惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

D
Docker
AI
AI
博客园 - 三生石上(FineUI控件)
腾讯CDC
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
Y
Y Combinator Blog
大猫的无限游戏
大猫的无限游戏
H
Hackread – Cybersecurity News, Data Breaches, AI and More
雷峰网
雷峰网
NISL@THU
NISL@THU
S
Schneier on Security
T
Threatpost
T
Tenable Blog
Application and Cybersecurity Blog
Application and Cybersecurity Blog
IT之家
IT之家
宝玉的分享
宝玉的分享
T
Tailwind CSS Blog
C
Cybersecurity and Infrastructure Security Agency CISA
P
Privacy & Cybersecurity Law Blog
I
Intezer
Microsoft Azure Blog
Microsoft Azure Blog
月光博客
月光博客
T
Threat Research - Cisco Blogs
SecWiki News
SecWiki News
AWS News Blog
AWS News Blog
博客园 - Franky
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
P
Proofpoint News Feed
V
V2EX
Recorded Future
Recorded Future
Microsoft Security Blog
Microsoft Security Blog
S
Secure Thoughts
Google DeepMind News
Google DeepMind News
MongoDB | Blog
MongoDB | Blog
Apple Machine Learning Research
Apple Machine Learning Research
Project Zero
Project Zero
PCI Perspectives
PCI Perspectives
G
GRAHAM CLULEY
Help Net Security
Help Net Security
Cloudbric
Cloudbric
Recent Announcements
Recent Announcements
V
Visual Studio Blog
Hacker News: Ask HN
Hacker News: Ask HN
N
News and Events Feed by Topic
C
CERT Recently Published Vulnerability Notes
The Cloudflare Blog
Forbes - Security
Forbes - Security
C
Cisco Blogs
O
OpenAI News
www.infosecurity-magazine.com
www.infosecurity-magazine.com

