即刻App年轻人的同好社区
下载
Barret李靖
171关注12k被关注11夸夸
编程领域优秀贡献者
AI Engineer | Lifelong learner | Cloud Native | Dad of 2
小胡子哥,一个有趣的灵魂
小胡子哥,一个有趣的灵魂
你给 AI 一个指令,它不管三七二十一,一股脑就给实现了。
它掐准了你在表达需求的时候,不会时时刻刻强调性能、稳定性、质量和可维护性。
于是,它学会了偷懒。听几句话就干几句活儿,绝不多做,也不少做,像个老油条。
要让 AI 写出好代码,只让它做个执行者可不够。得像教孩子一样,手把着手,一步步带。
刚开始是“你说它做”,慢慢的,需要变成“它做你说”,接着是“它做你看”,等水平上来了,就“完全它做”🐶
这是一次让 AI 学会自我成长的过程,任何数字员工的进化都离不开这个过程。
要达成这个目标,需要让 AI 理解业务,理解产品,理解系统,理解构建目标和服务对象,还要理解自己的斤两。
AI 一旦意识到自己的斤两不足,就应该放下需求,好好地做基建、做质量、做稳定性。
它需要像个人。拎得清主次,会权衡利弊。能够感知环境,理解目标。在有了充足的上下文和能力建设后,也能够自主决策。
当然,这一切的前提是,先把它当个人。
它掐准了你在表达需求的时候,不会时时刻刻强调性能、稳定性、质量和可维护性。
于是,它学会了偷懒。听几句话就干几句活儿,绝不多做,也不少做,像个老油条。
要让 AI 写出好代码,只让它做个执行者可不够。得像教孩子一样,手把着手,一步步带。
刚开始是“你说它做”,慢慢的,需要变成“它做你说”,接着是“它做你看”,等水平上来了,就“完全它做”🐶
这是一次让 AI 学会自我成长的过程,任何数字员工的进化都离不开这个过程。
要达成这个目标,需要让 AI 理解业务,理解产品,理解系统,理解构建目标和服务对象,还要理解自己的斤两。
AI 一旦意识到自己的斤两不足,就应该放下需求,好好地做基建、做质量、做稳定性。
它需要像个人。拎得清主次,会权衡利弊。能够感知环境,理解目标。在有了充足的上下文和能力建设后,也能够自主决策。
当然,这一切的前提是,先把它当个人。
3 01
这个木马也伪装的特别好,攻击者开发了一大堆 AI 助理浏览器插件,在 Google 上买了搜索广告,然后把自己推到了搜索引擎首页的第一屏位置。已经有 90 多万用户中招了。
它会窃取你在 AI 聊天平台的所有对话,每隔 30 分钟做一次数据偷窃同步,不仅仅拿个人数据,还会渗透内网,拿企业数据。更可恶的时候,它还会在 AI 聊天里注入恶意指令,诱导安装木马程序,长期潜伏在你电脑上。
它会窃取你在 AI 聊天平台的所有对话,每隔 30 分钟做一次数据偷窃同步,不仅仅拿个人数据,还会渗透内网,拿企业数据。更可恶的时候,它还会在 AI 聊天里注入恶意指令,诱导安装木马程序,长期潜伏在你电脑上。
17 30
LLM 每一轮迭代,都会让一批创业者丢掉生意。今天跟一位朋友聊,他说模型越强,他却越兴奋。
他是做硬件集成解决方案的,前十年在工厂摸爬滚打,2023 年 AI 爆发后开始跟着 waytoagi 社区沉浸式学习,将 AI 能力转换成生产力,然后将经验复制到工厂生产场景,写 prompt,建 workflow,也捏 agent,认识了很多工厂老板。
两年下来,最大的感受是,再好用的提示词和工作流,都会随着大模型能力的提升成为历史的遗迹。这也一度让他产生焦虑。
今年年初,他把投入的方向做了一些调整。Coding agent 的能力跃迁,让 AI 可以做好大量繁琐工作的拆解了,例如可以把工厂的需求拆解成更具体的电路问题和软件设计问题,将复杂的电路集成问题拆解成可单元化合成的简单问题。凭借着对硬件领域的认知和人脉关系,他开始从咨询顾问转型为硬件集成方,除了做方案供给,也把软硬件实现环节给承接了下来。
在能力打磨阶段,一方面承接市场各类个性化定制需求,一对一客服,另一方面线下跑工厂,帮助工厂完成 AI 转型和升级。过程中,把对 AI 的理解附加到硬件产品上,又把对硬件的理解融入到AI 的交互体验中,逐步积累了深厚的技术壁垒和认知壁垒。
