Marico's space

【译者前言】这篇文章的背景值得单独说一下。2026年4月，Vercel 披露了一起安全事件——攻击者通过一名员工的第三方 AI 工具账号（Context.ai）渗透进其内网，最终影响到部分客户。表面上看，这是一起大厂中招的个例，但细看攻击路径：第三方工具 → Google Workspace 账号 → 未标记为敏感的明文环境变量，每一个环节都是行业常见做法。这不是「Vercel 运气不好」，而是每

最近和架构师同事聊了聊 Power Platform 的环境管理问题，聊得挺有意思的。我们都觉得这方面的设计确实值得好好掰扯掰扯——有哪些痛点可以快速改善，哪些问题需要从根上动刀，以及未来会往什么方向发展。 我的想法分三个层面： 1. 小修小补能解决的 2. 需要大动干戈的 3. 未来可期 1. 小修小补能解决的 说实话，Power Platform 环境这套东西，这么多年没怎么变

看到一个安全事件被定性为"生产就绪度"（Production Readiness）问题，这个角度挺有意思的，忍不住想聊聊。 大多数团队聊生产就绪，脑子里冒出来的词是： uptime 要几个九、响应延迟多少、部署快不快、bug 多不多。没错，但不全。 Vercel 刚刚公布的 2026 年 4 月安全事故，官方说法是：攻击者通过一家第三方 AI 工具（Context.ai）入侵了一名员工的飞书/

不知道你们有没有被 AI 账单支配的恐惧。功能做得爽，月底账单来一看——好家伙，比服务器费用还高。我自己做了个 AI 黄金交易系统，用户量涨上来之后，OpenAI 的 API 费用也跟着飙，每个月几千美元扔进去，说不心疼是假的。 试过手动薅免费额度，结论是：**千万别这么干**。不同平台不同 API、不同速率限制、这家挂了那家顶上……管着管着人就麻了。后来认真研究了一圈，发现一个比较靠谱的开源方

# GPT-5.5 已发布 — 这些数字到底意味着什么 昨天（2026年4月23日），OpenAI 发布了 GPT-5.5。代号为"Spud"。 令人意外的并不是模型本身。GPT-5.4 是六周前发布的。 在简报会上，OpenAI 首席科学家 Jakub Pachocki 表示，过去两年实际上进展缓慢。这句话才是这次发布的真正背景。 ## 六周和"Spud" GPT-5.4 是六周前发布的。再往前

译者按：prompt 工程这个领域，野路子太多了，真正的系统化方法论极少。这篇文章提出了「四层架构」和「自评估提示」等模式，思路值得借鉴，于是翻译分享。 问题：提示工程还在靠直觉 尽管大语言模型进化得飞快，什么 GPT-4、Claude 3 全出来了，但很多工程师写 prompt 的方式依然是「试试这个，不行再改」。两个人解决同一个任务，能写出完全不同的 prompt，还各执己见觉得自己的更

最近安全圈有个消息挺有意思：Linux 内核维护者开始收到 LLM 生成的安全报告，115 票热度，评论区吵成一锅粥。大多数人在争论这些报告是不是噪音，但我更在意一个没人提的问题——漏报。 抱着这个疑问，我决定在自己代码上跑一遍同样的流程，结果比我想的还刺激。 实验怎么做的 找了三段生产代码：Next.js 的 webhook 处理器、2021 年写的 auth 模块（那时候刚转开发，代码

纸上谈兵的时候，一切都显得很完美： * Endpoints 写得干干净净 * 资源命名挑不出毛病 * HTTP 方法用得中规中矩 然后一上线，傻眼了： * 客户端开始疯狂重试 * 数据不一致的问题冒出来了 * 版本管理乱成一锅粥 * 改一个地方，三个消费者炸了 这时候才明白一个扎心的真相： > REST API 设计不是为了优雅——而是为了在变化中活下来。 -------

编者按：选这篇文章，是因为它戳中了一个很常见但容易被忽视的问题——我们总以为"进程在跑=一切正常"，但其实进程可以处于一种"表面活着、实际已死"的状态。作者用很接地气的方式讲清楚了什么是僵尸进程，以及他怎么用三层防御体系来解决这个问题。值得一看。 先说个鬼故事：你的监控系统显示一切正常，但摄像头已经挂了三天了。 不是我编的，这是真实发生在我家的破事。 事情是这样的 我家里跑着三台 AI

【译者前言】 这篇文章是作者"大模型思考录"系列的第三篇。一个月前他发了第一篇模块化架构的文章，收到不少反馈——有认可的，也有直接指出一堆逻辑漏洞的。作者没有捂着，而是认真复盘，把原来方案里三个最致命的问题全拆开来重新想了一遍。 读下来挺有意思的。他没有把"类脑AI"当成一个浪漫的比喻来用，而是真的去找神经科学里的证据——比如失语症（aphasia）病人的临床观察，用这些来指导工程设计。他自己