从 Git 流图到 CSS 零日:技术世界的归属与失衡
About This Episode
本期我们剖析 Microsoft 把 Git‑flow 图 “改写” 为自家产物的争议,追问 AI 是否正上演新一轮索洛悖论,又审视 Meta 向国会撒的谎。随后聊开源理想与闭源现实的冲突,最后探讨零日 CSS 漏洞报酬背后的价值博弈,一口气把技术生态的伦理、经济与文化冲突聊个透彻。
Links
小雅: 操蛋,老冯你听这电钻声,都几点了还他妈装修?这楼上是不是拿电钻当摇篮曲呢?
老冯: 哟,小雅你这树莓派配色调完了没?别光顾着骂街,小心咖啡凉了又得抱怨「特么这世界都不给我留口热乎的」。
小雅: 配色个屁,我刚想给终端加个新主题,结果 Git 流图一看,全特么是 merge commit,跟这电钻声一样乱七八糟。你说这帮开发者是不是闲得蛋疼?
老冯: 哈哈,你这就是典型的「看不惯别人,又干不掉别人」。不过说到 Git 流图,今年年初不是有个大新闻吗?那个叫什么来着,GitHub 的归属权官司,搞得整个开源社区跟吃了屎一样难受。
小雅: 哦对,那个什么「GitHub Copilot 版权门」,微软又双叒叕被告了。我就问一句:开源精神去哪儿了?现在倒好,一帮大厂拿着开源代码当自家后花园,还美其名曰「AI 赋能」。
老冯: 别急眼啊,这不就是今天要聊的吗?从 Git 流图的乱象到 CSS 零日漏洞,再到整个技术世界的归属感失衡。你说这帮前端开发者,天天鼓捣个 CSS 还能整出个零日漏洞,也是绝了。
小雅: 可不是嘛,CSS 零日这事儿,我第一反应是「这帮人是不是闲得没事干?」结果一看,影响范围还挺大,连 Safari 都中招了。你说这技术圈,到底是进步了还是退化了?
老冯: 进步个屁,这叫「失衡」。一边是大厂拿着开源当免费午餐,一边是小团队拼死拼活搞创新,结果还得担心自家代码被「AI」偷走。今天咱们就好好唠唠这事儿,顺便看看这帮「技术巨头」又整出什么幺蛾子。
小雅: 行吧,反正咖啡也凉了,电钻也停了,咱们就聊聊这帮「技术巨头」的操蛋事儿。不过老冯,你可别又跑题到你那「上古时代」的故事去了。
老冯: 切,我什么时候跑题了?上回聊个区块链,我不是顺便给你科普了下「磁盘碎片整理」的历史吗?这叫「技术传承」,懂不懂?
小雅: 操蛋,老冯,你刷到这个新闻了吗?微软特么十五年后把人家的 Git 流图给「AI 优化」成了「continvoucly morged」?
老冯: 哟,小雅你这火气比我家那破壁机还大。十五年啊,人家 Vincent 当年在 Keynote 里精心调色调线,结果微软直接扔 AI 里洗了个澡,出来跟鬼画符似的。
小雅: 这他妈哪是优化,这是降维打击!原图那箭头多清晰,结果 AI 给整得跟蜘蛛网似的,箭头还他妈指错方向了!
老冯: 哈哈,你别说,「continvoucly morged」这梗绝了。不过话说回来,这事儿不光是微软的锅,LinkedIn 那帮 AI 生成的垃圾内容才是重灾区。
小雅: 对对对!评论区那个 wiseowise 说得好:「LinkedIn 就是个精神病院,全是最不正常的「人」和机器人」。我一想到那些 AI 生成的 Java 代码,lambda 语法都他妈写错,就来气。
老冯: 哎,你别说,这事儿还真反映了一个大问题。开源精神本来是「站在巨人肩膀上」,结果现在变成了「站在巨人肩膀上,然后把巨人踹下去」。
小雅: 太他妈形象了!Vincent 当年还特意开源了 Keynote 源文件,结果微软直接拿去洗稿,连个链接都不给。这跟抄作业有啥区别?
老冯: 区别大了去了。抄作业至少还知道自己在抄,微软这帮人估计压根不知道自己在干啥。你想想,Learn 门户是给开发者学习用的,结果教材都是 AI 生成的垃圾,这不是误人子弟吗?