过去半年,他几乎每天只睡四个小时。为了解决某个硬件集成或设计问题,会去了解每个元件的工作原理,做好参数调试,以及供应商对比,在实战中沉淀和优化了丰富的元件知识库,也与大量硬件供应商建立信任关系,很快就逐渐形成了自己的集成方案优势、价格优势和服务体验优势。
他说这些都是脏活苦活累活,很多人不愿意下场,愿意下场的人又不懂 AI,也就没办法将沉淀的知识转换成有效生产力。
在做生意方面,也是务实的风格。遇到了好的硬件想法和创意,他并没有直接下场实现,而是把利润让给合适工厂,跟工厂一起打磨更顺畅的合作模式,同时也为自己建设更全面的硬件调试能力,以此来构建更持久、更健康的生态合作环境。
跟这个朋友的沟通,让我感受到,1)无论是数字时代还是智能时代,都需要下苦功夫,没有捷径可走;2)行业 know-how 就是最强护城河,充分发挥自己的领域优势,结合 AI 把人解决起来最难、最痛苦的问题搞定,前面就是曙光;3)做生意,三分利七分情,生态好了,自己才会更好。
他是做硬件集成解决方案的,前十年在工厂摸爬滚打,2023 年 AI 爆发后开始跟着 waytoagi 社区沉浸式学习,将 AI 能力转换成生产力,然后将经验复制到工厂生产场景,写 prompt,建 workflow,也捏 agent,认识了很多工厂老板。
两年下来,最大的感受是,再好用的提示词和工作流,都会随着大模型能力的提升成为历史的遗迹。这也一度让他产生焦虑。
今年年初,他把投入的方向做了一些调整。Coding agent 的能力跃迁,让 AI 可以做好大量繁琐工作的拆解了,例如可以把工厂的需求拆解成更具体的电路问题和软件设计问题,将复杂的电路集成问题拆解成可单元化合成的简单问题。凭借着对硬件领域的认知和人脉关系,他开始从咨询顾问转型为硬件集成方,除了做方案供给,也把软硬件实现环节给承接了下来。
在能力打磨阶段,一方面承接市场各类个性化定制需求,一对一客服,另一方面线下跑工厂,帮助工厂完成 AI 转型和升级。过程中,把对 AI 的理解附加到硬件产品上,又把对硬件的理解融入到AI 的交互体验中,逐步积累了深厚的技术壁垒和认知壁垒。
过去半年,他几乎每天只睡四个小时。为了解决某个硬件集成或设计问题,会去了解每个元件的工作原理,做好参数调试,以及供应商对比,在实战中沉淀和优化了丰富的元件知识库,也与大量硬件供应商建立信任关系,很快就逐渐形成了自己的集成方案优势、价格优势和服务体验优势。
他说这些都是脏活苦活累活,很多人不愿意下场,愿意下场的人又不懂 AI,也就没办法将沉淀的知识转换成有效生产力。
在做生意方面,也是务实的风格。遇到了好的硬件想法和创意,他并没有直接下场实现,而是把利润让给合适工厂,跟工厂一起打磨更顺畅的合作模式,同时也为自己建设更全面的硬件调试能力,以此来构建更持久、更健康的生态合作环境。
跟这个朋友的沟通,让我感受到,1)无论是数字时代还是智能时代,都需要下苦功夫,没有捷径可走;2)行业 know-how 就是最强护城河,充分发挥自己的领域优势,结合 AI 把人解决起来最难、最痛苦的问题搞定,前面就是曙光;3)做生意,三分利七分情,生态好了,自己才会更好。
58 39
大概一个月多前,电脑中了木马,潜伏了一个月才被发现,也导致了我的 X 账号被盗。
让 Claude 和 Codex 逐一分析系统进程时,找到了一个叫做 com.apple.accountsd.helper.plist 的进程,乍一看还以为是苹果系统的宿主进程,但 Claude 对这个进程提出了质疑。
沿着这个线索,对 accountsd 进行了详细的分析。这个木马首先给系统添加了一个开机自启项,确保可长期潜伏,然后通过 root 权限写了一个守护脚本,每秒探测当前系统是否有新用户登录,一旦登录就通过 AppleScript 脚本切换成当前用户身份,运行一个叫做 AccountsHelper 的程序。
对 AccountsHelper(SHA256:9168cbc45f)也做二进制分析,它的依赖极少,主要职责是从远端加载指令,然后拉起一个交互式 PTY shell,攻击者就是通过这个 shell 来远程操控电脑的。木马执行的每个环节,清理工作都做的特别好,几乎所有日志都被清理干净了。
为了溯源整个中马过程,我分析了将近两个多月的系统日志,仅找到一条可疑指令:有个 curl 操作,下载并执行了一条混淆命令,这也是唯一的线索,解密指令得到了一个远端 IP地址。
