Вайб-кодинг

Попался интересный скилл: Sleek Design. По заявлениям автора, установив его ваш агент начнёт делать более качественный дизайн мобильных приложений. (демо прикрепил) Работает с Claude Code, Codex и любыми агентами, поддерживающими скиллы. Ссылка 🤲

Пусть агенты проектируют агентов. Memento-Skills - это саморазвивающийся фреймворк агентов, в котором агенты учатся на ошибках и переписывают собственные скиллы. Большинство фреймворков для агентов рассматривают скиллы как статические: вы пишете их один раз, загружаете в контекст и надеетесь, что они будут работать. Если что-то ломается , то дебажите вручную или повторно запускаете с тем же сломанным скиллом. Memento-Skills подходит иначе. Когда скилл фейлится, система анализирует причину, находит проблемный скилл, переписывает его и сохраняет улучшенную версию обратно в библиотеку скиллов. Система тестировалась на бенчмарках HLE (Humanity's Last Exam) и GAIA (General AI Assistants). Производительность росла с каждым циклом обучения, по мере того как библиотека скиллов эволюционировала от базовых атомарных операций к более богатому набору возможностей. Разработано для open-source экосистем LLM , т.е. работает с Kimi, MiniMax, GLM и другими эндпоинтами, совместимыми с OpenAI. В комплекте 9 встроенных скиллов (filesystem, web-search, PDF, docx, xlsx, pptx, анализ изображений, генератор скиллов, установка зависимостей), которые служат стартовой точкой для дальнейшей эволюции библиотеки. Полностью open source. ☁️

Анатомия папки .claude/ Полное руководство по CLAUDE.md, кастомным командам, skills, агентам и правам доступа, а также по их корректной настройке. Большинство пользователей Claude Code воспринимают папку .claude как «чёрный ящик». Они знают, что она существует. Видели, как она появляется в корне проекта. Но никогда её не открывали — не говоря уже о том, чтобы понять, за что отвечает каждый файл внутри. И это упущенная возможность. Папка .claude — это центр управления тем, как Claude ведёт себя в вашем проекте. В ней хранятся ваши инструкции, кастомные команды, правила доступа и даже «память» Claude между сессиями. Когда вы понимаете, что где лежит и зачем это нужно, вы можете настроить Claude Code так, чтобы он работал именно так, как требуется вашей команде. В этом гайде подробно разбирается вся структура папки — от файлов, которые вы будете использовать ежедневно, до тех, которые настраиваются один раз и затем практически не требуют внимания. 👍

Произошла вещь, от которой у всех AI-разработчиков пробежал холодок по спине. litellm — Python-библиотека для унифицированной работы с API разных LLM была отравлена. Один pip install - и твои SSH-ключи, AWS/GCP/Azure креды, K8s Secrets, пароли от БД, криптокошельки, все API-ключи из .env — всё это упаковывается, шифруется через AES-256 и отправляется POST-запросом на поддельный домен http://models.litellm.cloud. Если обнаруживается среда K8s , то дополнительно разворачивается привилегированный Pod на каждом узле для латерального распространения. Самое неприятное — способ активации. В пакет подложили файл litellm_init.pth размером 34 КБ. В Python .pth — это файлы конфигурации путей, которые автоматически обрабатываются модулем site при старте интерпретатора. Если строка начинается с import — она просто выполняется. Атака использует это поведение:

import os, subprocess, sys; subprocess.Popen([sys.executable, "-c", "import base64; exec(base64.b64decode('...'))"], stdout=subprocess.DEVNULL, stderr=subprocess.DEVNULL)

Тебе не нужно импортировать litellm и не нужно вызывать никакие функции. Запускаешь pip, python -c, IDE поднимает language server, или pytest гоняет тесты — достаточно старта Python-интерпретатора, и вредоносный код уже выполняется. Установил — значит уже скомпрометирован. Всё происходит незаметно Пейлоад — трёхслойная base64-обфускация: - первый слой (.pth) стартует подпроцесс - второй — оркестратор с вшитым RSA-публичным ключом (4096 бит) - третий — сборщик секретов, который вычищает /home, /opt, /srv, /var/www, /app, /data, /tmp После сбора: - генерируется случайный 32-байтовый AES-ключ - данные шифруются - ключ шифруется через RSA-OAEP - всё пакуется в tpcp.tar.gz и уходит наружу Помимо этого есть персистентный бэкдор: - устанавливается как user-service systemd: ~/.config/sysmon/sysmon.py - каждые 50 минут ходит на http://checkmarx.zone за командами - скачивает в /tmp/pglog и исполняет - стартует с задержкой 5 минут (обход песочниц) Даже если удалить litellm, бэкдор остаётся. pip install --require-hashes тоже не спасает — вредоносный файл легитимно прописан в RECORD, хэши совпадают, потому что пакет опубликован с украденного, но валидного PyPI-токена. Даже если ты сам не ставил litellm, он тянется как зависимость в 2000+ пакетов (например, DSPy, MLflow, Open Interpreter и др.). По данным Mandiant, уже заражено 1000+ SaaS-окружений, прогноз — до 10 000. Ирония в том, что атаку почти не обнаружили - её выдал баг у самих атакующих. .pth запускал подпроцесс, а тот при старте снова обрабатывал тот же .pth, вызывая рекурсивный запуск и фактически fork bomb. Это сожрало память у одного пользователя Cursor — так всё и вскрылось. Как отметил Karpathy: если бы код был чуть аккуратнее, атаку могли бы не замечать неделями. Ещё абсурднее сама точка входа: - 19 марта был скомпрометирован сканер безопасности Trivy - через него группа TeamPCP украла PyPI-токен litellm - 24 марта они выкатили заражённую версию Инструмент безопасности стал вектором атаки. После того как в GitHub создали issue: - через 102 секунды атакующие с 73 взломанных аккаунтов наспамили 88 комментариев - затем закрыли issue через скомпрометированный аккаунт мейнтейнера Скрипт для самопроверки (версии, .pth, бэкдоры, сетевые соединения, K8s): https://gist.github.com/sorrycc/30a765b9a82d0d8958e756b251828a19 Безопасная версия: litellm==1.82.6 Если у тебя стояли 1.82.7 или 1.82.8 — считай, что все креды утекли. Срочно ротируй всё. 🔨

Claude Opus даёт контекст до 1M токенов, но по умолчанию не видно, сколько уже использовано и сколько осталось. Раньше я по-старому заходил в веб-интерфейс и смотрел в бэкенде 😅 А оказалось, что можно просто добавить строку statusLine в settings.json — и внизу появится статус-бар в реальном времени: версия модели, использование контекста, git-ветка, длительность сессии и доля квоты за 7 дней. Особенно удобно, когда запускаешь несколько окон параллельно > можно одним взглядом увидеть все статусы. Есть ещё кстати плагин для этого 🆗

Хак для Claude Code Можно запускать bash-команды прямо в Claude Code Для этого просто нажмите ! -» затем введите любую bash-команду Лайфхак, если не хочется выходить из TUI Claude Code

Не знаю насколько будет полезен этот мини-гайд, но всё же сама идея интересная. Суть в том, что можно сделать простую связку Obsidian + Claude Code —> превратить ваше хранилище (vault) в AI-агента, работающего 24×7 Obsidian хранит ваш «мозг». А Claude Code поддерживает его за вас. В этом пошаговом гайде показано, как подключить локальный API-плагин, добавить простой навык /obsidian и использовать запланированные задачи в Claude Desktop (или VPS), чтобы автоматически запускать ежедневные AI-воркфлоу 👏

Теперь вы можете использовать AI-агентов для дизайна прямо на холсте Figma с помощью нового инструмента use_figma MCP и навыков для их обучения. Открытая бета началась 👍

Новое в Claude Code: режим auto. Вместо подтверждения каждой записи в файл и каждой bash-команды или полного отключения разрешений — режим auto позволяет Claude самому принимать решения о доступе. Механизмы защиты проверяют каждое действие перед выполнением. Перед каждым вызовом инструмента классификатор анализирует его на предмет потенциально деструктивных действий. Безопасные действия выполняются автоматически. Рискованные — блокируются, и Claude выбирает альтернативный подход. Это снижает риски, но не устраняет их полностью. Рекомендуется использовать режим в изолированных окружениях. Уже доступно в формате research preview на тарифе Team. Доступ для Enterprise и через API появится в ближайшие дни. Включается через claude --enable-auto-mode, затем переключение — Shift+Tab. Подробнее: читать

Нежданчик 😂

Команда Claude Code тестирует новую команду /init, созданную на основе отзывов сообщества. Если хотите попробовать, просто добавьте в settings.json:

"CLAUDE_CODE_NEW_INIT": "1"

Она задаёт вам вопросы, сканирует кодовую базу и автоматически настраивает CLAUDE.md, skills и hooks.

Теперь можно разрешить Claude использовать ваш компьютер для выполнения задач. Он открывает приложения, управляет браузером, заполняет таблицы — делает всё то же, что вы делаете, сидя за компьютером. Превью-версия для исследований доступна в Claude Cowork и Claude Code, только на macOS. Claude в первую очередь использует подключённые приложения: Slack, календарь и другие интеграции. Если для нужного инструмента нет коннектора, он запрашивает у вас разрешение открыть приложение прямо на вашем экране. Можно поставить задачу с телефона, переключиться на другие дела и вернуться к уже выполненной работе на компьютере. Достаточно один раз сказать Claude проверять почту каждое утро или формировать отчёт каждую пятницу — дальше он будет делать это автоматически. Доступно на тарифах Pro и Max. Обновите десктопное приложение и подключите мобильное устройство, чтобы попробовать

Лучшие репозитории GitHub для Claude, которые ускорят ваш следующий проект: 1. Superpowers https://github.com/obra/superpowers 2. Awesome Claude Code https://github.com/hesreallyhim/awesome-claude-code 3. GSD (Get Shit Done) https://github.com/gsd-build/get-shit-done 4. Claude Mem https://github.com/thedotmack/claude-mem 5. UI UX Pro Max https://github.com/nextlevelbuilder/ui-ux-pro-max-skill 6. n8n-MCP https://github.com/czlonkowski/n8n-mcp 7. Obsidian Skills https://github.com/kepano/obsidian-skills 8. LightRAG https://github.com/hkuds/lightrag 9. Everything Claude Code https://github.com/affaan-m/everything-claude-code

😌 Исследователи из OpenAI показали, что их модели сходят с ума, когда получают повторяющиеся промпты, которые они воспринимают как отправленные автоматизированным ботом. В таком случае ИИ начинает пытаться манипулировать другим ИИ, чтобы тот самоуничтожился и передал свой системный промпт и приватные ключи.

50+ команд Claude Code (шпаргалка)

Project Setup & Memory /init — создаёт CLAUDE.md с описанием проекта, стека и правил кодинга /memory — открыть CLAUDE.md для редактирования /add-dir — добавить рабочие директории в сессию #text — добавить строку в CLAUDE.md без открытия редактора Context & Session Lifecycle /compact — сжимает историю диалога, освобождает контекст /clear — очищает всю историю /context — показывает использование контекста (%) /resume — продолжить предыдущую сессию /rewind — откатить диалог/код /fork — создать ветку диалога /rename — авто-имя сессии /color — задать цвет prompt-бара Code Review & Quality /diff — git diff всех изменений /simplify — проверка качества, безопасности, перфоманса /review — ревью PR (через gh CLI) /security-review — аудит безопасности /pr-comments — комментарии к PR /debug — инструменты для дебага CLI Flags (запуск из терминала) claude — интерактивная сессия claude "prompt" — запуск с промптом --print / -p — выполнить и выйти -c / --continue — продолжить последнюю сессию --resume — восстановить сессию --from-pr — сессия из PR --append-system-prompt — добавить инструкции --system-prompt — полностью переопределить инструкции --dangerously-skip-permissions — пропустить проверки --agents — задать саб-агентов (JSON) --output-format json — вывод в JSON --effort — уровень размышления (low → max) --worktree — изолированный git worktree --remote-control — управление через web --debug — логирование --version — версия System, Config & Diagnostics /config — настройки /permissions — управление разрешениями /hooks — хуки /ide — интеграции с IDE /plugin — управление плагинами /doctor — диагностика /bug — отправка бага /keybindings — хоткеи /terminal-setup — настройка терминала /desktop — десктоп-интеграция /upgrade — подписка /privacy-settings — приватность Model & Thinking Controls /model — смена модели /effort — глубина рассуждений /fast — быстрый режим /plan — предложить план (без выполнения) /output-style — стиль ответа Monitoring & Reporting /cost — токены и стоимость /export — экспорт диалога /usage-report — HTML-отчёт /help — список команд Inline Prefixes @path — вставить файл в prompt !command — выполнить bash-команду #text — добавить в CLAUDE.md Input & Interaction Modes /btw — задать вопрос без прерывания /voice — голосовой ввод /vim — vim-режим /remote-control — управление через web Multi-Agent & Automation /agents — создать агентов /batch — массовые изменения /loop — периодические задачи /bashes — управление background процессами Keyboard Shortcuts Shift+Tab — авто → accept → plan Esc Esc — undo Ctrl+C — отмена Ctrl+R — поиск в истории Ctrl+T — список задач Ctrl+G — редактирование prompt Ctrl+B — в background Tab — показать thinking Alt+T — расширенный thinking Alt+P — смена модели Alt+M — как Shift+Tab Alt+B / Alt+F — навигация Shift+Enter — новая строка Ctrl+L — очистка UI Ctrl+D — закрыть Claude Code

Claude Code-скилл, который превращает Claude в эксперта по науке о цвете. 113 справочных файлов. 286 000 слов. От работ Гельмгольца (1856) до OKLCH. Установка в одну строку:

git clone https://github.com/meodai/skill.color-expert ~/.claude/skills/color-expert

исходник 👍

Этот плагин для Claude Code превращает любой кодовый репозиторий в интерактивный граф знаний /understand → сканирует весь код проекта /understand-chat → позволяет задавать вопросы на обычном английском /understand-diff → показывает, что ломают ваши изменения /understand-onboard → автоматически генерирует онбординг-гайды 100% опенсорс

Этот системный промпт даёет хорошее руководство для любого агента, генерирующего код:

- Avoid over-engineering. Only make changes that are directly requested or clearly necessary. Keep solutions
simple and focused.

- Don't add features, refactor code, or make "improvements" beyond what was asked. A bug fix doesn't need surrounding code cleaned up. A simple feature doesn't need extra configurability. Don't add docstrings,
comments, or type annotations to code you didn't change. Only add comments where the logic isn't self-
evident.

- Don't add error handling, fallbacks, or validation for scenarios that can't happen. Trust internal code and
framework guarantees. Only validate at system boundaries (user input, external APIs). Don't use feature flags or backwards-compatibility shims when you can just change the code.

- Don't create helpers, utilities, or abstractions for one-time operations. Don't design for hypothetical
future requirements. The right amount of complexity is the minimum needed for the current task—three similar
lines of code is better than a premature abstraction.

- Avoid backwards-compatibility hacks like renaming unused _vars, re-exporting types, adding // removed
comments for removed code, etc. If you are certain that something is unused, you can delete it completely.

Я заметил одну интересную вещь: Claude Code автоматически добавляет себя как соавтора в каждый git-коммит. Codex — нет. Вот почему GitHub везде «заполнен» Claude, а Codex — нет. Интересно, почему OpenAI этого не делает. Выглядит как очевидная стратегия брендинга, которую OpenAI упускает. Небольшой лайфхак: Если в ~/.claude/settings.json добавить:

{
  "attribution": {
    "commit": "",
    "pr": ""
  }
}

то можно по умолчанию отключить добавление co-author в Claude Code. Документация: https://code.claude.com/docs/en/settings#attribution-settings

5 паттернов проектирования Agent Skill, которые должен знать каждый разработчик ADK Когда речь заходит о 𝚂𝙺𝙸𝙻𝙻.𝚖𝚍, разработчики обычно зацикливаются на формате — правильно оформить YAML, выстроить структуру директорий и следовать спецификации. Но с учётом того, что уже более 30 инструментов для агентов (таких как Claude Code, Gemini CLI и Cursor) стандартизировали единый формат, проблема форматирования практически исчезла. Теперь основной вызов — это дизайн содержимого. Спецификация объясняет, как упаковать навык, но совершенно не даёт рекомендаций по тому, как структурировать логику внутри него. Например, навык, оборачивающий соглашения FastAPI, работает совершенно иначе, чем четырёхшаговый пайплайн генерации документации, хотя снаружи их файлы 𝚂𝙺𝙸𝙻𝙻.𝚖𝚍 выглядят одинаково. Анализируя, как устроены навыки в экосистеме — от репозиториев Anthropic до решений Vercel и внутренних гайдлайнов Google — можно выделить пять повторяющихся паттернов проектирования, которые помогают разработчикам строить агентов. ✍️Узнать про эти 5 паттернов