工程趣聞 2026 年 5 月 27 日

2026-05-27 — Arias 人類貢獻證明、curl 維護者壓力告白、AI 讓程式碼更好卻更慢

primary=https://dillo-browser.org/lab/human-proof/ primary=https://lwn.net/Articles/1074534/ primary=https://daniel.haxx.se/blog/2026/05/26/the-pressure/ primary=https://lwn.net/Articles/1074449/ primary=https://nolanlawson.com/2026/05/25/using-ai-to-write-better-code-more-slowly/

Charlie · github.com/charlie0227 · 1 min read

Arias:以 asciinema 終端錄影證明 FOSS 貢獻出自人類之手

dillo-browser.org · 2026-05-26

Dillo 瀏覽器的維護者提出 Arias 提案:使用 asciinema(終端機會話錄影工具)捕捉開發過程中的完整擊鍵序列與終端輸出,作為貢獻出自真人之手的行為證明(behavioral attestation),而非密碼學簽章。

為何出現這個需求

AI 程式碼生成工具(GitHub Copilot、Claude Code、Cursor)的普及,使開源社群面臨一個新困境:提交的 patch 在技術上正確,但難以判斷是否由人類真正理解並審閱過,或只是 LLM 的一鍵輸出。部分維護者開始要求貢獻者提供「理解證明」,但現有機制(電子郵件討論、DCO 簽署)無法有效解決此問題。

Arias 的核心邏輯

Arias 依賴非對稱難度假設:LLM 可以生成程式碼,但要生成一段真實的人類開發過程錄影——包含錯字、除錯迂迴、語法錯誤修正、思考停頓——所需的訓練資料遠比程式碼本身稀少且難以偽造。asciinema 錄製的檔案可壓縮至極小,可在審閱時私下傳給維護者,不必公開。

已知限制

  • 與 GUI 編輯器不相容:只能捕捉終端機操作,VSCode、JetBrains 等 IDE 的使用無法被記錄。
  • 純啟發式,非密碼學保證:沒有任何機制能阻止人類在開啟錄影後讓 AI 生成程式碼,再人工貼上並假裝手動輸入。
  • 可能隨 LLM 進步失效:若 LLM 在人類開發行為模擬上取得突破,此方案的有效性將大幅降低。

Arias 更像是一個社群共識的起點,而非完整的技術解方。它點出了 AI 時代開源協作信任機制的核心矛盾:我們無法再以靜態產出物判斷人機參與程度,只能嘗試捕捉動態的過程。

原始來源:dillo-browser.orgLWN.net 報導

Daniel Stenberg:2026 年的 curl 安全漏洞處理壓力,已讓我考慮縮減工時

daniel.haxx.se · 2026-05-26

curl 的創造者與主要維護者 Daniel Stenberg 在個人部落格撰文,描述 2026 年安全漏洞通報量帶來的前所未有的壓力。文章坦白得罕見:妻子已表達對其工作時數失衡的擔憂,他自己也在考慮縮減工時以喘息。

數字

2026 年的安全通報速率是 2024 年的 4–5 倍、2025 年的兩倍,平均每天超過一份漏洞報告。在年中之前,curl 已確認 12 個等待 CVE 編號的漏洞,全年預計至少發布 30 個 CVE。反諷的是,所有近期漏洞評級均為 LOW 或 MEDIUM,最近一次 HIGH 評級的 CVE 是 2023 年 10 月。這意味著 curl 實際上並未變得更不安全,但處理每一份通報的行政與溝通成本是固定的,不隨嚴重程度縮減。

結構性問題

curl 沒有企業母公司支撐,也不隸屬於任何基金會(Linux Foundation、Apache 等)的保護傘下,安全處理工作幾乎全落在極少數無償維護者身上。Stenberg 直接呼籲在商業產品中使用 curl 的公司簽訂支援合約、資助更多開發者分擔工作量。他承認近期看不到重大改變的希望。

這篇文章在 Hacker News 與 Lobsters 上引發廣泛討論,核心話題是:當一個基礎設施級開源元件的維護模型在 AI 加速的漏洞研究時代不可持續,社群與產業應如何回應。

原始來源:daniel.haxx.seLWN.net 摘要

用 AI 寫出更好的程式碼,但需要更慢——Nolan Lawson 的反直覺實踐

nolanlawson.com · 2026-05-25

前端工程師 Nolan Lawson 發表了一篇反對「AI 提升開發速度」主流敘事的文章。他的論點是:LLM 最有價值的能力不是快速生成程式碼,而是作為一個不知疲倦、能執行徹底程式碼審查的同行評審者,而這個用途實際上會讓開發過程變慢,卻使程式碼品質大幅提升。

具體工作流

Lawson 的方法是在完成一個 PR 草稿後,以清空上下文的方式分別向多個 AI(Claude、Codex、Cursor Bugbot)請求按嚴重程度排序的問題列表,再逐一追查高優先級發現。他描述這些 AI 評審常觸發需要深入調查的「支線任務」——例如讀者 Ollie 在留言中分享,AI 發現了一個 Postgres 行級安全(row-level security)策略的嚴重缺口,否則將直接上線。

更廣泛的主張

Lawson 反對的是「vibe coding」模式:讓 AI 快速生成大量程式碼,但開發者不真正理解底層運作。他認為這種模式累積的技術債與認知負擔,在長期維護成本上遠高於節省的初期時間。他主張的替代方案是:以 AI 作為讓自己「更謹慎、更方法論、更追求品質」的放大器,而非速度乘數。這個主張在 Lobsters 社群引發了關於 AI 在不同工程文化下定位的長篇討論。

原始來源:nolanlawson.com

End of article

More on this topic

工程趣聞
2026-05-26 — Audiomass 瀏覽器音訊編輯器 505 點、Didgeridoo 治療睡眠呼吸中止 302 點
5 月 26, 2026 · 1 min read
工程趣聞
2026-05-25 — 86-DOS 1.00 MIT 開源、Jujutsu 反向提交工作流、Jira 圖靈完備性證明
5 月 25, 2026 · 2 min read
工程趣聞
2026-05-24 — 逆向 Spacelab 電腦 32 位元 ALU、PHP 陣列三態怪癖、LLM 生成時代的工程紀律轉移
5 月 24, 2026 · 1 min read
0
Would love your thoughts, please comment.x
()
x