RT @0xAsm0d3us: Needle in the haystack: LLMs for vulnerability research I've distilled my experience of sending thousands and thousands of prompts for using LLMs to discover vulnerabilities into a single write-up. These are the conclusions I came to.. (link in comment)

正二特價中，每跌 10% 就來撿一點

RT @step_security: Hackerbot-Claw: AI Bot Exploiting GitHub Actions – Microsoft, Datadog Hit So Far Full breakdown of the 5 attack techniques with evidence: https://www.stepsecurity.io/blog/hackerbot-claw-github-actions-exploitation

RT @leafwind: 販賣焦慮一直都是一門生意，在 AI 時代下更會成為氾濫的生意，就算不買單也很難不被影響。 焦慮只是結果，重要的是製造焦慮的動機。動機真誠的人不一定總是正確，但動機不純的人希望把焦慮感導向買他的課程與產品，因此總是站在受眾的對立面，結果就是帶來錯誤且誇大的焦慮。 （未完，剩下的在連結）

https://blog.huli.tw/2026/03/01/reverse-engineering-with-ai-ghidra-mcp/ 在使用 AI 做簡單的逆向工程時，體會到了那些 vibe coder 的樂趣：「我這外行人居然也能做出一個會動的東西」 然後寫著寫著發現圖都是中文的，但部落格有英文版，手動先丟到 banana 都翻成英文了，效果還不錯，之後可以接個 API，就不用煩惱圖片翻譯了

RT @parkerchang11: 開工第一天就用年度回顧來開啟（雖然現在在日本其實一直都在開工）！ 寫到我決定回歸軟體工程師的決定、對焦慮的疲乏、不再拿尚未發生的糟糕未來懲罰自己、鄉下打工半年感受到活著就是吃飽睡好，以及逃避並不可恥，離開若是為了尋找一個更適合自己的地方並不是罪。 https://www.parkerchang.life/life/2025-2026

發現樺達的珍珠奶茶要 75 塊覺得好貴，只好使出日幣換算大法 「哇，370 日幣而已，好便宜」

RT @jedisct1: Zero Knowledge (About) Encryption: A Comparative Security Analysis of Cloud-based Password Managers: Dashlane, LastPass, Bitwarden, 1Password. https://eprint.iacr.org/2026/058.pdf

直接開了一下 proxy 撈 context 有哪些對照著看 就用 Mac API 撈畫面上的文字、瀏覽器 URL、當前 focus 輸入框內容等等 這個也可以讓 AI 幫你做，你就叫 AI 幫你 patch 一下 app，把 proxy 塞進去就好，效果絕佳。我自己弄半天結果 AI 咻咻咻就搞定了 = =

至於 zero data retention，查了一下應該也跟雲端不雲端沒關係，各大廠商也有一些雲端產品說 zero data retention，兩者不衝突，比較像是信任度的問題 全本地處理當然是最安全的，資料一旦傳出去，許多人考慮的點可能就不是那些資安規範或是宣稱了，就算有，可能有些人也不信，算是一種個人選擇吧

我自己簡單看了一下，基本上就是在語音辨識的時候把音檔外加 context 傳到雲端處理，context 包含你目前 focus input 的文字，瀏覽器的標題跟 url，沒看到什麼真的很不該傳的東西 至於捕捉按鍵那個，看起來是為了快速鍵沒錯（雖然我不知道為什麼沒用 electron內建功能，可能有 bug?）

你只要有裝任意一個 agent(Claude code, codex, cursor...)，要把 typeless 拆開看他做了什麼都是很容易的，你手動把 app 裡面的 asar 拿出來，其他都交給 agent 就行了 因為是 electron 寫的，就是個 JS，現在 AI 分析壓縮過的 JS 也都很厲害了 還有一些 Swift 寫的 lib 啦，這個先不管

看 YouTube 看到這個ちょりん很吸引人就跑去吃了，中午 12 點到，前面快 40 個人排了一小時，比想像中快一些 叉燒是真的厲害，豆芽也是真的好吃，其他我就沒什麼感覺 覺得他們可以把湯喝完有點厲害，太久沒吃拉麵覺得湯有點鹹（應該是說日本的拉麵幾乎都是） 結論：懷念叉燒的時候可以再去

直接翻譯別人的文章當成自己的這種垃圾行為先不論 在 AI 大幅改善翻譯品質之後，常常滑到一些貼文，都是把國外的文章「全文翻譯」，然後加個連結附上出處，好像這樣就很守法很道德一樣 但我記得應該不是這樣？除非原文有標明授權方式，否則理論上應該要先取得作者同意？

這篇真的寫得很好，很喜歡 強力推薦

目前 +30% 了，未實現大概 100 萬，應該會一直放著不賣吧 好像可以理解為什麼不少年輕人又信貸又質押到處借錢投資了。薪水不多導致本金很少的狀況下，借錢確實是最快的方法 風險有控制好的話感覺問題不大，除非台股崩盤，但那時候可能台灣也危險了（？）

