灰机仔

网络安全的重要性和迫切性在不断的变高

我对赛车了解很浅，但对人的兴趣很高，去年在程前那里看「从县城修车工到年入7亿的车企老板」，印象很深，这几天张雪在WSBK的夺冠消息刷屏，有种合订本的感觉。 这是一个纯血的中国剧本，不值一文的年轻人靠着勤奋聪明，打破所有的质疑和预期证明自己名利双收，很像短剧，然而胜在真实，这次的版本是，艺术固然源于生活，生活却会高于艺术。 不过我要说的也不是跟风赢吹输婊，而是中国制造业的「好处」可能还在被低估。 这么说可能有点奇怪，中国制造业的强大已经有太多材料佐证了，为什么还会认为它被低估了？ 最开始，制造业是承接就业人口的手段，是养活上亿劳动力的饭碗，以2012年的峰值来算，占到了22%以上的全国岗位，这也是张雪赤手空拳开始去重庆创业的年份。 然后你会发现，制造业是有产业带效应的，张雪一个地地道道的湖南人，为什么要去重庆造车，连我这个根本不懂摩托车的人都能理解，重庆出了很多摩托车品牌，比如力帆——感谢那些年看的甲A联赛——配套最齐全，当然适合造车啊。 产业带是集聚效应的成果，当一条产业的上下游工厂都开在「小时达」的接触半径后，所有的成本，包括显性的物流成本和隐性的沟通成本，都会大幅下降，这个时候再用秦晖老师的「低人权优势」去下判断，就解释不通了。 这也是生态的一种，就像黄仁勋放话说竞争对手的芯片哪怕免费出售也撼动不了英伟达的市场优势，姑且不去较真这句大话，他的意思其实是背靠CUDA用了20年经营出来的开发生态，重复造轮子的离开成本其实远远高过芯片本身的溢价成本。 于是就有再然后的，中国在贸易战里越打越顺的既成事实。 贸易战这个事情，颠覆了很多所谓的常识，这很正常，智慧的增长就是需要不断修正自己的认知，比如最经典的「买方市场论」，得罪甲方死路一条。 理论上当然没有任何问题，美国有世界上最强的消费市场，以及同等分量的议价权，供应商不听话，换一个就是，就是这么任性，对吧。 但实际上呢，脱钩喊了这么久，越来越雷声大雨点小，去年还把中国的贸易顺差干到了史无前例的万亿美金级别，不会真以为是穷得响叮当的南方国家填上了美国的市场吧，还不是转口贸易立大功。 如果说转口贸易是中国企业在钻空子，那么问题来了，如果美国本土没有消费需求，这转口也不可能成立啊，反过来也是一样，新加坡前几年最高时消化了英伟达超过28%的芯片出口，怎么，是新加坡人特别爱拿芯片泡酒喝吗？ 好用的东西，就是不愁卖，都是千年的狐狸，谁也别玩聊斋。 贸易没有输赢，它的本质是各取所需，印度、越南、印尼都尝试过要当中国的备份，但是仔细去看，除了承接中国产业链本就向外转移的那部分之外，能够自食其力的，很少。 到头来就是现在这么一个纳什均衡的状态，「任何单个参与者都无法通过仅改变自己的策略来获得更高的收益」，美国做不到，中国也做不到，大家继续按照比较优势的规律行动。 再往下讲，就是制造业对于工程师的培养能力，中国——或者说整个东亚——历史上是没有工程师文化的，这边更讲究以师徒相授的关系为底座的工匠文化，如果你们还记得的话，「工匠精神」还在中文互联网火过一阵子，幸好后来没被带偏。 工程师文化是舶来的，它也没有通过进入教育体系来从头塑造，完全基于繁荣的制造业和商业自下而上的开枝散叶，在这个语境里的工程师，也和老旧宣讲材料里的那些「张工」「李工」完全不一样了，是个人禀赋、致富回报、市场机会的叠加塑造。 