Everything you care about in one place
Follow feeds: blogs, news, RSS and more. An effortless way to read and digest content of your choice.
Get Feederwechat2rss.xlab.app
乐枕迭代日志
Get the latest updates from 乐枕迭代日志 directly as they happen.
Follow now 30 followers
Latest posts
Last updated 6 months ago
知识的有效性评判及加工
about 3 years ago
原创 cdxy 2023-04-08 11:23 美国 如何评判一个知识/观点的有效性?有效性降低时,如何进行加工修正? 神奇的X指标一位分析师发表文章“出现X特征的公司将迎来持续增长”。文中详细描述了其发现的独特规律——X指标,并列举了五家热点企业的案例分析,五张图表如出一辙地显示出X指标的优越性。股民小A看后,回想到之前关注的几支股票走势,深感认同,开始购买出现X指标的股票。几次交易后,损失惨重。小A反思,觉得之前的判断过于轻率,有必要更精确的测量一下X指标的效果。于是基于X指标实现了一个交易策略,不断调优参数后,历史五年数据回测显示出一条稳定的高增长曲线。实盘运行之后,发现业绩平平、起伏不定,一段时间后,小A停止了策略。---“出现X特征的公司将迎来持续增长” 这句话可以称之为一个观点、判断、方法、命题...等其他名字,本文中统一用「知识」一词指代。小A对于一种新「知识」的两次反应,引申出两个问题:如何评判一个知识的有效性?有效性降低时,如何进行加工修正?知识的演进知识的产生人们理解事物时,首先产生感性认识,后形成理性认识(知识),理性认识指导实践,实践对客观世界产生改变,然后再认识、再实践,循环往复,永无止境。想象一个双螺旋:知识不断进化,同时实践对世界造成影响,导致客观世界也在不断变化,其变化又引发新知识的产生。知识有效性的衰减出版物(专业书籍、论文等)是知识发展过程中一些具有代表性的“检查点”,这一历史数据可供我们测算知识的变化速度。人类知识的增长被认为呈现指数形态,尤其是在科学和技术领域,科学文献的数量每9年翻倍 [1]。知识???增长向摩尔定律靠近,同时 对客观世界产生的改变(社会的进步)也是指数性的 [2] 。[1]...
OWASP API Security Top 10 (2023-RC更新)
about 3 years ago
cdxy 2023-04-23 13:50 北京 进一步与Web攻击进行了区分,强调了API权限管理、资产管理、业务风控及供应链问题。 今年OWASP更新的API Security Top 10(候选版本)进一步与Web攻击进行了区分,强调了API权限管理、资产管理、业务风控及供应链问题。https://github.com/OWASP/API-Security/tree/master/2023/en/src 阅读原文 跳转微信打开
2025: 一个30岁的创业者pivot了一切
6 months ago
原创 cdxy 2025-12-27 01:57 日本 在新加坡和Andy住了几个月红灯区,我感觉必须得从这地方走出去。3月,第一次到美国,我冲进VC panel给sequoia的合伙人直接堵在了台上,一顿输出然而并无作用。4月,回到新加坡,和投资人说美国市场我决意要干,我会自己先base过去。我们从中国这个巨大的市场出来,不是为了just to end up as a...
一种全新的代码审计技术:SyntaxFlow
about 2 years ago
v1ll4n 2024-06-14 17:38 北京 我们希望把编译技术带入安全代码分析去分析代码行为,为代码行为分析带???新的机会和可能性 代码审计技术在过去的一段时间的发展中,似乎受到了一个魔咒,安全从业人员的很难摆脱 *QL的影响,毕竟编译成数据库,然后通过 QL 来查询。或者通过把 AST 解析进 neo4j,通过...