簡單寫了點對於 AI 的心得，與 coding 相關的無關的都有 先把自己的心得記錄起來 https://life.huli.tw/2026/01/03/ai-and-duck-lazy-and-fact/

https://kaochenlong.com/vibe-coding-vs-software-engineering 這篇寫得真好

https://medium.com/@linyawun031/%E5%BF%83%E5%BE%97-webconf-taiwan-2025-%E7%B0%A1%E7%9F%AD%E7%AD%86%E8%A8%98%E8%88%87%E5%BF%83%E5%BE%97-7edad77ff14f 寫的很詳細的 WebConf 心得，推推

RT @othree: 其實一直以來都有點好奇，像 Intl.NumberFormat 這種可以根據語系格式化輸出數字、貨幣數值等資料的工具函數，它的資料集到底是哪裡來的，還有是誰維護的？ https://blog.othree.net/log/2025/12/16/unicode-cldr/

https://kurohsu.dev/misc/webconf-2025-vue-sdd-ai-development.html 這個有趣欸，用 Vue 的 custom block 直接放 spec，而且文章把需要考慮到的東西寫得很詳細，推推

今天去 WebConf 分享的簡報，身為一個專業的資料整理師（？），裡面每個提到的手法都有盡量把 credit 給到我知道的出處。 這些都是我覺得很有趣的 case，最好的閱讀方法是不要用 AI，一頁一頁看，因為順序是有設計過的，你必須先思考再看答案才有意義，看完才用 AI 整理 https://speakerdeck.com/aszx87410/cong-leng-zhi-shi-dao-lou-dong-ni-bu-dong-de-web-hai-ke-dong-huli-at-webconf-taiwan-2025

自己的貼文自己搬，一開始好像是在推特上看到有人轉發那影片的，看完的心得如圖 儘管我自己到現在也還是不喜歡 RSC（對我來說成本太高，效益太低），也早就沒寫 Next.js，甚至也很少寫 React 跳去 Vue 了，但看到有人在轉發的影片傳播部分錯誤資訊，還是想出來講一下

RT @assetnote: Our security research team created a high fidelity check for the Next.js/RSC RCE (CVE-2025-55182 & CVE-2025-66478). Read more on our blog here: https://slcyber.io/research-center/high-fidelity-detection-mechanism-for-rsc-next-js-rce-cve-2025-55182-cve-2025-66478/

React server components 出大事啦 坐等 poc

推特滑著滑著又看到 HTTPS 的前提下，前端密碼 hash 的意義是什麼的討論了，每次這種討論會出現的論點都類似，只好再貼一次文章 不過 2025 年的現在，建議直接換成全面 passkey，安全又方便 https://blog.huli.tw/2023/01/10/security-of-encrypt-or-hash-password-in-client-side/

更新一下，後來本人出來證實了是真的 但我依然好奇原本新聞媒體的資料來源是哪裡，像本人轉發的那篇我就覺得沒什麼問題，寫得很清楚是「網上流傳」，如果大家都那樣寫我就不會發文 但有些新聞什麼都沒寫，不知道來源是網路流傳還是有跟團隊證實過了。不管這件事是不是真的有發生，我其實是在意這個

>雖然演出取消，濱崎步仍決定站上舞台，獨自面對空無一人的觀眾席開唱，並將演出全程錄影紀錄，表示將在「適當的時間」公開讓無法到場的粉絲觀看。 每個媒體都引用了相同的話，但我看了看本人 IG 明明就沒提到這個，消息來源也只是網路上傳的，怎麼寫得好像官方消息一樣 🤔️ 還是我沒搜到而已

https://blog.huli.tw/2025/11/16/learn-advanced-javascript-from-react/ 之前去 JSDC 線上前導活動分享的內容，寫了篇文字版 主要講從 React 原始碼中可以學到的一些 JS 知識 包括： 1. 早期版本的 XSS 漏洞與修復方式 2. 各種非同步函式的觸發時機 3. V8 底層儲存物件/數字的方式 其實書裡面都有講到，只是以 React 為核心重寫了一下

RT @imalexhsu: 今年有個 AI 時代的新問題。 看電影有時會焦慮： 這兩小時可以讓 AI 寫完整個新功能。 但 AI 是槓桿，不是油門。 槓桿讓你用更少力氣撬動更重的東西。 但不代表你要一直撬、撬到累死為止。 我應該要用 AI 活得更好，不是更累。

RT @JannisRingwald: Today, we’re officially releasing React Native Godot to the public. For the first time, every React Native developer can create games with an amazing UI on top. This unlocks a new era of apps and games. https://github.com/borndotcom/react-native-godot

作者想了個大綱，用 AI 幫他完成後續，覺得自己又產出了一篇好文 讀者覺得文章太長，用 AI 幫他摘要，只看大綱就好，覺得自己又省了時間學到了精髓 大家的生活都因為 AI 變得更美好了☺️