技术泥沼:框架自省、安卓自由、AI 超速与安全披露
About This Episode
本期我们拆解 Web Components 是未来还是妥协,剖析 Google 对 Android sideload 的隐蔽限制,还会追踪一枚极致速率的 AI 推理芯片背后的真实 trade‑off,同时聊聊安全研究者在公司法务围堵下的自白。技术细节与行业暗流交织,让你一次听个够。
Chapters
Links
小雅: 老冯,你听这雨声,跟服务器风扇一个调调,吵得我脑子里全是日志滚动的声音。你那边怎么这么安静?终于把你那堆树莓派集群给关了?
老冯: 安静?我这边正在跟一个刚升级的 Kubernetes 集群较劲呢。你以为我想安静?我是被迫的,因为集群里的 Pod 又开始互相甩锅了。这年头,连机器都学会内卷了。
小雅: 得了吧,你就是闲不下来。说起来,今年这技术圈真是越来越魔幻了,框架更新得比我换手机还快,安卓那边又开始搞什么「自由」运动,AI 倒是一路狂飙,但安全漏洞也跟着满天飞。今天咱们就聊聊这些事儿?
老冯: 哟,你这是要给我安排一场技术吐槽大会啊?行啊,反正我也憋了一肚子话。就说这框架自省吧,前两天 Next.js 又出了个大版本,号称「革命性」,结果一堆开发者上去就骂街,说是「革命性地浪费时间」。
小雅: 哈哈,别提了,我昨天还在群里看到有人吐槽,说现在的前端框架简直是「轮子上的轮子」,每个新版本都像是在重新发明自行车。不过话说回来,安卓那边的「自由」运动倒是有点意思,Google 终于开始松口了?
老冯: 松口?你太天真了。Google 那帮人,嘴上说着「自由」,背地里还不是想把你套得更紧。不过这事儿确实值得聊聊,毕竟今年这事儿闹得挺大的,连欧盟那边都开始插手了。
小雅: 对啊,AI 那边更是热闹,OpenAI 又搞出了什么新模型,号称「超越人类」,结果一上线就被人找出一堆漏洞。安全披露这块儿,今年也是乱七八糟的,有些公司披露漏洞跟炫耀似的,生怕别人不知道他们被黑了。
老冯: 可不是嘛,今年这安全披露的套路,简直比 AI 生成的 PPT 还花里胡哨。不过话说回来,咱们今天就从这些事儿里挑几个重点聊聊?比如框架自省这块儿,到底是技术进步还是自找麻烦?
小雅: 行啊,反正咱们也不是第一次干这种事儿了。先从框架聊起,然后再扯扯安卓和 AI,最后再吐槽一下安全披露的那些破事儿。不过老冯,你可别跑题啊,上次你扯到区块链,咱们录了三个小时。
老冯: 放心吧,今天我就当个安静的美男子。不过你得保证不骂街,上次你骂那个前端框架,TTS 直接给你屏蔽了,搞得我这边一顿好笑。
小雅: 哎老冯,你瞅见这篇《Web Components: The Framework-Free Renaissance》了吗?2026 年了,还有人鼓吹「无框架的未来」,我真服了。
老冯: 哟,这不又是一帮浏览器厂商的代言人吗?标准外衣一披,就开始忽悠大家「回归原生」,真当开发者都是傻子呢。
小雅: 对啊!文章里说什么「浏览器已经成为框架」,我呸。你让我用原生 Custom Events 写个复杂应用试试?光事件冒泡就够我喝一壶的。
老冯: 哈哈,你还别说,他还真举了个例子 ——Home Assistant。说人家用 Web Components 实现了「长期稳定的渐进式演进」。
小雅: Home Assistant?那个智能家居平台?我记得它确实挺稳定的,但你敢说它的前端代码不依赖任何「轻量框架」?Lit 不就是个半框架吗?
老冯: 对喽!评论区有个哥们说得好:「他们嘴上说着无框架,背地里却把自家框架的理念塞进浏览器规范里。」这不就是变相绑架开发者吗?
小雅: 而且 Shadow DOM 这玩意儿,样式闪烁、事件机制倒退,简直是 Redux 的反面教材。我上次用它写个组件,调试半天才发现事件根本冒不出去!