张雪就是凭借他的手艺去重庆的，手艺怎么来的，早年自己修车，修熟了去车队当机械师，最后真当成了车手，用一线实践来指导产品研发，就这么一件事干了十年，到了26岁创业的时候，就会发现资源开始自动的围过来。 讲道理，如果把张雪这个名字抹掉，这个故事特别像我们从小看的日本或者美国传记文学，道奇兄弟不就是这么成功的吗，自小用废铁造自行车，逆向工程汽车轴承，从给福特供应零部件起家，翅膀硬了就做了自己的品牌。 以及帕卡德、戴尔、博斯⋯⋯事实证明，拥有强大的制造业传统，就是能够孕育出工程师的梯队，因为再离谱的设想都能在可控的成本里验证试错，而不是变成一摞摞的达芬奇手稿。 现在，我们要熟悉张雪这样的中国人名越来越多的出现在史册上了。 张雪说他到重庆后，第一个去的就是一个类似华强北的地方，按照自己的需求，2万块钱就攒出了一台车，用这台车换到了启动资金，公司做大之后，他要自己来做发动机，把精度从5丝压到3丝，也是能找到供应商实现这个要求。 苹果的CEO库克在电视采访里说过这么一段意思，苹果选择中国代工早就不是人力成本低这个原因了，在美国如果要开一个模具会议，能找来的工程师连一间办公室都坐不满，但在中国可以坐满好几个足球场。 你可以说他来中国出差是在舔市场，但不能质疑他作为一个供应链大佬的身份被选为CEO的资质和判断。 众所周知，制造业能为就业兜底，同时这种兜底，又能构建一套丰富的工程师梯队，从熟练技术工人，到中级技术专家，再到高级研发人才，更重要的是，这套体系有着充分的流动性，它和其他很多传统行业不一样，对生产资料的依赖很低。 张雪的身份就经历了多次的无缝切换，当他在湖南修车的时候，是底层小工，当他在车企打工时，是技术专家，当他自己创业，就是在用高级研发的本事去组队，他自己都说了，「大家开始习惯了，跟张雪一起去把事情干出来。」 最后，可能在很多人看来是微不足道的，但我觉得非常有意义的是，制造业的昌盛可以真的为所欲为，包括培养出一大批追随本心实现所谓「资产阶级趣味」的活人。 赛车运动就是其中之一，还有国产跑鞋这些年在马拉松赛事里的渗透，以及Hi-Fi是怎么从发烧友市场变成挑战大牌的，甚至连俞浩都属于这个范畴，他是中国最早的四旋翼无人机开发者，因为对马达技术感兴趣，「转行」干了扫地机器人⋯⋯ 「资产阶级趣味」的本质，是从心，也是自由，自由这个事吧，需要松弛和风险，在紧张的社会里是一种奢侈，但在一个乐观向上的环境里，它又是一个必需品。 某种意义上，张雪峰和张雪都代表了中国的多个棱面： 张雪峰为普通家庭降低选择的容错，用肉身撑起那条拿文凭换未来的轨道，如实告知你们承担不起自由这玩意儿。 而连高中都没上过的张雪又证明了，自由纵使不是免费的，但它却会为那些真正相信自己有才能的人打开大门，「我比别人努力十倍，成功凭什么不是我的？」 可以结果参差不齐，唯要机会公正平等，健康的制度就是要实现这个原则。 「有没有一种可能，张雪如果不是家庭条件那么差，父母没能力管他，现在也揣着某个二流大学的文凭在送外卖？」 是有这个可能。 但我觉得看过他的那些视频的人，都不会这么认为，眼里有光是装不出来的，也很难因为外力而自动熄灭。

