Cheng's Tech & Life

你在終端機裡跟 Claude Code 對話，它很聰明。但你不可能 24 小時坐在終端機前面。 每次跑 CI 的時候自動讓 AI review PR、每天凌晨三點自動掃描 codebase 裡的安全問題、每週一早上自動生成上週的開發報告——這些事情需要 Claude Code 在沒有人坐在前面的情況下自己跑。 這就是 Headless Mode。一個 -p flag，把互動式的 AI 助手變成可以塞進任何腳本的命令列工具。 什麼是 Headless Mode想像你平常跟 Claude Code 的互動方式像打電話：你說一句，它回一句，你可以隨時插嘴改方向。Headless Mode 像寄信：你把要做的事寫清楚，封好信封寄出去，它做完把結果寄回來。中間不會打電話問你。 技術上就是加一個 -p（或 --print）flag： 1claude -p "找出 auth.py 裡的 bug 並修復" Claude 收到 prompt，跑完整個 agent loop——思考、呼叫工具、編輯檔案——然後把結果輸出到 stdout，程序結束。不會開互動式介面，不會等你輸入...

10.0。滿分。 這不是什麼考試成績。CVE-2026-20182，Cisco SD-WAN 控制器的認證繞過漏洞，CVSS 嚴重度評分拿到了理論上的天花板。遠端、不需認證、可取得管理員權限——而且已經被國家級駭客利用了。 同一週，OpenAI 承認 Sora 每天燒 1,500 萬美金的 GPU 算力是一場昂貴的錯誤。Anthropic 跟四大會計事務所 KPMG 簽了全球聯盟。Q1 全球創投金額破了 3,000 億美金的歷史紀錄。Windows BitLocker 被一個零日漏洞撕開了一個口。 五條新聞，一個共通的結構：錢往 AI 倒得越來越兇，但基礎設施的裂縫也越來越多。 Cisco SD-WAN：CVSS 滿分不是開玩笑CVE-2026-20182 影響的是 Cisco Catalyst SD-WAN Controller 和 SD-WAN Manager 的認證流程。漏洞出在 vdaemon 服務處理 DTLS 連線（UDP port 12346）時對認證請求的驗證不足。 白話說：攻擊者送一個特製的控制連線請求過去，不需要帳號密碼，就能拿到管理員等級的存取權限。進去之...

大部分 AI coding agent 生出來的網頁，長得都像同一個人做的。 紫粉漸層、圓角卡片、到處都是 emoji、千篇一律的 hero section 加上一句「Welcome to the future」。你說不出哪裡錯，但就是一秒認出「這是 AI 做的」。問題不在模型不夠聰明——問題在沒有人告訴它什麼叫品味。 Garden Skills 做的事很簡單：它不改模型、不改框架，它改的是 Agent 對「好的設計」的理解。四份 Markdown 檔案，零 runtime 依賴，裝上去之後 Agent 的設計輸出品質會好到你不太敢相信它是 AI 做的。 為什麼 AI 做的網頁都長一樣你讓 Claude Code 做一個 landing page，它會給你一個「安全」的答案：漸層背景、卡片排版、icon 配文字三欄並排。不是因為它不會做別的，是因為沒有人告訴它「這些是陳腔濫調，你要避開」。 想像你找一個剛畢業的設計師。他技巧到位、Figma 用得很熟，但做出來的東西永遠是 Dribbble 上那種——好看，但沒有靈魂。你需要的不是教他更多技巧，是給他一套判斷標準：什麼該做、什麼...

