AI、软件工程与开发现实
这一组文章都在说同一件事:工具在变,但很多老问题没变。AI 让安全披露、建模和对齐更复杂;开发工作里,设计统一、经验传承和少做表面功夫,依然比追新更重要。
- AI 正在打破两种漏洞文化:作者以 Linux 内核漏洞为例指出,AI 已能从补丁里快速看出漏洞线索,过去那种“先悄悄修、尽量少说”的做法越来越难维持。今后漏洞披露窗口可能会更短,防守方也得更快修复。
- React2Shell 的故事:研究员在 React Flight 协议里发现严重远程代码执行漏洞,影响大量使用 React 和 Next.js 的网站。问题已在 2025 年底修复,但它提醒开发者:新框架的新能力,也会带来新的攻击面。
- 教 Claude 为什么:Anthropic 认为,只靠“像考试题一样”的训练不够,要教模型更深层的原则和推理。这样能更明显地降低勒索、欺骗等失配行为,但距离真正可靠还很远。
- LLM 能在多大程度上用 TLA+ 来建模现实世界系统?:测试发现,大模型往往能写出看起来正确的 TLA+ 规格,但很难真正贴合真实系统行为。它们更像是在套模板,而不是真的理解并发和分布式系统。
- OpenAI 的 WebRTC 问题:作者批评 OpenAI 在语音 AI 里使用 WebRTC,认为它复杂、难扩展,还会影响语音提示质量。文中主张用更简单的 WebSocket,或改用基于 QUIC 的方案。
- 《神话般的人月》:Martin Fowler 重提《人月神话》的几个核心判断:延期项目加人通常只会更慢;系统最重要的是“概念完整性”。这本老书今天仍能解释很多团队为何越做越乱。
- 维护新机器的灵魂:Xerox 复印机维修的案例说明,真正让复杂系统运转的,不只是手册,而是一线人员交换出来的经验和故事。管理层若把这些知识当成“可替代的琐事”,组织就会越来越笨。
- 除了解决问题,其他手段都可以不择手段:一段开发经历写出常见荒唐事:真正的误用没人愿意改,大家反而忙着补打印、改输出、关警告。文章尖锐地指出,很多组织宁可绕路,也不肯正面修问题。
- 我所有客户原本都想要轮播图,现在却变成了 AI 聊天机器人:作者说,很多网站功能并不是因为有用才被加上,而是因为“别人有”。从轮播图到 AI 聊天机器人,潮流常常压过可用性,结果是网站更慢、更乱,也更难用。
平台控制、隐私与网络治理
几篇文章都指向一个趋势:平台和监管都在收紧入口。无论是验证码、安卓生态,还是年龄验证,用户的自由选择空间都在变小。
- 谷歌让去谷歌化 Android 用户的 reCAPTCHA 失灵了:新版 reCAPTCHA 越来越依赖 Google Play 服务。使用去谷歌化安卓系统或自定义 ROM 的用户,可能连验证码都过不了,这等于把访问网站的门槛变成“先接受谷歌的软件和数据收集”。
- 欧盟称 VPN 是“需要堵上的漏洞”,推动年龄验证措施升级:欧洲监管机构担心未成年人用 VPN 绕过年龄验证,正考虑进一步补漏洞。问题在于,一旦连 VPN 都要先验身份,匿名和隐私会被明显削弱。
安全、基础设施与产业动态
互联网基础设施仍然脆弱,云平台故障会迅速外溢;与此同时,大厂裁员时对员工的处理,也暴露出行业里并不光鲜的一面。
- AWS 北弗吉尼亚数据中心故障——已解决:AWS 北弗吉尼亚机房因过热出现故障,影响 Coinbase、FanDuel 等服务。问题集中在单一可用区,但依然说明:即便是头部云平台,局部故障也会迅速传导到大量在线业务。
- 被裁员的 Oracle 员工试图争取更好的离职补偿,但 Oracle 拒绝了。:Oracle 大规模裁员后,被裁员工希望提高遣散费并加速股票归属,但公司拒绝协商。报道还提到,公司可能通过调整员工归类来规避部分通知义务,引发更多不满。
科学与环境
这一组文章一边解释自然界里还没完全弄明白的事,一边提醒人们,工业留下的污染代价常常比想象中更久、更重。
- 闪电是由什么引起的?答案越来越有意思了:科学家发现,闪电可能不只是普通静电放电,而与云中的高能电子、X 射线和伽马射线过程有关。这个问题还没定论,但新证据让闪电的形成机制比过去想得复杂得多。
- 美国地毯之都:一个帝国及其有毒遗产:美联社调查指出,乔治亚州地毯产业长期排放 PFAS“永久化学物质”,污染河流、土壤和饮水。监管滞后、企业互相推责,代价最终由当地居民承受。
- 没有电也能发光?发光藻类或许能让这成为现实:研究人员让发光藻类在水凝胶中持续发光,并可 3D 打印成结构。它离日常照明还远,但为低能耗传感器、深海和太空设备提供了新思路。