Posted on 五 08 5月 2026 in Journal • Tagged with LLM, AI, token, cost-control, prompt-engineering, productivity
LLM API 的成本控制不是少用 AI,而是把 token 当工程资源来管。先度量,再分级选模型,压缩上下文,复用缓存,限制输出,离线任务走批处理,最后拿检查清单管住那些看不见的浪费。
Posted on 五 08 5月 2026 in Tech • Tagged with zero-downtime, high-availability, active-active, retry, idempotency, sre, architecture
零停机服务不是一句“部署两套集群”就能实现的口号。真正可用的方案,是 active-active 流量、快速超时、跨集群重试、熔断摘除、共享幂等状态和无状态应用设计一起配合,让一次集群故障尽量止步于一次请求内部。
Posted on 五 08 5月 2026 in Journal • Tagged with RAG, AI, LLM, 知识库, 向量检索, 最佳实践
Posted on 四 07 5月 2026 in Method • Tagged with incident-response, runbook, timeline, decision-tree, checklist, reliability, sre, methodology
产线故障发生时,真正让团队稳下来的不是某个高手突然开天眼,而是一套提前准备好的结构:Runbook 负责行动,时间线负责事实,决策树负责判断,检查表负责防漏。四件武器配合得好,故障处理就从“群里互相喊话”变成“按步骤止血、按证据决策、按事实复盘”。
Posted on 二 05 5月 2026 in Journal • Tagged with AI, programming, engineering, taste, career, methodology
AI 把写代码的门槛拉低了,把判断代码好坏的门槛拉高了。经验不会自动变成优势,反而容易变成包袱。咱们要做的,是用 DDD 守住业务语言,用 ROI 算清楚账,再用品味在多个可行方案里挑那个"长期最少后悔"的。
Posted on 四 30 4月 2026 in Tech • Tagged with AI Agent, Multi-Agent, Group Chat, Conversation Architecture, Human-in-the-loop, LLM
1:1 AI Chat 像请了一个聪明顾问,群聊式 Multi-Agent 则像把产品、架构、安全、测试和人类决策者拉到同一张桌子上。本文讨论如何从单 Agent 对话演进到多人多 Agent 群聊:消息模型、路由策略、Agent 互相对话、上下文隔离、权限治理和最小可用实现。
Posted on 三 29 4月 2026 in Tech • Tagged with authorization, IAM, OPA, OpenFGA, Keycloak, STS, SPIFFE, SPIRE, RBAC, ABAC, ReBAC, security
如果要用开源组件搭一个 AWS IAM 风格的授权系统,不能只靠 OpenFGA 或 OPA。更合理的组合是 Keycloak/Dex 做用户身份,SPIFFE/SPIRE 做工作负载身份,STS 服务签发短期角色会话,OpenFGA 表达 trust/resource relationship,OPA 表达 permission policy、condition 和 explicit deny,再由 API Gateway 或服务中间件作为 PEP 执行决策。
Posted on 三 29 4月 2026 in Tech • Tagged with AI Agent, Agent Sandbox, OpenClaw, Kubernetes, Sandbox, gVisor, Kata Containers, Security, RBAC, NetworkPolicy
AI Agent 一旦从“会聊天”走向“会动手”,最大的问题就不再是模型够不够聪明,而是它在哪里动手、能碰什么、出错后谁来收拾。本文结合 OpenClaw 小龙虾近期暴露的 prompt injection、token/credential 暴露、工具权限和本地网关风险,聊聊为什么 Agent 需要一个隔离、持久、可编程的 Sandbox,以及如何用 Sandbox CRD、Template、Claim、WarmPool、KSA/RBAC 和 NetworkPolicy 搭出第一版。
Posted on 一 27 4月 2026 in Tech • Tagged with podman, docker, container, docker-compose, devops
Docker Desktop 收费了,License 审计来了,你的 CI 环境又不想装 Docker daemon。Podman 是个不错的替代品——无守护进程、兼容 Docker CLI、还能跑 docker-compose。这篇文章从一个老程序员的迁移经历出发,讲清楚怎么切换,以及用一个 Python Web App + MySQL 的 compose 例子把路趟通。
