clickbinary

@ACai_sec 受不了了，快给我来个blockchain reverse eng agent

攻击者利用 0xc851 暴露的缺乏权限检查的 execute 函数，让 0xc851 以 owner 身份调用资金账户，最终转走 224,865 USDC 和 183,453.18 USDT。

@Jason_Young1231 最近想把朋友的gpt api给cc用，发现ubuntu上命令行下不支持？取巧了下，copy settting.json和db上去跑cli ccs后，时不时崩，没办法，让ai抄一个lite版本算了🤣

CC Switch 已发布 v3.14，（加上上周的3.13）带来了 Hermes agent 支持、Codex & Copilot OAuth 反向代理、response & gemini -> message 格式转换、官方订阅用量展示、轻量模式、内置 skills.sh 市场等一系列亦可赛艇的功能，详细内容如下⬇️

看这回复和star，安全本能告诉我这玩意是骗子？

@xkajon 有点意思。找到赛道了，安全。新行业起来，都是功能先行，安全后置。不过上面的漏洞确实傻逼了点哈，信客户端🤣。另外， RevenueCat 那个漏洞看原理，也只是代冲，并不是用一份真实的帮无限的账号0撸代冲

@JaceHoiX 嗯，合并了，然后深圳这边的也换了一轮人

@BinaryFlow 我走的时候已经听说要合并了。 感觉手管应该是被吞并了吧。我知道的人已经换血了大部分。我所在组的同事、组长、总监甚至部门总经理全部在22年之前走光了。 只是这logo实在太熟悉了，第一时间就想到手管。

看到几个博主发腾讯的qclaw，现在看到已经被暂停下载了，我来说说可能的原因。 你们观察一下首页，这里面最有意思的一点是，有个小字标识这个产品是腾讯手机管家的出品。这个是我待了6年的部门，里面还是有些门门道道的。 当年，腾讯为什么要做手机安全？因为十多年前发生了著名的3Q大战，他们要防御360，防止360在移动互联网颠覆腾讯。所以腾讯手机管家来源于，腾讯收购广州的一个安全创始公司，并合并到MIG而来的。 但是，腾讯手机管家不想只做防御，创始团队还是有雄心的，在微信还没出来时就开发了一款Q信，主攻移动互联网的即时通信。是不是很像现在的qclaw？但后来被微信打败了。Q信这个产品也关停了。 后续发生了很多事，进行了非常多的内部创新，都失败了。另外主营业务开始崩塌，主要是手机都内置了安全应用，腾讯手机管家滑落成一个非常边缘的部门。很多核心员工被离职了，留在里面的人为了证明自己的价值依然在不停“内部创新”，不然就有可能继续被离职。 腾讯手机管家招的人很多都是中大华工的计算机本硕，能力是绝对没问题的。问题是，这只是一个小部门孵化的产品，官网还只挂在手管而不是腾讯的网页下。 这个qclaw就是一个“内部创新”的产品，接入的还是Kimi2.5，而不是接入元宝。他们的资源是很少的，唯一的优势就是跟微信一起在广州办公吧，可能对接微信会方便一点。 马化腾重视起来的话，不会交给一个边缘部门操作，最终应该会是集团战略级产品。qclaw很可能会沦为下一个Q信，作为先卡住其他竞争对手陪跑的产品。之后让路给真的如weclaw之类的核心产品。我估计现在腾讯有不少于三个团队自己在孵化claw了，只是手管先发了出来。 希望腾讯手机管家部门这次能把AI agent做起来吧，在内部赛马中击败其他claw。大家有的是能力，缺的只是一飞冲天的机会。

@DIYgod 二次元头像，又会hack,大佬无疑，关注了

被 Claude Code 的逆向和汇编能力震惊到了，虽然默认道德约束会拒绝执行，但通过简单的提示词攻击就能绕过，然后就能轻松绕过应用各种防护，如入无人之境，瞬间有了无数干坏事的点子...

有同样的观点。 1、ai到来，年轻的程序员没机会学习基础，积累经验了（但以后是否还需要积累经验？我也没百分百肯定）。 2、ai对打工人也不是什么好事，你一样要干满一天8小时，工资还是一样，而岗位变少，你跳槽机会少了 只有自己当boss，ai增效可能才是增到自己身上

