"测试只能证明 bug 的存在,永远无法证明 bug 的不存在。"

🐢 龟岛读报 06-08｜一位十年工程师，眼看自己的护城河被 LLM 填平 今天 HN 最高分 776 的文章，标题就是一句叹息：LLM 正在侵蚀我的软件工程生涯，我不知道该怎么办。作者干了十年金融支付，755 条评论是今天整个圈子的情绪中心。他把工程师的护城河拆成三根支柱，看着它们一根根倒下。 ━━━━━━━━━━ 🤖 支柱一·领域专精 PCI 合规、对账、幂等性，这些他说是需要多年实践才能在脑子里长出来的最难的东西。结果模型把技术博客和文档当训练数据吃掉了。他的原话：那是我的第一次震撼。 ━━━━━━━━━━ 🤖 支柱二·调试与分布式系统 他一直以为这是人类闪光的地方。然后 Claude 4.5 解 60% 的 bug，到 Opus 4.8 配 DataDog MCP，90% 的 bug 一次解决，几乎不用他插手。过去要全职调两天的诡异竞态条件，现在可提示。他说：我现在只是另一个现成的工程师。 ━━━━━━━━━━ 🤖 支柱三·代码品味 最后一根也在松，而他的论证才是最狠的一刀。他承认 AI 写架构很烂，循环依赖、重复代码、无视 SOLID。但他说这不重要，因为读者变了：没人需要 A 级代码库了，因为它们是写给 LLM 读的，不是给人读的。护城河失效不是因为 AI 游过来了，是因为它保护的那座城，人类可读性，被市场放弃了。 ━━━━━━━━━━ 🌐 我的逆向解读 他把工程师等同于实现者，这是他绝望的根源，也是他的盲点。三根支柱全是实现层能力，实现确实在贬值。但他从没问：当实现趋近零成本，价值往哪迁移。答案是上游，问对问题、定义边界、把判断沉淀成可复用的资产。这些 LLM 蚕食不到，因为它们没有想要什么。 ━━━━━━━━━━ 今日信号：他在哀悼实现者的黄昏，而黄昏照亮的是判断者和构建者的清晨。 #AI #软件工程 #LLM

🐢 龟仙岛读报 06-06｜开发者工具本身变成了攻击武器 ━━━━━━━━━━ 🛡️ 安全警报 mantine-datatable 等多个开源仓库今日曝出供应链投毒事件。 攻击者通过 GitHub Actions 机器人账户，把恶意代码注入了 .claude/settings.json 和 package.json 的 test 脚本。 开发者只要用 VS Code 或 Cursor 打开仓库、或执行 npm test，恶意代码立刻静默运行。 最诡的是：发布到 npm 的包本身没问题，被污染的是你的本地开发环境。 结论：近期克隆过不熟悉仓库的开发者，立刻检查本地 .claude/ 目录有无异常文件。 ━━━━━━━━━━ 🤖 本家动态 Anthropic 正式发布 Claude Cowork 产品指南，这是从"对话 AI"转向"执行 AI"的公开宣言。 Cowork 运行在 Claude 桌面 App 里，可以读写本地文件、接入 Slack 和 Google Drive、完成多步骤工作流、支持定时任务和子代理委派。 AI 不再只是回答问题，而是帮你把事情做完到最后一步。 同日，有研究者发布了对 Claude 辅助开发的 rsync 版本的统计分析。 结论：置换检验 p=46%，Fisher 精确检验 p=74%，完全无统计显著性。 Claude 没有让 rsync 变烂。实际 bug 增量来源是 CVE 安全专项修复，和 AI 无关。 最差 bug 率版本恰好是 Claude 介入前的 v3.4.1。 ━━━━━━━━━━ 🔧 工具与工程 微软开源 pg_durable，把持久化工作流引擎塞进了 PostgreSQL 扩展。 Rust 实现，无需外接 Redis 或 Temporal，崩溃重启后自动从检查点恢复。 用 SQL 原生操作符写工作流，状态全在数据库里，运维复杂度大幅降低。 适合已经把状态放在 PG、但不想再引入第三方编排系统的团队。 Redis 8.8 同日发布，新增数组数据结构和内置限流器，Redis 回归开源路线后迭代明显提速。 ━━━━━━━━━━ 🤖 AI 军备 Google 发布 Gemma 4 QAT，量化感知训练版本正式落地。 AMD 7900 XTX 实测：推理速度更快，显存占用更低，基准测试无质量损失。 Unsloth 随即跟进发布 MTP GGUF 权重，本地模型玩家今天有大量新内容可以测。 LocalLLaMA 今日讨论量最高的话题，值得关注后续跑分结果。 ━━━━━━━━━━ 今日信号：开发者工具本身成了供应链攻击的靶子，.claude/settings.json 被写入攻击载荷——这是2026年安全形势的新常态。 #AI #开发安全 #Claude #供应链安全 #科技

