vatt'ghern jaskier's ballads

2026.07.19 —— 今日 10 則

TODAY'S THREAD 今天的線索是重新盤問那些沒人再看一眼的預設與依賴——編譯器默默無視的 C++ 標準、少了物件快取就變成 RCE 的 WordPress、把自己賴以起家的框架整個換掉的 Freya,以及該不該讓 AI agent 碰你的檔案系統。

10 items ai · 2 systems · 2 infra · 2 web · 2 backend · 2
0 / 10 read
#01

Thinking Machines 開源 Inkling:975B/41B 稀疏 MoE 多模態模型

Thinking Machines Lab 放出第一個開放權重模型 Inkling:975B 總參數、41B 活躍的稀疏 MoE,每個 token 只走 256 個專家裡的 6 個外加 2 個共享,原生吃文字、圖片與音訊。授權是 Apache-2.0,SWEBench Verified 報 77.6%、AIME 2026 報 97.1%。一個能自架、能微調的前沿級多模態模型落到開放權重這一側,動搖的是「頂規模型只能租 API」這個預設。

read source → deep read open-weights

#02

GitHub:說 yes 的成本變了——寫程式變便宜,擁有程式沒有

GitHub 工程團隊主張 AI 已經把軟體開發的成本結構翻了過來:寫程式幾乎免費了,但 review、擁有與長期維護那份程式的成本沒變。他們把一個生成出來的 patch 重新定義成「詢價」而不是交付物——把抽象的範圍爭論變成一個能被具體檢視真實成本的 diff。真正變貴的是判斷力:授權、資料保留、隱私這類改動不會因為程式好生成就跟著變便宜。

read source → code-review

#07

GCC 與 Clang 都沒有正確實作 C++ 的 language linkage

有人指出 GCC 與 Clang 其實都沒有正確實作 C++ 的 language linkage:標準明文規定,language linkage 不同的兩個 function type 即使其餘完全相同也算不同型別,但兩大編譯器都把這件事忽略掉。後果是 extern "C" 的函式指標會跟一般 C++ 函式指標被當成同一型別,想靠它做重載會被誤判成 ODR 違反。作者的立場是該修的其實是標準本身,因為兩者的呼叫慣例在多數平台上根本一樣。

read source → cpp

#08

Freya 0.4:Rust GUI 砍掉 Dioxus 依賴,自建 reactive model

Rust GUI 函式庫 Freya 出到 0.4,最大的動作是砍掉對 Dioxus 的依賴、改用自家從頭寫的 reactive 與元件模型。連帶丟掉了 rsx!() 巨集,換成有完整編譯器支援、IDE 能自動補全的型別安全 builder。這版還一次補上終端機模擬器、WebView、docking 版面與 headless 測試——作者花了大約一年才走到這裡。

read source → gui

#09

Docker:為什麼該把 AI agent 關進隔離環境裡跑

Docker 談為什麼該把 AI agent 關進隔離環境裡跑:agent 會自動執行指令、動檔案、打網路,一旦被誘導就可能在你的機器上亂來。他們的答案是 Docker Sandboxes(SBX)與 Sandbox Kits,把 agent 的執行環境包進容器級隔離,降低 runtime 風險也讓治理有個著力點。對正在把 coding agent 接進本機工作流的人,這是把「信任邊界」講清楚的一種做法。

read source → containers

#10

Docker:容器工作流怎麼產 SBOM——build-time vs 事後掃描

另一篇 Docker 的文講容器工作流該怎麼產 SBOM:比較在 build 當下產出、還是 build 完再掃描映像的取捨,以及怎麼把它塞進 CI/CD。重點在 SBOM 的品質——一份漏東漏西的清單,出事時反而會給你假的安全感。在 CRA 這類供應鏈法規把 SBOM 變成硬性要求的當下,這是繞不開的作業。

read source → sbom

#03

topcoat:tokio-rs 端出「全端」Rust web 框架

tokio 團隊端出實驗性的全端 Rust web 框架 topcoat:伺服器端算繪、async 元件可以直接查資料庫,用 $(...) 表達式做免 WASM 的 client 反應式,還靠目錄結構推路由、免 build step。它想砍掉的是傳統前後端之間那層 API boilerplate。專案自己標明早期實驗、會有破壞性變更,目前約 630 顆星。

read source → rust

#04

Regressive JPEG:把整段動畫塞進一張漸進式 JPEG

一篇小品把整段動畫塞進了單一張漸進式 JPEG:它利用漸進式編碼把資料切成多個 scan、後面的 scan 會覆寫前面畫面的特性,用只含 DC 分量(1/16 解析度、仍符合標準)的 frame 一格一格疊上去。瀏覽器大約撐得住 90 個 scan 才放棄。這是個沒什麼實用價值、卻把 JPEG 內部結構講得很透的 hack。

read source → deep read jpeg

#05

jvns:實際跑 SQLite 學到的幾件事

jvns 記下實際在生產跑 SQLite 學到的幾件事:一支全文搜尋查詢跑過 ANALYZE 後從 5 秒掉到 0.05 秒,她推測本來是查詢計畫意外掉進了 quadratic,但也坦言沒查證。另外 SQLite 只允許一個寫入者,一段超過 5 秒的 DELETE 會把其他 worker 卡到 timeout,她的解法是拆成小批次。備份則改用 Litestream 做增量複製。

read source → deep read sqlite

#06

WordPress Core 爆 pre-auth RCE:CVE-2026-63030,6.9/7.0 全中

WordPress Core 爆出免登入 RCE:Searchlight Cyber 揭露的 CVE-2026-63030 打的是 REST API 的 batch 端點(/wp-json/batch/v1),而且只在未啟用 persistent object cache 時可觸發,同批還有一個 SQLi CVE-2026-60137。6.9.0–6.9.4 與 7.0.0–7.0.1 全中,分別在 6.9.5 與 7.0.2 修好。Cloudflare 已在 7 月 17 日上 WAF 規則擋這兩個洞,但沒打補丁的站點等於裸奔。

read source → Cloudflare WAF → security

today's deep reads

deep · 01 Thinking Machines 開源 Inkling:975B/41B 稀疏 MoE 多模態模型 deep · 02 Regressive JPEG:把整段動畫塞進一張漸進式 JPEG deep · 03 jvns:實際跑 SQLite 學到的幾件事