## Skillfile:AI技能与代理的声明式管理
Skillfile 是一款用于发现、安装和跟踪跨多个平台(如 Claude、Gemini 和 Codex)的 AI 技能和代理的工具。它解决了技能管理碎片化的问题——过去依赖手动安装,缺乏版本控制或更新机制。
通过单个 `Skillfile` 配置文件,用户可以直接从终端搜索庞大的技能库(超过 11 万个技能),从 GitHub 等来源添加技能,并使用锁定的提交 SHA 来进行可重复安装。 重要的是,Skillfile 允许进行自定义,*而不会* 丢失更新;更改被保存为补丁,并在更新期间自动重新应用。
它本身不执行代理,而是管理它们使用的 markdown 文件。 关键特性包括带有流行度/安全评分的搜索功能、对多个平台的支持以及用于管理技能、补丁和锁定文件的清晰文件结构。 建议使用 GitHub token 以避免 API 速率限制。
在 GitHub 上找到它:[https://github.com/eljulians/skillfile](https://github.com/eljulians/skillfile)
每日HackerNews RSS
Skillfile,一个在GitHub上发布的新“声明式技能管理器”,旨在简化访问和利用庞大的技能库(超过11万个)。然而,它的发布在Hacker News上引发了讨论。
一些用户质疑它的必要性,认为它本质上只是一个围绕简单工具(如`wget`)下载文本文件的包装器。另一些人指出,这些“技能”不*仅仅*是文本,还可能包含供大型语言模型(LLM)或解释器执行的脚本。
这引发了对安全性的担忧——运行下载的脚本——并促使人们将其与源代码控制系统进行类比,用于管理代码。 基本上,Skillfile试图组织和简化利用LLM的过程,使用预定义的指令和潜在的可执行代码。
你需要启用 JavaScript 才能运行此应用。
黑客新闻 新的 | 过去的 | 评论 | 提问 | 展示 | 工作 | 提交 登录
人体器官图谱 (esrf.fr)
63 分,由 giuliomagnifico 1 天前发布 | 隐藏 | 过去的 | 收藏 | 3 条评论 帮助
sgt 1 天前 | 下一个 [–]
太棒了!顺便说一下,我正在寻找高质量的 3D 解剖模型。但除非你支付 10 万美元,否则很难找到。回复
ge96 1 天前 | 父级 | 下一个 [–]
是时候为殡葬师制作一款宝可梦 Go 应用了。回复
macintux 1 天前 | 上一个 | 下一个 [–]
几天前的一个简短讨论:https://news.ycombinator.com/item?id=47348502 回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
## 官僚主义阻碍医学创新 最近的一些案例——从一只接受个性化mRNA癌症疫苗的澳大利亚狗,到GitLab的Sid Sijbrandij和作家Jake Seliger等寻求实验性治疗的癌症患者——凸显了一个令人沮丧的现实:应对医疗繁文缛节可能比开发疗法本身更困难。虽然人工智能有望加速医学进步,但过多的繁重监管正在造成严重的瓶颈,有效地将获得潜在救命治疗的机会限制给那些拥有大量资源的人。 现行制度旨在保护患者,但现在常常会延误至关重要的早期临床试验——这些小型研究对于个性化医疗和罕见病至关重要。这些试验通常更便宜、更快地进行,澳大利亚的成功就证明了这一点,但仍然受到冗长的伦理审查(IRB)和过分严格的生产标准(GMP)的阻碍。 “临床试验丰盛”等倡议旨在通过倡导改革来解决这些问题,例如研究者选择IRB、早期试验的通知途径以及更灵活的GMP要求。减少这些障碍并非降低安全标准,而是为了简化流程、提高透明度,并最终确保有希望的新疗法能够更快、更公平地惠及患者。潜在的益处是巨大的,但需要转变观念,在确保患者安全的同时,优先考虑高效创新。
## 官僚主义与医疗创新:黑客新闻摘要
最近黑客新闻上的一场讨论围绕一篇文章展开,文章讲述了一位男子利用人工智能为他的狗设计潜在的mRNA癌症疫苗,但在实施过程中面临巨大的官僚障碍。核心论点是,过度的监管阻碍了创新和对潜在救命治疗的获取,尤其对于那些缺乏资源的人来说。
