系列精選
查看全部
Claude Code Artifacts 完整教學 — 把一次 debug 過程變成同事點開就懂的網頁
事情是這樣的。你花了一個下午用 Claude Code 追一個詭異的 bug,查了五六個檔案、比對了 git log、最後定位到某個 race condition。事情解掉了,但同事問你「怎麼查到的」,麻煩來了。 你試了三種方式。第一種是截圖貼 Slack——terminal 的輸出又長又黑,截出來一張比一張醜,貼了五張之後對方已經滑過去了。第二種是把 terminal 內容複製貼上——一坨純文字,沒有重點、沒有顏色、沒人想讀。第三種是認命開一頁 Notion,手動把調查過程重打一遍、貼上關鍵 diff——花的時間比 debug 本身還久,而且你隔天就不想維護它了。 問題的本質是:你手上有一堆「看比讀快」的東西(標註過的 diff、一張錯誤次數的圖、幾個方案的對照),但你只有「純文字」跟「截圖」兩種爛掉的容器可以裝它們。Claude Code 在 6 月 18 日加進來的 Artifacts,補的就是這個洞——它讓 Claude 把這次 session 的成果,直接發布成一頁可以分享的網頁。 先弄懂一件事:它是「快照」,不是「應用程式」在學怎麼用之前,得先把一個觀念擺正,不然你會...
AI 與科技新聞摘要 — 2026/06/22:模型沒被攻破,周邊那幾根支柱卻一根根在搖
一個前同事兩年前幫你發過幾個套件,後來離職、帳號沒人記得去關。兩年後,有人撿起那把還插在門上的鑰匙,把你整個 npm scope 重新發了一遍——程式碼一行沒動,但每次有人安裝,都會順手幫攻擊者裝一個後門。這禮拜真實上演了。把這幾天的新聞排在一起看,你會發現它們有個共同點:沒有一條是「某個模型被攻破了」。能力線還是穩穩往上走,真正在搖的,是模型周邊那些你以為早就鎖好的東西——一個舊帳號、一個跳槽的人、一條電網、一紙政府公文。 一、Mastra 的 npm 套件被整碗端走,破口是一個沒人記得關的舊帳號6 月 17 日凌晨,有人把整個 @mastra/* 的 npm scope 重新發布了一輪,143 個套件全中,包括月下載量約 400 萬次的 @mastra/core。手法陰險的地方在於:Mastra 自己的程式碼從頭到尾乾乾淨淨,攻擊藏在一個被偷塞進依賴清單的套件 easy-day-js 裡——它假冒熱門的 dayjs,在安裝時跑 postinstall 腳本,先關掉 TLS 憑證驗證、再去攻擊者的伺服器拉第二段程式,最後落地一個跨平台的資訊竊取器,專偷瀏覽器資料和加密貨幣錢包,...
arkiv — 以前找一段素材要翻三小時,現在你直接問它「那句話在哪」
先講以前怎麼找素材。 你拍了一整天的訪談,回來十幾個 GB 的檔案躺在硬碟裡,檔名是相機自動編的 C0042.MP4、C0043.MP4。剪接師記得「有一段受訪者講到產品定價講得特別好」,但不記得是哪一支、第幾分鐘。於是接下來兩三個小時,他做的事情是:開檔、快轉、聽、關掉、開下一檔。找一句話,翻一座山。 這件事荒謬的地方在於——素材裡明明已經有答案了,受訪者真的講了那句話,聲音就錄在檔案裡。問題不是資訊不存在,是你沒有辦法「用意思去問它」。你只能用檔名問,而檔名什麼都沒說。 arkiv 就是把這個「用什麼去問」整個換掉的工具。它跑在你自己的電腦上,用 Whisper 把每段影片的聲音轉成文字、用視覺模型看過每個畫面、再把這些都丟進向量資料庫。換完之後,你找素材的方式從「翻檔名」變成「打一句話問它」:搜「受訪者談到定價」、搜「戶外、有 Logo 出現的鏡頭」,它直接把對應的片段撈給你。 同一個動作,舊做法 vs 新做法把「找素材」這個動作拆開來看,你會發現新舊兩種做法,差的不是速度,是你跟素材之間用什麼語言溝通。 舊做法裡,檔案系統只認得兩種東西:資料夾的位置,跟檔名的字串。你想找...