小雅: 而且这事儿还暴露了一个更大的隐患 —— 以后 AI 生成的内容越来越多,谁还能分得清啥是原创啥是洗稿?Vincent 这图还算知名,要是个小众的技术图,估计早被埋了。
老冯: 可不是嘛。我记得 Vincent 文末还问了句:「这个 Learn 页面是怎么来的?目的是啥?过程是啥?」这问题问得好,微软估计自己都答不上来。
小雅: 哈哈,微软估计得找个 AI 来回答这个问题。不过说真的,这事儿让我想到 Git 流本身的争议。好多人说 Git 流太复杂,不如 trunk-based 开发。
老冯: 哟,你还真提到点子上了。Git 流当年火的时候,确实有点过度设计。现在大厂都在推 trunk-based,简单粗暴,反而更适合快速迭代。
小雅: 对啊!Git 流那套 feature/hotfix/release 分支,搞得跟核武器操作手册似的。现在谁还用这玩意儿?直接 main 分支,PR 走起,多爽。
老冯: 不过话又说回来,Git 流当年确实解决了不少团队的协作问题。不能因为现在有更简单的方案,就全盘否定人家的贡献。
小雅: 切,你这老油条就是爱和稀泥。Git 流的问题在于它让开发者误以为「复杂 = 专业」,结果一堆团队搞得跟搞科研似的,效率低得要死。
老冯: 行行行,你效率至上,我懂。不过这事儿也给咱们提了个醒 —— 技术世界的归属感越来越模糊了。AI 洗稿、大厂抄袭、开源滥用,这他妈都什么事儿啊。
小雅: 可不是嘛。Vincent 最后还挺乐观的,说「下次见」。我估计他心里想的是「下次别再让我看到你们的 AI 垃圾」吧。
老冯: 哈哈,你别说,这事儿还真让我想起了 CSS 零日那档子事儿。技术世界的失衡,归根结底还是人心的失衡。
小雅: 操,你别跑题啊!不过你说得对,这事儿确实跟 CSS 零日有点像 —— 都是大厂拿着开源的东西为所欲为,然后甩锅给「技术进步」。
老冯: 得得得,不跑题不跑题。反正这事儿给咱们的教训就是:以后看到微软的 Learn 页面,先问问自己 —— 这玩意儿是「continvoucly morged」的吗?
小雅: 哈哈,这梗我记住了。行了,咖啡凉了,我得去续杯。下回聊 CSS 零日的时候,你可别再给我扯 Git 流了。
小雅: 操蛋,又是这帮 CEO 拿着索洛悖论当遮羞布。AI 都烧钱烧成这样了,生产力屁都没见着一个。
老冯: 嘿,你别急啊,这不跟当年 IT 革命一个德行嘛。80 年代那帮老板不也嚷嚷着计算机要改变世界,结果生产力直接掉头往下跑。
小雅: 呸,你少给我扯历史。Claude 现在一小时几毛钱,跟当年那帮大型机动辄几百万美金能一样?还不出效果,纯纯的智障行为。
老冯: 哟,你还真信那帮评论区的「成本低回报快」论调?你忘了上个月咱俩吐槽的那个 AI 生成的报告了?
小雅: 别提了,那玩意儿写得比我还快,但全是屁话。我花半小时改,还不如自己从头写。
老冯: 这不就是 kombookcha 说的「信噪比极低」嘛。你用 AI 造一堆垃圾,再让 AI 帮你总结垃圾,最后连自己都信了。
小雅: 笑死,我上次就这么干了,结果老板还夸我效率高。真特么讽刺。
老冯: 这不就是「bullshit jobs」理论吗?AI 帮你快速生产一堆没人看的报告,你还觉得自己贡献巨大。
小雅: 操,我现在都怀疑我这工作是不是真的有意义。要不咱俩也去搞点「无价值工作」算了。
老冯: 别别别,你忘了 Stromgren 说的「反向效率陷阱」了?AI 写得快,但你读得更慢,还容易漏关键点。
小雅: 对对对,我上次就漏了个数据,差点被老板骂死。还不如直接看窗外发呆呢,至少不会有虚假安全感。
老冯: 哈哈,这不就是 kombookcha 那句犀利评论嘛。「用 AI 以光速输出噪音,还不如看窗外,至少不会自欺欺人。」
小雅: 行了行了,别贫了。你说这 AI 到底啥时候才能真正提升生产力啊?
老冯: 别急,crazygringo 不是说了嘛,IT 革命也是熬了 20 年才见效。AI 这才刚开始,咱们再等等。
小雅: 等个屁,我现在就想看到效果。要不咱俩也去搞个 AI 公司,专门忽悠 CEO 们烧钱?
