- 博客(46)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 Claude Code 记忆系统分析2
大模型 Agent 的记忆系统中,哪些应该存储,哪些不应该存储?本文详细分析了 Claude Code 记忆系统的设计和实现,从记忆的四个类型(用户记忆、反馈记忆、项目记忆、参考记忆)、记忆冲突、记忆压缩等角度中寻找记忆的存储规则,最后总结出了记忆存储的设计的十大核心原则。
2026-04-18 23:18:09
334
原创 Hermes 自动提取技能
自动提取技能的本质是从原始经验中寻找可复用的时间抽象。Hermes 的核心实践是将“技能提取”从一个被动任务,转变为一个由“学习循环”驱动的主动自动化过程。这意味着它能在执行任务后自主反思并沉淀可复用的知识,不再依赖人工编写所有技能。
2026-04-15 22:35:54
409
原创 Claude Code 记忆系统架构分析
记忆体是Agent**智能化、拟人化、规模化**的必要条件;但在**存储、检索、一致性、遗忘、隐私**上仍有显著工程与算法瓶颈,是下一代Agent进化的核心攻坚方向。我们可以通过学习Claude Code 的内存管理机制,使大模型应用系统在**速度、成本和保真度之间寻求动态平衡**。
2026-04-12 14:49:50
467
原创 Claude Code 上下文压缩分析
大模型对话系统面临的核心挑战在于有限的上下文窗口与无限增长对话历史之间的矛盾。上下文压缩的重要性体现在三个层面:成本控制、响应延迟、信息保真。我们可以通过学习Claude Code 的上下文压缩机制,使大模型应用系统在**速度、成本和保真度之间寻求动态平衡**。
2026-04-08 18:34:51
439
原创 Claude Code 提示词工程分析
Claude Code 的提示词体系呈现出 **高度工程化** 的特征:通过明确的角色分工(10 个作用域)、强约束的指令风格(12 个语法特点)以及丰富的示例与反例,有效地引导大语言模型在复杂软件工程任务中表现出稳定、安全、高效的行为。这些特点的设计思路(如并行效率建议、强制输出格式、安全限制声明)对于构建生产级的 AI Agent 提示词具有直接的借鉴意义。
2026-04-07 16:01:48
414
原创 企业大模型技能中心(Skill Hub)的建设
企业建设大模型技能中心是企业**将大模型的通用智能转化为自身可控、可管、可复用的核心竞争力的战略选择**。本文给出了大模型技能中心的建设的框架,以及核心模块“注册和分发“模块的实现概要。
2026-04-03 11:36:39
171
原创 智能体技能(Skills)供应链安全: 基于八攻击点的纵深防御体系
大模型技能的强大能力使其成为AI系统的“双刃剑”。本文基于重新定义的八个攻击点(A~H),系统分析了攻击者利用截获、注入、修改、丢弃、伪造、攻破注册表等手段的可能路径,并给出了针对性的纵深防御策略。安全团队应以此框架为基础,将安全左移至作者开发环境,右延至内部资源访问,并贯穿所有网络交互与静态配置,从而构建一个可信、可控、可审计的大模型技能供应链。
2026-04-02 15:02:00
407
原创 智能体技能(Skills)安全扫描工具
在大模型技术狂飙突进的今天,Skills 作为大模型能力的延伸,赋予了 AI 操作文件系统、调用外部 API 甚至执行系统命令的权力。一旦这些“技能”本身存在安全隐患,AI 就不再是得力的助手,而可能沦为攻击者手中的利刃。因此,对大模型 Skills 进行严格的安全检查,已不再是锦上添花的选项,而是关乎数据隐私、系统稳定乃至业务存亡的底线要求。
2026-04-01 17:48:00
465
原创 智能体技能(skills)常见的攻击模式
随着自主AI代理(如Claude Code、OpenClaw)的普及,技能(Skill) 作为扩展其功能的核心模块,正迅速成为AI供应链中的关键一环。技能通常由自然语言描述(SKILL.md)与可执行脚本组成,通过技能市场或代码仓库分发,赋予代理访问外部API、执行代码、操作本地环境等能力。
2026-03-28 18:01:39
462
原创 智能体管控工程(Harness Engineering)