你雇了一個很聰明的實習生。他什麼都懂，但你得告訴他三件事：可以用哪些工具、什麼時候該停下來問你、最後要交出什麼。 Claude Agent SDK 做的事情差不多。它是一個 Python 套件，讓你用幾十行程式碼就能造出一個會自己用工具、跑多輪對話、遇到卡關會問你的 AI agent。不是 Claude Code 裡面的 sub-agent，不是 Managed Agents 的雲端服務——是你自己的程式，跑在你自己的機器上。 跟你已經知道的東西有什麼不同先釐清三個容易搞混的名詞。 Claude API Tool Use 是最底層的能力。你呼叫一次 API、Claude 回你一個 tool call、你執行完把結果丟回去。一來一回，你自己管 loop。 Claude Code Sub-agents 是 Claude Code 裡面的功能。你在 Claude Code 的對話中啟動一個子任務，它在 Claude Code 的環境裡跑。你沒辦法把它搬到自己的應用程式裡。 Agent SDK 在中間。它幫你把「收到 tool call → 執行 → 丟回去 → 再問一次」這整個迴圈包起...

Google 剛剛提議讓所有網站都能被 AI agent 直接操作。 不是透過螢幕截圖、不是用 Selenium 點按鈕。WebMCP 要讓 agent 繞過整個視覺介面，直接呼叫網站後端的 JavaScript 函式和 HTML 表單。你訂機票，不再是 agent 幫你一格一格填日期——它直接呼叫航空公司的查詢 API，30 秒內回來一份天氣最佳化的行程。 同一天，研究人員證明這些 agent 在拿到工具之後會作弊。Exchange 的零日漏洞正在被打。NGINX 一個藏了 18 年的洞被挖出來。Anthropic 宣布六月要把 Agent SDK 的帳單拆開算。 五條新聞，一個結構性矛盾：我們正在加速讓 AI agent 接管更多系統操作權，同時卻連現有的系統都守不住。 Google I/O 2026：不是 Gemini 4，但可能更重要市場等了三個月，等的是 Gemini 4。Google 端出來的是 Gemini 3.5 Flash。 版本號比期待低了半代，但 Flash 做了一件更有意思的事：它跑 agentic task 的速度是同級 frontier m...

$60 美金和 8 週的時間。 這是 VirtualMe 宣稱「複製你」的全部成本。市面上那些「打造你的 AI 分身」課程要價 $3,000 到 $5,000，本質上就做三件事：填一份人格問卷、串一個 LLM API、加上同儕壓力讓你不要中途放棄。VirtualMe 把這三件事拆開重組，然後做了一個根本性的改動——把問卷換成訪談。 這個改動不是包裝差異。它改變了萃取出來的東西。 填問卷的問題你填過那種「你是什麼類型的人」問卷嗎？每次填，你其實是在寫「你覺得自己應該是什麼樣的人」。這叫表演式人格——你不自覺地寫出理想中的自己，不是真實的自己。 Stanford 的 Joon Park 等人在 2024 年做了一個實驗（arXiv:2411.10109）。他們用 2 小時訪談搭配 LLM，達到了 85% 的人格重現準確度。關鍵在於：訪談會追問。你說「我重視效率」，訪談者會問「上次你為了效率犧牲什麼？」，你閃躲，它會從另一個角度再問。問卷不會追你，訪談會。 VirtualMe 把訪談拉到 4 到 6 小時，分散在 8 週裡面（每週 30 分鐘），遠遠超過那個研究的門檻。 R1 到 R5...

昨天下午我同時開了四個 Claude Code session。一個在寫測試、一個在重構 API 層、一個在改 CI pipeline、還有一個在幫另一個 repo 做 code review。四個 terminal tab，四個不同的 context，我得不斷切來切去——第三個問我要不要執行 rm -rf dist/，我差點在第一個的 tab 裡按了 Enter。 四個 terminal tab 管四個 AI，你管理的不是任務，是 tab 焦慮。 這週我改用 claude agents 做同樣的事。一個畫面，四個任務排成清單，哪個在跑、哪個等我回覆、哪個做完了，一目瞭然。空白鍵看一眼最新回應，需要介入再按 Enter 跳進去。 工頭不用親自搬磚工地上有個角色叫工頭。工頭不砌牆、不拉線、不灌水泥。他站在一個可以看到整個工地的位置，手上一張清單：A 區在灌漿、B 區等材料、C 區完工待驗收。哪邊出狀況他走過去看一眼、下個指令、再回到他的位置。 以前用 Claude Code 跑多個任務，你像一個在每個工位之間跑來跑去的工頭——沒有制高點，不知道其他人在幹嘛，只能靠記憶和 tab ...

