VS Code插件漏洞，撕开供应链安全真面目 | blog

GitHub 内部约 3800 个仓库遭到泄露，起因是一名员工安装了带毒的 VS Code 扩展。这并非简单的插件问题，而是开发者生态中“信任”与“权限”失控的典型案例。

这事儿挺荒诞。GitHub 这种级别的公司，居然被一个 VS Code 扩展给捅了。

黑客 TeamPCP 正在网上叫卖这批代码，起拍价 5 万美元。他们并不想勒索，更像是在搞一场针对大型组织的盲拍。

问题不在于插件本身，而在于 VS Code 的设计逻辑。现在的编辑器就像一个没有沙箱的操作系统，插件拥有几乎等同于用户的权限。一旦你信任了一个看似正规的扩展，它就能像吸尘器一样，悄无声息地把你本地的私钥、Token 和环境变量全部吸走，然后通过看似正常的网络请求传出去。

有网友提到，这其实是开发者在用“交付速度”透支“安全债”。为了用上某个好用的工具，我们默认把系统的控制权交给了远在天边的开发者。

这种风险是结构性的。即便你不用 VS Code，只要你还在使用 npm、PyPI 这种高度依赖第三方包的生态，这种“供应链攻击”就永远存在。

现在的局面是，安全防线像是一层薄纸。黑客不需要攻破 GitHub 的核心架构，只需要搞定一个有权限的开发者终端，就能通过 Git Clone 把整座仓库搬空。

如果插件的权限边界一直这么模糊，我们所谓的“信任”到底是在信任代码，还是在赌运气？

AI 不会取代程序员，只会极速拉开开发者差距 | blog

AI 并不是在取代开发者，而是在放大差异。对于拥有深厚技术底蕴的专家，它是如钢铁侠战甲般的效能倍增器；对于缺乏经验的初学者，它更像是一个会制造大量“技术债”的幻觉陷阱。

最近关于“Vibe Coding”（凭感觉编程）的讨论很有意思。有人觉得这是魔法，有人觉得这是在对着幽灵吵架。

其实真相挺残酷的：AI 并没有改变编程的本质，它只是一个极其强大的乘数。如果你本身的能力是 10，它能帮你变成 100；但如果你能力是 0，它只会帮你以更快的速度制造出一堆看似运行良好、实则无法维护的垃圾代码。

有网友提到，这种现象就像是数字时代的“达克效应”。对于非专业人士，AI 生成的 UI 看起来很美，因为他们看不出底层的逻辑漏洞；但对于专家，那些代码简直是维护的死胡同。这就像给一个业余选手一把吉他，他弹出的声音可能还凑合，但给到 Jimi Hendrix，他能创造出全新的世界。

现在的争议点在于，这种“放大效应”到底能持续多久？

有人担心，如果大家都习惯了这种“写完即弃”的模式，人类的底层工程能力会发生萎缩，最终从“钢铁侠”变成只能靠机器维持生命的“铁肺”。但也有观点认为，这其实是抽象层级的又一次跃迁。就像我们不再需要手动拨动电报开关，我们只需要描述想要的结果。

问题的核心不在于 AI 能做到什么，而在于你是否具备定义“好”的标准。如果你不知道什么是优雅的架构，你就无法指挥 AI 避开那些隐蔽的坑。

当代码的生产成本趋近于零，人类真正的护城河，究竟是那些写出来的字符，还是那个决定“为什么要这么写”的意图？

Pyrefly 是一款专为 Python 打造的高性能类型检查器与语言服务器。它不仅能以极快速度完成类型检查，还内置了代码导航、自动补全、语义高亮等 IDE 功能，让开发者在命令行和编辑器中都能获得一致体验。

项目在 Instagram 的 2000 万行代码库中得到大规模验证，同时也被 PyTorch、JAX 等知名开源项目采用。Pyrefly 内置对 Pydantic、Django 等主流框架的支持，开箱即用；迁移工具 pyrefly init、pyrefly suppress、pyrefly infer 则让从 Mypy 或 Pyright 切换变得轻松。

目前支持 VSCode、Neovim、Zed 等编辑器，可通过 pip install pyrefly 快速安装。

主要功能：
- 闪电级类型检查，单秒可处理 185 万行代码；
- 完整语言服务器，支持跳转、补全、悬停提示等；
- 框架感知，Pydantic 与 Django 模型开箱即用；
- 平滑迁移，提供一键初始化、错误抑制与类型推断；
- CLI 与 IDE 结果一致，重新检查通常在 10 毫秒内完成。

.NET 开发者的 AI 编码助手.NET Agent Skills 仓库为 Copilot、Claude Code 等工具提供了一整套官方精选技能插件，涵盖 .NET 数据访问、性能诊断、MSBuild 构建、NuGet 包管理、.NET MAUI、ASP.NET Core 以及 .NET 11 新特性等常见场景，让 AI 代理更懂 .NET，编码效率直接拉满。

主要功能：
- 核心 dotnet 插件，处理日常 .NET 编码任务
- dotnet-data、dotnet-msbuild、dotnet-nuget 等细分领域技能
- 支持 .NET 升级迁移、MAUI 开发、AI 集成等进阶场景
- 兼容 Copilot CLI、Claude Code、Cursor、VS Code 等主流工具
- 遵循 agentskills.io 标准，可快速安装与更新

无论你是日常维护项目还是升级老代码，dotnet/skills 都能让 AI 代理更精准地帮你完成任务。

oh-my-pi 把所有开发所需的能力直接塞进终端：支持 40+ 模型、32 种内置工具、LSP 代码智能、真实调试器、浏览器操作、子代理并行、GitHub 一体化读写……再也不用在 IDE、浏览器、命令行之间疯狂切换。

一次安装即可拥有：哈希锚点精准编辑、结构化 AST 重构、持久化 Python/JS 沙箱、时间旅行规则注入、Hindsight 项目记忆……支持 macOS / Linux / Windows，本地即可运行，适合个人开发者与团队日常编码。

主要功能：
- 哈希锚点编辑：用内容哈希精准定位，首试即中，告别重试循环；
- LSP & 调试器直连：重命名、诊断、断点、堆栈一步到位；
- 子代理并行：任务自动拆分，多 worker 独立工作树，结果结构化返回；
- 浏览器 & Web 搜索：内建 Puppeteer + 14 家搜索后端，PDF/网页直接转 Markdown；
- 冲突与预览：合并冲突一键解决，AST 编辑先预览再落地；
- 跨平台原生：无需 WSL，Windows/macOS/Linux 同一二进制；
- 即插即用配置：自动继承 Cursor、Copilot、Claude 等已有规则，无需迁移。

支持 Web、终端、Node SDK、ACP 协议多入口，通过 bun/npm 一键安装，适合需要「开箱即用、永不落伍」的 AI 编码工作流。