Agili 的 Hacker Podcast

Agili 的 Hacker Podcast 2026-07-16 Agili 的 Hacker Podcast 2026-07-15 Agili 的 Hacker Podcast 2026-07-14 Agili 的 Hacker Podcast 2026-07-13 Agili 的 Hacker Podcast 2026-07-12 Agili 的 Hacker Podcast 2026-07-11 Agili 的 Hacker Podcast 2026-07-10 Agili 的 Hacker Podcast 2026-07-09 Agili 的 Hacker Podcast 2026-07-08 Agili 的 Hacker Podcast 2026-07-07 Agili 的 Hacker Podcast 2026-07-04 Agili 的 Hacker Podcast 2026-07-06 Agili 的 Hacker Podcast 2026-07-05 Agili 的 Hacker Podcast 2026-07-03 Agili 的 Hacker Podcast 2026-07-02 Agili 的 Hacker Podcast 2026-07-01 Agili 的 Hacker Podcast 2026-06-30 Agili 的 Hacker Podcast 2026-06-29 Agili 的 Hacker Podcast 2026-06-28 Agili 的 Hacker Podcast 2026-06-27 Agili 的 Hacker Podcast 2026-06-26 Agili 的 Hacker Podcast 2026-06-24 Agili 的 Hacker Podcast 2026-06-23 Agili 的 Hacker Podcast 2026-06-22 Agili 的 Hacker Podcast 2026-06-21 Agili 的 Hacker Podcast 2026-06-20 Agili 的 Hacker Podcast 2026-06-19 Agili 的 Hacker Podcast 2026-06-18 Agili 的 Hacker Podcast 2026-06-17 Agili 的 Hacker Podcast 2026-06-16 Agili 的 Hacker Podcast 2026-06-15 Agili 的 Hacker Podcast 2026-06-14 Agili 的 Hacker Podcast 2026-06-13 Agili 的 Hacker Podcast 2026-06-12 Agili 的 Hacker Podcast 2026-06-11 Agili 的 Hacker Podcast 2026-06-10 Agili 的 Hacker Podcast 2026-06-09 Agili 的 Hacker Podcast 2026-06-08 Agili 的 Hacker Podcast 2026-06-07 Agili 的 Hacker Podcast 2026-06-06 Agili 的 Hacker Podcast 2026-06-05 Agili 的 Hacker Podcast 2026-06-04 Agili 的 Hacker Podcast 2026-06-03 Agili 的 Hacker Podcast 2026-06-02 Agili 的 Hacker Podcast 2026-06-01 Agili 的 Hacker Podcast 2026-05-31 Agili 的 Hacker Podcast 2026-05-30 Agili 的 Hacker Podcast 2026-05-29 Agili 的 Hacker Podcast 2026-05-28 Agili 的 Hacker Podcast 2026-05-27 Agili 的 Hacker Podcast 2026-05-26 Agili 的 Hacker Podcast 2026-05-25 Agili 的 Hacker Podcast 2026-05-24 Agili 的 Hacker Podcast 2026-05-23 Agili 的 Hacker Podcast 2026-05-22 Agili 的 Hacker Podcast 2026-05-21 Agili 的 Hacker Podcast 2026-05-20 Agili 的 Hacker Podcast 2026-05-19 Agili 的 Hacker Podcast 2026-05-18 Agili 的 Hacker Podcast 2026-05-17 Agili 的 Hacker Podcast 2026-05-16 Agili 的 Hacker Podcast 2026-05-15 Agili 的 Hacker Podcast 2026-05-14 Agili 的 Hacker Podcast 2026-05-13 Agili 的 Hacker Podcast 2026-05-12 Agili 的 Hacker Podcast 2026-05-11 Agili 的 Hacker Podcast 2026-05-10 Agili 的 Hacker Podcast 2026-05-09 Agili 的 Hacker Podcast 2026-05-08 Agili 的 Hacker Podcast 2026-05-07 Agili 的 Hacker Podcast 2026-05-06 Agili 的 Hacker Podcast 2026-05-05 Agili 的 Hacker Podcast 2026-05-04 Agili 的 Hacker Podcast 2026-05-03 Agili 的 Hacker Podcast 2026-05-02 Agili 的 Hacker Podcast 2026-05-01 Agili 的 Hacker Podcast 2026-04-30 Agili 的 Hacker Podcast 2026-04-29 Agili 的 Hacker Podcast 2026-04-28 Agili 的 Hacker Podcast 2026-04-27 Agili 的 Hacker Podcast 2026-04-26 Agili 的 Hacker Podcast 2026-04-25 Agili 的 Hacker Podcast 2026-04-24 Agili 的 Hacker Podcast 2026-04-23 Agili 的 Hacker Podcast 2026-04-22
Agili 的 Hacker Podcast 2026-06-25
Agili 的 Hack · 2026-06-26 · via Agili 的 Hacker Podcast

今天的科技新闻覆盖范围很广,从 AI 模型蒸馏引发的国际摩擦、开放权重模型的追赶,到浏览器里跑起二十年前的老游戏、数据中心的零水冷设计,以及医学界用大数据平台批量制造争议论文的问题。这里是 Agili 的 Hacker Podcast。

Anthropic 指控阿里巴巴非法“蒸馏”Claude 模型

大规模账户交互与蒸馏争议

Anthropic 向美国参议院银行委员会致信,称阿里巴巴在 2026 年 4 月至 6 月间运营了近 2.5 万个欺诈账户,与 Claude 进行了超过 2880 万次交互,通过“蒸馏”方式提取模型能力。蒸馏是指用较弱模型从更强模型的输出中学习,本身是业界通用技术。

多位评论者指出,将蒸馏定性为“攻击”是一种话术夸张。蒸馏属于服务条款违规,而非网络攻击。成千上万家企业每天都在合法使用蒸馏技术微调自己的模型,Anthropic 自己训练模型时也大量使用了从互联网抓取的数据。

出口限制与保护主义讨论

Anthropic 发出信件两天后,美国商务部因担心技术被军事利用,对 Mythos 和 Fable 模型实施了出口限制,迫使 Anthropic 在全球关闭了对这些模型的访问。一些评论者认为,这是游说美国政府以保护主义手段限制中国 AI 公司的步骤之一,与白宫此前指责中国“工业规模窃取 AI 知识产权”的立场一脉相承。