评论员们强调了“先失败”的保险做法、资助个体案例研究(“N=1”研究)的困难,以及制药公司不愿支持“非适应症”药物使用的现象。一些人指出,即使在全民医疗保健系统中也存在类似问题,严格的规程可能会限制对新疗法的获取。
虽然承认需要安全保障和防止欺诈(并与过去的医疗灾难进行类比),但许多人认为目前的系统优先考虑利润和规避风险,而非患者福祉和科学进步。建议包括简化法规、设立监察员来应对官僚主义、以及承认不作为的固有风险。一个反驳观点指出,医疗行业*受益于*治疗疾病,而非治愈疾病,这助长了监管障碍。最终,这场讨论强调了安全、可及性和追求医疗突破之间的紧张关系。
## Keycloak & OpenFGA 集成:事件发布者摘要
此 Keycloak 扩展将 Keycloak 的身份验证与 OpenFGA 的细粒度授权(ReBAC)连接起来。它充当事件监听器提供程序,监控 Keycloak 事件,例如用户/角色分配和组 membership。
在检测到相关事件时,扩展会使用 OpenFGA Java SDK 将其转换为 OpenFGA Tuple key,并通过 HTTP 发布到 OpenFGA 服务器。这种同步允许应用程序利用 OpenFGA 作为策略决策点 (PDP) 来强制执行细粒度的访问控制。
该架构通过让 Keycloak 管理身份验证和基于角色的基本访问,同时让 OpenFGA 处理复杂的基于关系的权限,从而简化了授权。扩展通过环境变量配置 OpenFGA API URL、Store ID 和 Authorization Model ID。
安装涉及将扩展的 JAR 文件复制到 Keycloak 的 providers 目录并重建 Keycloak 实例。它主要在基于 Quarkus 的 Keycloak 发行版上进行测试。
一个名为“Event Publisher”的新开源项目(github.com/embesozzi)旨在集成Keycloak和OpenFGA,解决身份提供者和授权服务器之间同步授权数据的问题。核心问题在于,除了简单地使用授权服务器的SDK之外,如何保持授权决策的准确性。
讨论集中在数据是否*需要*同步,一位评论员指出OpenFGA的上下文元组可以作为替代方案。其他人质疑由于应用程序数据缺乏标准化,通用解决方案的可行性,并建议潜在的映射层作为一种可能的,但尚未证明的方案。
对话还涉及将OpenFGA集成到现有应用程序中的困难——特别是提到在Gitea/Forgejo等工具中对细粒度权限的需求——以及对常见做法(如OIDC)的安全问题。最终,该项目引发了关于在复杂系统中管理授权数据的最佳方法的争论。
## 证书颁发机构现在必须进行DNSSEC验证 自2026年3月15日起,证书颁发机构(CA)**必须**验证已启用DNSSEC的域名对应的DNSSEC记录。这意味着CA必须在证书颁发过程中(例如ACME)验证DNS响应的真实性——包括确定证书颁发权限的CAA记录。 作者成功运行DNSSEC 14年,预计CA已经为这一变化做好了准备,但现在强制执行已正式生效。 虽然DNSSEC可能看起来很复杂,但文章鼓励域名所有者——特别是那些阅读技术博客的人——**检查他们的注册商是否支持DNSSEC**并考虑启用它。这可能是一个简单的步骤,可以显著提高域名安全性。
这个交互式工具可视化了美国劳工统计局的就业市场数据,涵盖了3.42亿个工作岗位中的14300万个。