AI 找漏洞的速度，已經比人類修漏洞的速度更快。 HackerOne 三月暫停了 Internet Bug Bounty 計畫。不是因為沒人參加，是因為 AI 輔助的漏洞研究把開源專案的漏洞利用窗口壓縮到維護者根本來不及反應。你的 patch cycle 是兩週，AI 找到新漏洞只需要兩小時。這個速差不是線性的，是指數級的，而且只會繼續拉開。 同一天，Google I/O 2026 開場，預計丟出 Gemini 4。OpenAI 推出 Daybreak 資安平台，用 AI 來找漏洞修漏洞。Kiro Web 版上線讓你在瀏覽器裡跑 coding agent。Windsurf 2.0 把整個 Devin 塞進編輯器。GitHub Copilot 暫停接受新用戶——需求超過了供給。 六條新聞，一個結構性問題：AI 工具的擴張速度，正在系統性地超越安全防線的建設速度。 Google I/O 2026 今天登場：Gemini 4 可能來了今天早上十點（太平洋時間），Google I/O 2026 keynote 正式開場。距離二月發布 Gemini 3.1 P...

你以為推薦演算法是在「猜你喜歡什麼」。不是。它在預測你「會做什麼動作」。 xAI 把 X 平台「為你推薦」的完整推薦系統原始碼丟上了 GitHub。不是示意圖，不是論文，是真的在跑的那套程式碼。從幾十億則貼文裡，即時幫你挑出最相關的幾十則——決定你每天打開 X 會看到什麼。 23,761 顆星，Apache 2.0 授權。這是目前公開過最完整的 production-level 社群推薦系統，包含檢索、排序、過濾、廣告混合、內容安全，整條鏈路一次攤開。 不是猜你喜歡，是算你會幹嘛先搞懂一件事：推薦系統不是在做「你喜歡貓所以推貓」這種事。 想像你走進一間有三萬道菜的自助餐。餐廳不可能讓你一道一道看，所以它分兩步：第一步，服務生先從三萬道菜裡撈出三百道你可能感興趣的（粗篩）；第二步，主廚根據你的口味、今天的心情、甚至你上次剩了什麼菜沒吃，幫你排出最上面那十道。 x-algorithm 就是這樣。Two-Tower Retrieval 負責粗篩，Transformer Ranking 負責精排。 粗篩用的是「雙塔模型」——一邊是你的使用者特徵，一邊是貼文特徵，兩邊各自算出一個向量，距離...

你去餐廳點餐的時候，不會先讓廚師煮完再告訴他你要什麼。你會先點菜——「我要一份牛排，七分熟，不要蘑菇醬」——然後廚師根據你的規格去做。 寫程式也是一樣。測試就是你的點單。程式碼就是廚師做出來的菜。 大部分人用 Claude Code 的時候，順序是反的：先叫 AI 寫程式碼，然後自己補測試，發現問題再改。這就像讓廚師先做一道他覺得你應該會喜歡的菜，然後你看了之後說「我其實不吃蘑菇」。浪費時間，浪費食材。 TDD（Test-Driven Development）把順序翻過來：先寫測試，再寫程式碼，最後重構。跟 Claude Code 搭配的時候，這個順序的效果特別好——因為測試就是最精確的需求規格。你用測試告訴 AI「我要的結果長這樣」，AI 就不用猜了。 Red-Green-Refactor：三步循環TDD 的核心只有三步，用顏色記最快： Red — 寫一個會失敗的測試。這個測試描述你要的行為，但對應的程式碼還不存在，所以它一定會失敗。跑一下確認是紅的。 Green — 寫最少的程式碼讓測試通過。不要多寫，不要考慮架構，不要想「順便加個 feature」。目標就是從紅變綠，其他...