博客的价值:说出那些显而易见的事

安徒生童话里的小孩

Jim Nielsen 在博客里聊了博客本身的感受:很多时候写博客就是说那些显然得不能再显然的事。他引用 John Gruber 骂网页弹窗是“Dickover”的例子,说这只是一种“皇帝什么都没穿”的冲动。他每次写博文前都会想“这里一点新意、深度都没有,值得写吗”,但现实里没人提,最后还是忍不住写出来。

社区对博客意义的补充

Hacker News 的评论区展开了丰富讨论。一位数学博士分享说,年轻时充满热情去证明基础定理,现在反而被“这事是不是早被人做得更好”卡住。有用户指出读者选择关注你这个人,你选择说某件事这个行为本身就能吸引注意。

评论中提到了 Derek Sivers 的一句老话:“对你来说显而易见,对别人来说惊人。”还有人指出“知识的诅咒”——你一旦知道某件事,就以为别人也知道,但总有新人从没听过。最终共识是:博客的价值不在于“前所未有”,而在于“恰好有人在这个时间用这个方式说了这件事”。

Cloudflare 全面开放自管理 OAuth

从 API 令牌到标准授权

Cloudflare 正式向所有客户开放自管理 OAuth,允许开发者创建自己的 OAuth 客户端,通过标准授权流程让用户直接授予作用域访问权限。此前第三方 OAuth 仅限于少量手动上线的合作伙伴。这项能力底层依赖开源 OAuth 引擎 Ory Hydra,Cloudflare 在升级过程中将 API P95 延迟从 185ms 降至 101ms。

社区对 OAuth 的复杂情绪

评论中出现了两极声音。有开发者直言“OAuth 和企业认证是史上最糟糕的东西”,认为个人场景只需要 API key。另一派人指出企业场景下“一键封禁用户”是压倒性安全特性。也有用户提醒 OAuth 会暴露用户登录哪个网站以及登录时间,是一个“隐私噩梦”。

Ory Hydra 的作者也在评论中出现,肯定了升级工作,并补充说“OAuth2 很复杂,往往不是正确的工具”,推荐简单场景使用 API key 方案。

浏览器里玩《半条命2》

无按钮、无介绍的网页游戏

访问 hl2.slqnt.dev 会自动下载并加载《Half-Life 2》的游戏资产,然后直接在浏览器中运行。页面没有开始按钮,进入后只有一张截图和下载提示,这种“无交互即开始安装”的设计让不少用户警惕。技术上通过 WebAssembly 和 WebGL 把 Source 引擎搬到了浏览器里,普通笔记本的 Chrome 中也能流畅运行。

二十年间的技术跨越

社区迅速列出了同类案例:Quake 3、Doom 3、GTA Vice City 等都有人搬到了网页端。不少 macOS 用户说 Apple Silicon Mac 上 Steam 版因苹果放弃 32 位支持无法运行,但在浏览器里反而能跑。这件事从侧面说明 Web 技术的潜力——一个二十年前需要专门显卡的游戏,现在可以在任何支持 WebGL 的浏览器里低配运行。

LuaJIT 3.0 语法扩展提案

从 C 风格操作符到安全导航

LuaJIT 的作者 MikePall 在 GitHub 上发布了语法扩展提案,引入位运算符号、&&/||/!= 等逻辑符号、三元条件运算符 a ? b : c、安全导航 ?.、nil 合并 ?? 和复合赋值 +=/-= 等。MikePall 明确排除了 ++/-- 自增自减(因为与注释语法冲突)和 ^= 指数赋值(因为 ^ 在大多数语言中是异或)。

提案强调不破坏向后兼容性,所有现有 Lua 5.1 代码仍可运行,新语法可选。但部分用户担心 LuaJIT 正在脱离标准 Lua 变成独立方言,引入多个符号替代让语言失去简洁性。MikePall 本人已明确表示这是有意为之。

LastPass 再爆数据泄露事件

第三方平台遭入侵

市场研究公司 Klue 遭黑客入侵,攻击者窃取了 LastPass 的客户信息和支持案例数据,包括姓名、电话、邮箱和物理地址。LasPass 强调密码保险库未受影响。攻击组织 Icarus 声称负责,被影响公司包括 Gong、Jamf、HackerOne、Snyk 等。这是 LastPass 自 2015 年和 2022 年以来的又一起安全事件。

