随笔周刊——第 29 期

type

status

date

slug

summary

知识小品

MONO: Is Your "Clean" Vulnerability Dataset Really Solvable?

⚙️ 问题

该研究旨在解决深度学习驱动的漏洞检测任务中，训练数据集质量不高的问题。现有漏洞数据集普遍存在以下问题：

标签不准确：安全相关的补丁与非安全相关的补丁（如功能更新、常规错误修复）被混淆，导致语义误标问题。

上下文信息不足：许多数据集仅提供函数级别的补丁代码，缺乏对跨函数漏洞的完整理解，导致过程间模糊性。

“无法判定补丁”：论文提出并关注了一类新的噪声，即某些补丁修复了真实存在的漏洞，但在修复之前，仅通过静态分析很难甚至不可能在原始代码中识别这些漏洞。这些问题会引入噪声，误导检测模型，最终削弱其有效性。

💡 创新

为解决上述问题，论文提出了MONO，一个基于 LLM 的 Agent 框架，旨在模拟人类专家的推理过程来构建可靠的漏洞数据集。

语义感知的补丁分类：利用 LLM 结合相关辅助信息区分安全相关补丁和非安全补丁。

迭代式上下文分析：通过多智能体架构结合静态分析工具，逐步收集和理解代码的全面上下文。

分析智能体：对漏洞进行初步评估，审查补丁的每个部分，尝试追踪漏洞根因；同时识别理解上的缺陷，生成获取额外上下文的请求，同时更新对根因的置信度。
上下文智能体：将分析智能体的自然语言请求转化为对静态分析工具（Joern）的精确调用，以收集所需的代码上下文（如函数定义、调用者信息、变量初始化追踪等）。
该迭代过程持续进行，直到分析智能体对漏洞根因达到高置信度，或达到预设的迭代次数上限。

“无法判定补丁”的识别与形式化：首次识别并系统地定义了“无法判定补丁”这一新的噪声类别：如果在达到迭代上限后仍无法确立完整的根因，该漏洞被标记为潜在的“无法判定补丁” 。

首个端到端的LLM驱动数据集构建框架：通过多智能体协作，结合静态分析工具，实现专家推理模式，以生成高质量数据集。

一些有意思的发现：

在初步的过滤和识别是否是安全相关的补丁时，排除了数据集中的 CVE描述，而是使用 Pull Request 等信息，作者发现，很多补丁的真实意图隐藏在开发者的讨论中，而非代码本身。同时，CVE描述可能对 LLM 理解漏洞具有误导性，因为它更多的是关注影响而非技术细节。

“无法判定补丁”：简单来说，“无法判定的补丁”指的是那些修复了真实漏洞，但在修复之前，仅通过静态代码分析极难甚至不可能发现其问题所在的补丁。对于人类专家而言，通常也只有在看到修复方案后，才会恍然大悟（产生“啊哈！时刻 😲”），明白原来之前的代码存在那样一个隐蔽的漏洞。

那为什么这类补丁是个大问题？训练AI模型检测漏洞时，我们需要给模型看成对的“有漏洞的代码”和“修复后的代码”。但对于“无法判定的补丁”，其对应的“有漏洞的代码”本身并没有明显的错误特征或漏洞模式。如果强行给这段看起来没问题的代码打上“有漏洞”的标签去训练模型，会导致模型被误导。模型可能会学到一些虚假的、不存在的规律，或者在真实检测中产生“幻觉”，严重影响其可靠性。
论文将这类补丁归纳为五种常见模式（具体代码示例可以看论文中的贴图）：

依赖运行时信息或高层程序理解：漏洞的触发依赖于运行时的特定状态或对程序高层逻辑的理解，静态分析无法看到这些信息。
依赖复杂的内部逻辑：代码在语法上完全正确，但违反了程序内部一个没有明文规定、仅存于开发者脑中的“隐性操作目标”。
模糊的防御性编程：补丁增加了一些检查，看起来是好的编程习惯，但从上下文很难判断这个检查的必要性和其具体位置的合理性。
依赖外部知识或约定：漏洞的修复依赖于对代码库之外知识的理解，例如库 API 的特定用法、安全策略或特定领域的硬件知识。
被错误分类的功能性补丁或优化：补丁的本质是性能优化或功能重构，但却被错误地分配了一个CVE编号。其所谓的“漏洞”在代码中没有清晰的根因，因此在静态上是无法判定的。

