2026.06.24 —— 今日 10 則
TODAY'S THREAD 今天的暗線是「預設正在被退役」:Linux 花六年清掉 strncpy()、別再靠寄垃圾信驗 email、漏洞回報不再特殊,連「人類親手寫程式碼」都被 harness 迴圈逼著重新定義;另一邊則是 bot 時代逼出新的隱私協定,與一場 WebAssembly runtime 的同場較量。
Baidu Unlimited-OCR:把長文件 OCR 再推一步
Baidu 開源 Unlimited-OCR,主打它所謂的「one-shot long-horizon parsing」——把單次推論能吃下的文件長度往上拉,context 開到 32768 token。多頁文件與 PDF 另走專門的 infer_multi 路徑,單張影像則有 gundam 與 base 兩種設定,皆可在 Transformers 與 SGLang 上跑。專案自陳是把 DeepSeek-OCR 再往前推一步,權重與論文(arXiv 2606.23050)已一併放出。
The Coming Loop:當 harness 迴圈接管程式碼
Armin Ronacher 把現在流行的 harness loop——讓模型在最小監督下反覆嘗試直到任務完成——攤開來談。他承認在移植與效能最佳化上這招確實有效,自己就用它把 MiniJinja 移植到 Go;但他擔心一旦用在長期演進的程式碼上,產出會偏向防禦性的複雜堆疊,而非建立穩固的不變式。最後留下一個不安的問題:當 codebase 變成需要機器才維護得動、人類得靠 AI 才讀得懂的有機體,責任與長期可維護性該怎麼算。
Linux 7.2 清掉了 strncpy()
據 Phoronix 報導,歷時六年、超過 360 個 patch,Linux 7.2 成為第一個徹底移除 kernel 內 strncpy() 的版本。strncpy 的惡名在於:即使用 null byte 補滿緩衝區,當來源長度等於或超過 buffer 時它並不保證 null 結尾,是潛伏多年的字串 footgun。這場清理把整個 kernel 從一個容易誤用的 API 上搬開,也示範了大規模 API 汰換到底得花多久。
漏洞回報不再特殊了
Filippo Valsorda 主張:漏洞回報不再是稀缺的特殊事件。理由是 LLM 已經把漏洞挖掘平民化——「LLM 幾乎跟任何安全研究者一樣強,而且人人都能跑」,於是瓶頸從「找漏洞」移到「分流漏洞」。他建議維護者把力氣放在 triage、快速修補與預防,例如把 LLM 分析直接掛進 CI,而不是維持傳統那套以回報為中心的流程。
後量子行政命令訂下 2030 大限
美國一紙後量子行政命令把遷移大限訂在 2030 年,Cloudflare 藉此盤點要達成抗量子韌性還缺哪些工。文章把里程碑與實作的落差講白:訂出期限只是起點,真正的工程在於盤點所有連線、換上混合式金鑰交換,再處理長尾的舊系統。對在管 TLS 與長期資料保密的人,這是該開始排期的提醒。
Samsung 把電晶體往第三維長
Samsung 在技術部落格揭露從 GAA 走向 3D 堆疊 FET 的路線:把電晶體往第三維疊,用三層 nanosheet 通道在 42nm 的節距內擠出更高的電流密度。這是把單位面積的電晶體效能往上推,而非單純縮小製程的一種解法。對關心未來幾代 CPU/GPU 能效的人,這是供應鏈上游的訊號。
2026 年 WebAssembly runtime 的同場效能實測
一份 2026 年的 WebAssembly runtime 效能橫評,把目前主流的 server-side wasm runtime 放在同一組工作負載下實測比較。對要在邊緣、外掛沙箱或 FaaS 場景選 runtime 的人,這種同場較量難得,能看出各家在啟動延遲與執行吞吐上的取捨。
在 bot 時代維持網路的開放與隱私
Mozilla 與 Cloudflare 等夥伴合作,提出一套用「匿名憑證」對抗 bot 濫用、又不犧牲隱私的做法:讓使用者證明自己是真人,卻不必透露身分。它的思路與 Privacy Pass 同源,但刻意避開像 Apple Private Access Tokens 那種綁硬體的路線,改成「任何站點都能為使用者背書,其他站點再決定信任誰」。這跟同期 Cloudflare 對外公布的隱私優先協定其實是同一條線。
別用「寄信」來驗證 email
與其在收下 email 前先「驗證」它存不存在,作者主張:直接寄一封確認信、點了連結才算數。文章拿 Pangram 那種主動批量寄信探測的做法開刀——你要嘛是用「投遞垃圾信」來驗證地址,要嘛被對方的內容過濾擋下,兩頭都不討好,還會害自己的 IP 上 SPAMRATS、Barracuda 這類黑名單。結論很樸素:別在事前驗證,寄確認連結就好。
用 A2A 讓 Python 與 Go 的 agent 同隊協作
Google 示範用 Agent2Agent(A2A)協定,讓一個 Python 寫的 agent 和一個 Go 寫的 agent 在同一個合約合規任務上跨語言協作。重點不在哪個語言,而在 A2A 把「agent 之間怎麼互相發現、委派、傳訊」標準化成一套協定,搭配 Agent Development Kit(ADK)落地。對在拼多 agent 系統的人,這給了一個不必綁單一框架或語言的互通範式。