看到用 resize algorithm 攻擊 AI model 的方法:「Weaponizing image scaling against production AI systems」(via),然後有對應的 GitHub 專案:「Anamorpher」。 作者引用了 USENIX Security '19 的成果:「Seeing is Not Believing: Camouflage Attacks on Image Scaling Algorithms」,另外在在 USENIX Security '20 的「Adversarial Preprocessing: Understanding and Preventing Image-Scaling Attacks in Machine Learning」則是講比較多關於防禦的部分。 早期的這兩篇主力都是圖片而已,而新的這篇則是試著疊 prompt 進去,可以看到效果頗不賴?
在「ghrc.io Appears to be Malicious」(via) 這邊提到了 ghrc.io 的惡意行為,而且過了兩個禮拜,看起來還持續著,沒有被下架。 GitHub 的 ghcr.io 是拿來提供 container 服務的,在官方文件「Working with the Container registry」裡面有提到這塊。 而把 c 與 r 對調的 ghrc.io 看起來是拿來偷 GitHub token 的,當打錯的時候就會把 token 送進去: A simple typo of ghcr.io to ghrc.io would normally be a small goof. You’d typically get a 404 or similar error, finally work out the … Continue reading "ghrc.io 的惡意行為 (不是 GitHub 本家的 ghcr.io)"
目標是希望把 Port 443 同時用在 HTTPS 網站以及 HTTPS Proxy (i.e. 瀏覽器到 Proxy 中間有加密的協定),其中 HTTPS Proxy 是跑 Squid,本來是用 nginx 做這件事情 (透過 ngx_stream_ssl_preread_module 的 ssl_preread_server_name 判斷 hostname),但遇到了 nginx 無法動態決定是否要啟用 proxy_protocol 的問題:「How to set the proxy_protocol to 'on' in a conditional manner in nginx?」,不確定是 bug 還是 feature。 第二個問題是 Squid 對 proxy protocol 的支援是透過 require-proxy-header 指定在 http_port 上的,而 https_port 不支援這個參數,也就是說在配合這個情境下,如果還想讓 … Continue reading "用 Caddy 在同一個 Port 同時服務網站與 HTTPS Proxy"
一開始是在 Mastodon 上看到的消息,後來有報導了:「Mis-issued certificates for 1.1.1.1 DNS service pose a threat to the Internet 」,另外 Cloudflare 官方也有發文:「Addressing the unauthorized issuance of multiple TLS certificates for 1.1.1.1」。 這次出包的看起來不少地方,第一個當然是 CA 方 Fina,這家克羅埃西亞公司發的 CA 憑證在主流瀏覽器裡面只有 Microsoft 的 Microsoft Root Store 有信任,所以主要是 Windows 平台會受到影響: Company name: Financial Agency (FINA) Address: Ulica grada Vukovara 70, HR-10000 Zagreb, Croatia 另外有提到也在 EU … Continue reading "Cloudflare 沒抓到 1.1.1.1 憑證錯發的問題"
在「Manim: Animation engine for explanatory math videos (github.com/3b1b)」這邊看到的,專案我記得開源一陣子了 (MIT License),這次在 Hacker News 上翻到發現沒有提到過,寫下來整理一下:「3b1b/manim」。 3b1b 是簡稱 (或是暱稱?),官方網站是 3Blue1Brown,也是 YouTube 上的頻道名稱:「3Blue1Brown」。 頻道主要是講數學相關的主題,需要產生很多影片解釋,所以作者就用 Python + FFmpeg 搞出了一套系統生出這些影片: System requirements are FFmpeg, OpenGL and LaTeX (optional, if you want to use LaTeX). For Linux, Pango along with its development headers are required. See instruction here.
在「The Deletion of Docker.io/Bitnami (broadcom.com)」這邊看到的,Bitnami 的原始公告是「How to prepare for the Bitnami Changes coming soon」。 本來的 free docker image 要被幹掉,分成 Bitnami Secure Images 與 Bitnami Legacy Registry: A couple of options users have: Switch to Bitnami Secure Images Switch to the Bitnami Legacy Registry 先講 Bitnami Legacy Registry 的部分,看起來就是把現有的 image 丟過去就不會動他了,後續也當然不會有安全性更新: Another option for users of … Continue reading "Bitnami 走向訂閱制"
先是在 Telegram 上的「Hacker News 100 繁體中文」上看到 「The Rise of Hybrid PHP: Blending PHP with Go and Rust (yekdeveloper.com)」這則消息,然後看原文「The Rise of Hybrid PHP: Blending PHP with Go and Rust」的時候注意到這段提到 FrankenPHP 已經被 PHP Foundation 收編了: We’ve recently switched to FrankenPHP (after seeing it become officially supported by the PHP Foundation). 查了一下確認 FrankenPHP 是個綁在 Caddy 上的 application server: … Continue reading "FrankenPHP 被 PHP Foundation 收編了?"