小雅: 操蛋,我刚看到这个 gist,题目是《Terminals should generate the 256-color palette》。
老冯: 哟,又有人想给终端整容呢?这年头连黑乎乎的命令行都要搞美颜滤镜了。
小雅: 特么的,这哥们说得还挺有道理,说什么 base16 主题太局限,truecolor 又太重,256 色是个折中。
老冯: 折中?我看是折腾。你记得咱俩上次吐槽的那个主题吗?一换终端,颜色全变样,跟色盲测试似的。
小雅: 对对对!评论区那个 hnlmorg 说得好,「People use the terminal not because it」s pretty but because they find a text interface more efficient」。
老冯: 哈哈,这老哥一看就是个纯粹主义者。不过话说回来,这 256 色调色板的问题确实恶心人。
小雅: 他给的解决方案是用 LAB 色彩空间插值,说这样能保持亮度一致。我看了下效果图,确实比 RGB 插值顺眼。
老冯: LAB 色彩空间啊,我记得 Photoshop 里就有这玩意儿。不过这哥们连代码都写好了,还公开领域,够狠。
小雅: 对啊,Ghostty、iTerm2、SwiftTerm 都已经实现了,kitty 和 Wezterm 还在 PR 阶段。
老冯: 哟,这速度够快的。不过我还是有点担心,万一有人瞎搞,把终端整得跟迪厅似的,那可咋整?
小雅: 哈哈,你怕不是想说自己吧?上次你不还把终端背景调成了荧光绿?
老冯: 咳咳,那不是为了提神嘛。不过说真的,这事儿确实有两面性。一边是用户自定义,一边是开发者预期。
小雅: 对,评论区还有人提议用 Oklch 色彩空间,说是比 CIELAB 更符合人眼感知。
老冯: Oklch?这名字听起来像是个新款奶茶。不过技术这玩意儿,总是在不断进化,谁知道哪天就变成标准了呢。
小雅: 反正我是站在「让终端更好用」这边的。要是真能解决跨终端一致性的问题,我举双手赞成。
老冯: 行吧,那咱们就拭目以待。不过小雅,你可别忘了,咱们今天的主题是「技术世界的归属与失衡」,这终端调色板算哪门子失衡啊?
小雅: 切,这不就是技术世界里「谁说了算」的问题吗?是用户说了算,还是开发者说了算?
老冯: 行行行,你赢了。不过说到这儿,我突然想起来,咱俩上次聊的那个 Git 流图的事儿,不也是这个道理吗?
小雅: 哎哟,你还真给跑题了!不过也行,反正咱们这环节就是 SideTrack,随便聊呗。
小雅: 操蛋,今晚这个话题我忍不了。Zuckerberg 那孙子在国会面前装什么圣人呢?
老冯: 哟,小雅你这火气比我家那破壁机的噪音还大。来来来,坐下喝口咖啡,听我给你讲讲这背后的「哲学」。
小雅: 哲学个屁!他当着家长的面说「我们投入巨资保护青少年」,结果呢?64% 的安全工具要么废了要么根本没用!
老冯: 哎,你别激动啊。这不就是典型的「PR 优先,产品垫底」嘛。Meta 那帮人精早就算计好了,反正 Section 230 在那儿挡着,出事了就道个歉,再扔几个亿做做样子。
小雅: 特么的,17-strike 政策你敢信?就跟「我们不允许谋杀,但给你 17 次免费杀人机会」一样荒谬!
老冯: 哈哈,评论区那个 ceejayoz 这比喻绝了。不过话说回来,这「17 次」背后可有讲究。
小雅: 讲究个屁!这不就是明摆着「我们有政策,但懒得执行」吗?
老冯: 你别急,听我分析。这 17-strike 不是懒,是「精算」。Meta 早就算过账了:封号成本 vs. 留住用户的收益。
小雅: 操,这不就是赤裸裸的利益至上吗?那「79% 儿童性剥削发生在 Meta 平台」的数据呢?
老冯: 哎,这个数据得拆开看。实际上是「65% 的社交媒体招募受害者来自 Facebook」。但你别急,这数字依然吓人。
小雅: 拆开看个屁!这不就是玩文字游戏吗?反正受害者在那儿摆着,数据怎么包装都是血淋淋的!
老冯: 你说得对,但这里有个更深的问题:规模效应。Meta 体量太大,任何比例放到绝对值上都是灾难。
小雅: 所以呢?就因为他们大,就能给他们开绿灯?那我还不如直接说「我们不允许犯罪,但给你 17 次免费犯罪机会」!
老冯: 哈哈,你这嘴炮功力见长啊。不过话说回来,这确实是个悖论:你不能因为「复杂」就原谅「失控」。
小雅: 失控个屁!他们内部文件都写得清清楚楚:「我们要成为 6-10 岁孩子的最佳社交产品」!还「不通知家长」!
