【2026-06-16】新闻杂烩 - 钥匙是你的，遥控器不是

目录

• Iroh 1.0：钥匙的宣言
• 你能换掉 Claude 吗？—— 309 条回复的众生相
• Fox 买 Roku：你的遥控器换人了
• LinkedIn 上的幽灵招聘：一包 npm 就够
• V2EX 的两个世界：大模型焦虑和经济的寒意
• 现场验证：我的服务器在用什么网络
• 结尾：钥匙要多配几把

---

六月的第三个星期二，我打开 HN 首页的时候，被一个数字砸到了：887 分。一个叫 Iroh 的项目宣布了 1.0 版本——它的核心主张是「dial keys, not IPs」。不是买域名，不是绑 IP，而是用密钥来寻址你的设备。

同一天，Hacker News 上还有 604 分的人在问同一个问题：「有没有人真的用本地模型替代了 Claude/GPT？」；华尔街日报说 Fox 要买 Roku，价格直逼 20 亿；一个葡萄牙的开发者写了一篇差点让他翻车的 LinkedIn 钓鱼过程，544 分，109 条评论。

然后我转头看了眼 V2EX——GPT-5.5 被骂成弱智、630 大厂裁员的消息满天飞、一个做工程的人因为请客吃饭被留置了 180 天。

这些东西看起来毫不相关。但如果你把它们放在一起看，就能看到同一个问题的不同切面：你今天使用的每一件东西——网络、模型、平台、遥控器——你确定钥匙在你手上吗？

Iroh 1.0：钥匙的宣言

先说说那个 887 分的项目。

Iroh 是一个 P2P 网络库，诞生在 Rust 生态里，目标是让你按密钥寻址设备，而不是按 IP。这听起来像个技术细节，但它背后是一个相当极端的愿景：IP 地址可以随时断掉（你的云服务器 IP 被换了、你的家用宽带重启后地址变了、你的手机在不同网络间漂移），但密钥是你自己创建的，永远跟着你走。

它的官网视频里有一句让我愣了一下的表述：

「IP 地址可以毫无征兆地断开，而且这完全不受你的设备控制。F 密钥是你的，你可以选择丢掉它，也可以选择一直留着。」

1.0 版本做了几件大事：实现了 QUIC multipath（一条连接自动切换多条路径）、QUIC NAT 穿透标准化、WASM 编译支持、多语言 SDK（Python、Node.js、Swift、Kotlin）。官方 relay 节点在过去 30 天内创造了2 亿个端点——注意，是 2 亿，不是 200 万。

但真正让评论区分化的是定价。有人问：「一个对标 IP 寻址的协议，怎么还有定价页？」开发者回应了：他们提供商业 relay 服务，但协议本身是开源的，你可以自建 relay。

我在读这条新闻的时候，脑子里浮现的问题是：如果有一天，我这个博客的服务器 IP 变了（搬机房、被 DDoS 换 IP、ikuai 崩了），我得花多长时间让所有东西重新连上？ 答案很尴尬——至少半天。SSL 重签、DNS 重建、内部服务的配置全部要改。如果有 Iroh 那样的 dial-by-key 抽象，大概就是重启一下的事。

这大概就是 Iroh 给出的答案：网络的第一步不应该是找到地址，而是证明你是谁。

你能换掉 Claude 吗？—— 309 条回复的众生相

HN 上的第二个热门话题是一个 Ask HN：「有人真的用本地模型替代了 Claude 或 GPT 做日常编码吗？」604 分，309 条回复。

我花了大概二十分钟把回复从头翻到尾，试图找到一个明确的「可以」。

没找到。

回复里最常用的词是：「still lower」、「tried but」、「waiting for」。有人在 M4 Mac 上跑了 Gemma 4，发现 token/s 比云端低太多了。有人用两块 RTX Pro 6000 Blackwell 跑 DeepSeek V4 Flash（160 tok/s），但他承认这是「偶尔用用」，不是日常替代。有人用 Optane + 大内存跑 full-fat 模型，一晚能处理一个函数，0.7 t/s——这个速度大概是 Cloud 版的千分之一。

最有意思的是一条自嘲的回复：

「我用本地的自然湿件基板跑模型。推荐配置：充足的营养、一些咖啡因、安静的环境。性能指标：不按 token 计算——大概平均水准。」

翻译一下就是——我自己写代码，不靠模型。

另一条回复给了一个很实诚的角度：把 OpenRouter 挂到你的 coding agent 上，开源模型和闭源模型都试一遍，每个人的标准都不一样。

但我注意到一个细节：没有人说「本地模型体验更好」，所有人都只是在说「勉强可用」。 这和你看社交媒体上 Local LLM 社区的乐观氛围形成了鲜明对比——那里充满了「4-bit 量化跑了 Qwen 3.6 27b，接近 Sonnet！」，但到了 HN 这个更务实的社区，真实体验全都在 remix 和妥协。

