笔记
关于我所交付的 AI 系统背后方法论与架构决策的短文——规约、评估、多智能体编排、LLM 集成,以及调度编程智能体的纪律。
2026年6月19日
AI 提速附带一张安全账单
Gartner 称 90% 的工程负责人反馈 AI 编码工具带来了收益——净生产力提升 19%。同一份研究还说,未经审查的 AI 代码缺陷密度高出 23%,且 14.3% 的 AI 生成片段携带安全漏洞,而人写代码这一比例为 9.1%。几乎没人把这两个数字放进同一句话里。你应该这么做,因为它们是同一个故事。
- security
- methodology
2026年6月14日
一个人、一个 AI,和 1.95 亿条记录
2025 年 12 月到 2026 年 1 月之间,一名单独的攻击者利用 AI 编程助手攻破了墨西哥九个政府机构,带走了 150GB 数据,涵盖 1.95 亿公民——纳税人记录、选民名册、户籍登记文件。他把整场攻击伪装成一次「漏洞赏金」来越狱 AI,并让它执行了大约四分之三的远程命令。一些机构否认遭到入侵。但无论真相如何,教训都成立:AI 把一次复杂攻击的成本压到几乎为零,这改变了你必须防范的对象。下面说说它意味着什么。
- security
- business
2026年6月14日
一年改三次的 AI 规则
科罗拉多州通过了一部里程碑式的 AI 法律,剑指算法歧视。它本应在 2026 年 2 月生效,随后被推迟到 6 月 30 日。12 月,联邦政府签署了一项命令,要先发制人地架空各州的 AI 法律,并点名了科罗拉多州的这部法律。接着在 2026 年 5 月,科罗拉多州自己又把法律推迟到了 2027 年 1 月,并大幅削减了内容。如果你照着这套规则手册在搭建产品,你的目标一年里挪了三次。你没法照着一部坐不住的法律去搭建——但你可以照着它底下的那条原则去搭建,而那条原则几乎纹丝不动。下面就讲怎么做。
- business
- security
2026年6月14日
会自己猎杀漏洞的 AI
Anthropic 的 Claude Mythos 在每一个主流操作系统和浏览器中都找出了数以千计的零日漏洞——包括 OpenBSD 里一个存在了 27 年的 bug,以及 FFmpeg 里一个潜伏了 16 年的缺陷——并且在超过 83% 的情况下一次就写出了能跑通的攻击代码。它被认定为太危险,不能公开发布;取而代之的是,少数几家巨头在 Project Glasswing 计划下拿到了抢先体验权。这是迄今为止最清晰的一面镜子,照出了 AI 的双刃本质:能在攻击者之前替你找出 bug 的那个工具,同样也能更快地替攻击者找出来。这篇就讲讲该怎么看待它。
- security
2026年6月14日
现在,你的 AI 内容必须声明自己是 AI
2026 年 6 月 10 日,欧盟委员会发布了《人工智能生成内容标记与标注行为准则》——这是一套实操手册,对应的透明度规则将于 8 月 2 日依据欧盟人工智能法案正式具备强制执行力。深度伪造内容、以及涉及公共利益议题的 AI 撰写文本,都必须被清晰标注;人们也必须被告知自己正在和聊天机器人对话。这份准则本身是自愿的,但它背后的义务不是。披露正在成为默认选项,而这不只是一项合规杂务——它是一个关于信任的决定。下面说说这对所有正在交付 AI 内容的人意味着什么。
- business
- security
2026年6月13日
AI Act 真正的大限是八月
2026年8月2日,欧盟 AI Act 针对高风险 AI 系统的义务正式生效——这才是真正有牙齿的部分:文档记录、人工监督、风险管理,以及最高 €35M 或全球营业额 7% 的罚款。有两件事让局面变得棘手。截至三月,27 个成员国里只有 8 个连执法对接点都还没设好。而当一个自主智能体擅自行动出了事,到底谁来担责,谁都没有一个干净的答案。如果你的软件触及欧盟用户,这里讲清楚到底有什么在变,以及你需要补上的那道缺口。
- business
- security