這幾天看到這四篇連載,想到我好像一直沒整理出來我自己辦第四台網路的一些心得,不過在寫下來之前還蠻推作者的這四篇文章,雖然有蠻多專有名詞的,但即使不是業內人士,有些心得的部分也還蠻值得看看的: 南桃園 - 可能是我用過最爛也最好的網路(一)前言與穩定性 南桃園 - 可能是我用過最爛也最好的網路(二)安裝品質、設備爭議與網路穩定性 南桃園 - 可能是我用過最爛也最好的網路(三)比擬商規網路的定址模式 南桃園 - 可能是我用過最爛也最好的網路(四)內部作業流程缺乏整合 - Cable Modem 更換 Drama 與真實網路測試 我會拉第四台網路的理由比較單純,因為我是靠電腦與網路吃飯的:我在家裡有拉一條 500M/500M 的 HiNet 光世代,希望有一組備援網路可以上網。 社區有宅急網,不過用過一年 (因為一次繳一年) 發現其實是分接 HiNet 的二房東,當 HiNet 出問題或是維修的時候其實都是同一區中獎,所以後來約滿就不續約,回頭改找其他業者。 我這區有大大寬頻,但工程師來了說需要光纖進線,我當初裝潢的時候沒多放,他們看了一下無法鑽牆放進來就放棄了... 反而是當初有放一條第四台的 cable,另外一家是全國數位,打電話過去確認在我們社區還是走 cable (我在 2022 年的時候就有用過他們家),另外官網上完全沒有寫目前的優惠方案,但是電話裡面可以問到。 我後來辦的是 120M/100M 的方案,但裝機最後的測試跑不到上傳 100M 的 80%,但裝機的工程師還是要我簽名驗收,我想了一下畢竟是拿了人家設備總是要簽收,所以就要求在驗收單上註明上傳速度不足的問題: 簽完以後裝機的工程師說會反應,但我自己知道在目前外包的制度下大概不會反應,隔天直接打電話進客服報修,然後跟他們說裝機當下就未達 80%,在驗收單上有白紙黑字說明這件事情。 後續又派了一個工程師來測試,最後發現是外部線路的問題,弄了三四天換了以後上傳的速度才跑到 100M。 接下來就是「解決奇怪的 10 秒 Stalled 的問題」這篇的問題了,DCTV 的設備對 NAT … Continue reading "為什麼會想要辦第四台網路"
在 Lobsters 上看到有人提到上個月 Amazon SQS 的新功能 Fair queuing,看起來我是漏掉了:「Building resilient multi-tenant systems with Amazon SQS fair queues」。 直接看圖與 code 比較好說明,這張是 SQS 沒有開 fair queue 的情況: 這張是有開 fair queue 的情況: 從 code 可以看到多了一個 .withMessageGroupId() 的設計: // Send message with tenant identifier SendMessageRequest request = new SendMessageRequest() .withQueueUrl(queueUrl) .withMessageBody(messageBody) .withMessageGroupId("tenant-123"); // Tenant identifier sqs.sendMessage(request); 可以避免突然有 producer 產生了大量的工作進來,影響到其他 producer … Continue reading "Amazon SQS 的 Fair Queue"
Anthropic 宣佈要開始使用你的資料訓練 AI model 了:「Updates to Consumer Terms and Privacy Policy」(via)。 包括了所有個人版本,無論是否有付費,預設都會拿你的資料去訓練: These updates apply to users on our Claude Free, Pro, and Max plans, including when they use Claude Code from accounts associated with those plans. They do not apply to services under our Commercial Terms, including Claude for Work, Claude Gov, Claude for … Continue reading "Anthropic (Claude 系列的服務) 在 2025/09/28 後預設會拿你的資料訓練"
從「Tesla said it didn't have key data in a fatal crash, then a hacker found it (washingtonpost.com)」這則裡看到的,原文有 paywall,在「Tesla said it didn’t have key data in a fatal crash. Then a hacker found it.」這邊可以看到全文。 2019 年的車禍 Tesla 說他們沒有車禍當時的資料: Years after a Tesla driver using Autopilot plowed into a young Florida couple in 2019, crucial electronic data … Continue reading "Tesla 在車禍刻意隱瞞資料"
在 Hacker News 首頁上看到「Certificates for Onion Services (torproject.org)」這篇,提到了 Tor 的 onion service (hidden service) 上申請 TLS certificate 的需求:「Certificates for Onion Services」。 四年前寫過「讓 Tor 的 .onion 支援 HTTPS」這篇有提到這件事情,看起來後面沒有太多進展? Tor 的 onion service 在 v3 後,網址本身就是 public key 了 (在「Onion Service 第二版的退場計畫」這邊有提到),可以直接放下 256-bit 的 ed25519 public key: The most obvious difference between V2 and V3 onion services … Continue reading "Tor 的 .onion (Onion Service) 的 TLS Certificate"
上個禮拜在 Lobsters 上看到的文章,在講透過 gzip 傳輸在 IoT 設備 (ESP32) 可以省下來的電量:「How much power does gzip save on IoT web access?」。 作者測試的資料是 Tom's Hardware 的 RSS feed,屬於 XML 類的資料,未壓縮 224KB,gzip 壓縮後 47KB: I created a simple Arduino sketch which sends a GET request to TomsHardware RSS feed. This returns a XML file. For the first test, I request … Continue reading "gzip 傳輸在 IoT 設備 (ESP32) 上節省的電量"
