2026.06.25 —— 今日 10 則
TODAY'S THREAD 今天兩條線並行:一邊是把同一套硬體與 runtime 榨到極限——NVIDIA 讓機房在 45°C 運轉、Rails 拆成八個資料庫、Gemini 把 computer use 收進模型;另一邊是被忽略的信任邊界——DNSSEC 與 OAuth 在提醒,省掉的那層驗證遲早要還。
當模型沒見過你的程式碼
Microsoft 在 Agent Experience 系列點出一個熟悉的失敗模式:當 AI coding agent 沒見過你的私有程式碼,它不會說「不知道」,而是套訓練資料裡最接近的公開技術——把你的內部 auth library 當成 OAuth,產出看似合理卻錯的程式碼。解法是把 extension 當教材:用 instruction file 明寫「這套用 mutual TLS、不是 OAuth」、用 MCP server 餵 API 細節、把錯誤訊息寫成會點破誤解的教學面。文章也算了一筆帳——糾正一個已知技術約 500 token,從零教一個未知技術要 3000+。
Krea 2:開放權重的影像生成模型
Krea 2 是一個開放權重的影像生成模型,採 diffusion transformer 架構,並用上 grouped-query attention、sigmoid-gated attention,文字編碼器接 Qwen 3 VL。訓練走多階段:256px 到 1024px 的 pretraining、midtraining、SFT、偏好最佳化再到 RL,並刻意避開 AI 生成圖以保住美學多樣性。官方稱在 Artificial Analysis 榜上進前十、在獨立實驗室中排第二,K2 Raw 與 K2 Turbo 權重都已在 Hugging Face 釋出。
Gemini 3.5 Flash 把 computer use 收進模型
Google 把 computer use 直接做進 Gemini 3.5 Flash:讓 agent 能在 browser、mobile 與 desktop 環境裡「看畫面、推理、然後動手」——分析 UI 的視覺資訊再執行操作。安全面用了 targeted adversarial training,並提供企業端的可選防護:敏感操作要使用者確認、偵測到 prompt injection 就自動中止任務。能力即日起透過 Gemini API 與 Gemini Enterprise Agent Platform 開放,另有 Browserbase 代管的 demo 環境可試。
把 WINE 移植到自製的 hobby OS
有人把 WINE 移植到自製的 hobby OS「Astral」上,目標是在一個從零寫起的系統上跑 Windows 遊戲。這篇是一段務實的移植日誌:要讓 WINE 跑起來,得補齊它假設存在的那層 Linux syscall 與行為,過程本身就是對 WINE 怎麼把 Windows 呼叫翻成宿主系統的一次解剖。對好奇相容層內部、或在自幹 OS 的人,是難得的第一手記錄。
NVIDIA 讓機房在 45°C 運轉
NVIDIA 在技術部落格揭露 Rubin 世代改用 100% 液冷、冷卻水溫拉高到 45°C 的設計:不只 GPU/CPU,整機所有元件都重新為液冷設計,藉此拿掉風扇、把用水量壓到趨近於零。NVIDIA 自陳冷卻溫度每升 1°C 約省 4% 冷卻能耗,一座 50MW 廠房一年可省超過 400 萬美元。對在規劃 AI 機房散熱與功率密度的人,這是把「熱」當成系統設計變數、而非單純縮製程的另一條解法。
忽視 DNSSEC,等於替 MITM 鋪路
作者用一個挑釁的標題主張:把 DNSSEC 當成可有可無,等於替 MITM 攻擊鋪路。論點圍繞 DNSSEC 的信任鏈——少了對 DNS 回應的密碼學簽章驗證,攻擊者就有機會竄改解析結果、把連線導向他處,而這層保護常被當成可選而略過。火力集中、立場鮮明,適合拿來重新檢視自己手上的網域到底有沒有真的開 DNSSEC。
Nub:對標 Bun 的 Node.js 全家桶
Nub 是一套對標 Bun 的 Node.js 全家桶——把 runtime、bundler、test runner、package 管理等工具收進單一工具鏈,目標是讓 Node 生態也有「一個指令搞定」的開發體驗。對被 Bun 的整合度吸引、卻又得留在 Node 執行環境的人,這是一個值得追蹤的方向。專案仍在早期。
Slint 1.17:拖放、系統匣、雙向綁定補齊
Rust 的 UI 框架 Slint 釋出 1.17,補上不少桌面級能力:新增 DragArea/DropArea 的拖放、跨 macOS/Windows/Linux 的系統匣圖示,以及內建 tooltip 與 model row 的雙向綁定。底層也加快了 Node.js port、在 Linux/macOS 降低 idle CPU,並為 Android 補上 C++ 支援。對用 Slint 做跨平台原生 UI 的人,這一版把日常會用到的互動元件補得更齊。
每小時 4100 萬請求:Rails 拆成八個資料庫
Aura Frames 在 2025 聖誕節尖峰扛下每小時 4100 萬次 API 請求(約 11.4K req/s),靠的是把單一主資料庫拆成八個。關鍵是 Rails 7 的 disable_joins:true——它把跨表 join 改寫成多條 SELECT,讓查詢不再跨越資料庫邊界,得以分散到八個獨立 primary。團隊還用 physical replication 把唯讀 replica 升格成 writer 來搬資料,尖峰時整個叢集每秒處理 22.6 萬筆交易。
Cloudflare 把自管 OAuth 開放給所有人
Cloudflare 抽換掉自家核心 OAuth 引擎,藉此把「自管 OAuth」開放給所有開發者,而不再只是內部能力。文章誠實交代了那場 migration 的工程取捨——切換窗口約三小時,而且為了讓資料庫在切換期間仍可寫入,接受了少量寫入在新舊版本交接時遺失。對在設計第三方應用授權、或評估自建 vs 外掛 OAuth 的人,這是一個少見地把代價講白的實戰參照。