Cheng's Tech & Life

天氣冷，但矽谷的火鍋可是滾得飛快。OpenAI 的 GPT-5.5 完成預訓練、NVIDIA 狂押 AI 晶片、ChatGPT 寫入功能全開，同時資安界也傳出好幾個有夠猛的漏洞。一邊是生成式 AI 的新高峰，一邊是全球數十億台 IoT 裝置在踩坑。這週的科技圈真的就是這樣卷——沒有人能獨善其身。 GPT-5.5「Spud」完成預訓練，Q2 發布在即OpenAI 的下一代旗艦模型 GPT-5.5（內部代號「Spud」）已經完成預訓練，目前進入安全評估和紅隊測試階段。根據釋出的資訊，Q2 2026 將正式向公眾宣布。同時，GPT-4 Mini 的改進版本也已開始在 ChatGPT Free 和 Go 用戶之間推出。 從技術角度來看，GPT-5.5 代表著 OpenAI 在訓練效率和模型容量上的新里程碑。去年的爭議主要集中在訓練成本和資源消耗，今年看起來他們找到了更優雅的解法。預計這次發布會直接對 Claude、Gemini 和其他競爭對手形成壓力。 原文來源：OpenAI Updates NVIDIA 狂卷 AI 晶片，今年遊戲顯卡叫停重磅消息：NVIDIA 在 2026 年完全...

有夠猛的事情發生了。Anthropic 工程師最近用 16 個並行的 Claude 實例，花兩週時間寫出了一個能編譯 Linux Kernel 的 Rust 版 C 編譯器，十萬行程式碼，花費還不到兩萬美金。這不是什麼魔法，而是一個叫做 Agent Teams 的功能。 如果你之前用過 Claude Code，你可能知道 Sub-agents 的概念 — 主 Agent 生出幾個子 Agent，各自做各自的工作，最後把結果回報。Agent Teams 完全不一樣。這次是多個獨立的 Claude Code 會話彼此協作、互相溝通、共享發現、甚至互相挑戰。想像 16 個聰明的工程師同時打開他們的筆電，各自認領任務列表上的工作，邊做邊討論。 Sub-agents vs Agent Teams先釐清概念。Sub-agents 是從主 Agent 衍生出來的，做完工作回報摘要就結束了，彼此沒有交流。Agent Teams 才是真正的協作 — 每個成員都是完整的 Claude Code 會話，有自己的上下文視窗，能認領共享任務、分享發現、指出彼此的問題。這波操作才叫無敵。 怎麼啟動設定很簡單...

前陣子在看 University of Glasgow 的研究，發現一個有夠猛的方向：AI Agent 能夠自己進化，不用人類干預就越來越強。以前我們都以為模型 deploy 下去就固定了，沒想到還有這麼多角度可以自我優化。 Agent 自己進化，到底在進化什麼？Self-Evolving Agent 的核心概念其實很簡單：讓系統在運作過程中自動改善自己。但「改善」這個詞太寬泛了。這波操作跨越 4 個維度： 第一個維度是 LLM 本身的行為。透過 Reinforcement Learning 和 self-play 這類技巧，模型能從自己的嘗試裡學習。STaR（Self-Taught Reasoner）就是代表作，它讓模型從推理過程中的成功案例自動學習。Absolute Zero 是今年新出的，直接從零資料開始自我對弈，效果炸了。 第二個維度是 Prompt 優化。有人用進化演算法，有人用梯度下降，用 TextGrad 或 OPRO 這樣的框架，系統能自動調整提示詞。不用人類手工調整，程式自己試出更有效的 prompt。 第三個維度是記憶機制。A-MEM 和 Mem0 專注在怎麼...

