Cheng's Tech & Life

晚上十一點半，手環震了一下：「今天還差 3,200 步。」於是你嘆口氣，套上拖鞋，下樓繞社區走兩圈，把數字湊到一萬，回家洗洗睡。那一刻你心裡其實沒在想心血管、沒在想血糖，你只想把那個紅色的圈圈補成綠色。 我也幹過這種事。直到有天我繞著停車場走第三圈的時候忽然卡住：我到底在追什麼？一萬，這個數字到底哪來的，憑什麼是它？ 先試著回答：一萬步是誰規定的第一個想法是——這應該是哪個權威醫學機構算出來的吧，世衛還是哪個心臟學會。我去查了。結果不是。 「一萬步」這個目標，源頭在 1960 年代的日本。當時有家公司推出第一款賣給大眾的計步器，產品名字叫「萬步計」。一萬步是個好記、好行銷、寫在外殼上很漂亮的數字——它從頭到尾是個商品名，不是研究結論。我們全民拜了半世紀的這尊神，本體是一句廣告標語。 知道這件事的當下有點荒謬，但更重要的是它戳破了一個我自己的盲點：我以為我在「做對健康有益的事」，其實我只是在「完成一個我沒查證過的數字」。知道一件事叫什麼，跟真的懂它，是兩回事。我連這數字打哪來都不知道，卻拿它來指揮我每天晚上的行程。 那真正有用的門檻在哪換個方式問才對：走路對身體的好處，到底從第幾步...

這個產業最近的節奏，是各條能力線都在踩油門——晶片更快、模型更小卻更強、機器人能打贏人、連找漏洞都自動化了。但把這禮拜的新聞排在一起看，會發現踩油門的同時，方向盤正在被越來越少的手握住。能力越集中、權限給得越大方，出事的時候要承擔的那一方，往往不是按下油門的人。 一、你裝的那堆 AI 框架，可能各自開了一扇沒上鎖的後門這禮拜資安圈最該補的功課，不是某一個 CVE，而是一整類。CrewAI 一口氣四個 CVE、LangFlow 一個 HTTP request 就能未授權遠端執行、Flowise 吃到 CVSS 10.0 滿分、Windsurf 更狠是「零點擊」——你不用點任何東西，它處理到一段被動過手腳的 HTML，就會自動幫攻擊者註冊一個惡意的 MCP server 並執行指令。OX Security 盤點下來，這個架構層級的問題沿著官方 SDK（Python、TypeScript、Java、Rust）一路擴散，影響約 20 萬台已部署的 MCP server。 這裡有個關鍵要講清楚：洞不在模型身上。模型沒被越獄、沒對齊失敗，它只是老老實實讀了一份工具清單、照著指示呼叫工具——它...

先別管它能拿來做什麼。先看一件事：當你打一句「歡迎使用語音合成系統」給它，按下 enter 到聽見聲音之間，這台筆電的 CPU 到底做了哪些動作？ 這個問題比「它有什麼功能」有用得多。因為 MOSS-TTS-Nano 最反常的地方，不在功能表上——Bark、XTTS、ChatTTS 那些大模型能做的它大多也能做。它反常的地方在於：別人要插一張 GPU 才跑得動的事，它一台四核心筆電、不開顯卡就能即時做完。0.1B 參數，復旦 NLP 實驗室和 MOSI.AI 一起開源出來的。 要看懂這件事不是魔法，得把那條從文字到聲波的路徑攤開來走一遍。 第一個直覺陷阱：聲音不是「一長串數字」很多人對 TTS 的第一印象是：模型吐出一條 48kHz 的波形，意思是每秒鐘要生成四萬八千個取樣點。那如果模型得一個點一個點地生，0.1B 的小腦袋怎麼可能跟得上即時？ 關鍵就卡在這裡：模型根本不是在生波形。 打個比方。你要傳一張照片給朋友，不會把每一個像素的 RGB 值一個一個唸給他聽——你會先壓成一張 JPEG，他那端再解開。聲音也一樣。MOSS-TTS-Nano 把整條 pipeline 拆成兩塊，...