只有 493 个CVE（11%）是过程内的，而大多数（89%）需要跨多个函数进行推理。

在 Mono 无法通过多次迭代处理的CVE中，84% 被人工验证为“不可判定补丁”

最终通过论文提出的框架，就能得到一个标签准确率高、具有分析代码片段所需的上下文、有造成漏洞的根本原因的高质量数据集。论文中没提到成本，但感觉应该不小，本地部署的话应该好些，就是并发可能不是很高吧。

🤔

论文提到“不可判定补丁”的补丁会对模型的训练造成干扰，但是这类漏洞真的不重要吗？对于列出的五种模式的前两个，其实逻辑漏洞都是复合的，而且逻辑漏洞对现实的应用会造成很大的危害，比如访问控制缺等，直接普通用户也可以随意操作网站；再或者优惠券无限使用等。这种漏洞确实无法通过静态分析捕捉，因为少个 if 并不是漏洞特征。

Happy-LLM

https://github.com/datawhalechina/happy-llm

Happy-LLM 是由 Datawhale 团队推出的开源项目，旨在提供一个系统性的学习教程，从基础到实战带领用户理解大语言模型的核心原理及其训练过程。项目内容包括 NLP 基础概念、Transformer 架构、预训练语言模型、LLM 特点与训练策略，以及动手搭建、调整和应用 LLM 的全流程实战教程。本教程可帮助学习者深入理解 LLM 架构与实操，掌握从 Transformer 到 LLaMA2 的各类模型开发与前沿技术。

Gemini Fullstack LangGraph Quickstart

https://github.com/google-gemini/gemini-fullstack-langgraph-quickstart

Gemini Fullstack LangGraph Quickstart 是一个使用 React 前端和 LangGraph 后端构建的全栈应用示例，支持研究增强型对话式 AI。核心功能包括动态搜索查询生成、基于 Google Gemini 模型的语义处理、反思与知识缺口分析、迭代优化查询，以及生成带引文的答案。项目主要结构分为前端（React+Vite）和后端（LangGraph+FastAPI）。适合开发基于语言模型的研究型对话代理。

SWE-bench-Live

https://github.com/microsoft/SWE-bench-Live

SWE-bench-Live 的核心技术创新是 REPOLAUNCH，这是一个由 LLM 驱动的代理框架，它能完全自动化创建代码库快照的 Docker 化执行环境。

SWE-bench-Live 保持与原始 SWE-bench 相同的任务表述：给定一个代码仓库快照和一个问题描述，一个基于 LLM 的智能体必须生成一个补丁来解决该问题。然而，其构建管道是完全自动化的。该管道从自动化抓取 GitHub 仓库开始，以收集最近的问题-PR 对。系统侧重于成熟、活跃维护且社区参与度高（>1,000 星，>200 问题/PR）的 Python 仓库。关键的是，SWE-bench-Live 只包含 2024 年 1 月之后创建的问题，以最大限度地减少与现有 LLM 训练数据污染的风险。

torchvista

https://github.com/sachinhosmani/torchvista

torchvista 是一个交互式工具，可以在 Jupyter、Google Colab 和 Kaggle 等基于网页的笔记本中通过一行代码可视化 PyTorch 模型的前向传播过程。其主要功能包括：支持交互式图形拖动和缩放、模块层级节点可折叠、部分错误容忍下的可视化（如形状不匹配）、点击节点查看参数与属性信息等。

China-software-copyright

https://github.com/AlexanderZhou01/China-software-copyright

该项目提供了中国软件著作权申请的完整模板和教程，包括申请表、源码文档、设计说明文档、合作开发协议、代理委托书等均已上传，所有材料可免费修改并使用。项目还分享了申请所需的注意事项和经验，如材料格式要求、文档分页规范、常见问题解决方法等。此外，项目中还提供了代码行数统计软件及教程，便于统计代码量，规范申请材料。此项目适用于个人、企业、院校等不同类型的著作权申请场景。开源协作，互助性强。