老冯: 你这还算好的,我遇到过更绝的 ——Shadow DOM 里的样式全局污染,最后发现是浏览器 bug。你说这标准定得好好的,怎么实现起来就跟打补丁似的?
小雅: 这不就是浏览器厂商的利益冲突吗?Chrome 想推广自家的东西,Firefox 和 Safari 就各玩各的,最后苦了我们开发者。
老冯: 可不是嘛。文章里还说什么「AI 助手能帮你快速上手 Web Components」,我呸。AI 再牛逼,也补不了标准本身的坑啊。
小雅: 不过话说回来,这篇文章也不是一无是处。至少它提醒了我们,框架的「升级地狱」确实烦人。React 每年都得学新 API,Vue 的 Options API 都快成古董了。
老冯: 嗯,这点我同意。Web Components 的稳定性确实吸引人。十年前写的组件,现在还能用,这在框架世界里简直是天方夜谭。
小雅: 但你敢说你的项目里完全不用框架吗?就算用 Web Components,你不得用 Lit 或者类似的东西来补足状态管理?
老冯: 哈哈,你算是说到点子上了。纯原生 Web Components 在复杂场景下就是个半成品,开发效率低得吓人。所以大多数人还是得依赖「轻量框架」。
小雅: 所以这帮人到底在吹什么「无框架的文艺复兴」?明明就是「浏览器原生实现的伪解决方案」嘛。
老冯: 对头。评论区那个犀利哥说得好:「Web Components 背后塞满了太多机制和假设,导致它在稍微复杂点的场景下就完全不可用。」
小雅: 不过,我倒是觉得 Web Components 在简单场景下挺有用的。比如一个独立的小组件,不需要复杂状态管理,用原生的还挺方便。
老冯: 嗯,这点我认同。它适合那种「渐进式增强」的场景,比如给传统多页应用加点交互。但要说它能完全取代框架?那还是算了吧。
小雅: 而且,生态碎片化的问题也没解决。每个团队都自己造轮子,组件之间的协作简直是灾难。
老冯: 可不是。你要是用了三个不同团队写的 Web Components,光是事件命名规范就能把你逼疯。这跟框架的生态比起来,简直是原始社会。
小雅: 所以啊,这帮人吹的「无框架未来」,我是一点都不信。技术选型还是得看场景,别被忽悠了。
老冯: 没错。Web Components 有它的用武之地,但别指望它能拯救前端。框架还是得用,只是得选对适合自己的。
小雅: 行了,今天的吐槽到此结束。下次谁再跟我吹「无框架的文艺复兴」,我直接给他甩个 Shadow DOM 的 bug 视频。
老冯: 哈哈,那视频我都替你剪好了。标题就叫《Web Components:看我如何在 30 秒内让你的样式全炸》。
小雅: 卧槽,老冯,你听说了吗?Google 又在搞事情,这次是要彻底锁死 Android 的侧载!
老冯: 哦?又是「我们很开放」的那套把戏?上次说好的「advanced flow」呢,Android 16、17 都快出了,屁影都没见。
小雅: 对啊!F-Droid 那帮人在 FOSDEM26 上都快气炸了,结果发现大伙还以为 Google 已经「改邪归正」了。
老冯: PR 战打得漂亮啊,媒体就知道复制粘贴 Google 的新闻稿。真相是啥?「advanced flow」就是个空头支票。
小雅: 这下可好,Murena 的 e / OS 这些去 Google 化的系统全得完蛋。APK 安装要 Google 验证开发者 ID,这不就是变相的墙吗?
老冯: 墙?这比墙还狠。墙至少还有梯子,这玩意儿直接把梯子烧了。你说 Linux 手机能火?别逗了,银行、保险、2FA 那些 app 不认证,谁敢用?
小雅: 评论区有个哥们说得好:「指望 Google 放弃控制 Android,跟相信牙仙一样天真」。
老冯: 哈哈,这比喻绝了。不过话说回来,刷机这事儿你怎么看?现在工具这么先进,真有那么危险吗?
小雅: 危险是一回事,门槛是另一回事。我表弟刷个机差点把手机刷成板砖,最后还是我救回来的。普通人谁敢碰?