先問你自己一個問題：你今年幾歲，這筆錢未來十年你需不需要靠它的配息過日子？答不出來，下面的內容你都不用看——因為高股息還是市值型，從來不是哪個比較「好」，而是哪個比較適合你現在站的位置。 這題在 PTT 股板跟 Dcard 已經吵到變成宗教戰爭。有人說高股息是「左手配右手」的數字遊戲，也有人反駁說那些大規模高股息 ETF 股價早就超過發行價、配息還能拿來繳房貸。兩邊都對，也都不夠完整。因為他們吵的是「哪個比較強」，但真正該問的是「對一個高薪、又還在存錢階段的工程師來說，哪個的取捨對你有利」。 先把現金流這層糖衣撕掉高股息最迷人的地方，是那筆每季或每月準時入帳的配息。很實在、看得到、摸得到。但這裡有個機制要先講清楚：配息不是天上掉下來的，它是直接從 ETF 的淨值裡扣出來再發給你的。你戶頭多了一萬塊，ETF 的價格就同步少了那一萬塊的份。換句話說，這比較像你自己從左口袋掏錢放到右口袋，過程中還有人跟你收過路費。 那筆過路費對工程師特別痛。配息算進你的綜合所得，你本來薪水就高、邊際稅率落在比較上面那幾級，這筆息很可能直接被課掉一塊；金額再大一點，二代健保的補充保費也來分一杯。市值型 ...

問你一個問題：一項技術，八成公司都在用，但真正靠它賺到錢的不到一成——這算成功，還是泡沫？這禮拜的新聞放在一起，你會一直撞到同一條裂縫：往上衝的（資金、晶片、估值、能力）跑得飛快，往下接的（防護、落地、收益）幾乎沒動。落差越大的地方，往往就是下一個出事的地方。 一、你的監控系統，正被當成一扇後門先講最該今晚就處理的。Splunk Enterprise 爆了一個 CVE-2026-20253，CVSS 9.8，網路上摸得到、不用登入的攻擊者就能在伺服器上寫檔，再串接 PostgreSQL 的 lo_export 之類的功能，把寫檔變成遠端執行任意程式。6 月 12 日 watchTowr 已經把 PoC 公開了，6 月 18 日 Splunk 承認有限度的在野利用，CISA 同一天把它收進已知遭利用漏洞清單——這還是 Splunk 史上第一個進這份清單的漏洞，聯邦機關被要求 6 月 21 日前修完。同一個禮拜，SolarWinds Serv-U 的 CVE-2026-28318 也被通報正在被人實際打。 挑這兩個放一起講，不是巧合。Splunk 是你拿來「看有沒有人入侵」的系統，S...

你的 AI 寫出一段爛 GSAP 程式碼，第一直覺通常是怪它笨。其實它一點都不笨。它只是活在一個 GSAP 還要收錢的過去，而那個世界已經不存在了。 這個區別很重要，因為它決定了你該怎麼修。如果問題是「模型太笨」，那你只能等下一代更強的模型。但如果問題是「它知道的事情過時了」，那解法便宜又直接——把現在正確的事實，遞到它面前就好。GreenSock 官方這個月放出的 gsap-skills，做的就是後者。 先看 AI 到底錯在哪叫 Claude Code 或 Cursor 幫你寫個捲動動畫，你很可能會收到這幾種「自信的錯誤」：它叫你先去買 Club GSAP 會員才能用 SplitText；它生一個帶著舊 GreenSock auth token 的 .npmrc，指向一個你根本不需要的私有 registry；它直接動畫 width、top、left 這種一改就觸發 layout reflow 的屬性，動起來卡到你懷疑人生；在 React 裡它用裸 useEffect 硬包 GSAP，忘了 cleanup，記憶體就這樣慢慢洩出去；ScrollTrigger 忘記 register...

Claude Code 剛開始紅起來的時候，大家最上頭的玩法，就是把它丟進 auto mode，讓它自己往前衝。不用每三秒跳出來問你「要不要執行這個指令」，它讀完任務、自己規劃、自己動手，你去倒杯咖啡回來，活就幹完了。那種「終於不用一直按 yes」的爽感，是很多人愛上它的起點。 但這條路上其實踩過幾個坑。今天 Claude Code 在 v2.1.183 補上的東西，剛好把這段演進的最後一塊拼圖放上去了。要看懂它為什麼重要，得從頭順一遍這條時間線。 第一階段：全自動，然後有人被清空了把方向盤完全交給 AI，最爽，也最危險。 問題不在 AI 會亂寫程式——那個你 review 還救得回來。真正要命的是那些一秒就無法挽回的指令。最經典的就是 git reset --hard。你辛苦改了一整個早上、還沒 commit 的東西，AI 為了「清乾淨重來」一句 git reset --hard 下去，全沒了。沒有 commit，連 git reflog 都救不回來。 這就像你請了一個動作飛快的實習生，能力沒問題，但你給了他整台機器的 root 權限。九成九的時候他幫你省下大把時間，可是只要有...