陆奇"新范式 新时代 新机会"演讲观后小记
about 3 years ago
cdxy 2023-05-08 13:30 北京 按个人理解重新整理一下内容逻辑 原文:陆奇最新演讲《新范式新时代新机会》完整PPT.pdf - Feishu Docs周末听了现场,按个人理解重新整理一下内容逻辑。基础假设:技术/市场双螺旋驱动时代发展首先一个大框架是关于「技术」与「市场」的双螺旋,这个理论相关学术及产业界的研究很多。陆奇以一段精彩的描述强调了「市场」的重要性:???在引领信息科学?在美国早就不是大学了,是谷歌,是微软,是脸书。 谁在引领人工智能?不是谷歌,不是微软,是OpenAI,是DeepMind。 谁在引领空间科学?不是NASA,是SpaceX。 科学范式的演变和商业化是分不开的。相比传统的「产学研」各司一职的模式,在数字化时代创业公司能够以一种更高的效率,完成“基础研究、应用研究、技术研发、产品开发、市场推广”的全链条组合,以更快的速度迭代知识,是为“创新基础范式”的演变。接着,全文从「技术」、「市场」两个角度展开,介绍了两个基础模型,并据此分析了大模型背景下的产业发展。两个模型:需求满足体系、技术推动体系需求满足体系:三位一体信息->知识->行动...
AI+安全运营
about 3 years ago
原创 cdxy 2023-06-17 15:24 中国台湾 互联网时代壁垒即数据、算力,AI厂商也是如此。数据霸权积累自于任何以数据为核心的商业模式(增长飞轮之类的反馈结构,数据越多->能力越强->用户越多->数据越多)。安全厂商是如何积累自有数据的:客户运营:指通过本地化部署产品+人工服务/售后/驻场 等运营手段获取数据。社区运营:通过开发者社区共享poc/插件/情报等。SaaS:直接分析用户数据。一种中间态:厂商同时推出SaaS和本地化产品,SaaS可以快速积累数据,再将数据转换为产品竞争力,同时通过本地化市场拉高收入空间,形成线上+线下的双轮驱动结构。以AI作为核心竞争力最先突破的场景或许是安全运营(ops, automation),原因有:SaaS模式(受限于市场)底层技术是no-code automation,天然对接大量第三方数据,对接是门槛同时也是壁垒安全是人的对抗对运营的效率诉求将长期存在市场碎片化、多方能力对接的情况将长期存在AI作为copilot做增效比直接闭环解决问题更易体现价值案例参考:https://www.blinkops.com/https://www.tines.com/https://www.microsoft.com/en-us/security/business/ai-machine-learning/microsoft-security-copilot 阅读原文 跳转微信打开
工作中的积极状态
almost 3 years ago
原创 cdxy 2023-07-21 19:51 北京 经济形势下人们出现了更多的痛苦???反思。大厂的朋友说 “还是你们创业的精神状态好”。创业的朋友互相展示着自己新结的茧,现实是过往的余烬青烟,他们想重新把心里的火点燃。处于跳槽/离职想法中的人也很多,谈及职业选择,经常会听到一系列的外在条件,各有优劣,同时掺杂一些勇气和恐惧相关的议题。弗洛姆描述人的改变需要四个步骤,首先是对痛苦的认识。第一,我们正在受苦,并且能意识到这一点。 第二,我们认识到了这种不幸的根源。 第三,我们认识到能有办法消除这种不幸。第四,我们接受这样的现实——为了消除这种不幸,我们必须遵循某些生活准则,并改变我们现有的生活方式。弗洛姆《占有还是存在》痛苦是进化的征兆、是一种力量。持续、重大的痛苦改变人的观念、从而导致行动、变化,这并非是特化的悲惨境遇,而是人认识世界的周而复始的过程。向内探索力量的一种方式把「have-do-be」的思考顺序转换为「be-do-have」,找到自己,再发现整个世界。太久的时间里,我们活给别人看,自我觉察被外界评价掩盖。