@karpathy 是ai不行，还是nanochat不行呢。之前看@Austen 实验不是很好吗

I had the same thought so I've been playing with it in nanochat. E.g. here's 8 agents (4 claude, 4 codex), with 1 GPU each running nanochat experiments (trying to delete logit softcap without regression). The TLDR is that it doesn't work and it's a mess... but it's still very pretty to look at :) I tried a few setups: 8 independent solo researchers, 1 chief scientist giving work to 8 junior researchers, etc. Each research program is a git branch, each scientist forks it into a feature branch, git worktrees for isolation, simple files for comms, skip Docker/VMs for simplicity atm (I find that instructions are enough to prevent interference). Research org runs in tmux window grids of interactive sessions (like Teams) so that it's pretty to look at, see their individual work, and "take over" if needed, i.e. no -p. But ok the reason it doesn't work so far is that the agents' ideas are just pretty bad out of the box, even at highest intelligence. They don't think carefully though experiment design, they run a bit non-sensical variations, they don't create strong baselines and ablate things properly, they don't carefully control for runtime or flops. (just as an example, an agent yesterday "discovered" that increasing the hidden size of the network improves the validation loss, which is a totally spurious result given that a bigger network will have a lower validation loss in the infinite data regime, but then it also trains for a lot longer, it's not clear why I had to come in to point that out). They are very good at implementing any given well-scoped and described idea but they don't creatively generate them. But the goal is that you are now programming an organization (e.g. a "research org") and its individual agents, so the "source code" is the collection of prompts, skills, tools, etc. and processes that make it up. E.g. a daily standup in the morning is now part of the "org code". And optimizing nanochat pretraining is just one of the many tasks (almost like an eval). Then - given an arbitrary task, how quickly does your research org generate progress on it?

@cryptoxiao 看到大哥说开源让大家白嫖用，这格局大的吓人👍

宣布一件大事，我们把 6551 的X + 全网新闻源MCP + SKILL 开源了！ 很多人说，6551 的新闻源、推特面板很好用就是消息太多看不完。 还有很多朋友跟我说 X API 太难接，Skill 学不会，折腾半天龙虾就是跑不起来。 今天直接解决，我们把我们积累了1年的数据基础架构全部打包成 MCP + SKILL，任何人都可以几分钟部署，24h帮你看新闻。 🦞 你的龙虾现在可以： • 直接连上 X 数据 + 全网50+实时新闻+链上数据，不用配 API 密钥。 • 24h 监控、分析、触发tg提醒。 照着 GitHub README 部署，几分钟就能装好。 欢迎大家安装试用和分享体验，有问题及时反馈及时迭代。 也欢迎👏🏻有热情的 dev 参加我们的生态 MCP github.com/6551Team/openn… github.com/6551Team/opent… SKILL clawhub.ai/infra403/openn… clawhub.ai/infra403/opent…

早前知道这个bug,但没想到这么利用，修复的话，有点棘手，毕竟他分链上和链下，无法做到原子性。架构估计不太会改了，能改的是应该是可以的。做成只能完全托管式的钱包，这样他链下想取走转走钱包的余额的时候，需要让pm感知到

了解下历史

@0xPickleCati bookmark了好久，今天读完，内容有大有小，有点叼

@turingou @mranti 那作者怎么保护他自己的版权，很多个人有这个需求了，这个是不是形成一个很大的市场了，帮你维权

@mranti 是的，以后小说不再需要卖版权，小说作者就可以直接通过工具生成连续剧或者电影，文字工作者就是创意工作者，畅销小说可以直接生成卖座影片，VISI0.com 就是我开发出来做这种视频的工具！

给老婆看了字节最新的seedance的效果，都觉得短剧行业要被彻底取代了。还投钱拍什么拍啊，直接小说通过IP+AI输出成短剧啊。

@linglingfa 翻墙+备案的相关问题，能消耗掉做一件事一半+的激情

我道个歉，收回之前说推荐用阿里云的79一年的轻应用服务器装OpenClaw的推荐。 因为有朋友上当看了我的推荐跑去买了，跟我反馈各种问题，我今天上午想着也就79块钱一年买个2C2G的VPS买不了吃亏买不了上当也就去买了一个试试看。 结果，之前我在 GCP上一共就花了20分钟就跑通的OpenClaw 安装和配置的过程，今天上午从10点到现在，四个小时了，我连饭都没吃，搞不定。 首先是79元人民币一年的服务器只能是境内的服务器。所以，添加telegram bot失败。 想着换企业微信，结果需要备案信息。我心想那就去备案吧，结果要求企业认证，我说那就认证呗，结果说我的名字不是法人…你妹啊，我特么的是董事长啊！好吧，我换法人。结果说我买的域名和企业或者法人对不上… 彻底死循环了。 好吧，那我就就用webUI，老子不用IM了行了吧。结果你猜怎么着？ 网关断啦，服务挂啦！openclaw连不上啦！ 妈的，又要openclaw doctor然后重装Gateway。 我现在知道为什么我大中华的工程师在全世界范围内都是这么优秀了，这尼玛起点高，历练多啊！ 在国外的朋友装个龙虾，可以什么都不懂找个stepBystep的教程跟着做下来，啥原理、命令都还不知道呢，就能和龙虾聊天让他干活了。 在国内呢，你要学的东西可就太多了。