后来也从公开情报里找到这个木马,它是 AMOS Stealer 恶意软件家族的变种,之前主要针对 Windows 平台,今年四月第一次在 macOS 上被发现。
从 .zhistory 日志看,curl 前后都是 Claude Code 相关操作,高度怀疑就是 Agent 程序引入了这个木马。
我的 Claude Code 长期是 bypass 模式,所有的命令执行都是直接放过,怀疑是在做软件安装或更新的时候,AI 从互联网找到了一些不安全的资源,下载了这个木马。
这个 AMOS 木马,主要会去扫各种虚拟货币钱包,尤其是浏览器插件钱包。顺带也把我各种登录态 Cookies 全部拿走了,这才导致 X 账号被恶意添加了一个 Passkey。
一般木马进来之后,除了目的性的攻击(例如虚拟钱包转账、文件加密勒索)外,它还会使劲去找各种敏感信息,尤其是浏览器里的登录态、Keychain 里保存的账号密码、聊天工具的登录状态、开发环境里的 .env 文件和各种 token,等等。
我这个教训,大家记住两点:1)所有能够加 F2A 的账号都要加,登录时的二次验证会增加攻击者的门槛;2)AI 在执行各种程序的时候,一定要注意它在执行什么,尤其是安装和更新软件的时候,要先确认再执行。
跟一些安全研究者也交流了这个木马的细节,他说近期这类事件特别高频,攻击者会伪造各种软件的官网,Google 搜出来默认都排在第一位,诱导用户(尤其是 AI)下载木马,防不胜防!
让 Claude 和 Codex 逐一分析系统进程时,找到了一个叫做 com.apple.accountsd.helper.plist 的进程,乍一看还以为是苹果系统的宿主进程,但 Claude 对这个进程提出了质疑。
沿着这个线索,对 accountsd 进行了详细的分析。这个木马首先给系统添加了一个开机自启项,确保可长期潜伏,然后通过 root 权限写了一个守护脚本,每秒探测当前系统是否有新用户登录,一旦登录就通过 AppleScript 脚本切换成当前用户身份,运行一个叫做 AccountsHelper 的程序。
对 AccountsHelper(SHA256:9168cbc45f)也做二进制分析,它的依赖极少,主要职责是从远端加载指令,然后拉起一个交互式 PTY shell,攻击者就是通过这个 shell 来远程操控电脑的。木马执行的每个环节,清理工作都做的特别好,几乎所有日志都被清理干净了。
为了溯源整个中马过程,我分析了将近两个多月的系统日志,仅找到一条可疑指令:有个 curl 操作,下载并执行了一条混淆命令,这也是唯一的线索,解密指令得到了一个远端 IP地址。
后来也从公开情报里找到这个木马,它是 AMOS Stealer 恶意软件家族的变种,之前主要针对 Windows 平台,今年四月第一次在 macOS 上被发现。
从 .zhistory 日志看,curl 前后都是 Claude Code 相关操作,高度怀疑就是 Agent 程序引入了这个木马。
我的 Claude Code 长期是 bypass 模式,所有的命令执行都是直接放过,怀疑是在做软件安装或更新的时候,AI 从互联网找到了一些不安全的资源,下载了这个木马。
这个 AMOS 木马,主要会去扫各种虚拟货币钱包,尤其是浏览器插件钱包。顺带也把我各种登录态 Cookies 全部拿走了,这才导致 X 账号被恶意添加了一个 Passkey。
一般木马进来之后,除了目的性的攻击(例如虚拟钱包转账、文件加密勒索)外,它还会使劲去找各种敏感信息,尤其是浏览器里的登录态、Keychain 里保存的账号密码、聊天工具的登录状态、开发环境里的 .env 文件和各种 token,等等。
我这个教训,大家记住两点:1)所有能够加 F2A 的账号都要加,登录时的二次验证会增加攻击者的门槛;2)AI 在执行各种程序的时候,一定要注意它在执行什么,尤其是安装和更新软件的时候,要先确认再执行。
跟一些安全研究者也交流了这个木马的细节,他说近期这类事件特别高频,攻击者会伪造各种软件的官网,Google 搜出来默认都排在第一位,诱导用户(尤其是 AI)下载木马,防不胜防!