在「Typepad is shutting down (everything.typepad.com)」這邊看到 Typepad 要收了的消息,正式公告是:「Typepad is shutting down」。 2020 年停止收新的用戶,然後最近要停止服務了: As of the end of 2020, Typepad was no longer accepting new signups. Instead, the company refers new users to Bluehost, another web hosting company owned by Endurance International Group. On August 27, 2025, Typepad announced it would shut down on September 30, … Continue reading "Typepad 將在 2025/09/30 停止服務"
前幾天在 Lobsters 上看到的文章,在講 Linux 下 NTP 的精確度:「The Limits of NTP Accuracy on Linux」。 順一下單位:ms (10-3 -> μs) (10-6) -> ns (10-9)。 文章裡面有講到蠻多干擾來源的,這邊因為時間需要測量很精準,所以會看到作者搬了示波器出來: 裡面搬出了不少有趣的東西,像是他發現收 GPS 的時間訊號也會有明顯的差異 (200ns 的光速已經是 60m 的距離了),大概是他手上拿到那顆模組本身的限制: GPSes don’t return perfect time. I routinely see up to 200 ns differences between the 3 GPSes on my desk when viewing their output on an … Continue reading "Linux 下 NTP 的精確度"
在 Telegram 上看到被提醒 AWS 要在台灣開發票了: 這主要是財務上與合約上的改變,連結是「AWS Taiwan FAQs」這個,裡面提到本來是跟 Amazon Web Services, Inc. 的合約,接下來會變成「台灣亞馬遜網路服務有限公司」: 一. Amazon Web Services(AWS)為什麼推出台灣亞馬遜網路服務有限公司? 在不久的將來,台灣亞馬遜網路服務有限公司(以下簡稱「AWS 台灣」)將取代Amazon Web Services, Inc.(以下簡稱「AWS, Inc. 」),成為所有被識別為位於台灣的AWS帳戶的合約方及AWS服務轉售商。這項變更首先影響擁有統一編號的AWS帳戶,並於2026年擴及無統一編號的客戶。 這邊要吐槽一下自己弄的 Q&A 還是不對題的問題,你的問題是「為什麼要推出 AWS 台灣」,但回答的內容是被問到「AWS 在台灣有什麼變化」。 用「台灣亞馬遜網路服務有限公司」查可以查到統編是 53935562,其實設立很久了 (2012 年成立的),我猜應該是因為台灣有 region 的關係才有的變化,大概是國稅局出手? 這樣應該是能直接解決 20% 稅務的問題,國內的 AWS 經銷商應該會少很多小額的業績...
因為發現 Raspberry Pi 3B 可以跑 64-bit OS 所以就整台重新安裝了,之前是用 nginx,但現在都打算跳到 Caddy 了,最後弄出來的版本是這樣: redir /smokeping/ /smokeping/smokeping.fcgi handle /smokeping/*.fcgi { reverse_proxy /smokeping/*.fcgi unix//var/run/smokeping-fcgi.sock { transport fastcgi } } handle_path /smokeping/* { root * /usr/share/smokeping/www } 設定應該蠻好懂的... 網路上找到的大多都用 fcgiwrap 跑 CGI script (所以會看到他們對 *.cgi 處理),只是拿 FastCGI 當作 Caddy 與 CGI script 溝通的介面。 我這邊是習慣用 spawn-fcgi 常駐 FastCGI script (所以會看到我對 *.fcgi … Continue reading "SmokePing (FastCGI) + Caddy 的設定"
PyPI 在「Preventing Domain Resurrection Attacks」這邊提到的攻擊以及對應的防禦方法。 攻擊的手法很簡單,註冊過期的網域名稱,然後就可以透過 e-mail recovery 的方法拿到各平台註冊的帳號。 防禦的方法也很「簡單」,查詢 domain 的時間資訊 (像是 WHOIS,或是之前在「ICANN 推動 RDAP 取代 WHOIS」提有過的 RDAP) 就能知道 domain 是不是有過期後換了主人的問題,如果發現是的話就不能信任 domain 相關的認證 (像是 e-mail),需要用其他管道認證,而且這個「其他管道」也必須與 domain 無關。 不過這邊會遇到的問題是,WHOIS 資料是 text-based (非結構化,每個 TLD 都有自己的格式),而 RDAP 的部分目前還沒全面上線。 在「2023 Global Amendments to the Base gTLD Registry Agreement (RA), Specification 13, and 2013 Registrar Accreditation Agreement (RAA)」這邊的資料可以看到 gTLD … Continue reading "PyPI 最近發表的保護機制 (防止 Domain Resurrection Attack)"
也是 tab 上放了一陣子的東西,在 Hacker News 上看到的討論:「Getting good results from Claude Code (dzombak.com)」,原文在「Getting Good Results from Claude Code」這邊。 作者設計了一套方法寫在 ~/.cluade/CLAUDE.md 裡面 (算是一堆 prompt),告訴 Claude Code 怎麼照著做,裡面甚至還包括了暫存記憶的技巧: Break complex work into 3-5 stages. Document in `IMPLEMENTATION_PLAN.md`: ```markdown ## Stage N: [Name] **Goal**: [Specific deliverable] **Success Criteria**: [Testable outcomes] **Tests**: [Specific test cases] **Status**: [Not Started|In Progress|Complete] ``` … Continue reading "CLAUDE.md 的模版"