随便看看

donutbrowser

https://github.com/zhom/donutbrowser

donutbrowser

zhom • Updated Jun 8, 2025

Donut Browser 是一个免费开源的浏览器管理工具，由 Tauri 构建，支持创建完全隔离的本地浏览器配置文件，支持代理（TOR 浏览器除外），可从现有浏览器导入配置文件，自动更新浏览器和应用，可设置为默认浏览器。

openmcp-client

https://github.com/LSTM-Kirigaya/openmcp-client

openmcp-client 是一个用于 MCP 服务端调试的一体化工具，支持集成 Inspector 和 MCP 客户端基础功能，可用于资源协议测试、大模型交互测试及项目级管理。项目采用分层模块化设计，通过组合不同模块实现多平台适配。支持多种大模型接入、在线验证、日志系统、字符识别等功能，并提供高效的项目和全局 MCP 管理。目标打造一个全面高效的 MCP 调试工具。

Monitor Pro

https://github.com/nexmoe/vscode-monitor-pro

Monitor Pro 是一个面向 VS Code 用户的综合资源监控工具，提供实时监控和可视化系统资源的功能。主要特性包括：

CPU 使用率、频率、温度监控

内存、网络、文件系统（Linux/macOS）读写监控

电池状态、操作系统信息、磁盘使用率监控

系统运行时间、远程 SSH 资源监控、高占用警报

可自定义监控顺序及刷新时间，无布局偏移

支持多种语言（英文、简体中文、繁体中文、日语）此外，未来将进一步完善图表设计，提供更直观的数据呈现，满足多样化系统监控需求。

Iris-Photo-Gallery

https://github.com/Iris-Photo-Gallery/Iris

Iris-Photo-Gallery 是一个使用 React 和 TypeScript 构建的现代化照片画廊网站，支持从多种存储（如 S3、GitHub）自动同步照片，同时提供高性能的 WebGL 图像渲染、响应式瀑布流布局、EXIF 信息展示、缩略图生成等功能。

项目核心功能：

🖼️ 高性能 WebGL 图像渲染，支持缩放和平移操作。

📱 响应式瀑布流布局，适配各类屏幕尺寸。

🎨 现代化 UI，基于 Tailwind CSS 和 Radix UI。

⚡ 智能增量同步，仅处理新增或修改的照片。

高级功能：

支持 HEIC 转换、Live Photo 检测、Blurhash 占位符。

富士胶片模拟、全屏图片查看器、智能标签生成。

多进程并发处理，优化性能。

(好喜欢这个 UI 布局和加载动画 🤩，细节满满，就是没有存储云，也没有性能这么高的 Docker 来部署 🌚

随便玩玩

AGI Bar 🍺

6 月 1 日，自媒体博主大聪明老师的酒吧开业了，在中关村创业大街。早在几个月前，大聪明老师就在公众号透露着酒吧开业的进展，酒吧的理念很有意思，情绪和泡沫，因为，现在的 AGI：只有情绪和泡沫。而且，这家酒吧的运营由 AI 进行调度：

整个店，从灯光节奏到进货逻辑
从播什么音乐，到展示什么内容
都不是我决定的，全靠模型硬撑

This is very interesting! 当然，大聪明创建这个酒吧，更多的应该是吸引对 AGI 感兴趣的人，相关从业者可以在这里喝一杯泡沫，开启一个话题，碰撞出一些关于 AGI 的一些灵感；又或者相关产品可以在这里发布上线。

所以，我也很感兴趣，期待有一些大佬的 talk。开业当天也是去凑个热闹，门口摆了很多公司、个人的祝福鲜花，排面真拉满呐！进去之后，说实话，有一些小失望的，店面很小，不足以让太多的人参与其中，大概最多能挤下二十人吧，并没有达到我心中的酒吧脱口秀效果 hhhh。

