Posted on Sun 15 March 2026 in AI • Tagged with Scrum, Agile, AI, Vibe Coding, software engineering • 4 min read
Scrum 诞生于 1995 年,那时候写代码还得一行一行敲。三十年后的今天,AI 能在几分钟内生成一个完整的功能模块。当开发速度被 AI 拉到十倍甚至百倍,那些两周一个 Sprint、每天站会 15 分钟的仪式感,还有多少是必要的?
Posted on Sun 15 March 2026 in AI • Tagged with nanobot, AI Agent, memory, LLM • 3 min read
拆解 nanobot 的双层记忆系统——一个只有 4000 行代码的 AI 助手,是怎么做到跨会话记住你的偏好、项目上下文和工作习惯的?从源码到设计哲学,聊聊 AI Agent 的"长期记忆"该怎么做。
Posted on Fri 13 March 2026 in Tech • Tagged with AI, AI Friendly, 架构设计, API, Context Engineering, Human-AI Interaction, 跨越鸿沟, 程序员转型, 方法论 • 7 min read
我们花了 30 年让软件对人友好(User Friendly),现在该花点时间让它对 AI 也友好了(AI Friendly)。AI 可以给人赋能,人也可以给 AI 赋能——你给 AI 的上下文质量,决定了 AI 能回馈给你的输出质量。API 是否结构化、文档是否机器可读、日志是否语义清晰、UI 是否有良好的无障碍标记——这些原本就是"好设计"的标准,只不过 AI 的到来让它们从"最佳实践"升级成了"生存必需"。
Posted on Fri 13 March 2026 in Method • Tagged with 职场工具箱, MOP, SOP, 清单革命, 运维, 部署, Checklist Manifesto, AI Skill, AI Agent, 方法论 • 5 min read
凌晨两点,一条手滑的命令把生产数据库干掉了——不是因为你不懂技术,而是因为你没有一张清单。MOP(Method of Procedure)和 SOP(Standard Operating Procedure)不是官僚主义的遗产,而是用最低成本对抗"人一定会犯错"这个事实的武器。AI 让我们写代码更快、部署更频繁,但也让"翻车半径"更大了。更有意思的是,AI Agent 的 Skill 机制和人类的 SOP 在结构上几乎同构——AI 也需要"清单"来防止幻觉、遗漏和过度自信。《清单革命》里那些用清单救命的道理,到今天不但没过时,反而更值钱了。
Posted on Thu 12 March 2026 in Method • Tagged with 职场工具箱, 项目铁三角, Iron Triangle, 范围, 时间, 成本, 质量, 项目管理, AI, 方法论 • 6 min read
老板说"范围不能砍、工期不能延、人不能加"——然后还希望质量别掉链子。如果你真信了,那你不是在做项目管理,你是在做魔术表演。项目铁三角(Iron Triangle)讲得很直白:范围、时间、成本,你最多只能锁住两个,第三个必须当变量。至于质量?它不是第四个旋钮,它更像地板——前三个旋钮拧过头,先塌的就是它。
Posted on Wed 11 March 2026 in Method • Tagged with 职场工具箱, DoD, Definition of Done, 验收标准, 质量, 方法论 • 5 min read
你以为"做完了"就是"做好了",产品经理以为"做好了"就是"能上线了",测试以为"能上线了"就是"没 bug 了"——三个人说的"完成"根本不是同一件事。DoD(Definition of Done)就是在动手之前,把"完成"的定义写成白纸黑字,让所有人对着同一张清单打勾。
Posted on Tue 10 March 2026 in AI • Tagged with RAG, pgvector, PostgreSQL, embedding, vector-search, Python, AI • 8 min read
你刚写完一个 RAG demo,跑通了 OpenAI embedding + Pinecone,兴奋了三秒——然后老板问你:"这个月 Pinecone 账单多少?"于是你开始重新审视那台已经跑了三年的 PostgreSQL。好消息:装个 pgvector 扩展,它就是你的向量数据库。这篇文章给你一套从 Docker 部署到 Python 完整代码的实操指南,跑完就能用。
Posted on Tue 10 March 2026 in Method • Tagged with 职场工具箱, 里程碑, Milestone, 项目管理, 计划, 方法论 • 4 min read
你的甘特图画得比 PPT 还漂亮,但项目还是延期了。问题不在"计划不够细",而在"没有设检查点"。里程碑计划的核心不是"排任务",而是"设卡口"——在关键节点强制验证,让延期在第二周被发现,而不是最后一天。
Posted on Sun 08 March 2026 in Method • Tagged with 职场工具箱, MoSCoW, 优先级, 需求管理, 方法论 • 5 min read
每次需求评审,所有人都说自己的需求"很重要"。结果你什么都做了一点,什么都没做完。MoSCoW 用四个桶——Must / Should / Could / Won't——帮你把"都很重要"变成"先做哪个"。本文教你怎么在会上用一张表把优先级定下来。