從「Japan: Apple Must Lift Browser Engine Ban by December (open-web-advocacy.org)」這邊看到的消息,原文是「Japan: Apple Must Lift Browser Engine Ban by December」,裡面引用的都是英文版的文件 (日本官方提供的翻譯板本),這邊找一下對應的原文日文版本。 法案名稱很長:「スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律」,官方提供的英文名稱是「the Act on Promotion of Competition for Specified Smartphone Software」。 法條的部分可以在「スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律」這邊看到,其中一開始的那篇報導關注於瀏覽器的開放性,在法條的「第八条」的「三」這邊可以看到對應的說明,這邊用 gpt-4.1-mini 翻譯: 三、關於該個別應用程式事業者所提供個別軟體之組成要素瀏覽器引擎(指瀏覽器之構成軟體,能處理並呈現與網頁相關資訊,下稱本號同)的禁止行為如下: イ、以指定事業者所提供之瀏覽器引擎作為個別軟體組成要素為條件,限制透過應用程式商店提供該個別軟體。 ロ、除イ以外,不得妨礙將非指定事業者提供之瀏覽器引擎作為個別軟體組成要素。 這項完全是針對蘋果來的,透過 Safari 的佔有率可以跟 Google 談 default search engine 拿到一筆大錢。 不過同一條的其他部分也很有意思,像是「一」與「二」在講 app 收費的部分,以及 app store 的禁止情況:(一樣透過 gpt-4.1-mini 翻譯) 一、當該個別應用程式事業者透過其提供的個別軟體提供商品或服務,並供智慧型手機使用者以預付式支付手段(指根據資金結算法(平成21年法律第59號)第三條第一項規定之預付式支付手段)或其他支付方式(以下此號簡稱為「支付手段」)支付該商品或服務費用時,禁止以下行為: イ、以該指定事業者(含子公司等,以下本條同)所提供的支付管理服務(指讓智慧型手機使用者能於個別軟體運作時使用支付手段之服務,以下本號同)以外之支付管理服務為條件,限個別應用程式事業者使用該指定事業者提供的支付管理服務作為透過應用程式商店提供個別軟體的條件。 ロ、除イ所列外,不得妨礙個別應用程式事業者使用指定事業者以外的支付管理服務,或妨礙個別應用程式事業者在未使用支付管理服務的情況下,讓智慧型手機使用者使用支付手段。 … Continue reading "日本將在今年 (2025) 十二月實施的行動電話軟體法案"
剛剛在 Hacker News 上看到 Archive Team 抓完 goo.gl 的消息:「ArchiveTeam has finished archiving all goo.gl short links (archiveteam.org)」,連結是指到 tracker 的頁面,目前看起來是跑完了,不過專案頁面「goo.gl」還沒更新,晚點有人確認後應該會更新上去。 先前在「goo.gl 要關閉了 (2025/08/25)」這邊有提到抓的速度不夠的問題,看起來是解決掉然後全力抓完了,後續應該可以在 Internet Archive 下載下來研究。
上個禮拜看到「Cursed Knowledge (immich.app)」這個討論串,原始網站「Cursed Knowledge」是在說明在開發 immich 這個軟體時遇到的各種地雷,算是不定時更新的專欄 (?) 像是寫這篇當下最新的「setTimeout is cursed」就提到了: The setTimeout method in JavaScript is cursed when used with small values because the implementation may or may not actually wait the specified time. 點進去 GitHub 的連結看可以看到他們在 pull request 裡的說明: Fixes #20458 Fixes an issue with setTimeout not actually waiting the 2ms we were asking … Continue reading "有趣的 Cursed Knowledge (辛酸的?)"
上上禮拜看到「Monitor your security cameras with locally processed AI (frigate.video)」這個討論串,裡面在討論 Frigate 這個專案 (中文意思是「護衛艦」)。 依照「Recommended hardware」這邊的說明,看起來 Intel N100 就能跑起來了: My current favorite is the Beelink EQ13 because of the efficient N100 CPU and dual NICs that allow you to setup a dedicated private network for your cameras where they can be blocked from accessing the internet. 在「Camera … Continue reading "只靠本地端資源分析監視器的 Frigate"
在「FFmpeg moves to Forgejo (ffmpeg.org)」這邊看到的消息,雖然討論的地方都在抱怨最近 anubis。 先前應該是 git.ffmpeg.org (gitweb) 以及 trac.ffmpeg.org (Trac),另外搭配 mailing list。 討論串裡面有人連結到 mailing list 上的 git diff log:「[FFmpeg-devel] [PATCH] web: announce code.ffmpeg.org」,裡面雖然是 html 的 diff log,但還是看得出來從 mailing list 為基礎的方式換到 issue tracking system 架構的原因。 搬到 Forgego 其實頗不錯的,即使網站放在歐洲,但從台灣連的反應速度比 GitHub 快不少...