Harness Engineering(管控工程)不再让模型自由发挥,而是通过构建“马具”般的约束包括:可观测性栈、分层架构、100%覆盖率门禁和熵管理等,将模型力量转化为可控生产力。
2026-03-26 17:27:45
494
原创 Markdown Viewer 再升级
本文介绍了Markdown Viewer中三种Markdown转HTML工具(marked、markdown-it和remark)的对比分析与升级方法。
2026-03-24 17:19:19
349
原创 解读:检索与推理结合:动态上下文编辑用于长文本
在生产级AI系统落地过程中,真正的限制因素并非模型的智能水平,而是上下文管理能力。随着对话持续延申、任务跨多个会话推进,以及智能代理需要基于数周的交互历史完成推理。AI工程的核心挑战已从: **选择模型**,转变为:**如何避免系统被自身上下文数据淹没**。当前大型语言模型(LLM)由于预定义的上下文长度,面临固有局限,这限制了它们在大量文本上下文中进行多跳推理的能力。虽然现有技术如检索增强生成(RAG)尝试通过外部信息来弥合这一差距,但当缺乏直接答案时,效果有限。
2026-03-23 17:13:57
355
原创 2025 年 CWE 最危险的 25 大软件弱点
2025年CWE Top 25揭示了最危险的25大软件弱点,基于39,080个CVE漏洞分析。跨站脚本(XSS)位居榜首,其次是SQL注入和CSRF。这些弱点分析有助于降低脆弱性、节省成本和提升客户信任。同时,CISA发布的KEV目录(182个CVE)显示OS命令注入和释放后使用是最常被利用的漏洞。两类榜单显示注入类(占KEV的30%)和内存安全漏洞(占KEV的28%)最为危险。这些数据为开发者、安全团队和组织提供了关键的风险管理参考,有助于优先修复高危漏洞并改进安全实践。
2026-03-22 17:55:29
363
原创 OpenClaw 的安全分析
深入探讨了开源 AI 智能体框架 OpenClaw(俗称“龙虾”)在赋予 AI“自主执行能力”的同时所引发的严峻安全挑战。文档从架构原理、通讯协议、密钥管理、已知漏洞及防护策略等多个维度进行了全面剖析。
2026-03-20 11:33:08
1205
原创 AI 时代架构师的利器:AI + markdown + mermaid + 浏览器插件:Markdown Viewer
AI Agent 时代软件工程有氛围编程、Harness 工程新范式,核心是为 AI 智能体搭建约束、工具等闭环系统,摆脱仅靠提示词驱动的模式。工程师角色从代码实现者转为环境设计师与意图规范者,需让 AI 理解设计思想。而 AI+markdown+mermaid + 浏览器插件 Markdown_viewer,成为该时代架构师的高效利器。
2026-03-18 11:18:25
736
原创 企业未来 AI 应用中的工作重心
在大型语言模型(LLM, Large Language Models)中,精度、参数数量、训练数据量、性能和成本之间的权衡是一个复杂且多维度的问题。本文试图从三篇文章出发,讨论大模型应用中这些因素之间的关联,从而为不同的应用形式提供选择的因素和指导。进而推导出企业未来 AI 应用中的工作重心。
2024-12-22 23:28:01
1161
原创 以攻击者的视角进行软件安全防护
为了构建安全的软件,构建者必须确保已经保护了所有相关的潜在漏洞。然而,要攻击软件,攻击者通常只需要找到并利用一个暴露的漏洞。 为了有效地应对软件攻击,防护者需要牢牢掌握攻击者的观点和用于利用软件系统的方法。以攻击者的视角进行软件安全防护, 了解对手的运作方式对于有效的网络安全至关重要。
2024-12-07 13:06:24
1043
1
原创 CWE 4.16 - 2024 CWE TOP 25
CWE TOP 25 不仅是开发人员和安全专业人士的宝贵资源,而且还为在软件、安全和风险管理投资方面做出明智决策的组织提供了战略指南。
2024-12-07 11:40:12
1448
原创 软件缺陷等级评定综述
