Cheng's Tech & Life

下午兩點半，MacBook Pro 風扇開始轉。鍵盤底下的手心冒汗。明明早上喝了咖啡，眼皮卻越來越重。冷氣設 24 度，還是覺得這個房間「悶」。 大部分人會把這個狀態統稱為「夏天就是這樣」，然後繼續泡第二杯咖啡。 但其實這裡同時有三個獨立的系統在當機。它們互相干擾、看起來像同一件事，其實機制完全不同。三個一起調，永遠調不好——因為你不知道哪個變因該動。 把它們一個一個拆開來，反而清楚。 系統一：MacBook 的熱包圍先從最容易觀察的那個說起。 MacBook Air M3 沒有風扇。整台機器就是一塊金屬殼當散熱片。當室溫超過 30 度，外殼跟空氣的溫差變小，散熱效率掉一半以上。當散熱跟不上 SoC 產生的熱，CPU 就會自動降頻——這叫 thermal throttling。 降頻不是「慢一點」這麼溫和。M3 在熱節流狀態下，多核心效能可以直接掉到 60%。你以為自己「電腦怎麼變慢了」，其實是它在自我保護。 如果你用的是 Pro 系列有風扇的型號，狀況不一樣。風扇會開始轉、噪音變大，但效能維持。代價是電池消耗加快、噪音干擾思考。 兩種情況都有同一個解法：讓 MacBook 的下...

19 年。Verizon 的資料外洩調查報告（DBIR）做了 19 年，每一年「憑證濫用」都穩穩坐在初始入侵向量榜首。直到今年。 今年漏洞利用以 31% 拿下第一，憑證濫用直接掉到 13%。中間 18 個百分點不是慢慢挪過去的，是一個季度內翻過去的。這種等級的結構性翻轉，過去要等到「典範轉移」這四個字才有資格用。 當一個用 19 年資料追蹤的趨勢忽然反過來，重點從來不是去爭論排名，而是去問：那個讓 it 翻過來的力量是什麼？接下來會往哪個方向繼續推？ 今天 5 則新聞，挑出來的標準很簡單——能不能讓我們看到那股力量。 漏洞利用躍居 #1：攻防失衡正在加速2026 Verizon DBIR 把這個趨勢的細節攤開講。漏洞利用佔了 31% 的初始入侵向量，憑證濫用降到 13%。中位數修補時間從前年的 32 天延長到 43 天，CISA KEV（已知被利用漏洞）目錄裡企業真正修掉的比例，從 2024 年的 38% 掉到 2025 年的 26%。 這幾個數字單獨看都很無聊。組合起來就是一張清晰的攻防失衡圖：攻擊端的時鐘從月跑到小時，防守端的時鐘從週跑到月。原因報告也講白了——AI 在縮短...

大部分人寫 prompt 的時候，腦袋裡只有一張表：那張表叫做「英文形容詞越多越好」。cinematic, 8k, masterpiece, beautiful, hyper-detailed，一路堆到 token 上限。 這套打法在 Midjourney v4 時代還算管用，到了現在已經是純粹的雜訊。Seedance 看到 fast 會擺爛，要寫 extreme speed 它才動；Flux 看到任何藝術家名字直接拒絕；Midjourney v7 看到 cinematic 已經當你沒講話。同一句 prompt 在 14 個平台會拍出 14 種天壤之別的結果，這個事實沒人在意，因為大家都假設「我寫得越用力，模型就越聽話」。 反過來才對。 真正的問題不是 prompt 寫得不夠長最近翻到一個 repo 叫 ai-media-generator，作者 Hao0321，2026-05-13 才開的 repo，28 顆星、5 個 fork、0 個 issue。從外觀看就是一個無人聞問的個人專案，但裡面藏了一個我覺得很值得拿出來講的觀察： Writing the prompt corre...

