介绍一下我最近开发的一款新产品：Vibooks.ai 这是一款面向中小企业的本地记账软件，专门为 AI Agent 开发。使用方法很简单，把这句话发给 OpenClaw / Claude Code / Codex：“阅读 vibooks.ai/skill.md 并按说明操作”。你不需要系统学习会计知识，只需要把公司票据、账单放到目录下，需要告诉 AI ：“请分析这个目录下的文件，完成记账工作”。That’s all。 Vibooks 覆盖了中小企业常见的核心专业记账流程，包括复式记账、科目管理、总账与日记账、应收应付、发票/账单/收付款、银行与信用卡账户、流水导入与对账、固定资产、税率与税务流程、标准财务报表，以及库存、工资记账与工资报表等能力。特别适合服务业、SaaS、贸易、电商、平台卖家、短租/Airbnb 以及记账服务等以事后记账为主的场景。对于餐馆和小型住宿行业，也适合基于汇总单、结算单、收付款和对账来完成后台记账。 Vibooks 是一个记账软件，它不是会计软件，也不是报税软件，你仍然需要把财务报表提供给会计进行报税， Vibooks 支持一键导出财务报表，你只需把报表提供给会计即可。 虽然 Vibooks 是一款企业记账软件，你也可以把它作为个人/家庭的记账工具。你的所有数据都在本地，不用担心数据泄漏。 有了 Vibooks，你可以让 AI 分析公司过去的经营状况，给出分析建议。AI 就是你的财务顾问。

我的自动挖漏洞工具已经可以在只给源码 技术文档的前提下，不给任何提示，不上网搜索，完全靠模型自身的推理能力（使用的是 codex/gpt-5.5），独立审计代码并定位了最近两个著名的漏洞：Zcash HALO2/Orchard 和 Aztec numRealTxs。

跑了 2 天，我只解出了 4 道：PK1, 2, 3, 6，实在解不动了，已经榨干了 M1 Max 的所有性能。谁有高配显卡可以去试试，目前还有 PK8,9,10 三道谜题没解出来，每道谜题第一个解出来的人可以获得 $1,000 美元。直接把题目发给 codex / claude，AI GPU 自动暴力破解，你只需要仔细写 prompt 即可。paradigm.xyz/kryptos-ctf/lea…

本来还担心这周的 token 用不完，结果跑这个 puzzle 几分钟全耗光了

互联网券商不靠谱啊，老牌券商至少都能给 10% 的额度， @Wealthsimple 1 股 $SPCX 都没给我，只能等熊市接盘了 😡

Thank you @Wealthsimple

Touch grass

让 AI 自己写了一个自动挖 bug 的矿机，token 就是电力，bug 就是区块奖励。每个月挖矿成本 200 美金，每天早上起来收菜。不幸的是，crypto 项目方自己都没钱了……

最早 20 美金就够了，后来送双倍额度，做点项目觉得太香了；20 美金双倍额度被砍了以后，升级成 100 美金双倍额度，还能继续薅羊毛，超值；现在双倍额度再次被砍，赶紧升级到 200 美金。一步步都被 OpenAI 算好了，精准收割 😅

以后每一次有新的大模型发布，可能都会引起加密市场的担忧，不知道哪个项目又会发现漏洞，问题是现在活着的项目也不多了……买入 Anthropic 公司的股票可能是一种不错的对冲策略。