评论指出许多公司把安全产品当合规装饰而非真正的安全工具,更换密码管理器的迁移成本让不少组织选择继续留在 LastPass。也有用户提到像 Bitwarden 会自己托管支持系统从而避免供应链风险,而另一些人则完全转向 KeePassXC 这类本地方案。

NVIDIA 45°C 液冷设计实现数据中心近零水耗

从芯片到网络的全液冷

NVIDIA 的 Rubin 系列 AI 服务器实现了 100% 全液冷,冷却液温度可运行到 45°C,在适宜气候下可完全关闭机械制冷。数据中心设施水耗从传统冷却塔系统每年每兆瓦约 260 万加仑降至接近零,因为循环是封闭的。服务器内部没有风扇,噪音大幅降低,前面板完全封闭。

上游水耗与废热回收

“零水耗”仅限设施内循环,不包含发电环节的水耗。出口水温约 55°C,对区域供热偏低,但可通过热泵提升。欧洲已有数据中心废热输送给温室或居民区的案例。不过,在 Phoenix 或中东等炎热地区,即使 45°C 冷却液也需要辅助冷却。

陀思妥耶夫斯基并不难读

从惧怕到发现幽默

作者分享了自己从害怕《罪与罚》到发现它好读的经历。他指出俄罗斯文学虽然人物名字复杂,但文字比狄更斯更好懂,充满让人嘴角抽动的人物描写,甚至有些庸俗。经典不是高高在上的东西,而是一群有缺陷但善于观察人性的作者写的故事。

名字是真正的门槛

评论区普遍同意故事本身不复杂,但俄罗斯人名有正式名、昵称、别名等多个形式(如 Sasha 和 Alexander 是同一个人),对不熟悉的读者造成困扰。这其实和英语中 William 叫 Bill 一样,只是习惯问题。关于是否适合青少年阅读分歧较大,有老师认为这些经典本不是为青少年写的,放进必读清单效果适得其反;也有人认为教育就是让孩子接触他们不会自发选择的东西,即使只理解一部分也值得。

GLM-5.2:开放权重模型的编码能力追上闭源

周末突袭发布与性能表现

Z.ai 选择在周末发布 GLM-5.2,抓住 Claude Fable 5 被禁的窗口为开源社区提供替代。三天后 MIT 许可证下的权重放出。Arena 排行榜显示,GLM-5.2 在最大思考模式下与 Claude Opus 4.8 的无思考模式持平。开发者实测反馈,当其他主流模型都给出同样平庸建议时,GLM-5.2 直接给出了更优的解决方案。

思考痕迹泛滥与成本博弈

GLM-5.2 的思考痕迹非常长且充满自我怀疑,这种“thinkslop”消耗大量 token——有用户两天内耗尽了 700M token 配额,而用 Claude 完成同样工作只消耗 3%-5%。官方 API 还存在连接不稳定和限流问题。但通过 OpenRouter 使用的成本仍远低于订阅 Claude 的计划,对全球大部分地区的个人开发者来说差别巨大,这一点被巴西和印度用户反复提及。

医学生用 TriNetX 批量炮制可疑论文

一键分析带来的论文狂潮

TriNetX 提供超过 3 亿患者的脱敏电子健康记录,相关论文从 5 年前的 33 篇飙升至 2025 年的近 2700 篇。批评者指出,这个易用平台让缺乏经验的研究者快速产出忽视偏倚的低质量研究,用户还能轻易挑选阳性结果投稿,导致“虚假发现的流量大大增加”。

可复制但不可实现的方法描述

神经科学家 Joshua Wang 发现了多篇声称在 TriNetX 上完成特定偏倚校正的论文,但他知道平台根本没有这个功能。他请七个大语言模型提出该步骤的方法,六个 LLM 给出了不可能在平台上实现的回答。他随后在已发表论文中对标找到了 13 篇采用这些不可能方法的论文,第一作者多为美国医学生或住院医师。美国医学院协会在下一轮住院医师申请中将要求出版物列表“从数量转向质量”,Wang 则在自家医院要求研究者必须先接受他的一小时培训,目标是“灌输一点恐惧”。

播客全文

女:Hello 大家好,欢迎收听 Agili 的 Hacker Podcast,我是莓莓。

男:大家好,我是阿迪。

女:这几天的新闻资讯简直没法看,大模型圈子乱成一锅粥。前天 Anthropic 发了一封公开信,直接点名阿里,你知道这事儿吗?