便宜的冷氣其實是貴的。 這不是文字遊戲。一台 15,000 塊定頻冷氣，跟一台 32,000 塊一級變頻冷氣，買的時候差 17,000。乍看貴了一倍。但如果你跟我一樣，整天在家寫 code，夏天從五月吹到十月，一天平均開十二小時——那台便宜冷氣多吃掉的電費，三年內會超過 17,000 的差價。 從第四年開始，你每年都在用前面累積的差額，幫自己付電費。 這就是工程師最便宜的複利投資。不是 ETF，不是定存——是你頭頂上那台機器。 為什麼今年的選購邏輯完全變了如果你還在用「看不看一級變頻」當買冷氣的標準，那你已經落後一個世代。 2026 年起，台灣全面套用新版 MEPS 能效制度，CSPF（Cooling Seasonal Performance Factor，季節性能源效率比）才是真正能反映省電的指標。一級變頻只代表「比同類產品省電」，但它沒告訴你「整個夏天平均能省多少」。CSPF 數字越大代表整季運轉下來越省。 舉個實際的對比。同樣標示「一級變頻」的兩台機器，CSPF 可能差 0.5 到 1.0。一年下來，這個小小的數字差距會變成幾千塊的電費差。 換個角度想。冷氣不是廚房裡的烤...

8,520 億到 1 兆美金。 這是 OpenAI 昨天機密遞交給 SEC 的 S-1 草案裡，目標估值的區間。一家 Q1 每收 1 美金就賠 1.22 美金的公司，準備上市時打算募 600 億美金——這金額是 2019 年 Saudi Aramco 史上最大 IPO 的兩倍多。 同一週，Google I/O 把整個年度開發者大會的賭注壓到 Gemini 3.5 跟 Antigravity 2.0 的 agentic 路線、Cursor 推出 Composer 2.5 直接對標 Opus 4.7、Oracle Identity Manager 爆出 CVSS 9.8 的未認證 RCE、Microsoft Exchange Server 還有一個沒修好的零日，只要寄一封信對方開 OWA 就在瀏覽器執行 JavaScript。 五條新聞，一個共通結構：賭注變大、修補窗口變小，中間的差距被 AI 撕得越來越開。 OpenAI 機密 IPO：一兆美金估值對上每 1 美金虧 1.22 美金OpenAI 五月二十二號照計畫機密遞交 S-1 給 SEC。Goldman Sachs ...

「免費」這兩個字大概是軟體界最容易讓人誤會的詞。 打開 free-claude-code 的 GitHub 頁面，第一直覺會以為「啊，這應該是某種繞過 Anthropic 訂閱、白嫖 Claude 的工具」。看完 README 才知道——它的 free 是「不付 Anthropic 訂閱費」，不是「不付任何 LLM 費用」。你還是得拿出 NVIDIA NIM、DeepSeek、Kimi 或者 OpenRouter 的 API key，或者自己在家裡跑一台 Ollama。 換個角度想：它賣的不是免費的算力，是免費的「介面」。Claude Code 的 TUI、tool use 行為、agentic loop 整套體驗，原本是綁在 Anthropic 模型上的；free-claude-code 把那層介面跟模型解綁了。 它到底在做什麼把它拆到最基本：這是一個跑在你本機 localhost:8082 的反向代理，假扮成 api.anthropic.com。 想像家裡的智慧開關。原本壁掛開關直接連到燈泡，按下去就亮。現在中間插一個小盒子，按下開關時，盒子收到訊號，再決定要點亮哪一盞燈—...