可视化采用树状图,矩形大小表示就业人数,颜色代表可选择的指标,如预计增长、薪资、教育程度和人工智能暴露程度。 值得注意的是,该工具利用大型语言模型(LLM)来评估和对职业进行颜色编码,基于自定义提示——目前展示的是“数字人工智能暴露程度”。该暴露评分(0-10)估计了人工智能将如何重塑一个工作,同时考虑自动化和生产力影响,数字化的岗位将获得更高的评分。 重要的是,这些人工智能暴露评分是LLM的*估计值*,而非工作岗位的流失预测。高分表明存在重大变化的潜力,不一定意味着被取代,并且没有考虑到就业需求或监管等因素。用户可以通过每个职业方块中的链接直接探索劳工统计局的数据。
OpenBSD 是否异类?对活跃的 OpenBSD 社区成员维亚切斯拉夫·沃龙佐夫的采访,探讨了该操作系统独特的特性及其在更广泛的 BSD 生态系统中的地位。与 GNU/Linux 不同,OpenBSD 强调一个紧密集成的“基础系统”,专为日常使用而设计,优先考虑安全性、极简主义和通过“自食其果”实现开发者一致性。讨论强调了 OpenBSD 直观的结构、安全的默认设置以及与主流替代方案相比更小的攻击面,同时也承认了硬件支持和软件可移植性等挑战。文章还考察了小型、专注的社区在推动创新方面的影响,例如 OpenSSH 和 tmux,并讨论了 BSD 项目和 ReactOS 等利基操作系统社区之间的协作。沃龙佐夫分享了 OpenBSD 在特定用例(如服务器和防火墙)中的优势,并概述了社区增长和基础设施发展的未来目标。
一个黑客新闻的讨论集中在FreeBSD是否应该采用像Claude Code这样的人工智能编码工具。原始帖子认为,FreeBSD抵制这些工具可能会使其变得无关紧要,但评论员们大多不同意。
许多人认为FreeBSD的优势在于其安全性和稳定性,而这些品质可能会因依赖可能泄露数据或产生不可靠代码(“垃圾代码”)的人工智能而受到损害。一个关键点是,Claude Code的创建者Anthropic已经主动阻止了对几个BSD系统的支持,这表明其缺乏对开源兼容性的承诺。
虽然有些人承认人工智能工具可以提高个人生产力,但另一些人强调其负外部性——作者身份的侵蚀、对开源公共领域的损害以及可疑的生产力提升。 许多评论员表示很高兴FreeBSD优先考虑原则,而不是追逐人工智能趋势,并且一个人的观点不能决定项目的方向。
## AI 代理集成隐藏成本 通过传统方法(多工具调用 - MCP)将 AI 代理连接到工具(如 API)面临一个重要且经常被忽视的问题:**上下文窗口膨胀**。 描述即使是适量的工具也会消耗代理可用“思考空间”的很大一部分,从而留下很少的空间用于实际任务。 这可能导致代理失效,迫使开发者大幅限制集成或添加复杂且会增加延迟的解决方法。 几种解决方案正在出现。 使用压缩技术维护 MCP 适用于简单的交互,但需要管理基础设施。 代码执行为复杂的工作流程提供了强大的功能,但会引入重大的安全风险。 一个有希望的替代方案是利用 **CLI(命令行界面)**。 通过采用 CLI,代理可以*按需*发现和使用工具,类似于人类开发者使用 `--help` 标志。 这大大减少了预先使用的 token 数量——从数万个减少到大约 80 个——并通过消除对远程服务器的依赖来提高可靠性。 虽然 CLI 并非通用解决方案(MCP 在频繁使用少量工具时表现出色,而代码执行可以处理复杂的状态),但它们为许多代理集成提供了效率、安全性和兼容性的实用平衡。 API 提供商应优先考虑简化的、可发现的 API 和强大的权限管理,以适应不断变化的环境。
## AI 代理:MCP 与 CLI 总结
这次 Hacker News 的讨论集中在 AI 代理连接工具和 API 时,使用模型上下文协议 (MCP) 和命令行界面 (CLI) 之间的争论。虽然 MCP 提供了一种标准化的方法,并具有潜在的策略执行等优势,但一个关键问题是其高上下文令牌消耗——列出所有工具会消耗大量可用上下文窗口。