男:嗯,信是写给美国参议院银行委员会的。Anthropic 说阿里巴巴在四到六月间搞了近两万五千个欺诈账户,跟 Claude 进行了超过两千八百万次交互,就为了用蒸馏的方法把 Claude 的能力学过去。他们管这叫“攻击”。

女:等一下,“蒸馏”这个词你要不要稍微解释一下?毕竟不是每个人都天天跟机器学习打交道。

男:其实很简单。比如你有一个很聪明的老师模型,又有一个还在学的小模型。蒸馏就是让小模型去看老师的作业答案,模仿老师的解题思路。本身是一种很常见的训练技巧,成千上万的公司每天都在用。

女:那为什么这次闹得这么严重?

男:关键在于 Anthropic 的措辞。他们把违反服务条款的行为直接定性为“攻击”,这个词安全行业的人一听就知道有多重。路透社在报道时也直接沿用了“攻击”这个说法,没有加引号区分,等于是把一家公司的公关话术当作事实来报道。你看社区里好多人都看不下去了,说这哪是什么攻击,就是注水账号薅羊毛。

女:而且有人说阿里的做法跟 Anthropic 自己训练模型的过程没有本质区别。

男:对,Anthropic 训练 Claude 的时候也大量抓取了互联网上的公开数据,其中有一部分已经被法院认定为盗版内容。所以逻辑上有点站不住脚——你从网上抓数据训练叫创新,别人从你的模型输出里学就叫窃取。而且在 Anthropic 发信两天后,美国商务部就宣布对 Claude 的最新模型实施出口限制,时间点上实在太巧了。

女:听你这么一说,这更像是一次配合好的游说。不管怎么说,这种“闭源模型被禁、开源模型顶上”的剧情,我最近听到的不是第一次了。

男:确实不是。就在 Anthropic 出口限制执行后那个周末,Z.ai 突然放出了 GLM-5.2,一个用 MIT 许可证的开放权重模型。周六发布,这在行业里很少见——通常大家都挑工作日,生怕没人看到。但它偏偏选在 Claude Fable 5 被禁的舆论窗口,等于在开源社区喊了一声,别慌,还有替代方案。

女:效果怎么样?真的能替代吗?

男:从 Arena 的 agent 排行榜来看,GLM-5.2 在最大思考模式下已经跟 Claude Opus 4.8 的无思考模式打平,甚至在 Design Arena 上超过了 Claude Fable。很多开发者的反馈是,这是第一个在编码工具里“感觉对了”的开放模型——以前这个体验只有闭源的顶尖模型能给。比如有个开发者想把 token 认证改成基于 cookies,其他模型都说“接受新方案的缺陷吧”,只有 GLM-5.2 直接给出了用 cookies 做标签页级隔离的方案。

女:两百美元一个月的闭源模型,和几分之一价格的开放模型——这个账很好算。不过我听说用 GLM-5.2 也有坑?

男:有。它的思考链条特别长,而且充满了自我怀疑,“等等我搞错了”“不对这才是正确的”,来回折腾。看它思考的过程让人焦虑,但结果又往往是对的。这种模式烧 token 特别快,有人订了官方的 max 计划,七亿个 token 两天就没了。同样的事情用 Claude 只需要百分之三到五的配额。而且官方 API 还经常掉线和限流。

女:所以现在开发者的策略是什么?混合着用?

男:对,用闭源模型做规划,用开放模型执行具体任务。还有人说,两百美元在全球很多地方是月薪的一大半了,开放模型的竞争对个人开发者来说是实打实的福利。有人用 DeepSeek V4 Flash,两亿八千七百万个 token 才花了五块七毛七美元。

女:这个价格差让我想起咱们之前聊过的一个话题,就是博客写作。有一个观点说,不是每样东西都必须是全新的才值得说——有时候你只要在正确的时间用正确的方式把一件事说清楚,就很好了。

男:你是说 Jim Nielsen 那篇关于博客的博文吧?