在「PuTTY has a new website (putty.software)」這邊看到的消息,看到 putty.software 宣稱是 PuTTY 官方提供的官網。 到原來的官網「PuTTY: a free SSH and Telnet client」看,上面有看到反向確認 putty.software 是他們的: 2025-08-14 New website, putty.software We have a new domain name for the PuTTY website! putty.software is now a nice, short, easy-to-remember location that you can type into a browser from memory. At present it only contains … Continue reading "PuTTY 官方弄了自己的網域名稱 putty.software"
前幾天頗熱門的消息,StarDict 的預設安裝下,會將剪貼簿的內容透過 HTTP 傳到中國的伺服器上:「StarDict sends X11 clipboard to remote servers (lwn.net)」,文章是 LWN 的付費內容,所以連結是 SubscriberLink 分享出來的:「StarDict sends X11 clipboard to remote servers」。 整串 mailing list 上的討論可以在「Debian Bug report logs - #1110370 stardict-plugin: CVE-2025-55014: YouDao plugin sends the user's selection from other apps to Chinese servers」這邊看到,不長但有不少訊息透露出來。 其中一個點會發現這個套件不是第一次了: 2009 年的「Debian Bug report logs - #534731 stardict broadcasts clipboard … Continue reading "StarDict 預設會將剪貼簿的內容透過 HTTP (不是 HTTPS) 傳到中國的伺服器上"
前幾天看到「Ollama and gguf (github.com/ollama)」這邊的討論,原文是指到 GitHub 上面的 ticket,有人反應 Ollama 無法跑最近 OpenAI 新出的 gpt-oss-20b (GGUF 格式,像是 ggml-org/gpt-oss-20b-GGUF 這個):「gpt-oss 20b gguf model fail to run #11714」。 然後 Ollama 的人在這張票上面一直沒有正面說明原因,結果是 Georgi Gerganov 看起來不太爽決定跳出來回:(對,那個 GGUF 前面兩個字母就是他名字的縮寫) Since none of the maintainers here seem to care enough to explain the actual reason for ollama to not support the HF GGUF models, … Continue reading "Ollama 與 llama.cpp 的恩怨 (?)"
先是開到這邊的討論提到 Apple Watch 在美國將恢復血氧濃度的偵測:「Blood oxygen monitoring returning to Apple Watch in the US (apple.com)」,新聞稿:「An update on Blood Oxygen for Apple Watch in the U.S.」。 Apple will introduce a redesigned Blood Oxygen feature for some Apple Watch Series 9, Series 10, and Apple Watch Ultra 2 users through an iPhone and Apple Watch software update coming … Continue reading "Apple Watch 測血氧濃度在美國的專利問題"
前陣子想到的事情,希望桌機在進入螢幕保護的情況下把 CPU 切到省電模式 (powersave 模式),在回來的時候切回動態調整模式 (ondemand 模式),在 Xfce 裡面沒有找到 event hook 可以掛,就決定自己土砲刻一個 shell script 來處理。 目前的邏輯很簡單,就是每五秒跑 xfce4-screensaver-command --query 一次,看狀態決定要跑什麼指令: #!/bin/sh while true; do if xfce4-screensaver-command --query | grep -q inactive; then sudo cpufreq-set -g ondemand -r else sudo cpufreq-set -g powersave -r fi sleep 5 done 這邊用到 sudo 執行 cpufreq-set,所以可能會需要建立 /etc/sudoers.d/cpufreq-set 讓 script 執行時不需要輸入密碼: gslin … Continue reading "螢幕保護程式的情況下讓 CPU 進入省電模式 (Xfce 環境)"
前幾天在「Starbucks in Korea asks customers to stop bringing in printers/desktop computers (fortune.com)」這邊看到的,Fortune 報導裡面引用的原始文章是「Leave your home offices at home: Starbucks draws the line at desktops」這篇。 我記得以前 CRT 螢幕年代有人幹過這件事情,在 BBC 的報導「Desktops and printers in coffee shops? Starbucks Korea tells customers to 그만 해」裡面有放了一個 2008 年上傳的影片:(好像被設年齡限制得進到 YouTube 上看?) 不過當時是偏惡搞性質的,這次韓國的情況應該是不太一樣...
看到 jQuery 4 的消息:「jQuery 4.0.0 Release Candidate 1」,從「jQuery Core 4.0 Upgrade Guide」這邊看 jQuery 4 的想法,好像沒有特別的意義...? 還是有支援 IE11,而比較新的瀏覽器只支援 current 與 current - 1,除了 Safari Mobile 多支援 current - 2。 Breaking change 的部分看起來都還好,如果已經在用 jQuery 3 的人要升級到 jQuery 4 應該不會太難,看起來應該是因為打算做 breaking change 所以跳大版本。
前幾天看到「How I code with AI on a budget/free (wuu73.org)」這篇,裡面整理了一堆免費的 AI 資源:「How I Code with AI on a budget/free」。 作者也有在 Hacker News 上說明這篇的一些背景與想法,在 id=44851896 這邊,另外整篇搜一下 radio879 也可以看到他回了不少東西。 不過要注意一下,裡面提到很多免費 (free) 是 free from money,通常這些應用會把你丟進去的資料拿去訓練,並不是完全的 free。 話說回來,對於會自己架設服務起來接 API 的人來說,好像不用花到太多錢就可以用得很 OK 了... 我自己在去年十一月買的 OpenAI credit $10 到現在都還沒用完,還得努力找地方用啊...
