Anthropic 工程博客详细分享了如何为 Agent 能力构建三层防御体系与三种隔离架构，揭示审批疲劳、用户即注入向量等真实漏洞案例，核心教训是最薄弱的层往往是自己写的自定义组件。

Anthropic、OpenAI、Google Gemini、GitHub Copilot、Cursor 等主流 AI 厂商的官方文档、博客、API 参考、产品页面及社区资源的快速查阅指南，附 Google 搜索技巧与 RSS 订阅建议。

介绍如何在 Git commit 前使用 gitleaks 快速拦截、push 前使用 GitGuardian 深度扫描，通过全局 Git Hooks 组合防止敏感信息泄露到远程仓库。

gBrain 是基于 SQLite + 向量嵌入的个人知识脑系统，自动汇聚多个 AI Agent 对话记录，支持全文搜索和语义检索，实现对话历史的永久知识化管理。

一、它是什么

Telegram Managed Bots 是 Telegram 在 Bot API 9.6（2026 年 4 月 3 日）引入的新功能。核心概念：

一个"管理器 Bot"（Manager Bot）可以代用户创建并管理子 Bot。

通俗讲：以前创建 Bot 需要手动找 @BotFather → /newbot → 复制 token → 粘贴到配置文件。现在，用户只需点一个链接、确认一下，Bot 就自动创建好了，管理器 Bot 自动拿到 token 并接管。

前段时间折腾了在 iOS 上用小火箭 + WireGuard 实现全局代理和内网穿透。由于 iOS 的限制，只能这么干——WireGuard 协议本身并不是 P2P 的，所以 iOS 上的方案通信时必须从中继服务器兜一圈，会稍微增加一些延迟。但 macOS 上没有这个限制，我没有选择原生 WireGuard，而是用了 Tailscale 这个免费工具。它基于 WireGuard 协议，做了自动打洞，打洞失败时会自动走中继节点，拿来做内网穿透再合适不过了。

iOS 上实现同时使用代理和内网穿透的需求其实很常见，尤其是当你需要在外访问家里设备（如 NAS）时。 但是很多的工具（例如：tailscale，WireGuard）基本上只能满足其中一个需求，要么是全局代理，要么是内网穿透，很难同时兼顾，它们基本上都是靠VPNExtension，iOS中只能开一个。 小火箭（Shadowrocket）是 iOS 平台上一款相当不错的代理工具，协议支持全面，价格也很合适。这里我记录一下使用它实现 代理 + 内网穿透 的完整部署步骤，最终实现 “出国”+“回家” 两个功能。 内网穿透，我这里选择的协议是WireGuard。

适用场景：sandbox-exec -f xxx.sb

一、Policy 基本结构

SBPL 基于 Scheme 语法（Lisp 变体），采用 S-Expression（S 表达式）。

1. 最小结构

一个最基础的策略文件通常包含版本声明和默认行为：

(version 1)

(allow default)                            ; 默认允许所有操作
(deny file-read* (subpath "/Users/lihu/.ssh")) ; 显式拒绝读取 .ssh 目录

2. 语法组成

单条规则的基本格式如下：