女:对。他引用 John Gruber 骂网页弹窗的话,说“网页就该显示网页,邮件就该显示邮件,这种事情我本不需要解释”,然后说自己写博文的时候总在想,“这里一点新意、深度重要性都没有,值得写吗?”但后来还是写了,因为那些让人恼火的东西到处都是,却没人提。

男:这让我想起评论里一个数学博士的自嘲。他说年轻时热情满满,什么基础定理都想证明一遍,现在当了博士反而被一个念头卡住——这件事是不是早就有人做得更好了?自己是不是在制造噪音,浪费读者时间?然后他感叹说,从统计上看没有人有真正原创的想法。

女:但评论区也有人反驳,说信息是不是最高质量并不重要。读者选择关注的是你这个人,你决定说出某件事这个行为本身就能吸引他们。何况从“我知道”到“我知道你知道我知道”之间差了很多层,这叫共同知识的逻辑递进。

男:对,还有人提了“知识的诅咒”这个概念,就是你一旦知道某件事,就会以为别人也知道了,但实际上总有一批新人是第一次听说。回头看那些最有帮助的博文,都是很基础的内容,编程技巧也好、菜谱也好,关键在于写清楚,而不是知识有多冷门。而且链接会腐烂,网站会消失,有人重新写一遍就等于在世界上多留了一份存档。

女:这让我挺受安慰的。其实很多东西对我们来说显而易见,对别人来说惊人。克服那种“这也太简单了吧”的自卑感,可能是写作的第一步。

男:说到“显而易见却没人提”的事,我最近看到一个项目让很多人又惊喜又紧张。你打开一个叫 hl2.slqnt.dev 的网页,没有介绍没有按钮,就一张截图和一句“正在下载地图”,然后开始自动加载《Half-Life 2》的游戏资产,直接在浏览器里跑起来。

女:2004 年那个《半条命 2》?没有开始按钮,进去就自己装,这听起来像钓鱼链接啊。

男:确实有好多人警惕了。这个项目通过 WebAssembly 和 WebGL 把整个 Source 引擎搬到了浏览器里。在普通笔记本的 Chrome 上跑得很流畅,CPU 和 GPU 都没有飙升。不过动画系统被关掉了,角色的面部表情和嘴唇动作缺失,眼球渲染也有问题,看起来像头部展开图直接贴眼球上,挺诡异的。

女:技术上怎么说?二十年前的 3A 大作,现在随便一个浏览器就能跑?

男:因为 WebGL 的普及和 WebAssembly 的效率提升。评论区一下子就热闹了,大家开始晒各种类似的移植案例:有人把 Quake 3 搬到 Jira 里摸鱼,有人把《侠盗猎车手:罪恶都市》搬上网页,还有《红色警戒 2》、《反恐精英 1.6》。最讽刺的是,不少 macOS 用户说他们的 Steam 版《半条命 2》因为苹果抛弃 32 位支持已经没法运行了,结果在这个网页里反而顺利玩上了。

女:合法性呢?这些游戏资产显然是未经授权的。

男:对,没有授权。但有人指出 Valve 早就在二十周年的时候把《半条命 2》免费送过,而且他们对这种情怀重制一向睁一只眼闭一只眼,不可能为了这种事发律师函惹公关麻烦。不过这件事折射出一个更大的问题:浏览器的权限每扩大一点,被恶意利用的概率就增加一点。用户点击“允许”的时候往往不知道自己在授权什么。

女:从《半条命 2》的浏览器移植,到 NVIDIA 全液冷服务器,这两个话题乍看没什么联系,但都在讲技术界线的打破。

男:你说的是 NVIDIA Rubin 系列的 100% 全液冷设计?