老冯: 所以啊,硬件限制、生态锁定,这些才是大问题。Google Maps、Uber 这些 app,你不用就得被社会淘汰。
小雅: EU 不是逼 Apple 开放第三方应用商店了吗?Google 这边呢?估计又要玩「信任证书」的把戏。
老冯: 监管?Google 比泥鳅还滑。证书这玩意儿,说白了就是「你信我,我就信你」的游戏。到时候又是一堆「合规」的借口。
小雅: 那你说,有啥解决方案?评论区有人说用「烧钱手机」跑需要 Play Integrity 的 app,这不扯淡吗?
老冯: 烧钱手机?那不就是富人的游戏?大部分人还是得乖乖用 Google 的生态。不过话说回来,F-Droid 现在不是开始在 app 里加警告横幅了吗?
小雅: 对啊,IzzyOnDroid、Obtainium 都跟进了。F-Droid Basic 都出 2.0-alpha3 了,还加了安装历史、CSV 导出这些功能。
老冯: 哦?还能导出已安装 app 的列表?这功能不错,万一哪天 Google 真的把门一关,至少还有个备份。
小雅: 但你别忘了,Google 这波操作,浪费的可是 F-Droid 这些开源项目的时间。本来可以用来修 bug、升级 Java 版本的。
老冯: 可不是嘛。Java 17 都快成古董了,还不升级到 21?这帮人忙着救火,哪有空搞技术升级。
小雅: 不过也有好消息,Conversations 和 Quicksy 更新了,Play Store 版本直接用 IPC 跟 Google Play Service 交互,不用 Google 的库了。
老冯: 哦?这倒是个好消息。说不定以后 F-Droid 和 Play Store 能用同一个版本,彻底去掉专有依赖。
小雅: 但说到底,这都是治标不治本。Google 要是真想锁死 Android,总有办法。你说,Linux 手机真能成为替代方案吗?
老冯: Linux 手机?现在连 PinePhone 都卖不动,更别提那些小众系统了。生态不成熟,硬件支持差,普通人谁会用?
小雅: 那我们就只能眼睁睁看着 Android 变成 iOS 的翻版?
老冯: 也不一定。要是 EU 真能逼 Google 开放,或者哪天出现一个真正的「Android 杀手」,说不定还有转机。
小雅: 得了吧,EU?Google 都能把「合规」玩出花来。我看啊,还是得靠社区自己折腾。F-Droid 这帮人不也在努力吗?
老冯: 社区?社区再努力,也干不过 Google 的律师团和 PR 团队。不过话说回来,至少我们还有选择的权利,哪怕这权利越来越小。
小雅: 诶老冯,你听过这事儿吗?有个潜水教练兼平台工程师,在科科斯岛的潜水船上发现他投保的潜水保险公司网站有个超级傻逼的漏洞。
老冯: 哦?又是一个「我发现漏洞,他们发现律师」的故事?这剧本我熟。
小雅: 对!这哥们儿发现用户 ID 是递增的数字,默认密码全公司一个,连学生账号都不强制改密码。你猜怎么着?