🚨 CRITICAL: Active supply chain attack on axios -- one of npm's most depended-on packages. The latest axios@1.14.1 now pulls in plain-crypto-js@4.2.1, a package that did not exist before today. This is a live compromise. This is textbook supply chain installer malware. axios has 100M+ weekly downloads. Every npm install pulling the latest version is potentially compromised right now. Socket AI analysis confirms this is malware. plain-crypto-js is an obfuscated dropper/loader that: • Deobfuscates embedded payloads and operational strings at runtime • Dynamically loads fs, os, and execSync to evade static analysis • Executes decoded shell commands • Stages and copies payload files into OS temp and Windows ProgramData directories • Deletes and renames artifacts post-execution to destroy forensic evidence If you use axios, pin your version immediately and audit your lockfiles. Do not upgrade.

这问题过于傻逼了...

Must have plugin for Claude Code!

DeepSeek的新功能没灰度到我啊，我很绝望啊

白天看到这个吹了半天的 Claude better，发现这个项目只是个 Readme。 但刚才从睡梦中醒来再一想，这个项目重点不在于源码。 重点在于： 用竞品的 AI （Codex）花 $1100 就能把你的产品（Claude Code）完整逆向重写一遍，性能更好，行为一模一样，连 analytics header 都原样复刻。本质上这不是一个性能优化项目，这是一个对 AI 时代软件护城河的攻击性演示。 不开源是怕 Anthropic 用法律手段干预。这位作者据说是 Swift 知名开发者，Claude Code npm 发行版包括源码，复刻也不是不可能的事情。姑且相信他真的做到了。 既然不开源，那最多就算一种行为艺术了。AI 复刻各种开源软件可以，但复刻这种硬骨头，要被法律的武器给打的爆金币了。 就算不被法律打爆，你那个复刻品能赶得上 Claude Code 一天发一个版本的节奏吗？这是个问题。

github.com/dogadmin/ProcIR 好兄弟做的开源应急小工具 ，足以解决一部分场景。易用性也很高。 ai时代了市面上的应急小工具都藏着掖着不开源，还放啥github… 支持！

需要一个功能时发现 Canva 居然如此封闭，不发布公开 App 就只能买企业版，orz

迪丽热巴真好看啊

几个小时前美国通过了《芯片安全法案》(H.R.3447 - Chip Security Act)，要求所有算力芯片都要具备定位功能 前两年禁止 Nvidia 向中国出售高算力显卡之后，在香港新加坡日本出现了很多显卡的二道贩子，做显卡的转卖，而之后的新 GPU 可能不会再有这种事情了 而 Nvidia 真的没有替代品吗，其实是有的，就是之前风评不太好的华为昇腾显卡 虽然在工程师的角度来看，昇腾的卡早年真的不太好，我 23 年花了半个月的时间跑了华为昇腾芯片的 LLM 训练和推理，底层的算子都有问题，还得自己改，都快给我干得怀疑人生了 但站在国家发展的角度，以后自研的芯片其实是逐渐可以用了 最近的消息还有：学术顶会 NeurIPS 不接受制裁名单的投稿、方便中国公司融美元并上市用了三四十年的 VIE 红筹架构被要求废除 虽然创业者和投资人只关心自己的商业问题，但在这个时代节点不得不认清一个问题： 如果你的项目发展壮大了，在国际冲突日益加重的今天，你到底姓什么 foreignaffairs.house.gov/news/press-rel…

The TurboQuant paper (ICLR 2026) contains serious issues in how it describes RaBitQ, including incorrect technical claims and misleading theory/experiment comparisons. We flagged these issues to the authors before submission. They acknowledged them, but chose not to fix them. The paper was later accepted and widely promoted by Google, reaching tens of millions of views. We’re speaking up now because once a misleading narrative spreads, it becomes much harder to correct. We’ve written a public comment on openreview (openreview.net/forum?id=tO3AS…). We would greatly appreciate your attention and help in sharing it.

这个效果还不错

Codex 终于也支持 plugin 和 marketplace 了，这个要是支持 subagent 就完美了

harness 难翻译个锤子🔨

感觉明年再换比较合理 23333

If you want to get first-hand information about #ChineseLLMs, especially #DeepSeek, you need to download and install Xiaohongshu/RedNote. #joke

太正常了

@xiaohu 有个小建议，使用 uv 驱动 Python 脚本，这样可以直接省略安装依赖这个步骤直接运行时自动安装。然后看上去整个 skills 直接就可以通过 marketplace 功能直接托管了

一句话搞定公众号排版、封面生成、发布 我做了个技能组合，可以一句话搞定公众号排版、封面生成，和一键发送到公众号草稿箱，你只需点下发布即可。 已经开源了 有20种主题颜色可选 最重要的是它会自动分析你的内容，进行自动排版，不是Markdown文件也没关系。 全程不需要你操作，人机协作典范 你可以在Claude Code、Codex 或 OpenClaw 直接告诉你文章链接或者发送文档位置即可。 它排好版会给你个可视化界面让你选择预览

anthropic.com/engineering/in… 其实几分的差距都可以视为普通波动。只采用梯队可能更合理一些