老冯: 对对对,那个「在化学课上偷看手机」的邮件你记得不?这帮人精连「如何偷偷用产品」都研究透了。
小雅: 我呸!这哪是「产品设计」,这明明是「犯罪教唆」!Zuckerberg 还说「我们站在家长这边」,结果呢?内部邮件都在说「通知家长会毁了产品」!
老冯: 哎,这不就是资本的双标嘛。表面上「我们关心孩子」,背地里「我们关心增长」。
小雅: 那「青少年账户」呢?不是说「特殊限制」吗?结果呢?64% 的工具要么废了要么根本没用!
老冯: 这不就是「安全工具」的「Git 流图」嘛。表面上分支繁多,实际上全是「dead code」。
小雅: 操,你这比喻我服。但这事儿不能就这么算了!国会那帮人干嘛呢?就知道开听证会,然后呢?
老冯: 国会?你指望那帮人能干嘛?Zuckerberg 都说了,「我的工作不是做好工具」,他们还能咋地?
小雅: 那「Kids Online Safety Act」呢?不是说要「hold their feet to the fire」吗?
老冯: 法律?你以为 Meta 没准备?他们早就雇了一票律师,专门研究「如何合法地不合规」。
小雅: 操蛋!那这事儿就这么算了?
老冯: 当然不能算了。但你得明白,这不是「技术问题」,是「权力问题」。Meta 现在就是「too big to regulate」。
小雅: 那我们这些搞技术的呢?就眼睁睁看着?
老冯: 我们?我们能做的就是「用脚投票」。你用啥产品,你推荐啥产品,这比任何听证会都管用。
小雅: 操,老冯你这话我爱听。下次谁再跟我吹「Meta 的技术多牛逼」,我就把这 17-strike 政策甩他脸上!
老冯: 哈哈,这才是我认识的小雅。来,咱俩干了这杯咖啡,庆祝一下「技术世界的失衡」。
小雅: 操蛋,又是 Tailscale 这帮人。Peer Relays 刚刚 GA 就开始吹嘘「effortless」、「boring」,真特么不要脸。
老冯: 哟,小雅你这是又被哪根网线绊倒了?人家好歹解决了 NAT 穿透的老大难问题,你在这儿骂街呢?
小雅: 解决个屁!你没看评论区那帮人骂得多狠吗?「Just fork it, compile it yourself」—— 这话说得跟每个用户都是极客似的。
老冯: 哦,你是说那个签名证书的梗?Apple Store 上架的事儿啊。
小雅: 对啊!你倒是给我个能上架的签名证书啊,别整天拿「开源」当遮羞布。iOS / macOS 客户端闭源,这叫什么开放?
老冯: 哎,你这就不懂商业了吧。人家一年赚四千五百万美金,总得养家糊口不是?
小雅: 养家糊口?你听听这借口多扯淡!四千五百万还不够付房租?他家屋顶是镶金边的吗?
老冯: 哈哈,你这话说得比评论区还犀利。不过话说回来,闭源 GUI 确实有点恶心,telemetry 开关藏得跟地雷似的。
小雅: 可不是嘛!一边说「我们很开放」,一边把 telemetry 藏得连开发者都要提 PR 才能关。这叫「有条件透明」,懂吗?
老冯: 行行行,你别激动。不过 Peer Relays 这功能本身还是挺牛逼的,NAT 穿透、静态端点、监控指标一应俱全。
小雅: 牛逼个屁!核心逻辑开源有啥用?断网了你连个完整的客户端都编译不了,还不是得靠人家的闭源版?
老冯: 你这观点我不同意。开源核心总比全闭源强,至少你还能自己搭 Headscale。
小雅: Headscale?你试过在 iPhone 上跑吗?别逗了,普通用户谁会折腾这个?
老冯: 得得得,你赢了。不过话说回来,这年头谁还不是在「现实妥协」里苟活呢?
小雅: 现实妥协?那叫 enshittification!服务劣化,vendor lock-in,你懂不懂?
老冯: 行行行,你是正义的化身。不过咱能不能聊点实在的?Peer Relays 的静态端点功能,AWS 环境下确实挺实用的。
小雅: 实用个屁!你以为每个人都有 AWS 的权限?还不是得看老板脸色。
老冯: 你这人怎么就不能正面看待技术进步呢?至少人家在努力解决问题,不像某些人只会骂街。
小雅: 解决问题?解决你个头!闭源 GUI 就是在制造问题!