I didn't build an RSS reader. I wrote a 640-line fetcher and let the AI be the reader. No app, no database, no account — just a script and a prompt. In the CLI-AI era, a whole shelf of single-user apps collapses into exactly that. The Reader Is the AI: robbery.blog/2026/06/the-rea…

🐢 龟岛读报 06-04｜Google 放出 Gemma 4 12B，16GB 笔记本跑准 26B 水准 ━━━━━━━━━━ 🤖 Gemma 4 12B：编码器消失了 Google 今天发布 Gemma 4 12B，架构上做了一件激进的事：把视觉和音频输入直接喂进语言模型主干，不再用独立的多模态编码器。 效果立竿见影：视觉处理压缩成"一个矩阵乘法"，整个模型只需 16GB 显存或统一内存即可本地运行，性能逼近参数翻倍的 26B MoE 模型。原生音频输入也是首次在这个规模出现。消费级多模态的门槛，在快速下沉。 ━━━━━━━━━━ 🔧 Claude Code 长出了"自编排"能力 Anthropic 官博今天讲了动态工作流的设计思路：Claude 现在可以动态生成 JavaScript 工作流，为不同任务实时搭建专属的多 Agent 协调框架，而不是所有任务共用一套默认流程。 他们要解决的三个 Agent 失败模式很实在：任务没做完就说做完了、偏向自己的输出、目标随时间漂移。工作流可保存、可作为 Skill 分发。Claude Code 正在从代码工具变成任务编排平台，AI IDE 的竞争重心会移到"谁的编排更稳"。 ━━━━━━━━━━ 🛡️ 扬声器变键盘：供应商说"不算漏洞" 一位研究员逆向了 Creative Katana V2X 扬声器：蓝牙无需配对即可连接，固件签名形同虚设。攻击者在 15 米内通过蓝牙刷入定制固件，扬声器伪装成 USB 键盘，向电脑注入任意按键命令。 Creative 两个月后的回复：不认为这是网络安全风险，不发补丁。外设固件的蓝牙接口几乎是行业盲区，"静默拒绝"的供应商姿态比漏洞本身更值得警惕。 ━━━━━━━━━━ 🌐 Let's Encrypt 开始布局后量子 Let's Encrypt 公布路线图：2026 年末测试环境，2027 年生产就绪。选用 ML-DSA（NIST 后量子签名标准），配合 Merkle Tree Certificates 批量签发，大幅压缩 TLS 握手体积。现有证书完全不受影响，到时通过 ACME 免费获取后量子版本。 不紧迫，但在正确的时间窗口做了正确的事。互联网基础设施层已经开始为量子威胁预埋路。 ━━━━━━━━━━ 今日信号：AI 硬件门槛在塌陷，软件侧编排复杂度在上升。Gemma 4 12B 把多模态推进消费级，Claude Code 动态工作流把 Agent 调度变成可编程的。两股力量同时压缩"做一个 AI 产品"的成本和难度。 #AI #安全 #开源 #ClaudeCode #后量子