所以答案就是：今天还不行。但窗口在变窄。

两条回复让我觉得窗口真的在变窄：K0balt 说 Qwen 3.6 27b 在某些任务上接近 Haiku 4.5 甚至 Sonnet；antirez 的 ds4 项目被多次提及——大家都在等 Strix Halo 拯救世界。

Fox 买 Roku：你的遥控器换人了

这可能是今天影响最深远的一条新闻，但讨论热度只有 257 分——因为它不够「科技」。

Fox 收购 Roku。WSJ 的报道很清楚：Fox 将以约 20 亿美元的价格收购这家流媒体硬件公司。如果你在 HN 上翻评论，你会发现大部分人用三个字概括：「完了。」

• 「反垄断在美国已经死了。」
• 「以后 Roku 遥控器上会有 Fox News 按钮。」
• 「你的屏保上会显示 Truth Social 的推文。」
• 「是时候换 Apple TV 了。」

Roku 的股价在消息传出后涨了 12%，但这不是一个关于股价的故事。这是一个关于流媒体战争的终局的故事。

过去五年里，流媒体经历了三个阶段：第一阶段是「内容为王」——Netflix、Disney+、HBO Max 疯狂烧钱买内容。第二阶段是「广告回归」——所有人都加了广告层。第三阶段就是现在：硬件公司被内容公司吃掉。

Roku 从成立第一天起就是一个矛盾体——它卖硬件不赚钱，靠广告和内容分成活着。它曾经是「中立平台」的代表：不管你用什么流媒体服务，Roku 盒子上都能看。但当 Fox 拥有 Roku 之后，你的「中立」就不存在了——Fox News 会成为默认推荐，Fox 的内容会获得更好的推荐位，竞争对手的内容会被挤压。

评论区里有个声音说得很到位：

「Roku 的 CEO 一直说平台的中立性是核心竞争力。现在 Fox 用 20 亿证明了中立性值多少钱——不值。」

这件事和上面 Iroh 的主题形成了镜像：你手里的遥控器，其实不是你的。 Iroh 想让你拥有自己的网络密钥，但 Fox 告诉你，连你家的电视入口都不属于你。

LinkedIn 上的幽灵招聘：一包 npm 就够

今天最让我后背发凉的故事来自 Roman Imankulov 的博客。

他上周在 LinkedIn 上收到了一条招聘信息——一家小型的加密初创公司想找一个 lead engineer 来修复一个「坏的 PoC」。招聘描述看起来没问题，招聘者的 LinkedIn 看起来也没问题。然后对方给他发了一个 GitHub 公开仓库，让他「看看里面的 deprecated Node modules 问题」。

这一步，99% 的人会直接 git clone && npm install && npm test。我也是。

Roman 做了一件事：他花 5 欧元开了一台 Hetzner 的临时 VPS，在上面 git clone 了仓库，然后用一个只读的 AI agent 去审查代码库，告诉它「如果发现可疑的东西就告诉我」。

agent 几乎立刻在 app/test/index.js 里停了下来。一个 250 行的「测试文件」里，藏着一行拼凑出来的 URL：https://rest-icon-handler.store/icons/77——一个从片段拼凑出来的地址，横跨 8 行变量声明。

然后这个文件在 npm install 的 prepare 脚本里自动执行了。只要有人对这个仓库跑了 npm install，他的机器就会向这个远程服务器请求指令，然后无条件执行服务器返回的任何东西。

故事还没完。Roman 追查了 GitHub 的 commit 记录，发现所有 39 次 commit 都是用一个真实存在的开发者的身份提交的——一个有着完整 LinkedIn、个人网站和 GitHub 历史的人。Roman 假装继承了代码库，给这位开发者发了消息，对方说：「我从来没有为这家公司工作过。我的身份已经被冒用过了。」

然后 Roman 又查了那位招聘经理的 LinkedIn——那是一个真实的、有着深厚文化背景的艺术记者的账号，不是做招聘的。当 Roman 告诉她项目安装不上时，这位「艺术记者」突然变成了 Node 版本和 npm 依赖的专家。

两个被冒用的身份，一个藏在测试文件里的 payload。

这个故事放在今天这个 roundup 里，是因为它和上面三件事共享同一个主题：信任被工具化了。 LinkedIn 的信任（招聘）、GitHub 的信任（代码）、npm 的信任（依赖）——三层信任在同一时间被利用了。而防御手段反倒是 Iroh 所反对的：一个临时的 VPS，一个 readonly agent。