想像你接手一個系統，它有 35 個 GitHub repo。 event-ingestion-service、stream-processor、analytics-api、ops-dashboard、streaming-cluster、database-cluster⋯⋯每個都在獨立的 repo 裡，各自有 CI、各自的 PR review、各自的 release 流程。你打開 Claude Code，cd 進其中一個 repo，問它：「使用者按下儀表板的『重新計算』按鈕之後，後台會發生什麼事？」 它只能看到當下這個 repo 的程式碼。後台處理在 stream-processor，重新計算邏輯在 analytics-api，資料來源在 event-ingestion-service——這些 Claude 一個都看不到。它能告訴你的，最多就是「這個按鈕呼叫了 /recompute 端點」，後面發生什麼事就要靠你自己腦補。 這不是 Claude 不夠聰明的問題。是它沒看到那張地圖。 問題不在 repo 結構，在「可視範圍」很多人聽到「跨 repo 開發」第一反應是：那我們把 35...

12.5 億美金。一個月。 這不是年費，是 Anthropic 要付給 SpaceX 的月租。到 2029 年五月為止，三十六個月，總額超過 450 億美金，租的是 Colossus 跟 Colossus II 兩座資料中心的算力。同一週，Anthropic 第一次出手併購把 Fractional AI 從 OpenAI 的合作關係裡拉走、Microsoft Defender 爆兩個零日已經被打、GitHub 凍結了 Copilot Pro 的新註冊、Google 公開承認首次抓到 AI 自己寫出來的零日漏洞。 五條新聞，一個結構性訊號：基礎設施的供需正在被 AI agent 撕開，但守的人還沒準備好。 Anthropic 第一次併購：把 Fractional AI 從 OpenAI 那邊搶走Anthropic 五月二十一號宣佈，由它牽頭的企業 AI 合資公司併購了 Fractional AI——一家成立兩年、總部在舊金山的 AI 部署顧問公司。創辦人 Chris Taylor、Eddie Siegel、Travis May 都來自 LiveRamp。原本，Fractional...

你已經付了 Claude Pro 一個月 20 美金。你也付了 ChatGPT Plus 一個月 20 美金。 然後你想把這些模型接到 Cursor 或者你自己寫的 script 裡——只能再買 API Key，按 token 計費。同一個模型，瀏覽器用是吃到飽，API 接是按表計時。 這就是 OpenClaw Zero Token 想解決的事。它的核心想法簡單到幾乎像作弊：你都已經在瀏覽器登入了，把那份登入態借用一下，外面包成一個標準的 OpenAI 相容 API，讓其他工具直接接上來。13 個 Provider、28 個以上的模型，全部統一介面。 為什麼 Web 版免費、API 要錢這個問題的答案不在技術，在商業模式。 Web 版的訂閱費是「人類使用上限」——你按字打、滑滑鼠、看到回應再決定下一句問什麼。一天能消耗的 token 量天花板很低。所以業者用月費吃到飽撈。 API 是「機器使用上限」——你可以開 10 個併行 job、批次跑幾百萬 token。所以業者用 token 計費控制成本。 但對個人開發者來說很尷尬：你已經在付月費了，每月用不到 5% 的配額，卻沒辦法把...

你在終端機裡跟 Claude Code 對話，它很聰明。但你不可能 24 小時坐在終端機前面。 每次跑 CI 的時候自動讓 AI review PR、每天凌晨三點自動掃描 codebase 裡的安全問題、每週一早上自動生成上週的開發報告——這些事情需要 Claude Code 在沒有人坐在前面的情況下自己跑。 這就是 Headless Mode。一個 -p flag，把互動式的 AI 助手變成可以塞進任何腳本的命令列工具。 什麼是 Headless Mode想像你平常跟 Claude Code 的互動方式像打電話：你說一句，它回一句，你可以隨時插嘴改方向。Headless Mode 像寄信：你把要做的事寫清楚，封好信封寄出去，它做完把結果寄回來。中間不會打電話問你。 技術上就是加一個 -p（或 --print）flag： 1claude -p "找出 auth.py 裡的 bug 並修復" Claude 收到 prompt，跑完整個 agent loop——思考、呼叫工具、編輯檔案——然後把結果輸出到 stdout，程序結束。不會開互動式介面，不會等你輸入...