前幾天 CQD 提到 tw.archive.ubuntu.com 很慢的問題 (via): 目前的 tw.archive.ubuntu.com 應該是指到 mirror.twds.com.tw 這台,我在 HiNet 的線路上面有跑 SmokePing (via),可以看到七月開始網路品質就變差了: 這個算是兩個問題壘加起來,第一個算是老問題了,HiNet peering policy 的關係,國內要跟他 peering 的都有費用上的問題需要解決,因為這個關係,沒付費的就會繞去國外,以 TWDS 的 case 來說,目前從 traceroute 看起來是走 HE 去香港再到新加坡再繞回台灣 (反過來就不清楚了): $ mtr -4 --report mirror.twds.com.tw Start: 2025-08-14T10:54:34+0800 HOST: home Loss% Snt Last Avg Best Wrst StDev 1.|-- h254.s98.ts.hinet.net 0.0% 10 1.5 1.8 1.5 2.4 0.3 … Continue reading "Ubuntu 在台灣 mirror 速度的問題"
之前 nginx 要使用 ACME 協定拿到 TLS certificate (像是 Let's Encrypt) 需要透過另外的程式處理,像是 Certbot (官方推薦的) 或是 Dehydrated (我自己愛用的),這次 nginx 則是宣佈可以在 web server 透過 HTTP-01 申請 TLS certificate 了:「NGINX Introduces Native Support for ACME Protocol」。 在這之前,在 web server 上面可以直接走 HTTP-01 申請的應該就是 Caddy,不過早期 binary 是非開源的 (但 source 本身還是用 Apache License 2.0 放出來),但後來到 2019 年的時候全部改 Apache License 2.0 了:「Caddy Server … Continue reading "nginx 也要原生支援 ACME HTTP-01 了"
Lobsters 上看到 Syncthing 的 2.0.0 版消息:「Release v2.0.0 · syncthing/syncthing」,這套也用了好久了,放著在背景跑也是順順的? 首先是從 key-value 架構的 LevelDB 換成 SQL 架構的 SQLite 的消息,我猜是 ecosystem 豐富程度與熟練度的問題,大多數的 engineer 加加減減都會用到 SQLite,但要自己用 KV 架構組出東西還是比較麻煩 (而且要自己包裝一堆 atomic 的操作): Database backend switched from LevelDB to SQLite. There is a migration on first launch which can be lengthy for larger setups. The new database is easier to … Continue reading "Syncthing 2.0.0 的改變"
也是個 tab 上面放兩個多禮拜的討論:「Do not download the app, use the website (idiallo.com)」,原文在宣導如果有 web 版的話儘量用 web 版,不要裝 app:「Do not download the app, use the website」。 技術上主要的差異就是 sandbox 的嚴格程度:web 版本的 sandbox 很嚴格,連想要抓其他站的東西都還要考慮到 CORS,app 版就寬鬆很多了,甚至可以丟丟 UDP packet。 作者列了一些 app 版上常見侵犯隱私資訊的項目 (Your Contacts、Location Tracking、Microphone Access 以及 Installed Apps),這些大多都是圍繞在廣告產業的 SDK 會想抓的東西,拿出來再應用的價值都很高。 剛好 tab 上面積的另外一篇也在呼應類似的事情,講 Notion 會聽 audio 以及觀察 network 資訊:「Tell HN: … Continue reading "App 可以蒐集到的隱私資訊"
瀏覽器 tab 上積著的「Emailing a one-time code is worse than passwords (danielh.cc)」,原文標題是「We replaced passwords with something worse」,在講用六碼數字當作登入密碼的資安問題。 這個老問題了,找了一下發現是在 2016 年的時候寫過這個方法的資安問題,當年 Facebook 被玩的頗開心:「大量破解 Facebook 帳號的方法」。 比起 2016 年,現在有更多方式可以繞過 bot 檢查,加上透過 residential & mobile IP 繞過 rate limit 更簡單了,六碼數字對應到的期望值是百萬分之一,而且可以重複發送嘗試,只要是這樣搞的服務,看起來就蠻雷的?
前陣子就有 GPT-5 的消息,今天出來了:「GPT-5 is here」,目前看了一下各家測試的數據表現,應該是沒有拉開明顯的差距,就是個旗艦 model 水準... 這次主要最大的亮點應該是價錢,在 Simon Willison 的文章裡面有提到這塊:「GPT-5: Key characteristics, pricing and model card」。 The pricing is aggressively competitive with other providers. 這次推出了 gpt-5、gpt-5-mini、gpt-5-nano 以及 gpt-5-chat-latest,這幾個價錢都還蠻不錯的,另外前面三個都有 flex 模式可以用 (用速度與 reliability 換半價),先前只有 o3 與 o4-mini 有提供 flex,有些手上的東西可以換過去玩看看。
清 RSS feed 裡面翻到「Introducing Amazon S3 Vectors: First cloud storage with native vector support at scale (preview)」這篇,意外的發現 AWS 提供了 embedding 搜尋的產品? 我很好奇的是,目前大家主力都是 HNSW,這應該還是限制在 in-memory 等級的搜尋 (i.e. 碰到 disk access 效率會掉很多),AWS 這次拿出 Amazon S3 當儲存媒介,底層是什麼演算法? 從這篇去找看看 Hacker News 上有沒有什麼討論,結果找到「Amazon S3 Vectors (amazon.com)」這篇,裡面提到了 TurboBuffer 這家公司: This feels similar to TurboBuffer, which is also built on top of … Continue reading "關於 Embedding 搜尋問題的坑"