许多评论者认为 CLI 提供了一种更高效的解决方案。它们需要的初始上下文更少,允许通过 `--help` 标志进行逐步发现,并且可以利用现有的工具。多位用户强调,代理可以有效地编写 CLI 脚本,从而减少了对广泛 MCP 定义的需求。
然而,MCP 并非完全被否定。它被认为在需要集中控制、安全性和标准化访问的场景中很有价值,尤其是在组织内部。像 Claude Code 这样的平台中的工具搜索等最新进展正在缓解上下文窗口问题,但并未消除潜在成本。
最终,共识倾向于选择最适合特定用例的工具,而 CLI 由于其效率和简单性,尤其是在个人开发者中,正变得越来越流行。讨论还涉及无论使用哪种接口,良好设计的 API 的重要性。
## Pokémon Go 的意外遗产:送餐上门
还记得 Pokémon Go 的狂潮吗?这款增强现实游戏现在为一项令人惊讶的新应用做出了贡献:更快、更可靠的食物配送。Niantic(Pokémon Go 的开发公司)正在与 Coco Robotics 合作,为配送机器人配备其视觉定位系统 (VPS)。
VPS 经过了 Pokémon Go 玩家扫描地标所捕获的超过 300 亿张图像的打磨,能够让机器人以厘米级的精度确定其位置——这在 GPS 不可靠的区域(如城市街道)至关重要。游戏的数据收集,通过鼓励玩家扫描现实世界物体的功能得到加强,有效地创建了详细的 3D 地图。
这种对众包数据的重新利用,突显了为一种目的收集的信息在其他地方的价值。虽然 GPS 可能会失效,但 VPS 使用视觉线索进行导航,有望实现更快、更准确的配送。Niantic 设想了一个由这些机器人提供数据的“实时地图”,类似于自动驾驶汽车公司的数据驱动方法。所以,你下一次的披萨可能要感谢几年前追逐虚拟生物的玩家!
## Pokémon Go 与数据收集:摘要
一篇近期文章指出,Pokémon Go 玩家在不知情的情况下贡献了包含 300 亿张图像的大型数据集,现在正被用于现实世界的地图绘制和潜在的送货机器人技术。参与“AR 地图”任务的玩家扫描周围环境,实际上是在训练 Niantic 的视觉定位系统。
Niantic 多年来一直在收集这些数据(始于 Ingress),但其使用范围以及最近的数据出售引发了关注。讨论的中心在于玩家是否真的不知道数据收集行为,一些人认为游戏明确说明了其目的,而另一些人则认为缺乏透明度。
许多评论者淡化了参与程度,认为奖励不值得付出努力,且数据质量可能存在问题(有些玩家扫描地面!)。尽管如此,图像的数量仍然非常庞大。Niantic 正在利用这些数据构建详细的 3D 世界模型,可能用于游戏以外的应用,包括自主导航。这项数据收集及其使用的伦理影响也在被讨论,人们担心企业数据垄断和潜在滥用。
PHP的一个主要缺点是,在每次请求时,所有文件都会从硬盘读取,转换为字节码,然后执行。而Ice整个框架已经加载到内存中,因此不需要处理整个框架文件集。这意味着在扩展时,你需要比PHP更少几倍的服务器来支持相同的流量。请查看PHP框架的基准测试。
一个名为Iceframework的新型、简单、快速且开源的PHP框架在Hacker News上被讨论。它被构建为C扩展,旨在提高PHP性能。
讨论很快就集中在争议点上。一些评论员指出,在Twig和Blade等现有选项存在的情况下,为PHP添加*另一个*模板引擎具有讽刺意味。另一些人则指出了与一个名为Ice的、存在数十年的RPC框架的潜在命名冲突。
人们对框架的基准测试方法和有限的文档表示担忧,特别是关于底层Zephir语言的文档。鉴于编译扩展中潜在的内存管理问题以及较小的用户基础进行审查,一些用户质疑其安全性。
最后,澄清该项目并非全新,其起源可以追溯到2014年,尽管最近版权日期更新为“2025年”。