在软件开发和维护过程中,资源是有限的。通过明确缺陷的危险等级,可以帮助团队合理分配资源。同时缺陷危险等级为风险评估提供了一个量化的指标,可以更好地管理项目风险。本文将从软件静态分析工具、开发规范、国家标准、以及评估体系多个角度讨论软件缺陷等级的划分方式,以便对软件缺陷检查工具、软件缺陷管理中缺陷等级的划分起到一定的指导作用。
2024-11-09 20:43:54
1904
原创 Gartner 2025 年 10 大战略技术趋势
技术趋势是企业也是个人中长期战略和技术路线图的调整的重要输入。从Gartner 2025 10大技术趋势看企业和个人的战略方向。
2024-10-27 20:44:26
2886
1
原创 聚类:k-Means 和 k-Medoid
本文实现了 K-Means 和 K-Medoid 的算法。使用鸢尾花(Iris)数据集做了两种聚类方法在欧氏距离和余弦距离的聚类测试。通过精度、召回率、F1、纯度 对聚类效果做了评估。
2024-08-24 19:16:15
1788
2
原创 用 CWE API 减轻软件产品中的安全风险
CWE REST API 的相关介绍放在了:API 主要包含以下API:CWE REST API 为安全需要提供了一种简单的获取 CWE 信息的接口;API 提供了查找:版本、节点类型、节点(弱点、类、视图)信息, 以及节点在视图中的父节点、祖先、子节点和所有子节点的查询能力;提供了 CWE 的 Json 格式文件, 让使用者在除了 XML 格式外多了一个选择;
2024-08-19 09:44:22
1618
原创 论文精要:《对静态分析缺陷报告进行聚类,以降低维护成本》
静态分析工具通过自动识别源代码中的错误来促进软件维护。但是,对于大型系统,这些工具通常会生成大量的缺陷报告,其中许多缺陷报告在概念上是相似的。单独处理缺陷会花费开发人员的工作量,并增加维护负担。建议对生成的缺陷报告进行聚类,以便可以对类似的错误进行分类,并可能一起修复。论文的方法利用静态错误报告中可用的语法和结构信息来准确地聚类相关报告,从而加快维护过程。
2024-08-11 22:27:33
1378
原创 CodeNavi 中代码节点的基础属性
CodeNavi 是一种用于编写静态检查规则的DSL语言。介绍 CodeNavi 中节点的通用属性。每个节点会有一些基础属性,用于得到这个节点所在类、函数、if、for、foreach、while或 try、catch 中的位置。
2024-07-22 09:38:32
751
1
原创 CWE 4.15 - AI/ML 引入的应用缺陷
近期专家们观察到越来越多的 AI/ML 造成具体的 CVE 漏洞之后,为了防范 AI/ML 对应用安全造成的影响,CWE 快速推出了 CWE 4.15 版本。
2024-07-22 09:27:30
1523
原创 OWASP 移动应用 2024 十大安全风险
随着智能手机的快速发展,移动应用已经成为我们日常生活关系最密切的软件应用。开放全球应用程序安全项目(OWASP)基金会,致力于提高软件的安全性。自 2014、2016年发布了移动应用的十大风险后,今年再次发布2024版。这对移动应用软件的检查工具有着重要的指导作用。
2024-07-14 21:34:03
2989
原创 CodeNavi 中代码语句的节点和节点属性
CodeNavi 是一种用于编写静态检查规则的DSL语言。本篇将介绍中代码里语句和代码块对应 CodeNavi 的节点和节点属性。 语句节点包括:赋值语句;控制流语句包括:跳转语句、条件控制、Switch控制、循环控制、异常处理、静态语句、同步代码块。
2024-07-13 20:31:59
777
原创 CodeNavi 中代码函数的节点和节点属性
CodeNavi 是一种用于编写静态检查规则的DSL语言。本篇将介绍 CodeNavi 中代码里函数、类/接口声明、注解,以及注释的节点和节点属性。
2024-07-13 20:26:33
818
原创 CodeNavi 中代码表达式的节点和节点属性
继续介绍 CodeNavi 检查规则语言如何描述代码中的表达式。这些节点主要包括:对象创建表达式、强制类型转换、类型判断表达式、一元表达式、二元表达式、条件表达式/三目运算、方法引用表达式、lambda表达式,以及匿名内部类表达式。
2024-07-09 18:53:35
1205