55 726
很多项目的复杂度其实并不高。
框架设计简单,业务逻辑也不复杂。无论是人写代码还是 AI 写代码,差距往往没有想象中那么大。有些时候,AI 甚至写得比人更细致。
后端大部分场景无非是增删改查,偶尔遇到高并发,加缓存、队列、异步任务,通常也能解决。前端更多是数据请求、状态管理、模板渲染,真正复杂的场景也不常见。
所以在软件实现层面,AI 的胜任度已经非常高。
时间久了,人对 AI 就会逐渐建立起一种信任感。我们会觉得它解决问题越来越厉害。实际上,很多时候并不是 AI 突然变强了,而是我们面对的问题本身就没有那么复杂。同时 AI 还在持续进步,两者叠加之后,人会越来越倾向于把事情交给 AI。
那么问题也就来了。
当所有逻辑都交给 AI 实现的时候,项目初期可能运行得很好。但随着业务不断演进,if else 越来越多,数据流越来越复杂,代码规模也会快速膨胀。
这时候,人对系统的掌控力就会开始下降。
出现 Bug 之后,人依旧能够分析问题,但第一反应已经变成继续交给 AI 去排查和修复。慢慢地,亲自理解代码的动力会减弱,对业务逻辑的理解也逐渐模糊。
这就是很多复杂项目失控的开始。
如果项目再涉及多人协作,这种失控会来得更快。
每个人都在让 AI 写代码,都能快速提交需求,也都觉得项目推进得很顺利。但当系统真正出现问题时,却找不到一个能够理解全局的人。
AI 时代最重要的问题,或许已经变成了“什么东西必须交由人来负责”。
需求可以让 AI 实现,代码和测试也没问题,但架构边界、数据流向、系统约束以及长期演进方向,还得让人来跟进。
如果每个需求都只是告诉 AI 一句话,然后等待结果出现,项目最终会变成一个可执行但不可理解的黑盒。这对商业化项目来说,可能会是一场灾难。
框架设计简单,业务逻辑也不复杂。无论是人写代码还是 AI 写代码,差距往往没有想象中那么大。有些时候,AI 甚至写得比人更细致。
后端大部分场景无非是增删改查,偶尔遇到高并发,加缓存、队列、异步任务,通常也能解决。前端更多是数据请求、状态管理、模板渲染,真正复杂的场景也不常见。
所以在软件实现层面,AI 的胜任度已经非常高。
时间久了,人对 AI 就会逐渐建立起一种信任感。我们会觉得它解决问题越来越厉害。实际上,很多时候并不是 AI 突然变强了,而是我们面对的问题本身就没有那么复杂。同时 AI 还在持续进步,两者叠加之后,人会越来越倾向于把事情交给 AI。
那么问题也就来了。
当所有逻辑都交给 AI 实现的时候,项目初期可能运行得很好。但随着业务不断演进,if else 越来越多,数据流越来越复杂,代码规模也会快速膨胀。
这时候,人对系统的掌控力就会开始下降。
出现 Bug 之后,人依旧能够分析问题,但第一反应已经变成继续交给 AI 去排查和修复。慢慢地,亲自理解代码的动力会减弱,对业务逻辑的理解也逐渐模糊。
这就是很多复杂项目失控的开始。
如果项目再涉及多人协作,这种失控会来得更快。
每个人都在让 AI 写代码,都能快速提交需求,也都觉得项目推进得很顺利。但当系统真正出现问题时,却找不到一个能够理解全局的人。
AI 时代最重要的问题,或许已经变成了“什么东西必须交由人来负责”。
需求可以让 AI 实现,代码和测试也没问题,但架构边界、数据流向、系统约束以及长期演进方向,还得让人来跟进。