不过，三点开业，我三点十分到场，还是有陆陆续续客人进来的，每个人都带着好奇，点了一杯纯泡沫的🍺，虽然当天所有的免单（智谱包场了），但是唯独泡沫，9.9 原价hhh，那也要尝试一下，确实就是酒味泡沫 😆。酒吧里坐下的大多是上班族，许多人拿着笔记本，坐下来讨论着什么，我和我 npy 在一旁站了一会还挺尴尬，但有一个外国小哥好像看我们比较无聊，过来主动和我们聊天：

小哥：“Hi, Nice to meet you~”

me: “Oh yeah, nice to meet you too” (没有蹦出 and you 🤣

后面用一些蹩脚 English 聊了一会，我大致能听懂他在讲什么，但自己有些句子还是说不出来，就更尬了 hhhh，不过，可以看到整个酒吧的氛围还是很好的，后续进来的客人，也都很随和的互相聊起来了。呆了一会就走了，因为也不是相关的工程从业者，没有相关的产品，没有太多话题，走的时候要了一些贴纸，贴在了电脑上（Manus 的人给了我一包，好像意思是让我自己拿，我好像不知情的全拿走了 👀）。后面有新活动再去逛逛吧~

南锣🥁🐘

离开酒吧，就出发去南锣鼓巷了。到了之后，人还是挺多的，逛了一会发现也和其他旅游景点的古城类似，都是一些小店铺。不过人少的话，空镜应该还是能出片的。在一家店，买了四个陶瓷手串，买三送一，正好 npy，两个姐姐，还有我一人一条，样式还挺好看的~

之后，进入了一家“回忆里的童年”店铺，里面卖着各种童年的零食、玩具等，回忆满满哦，总会听到“你吃过这个没” hhh，大家都激动的指出童年爱吃的零食、玩过的玩具，本来想多买一些的，奈何这里溢价太严重了，10 倍的价格吧，我小时候几毛钱的一小板，这里都是几块钱哦，虽然几块不多，但是知道它确实不值这个价🥹，还不如自己网购。不过店里装修还是挺怀旧的~

我们不知天高地厚买了几包缺牙齿，没办法，人总是对未知充满好奇心，只刷到过它很辣，但究竟有辣呢？辣的我吃完脑袋发晕😵‍💫，蹭路边的试喝鲜花茶，小姐姐说“你们真猛啊” 🌚

簋（guǐ）街

从南锣鼓巷出来走一会就能到簋街，去簋街的目的非常明确，探店传说中能排一千多桌的“胡大饭店”，名不虚传，我们三点开始排，当时中桌七百多桌，七点还有五百桌。而且附近总共有五家分店，每个分店都几百桌，总店确实上千桌。心想自己排得半夜三四点才能吃到 🥴，干脆咸鱼买了黄🐂号，60元，插队到了前十桌。所以其实应该有很多黄🐂在排队，真实的排队人数能有一半嘛 👀，不过门口也排满了人的。不管了，我扰乱秩序吃上了 🫢

我们点的不多，两盘小龙虾，两盘猪蹄，一份鸭头。小红书多是称赞他家的小龙虾好吃，味道确实不错，但我更喜欢他家的猪蹄，人生目前为止吃过，最最最最最最好吃的猪蹄！！！太好吃啦 🥳，以至于吃完我们又加了一盘猪蹄，相当于我和 npy 一人一盘四个猪蹄哈哈哈，也不是特不贵，一份接近 50，感觉很值~ 这家店可以打包，不用排队，所以后续想吃猪蹄，可以来这打包 😋

凤凰传奇演唱会

是谁二开抢到了凤凰传奇鸟巢 380 座位，是我啊😙。不知道是不是很多人没注意到二开开票，让我抢的很丝滑，只可惜邓紫棋石家庄场的票二开没抢到😭。鸟巢 380 位置，氛围拉满，可以看到全场整齐挥舞的荧光棒，周围也都是扯着嗓子 K 歌的，简直就是 🐮🐴 回到🌿原，彻底疯狂了🥳。最遗憾的就是，第一场，不知道能不能站起来，所以只有快到最后的《最炫民族风》才站起来蹦，小亏，明年还去军训☺️