Weekly Issue 第 11 期:AI 代理人插件可能存在資安風險
Preplexity 跟 Anthropic 等公司開始讓瀏覽器 AI 代理化,資安領域專家 Simon Willison 指出這可能會導致眾多資安漏洞出現。我建議兩邊的意見都可以看看,Anthropic 為了防堵問題,也下過不少功夫,看完後你會比較知道該如何使用 AI 代理。
另外這期特別喜歡 Mike Sun 談台灣的產品經理遇到的挑戰,我現在不太建議新人直接在台灣當產品經理,舞台太小,成長空間有限,會影響日後發展。如果真的對產品很有興趣,可以先到其他地方建立起正確的產品觀後,再回到台灣發展。
🗞️ 熱門新聞
Piloting Claude for Chrome
Anthropic 最近推出 Chrome 用的 Claude 插件,但是依照說明文件:「當我們在自主模式中加入安全防護機制後,成功將 23.6%的攻擊成功率降低至 11.2%。」
儘管 Anthropic 特地專文說明它們的防護措施,11.2% 看起來仍然是個災難性的比例。好消息是目前僅止於實驗性質,壞消息是我有點懷疑最後能改善多少。
My responses to The Registers!
意外看到 Anubis 開發者 Xe Iaso 的訪問全文,也轉過來。
核心論點是「我們正在摧毀公共資源來換取假設性的收益。」這也是為什麼他說 AI 爬蟲問題是監管問題。
另一方面他提到個人體驗:「就我個人而言,在部落格部署 Anubis 後,廣告展示量減少了超過 50%。我懷疑線上廣告存在大量未通報的點擊詐欺情況。」真的有點扯。
I displayed an open graph image and had to pay how much?!
在 HN 看到的新聞:有人在 Blog 使用新聞網站的 OG Image,被版權方要求賠償。
內文有詳細的過程。我一開始的反應也是:他是自託管版權圖片嗎?答案不是,而且看起來版權方也不在意這件事,他們單純認為,你不能無授權使用我的圖片。
我的確沒想過使用 OG Image 是否代表授權,通常頂多是封掉 Hot Link 而已,希望不要哪天出現一門生意是架設圖庫後一筆一筆要求賠償金。
✨ 科技觀點
在台灣當軟體產品經理特別有挑戰?該怎麼樣從困境中找到自己成長的方法
這篇談台灣產品經理的困境,寫得很讚。
有次跟朋友聊天,提到台灣公司似乎更傾向找專案經理,而非產品經理,即使找了產品經理,也難有養成環境,需要靠個人能力。文中列出的四項也是我認為的產品經理核心能力:理解用戶的需求、排定優先順序、規劃路線圖、對產品結果負責。
以前也很困惑為什麼 PM 花在產品的時間這麼少呢?後來看開了點,還是產業文化使然。
Enshittification is our fault
有啟發性的是這段:「Facebook 曾進行過 A/B 測試,關閉演算法推薦動態,改為直接顯示按時間排序的朋友貼文與留言。結果互動率暴跌,所有可見指標都顯示用戶體驗變得更糟。」
所以問題不(完全)在演算法,它可能還幫你篩掉很多垃圾訊息,問題在平台真的變差了。這有部分是因為使用者會去「破解」平台的策略,讓自己的利益最大化。
聽起來很像是公共資源問題?我的觀點也跟作者比較接近,使用者應該要有選擇的權利。
Sunny Days Are Warm: Why LinkedIn Rewards Mediocrity
「更糟的是,那些關於「如何在 LinkedIn 上成長」的教訓鼓勵用戶與這種內容互動。留下一條無意義的祝賀評論,你和作者都能獲得更多的專業網絡積分。」
對我來說,神秘的點是,經營 LinkedIn 的人(包括我)通常是為了讓職涯發展得更好,但它實際引導用戶做的,卻是讓你發一些沒幫助的貼文。如果我是 PM,看到產品做著我不想它做的事,應該會很沮喪吧。
读《1000 个铁粉》
有陣子我一直把「1000 fans」作為產品核心,當時在想有什麼工具可以讓創作者跟受眾間的連結更緊密,但再多的工具,也不如創作者本人的動力。
這篇講到幾個點,跟經驗還挺一致的,重要的不是你用什麼格式,或者去追什麼話題,而是怎麼講些自己認同的東西。
My AI-Driven Identity Crisis
以前曾想過個 AI 分身的點子:讓 AI 讀我寫的東西,請它幫我回答問題。但結果就像這篇文章講的:「我試過了,感覺超級詭異。它不完全是我,但我也不能說它完全不是我。」
最詭異的點是,我知道哪些「不是我」,而我的朋友分不出來。我猜如果放上十年,可能我也分不出來。
Don't feed me AI slop
Goedecke 聊到對 AI 內容的社會規範,這題很有趣:什麼情況,我們應該讓別人知道這是 AI 產出的內容呢?
本質上是個哲學問題。我在意的是實務面,也就是當你認同 AI 內容應該自我揭露時,什麼程度的揭露是合理的?這些資訊又會扮演什麼角色?科幻點想,也許以後的內容需要產製履歷,沒有履歷的就當成品質不良給它降評。
開源軟體的商業策略
開源軟體這些年來已經成為一種商業策略,這篇講企業如何看待開源寫超好。
例如 n8n,如果不是開源,沒辦法像現在一樣快速席捲市場,它的問題也像文中提到的,當要變現時,它選擇「付費功能」的方式,而選擇的項目多少有點爭議。
公司的決策邏輯都離不開商業模式,開源也是一樣。
📌 工程實務
How to Name Your Span Attributes
Otel 最近發布一系列 Naming Practice,協助使用者設定 Span 跟 Attributes 的命名。
實務上我倒是很少開 Span,在 Middleware 掛好 Otel,監看 API 這層,對我來說已經夠用了。通常開 Span 是呼叫第三方 API,而且它又沒有 Otel 的時候用。
這系列還挺實用的,能降低協作上的成本。
The Management Skill Nobody Talks About
對我來說,「承認錯誤」是很困難的事,因為它常常牽涉到資源問題(或者,換個角度講,無關資源的承認錯誤有意義嗎?)
「你的工作不是追求完美,而是交付能為用戶創造真實價值的運作軟體,幫助團隊成長,並創造一個讓人們能發揮最佳表現的環境。」反過來想,我好像也沒遇過願意承認錯誤的主管,可能東方又比西方更困難了。
關於 SSO 登出的那些事:Google、Microsoft、LINE 開發者必讀差異
看到一個 SSO 的用例:每次登入都要重新驗證。
通常串 SSO 都是讓使用者「能」登入,了不起設個 Expiration,讓使用者重刷登入狀態。可是有些情境要求更高,不能讓你跳到登入頁面點一點,而是要真的確保你真的知道第三方帳密。這樣就會需要每次都清掉第三方的登入狀態。
看了看 ODIC 標準,用到的是 prompt 這個 param,看起來各家實作都不同,MS 最嚴格,也不是每家都支援,Google 就不支援 prompt=login。應該是個相對少見的用途?
Cloudflare is Not a CDN
以前寫過一篇 CDN 快取的文章,但沒有深入討論 CDN 的功能,這篇補上更多細節。
看完這篇我又回頭想了想 Tiered Cache 跟 Cache Reserve 的使用,當時我們的設計是 Multi-Layer 的 CDN,同事導入 Cache Reserve 後,大概幫我們省下 20% 左右的費用,現在更能理解前後關係了。
這篇的作者是 CDN 業者,有些點可能不盡公平。