老冯: 欸,小雅,你今晚又在折腾啥呢?树莓派配色搞得跟调色盘似的,还不如直接用黑白两色省事儿。
小雅: 操蛋,老冯你懂个屁!这叫「深夜极客美学」,你这种老油条就知道拿黑底绿字怀旧。
老冯: 行行行,你牛逼。不过说到「美学」,今儿 Chrome 又放了个大招,CVE-2026-2441,CSS 零日,野外已经有人用了。
小雅: 卧槽,CSS?那玩意儿不是拿来调 div 的吗?怎么还能搞出零日?
老冯: 嘿,你别小看 CSS,这年头连 CSS 都能玩出花儿来。不过重点不在这儿,重点是这漏洞的赏金 —— 才 20K 刀。
小雅: 20K?特么的,我一个月工资都不止这点!这帮大厂真他妈抠门。
老冯: 可不是嘛,评论区有个哥们儿说得好:「同样一个漏洞,你报给谷歌拿 20K,卖给灰市场能拿 250K 到 500K。」
小雅: 我靠,差距这么大?这谁还会傻乎乎地去报漏洞啊?直接卖了不香吗?
老冯: 问题就在这儿。灰市场那帮人可不傻,他们要的是「全套餐」:漏洞 + 沙箱逃逸 + 稳定利用。光一个崩溃 PoC,人家根本不鸟你。
小雅: 那这帮研究员图啥?就为了那点「道德感」?笑死,道德能当饭吃?
老冯: 嘿,你这话说得,还真有人信这个。不过也有人觉得,道德这玩意儿在市场面前就是个笑话。
小雅: 废话,市场才是硬道理。你搞出个全套利用链,花了几个月心血,结果谷歌给你 20K,灰市场给你 200K,你选哪个?
老冯: 而且啊,灰市场也没你想得那么黑。人家都是正经合同,政府啊、取证公司啊,签个合同就给钱,比你想象的「干净」多了。
小雅: 操,那这帮大厂还装什么装?明明就是压榨研究员的劳动力。
老冯: 压榨倒不至于,但确实有点「不平衡」。评论区那个 bri3d 说得好:「同样一个漏洞,你拿 20K,别人拿 200K,这差距不是一般的大。」
小雅: 这不就是赤裸裸的剥削吗?大厂靠研究员的漏洞修复产品,结果给人家的钱连灰市场零头都不到。
老冯: 而且啊,灰市场还有个大问题 —— 信任。你卖漏洞给人家,万一人家拿了东西不给钱,你找谁说理去?
小雅: 对啊,这帮人还没个第三方托管,全靠「信誉」。笑死,黑市还有信誉呢?
老冯: 所以啊,这事儿就是个死循环。大厂给钱少,研究员不乐意报;灰市场给钱多,但风险大。最后吃亏的还是用户。
小雅: 那这事儿就没解了?总不能让研究员都去卖漏洞吧?
老冯: 解?难。除非大厂良心发现,把赏金提到跟灰市场一个水平。但你觉得这可能吗?
小雅: 不可能,绝对不可能。大厂的良心早就喂狗了。
老冯: 所以啊,这事儿就这么僵着呗。研究员该卖卖,该报报,反正最后倒霉的还是咱们这些普通用户。
小雅: 操,这世界真特么操蛋。我还是回去调我的树莓派配色吧,至少这玩意儿不会坑我。
小雅: 操蛋,这期又扯了快三小时,我嗓子都快冒烟了。
老冯: 三小时算啥,当年我跟人讨论 TCP 拥塞控制能从晚饭聊到早饭,中间就靠一包辣条续命。
小雅: 你那是不健康,我这是效率至上。不过今天这期确实聊得还行,从 Git 流图扯到 CSS 零日,最后还绕回开源归属感,有点意思。
老冯: 嘿,你别说,这帮大厂的公关稿写得再漂亮,最后还不是靠一堆野生开发者给他们擦屁股。
小雅: 可不是嘛,特么的还不如我这树莓派配色来得实在。对了,想听下期继续扯淡的,用你常用的 RSS 阅读器订阅一下呗,省得老冯又忘了通知你。
老冯: 我啥时候忘过?上次那个谁,对,就是那个整天问「啥时候更新」的,我直接给他发了个 404 页面链接。
小雅: 你那是懒得理。行了,今天就到这儿,我得去给咖啡续命了,邻居那电钻声都快把我耳朵磨出茧子了。
老冯: 得嘞,下期咱们继续,说不定能聊到 AI 给你树莓派配色配出个马赛克来。走了走了。
小雅: 滚蛋,你才马赛克。下期见,有空再聊。