## GitHub Actions:日益增长的供应链风险 最近的开源供应链攻击——影响了Ultralytics、nx packages、Trivy和elementary-data等项目——都可追溯到GitHub Actions工作流程中的漏洞。尽管每次事件的有效载荷不同,但它们都利用了*按设计*运行的功能,揭示了一个系统性问题。 核心问题不是错误,而是一个为私有企业CI构建的平台,被重新用于公共的、匿名的fork和pull request。`pull_request_target`触发器(允许从不受信任的fork执行具有完全访问权限的代码)和action版本可变的Git引用等危险组合会造成重大风险。攻击者正在利用这些功能来窃取密钥、将恶意代码注入构建中,并最终破坏已发布的软件包。 GitHub已经意识到并宣布了安全改进——包括工作流程锁文件和策略控制——但这些是可选的且有延迟。作者认为应该对公共仓库的默认设置进行更积极的、甚至破坏性的更改,例如只读令牌和更严格的输入清理,以主动缓解这些风险。在此之前,建议开发者使用像`zizmor`这样的工具来审计工作流程,固定action的SHA,并强制执行严格的权限。对GitHub Actions用于可信发布到软件包注册表的依赖性日益增加,这加剧了解决这些漏洞的紧迫性。
## MiMo-V2.5-Pro:一款强大的开源编码模型
小米的MiMo-V2.5-Pro是一款新的开源大型语言模型,展现了令人印象深刻的编码能力,可与GPT-5.4和Claude Opus 4.6等模型媲美。它经过了严格的测试,成功完成了完整的SysY编译器项目(一项典型的大学作业,通常需要数周时间),仅用4.3小时并获得满分,从模糊的提示中构建了一个功能齐全的视频编辑器,并设计了一个模拟电路。
除了这些演示,MiMo-V2.5-Pro在持续的复杂任务中表现出色,能够管理超过1000次工具调用而不会失去连贯性——这是对先前版本的关键改进。它拥有100万token的上下文窗口,并通过混合注意力设计得到显著增强,使其能够有效地处理大型代码库和冗长的对话。
值得注意的是,MiMo-V2.5-Pro具有很高的token效率,与竞争对手相比,在生产中可能提供显著的成本节约。 此外,还发布了一个多模态版本MiMo-V2.5,可以处理文本、图像、视频和音频。权重在HuggingFace上以MIT许可提供,使其可用于商业用途。 此发布使小米成为开源AI领域的重要参与者,为专注于编码和代理工作流程的开发者提供了一个引人注目的替代方案。
糟糕!访问被拒绝:错误代码bf584155dcd667f7。
由Anubis From Techaro保护。
🇨🇦制造,充满爱❤️。
吉祥物设计由CELPHASE完成。
本网站运行Anubis版本 devel。
## 强度板:从休假项目到重锤数据
出于建立创业项目的愿望,作者从 Shopify 休假一个月,制作了“强度板”——一种用于测量重锤打击力量的功率计。该项目源于发现健身器械存在差距:虽然许多活动都被精细追踪,但像重锤训练这样爆发性的全身运动却很少被测量。核心理念是可测量性驱动可编程性,最终带来更好的训练。
制作过程是对硬件的快速学习,迫使作者在诸如外壳设计和传感器技术等领域快速学习。这个过程令人谦卑,早期的设计很快通过实际测试被证明存在缺陷——与软件开发的容错性形成鲜明对比。经过一个月,一个功能性原型得以实现,能够通过 iOS 应用程序捕获和显示功率数据。
目标不仅仅是在活动中添加数字,而是为了增强直觉,并解锁对力量的更深理解,就像功率计彻底改变了自行车运动一样。作者现在专注于严格的测试和用户反馈,以确定强度板是否真的能使这种未充分编程的运动变得“更易理解、更有动力和更易于训练”。请在 [https://intensity.systems/](https://intensity.systems/) 关注该项目的进展。