刚发的互相冲突，运营代理做的决定内容代理压根不知道。一团乱麻。 这篇文章讲的是真正管用的方法，不是纸上谈兵——是我作为全职

先说个冷笑话：Go 可能是语法最简洁的主流后端语言，但新建一个项目一点都不简洁——你要手动创建目录、初始化 go mod init、写 main.go、配路由、接处理器、加 Makefile、配 .gitignore……等你写完第一行业务代码，半小时已经过去了。 隔壁 JavaScript 有 create-react-app，Java 有 Spring Initializr，Go 呢？复制粘贴

▌ 按：Anthropic 工程师 Barry Zhang 在 "Agents at Work" 活动上做了一场深度分享，本文是对其核心观点的转写与整理。 去年，Anthropic 的 Barry Zhang 与 Eric 合写了那篇爆火的《Building Effective Agents》。这一次，他把背后的思考更深地挖了出来——三条核心原则，直指我们做 AI Agent 时最容易踩的坑。

译者按：自托管虽爽，但安全责任也随之而来。本文整理了 8 个常见的 Docker Compose 安全错误，看看你踩过几个。 背景 自托管的好处很明显：数据更可控、避免厂商锁定、深入理解技术栈。但代价是——那些「无聊但重要」的事也得自己来：端口暴露、容器默认配置、密钥管理、备份、更新、反向代理、数据库安全。 很多 Homelab 一开始都是这么写的： services: app: