今天 pi-coding-agent 包上线了,支持 CLI 使用也支持二次开发。但我完全不知道该怎么正确 pin 版本,尤其是 shrinkwrap 已经废弃的情况下。正确的做法是什么?完全不用 `npm install -g`?我没辙了。
The US government, citing national security authorities, has issued an export control directive to suspend all access to Fable 5 and Mythos 5 by any foreign national, whether inside or outside the United States, including foreign national Anthropic employees. The net effect of this order is that we must abruptly disable Fable 5 and Mythos 5 for all our customers to ensure compliance. Access to all other Claude models is not affected. We apologize for this disruption to our customers. We believe this is a misunderstanding and are working to restore access as soon as possible. Read our full statement: https://t.co/bwn0sximKZ
@mitsuhiko: 欧洲人请醒醒。 [引用 @AnthropicAI]: 美国政府援引国家安全授权,发布出口管制指令,暂停所有外国公民访问 Fable 5 和 Mythos 5 的权限——无论这些人身处美国境内还是境外,包括 Anthropic 的外籍员工。 此命令的实际效果是,我们必须立即为所有客户禁用 Fable 5 和 Mythos 5 以确保合规。 所有其他 Claude 模型的访问不受影响。 对于给客户造成的这次中断,我们深表歉意。我们认为这是一场误解,正在努力尽快恢复访问。 完整声明:https://t.co/bwn0sximKZ
我真心觉得,整整一代只从 npm 和 pypi 了解开源的开发者,错过了开源最初的运作方式。 Debian 或其他 Linux 发行版在分发某个依赖时,他们承担了对应的责任。如果上游开发者没有修复某个安全问题,他们会自己替用户修。 Debian 等发行版基本上是 vendor 了他们分发的所有东西。他们遵守许可证,自行维护 patch。你从 Linux 发行版拿到的大多数软件,本质上都是一个(小型的)fork。 Apple、Microsoft 以及其他人也是如此。他们分发的开源软件,他们承担那份责任。 这并不意味着安全修复不会提交到上游——但 Apple 或 Debian 不会跑到 Twitter 上去公开羞辱某个开发者、逼他们按自己的方式行事。他们不依赖一套打包基础设施的「健康」,他们拥有自己的软件,包括所有依赖。 我想把这种思维方式找回来。因为它从根本上让人感受到更多责任感,也让问题的负担得以分担。它也不会把所有聚光灯和压力都打在某一个过劳的开发者身上——那个人只是碰巧写了一个被全世界依赖的库而已。记住:他们背负着一份从未签字同意、也从未得到补偿的责任。
760 tweets · 188 sources