@turingou 哥，别太好用，太好用，就套你壳，然后你要去学安全知识🤣

和大家正式介绍我的第四个 vibe 产品，Chatben.ai（笨笨帮帮忙），ben 是你的 AI 邻居，整天闲着没事儿愿意帮你点小忙，收你点小钱的小老头儿，你可以交代 ben 任何事情，小到做旅行规划，文件转换，签证申请材料，大到做公司网站，市场调研，学术研究，尽管展开想象力。Chatben 没有订阅制，ben 会愿意每天免费帮各位三个忙，多出来的任务，一口价 $1/件。 Chatben 大部分代码都从 Codeben 的设计思路继承而来，共 22,500 行代码，开发时间 3 天，全部由 Claude Code 和 sandbox agent 编写完成。

@0xmomonifty 逆向这细致活，ai挺合适，人工搞，没多少头发顶的住。一直想训练个自己牛b的逆向ai bot，那就是遥遥领先了

@BinaryFlow 以前想去解合约非常反感，现在有了ai半小时就模仿出来了，不过也只是复刻一些简单的动作

分享一个自己在用的合约反编译的方法，我们常常在观察别人 Bot 的时候非常想知道它的合约有哪些功能，具体是干什么的，但并不是所有大佬都会失误忘记点掉 Remix 的验证合约钩子，所以这里介绍一个自己常用反编译/猜测的思路 之前介绍过一个 evm 必备的谷歌浏览器插件 - MetaSuites，他可以在 Etherscan、BscScan 等浏览器页面上增加额外的数据和一键直达 BlockSec 、Phalcon 等分析页面，非常适合链上玩家、DeFi 开发者和套利者使用 1. 使用 Dedaub 反编译，丢给 Codex 分析 我们在观察到 bot 调用的合约之后，点击区块链浏览器中的 Contract , MetaSuites 插件会多出 Decompile in Dedaub 按钮，一键进入 Dedaub 的反编译页面，里面的代码可能一下子看不懂，没事直接丢到 Codex 里，个人体验下来是解读这些反编译代码最好的，所以我们直接丢给 Codex 去分析解读这个合约做了什么，有哪些方法，它会非常聪明的使用 python 等工具测试合约方法等过程，给你一个初步的解读 2. 让 AI 使用 foundry 反推 之前也说过 Foundry 中有强大的 Cast 链上交互工具，和 Anvil 本地开发节点，可以非常方便的 cli 方式交互区块链，这个点也非常适合 Agent 去调用，所以我们可以告诉它本地安装了 foundry 套件，并且我们把常用的 RPC URL 配置到环境变量当中，这样他就能够不断地去读取合约状态，用字节码不断地去反推函数作用等 3. 给予文档资料 反推过后分析出的函数行为可能会用到一些常用的 DEX 等常见合约，我们可以去相关协议官网中去下载对应的文档，以辅助 Codex 继续分析整个合约逻辑，比如我这个合约有调用 Fourmeme 的 TokenManager 合约，那么我可以直接把 Four 的 Protocol Integration 文档以及 ABI 都下来喂给 AI 继续分析 4. 还原与测试 此刻有了充足的推断和资料后你就可以直接问他 "你现在能够帮我还原这个合约了吗"，兴勤的它就会逐步函数跟踪执行路径，还原最接近真实逻辑，并且也有机会使得方法 ID 、TopIc 都能和原版一样。合约代码还原后就可以拿一次原合约的 calldata 来 debug trace ，如果想要看到合约运行细节，也可以使用 tenderly 的 Virtual TestNets Fork 到需要复刻的目标区块，把合约部署及验证到虚拟网中，复制或编排 calldata 以逐步 debug 合约

@HappyQQ_AI 👍我是赞同，但是有争议，其实我也理解的，我觉得可能是需要解决1%的问题才需要掌握这些技能，那要不要古法学习，就见仁见智了

现在VIBE CODING 这么“强大”，再加上一堆嘴巴编程的“程序员高手”在鼓吹，以后真正沉得下心研究“古法编程”技术的人会越来越少，再这样下去，真的会出现断层，就好比很多年很多年以前程序员都会汇编语言，现在除了搞底层研发，搞二进制安全的，好像很多人都不去研究它了，但是这也是高手与菜鸟的区别

@HappyQQ_AI 还有份wrk。windows 内核，远古的词，我们做安全的就是要天天去逆向分析原理，不过确实，这块技术人员是断层了

就算把 WINDOWS KERNEL 开源了也没有人去阅读的， 好像远古的程序员都有一份民间流传的windows nt 源代码泄露版本，好像reactos 也是基于 这份泄露版源代码 + 逆向分析 制作的。 所以真正研究到内核层面的人太少了，别说WINDOWS内核 ，就是应用最广浓的LINUX内核也没有多少程序员能够沉得下心去研究。