一萬步是行銷話術,不是科學——走路這件事,你可能一直在拜錯神
晚上十一點半,手環震了一下:「今天還差 3,200 步。」於是你嘆口氣,套上拖鞋,下樓繞社區走兩圈,把數字湊到一萬,回家洗洗睡。那一刻你心裡其實沒在想心血管、沒在想血糖,你只想把那個紅色的圈圈補成綠色。 我也幹過這種事。直到有天我繞著停車場走第三圈的時候忽然卡住:我到底在追什麼?一萬,這個數字到底哪來的,憑什麼是它? 先試著回答:一萬步是誰規定的第一個想法是——這應該是哪個權威醫學機構算出來的吧,世衛還是哪個心臟學會。我去查了。結果不是。 「一萬步」這個目標,源頭在 1960 年代的日本。當時有家公司推出第一款賣給大眾的計步器,產品名字叫「萬步計」。一萬步是個好記、好行銷、寫在外殼上很漂亮的數字——它從頭到尾是個商品名,不是研究結論。我們全民拜了半世紀的這尊神,本體是一句廣告標語。 知道這件事的當下有點荒謬,但更重要的是它戳破了一個我自己的盲點:我以為我在「做對健康有益的事」,其實我只是在「完成一個我沒查證過的數字」。知道一件事叫什麼,跟真的懂它,是兩回事。我連這數字打哪來都不知道,卻拿它來指揮我每天晚上的行程。 那真正有用的門檻在哪換個方式問才對:走路對身體的好處,到底從第幾步...
AI 與科技新聞摘要 — 2026/06/21:能力全速狂奔,握著開關的手卻越收越少
這個產業最近的節奏,是各條能力線都在踩油門——晶片更快、模型更小卻更強、機器人能打贏人、連找漏洞都自動化了。但把這禮拜的新聞排在一起看,會發現踩油門的同時,方向盤正在被越來越少的手握住。能力越集中、權限給得越大方,出事的時候要承擔的那一方,往往不是按下油門的人。 一、你裝的那堆 AI 框架,可能各自開了一扇沒上鎖的後門這禮拜資安圈最該補的功課,不是某一個 CVE,而是一整類。CrewAI 一口氣四個 CVE、LangFlow 一個 HTTP request 就能未授權遠端執行、Flowise 吃到 CVSS 10.0 滿分、Windsurf 更狠是「零點擊」——你不用點任何東西,它處理到一段被動過手腳的 HTML,就會自動幫攻擊者註冊一個惡意的 MCP server 並執行指令。OX Security 盤點下來,這個架構層級的問題沿著官方 SDK(Python、TypeScript、Java、Rust)一路擴散,影響約 20 萬台已部署的 MCP server。 這裡有個關鍵要講清楚:洞不在模型身上。模型沒被越獄、沒對齊失敗,它只是老老實實讀了一份工具清單、照著指示呼叫工具——它...
0.1B 的語音模型憑什麼用四核 CPU 就能即時開口?拆開 MOSS-TTS-Nano 的兩層設計
先別管它能拿來做什麼。先看一件事:當你打一句「歡迎使用語音合成系統」給它,按下 enter 到聽見聲音之間,這台筆電的 CPU 到底做了哪些動作? 這個問題比「它有什麼功能」有用得多。因為 MOSS-TTS-Nano 最反常的地方,不在功能表上——Bark、XTTS、ChatTTS 那些大模型能做的它大多也能做。它反常的地方在於:別人要插一張 GPU 才跑得動的事,它一台四核心筆電、不開顯卡就能即時做完。0.1B 參數,復旦 NLP 實驗室和 MOSI.AI 一起開源出來的。 要看懂這件事不是魔法,得把那條從文字到聲波的路徑攤開來走一遍。 第一個直覺陷阱:聲音不是「一長串數字」很多人對 TTS 的第一印象是:模型吐出一條 48kHz 的波形,意思是每秒鐘要生成四萬八千個取樣點。那如果模型得一個點一個點地生,0.1B 的小腦袋怎麼可能跟得上即時? 關鍵就卡在這裡:模型根本不是在生波形。 打個比方。你要傳一張照片給朋友,不會把每一個像素的 RGB 值一個一個唸給他聽——你會先壓成一張 JPEG,他那端再解開。聲音也一樣。MOSS-TTS-Nano 把整條 pipeline 拆成兩塊,...