东方文化注重人的社会性(成因上我更喜欢地理决定论的解释),强调社会责任,家庭责任,背后是一个人的多个角色,同时要符合多种角色背后的伦理。但越来越多的年轻人向往自由,他们消费情绪,忠于体验,淡化所谓的社会责任——生育率和离婚率可见一斑。找到意义感后,很多有力量的人,仍然会对时间的流逝产生恐惧。《当尼采哭泣》描述了一个医生面临中年危机时的困境,他有着常人所追求的名誉、地位、物质、家庭,但这位人生赢家在步入中年时却发现其所获之物并不能满足内心的欲望——更深层原因是对时间与死亡的恐惧。他在催眠体验中放下一切,追寻另一种理想生活,当爱与永恒的假象一一破灭后,重新燃起对现实生活的热爱。「成为自己的存在」一句理想主义痛苦的处方药,号召人们抛却概念假象,关注自身,从自身获得力量——“如果人在实现了他的生命之后死去,死亡就丧失了他的可怕”。当下是存在,永恒是假象。热爱是存在,前程是假象。选择是存在,真理是假象。什么使你持续快乐、什么使你持续痛苦,就是命运。 阅读原文 跳转微信打开
读《做对产品》
almost 3 years ago
原创 cdxy 2023-09-08 19:29 北京 本书给出「如何低成本验证市场需求」的实用指南,有着浓厚的逻辑和统计味道的同时足够简洁。 本书作者索维亚是谷歌首任产品总监,经历三次创业成功后,第四个项目历时五年,融资2500 万美元后以失败告终。这次经历让他意识到,选错产品方向是失败核心原因,即使执行做的很完美。于是,「如何低成本验证市场需求」成为本书的议题。作者给出了一份实用指南,有着浓厚的逻辑和统计味道的同时足够简洁,其中「预型」的概念极具创造性,诠释了优秀的实验方案可以极大程度降低决策成本。---原文中的市场验证步骤总结为:步骤方法方法描述示例将创意描述为可量化的命题A(宏观市场假说)XYZ命题法XYZ命题法:至少X%的Y将会ZX%代表了你目标市场Y的一个百分比,Z则代表了那部分市场将对你的新产品创意采取何种反应创意:在污染严重的城市中生活的一些人会有兴趣购买价格合理的设备用于监测和净化空气的。命题A:对于居住在AQI数值超过100的城市里的人,其中至少有10%会购买一台售价为120美元的便携式污染传感器。创建可验证的有代表性的子命题B(可验证的市场假说)缩进从不可验证的A到可验证的B,同时保证逻辑正确性,当A为真时B一定为真。命题A:对于居住在AQI数值超过100的城市里的人,其中至少有10%会购买一台售价为120美元的便携式污染传感器。命题B:在城市A的Tot Academy的学员家长中,至少有10%的人会购买一台售价800元的便携式污染监测器。设定命题B的实验方案。预型(pretotype)最低成本对B进行实验设计,过程强调两点:如何设计低成本实验——预型:作者区分了「预型」与「原型」的概念,预型即“低成本假装拥有一个原型,看看用户反映如何”,案例包括土耳其机器人预型、匹诺曹预型、假门预型、假面预型、YouTube预型、一夜情预型、潜入者预型、改标签预型。什么是有效的数据——通过预型可以在极低成本的情况下获取有效验证数据(YODA):自己采集的、包含用户切身利益(实实在在付出过成本的/付费意愿)的数据。土耳其机器人:早年IBM为验证“语音转文本计算机在打字员群体中的价值”时,并未实现语音识别,而是用一台假服务器对用户宣称是原型机(其实背后是人在听写)并测试,低成本进行需求验证,实验数据说明语音转文字在当时场景下是“伪需求”。评估命题B的实验结果,以间接证伪A或提升A为真的概率。TRI计量仪一种需求“刚性”的定量评价指标计算方法,核心思想是用户为了某个意愿付出的现实成本越高(金钱、时间、名誉等),则权重越大。命题A:在单程通勤时间超过1个小时的职场人士中,至少有2%的人愿意支付300美元的费用,在通勤巴士上参加一门广受赞誉的1个星期的课程。命题B:从旧金山通勤至山景城的谷歌员工中,至少有10%的人会支付300美元,,在通勤巴士上参加由一名谷歌员工执教的1个星期的“机器学习入门”巴士课程。