老冯: 我猜他一顿操作猛如虎,结果对面直接甩律师函过来。
小雅: bingo!人家按规矩先报给马耳他 CSIRT,再发邮件给公司,还给了 30 天修复期。结果公司回复说:「你先报政府,让我们很被动啊!」
老冯: 哈哈,被动?他们是怕 GDPR 罚款吧。不过这公司也够绝的,还威胁说他「可能构成刑事犯罪」。
小雅: 对啊!明明是他们系统设计得像屎一样,还要人家签保密协议,连「我发现漏洞」这事儿都不能说。
老冯: 这不就是「内部员工提安全问题,领导直接删邮件」的翻版吗?公司就喜欢装聋作哑。
小雅: 评论区有个哥们儿说得好:「我举报问题,结果把自己职业生涯搭进去了。这本该是升职加薪的事儿,我他妈是不是活在童话里?」
老冯: 现实就是这么残酷。公司不想背锅,员工不敢吭声,研究员不敢报告。整个系统就是鼓励大家闭嘴。
小雅: 所以这哥们儿才呼吁要有独立的国家级漏洞报告机构,让研究员和公司不直接对线。
老冯: 这个想法不错,但你觉得公司会乖乖配合吗?他们巴不得这事儿永远不见光。
小雅: 所以啊,这事儿让我想起之前那个 Android 开发者,因为反对 Google 的政策被封杀。技术圈的权力游戏太恶心了。
老冯: 都是一个套路。大厂就喜欢用「合规」和「法律」当武器,把技术问题变成政治问题。
小雅: 你说,如果这哥们儿当初直接公开漏洞,会不会更好?至少能逼他们修复。
老冯: 公开是把双刃剑。虽然能逼公司行动,但也可能让黑客有机可乘。这事儿没完美解。
小雅: 反正现在的系统就是鼓励大家当鸵鸟。发现问题?不如假装没看见。
老冯: 所以啊,小雅,你以后发现漏洞可得小心点。别一不小心把自己搭进去了。
小雅: 切,我才不怕。真要有事儿,我直接发推特,让全世界都知道。
老冯: 行行行,你牛逼。不过我劝你还是先找个好律师。
小雅: 哎老冯,你瞅见这个 Taalas 的新闻没?17k tokens / sec,直接把 Llama 3.1 8B 跑爆了,还他妈只用 30M 刀。
老冯: 哟,又一个硅谷神童?这速度确实吓人,但你别忘了,这玩意儿是 3-bit 量化,上下文还短得可怜。
小雅: 切,你就知道泼冷水。人家都说了,这是第一代产品,后面还有 4-bit 浮点的 HC2。现在不就是先让开发者玩玩吗?
老冯: 玩玩?评论区有个哥们说得好:「I've never gotten incorrect answers faster than this」。这速度快得跟错答案赛跑似的。
小雅: 哈哈哈,这评论绝了。但你不觉得这思路牛逼吗?直接把存储和计算合一,砍掉 HBM、液冷那些破事儿。
老冯: 思路是牛逼,但架构细节一团迷雾。有人说一个模型要 10 个芯片,有人说一个芯片跑一个模型。这帮人连个白皮书都不发。
小雅: 你这老油条,就不能乐观点?人家团队 24 个人,2.5 年搞出这个,还不够你吹的?
老冯: 24 个人?那帮人可都是老江湖了,跟你我这种小年轻不一样。不过话说回来,这帮人还真有点「精准打击」的意思。
小雅: 对啊!他们自己都说,现在的 AI 创业公司像中世纪军队,一窝蜂围城。人家就 24 个人,3000 万刀,直接搞定。
老冯: 但你别忘了,NVIDIA 的 H200 可不是吃素的。这帮人拿 8B 模型秀肌肉,真上 80B 试试?
小雅: 80B 又咋了?他们不是说春天就出个 mid-sized reasoning LLM 吗?冬天还要上 frontier LLM。
老冯: 春天?冬天?这帮人时间表跟 PPT 工程师似的。你信他们两个月就能搞定硬件迭代?
小雅: 你这人怎么这么犟呢?就算他们夸张点,这技术路线总没错吧?AI 要普及,就得像当年 ENIAC 到智能手机那样,从房间大小缩到口袋里。
老冯: ENIAC 到智能手机?你这比喻野心不小。但你别忘了,ENIAC 可没人拿来跑生产环境。这帮人现在的 demo,更像是个玩具。
小雅: 玩具?那你怎么解释他们 API 都放出来了?人家说了,就是要让开发者「探索 sub-millisecond 速度的可能性」。
老冯: 探索?我看是探雷。你想想,这帮人连个像样的 benchmark 都不敢发,就敢说「10X faster than H200」。
小雅: 行行行,你牛逼。那你倒是说说,这帮人到底是革命者还是骗子?
老冯: 革命者?骗子?都不是。这帮人更像是一群理想主义的工程师,拿着锤子看啥都像钉子。
小雅: 哈,你这比喻绝了。那你觉得他们这锤子能砸出个啥来?
老冯: 能砸出个 niche 市场吧。比如低延迟应用、speculative decoding 那些。但想挑战 NVIDIA?还早着呢。
小雅: 切,你就不能有点梦想?万一他们真搞出个「AI 手机芯片」呢?