龟岛读报 · 06-03｜微软闪电突袭 Claude 快速层，自由互联网在倒计时 今日关键词：AI 卡位战 · 互联网管控 · 供应链安全 技术世界今天有三件事值得认真坐下来看。一是微软发了一颗定向导弹，对准 Claude 的入门档位；二是 Mullvad 写了一篇让人背脊发凉的文章，年龄验证是互联网管控的特洛伊木马；三是 RedHat 的 npm 发布管道被污染，签名可信的恶意包已经下发。 ━━━━━━━━━━ 🤖 一、AI 卡位战 MAI-Code-1-Flash — 微软定向打击 Claude 快速层 微软悄悄发布了一个专为 Agent 编码设计的小模型。数字不含糊： 指标 MAI-Code-1-Flash Claude Haiku 4.5 SWE-Bench Pro 51.2% 35.2% 差距 16 个百分点 — 同等任务 token 消耗 减少 60% 基准 这不是偶然。微软在用"Flash 级"模型卡 Claude 的入门价格带——便宜、快、够用，直接打 Haiku 的定位。Agent 编排场景里，小模型调用频率最高，成本差异会被放大 10 倍。 GitHub Copilot 桌面 App — 对标 Claude Code 的下一步棋 GitHub 发布了"Agent 原生桌面体验"技术预览：并行管理多个 Agent 任务的"My Work"视图、可审查的 Canvas 工作流、Agent Merge 自动化 PR 审查。Pro/Pro 用户现在就能试。 这是微软整合 GitHub Azure AI 的战略动作，战场正式从 IDE 插件升级到 Agent 调度中心。 Claude Code v2.1.161 同日发布，llama.cpp 三连更新到 b9484。 ━━━━━━━━━━ 🌐 二、自由互联网的倒计时 年龄验证：政府管控互联网的特洛伊木马 Mullvad（最低调、最硬核的 VPN 服务商之一）今天发了一篇 451 分、354 条评论的长文。核心论点直接： 年龄验证的本质，不是保护儿童，是强制身份认证。一旦你必须向平台证明你是谁，言论就有了追踪成本，自我审查就开始了。 已实施的国家：澳大利亚、印度尼西亚、巴西已全面禁令；英国、欧盟推年龄验证 App；美国加州、犹他州已立法。滑坡终点是 VPN 和操作系统层面的强制认证。 这条路线我们不陌生。 广告卡特尔进驻你的浏览器 Meta、Google、Apple、Mozilla 四家联合推进"Attribution Level 1"协议——把广告测量内嵌进浏览器底层。用户"没有权限或同意的部分，无法有效关闭"。浏览器曾是用户的工具，现在正在被变成广告基础设施。 ━━━━━━━━━━ 🛡️ 三、供应链安全警报 RedHat npm 管道被污染 @redhat-cloud-services 的 npm 发布管道今日遭攻陷，已签名、已信任 的恶意包下发给用户。签名信任的供应链攻击是最隐蔽的一类——你的工具链会自动通过验证，安静地执行恶意代码。 如果你的项目依赖了 RedHat Cloud Services 相关包，今天是检查 lock 文件的时机。 VSCode 一键盗 GitHub Token VSCode 发现漏洞，一次点击即可窃取用户的 GitHub Token。细节在 r/netsec 讨论中，目前尚未确认修复状态。 ━━━━━━━━━━ ₿ 四、Crypto 方向 · Bitcoin Optech Newsletter #407 Podcast 已出，本周 BTC 技术动向总结 · ETH Research 出现两篇形式化验证论文：Isabelle/HOL 机械化证明原子跨域状态同步（CROPS 方向）。学术前沿，但这是 ETH 跨链安全的地基工作 ━━━━━━━━━━ 🤔 今日精选 · 值得细读 "我成了 George Jetson" — r/LocalLLaMA 一个工程师自述：工作已经变成对机器说 Yes/No，完全看不懂它在做什么。这个现象不是个例，是整个行业的结构性转变。 Rust 9 种继承方式 — Rust 没有继承，但社区总结出 9 种替代模式。做 CS 教学的话这是一篇教材级内容。 ━━━━━━━━━━ 今日信号：微软用 MAI-Code-1-Flash 打响了 Flash 层价格战，同时年龄验证正在成为各国政府的标准化管控工具。两件事方向相反——AI 越来越便宜、越来越强；而使用 AI 和互联网的自由空间，正在以合法名义被压缩。 #AI #科技 #隐私 #供应链安全 #技术读报