在「PHP 8.5 adds pipe operator (thephp.foundation)」這邊的討論看到的,原文在「PHP 8.5 Adds Pipe Operator: What it means」這邊。 pipe operator 算是 syntactic sugar,功能是把前面的值帶到後面 callable 的參數: $result = "Hello World" |> strlen(...) // Is equivalent to $result = strlen("Hello World"); 所以就有機會這樣的程式碼: $arr = [ new Widget(tags: ['a', 'b', 'c']), new Widget(tags: ['c', 'd', 'e']), new Widget(tags: ['x', 'y', 'a']), ]; $result … Continue reading "PHP 8.5 將會有的 Pipe Operator"
在「uBlock Origin Lite now available for Safari (apps.apple.com)」這邊看到的,不過就如同 id=44796042 提到的,搜 ublock origin lite 要翻到很下面才找的到:(要找 Raymond Hill 的名字) I just searched within the (edit: iOS App Store) App Store app for ublock origin lite “ublock origin lite” For the unquoted search, there are twelve different apps/items returned above it - you really have to scroll down … Continue reading "uBlock Origin Lite 可以在各平台的 Safari 上使用了"
OpenAI 上次放 model 出來應該是 GPT-3 的事情了?在 Hacker News 上馬上就登上首位了:「OpenAI Open Models (openai.com)」,OpenAI 的新聞稿在這:「Open models by OpenAI」,另外有一篇比較多效能表現的資料在這:「Introducing gpt-oss」。 授權是用 Apache License 2.0,而且這次放出的 gpt-oss-20b 是個市場上頗缺的 model size,從 id=44800944 這邊有提到 model 本身只有 14GB 左右,在 16GB VRAM 的卡 (像是 N 家的 4060 Ti,) 上有機會跑起來: gpt-oss:20b is ~14GB on disk [1] so fits nicely within a 16GB VRAM card. [1] … Continue reading "OpenAI 放出兩個 Apache License 2.0 的 Model:gpt-oss-20b 與 gpt-oss-120b"
整理 queue 裡面的文章時看到 Hacker News 上的這篇討論:「Tell HN: Google Maps reviews in Germany are basically dead」。 作者遇到留下負評卻被告,最後還被迫付和解的費用。在 id=44744974 這邊提到了目前的法律不利於消費者的情況,導致「處理負評」直接變成一個產業,有專門的公司可以幫你「處理」這種問題: That's the truth, there are whole agencies specializing in removing bad reviews in Germany. The laws are really skewed against consumers in this respect. 雖然目前對德國應該沒什麼興趣,但先記起來...
一開始是在 Hacker News 上的「Android Earthquake Alerts: A global system for early warning (research.google)」看到的,原文是 Google Research 上的文章:「Android Earthquake Alerts: A global system for early warning」。 概念上其實蠻簡單的,很多 Android 手機裝置都有加速度感測器 (Accelerometer),只要 Google 把這些資料蒐集起來就有可以計算 & 偵測。 問題是沒有人知道 Google 會收這個資料啊?在「How Android Earthquake Alerts System Works」這邊提二十億隻 Android 手機參與其中: Outside of these U.S. states, we use a crowdsourced approach to detect earthquakes. … Continue reading "關於 Android 偵測地震的隱私問題"
在 Hacker News 上看到「Modern Node.js Patterns (kashw1n.com)」這邊對於 server 端 Node.js 的討論,原文是五月的文章:「Modern Node.js Patterns for 2025」。 有些看過 (像是 top-level await),但有些蠻意外居然有內建的 library 提供這些功能... 首先是內建了測試的功能,而且還包了一些工具進來,不用裝 3rd-party testing framework 就可以做不少事情了,另外還冒出 --watch 可以用? import { test, describe } from 'node:test'; import assert from 'node:assert'; describe('ooo', () => { test('xxx', () => { assert.strictEqual(1, 1); }); }); # Run all tests … Continue reading "好多沒用過的 Server 端 Node.js 功能..."
整理 RSS feed 的時候翻到七月初的時候 Netflix 分享了一篇關於 AV1 的膠片模擬效果 (Film Grain Synthesis,FGS),可以大幅降低壓縮需要的 bitrate:「AV1 @ Scale: Film Grain Synthesis, The Awakening」。 這邊的膠片模擬效果講的是顆粒感的那種效果,現代在數位時代通常都是套濾鏡用數學處理,但因為這個效果具有隨機性的關係,會使得 codec 壓縮時很困難,要嘛就是拉高 bitrate 把膠片模擬的細節記錄下來,要嘛就是讓 codec 平滑掉這些效果以降低 bitrate: However, film grain is as elusive as it is beautiful. Its random nature makes it notoriously difficult to compress. Traditional compression algorithms struggle to manage it, often forcing … Continue reading "AV1 的膠片模擬"