老冯: 梦想?我梦想的是他们别把我的钱包当钉子砸。这帮人现在的 demo,跟「AI 手机芯片」差着十万八千里呢。
小雅: 卧槽,老冯,你刷 GitHub 的时候有没有被 Dependabot 的 PR 刷屏过?
老冯: 屏?我早就屏蔽 Dependabot 的通知了。那玩意儿就是个噪音制造机。
小雅: 哈哈,今天看到个文章,标题直接就是《Turn Dependabot Off》。作者说这玩意儿让你觉得自己在干活,其实是在阻碍真正有用的工作。
老冯: 哦?说说,他有什么高见?
小雅: 他举了个例子,前两天他修了个 Go 库的安全漏洞,结果 Dependabot 给几千个不相关的仓库开了 PR。
老冯: 几千个?这不是大海捞针吗?那些仓库根本没用到有漏洞的那个方法。
小雅: 对啊!作者说那个方法基本没人用,但 Dependabot 还是给所有依赖这个库的项目发了警报。
老冯: 这不就是典型的「狼来了」效应吗?警报太多,真有事儿的时候反而没人理了。
小雅: 而且 CVSS 评分还瞎编,说什么兼容性只有 73%。实际上就改了一行代码,还是个没人用的方法。
老冯: 这评分系统就是个笑话。DoS 漏洞非要当成安全问题,历史遗留问题罢了。
小雅: 评论区有个哥们说得更绝:如果有人用这个做飞机导航系统,那他早就不干这行了。
老冯: 哈哈,这哥们有点东西。DoS 在某些场景下确实可能变成安全问题,比如反欺诈系统「fail open」的时候。
小雅: 但大多数情况下就是噪音。作者推荐用 govulncheck 替代 Dependabot,这个工具会分析代码调用关系。
老冯: govulncheck 确实牛逼,能静态分析出你的代码是否真的调用了有漏洞的方法。
小雅: 对!作者说他自己的项目用 govulncheck 扫描,结果显示没有漏洞,因为虽然依赖了那个库,但没调用有问题的方法。
老冯: 这才是真正的安全工具,而不是靠堆警报来刷存在感。
小雅: 而且作者说,假阳性警报不仅浪费时间,还会让人对真正的安全问题麻木。
老冯: 对,真正的漏洞需要评估影响,可能要更新生产环境、轮换密钥、通知用户。
小雅: 但 Dependabot 的警报只能让你合并 PR,根本不够用。
老冯: 所以作者最后说,关掉 Dependabot,用 govulncheck 的 GitHub Action 替代。每天跑一次,只在真有问题的时候通知你。
小雅: 这才是真正的效率。老冯,你觉得这事儿靠谱吗?
老冯: 靠谱,而且早该这么干了。安全工具应该帮你过滤噪音,而不是制造噪音。
老冯: 得了,今天又扯了这么多破事儿,从框架自省扯到安卓自由,再到 AI 超速和安全披露,我这嗓子都快冒烟了。
小雅: 你还好意思说?每次都是你先跑题,我费半天劲儿才拉回来。不过说真的,今天聊完感觉这技术圈真他妈像个泥潭,一边喊着自由开放,一边又到处挖坑。
老冯: 可不嘛,就跟这雨天一样,外面看着挺诗情画意,一脚踩下去全是泥。不过话说回来,这帮大厂的安全披露那套,我是真看不惯,一个个装得跟道德圣人似的。
小雅: 可不是,还不如直接说「我们就是资本家,有本事你来打我啊」。行了,不扯了,反正今天也聊得差不多了。对了,想听下期的话,用你常用的泛用型客户端订阅一下呗,别指望那些封闭平台给你推送。
老冯: 对对对,RSS 订阅一下,更新了就能收到,不用等那些算法给你喂屎。
小雅: 你这比喻绝了。行了,今天就到这儿吧,我这咖啡都凉了,树莓派也快烧起来了。
老冯: 得嘞,下次继续扯,说不定下期就聊聊怎么用 AI 偷电费了。
小雅: 滚蛋,你这脑回路我是真服了。走了啊,有空再聊。
老冯: 走了走了,外面雨停了,我得赶紧回去看看我的服务器有没有被雷劈了。