東京 23 區一間 1K 套房月租 9 萬日幣，換算台幣大概 19,800 元。台北信義區一間差不多大小的套房，也差不多這個價。差別在於——東京那間的窗戶外面可能看得到晴空塔，台北那間的窗戶外面大概是隔壁棟的冷氣主機。 四月的東京正值櫻花季，上野公園、目黑川、千鳥淵到處都是粉紅色的。不過對在東京工作或出差過的台灣工程師來說，櫻花之外的生存細節可能更值得聊。 去日本當工程師，門檻比你想的低很多台灣工程師對日本職場的印象還停在「日文要 N1」「每天加班到末班電車」「嚴格的上下關係」。實際上，IT 產業的狀況跟這些刻板印象差蠻多的。 日本 IT 業缺人缺到什麼程度？有些公司直接開出不需要日文能力的職缺，公司出錢讓你去上日文課，研修期間照領全薪。比起日語，他們更看重實務經驗、英文能力和技術深度。在東京待過的台灣工程師普遍反映：面試比想像中友善，職場排擠的狀況幾乎沒遇過。 IT 業也是日本推動「工作方式改革」進度最快的產業。不想參加下班後的應酬？沒人會逼你。這跟傳統日本企業的文化差距確實不小。 生活成本：跟台北比，意外地沒有貴太多吃的部分，東京一天外食大概 2,000 日幣（約 440 台...

CVSS 9.3 的 AI 框架漏洞被公開 20 小時就遭利用、Alibaba 的 Qwen 3.6-Plus 帶著 1M context window 直接對標 Claude Opus、Solana 上的 Drift 在 12 分鐘內被搬走 2.85 億美金、Cisco 又爆一個 CVSS 9.8 的管理介面漏洞，然後 AI 編程工具市場已經膨脹到 128 億美金。 Langflow CVE-2026-33017：AI Agent 流程被劫持，20 小時內遭利用CISA 發出警告——Langflow 這個用來建構 AI agent 流程的開源框架，被發現一個嚴重漏洞 CVE-2026-33017，CVSS 9.3 分。攻擊者可以透過 /api/v1/build_public_tmp/ endpoint 注入任意 Python 程式碼，server 端直接執行，沒有沙盒隔離。 最恐怖的數字：3 月 19 日漏洞公告發布，20 小時後就已經被實際利用。當時連公開的 PoC 都還沒有，攻擊者直接從公告的技術細節自己寫 exploit。Sysdig 的研究團隊追蹤到多起入侵事件，攻擊者...

你叫 Claude Code 幫你寫 NestJS 的 JWT 驗證，它給你一段「看起來對但框架慣用法全錯」的程式碼。問它 PostgreSQL 查詢優化，它丟一個教科書等級的答案，但完全沒考慮你的 index 結構。通才的宿命就是這樣——什麼都能聊兩句，但哪個框架都不夠深入。 claude-skills 這個開源專案就是在補這塊缺口。一次安裝 66 個專業領域的 Skill，從 React 到 Kubernetes、從 SQL 優化到 LLM 微調，每個領域都有獨立的深度知識包。裝完之後不需要手動呼叫，AI 會根據你的提問自動觸發對應的 Skill。 Progressive Disclosure——不是一次塞爆 contextAI agent 最怕的事情之一：context window 塞滿。如果 66 個 Skill 的完整內容一次全丟進去，token 直接爆掉，回答品質反而下降。 claude-skills 用了一個叫 Progressive Disclosure（漸進式揭露）的架構。每個 Skill 分兩層： SKILL.md（約 80-100 行）：角色定義、觸發條...

Anthropic 今天直接砍掉 Claude 訂閱對第三方工具的支援、Google 放出 Apache 2.0 的 Gemma 4 開源模型打了一手好牌、微軟發報告說 AI 正在幫駭客加速整個攻擊鏈、RSAC 2026 的專家們開始討論「用 AI 打 AI」的 agentic defense，然後 Anthropic 順手把 API 的 max_tokens 上限拉到 300K。 Anthropic 砍掉 Claude 訂閱對 OpenClaw 等第三方工具的支援4 月 4 日中午 12 點（PT）開始，Claude Pro 和 Max 訂閱戶沒辦法再用現有額度跑 OpenClaw 這類第三方自動化工具了。OpenClaw 是目前最受歡迎的開源 AI agent 框架，很多人拿它做 email 管理、網頁瀏覽、智慧家庭自動化。 Claude Code 負責人 Boris Cherny 的說法是「訂閱方案本來就不是設計給這些第三方工具的使用模式」，系統負荷太大。以後要用 Claude 跑外部 agent，得改走 pay-as-you-go 或 API。Anthropic 給了一次...