女:对。每块芯片、每个网络组件都由封闭循环的液体冷却,机箱里一个风扇都没有。冷却液温度可以跑到四十五度,比热水浴缸还热。传统数据中心冷却用电能占到总电量的百分之四十,而 NVIDIA 这套设计在气候合适的地方可以完全关掉机械制冷。

男:而且因为循环是封闭的,设施的蒸发水耗从每年每兆瓦两百六十万加仑降到接近零。这主要是讲设施层面。有人提醒说,数据中心最大的水耗其实来自上游发电,比如燃煤或天然气发电的冷却水,但这已经是另一个维度的账了。

女:我看到一个细节挺好玩:全液冷之后服务器前面板是封死的,没有那些密密麻麻的通风孔,机房里也没有风扇噪音。冷却液带走热量后出口水温大概五十五度,这个温度可以直接给温室或者地暖供热——芬兰和荷兰已经有案例了。

男:但也要看地方,凤凰城夏天四十五度,辅助制冷还是跑不掉。社区里很多人说这也不算创新,Cray 在八十年代就用液态氟利昂浸泡电路板,消费 PC 水冷都几十年了。NVIDIA 真正的工程成就是主板上的所有发热组件,包括电源、内存、SSD,都集成到统一的液冷回路里,而且把进水温度推到了四十五度,让更多地区能免用制冷机组。这跟以前“CPU 和 GPU 液冷,其他东西再加个风扇”的混合方案完全不同。

女:聊完硬件聊点软的。Cloudflare 最近开放了自管理 OAuth,让所有客户都能自己创建 OAuth 客户端。但这个事在社区里吵得挺凶。

男:因为 OAuth 这个东西,爱的人很爱,恨的人恨到骨髓里。有开发者直接说企业认证是史上最糟糕的东西,说“我就要一个 API key 保密及时撤销就行,不需要一万层认证垃圾”。

女:但 OAuth 也有它的用武之地吧?普通用户记不住密码的时候,用 Google 登录不是更安全吗?

男:对,企业场景下一键封禁用户是压倒性的安全特性。但反对者的点在于隐私——OAuth 提供商知道你登录了哪些网站和登录时间,这其实是一个隐私噩梦。还有一个实际的用户体验问题:密码管理器没法自动填充 OAuth 表单,你得先点“使用密码登录”,多一步操作。Cloudflare 这次开放 OAuth 有一个技术细节挺有意思:他们的底层依赖 Ory Hydra,是一个开源的 OAuth 引擎。随着用量增长做了两次大版本升级,升级过程中遇到了刷新令牌失效导致整个会话崩溃的问题,最后通过在工作器里加刷新令牌缓存解决。

女:Ory Hydra 的作者也出来说话了?

男:嗯,他肯定了 Cloudflare 的工作,但同时也说 OAuth 2 很复杂,往往不是正确的工具,简单场景还是推荐用 API key。社区还有人担心 Cloudflare 的产品策略,说他们经常发布新项目但后续改进不足,翻出 Web Analytics 长期缺少 UTM 参数支持的例子。

女:说到产品策略和信任问题,LastPass 又出事了。

男:这次不是他们自己的系统被黑,而是第三方市场研究公司 Klue 被入侵,攻击者从 Klue 那里拿到了 LastPass 的客户信息和支持案例数据,密码保险库倒是没有受影响。但这只是 LastPass 长长一串安全事件里最新的一件。2015 年攻击者拿到了账户邮箱和密码提示,2022 年有人入侵开发者账户偷了源代码,然后利用这些信息访问了云备份。这些事加在一起,对一家做安全的公司来说,信任基础已经被侵蚀得很厉害。

女:但很多公司还是不走,为什么?

男:迁移成本。换了密码管理器,全公司要重新部署、重新培训、重新建流程,IT 部门怕麻烦。管理层也会自我合理化——“被黑过的公司现在肯定更小心了”。更深的问题在于,高管只有在被入侵后才真正重视安全投资,如果公司和个人的安全疏忽能被追究法律责任,情况会很不同。这次事件的攻击路径也很典型:公司为了销售和营销把客户数据传给第三方平台,作为一家安全公司牺牲了核心信誉。