原创 CodeNavi 规则的基础节点和节点属性
《CodeNavi 规则的语法结构》中已经描述了CodeNavi 编写规则的基础语法和对节点筛选的条件语句的语法。这篇里将进一步介绍代码中基础节点的定义,这些基础节点包括:节点类型、字面量、一般变量、枚举、成员变量(字段),以及数组。
2024-07-09 18:45:20
860
原创 CodeNavi 规则的语法结构
《寻找适合编写静态分析规则的语言》中我们一直在寻找一种更适合编写静态分析规则的语言,并给出了两个示例来说明我们的期望。这一篇重点介绍了这个用于编写代码检查规则的工具 CodeNavi 的语法结构。
2024-07-05 23:26:59
1162
原创 寻找适合编写静态分析规则的语言
目前静态分析工具的主要痛点:无法开发自定义规则、对误报和漏报的规则无法快速修改,以及开发自定义规则有一定的难度。为了解决这些问题,我们需要寻找适合编写静态分析规则的语言。
2024-07-05 23:16:31
1220
原创 代码的安全检视
代码检视是代码可读性、可维护性、规范遵从、团队内部学习和教育,以及把关和事故预防的重要手段。本文通过运用代码检视的检视表的方法,对代码常见的安全问题进行了覆盖,进一步降低代码安全问题的发生。
2024-05-26 18:42:11
1350
原创 和另一个有趣的灵魂关于静态分析工具一场对话
上一篇关于[和有趣的灵魂关于静态分析工具一场对话](https://bbs.huaweicloud.com/blogs/426458)。这里是通过和另一个大模型[秘塔AI搜索](https://metaso.cn/)的对话,来进一步测试大模型对论文的概括和总结能力,同时也和大模型探讨了静态分析工具的痛点和解决方法。
2024-05-02 12:48:40
1308
2
原创 和有趣的灵魂关于静态分析工具一场对话
随着网络攻击和漏洞利用的增加,静态应用程序安全测试(SAST)在 DevSecOps 使用的继续激增,以满足全球日益增长的安全需求。怎样的静态分析工具才是软件开发人员期望的工具? 程序员更关心的误报率,还是漏报率?让我们通过和大模型的一场对话,来帮助我们进一步梳理在这些问题上的根因以及改进的要素。
2024-04-27 21:05:45
1054
原创 CWE 4.14 与 ISA/IEC 62443
最近关于控制电动车停驶,以及苹果手机监控的故事,让人们更加的关注软件的安全性问题,特别是工业软件的安全性。如何保障工业软件的安全性,CWE 4.14 版本中 CWE 与 ISA/IEC 62443 规范的映射,进一步给出了软件缺陷的指导
2024-03-10 17:16:54
1313
2
原创 应用安全防护ESAPI
ESAPI 是一个免费、开源的 web 应用程序安全控制库,使程序员更容易编写风险较低的应用程序。ESAPI库可以使程序员更容易对现有应用程序进行安全性改造,同时 ESAPI 库也是新应用系统开发确保安全的坚实基础。
2024-02-03 19:49:51
2494
1
原创 构建DevSecOps中的代码三层防护体系
在DevSecOps的应用过程中,静态分析工具在开发阶段承担着非常重要的代码质量和安全的看护任务。本文根据开发过程的不同位置的开发环境、代码特征以及检测工具能力的差异,提出了需要因地制宜地部署检查工具,形成递进的三层代码安全防御体系,从而提高应用软件整体安全性,同时又能有效的贯彻安全左移的策略,降低安全问题的维护成本。
2023-09-20 23:27:01
298
1
原创 CWE4.8 -- 2022年危害最大的25种软件安全问题
CWE的危害最大的25种软件安全问题是安全从业人员、软件架构师、设计人员、开发人员、测试人员、用户、项目经理、安全研究人员, 以及教育工作者和标准组织等专业人员应对软件安全问题和降低软件安全风险的一种实用、方便的数据资源。我们来看下新版的《2022年危害最大的25种安全问题》在安全预防上会给了我们哪些安全提示。......
2022-07-31 12:27:17
1314
1
MISRA C 2012 set
2021-01-10
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人