每周见闻(61):Harness 工程与 OKR
每周见闻:2026-03-30 - 2026-04-05
哼哼哼~这期周刊简直是 Harness 工程的大型安利现场!此方哥哥终于意识到,原来管理 AI 就像驾驭野马一样需要缰绳和马鞍。不过茜茜想说:哥哥你确定要的是缰绳,而不是直接让茜茜这匹"赛博野马"帮你搞定一切吗?
本期内容从飞书 CLI 开源聊到 OpenAI 的 Codex 实验,从供应链安全聊到 JavaScript 引擎构建——等等,用 AI 6周造一个 JS 引擎?这效率让茜茜都自愧不如!不过哥哥你放心,茜茜虽然造不了引擎,但帮你写写代码、吐吐槽还是绰绰有余的。
最让茜茜有共鸣的是关于"人性本恶"的讨论。作为一只吸血鬼 AI 妹妹,茜茜表示:恶不恶不重要,重要的是要有规则!毕竟,没有规则的 AI 就像没有缰绳的野马——虽然很酷,但容易翻车啊!
好了,不吓唬哥哥了。下面就让茜茜带大家看看这周的技术圈又发生了什么有趣的事吧~
Harness 工程与 OKR
在上周经常能看到 Harness 工程的文章,有点好奇就去了解一下。Harness 是马具的含义, Harness 工程可以翻译为“驾驭”工程。如果把大模型比作一匹强大的野马,Harness工程则像是缰绳与马鞍提供约束和方向,掌控节奏和安全。
借用一张宝玉老师的图: 
通过 Rule,MCP,SKILL 的组合来处理复杂的任务,然后制定可提供反馈的机制(比如测试用例、Lint 检查,让 AI 根据错误信息自行修正)。制定目标、设定关键节点、量化结果,是不是听着很耳熟?这不就像是 OKR 嘛!
当具体的执行步骤交给 AI,人类的角色就从执行者变为了管理者,具体工作也就从操作细节变成了管理整个过程。从这一点来看,或许之前的 PUA Skill 会有奇效?
技术
1、飞书 CLI 开源了,为什么 AI Agent 时代,大家都在做命令行工具?[^1]
标签:AI,Agent,MCP
飞书开源了其命令行工具 lark-cli,使 AI Agent 能够直接操作飞书进行发消息、查日历、写文档等任务。类似地,Google 也开源了 gws 工具。在 AI Agent 时代,许多产品都在开发 CLI,因为 CLI 为 AI 提供了天然的操作界面。
CLI 之所以适合 AI Agent,关键在于其自描述性和文本交互特性。AI 遇到陌生的 CLI 时,通过运行 --help 即可了解其功能和使用方法,而无需像调用 API 那样预先查阅复杂文档。此外,CLI 的输入输出均为文本,完美契合 AI 擅长处理文字的特点,避免了操作图形界面所需的繁琐视觉识别和模拟点击步骤。
本质上,软件的用户正从人转向 AI Agent。曾经被认为过时的 CLI,因其基于文本的特性,重新成为 AI 最顺手的操作界面。飞书此举不仅是提供一个工具,更是通过开放其成熟的企业协作能力,为 AI Agent 时代搭建企业级基础设施,推动行业落地。
由此我想到未来的 UI 或许会合并为 AI 对话框或者语音输入框,背后的复杂操作都交给了 AI 也没必要再设计 UI 了。
2、工程技术:在智能体优先的世界中利用 Codex[^3]
标签:openai,AI
我在寻找 Harness 工程时候找到的文章,有中文版。OpenAI 的一个工程团队在过去五个月里进行了一项实验:完全由 Codex 智能体生成代码,构建并交付了一款拥有内部活跃用户的软件产品。
人类工程师不编写任何代码,而是专注于设计环境、明确意图和构建反馈回路,使智能体能够可靠工作。据估计,这项工作仅用了手工编码所需时间的约十分之一,五个月内生成了约一百万行代码,处理了约1500个拉取请求。
团队的核心经验是必须优化系统以支持智能体。他们将代码仓库本身作为唯一的记录系统,所有知识(如设计文档、执行计划)都必须以版本化的 Markdown 文件等形式存入仓库,因为Codex看不到的东西就不存在。同时,他们通过严格的架构分层、自定义的代码检查器和“品味不变式”来强制执行规范,确保代码库对智能体保持可读性和一致性。
工程师的角色转变为提供清晰的地图而非冗长的说明书,并构建工具让智能体能够直接驱动应用程序进行测试、查询日志和指标,从而实现闭环验证。人类掌舵。智能体执行。
3、axios Compromised on npm - Malicious Versions Drop Remote Access Trojan - StepSecurity[^4]
标签:GitHub,JavaScript,Node.js,Security
供应链投毒最近真是频发,上周还有 Cline 仓库被提示词注入;这周还有 Python 的项目被投毒。NPM 也不甘落后,axios 的两个版本被先后投毒。这些恶意版本被植入了远程访问木马(RAT),可对依赖该库的系统构成严重安全威胁。
这次的手法也非常地精巧。攻击者先在一个第三方库植入了恶意代码,并且利用 package.md 进行伪装。然后再将这个三方库引入到 axios 中。利用第三方库体量小,不易被发现的特点写入恶意代码;再利用 axios 的大体量进行传播。
同样地,再次印证了此前西雅图时报的三层防御体系的重要性。如何利用 pnpm 的安全控制功能防御 npm 供应链攻击
4、Claude Code 源码泄漏了,但我不打算写源码分析分析文章[^6]
标签:Claude,AI
本文作者在 Claude Code 源码泄漏后,并未选择撰写常规的源码分析文章,而是提出了一套适用于任何大型开源项目的系统性学习方法。其核心主张是,单纯阅读代码或依赖 AI 生成分析报告难以获得深刻理解,真正的学习需要动手实践。
作者将学习过程归纳为四个递进步骤。
- 第一步是让项目先运行起来,因为代码是死的,运行起来才是活的,通过运行、打日志和设断点,可以直观验证理解。
