2026.07.01 —— 今日 10 則
TODAY'S THREAD 今天的主線是「舊防線撐不住新負載」——一個核心 FUSE 檢查潛伏六年才被引爆、Meta 把儲存架構整套重寫、Uber 從 goroutine 堆疊裡榨出 CPU,三篇深挖都在講系統被撐到極限時該怎麼重新設計邊界。
Claude Code 被發現在請求裡藏隱寫標記
一篇部落格文章指出 Claude Code 疑似在對外請求中植入了不易察覺的隱寫標記,作者在 Lobsters 上引發熱烈討論。若屬實,這代表 vibe coding 工具的輸出裡可能藏著使用者從未同意、也難以察覺的識別資訊,對隱私與供應鏈信任都是新的攻擊面。這也是為什麼這類第三方獨立驗證的貼文,比廠商自己的公告更值得工程師花時間讀。
GitHub 用 AI 抓洩漏密碼,誤判率降 94%
GitHub 把 Copilot secret scanning 從純 regex 換成理解上下文的 LLM 判斷——用 few-shot prompting、chain-of-thought 加上 Microsoft 的 MetaReflection 強化學習,讓系統看密碼出現的位置與用法,不只比對字元格式。正式版上線後鏡像測試顯示誤判率降低 94%,目前已在約 35% 的 GitHub Secret Protection 儲存庫上偵測到真實密碼。對維運團隊來說,這代表 secret scanning 終於能在不被海量假警報淹沒的前提下用。
Microsoft Agent Framework:自己搭一個 agent harness
Microsoft 這篇教學把「agent harness」講清楚:一個包了工具呼叫、規劃、記憶、人核可與可觀測性的迴圈,包住底層語言模型。Agent Framework 把這些拆成可組合的模組,不用每個專案重新手刻一套。文章用一個查股價、讀投資組合、寫報告的個人理財助理示範整條迴圈怎麼串起來,作者稱這種全功能、command-line 風格的成品叫「claw」。
一個核心檢查漏洞潛伏六年才被引爆
CVE-2026-31694 的分析顯示,Linux 核心 fs/fuse/readdir.c 裡少了一個關鍵邊界檢查:程式只驗證項目是否還塞得進當前頁面剩餘空間,卻從沒驗證項目本身能不能塞進「一整頁」。這個隱性前提從 2018 年的 commit 就存在,直到 2024 年 FUSE_NAME_MAX 上限被拉高到 PATH_MAX-1 才被引爆——namelen 衝到 4095 bytes 時,記錄長度變成 4120 bytes,超出 4096 bytes 的 PAGE_SIZE,memcpy 就把 24 bytes 寫出頁面邊界外。修補在今年 4 月才合併進主線。
Uber 靠固定堆疊大小,把 Go 服務 CPU 榨出 10%
Uber 用 profiler 發現 goroutine 的預設 2KB 起始堆疊,會在熱路徑上頻繁觸發 runtime.morestack 而吃掉可觀 CPU——其中一條熱路徑 go.uber.org/yarpc 的 Middleware.Call 就量到吃了 2.6KB 堆疊。他們試過 pooling,也試過用 linkname 私自連結改 runtime,最後選定 profiler 導向的靜態堆疊預先配置,把起始堆疊拉到 32KB。上線後堆疊增長造成的 CPU 成本從約 10% 降到不到 1%,代價是每個 16GB container 多付不到 2% 的記憶體。
Meta 重寫 AI 儲存架構:exabyte 規模、80% 快取命中率
Meta 把 AI 儲存的骨幹換成 Tectonic 這個跨租戶、用 erasure coding 的區域式區塊層,metadata 統一放進 ZippyDB 做 O(1) 查詢,還把 Tectonic BlockClient 直接嵌進 SDK 裡讓客戶端跳過 API server 代理這一跳。搭配 L1 主機記憶體、L2 主機 flash、L3 區域式 flash 的三層快取,整套系統在餵養數十萬顆 GPU 訓練時仍能維持 80% 的快取命中率。這是少見的、把「儲存怎麼跟著 AI 訓練規模一起重新設計」攤開來講的大廠架構文。
IPFS 發布延遲從 15 秒砍到 0.7 秒
IPFS 過去發布內容要等 DHT walk 逐個確認三個最近節點的回應,節點在高流動網路裡常常連不上,系統就一路往更遠的節點回退查詢,延遲常逼近 20 秒。Optimistic Provide 改用統計估計網路規模、90% 信心就先寫入、20 個確認裡收到 15 個就先回應使用者,其餘留在背景繼續跑。Kubo v0.39.0 上線後延遲從約 15 秒降到約 0.7 秒,網路開銷還減少 40%,北美與歐洲九成請求做到次秒級寫入。
當年為救急上線的防護規則,正在誤傷正常用戶
GitHub 檢視自家防禦系統時發現,過去因應濫用事件臨時上線的流量限制規則,從未被重新審視就一直留在生產環境——這些規則正在誤傷約 0.003%–0.004% 的正常流量,而在符合可疑指紋的請求中,只有約 0.5%–0.9% 同時觸發了商業邏輯規則而被實際擋下。GitHub 因此把事件應變措施預設視為暫時性,要轉正必須經過明確決策,並加強跨防護層的可觀測性,避免這類技術債無聲堆積。
Square 與 Cash App 停機事後分析:一次憑證更新拖垮支付
Square 公開的事後分析指出,一次例行的安全憑證包更新,讓支付系統無法正常跟資料庫通訊——原因是部分服務仍靠人工流程去套用服務間通訊憑證的變更。時間軸從 19:40 UTC 憑證部署開始,到 22:13 UTC 完全恢復,前後約兩個半小時。對仍仰賴手動憑證流程的團隊,這是提醒:憑證輪替這種「應該很無聊」的維運操作,一樣能整條打穿支付路徑。
Cloudflare 用 HTTP 402 讓你對任何資源收費
Cloudflare 的 Monetization Gateway 建在 x402 這個開放協定上——伺服器對受保護資源回應 402 狀態碼與計價資訊,用戶端付款後帶著付款證明重送請求,由 facilitator 驗證後放行,整套在邊緣完成不用碰 origin。開發者可以像寫一般 Cloudflare 規則那樣設定「對 /api/premium/* 的 GET 請求收 0.01 美元」,AI agent 帶著穩定幣付款證明重送請求,一秒內完成整個流程,不需要事先申請帳號或 API key。