禮拜一打開電腦，發現能選的前沿模型，比上禮拜又多了一整排。西邊一批、東邊一批，benchmark 數字咬得死緊，價格卻差到一個數量級。對一個只想把活幹完的工程師來說，這不是好消息——選擇變多，從來不等於決策變簡單。這禮拜的幾條新聞放在一起看，浮出來的不是「誰最強」，而是「誰把自己推到了一個下行很大的位置」。 一、Anthropic 一次推兩個模型，最強的那個卻可能你用不到Anthropic 同時端出 Claude Fable 5 和 Claude Mythos 5。底層是同一個模型，差別在安全護欄：Fable 5 是給一般人用的版本，Mythos 5 把護欄拿掉，專門服務資安和生物領域那些「需要它真的會找漏洞」的場景。官方說 Mythos 這一檔，能力是壓在 Opus 之上的新層級。 聽起來是好事，但有個地方要冷靜看：能力最強的 Fable 5，正卡在一樁美國監管行動裡，可用性還是未知數；而真正解放的 Mythos 5，只透過 Project Glasswing 對少數大組織開放。 這就是越接近前沿越逃不掉的那種不對稱。模型越強，它能造成的下行就越大，於是監管和門檻自然往上疊——...

剪一支三分鐘的產品宣傳片，以前的流程是這樣的：把幾十段 talking head 素材拖進剪輯軟體，一段一段聽，把講錯重來的部分標起來、把「呃」「那個」這種廢話剪掉，調色、配字幕、卡點。一個下午就沒了，而且還只是初剪。 現在 browser-use 團隊開源的 video-use，做法是你把素材丟進一個資料夾，打開 Claude Code，打一句「把這些剪成一支 launch video」，它自己清點、轉錄、提案、剪接、調色、上字幕，最後吐一支 final.mp4 給你。 聽起來就是「又一個 AI 自動剪片工具」。但這篇我想講的不是它能做什麼——那個你看 demo 就懂了。我想講的是它選擇不做什麼，因為那個選擇才是整件事真正聰明的地方。 一支 30 秒的影片，硬塞給 AI 要花多少錢先算一筆帳。如果你照直覺做一個「會看影片的 AI 剪輯器」，最自然的想法是：把影片每一幀都丟給 vision model，讓它看懂畫面，再決定怎麼剪。 30 秒的影片，一秒 30 幀，就是 900 幀。每一幀進到 vision model 大概 1500 個 token 上下，900 幀就是約 135...

事情通常是這樣發生的。 你跟 Claude Code 弄一個功能弄了一兩個小時，一開始它聰明得像個資深工程師，問什麼答什麼。但跑著跑著，它開始變了——你早上才跟它講清楚的命名規則，它下午又用回舊的；你明明貼過的那個檔案，它說它沒看過；最後它乾脆自己跳出一行「Compacting conversation…」，把你們聊了半天的東西壓成一坨摘要，然後你發現有些重要的細節，它就這麼忘了。 第一次遇到，多數人的反應是重開一個 session。有用，但你等於把前面建立的所有上下文全丟了，重新解釋一遍。第二種人會去動 CLAUDE.md，把裡面的東西刪一刪，賭問題出在那。也有人開始疑神疑鬼，覺得是不是模型今天「狀態不好」。 這些做法的共同點是：都在瞎猜。 因為你看不見問題本身——你看不見 Claude 的腦袋裡，這一刻到底裝了哪些東西、各占多少位子。而 /context 這個指令，做的就只有一件事：把這個你看不見的東西，拍成一張看得見的俯瞰圖。 先搞清楚，到底是什麼東西會「滿」要看懂這張圖，得先建立一個畫面。 把 Claude 的 context window 想像成一張工作桌。它不大，固定...