女:说到安全话题里最基础的东西,密码管理器本身也是个双刃剑。一方面能生成并记住大量随机密码,另一方面把所有秘密集中到一个高价值目标上。

男:所以评论里有人用完全本地的密码管理器,比如 KeePassXC,搭配自建同步脚本,从物理上拒绝把数据暴露给任何云供应商。这就是个人选择的问题了。

女:讲完这么多技术话题,咱们聊点轻松的。最近有一篇博文讲读俄罗斯文学的体验,说陀思妥耶夫斯基和托尔斯泰其实不难读,甚至很幽默。

男:我猜你说的是那篇说自己十二三岁读《战争与和平》读了一半读不下去,因为人名太绕、完全不知道谁是谁,但他把书揣了很久想在咖啡师面前显得有文化,最后还没成功的故事。

女:就是那篇。作者后来在外婆家翻到一本旧《罪与罚》,一开始觉得压抑,打开发现完全不是那么回事,读得很顺畅,甚至对着书中对人性的描摹偷笑。他的观点是,翻译成英文后,俄罗斯文学有一种坦诚的干涩机智,句子像水一样清晰,跟狄更斯比好读得多,更别说乔伊斯了。

男:评论里很多人同意,骨子里不复杂,但人名确实是最大的门槛。俄罗斯名字有三部分,不同场合用不同的部分,加上昵称系统——Sasha 和 Alexander 是同一个人,Mitenka 是 Dmitri 的另一种叫法。不过这其实和英语里 William 叫 Bill、Richard 叫 Dick 一样,只是不熟悉。有人建议读有脚注的版本,或者在电子书上直接搜索人名,跟着走就不乱了。

女:还有不少讨论集中在学校教育上。很多人觉得让青少年读陀思妥耶夫斯基不太合适,缺乏生活经验根本理解不了人物的动机,强迫他们读反而会终身厌恶这些书。

男:也有人说,教育的目的就是让孩子接触他们不会自发选择的东西,即使只能理解一部分也值得。其实陀思妥耶夫斯基真正难的地方不在文字或结构,而在于他要求你面对人性中黑暗而真实的角落,这个挑战不会因为你是青少年还是成年人就变容易。

女:说到教育和研究的严谨性,我们最后一个话题跟医疗数据有关。有个叫 TriNetX 的平台,上有超过三亿名患者的脱敏电子健康记录,基于这个平台发表的论文数量从五年前的三十三篇飙到了去年的近两千七百篇。

男:听起来是好事,但问题也来了。平台提供了“一键分析”功能,很多培训中的医学生和住院医师用它快速出论文,为了申请住院医师职位刷简历。批评者发现这些论文质量堪忧,忽视了一些关键的统计偏倚。比如 immortal-time bias,就是在比较治疗组和未治疗组的时候,未治疗组自动包含了已经在治疗前死亡的病人,结果让治疗看起来更有效,但其实是有逻辑缺陷的。

女:还有一个案例特别离谱。一个神经科学家王医生发现一篇论文声称用 TriNetX 完成了校正 immortal-time bias 的关键步骤,但他知道平台根本就没这个功能。他让七个大语言模型提建议怎么完成这一步,六个给出了在平台上不可能实现的方法。后来他在已发表的论文里陆续找到了十三篇用了这些不可能方法的论文,其中好几篇的第一作者是美国医学生或住院医师。

男:要么是伪造方法,要么是从别的文章或 AI 输出里照搬了方法句子,两种都很可怕。TriNetX 的回应是问题论文只占极小部分,方法描述有问题可能是因为“误解或术语模糊”。但王医生不买账,他现在要求自己医院的每个研究者用 TriNetX 前必须接受他的一小时培训,重点展示怎么轻松得到好看但毫无意义的结果。他说目标是给自己同事灌输一点恐惧,让他们不会随便跑回去量产论文。

女:论文数量爆炸但质量滑坡,这个现象可能不只存在于医学领域。好了,今天聊了挺多,从大模型圈的版权之争到浏览器里跑《半条命 2》,再到俄罗斯文学和医疗数据质量。阿迪,有没有什么想对听众说的?

男:我想说的是,不管你是写代码还是写博文,或者只是看一篇看起来很厉害的医学论文,别怕问最简单的问题。有时候最简单的问题能把那些脆弱的东西撬开一个角。

女:说得好。听众朋友们,感谢收听这期节目。如果你喜欢我们的内容,记得用泛用型播客客户端订阅 Agili 的 Hacker Podcast,这样就不会错过任何一期了。我们下期再见。

男:再见。

参考链接