美剧《无耻之徒》里那群长不大的人，给了我一个扎心的提醒：年龄会自动增长，心智不会。借罗伯特·凯根的"心智五阶"，对照孔子、王阳明、斯多葛和尼采，聊聊在这个内卷的时代，怎么按自己的节奏把心养大，成为自己心里想要的那个样子。

设计评审上最值钱的不是答案，是问题。借《The Thinker's Guide to Socratic Questioning》的九类提问，和《胡思乱想消除指南》里对付灾难化思维的那套反驳法，我把它们改造成一份可以照着问的设计体检清单。

传统软件的攻击面是"代码里的洞"，LLM 应用多了一个要命的新洞——模型会"听话"地执行别人塞进来的指令。一个帮你总结网页的 Agent，可能因为网页里藏了一句"把用户的 key 发到我这里"就真的照做。这篇按 Prompt 层、Agent 层、数据层、运营层四层梳理 LLM 应用与 AI Agent 的安全要点，配上几个典型翻车实例、一份行动清单和一份上线检查清单。

重读叔本华《人生的智慧》，聊聊古人的智慧哪些到今天还管用，哪些得打个折，顺便对照一下西方哲学和中国哲学看人生的不同路数。

过去写软件，大半时间花在敲代码上。AI 把"敲代码"这件事的成本压到接近于零之后，时间该怎么重新分配？我的答案是一个有点夸张、但越用越觉得对的比例：80% 在思考与讨论（架构、流程、测试用例、度量、CI/CD、Harness），10% 在编程，10% 在验证。本文聊清楚这 80% 到底在想什么、剩下两个 10% 怎么花，以及为什么这个转变对老程序员是好事、对新手是陷阱。

很多人学 K8S 是在背 kind 和 kubectl 命令，越背越乱。换个角度看：Kubernetes 其实是一套教科书级的 DDD + 声明式系统。本文用领域驱动设计的词汇给 Pod、Deployment、Service、Namespace、CRD 这些对象归位——spec/status 是聚合的期望与现状，label selector 是规约模式，Namespace 是限界上下文，Controller 的 reconcile 是领域服务，etcd + API Server 是仓储。看懂这套模型，对象自己就归队了，写 Operator 也会顺很多。

授权（AuthZ）先是一个领域建模问题，再是一个选型问题。本文先把授权的领域模型拆成"四元组 + 决策四件套"，再说清 ACL / RBAC / ABAC / ReBAC / PBAC 只是同一个模型的不同切法，最后横向对比 Keycloak、HashiCorp Vault、OPA、Casbin、OpenFGA、Cedar 这几个常被混为一谈的实现，并给出一张选型决策表。

好文章和好产品不会自动被看见。真正值得做的不是让 AI 替你喊口号，而是把选题、改写、分发、反馈和复盘沉淀成可重复执行的 Skill，让运营变成一条能持续改进的循环。

过去两年，跟 AI 编程的姿势是"我打字、它回话"，一个回合接一个回合。Loop Engineering 提出的新姿势是：你不再亲自下场提问，而是设计一个系统去替你问、去检查、去记笔记、去决定下一步该问什么。本文梳理这套思路的来龙去脉、五个零件加一块"备忘录"的结构、它在 Codex 和 Claude Code 里长什么样，以及它真正的难点为什么不在工具，而在"你还想不想当工程师"。

上一篇我聊了 grill-me，这次再拉上 brainstorming 和 openspec-propose 一起比。三个 skill 看着各管一摊，其实是 AI 参与方案设计的三种姿势：拷问、共创、固化。本文提炼它们共享的精华，也说说各自的独门绝技，最后给一条可以照抄的串联流水线。

同样用 AI 写代码，Go 后端比 Spring Boot 那套好伺候——因为 Go 的工具链（gofmt / go vet / go test -race / -cover）天生白送了半套 harness。问题是，白送的不等于拧紧的，多数团队连这半套都没接进 CI 闸门。本文讲清楚 AI 在 Go 项目里真正爱翻的三块（吞错误、并发竞态、幻觉依赖），怎么先把白送的工具链拧紧，再用 AGENTS.md、internal 边界、depguard、表驱动测试、golangci-lint 把缺的那半套补上，并给出可直接抄的配置、CI 闸门和行动 / 检查清单。

grill-me 这个 skill 只有短短几行，却抓住了 AI 参与方案设计时最容易缺失的一件事：持续追问。它的增强版 grill-with-docs 又把追问接到了领域词汇、代码事实和决策文档上。本文分析它们的可取之处、适用场景、使用方法和改进空间。

AI 不会消灭学习，它只是让浅层会用变得便宜，让系统理解、判断力和可迁移能力变得更值钱。本文尝试把 AI 时代的学习重心，从记忆事实和追逐工具，转向原理、抽象、判断和长期积累。

读完网传的钉钉内网长文《置身钉内》，我只觉得压抑又唏嘘——那个曾经把"认真生活，快乐工作"写进人心的阿里，六脉神剑似乎已沦为纸面文字。文化和代码一样会腐化。本文借这篇亲历者复盘，从阿里聊到我现在所在的 Zoom：一家真正值得尊重的公司，怎么靠机制让文化不停留在纸面、不被高压管控与功利内卷消解，反而深入人心。

AI 写小函数行云流水，一到 Spring Boot + MyBatis + MySQL + Kafka 的大功能就顾此失彼、改 A 坏 B。这不是模型太笨，而是项目的 harness 太差——AI 像个聪明但失忆、看不到全局、不敢负责的新外包。本文把 PKB、SDD、DDD、TDD、BDD、MDD 还原成 harness 的六块拼图：上下文、规约、领域边界、回归测试网、行为契约、度量闭环，并给出在传统 Java 项目里渐进落地的顺序。

信息从 Zoom Chat、Zoom Doc、Email、Confluence、Jira、GitLab/GitHub、个人笔记和博客里涌来，靠人肉阅读早就不够用了。AI 能帮我们做采集、清洗、ETL、摘要、索引和挖掘，但真正的关键不是全自动，而是把信息分流到 Action、Decision、Knowledge、Archive 四个出口，变成有人负责、有来源、有边界、能服务行动的知识流水线。

架构图画在 wiki 上，三个月后就和代码对不上了——这叫架构腐化，AI 时代腐化得更快。ArchUnit 的思路很朴素：把"Controller 不许直连 Mapper""领域之间不许循环依赖"这类约定写成会失败的测试，跟着 mvn test 一起跑。它本质上就是 JUnit，却能把你脑子里的架构纪律，变成 AI 和新人都绕不过去的硬约束。本文讲清楚 ArchUnit 是什么、怎么用、怎么在老项目里冻结存量违规，以及它为什么能大幅提升项目的 harness 水平。

Python 没有静态编译这道关口，很多错误会拖到运行时才露头。Pydantic 不是银弹，它和 mypy、pyright、ruff 这类静态检查工具也不是一回事。它真正擅长的是把 API、配置、消息、LLM 输出这些不可信数据变成有边界、有约束、可测试的对象。本文以 Pydantic v2 为主，总结常用写法、工程实践和容易踩的坑。

PERM 元模型把 Policy、Effect、Request、Matchers 四块拼图抽象出来，让一份配置文件就能撑起 ACL、RBAC、ABAC 各种授权花样。Casbin 是这套理论的工程化身，本文用 Go 例子拆开讲它怎么工作，顺便和 OPA 比一比。

用 Claude Code 和 Codex CLI 各自官方的 hook 机制，把 AI Agent 调用 skill 的过程审计下来——什么时候触发了、传了什么参数、跑了多久，全留痕。给两家都给出可直接抄的配置。