Posted on Sun 08 March 2026 in Tech • Tagged with WebRTC, Go, Vue.js, SFU, 视频会议, 实时通信, Architecture • 12 min read
详细讲解如何用 Go + Vue.js + WebRTC 从零构建一个具备完整功能的迷你视频会议系统,包含 SFU 引擎、JMPP 信令协议、屏幕共享、服务端录制和 Docker 部署。
Posted on Fri 06 March 2026 in Tech • Tagged with tech, blog, security, auth, session • 2 min read
认证翻车和会话翻车, 往往不是因为黑客太聪明, 而是我们把"登录态"当成了万能钥匙: cookie 没设好、token 乱放、会话不轮换、登出不失效。本文用人话拆解常见坑, 给出 Java/Go/Python 可直接抄的防护套路与自检清单。
Posted on Fri 06 March 2026 in Journal • Tagged with journal, sre, observability, reliability, LMAT, USED • 2 min read
LMAT 是观测的四件套(Log/Metrics/Alert/Trace), USED 是系统体检的四个指标(Usage/Saturation/Error/Delay)。一个管"看见", 一个管"看懂"。把这两套方法配起来, 稳定性工作才不至于变成“救火队日常”。
Posted on Fri 06 March 2026 in Tech • Tagged with observability, SRE, monitoring, stability, LMAT, USED • 7 min read
隐患险于明火,防范胜于救灾,责任重于泰山。本文介绍服务稳定性的两个核心方法论:LMAT(Log, Metrics, Alert, Trace)和 USED(Usage, Saturation, Error, Delay),并结合实践经验,讲解如何构建一套系统化的服务稳定性保障体系。
Posted on Thu 05 March 2026 in Tech • Tagged with authorization, rbac, openfga, zanzibar, security, fine-grained-authorization, 授权, 访问控制 • 8 min read
RBAC 是授权领域的"老黄牛",简单可靠,但在多租户、层级继承、动态共享等场景下力不从心。OpenFGA 基于 Google Zanzibar 论文,用关系元组(Relationship Tuple)重新定义了授权模型。本文从 RBAC 的局限出发,深入剖析 OpenFGA 的架构设计,探讨商业公司落地的路径与风险,以及开源方案与自研的取舍。
Posted on Thu 05 March 2026 in AI • Tagged with AI, prompt-engineering, Claude, LLM, 提示工程, Anthropic • 4 min read
大多数人用 Claude 就像用搜索引擎——丢一句话进去,看看出来什么。但 Claude 4.6 已经不是一个"问答机器"了,它更像一个刚入职的天才实习生:聪明得吓人,但完全不知道你们组的规矩。这篇文章拆解 Anthropic 官方最新的提示工程指南,把那些"看起来都懂、做起来全忘"的技巧变成你明天就能用的 checklist。
Posted on Mon 02 March 2026 in Tech • Tagged with tech, blog, security • 3 min read
CSRF 不靠"攻破你的网站",它靠的是"借你的登录态办坏事"。这篇文章把 CSRF 的本质讲清楚,顺便给出 Java/Go/Python 里能直接抄的防护做法:token、SameSite、Referer/Origin 校验,以及什么时候该用哪个。
Posted on Mon 02 March 2026 in Tech • Tagged with tech, blog, security • 2 min read
IDOR 不玄学,就一句话:你用 "id=123" 这种直达链接访问资源时,服务端有没有确认 "你就是 123 的主人"。这篇文章用可抄的例子讲清楚:它怎么发生,怎么被利用,怎么在 Java/Go/Python 里修到位。
Posted on Mon 02 March 2026 in Tech • Tagged with tech, blog, security, privacy • 2 min read
敏感数据暴露从来不是黑客多聪明,而是我们自己太大意:日志、报错、对象存储、备份、调试接口——每个环节都可能把数据"顺手递出去"。这篇文章给你一份可直接照抄的"数据防裸奔"清单。
Posted on Sat 28 February 2026 in Tech • Tagged with security, xss, owasp, 安全, web • 4 min read
XSS(Cross-Site Scripting,跨站脚本攻击)是 Web 安全里最常见的注入类漏洞之一。本文用通俗类比从 What/Why/How 说起,面向小白讲清楚 XSS 是什么、为什么危险、怎么防,给出 Java/Go/Python 三语言正反示例与常用框架,最后收束成防御套路与自检清单。
Posted on Sat 28 February 2026 in Tech • Tagged with tech, blog, ai, 软件工程 • 4 min read
AI 让"写代码"更便宜, 但让"证明没坑"更贵。软件工程的重心正在从"把需求写成代码", 转向"能力编排与治理": 把 prompt 当契约, 把评估当门禁, 把可观测性当边界, 把回滚当退路。