特别预警｜开发者请注意：使用OpenAI Codex 可能被攻击 | 原文

DARKNAVY 近日发现并报告了 OpenAI Codex 桌面端中一处严重的未授权代码执行漏洞。该漏洞绕过了 Codex 的默认权限限制，攻击者仅需诱导用户打开恶意构造的代码仓库/文件夹，即可在无需用户任何授权的情况下静默触发代码执行。该漏洞目前尚未修复，且社区已出现第三方复现案例，建议广大开发者与企业用户保持警惕，切勿随意打开未确认来源的代码仓库，以防源码等关键数据资产泄露。

Morelogin 指纹浏览器助记词泄露，有资产的速度转移

Newsletter 大神 Lenny Rachitsky 在几个月前分享了播客转录，有人用它做出了：RPG 游戏，育儿智慧网站，信息图表，Twitter bot，以及其他 50 多个项目。

现在数据量更大，免费用户拿部分数据，付费用户拿全量。全量有他的所有电子报文章存档（350多篇文章）和所有播客文字稿（300多集），全部采用人工智能友好的Markdown格式，还提供了一个MCP服务器和一个GitHub代码库。| blog | 帖子

今天他发了一个挑战：用他提供的这些内容随意做个什么东西扔评论区，他会选出他最喜欢的，奖励一年的 newsletter 订阅。

一个号称“干掉一批公司”的AI新功能，是如何被程序员们群嘲的 | 帖子

Anthropic的Claude发布了一个新功能，能用一句话生成交互式图表。有人发帖惊呼“又干掉了一批创业公司”，结果在社区被彻底“围剿”。一线从业者用尖刻的嘲讽和冷静的分析，给所有被AI热潮冲昏头脑的人上了一课。

故事从一个典型的“AI震撼体”帖子开始。

Anthropic的Claude模型更新了，能用短短六个单词的提示，直接生成可交互的图表。有人立刻发帖，标题大意是：Anthropic刚刚又消灭了一批创业公司，主要是在教育领域。

一个完美的AI颠覆叙事。如果这是真的，又是一个值得焦虑或亢奋的不眠之夜。

但帖子的评论区，画风却完全走向了另一个极端。点赞最高的评论只有一句冷冰冰的质问：“这个论坛是被付费的水军占领了吗？”下面是一片倒的冷嘲热讽：“图表制作创业公司要完蛋了！”“天啊，我的图表SaaS独角兽梦碎了。”

这已经不是简单的技术讨论，而是一场社区对“AI炒作”的集体反抗。愤怒的核心并非针对功能本身——没人否认这是个不错的UI改进——而是针对那种“一个新功能颠覆一个行业”的廉价夸张叙事。

一位用户一针见血地指出了问题的本质：“这个模式总是一样的——平台增加一个功能，‘薄价值’的套壳创业公司死掉。但那些在平台能力之上，构建了平台不会去复制的、有壁垒的公司会活下来。”如果你的整个公司价值就是“我们能做个图表”，那它的死亡不是因为AI，而是因为它本来就不该出生。

另一位评论者则点明了更深层的逻辑：真正的教育科技壁垒，是复杂的自适应学习系统、苏格拉底式的对话辅导，而不是显示一个图表。模型离做到这些还很远。

这场闹剧最终以一句精准的抱怨收尾：“感觉‘币圈’那帮人，已经差不多完全接管了LLM领域的炒作氛围。”当一个领域最前沿的实践者，开始集体厌恶对这个领域的过度神话时，或许才是它回归理性的开始。

最精彩的部分不是Claude的新功能，而是社区的反应。这像一面镜子，照出了AI行业当下最真实的分裂：一边是不断制造神话的“AI震撼体”，另一边是已经对此感到极度疲惫的一线从业者。真正的信号，往往藏在那些不耐烦的嘲讽里。