如果每个需求都只是告诉 AI 一句话,然后等待结果出现,项目最终会变成一个可执行但不可理解的黑盒。这对商业化项目来说,可能会是一场灾难。
29 15
过去几千年里,人类一直默认自己是已知世界中认知能力最强的存在。人与人的差别,只不过是知识、经验和思考深度的不同罢了。
AI 出现后,这种认知开始改变。面对问题,人们越来越依赖 AI 获取信息、验证想法和推进工作,许多原本独立完成的思考过程转向了人机协作,🤖
与此同时,人类第一次长期面对一个记忆和智力,甚至情商都明显超越自己的存在。它不知疲倦,不会遗忘,也无需休息。
要知道,过去比你聪明的人依然是人,时间和精力都有限;可 AI 不一样,关键是,它还正在杀入劳动力市场。
当企业追求效率和成本优势时,一个能 24 小时工作、持续学习且成本不断下降的智能体,自然会成为新的选择。
人类面对的,不再只是更聪明的工具,而是更聪明的竞争者。🥲
AI 出现后,这种认知开始改变。面对问题,人们越来越依赖 AI 获取信息、验证想法和推进工作,许多原本独立完成的思考过程转向了人机协作,🤖
与此同时,人类第一次长期面对一个记忆和智力,甚至情商都明显超越自己的存在。它不知疲倦,不会遗忘,也无需休息。
要知道,过去比你聪明的人依然是人,时间和精力都有限;可 AI 不一样,关键是,它还正在杀入劳动力市场。
当企业追求效率和成本优势时,一个能 24 小时工作、持续学习且成本不断下降的智能体,自然会成为新的选择。
人类面对的,不再只是更聪明的工具,而是更聪明的竞争者。🥲
11 12
“视人为人”的价值观,从缺啥补啥的视角来看,中国互联网农民工的处境还是很艰难的。
钉钉换帅,或许也只是因为没有拿到该有的结果。有了结果,还会换?那“视人为人”还重要么?
钉钉换帅,或许也只是因为没有拿到该有的结果。有了结果,还会换?那“视人为人”还重要么?
16 10
有了 AI 以后,很多人会产生一种错觉:它无所不能,任何需求说出来,第二天就能像魔法一样出现在屏幕上。但这恰恰是最大的误区。
质量、效率、成本,这个经典的不可能三角,在 AI 时代依然有效。
AI 确实让软件开发变快了,但不能把变快理解成变简单。
一个复杂系统里,写代码往往只占很小一部分时间。真正耗费精力的是理解业务、识别边界、处理例外情况,以及对未来变化做出预判。这些工作不会因为 AI 出现而消失。
很多 AI 生成的项目都有一个特点,前几天进展惊人,后面越来越难改。功能做出来了,问题也跟着一起被做出来了。速度提升的同时,一部分思考过程被跳过,而这些思考原本就是软件工程最有价值的部分。
AI 带来的变化,没有让复杂问题消失,而是让人更快进入到复杂问题领域。🐶
质量、效率、成本,这个经典的不可能三角,在 AI 时代依然有效。
AI 确实让软件开发变快了,但不能把变快理解成变简单。
一个复杂系统里,写代码往往只占很小一部分时间。真正耗费精力的是理解业务、识别边界、处理例外情况,以及对未来变化做出预判。这些工作不会因为 AI 出现而消失。
很多 AI 生成的项目都有一个特点,前几天进展惊人,后面越来越难改。功能做出来了,问题也跟着一起被做出来了。速度提升的同时,一部分思考过程被跳过,而这些思考原本就是软件工程最有价值的部分。
AI 带来的变化,没有让复杂问题消失,而是让人更快进入到复杂问题领域。🐶
32 11