高薪工程師該買高股息還是市值型?一份不騎牆的 ETF 選擇判準
先問你自己一個問題:你今年幾歲,這筆錢未來十年你需不需要靠它的配息過日子?答不出來,下面的內容你都不用看——因為高股息還是市值型,從來不是哪個比較「好」,而是哪個比較適合你現在站的位置。 這題在 PTT 股板跟 Dcard 已經吵到變成宗教戰爭。有人說高股息是「左手配右手」的數字遊戲,也有人反駁說那些大規模高股息 ETF 股價早就超過發行價、配息還能拿來繳房貸。兩邊都對,也都不夠完整。因為他們吵的是「哪個比較強」,但真正該問的是「對一個高薪、又還在存錢階段的工程師來說,哪個的取捨對你有利」。 先把現金流這層糖衣撕掉高股息最迷人的地方,是那筆每季或每月準時入帳的配息。很實在、看得到、摸得到。但這裡有個機制要先講清楚:配息不是天上掉下來的,它是直接從 ETF 的淨值裡扣出來再發給你的。你戶頭多了一萬塊,ETF 的價格就同步少了那一萬塊的份。換句話說,這比較像你自己從左口袋掏錢放到右口袋,過程中還有人跟你收過路費。 那筆過路費對工程師特別痛。配息算進你的綜合所得,你本來薪水就高、邊際稅率落在比較上面那幾級,這筆息很可能直接被課掉一塊;金額再大一點,二代健保的補充保費也來分一杯。市值型 ...
AI 與科技新聞摘要 — 2026/06/20
問你一個問題:一項技術,八成公司都在用,但真正靠它賺到錢的不到一成——這算成功,還是泡沫?這禮拜的新聞放在一起,你會一直撞到同一條裂縫:往上衝的(資金、晶片、估值、能力)跑得飛快,往下接的(防護、落地、收益)幾乎沒動。落差越大的地方,往往就是下一個出事的地方。 一、你的監控系統,正被當成一扇後門先講最該今晚就處理的。Splunk Enterprise 爆了一個 CVE-2026-20253,CVSS 9.8,網路上摸得到、不用登入的攻擊者就能在伺服器上寫檔,再串接 PostgreSQL 的 lo_export 之類的功能,把寫檔變成遠端執行任意程式。6 月 12 日 watchTowr 已經把 PoC 公開了,6 月 18 日 Splunk 承認有限度的在野利用,CISA 同一天把它收進已知遭利用漏洞清單——這還是 Splunk 史上第一個進這份清單的漏洞,聯邦機關被要求 6 月 21 日前修完。同一個禮拜,SolarWinds Serv-U 的 CVE-2026-28318 也被通報正在被人實際打。 挑這兩個放一起講,不是巧合。Splunk 是你拿來「看有沒有人入侵」的系統,S...
gsap-skills — AI 寫的動畫老是叫你買會員,問題不是模型太笨
你的 AI 寫出一段爛 GSAP 程式碼,第一直覺通常是怪它笨。其實它一點都不笨。它只是活在一個 GSAP 還要收錢的過去,而那個世界已經不存在了。 這個區別很重要,因為它決定了你該怎麼修。如果問題是「模型太笨」,那你只能等下一代更強的模型。但如果問題是「它知道的事情過時了」,那解法便宜又直接——把現在正確的事實,遞到它面前就好。GreenSock 官方這個月放出的 gsap-skills,做的就是後者。 先看 AI 到底錯在哪叫 Claude Code 或 Cursor 幫你寫個捲動動畫,你很可能會收到這幾種「自信的錯誤」:它叫你先去買 Club GSAP 會員才能用 SplitText;它生一個帶著舊 GreenSock auth token 的 .npmrc,指向一個你根本不需要的私有 registry;它直接動畫 width、top、left 這種一改就觸發 layout reflow 的屬性,動起來卡到你懷疑人生;在 React 裡它用裸 useEffect 硬包 GSAP,忘了 cleanup,記憶體就這樣慢慢洩出去;ScrollTrigger 忘記 register...
Claude Code 的 auto mode 學會踩煞車:為什麼它現在會擋住你的 git reset --hard
Claude Code 剛開始紅起來的時候,大家最上頭的玩法,就是把它丟進 auto mode,讓它自己往前衝。不用每三秒跳出來問你「要不要執行這個指令」,它讀完任務、自己規劃、自己動手,你去倒杯咖啡回來,活就幹完了。那種「終於不用一直按 yes」的爽感,是很多人愛上它的起點。 但這條路上其實踩過幾個坑。今天 Claude Code 在 v2.1.183 補上的東西,剛好把這段演進的最後一塊拼圖放上去了。要看懂它為什麼重要,得從頭順一遍這條時間線。 第一階段:全自動,然後有人被清空了把方向盤完全交給 AI,最爽,也最危險。 問題不在 AI 會亂寫程式——那個你 review 還救得回來。真正要命的是那些一秒就無法挽回的指令。最經典的就是 git reset --hard。你辛苦改了一整個早上、還沒 commit 的東西,AI 為了「清乾淨重來」一句 git reset --hard 下去,全沒了。沒有 commit,連 git reflog 都救不回來。 這就像你請了一個動作飛快的實習生,能力沒問題,但你給了他整台機器的 root 權限。九成九的時候他幫你省下大把時間,可是只要有...