Zcash 被发现一个存在四年可被无限增发的 Bug，代币直接暴跌 30%。这件事更可怕的是，这个 bug 是研究员使用 Opus 4.8 自动化审计、自主发现的。 作者有一套叫 zcash-full-stack-auditor 的 agent 框架。5 月 28 日（也就是 Opus 4.8 发布当天）他启动了对 halo2（Zcash 的零知识证明库）实现的自动化审计，范围涵盖 Orchard 电路。框架先跑一个"初始化阶段"，把相关代码位置、规范条款、安全属性、失败模式全部枚举出来。 5 月 29 日下午约 2 点，初始化完成后他启动了"审计阶段"——框架给清单里每一项分配相应类型的审计 agent，这次跑的就是 Opus 4.8，调成了 max effort。 当天约下午 6 点，一个审计 agent 报出了 Orchard 电路里的一个严重漏洞，声称可以双花（double-spend）Orchard 笔记。作者当晚晚些时候才注意到这条发现，随后逐步验证、上报、做 PoC： 1. 他先让 Claude 针对一个类似"多样化地址完整性"（diversified address integrity）的简化电路写了第一个 PoC，确认漏洞大概率为真，当晚 11:53 通过 Signal 上报给 Daira Emma Hopwood 和 Kris Nuttycombe。 2. 再让 Claude 针对真实 Orchard 电路写第二个 PoC，演示了"对同一笔记揭示多个不同 nullifier"从而双花，周六凌晨 2:06 交付，并建议紧急停用 Orchard。 3. 最后开发了一个 RPC 测试，把一笔 Orchard 笔记的价值不断翻倍，直到 regtest 钱包余额超过 1000 万 ZEC，证明增发攻击确实可被利用（regtest 用的是和主网完全相同的规则和零知识证明验证，交易没有广播到测试网或主网）。 值得注意的是关于"可发现性"的部分：作者之前用同一套框架但跑的是 Opus 4.7 xhigh，并没有找到这个 bug；后来确认 4.7 只有在被非常具体地指引时才找得到。即便是 4.8，用比较泛化的提示时也只在 4 次测试里命中 1 次。一个可能的差异是这次他把 halo2 book 喂进了初始化阶段（以往只喂协议规范和 ZIP）。漏洞自 Orchard 上线起就存在了 4 年多，且上线前做过深入的人工审计都没发现——说明它对人类相当难找。 Opus 4.8 扮演了什么角色 它基本上是整条链路的核心，从发现到验证都深度参与： 自主发现：在 max effort 下运行的审计 agent 自己定位到了这个严重漏洞，这是整个事件的起点。 独立推导数学：漏洞在于电路对标量乘法的基点 base 没有施加约束，攻击者可以任意选取这个 base。给定目标的 pk_d、g_d、ivk，需要反推出 base 应该设成什么值才能让 [ivk]g_d 等于 pk_d。报告里明确写道这步代数完全是 Opus 4.8 自己算出来的，作者没给任何提示，并说自己没有 AI 的话会花很长时间。 写 PoC 和 RPC 测试：两个 PoC 和最终那个增发测试都是 Claude 写的。开发 RPC 测试约花了 6 小时，期间 Opus 4.8 几乎不太需要人工指导，作者只给了两点提示（如何处理 action bundle 被重排序、以及 prover 生成证明时的多次 pass）。 辅助分析与缓解：作者还让 Claude 对漏洞曝光窗口内的链上交易做了统计分析，查是否有被实际利用的迹象（结论不确定，因为屏蔽交易本身方差就高）；长期缓解建议里也用 AI 跑了一遍"能否把某个 assign_advice 的值改成别的而不违反任何约束"的检查。 一个有意思的行为细节：报告说 Opus 4.8 对自己找到的是不是真漏洞极度怀疑——它倾向于认为上游代码经过审计所以应该是对的，或者觉得自己看的是被人故意植入后门的版本，需要作者"推一把"才肯认真对待这个发现。

一觉醒来，Codex Pro 双倍额度结束

我喜欢左侧交易，我最喜欢的是那些经常被讨论（有话题有流量）、被市场质疑最严重的标的，而最好我又亲自体验使用过它的产品。但这也有很大的缺点，经常导致我被套很长一段时间 😅 不过如果能够熬过来，最后的收益通常不错。这种策略需要有稳定的现金流，不会让你在底部割肉。前提是确保选择的标的大概率可以穿越周期，所处的行业赛道在未来十年大概率向上，而不是一轮就死了。

上周我们镇上发生了一件牵动人心的事：一名 14 岁的小姑娘在早上赶校车时，被一辆货车撞到，伤势严重，随后立即被直升机送到隔壁省抢救。 事故发生时，校车已经闪黄灯警示，准备停车。关于现场情况，网上有很多不同说法，官方并未公布更多细节。 她们家刚搬来这里 10 个月，经济并不宽裕。在抢救期间，本地教会组织人们为她祈祷、捐款，短短几天就筹集了 25 万加币。 然而令人遗憾的是，她最终还是没有被抢救回来。她的家人最后决定捐献她的器官，希望能够帮到更多人。 很多人都非常难过，虽然大部分人可能都没和她的家人接触过，但是大家依然用各种方式表达思念和关心，很多人踊跃捐款、组织活动，有小朋友为她画画，省长也发文表达哀悼。 从事故发生开始，人们就不断伸出援手，希望她和她的家人能度过难关；事后举办追思活动。甚至有人关心司机的心理状况，担心他会长期生活在这场事故的阴影里。从始至终，没有看到任何人指责别人，更没有所谓的网络暴力，所有人都在表达关切和支持。 加拿大虽然有各种各样的问题，但是很多发生在身边的事情，仍然会让人感到温暖。R.I.P.

今天 Tesla FSD 帮我避免了一场事故。一个小孩和他家人忽然从路边停车间隙窜出来，FSD 在我反应过来之前就急打方向盘并完成刹车，如果是我自己开车的话，估计要晚一秒才刹住。机器的优势是可以时刻保持专注，而人类难免放松警惕，甚至操作失误。

只有身处大自然中，我才觉得生活太美好了

一条漂亮的溪红点鲑 Brook Trout

Forget about OPCs (One Person Companies) — the most successful ZPC (Zero Person Company) in the world is Bitcoin.

$STRC 昨天（除息日前一天）成交量再次逼近历史新高，达到 1.56B，和上个月（4月14日）几乎一致。

从 2026 年 3 月份开始，每月 15 日除息登记日附近， $STRC 的成交量就会显著放大，套利资金赶着在 15 日前买入，以获得当月利息。 $MSTR 3 月份通过 $STRC ATM 大约买入 25,000 枚 $BTC ，4 月份约 43,000 枚，不过最近两周还没有 $STRC ATM 购买记录。