Posted on 一 27 4月 2026 in Tech • Tagged with mysql, audit-log, database, secret-management, partitioning, reliability
用 secrets_action_history 记录 secrets 表的新增、修改和删除,看起来像一个小需求,其实踩中了变更索引、审计、备份、review、性能、数据生命周期和 MySQL 分区限制这几块地雷。本文讨论这个方案是否靠谱,并给出按时间窗口拉取变更、定时清理、分区维护和巡检的落地方案。
Posted on 一 27 4月 2026 in Tech • Tagged with chaos-engineering, chaosblade, reliability, sre, kubernetes
Posted on 日 26 4月 2026 in Journal • Tagged with SPIRE, SPIFFE, Zero Trust, Hands-on, Python, Database
SPIRE 系列第四篇:用一个迷你 Python 实验把 Workload Identity 落地,用 JWT-SVID 替代应用侧数据库密码分发,并串起 SPIFFE、SPIRE、Zero Trust 的完整链路。
Posted on 六 25 4月 2026 in Tech • Tagged with AI Agent, Hermes Agent, OpenClaw, Feishu, OpenAI API, DeepSeek, OPC
Hermes Agent 有趣的地方,不只是能聊天、能跑工具,而是把 memory、skills、gateway、scheduler 和 provider routing 放进一个长期运行的个人 agent。这篇文章基于 2026-04-25 查阅的官方资料,聊聊 Hermes Agent 的定位、它和 OpenClaw 的比较,以及接入 Feishu/Lark、DeepSeek 与 OpenAI-compatible API 的实践清单。
Posted on 六 25 4月 2026 in Journal • Tagged with SPIRE, SPIFFE, Zero Trust, Security, mTLS, X.509
SPIRE 系列第三篇:从信任链、攻击面、JWT-SVID 风险、Server/Agent 加固和事件响应角度,分析如何把 SPIFFE/SPIRE 用成真正的 Zero Trust 身份层。
Posted on 六 25 4月 2026 in Tech • Tagged with arxiv, research, paper, thesis, open access
Posted on 五 24 4月 2026 in Journal • Tagged with SPIRE, SPIFFE, Zero Trust, Architecture, Kubernetes
SPIRE 系列第二篇:在理解 Workload Identity 与 Zero Trust 目标之后,拆开 SPIRE Server、Agent、Registration Entry、Workload API、部署模式与插件体系。
Posted on 五 24 4月 2026 in Tech • Tagged with security, chaos-engineering, incident-response, resilience, tabletop-exercise, game-day
混沌工程不该只服务于稳定性。面对密码泄漏、账号被盗、数据外泄、勒索加密等安全事故,团队也需要像消防演习一样,在平时用可控、低风险的方式反复演练发现、响应、隔离、恢复和复盘。
Posted on 四 23 4月 2026 in Journal • Tagged with SPIRE, SPIFFE, Workload Identity, Zero Trust, Kubernetes
SPIRE 系列第一篇:从为什么需要 Workload Identity 开始,解释 SPIFFE/SPIRE 的核心概念、落地路径、部署模式和资源成本,为后续架构、安全与实战 Lab 打基础。
Posted on 四 23 4月 2026 in Tech • Tagged with Cursor, Codex, AGENTS.md, hooks, AI coding, workflow
很多人以为从 Cursor 迁到 Codex 只是把 .cursor/ 改成 .codex/,结果第一天就撞墙。真正难迁的不是目录,而是概念:Rules、Commands、AGENTS、Skills、Hooks、Sandbox、Approval 在两边的含义并不一样。结合官方文档和我在博客仓库里的真实迁移痕迹,聊聊怎么迁、先迁什么、哪些坑最容易踩。
Posted on 三 22 4月 2026 in Tech • Tagged with AI, knowledge-base, wiki, PKM, RAG
AI 很强,但它并不了解你的项目、你的经历和你的判断。真正有用的知识库,不是把笔记堆起来,而是把原始材料、结构化页面、治理规则、来源与校验串成一条流水线。结合我最近折腾的一套私人原型,聊聊我是怎么搭自己的知识库,以及怎样让它不只是一个"仓库"。