Discord 頻道裡 @mention 一個 bot，它就能幫你寫程式、code review、分析架構。背後串接的是 Claude Code、Kiro CLI、Codex 這些 AI coding agent。Agent Broker 就是那個站在中間的翻譯官——用 Rust 寫的橋接服務，把 Discord 和任何支援 ACP 協定的 coding CLI 串在一起。 這東西解決什麼問題團隊裡不是每個人都習慣開終端機跟 AI 互動。有些人就是活在 Discord 裡面，開會在 Discord、討論在 Discord、連摸魚都在 Discord。Agent Broker 的邏輯很直接：既然人在 Discord，那 AI 也該在 Discord。 核心架構長這樣：使用者在 Discord 打字 → Agent Broker 收到後轉成 ACP 協定的 JSON-RPC → 丟給後端 CLI（Claude Code、Kiro、Codex 都行）→ AI 回應串流回 Discord 即時顯示。每個 Discord thread 會 spawn 一個獨立的 CLI process，多...

大安區月租中位數 4.2 萬。這不是什麼豪宅的價格，是一間普通兩房的行情。如果你是剛入行的工程師，看到這個數字大概會開始思考人生選擇。 台北租屋現況：中山區最多、大安區最貴591 和各家租屋平台的數據攤開來看，中山區是全台北出租物件最多的行政區，五年累計租出超過 6 萬間，中山國小站附近就佔了 1.6 萬間。捷運方便、生活機能好、小坪數套房密度高，吸引了大量北漂族群。 大安區則穩坐最貴寶座。文山區相對親民，月租中位數約 2.8 萬，但通勤時間就得拿來換了。內湖因為科技業聚集有一批穩定的租屋需求，南港展覽館站附近這兩年新建案多，租屋選擇比以前豐富。 PTT 和 Dcard 租屋版上反覆出現的建議：先確定捷運站走路五分鐘內、有獨立洗衣機和曬衣空間、獨立衛浴、有電梯或三樓內。聽起來很基本，但在預算有限的情況下，這些條件經常是互斥的。 竹北的吸引力：不只是因為便宜竹科工程師的平均所得在全台名列前茅，竹北房市因此被推得有夠高。但租屋市場和買房市場不太一樣——竹北的租金跟台北比還是有明顯落差，同樣的預算能租到的空間差一倍。 更關鍵的是通勤。如果公司在竹科園區，住竹北開車十五分鐘到。住台北的話...

這週科技圈又有幾個有夠猛的進展——Pinterest 用上生產級 MCP 生態系統、Chrome 又被爆零日漏洞、MCP 供應鏈安全拉警報、OpenAI 併購力道凶猛，以及 Red Hat 帶著 MCP Server 開發者預覽版現身。 Pinterest 部署生產級 MCP 生態系統Pinterest 工程團隊最近釋出了他們的生產級 MCP 生態系統細節，有夠扯欸。他們不是只搞個玩具出來，而是打造了完整的基礎設施，整合 Presto、Spark、Airflow 等領域特定的伺服器，配上中央註冊表和人工審核治理機制。 數字會說話：月均 66,000 次呼叫、844 個活躍使用者，每個月幫公司省下 7,000 小時。這表示 MCP 已經從「有趣的實驗」升級成真實生產系統，開始在大規模工程團隊的日常工作流中發揮實際價值。這對整個 MCP 生態發展是個正面信號。 原文來源：Pinterest engineering brings MCP to production scale Chrome 零日漏洞 CVE-2026-5281 遭實際利用Google 又挨了一刀。CVE-2026-...