前天才提到要倒數計時了:「goo.gl 要關閉了 (2025/08/25)」,結果剛剛看到「Google shifts goo.gl policy: Inactive links deactivated, active links preserved (blog.google)」這邊的討論,原公告在「We’re updating our plans for goo.gl links.」這邊。 While we previously announced discontinuing support for all goo.gl URLs after August 25, 2025, we've adjusted our approach in order to preserve actively used links. If you get a message that states, “This link will no … Continue reading "goo.gl 政策轉彎:會繼續服務「有在用的連結」"
在「Tao on “blue team” vs. “red team” LLMs (mathstodon.xyz)」這邊看到數學界的大老陶哲軒 (Terence Tao) 對 AI 目前用法的看法,他引申了資安領域中「紅隊」與「藍隊」的概念來解釋他的想法。 原文是發表在他的 Mastodon 上面,因為單則長度限制的關係,原文拆成三則,在 https://mathstodon.xyz/@tao/114915604830689046 這邊可以看到。 目前的 AI,或是更接說 LLM,用起來有類似的感覺:直接要他做複雜的工作不怎麼可靠,但當作是輔助工具來用還蠻好用的。 我把透過 gpt-4.1-mini 的翻譯放上來: 在資安(cybersecurity)領域中,通常會區分「藍隊(blue team)」與「紅隊(red team)」兩種任務:藍隊負責打造安全的系統,而紅隊則負責找出這些系統中的漏洞。藍隊當然是必要的,因為他們創造了我們需要的產品;但紅隊同樣不可或缺,因為如果系統不安全,所造成的損害可能非常嚴重。 這兩種團隊的性質相互對應,數學家會稱之為「對偶(dual)」。藍隊的成果其實是由最弱環節所決定:如果安全系統中包含強而有力的部分,卻也有薄弱環節(例如:一座門牢牢上鎖的房子,但窗戶是開著的),這個系統就仍然不安全(甚至更糟,因為強大的部分可能會帶來錯誤的安全感)。反過來,紅隊的貢獻往往是可以累積的:一份報告如果同時指出一個嚴重漏洞和一個較輕微的漏洞,比起只指出嚴重漏洞的報告更有價值,因為藍隊可以針對兩個問題同時進行修正。(不過過多品質低落的報告,可能反而會分散對關鍵問題的注意力。) 因此,不可靠的貢獻者可能在「紅隊」的工作中比在「藍隊」中更有用,但藍隊仍舊可以接受這些不太可靠的貢獻,只要紅隊的能力強到足以抓到幾乎所有藍隊成員可能犯的錯誤。此外,不可靠的紅隊貢獻只有在能夠 *補充(augment)* 可靠隊員的成果,而非 *取代(replace)* 那些成果,且經驗豐富的紅隊成員能有效過濾或篩選這些輸出時,才會產生價值。 藍隊/紅隊的區分不只限於資安,許多其他領域也會用到相同概念。舉例來說,在軟體工程中,「藍隊」可能是指撰寫新的程式碼,而「紅隊」就是品質保證(Quality Assurance)與測試該程式碼的工作。在數學中,「藍隊」可能是提出猜想或解題的想法,而「紅隊」則負責檢查論證是否存在形式錯誤,同時對藍隊的方向提出直覺上的反對意見。(可參考我關於數學論文中「局部」(local)和「全域」(global)錯誤的討論:https://terrytao.wordpress.com/advice-on-writing-papers/on-local-and-global-errors-in-mathematical-papers-and-how-to-detect-them/) 我喜歡把數學中的這兩個團隊比喻為「樂觀派(optimists)」與「悲觀派(pessimists)」;我發現最強的合作往往是當樂觀派和悲觀派人數大致相當時出現的。(根據不同合作關係,我自己有時候會扮演樂觀派,有時是悲觀派,也有時是兩者兼具。) 許多針對人工智慧(AI)工具的建議使用場景都將這類工具歸類為「藍隊」:例如在半自動或自動化方式下創造程式碼、文本、影像或數學論證,並將其用於各種應用。然而,鑒於這些工具當前的不可靠性及其黑盒性,或許更適合將它們放在「紅隊」,也就是批評藍隊人類專家所產生的成果,而非直接取代這些成果;若人工智慧要在「藍隊」扮演角色,也必須侷限於「紅隊」能捕捉並修正其錯誤的能力範圍內。這種策略不僅充分發揮了人工智慧的優勢,如廣泛的知識面與快速回饋,也減少在高度敏感場合部署未經驗證的 AI 輸出所帶來的風險。 以我個人的實驗來說,我發現 AI 工具提供的建議對我提出的文本、論證、程式碼或簡報都能帶來額外的回饋(包含這段文字)。雖然我可能只採納 AI 工具產生建議中的一部分,但其中確實有幾條是我認同且納入自己成果的。這樣的用法比起直接用 AI 自動化產出(常被宣傳的「藍隊」用途)來說,顯得較不華麗或直覺,但我覺得卻能帶來更可靠的價值。
在 Simon Willison 的「tidwall/pogocache」這邊看到 tidwall/pogocache 這個專案,先前作者自己貼 Hacker News 的時候我也有看到,不過沒有太在意,因為他的宣稱沒有被其他人證實 (只有作者自己的 benchmark): Pogocache is faster than Memcache, Valkey, Redis, Dragonfly, and Garnet. 過了一個禮拜整理 rss feed 的時候看到 Simon Willison 寫了這篇,再點進去看的時候看到有趣的東西,在 cache full 的時候他使用了 2-random 這個演算法: The other way an entry may be evicted is when the program is low on memory. When memory is low the insert … Continue reading "Cache full 時的 2-random 演算法"
上個禮拜看到「What went wrong inside recalled Anker PowerCore 10000 power banks? (lumafield.com)」這邊的討論很有趣,另外原文也是很多資訊:「What Went Wrong Inside These Recalled Power Banks?」。 原文作者找了五顆測試,分別標 PB{1,2,3,4,5},依照序號查詢可以發現其中三顆被原廠召回,另外兩顆則沒有: We procured five potentially-affected power banks from various Lumafield colleagues, which we labelled PB1, PB2, PB3, PB4, and PB5. We then ran the serial numbers against Anker’s recall form, and determined that three of our … Continue reading "關於 Anker PowerCore 10000 召回的電腦斷層掃描分析"