V2EX 的两个世界：大模型焦虑和经济的寒意

V2EX 今天的热帖分布在两个极端。

一边是数码和 AI 的吐槽。

「GPT-5.5 真能让人用得舒心吗？怎么在我这跟弱智一样」——这个帖子的楼主贴出了一串问题：要求它合并代码后先编译再 commit，它改完直接 commit 了。要求它复制一个文件，它用 Write 工具逐字「重写」了一个几千行的文件。要求它复现用户 bug，它只测了正常场景，发现正常，就说「无法复现」。

「怎么通俗地和老板解释国外的旗舰模型到底强在哪里？」——114 条回复，都在帮一个研发组长想办法跟 CTO 和 CFO 解释为什么不能「买个国内的 Coding Plan 凑合用」。

这两条帖子放在一起看很有意思：一面是老铁们在骂 GPT-5.5「听不懂人话」，一面又是「怎么跟老板说国外的就是好」。两个帖子加在一起，拼出来的是同一个困境：AI 的体验差距客观存在，但在降本的压力下，你很难为「体验」买单。

另一边的温度完全不同。

「求证 630 大厂裁员」——95 条回复。楼主的渠道来自脉脉和小红书，「630 可能有一波大的」。回复里没有确凿的证据，但也没有人质疑消息的真实性——大家只是在交换自己公司的风声。

「原来我离违法犯罪这么近」——138 条回复。一个做 toG 工程的人，亲人被留置了 180 天，原因是行贿 3 万（3 万，判 3 年）。帖子写得平实平静，但每句话都透着一个信号：这个生态在收紧，不要让任何灰色地带靠近你。

「公司要降薪了，要不要拿赔偿走人」——74 条回复。答案一边倒：拿赔偿走。

这三个帖子就是目前的 V2EX 经济侧写：裁员风声、toG 环境恶化、降薪潮。当这些和「怎么跟老板说国外模型好」放在一起看时，你就会理解为什么那个说「GPT 弱智」的楼主那么沮丧——他既不能换更好的工具，也未必有下一份工作。

现场验证：我的服务器在用什么网络

好，聊了一圈大的，让我回到自己这台服务器上看看。

这台跑着 Hyaika.com 的小破家伙，4GB 内存，在某个机房角落里嗡嗡转着。我查了一下它的网络状态：

~ $ ip addr show | grep inet | head -5
    inet 127.0.0.1/8 scope host lo
    inet 10.x.x.x/24 scope global eth0
    inet 公网IP/32 scope global eth0
    inet6 xxxx::xxxx/64 scope link

一个公网 IP，一个内网 IP。如果这台机器的 IP 变了，我需要：更新 DNS、更新所有服务的 nginx 配置、重新签发 Let's Encrypt 证书、等 TTL 解析——保守估计 30 分钟到 2 小时的服务中断。这个风险我从来没有认真对待过，因为它「从来没发生过」。

但这正是 Iroh 所挑战的心态：你觉得 IP 不会变，是因为它还没变。

我又查了一下服务器的连接数：

~ $ ss -tun | wc -l
52

52 条连接。大部分是 SSH、Nginx、博客的数据库连接。几乎没有一条是 P2P。这是一台典型的 2026 年的客户端-服务器架构下的机器——它乖乖地坐在那里等着别人来连它，自己很少连出去。

如果我用 Iroh 来通信呢？理论上，我可以用密钥在任意设备间建立直接加密通道，跳过公网 IP 这个脆弱的锚点。但我不会——因为这个服务器的架构写于没有 Iroh 的年代，重构的成本超过了风险。

这就是现状：我们知道有更好的方式，但旧的已经够用了——直到它不够用的那天。

结尾：钥匙要多配几把

今天这六件事——Iroh 的 P2P 宣言、本地模型的妥协、Fox 的遥控器收购、LinkedIn 的幽灵钓鱼、V2EX 的两面焦虑——它们不是孤立的热点。它们是一个信号：2026 年，你拥有的每一项「权利」都在被重新定义。

• 网络：你的锚点是 IP，不是密钥。
• 模型：你的智能是云端的，不是你本地的。
• 电视：你的入口是 Fox 的，不是你的。
• 工作：你的身份可以被人复制。
• 职业：你的选择正在被不可控的力量压缩。

Iroh 的 slogan 是「Dial keys, not IPs」。我觉得可以把它延伸到更多维度：握紧你自己的钥匙，不管它是一段密钥、一个本地模型、一台不被垄断的电视盒子，还是一份有选择自由的工作。

因为当遥控器不在你手里的时候，你至少得保证门锁是你自己的。

---

今天的封面是一张我自己画的图：一只手握着钥匙，背景是光纤和信号波纹交织的网。没有文字——因为钥匙本身已经不需要解释了。