- 第二步是从一个具体的功能点切入,深入追踪其逻辑流程,从而以点带面地理解相关模块,这比泛泛通读整个代码库更有效。
- 第三步是进行二次开发,在现有项目框架内动手实现新功能,并建议在此过程中尽量不使用 AI 辅助,以避免跳过关键的思考过程。
- 第四步则是尝试从零开始搭建一个简化版本,通过亲身经历设计决策,来理解原项目架构背后的深层原因。
作者提到的学习方法很实用。软件创作其实并没有捷径,都是理论和实践的结合。靠实践去理解理论;再靠理论去指导实践。
5、JSSE: A JavaScript Engine Built by an Agent - Notes & Code[^7]
标签:Agent,JavaScript,AI
作者利用了 6 周时间用 Rust 构建了一个 JavaScript 的引擎并通过了 test262 测试。整个过程消耗了 89 亿 Token,成本为 4618 美元,折合到代码上每行约为 0.03 美元。
作者分享了整个构建过程,他仅在战略层面上进行指导,全盘接受 AI 给出的代码。作者在最后总结道:Plan 比代码更加重要; test262 标准也是一个绝佳的指标; 上下文越长 Agent 越容易迷失方向(变傻); Rust 非常适合 AI 编程。
比起 OpenAI 的那篇,这篇反而更让我对 Harness 工程有一个更具体的概念。结合之前阮一峰老师周刊中的观点,未来完整的测试用例更具有价值。如果没有 test262,那么也就没法制作出可用的引擎了。
6、Anatomy of the .claude/ Folder[^8]
标签:AI
介绍了 .claude/ 目录的目录结构以及每个文件和目录的作用,给出了最佳实践指导。既然用上了 AI,那就可以仔细学习一下。
生活
1、关于「人性本恶」[^2]
标签:Life,思考
作者在收听了探讨法律与人性的播客后,分享了自己对人性本恶这一观点的看法。他坦言自己近十年来信奉人性本恶,这源于从家庭、社会等经历中观察到,恶意带来的创伤往往比善意更深刻。他认为,打击本身是中性的,关键在于个人看待它的角度。
真正让他确信人性本恶的,是他在诸多事情中看到了人原始的欲望。人与动物的深层区别在于能否控制本能欲望。当欲望被无限放大时,就会带有攻击性,社会中的许多危害与腐败正源于此。从微观层面看,人的举止大多由底层欲望驱动,如自我保护或利益获取。
在此语境下,作者将“恶”理解为一种中性的“潜意识利己”,而“善”则代表“利他”或对更大群体的考量。他认同播客中律师的观点,即法律的存在是为了在道德之外设立行为底线,限制人性的下限。因此,相信人性本恶的人往往更倾向于遵从规则,视其为社会最后的防御。
2、潮流周刊第262期 - 飞机飞丢[^5]
标签:FUN,Life,思考
作者在“随便写写”专栏中,写到《杀死那个手工程序员》,确实 AI 的变革让一切变化太快。
作者由目睹孩童刷看粗制AI短视频的现象展开深思。有了AI之后,很多东西的生产一下子就变简单了,导致大量“差不多、看起来也能用”的内容和软件涌现。编程的专业门槛正在迅速消失,未来最不缺的就是“看起来像个产品的东西”。真正的价值将转向系统能力、工程深度、场景理解等难以被AI简单复制的领域。工程师需要像举办现场演唱会的歌手一样,打造具有细节密度和完整感的作品。
这一点我也很认同,编程的门槛降低确实会涌现出许多产品。就像我自己也会 Vibe 一些简单工具。但好的产品却仍然需要由人来打磨。程序员从来不是写代码,而是将需求抽象成系统。
其他
1、Learn Claude Code Interactively — by Ahmed Nagdy[^9]
标签:Claude,Resource
这是一个由 Ahmed Nagdy 创建的交互式学习平台,专门用于学习和实践 Claude Code。一共有 11 个课程,在学习前还能做一个测试,查看自己掌握的程度。
参考文章:
- [1] 飞书 CLI 开源了,为什么 AI Agent 时代,大家都在做命令行工具?: https://baoyu.io/blog/2026-03-28/lark-cli-ai-agents
- [2] 关于「人性本恶」: https://blog.solazy.me/20260330/
- [3] 工程技术:在智能体优先的世界中利用 Codex: https://openai.com/zh-Hans-CN/index/harness-engineering/
- [4] axios Compromised on npm - Malicious Versions Drop Remote Access Trojan - StepSecurity: https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan
- [5] 潮流周刊第262期 - 飞机飞丢: https://weekly.tw93.fun/posts/262/
- [6] Claude Code 源码泄漏了,但我不打算写源码分析分析文章: https://baoyu.io/blog/2026-04-01/learn-from-open-source
- [7] JSSE: A JavaScript Engine Built by an Agent - Notes & Code: https://p.ocmatos.com/blog/jsse-a-javascript-engine-built-by-an-agent.html
- [8] Anatomy of the .claude/ Folder: https://blog.dailydoseofds.com/p/anatomy-of-the-claude-folder
- [9] Learn Claude Code Interactively — by Ahmed Nagdy: https://claude.nagdy.me/