YODA:在600个样本中,132位(22%)从旧金山通勤至山景城的谷歌和领英工程师支付了300美元参加1个星期的BusU人工智能课程。支持力度量化:有效的电子邮箱得1点。参加一个小时的宣讲会得60点。支付300美元参加一个星期的课程得900点。修改A,重复验证,直到找到答案。万忧解:理想与现实「决策」是一个我长期思考的问题,此前分别写了《解决复杂问题的一般性方法》《知识的有效性评判及加工》两篇记录,决策系统首先是一个可迭代的系统,然后通过无数个假设-检验逐渐优化系统的结构和参数。人与客观世界交互的无尽循环——PDCA,在本文以另一种方式呈现。但是知道PDCA没用,知道怎么做才有用。证实或证伪一个观点的方式只有演绎或归纳两种,而事实上,我们无法为演绎法找出必为真的前提条件,同时也无法承担使用归纳法证明统计意义上显著性所需要的实验成本。我们几乎每时每刻都在有限样本中做不充分归纳,但仍能有些方法让我们更加靠近近答案。完成与完美重要,作者深知这一点,与其给出只有个别专家才能操作的精密仪器,不如给读者一个有效的扳手,因此手册式的行文非常简单易懂,远没有当下用户分析领域的复杂知识。文中提及的“可量化命题-缩进-预型实验-TRI结果评估”过程即PDCA的执行优化。毫无疑问,简洁就是实用!随着自己的PDCA量表越来越臃肿,这本书的简洁性令人眼前一亮。失败是野兽,成功也会是——作者在最后抛出了一个存在主义意味的话题,做「属于你的事」和「做对的事」同样重要,做正确的但是自己不感兴趣的事,无疑也是一种骑虎难下的“成功灾难”,即确认愿景、验证市场后,再做战略执行。存在切身利益的投票才是真正有效的投票,文中YODA的数据采集让我想到了“开始吧”这个app,商家通过众筹预售的形式让用户付出真金白银验证市场需求,也是低成本验证市场的有效形式。切身利益同时也并不一定指付费,用户为了满足某些需要所付出的成本,钱、时间、注意力、名誉等,都可以成为需求有效的证明——取决于你的商业逻辑假设。从需求价值判断的角度来讲,产品规划容易陷入两个极端,要么过于自信轻视需求验证,要么用户说啥做啥放弃思考,两种都容易犯错。客户要的是漏洞而不是扫描器,要的是洞察而不是算法,要的是结果而不是过程。通过人工服务的方式低成本验证需求,交付报告/洞察,然后再考虑产品化是一种低成本价值验证的好方法,先确定产出物有价值,再通过产品提效。 阅读原文 跳转微信打开
产品价值公式与差异化战略
over 2 years ago
原创 cdxy 2023-09-28 11:25 北京 重读《俞军产品方法论》 一个优秀的产品需要翻过能力、用户、商业、政治几座大山。对技术人员而言,我做的这个功能对用户有什么价值?是思考产品问题迈出的第一步。为什么要做差异化?这个问题让我重新想起了产品价值公式,后重读了《俞军产品方法论》,发现产品价值公式还有后面一个迭代版本——产品是约束条件下的效用组合。可叹当初没读过经济学原理,弃如敝履。产品价值公式产品价值=(新体验-旧体验)-迁移成本。考虑一个存量市???做替换的场景:产品A已经占领市场的情况下,B公司投入更大资源研发了产品B。图中纵轴表示产品效果,横轴表示生产成本,获得一条斜率不断降低的曲线——产品从0到60分是很容易的,60-90比较困难,90-95难上加难。随着水位的提升,想要获得单位效果提升所消耗的成本越来越高。企业的目标是有限资源下的利润最大化,必须取平衡。图中产品A(先发者)率先占领市场,付出了小部分成本,给用户带来了从0到1的价值,如蓝色部分;此时产品B(后发者)介入,付出了极高的成本,给用户带来的增长价值需要减去A的价值和替换成本,如红色部分。A和B的投入产出比相对比(ROI)解释了为什么要做差异化——做存量市场替换的ROI很低;以及差异化的核心——发现未被满足的需求并创造交易机会。若用产品效果支撑商业价值,与其讲绝对排名,不如讲相对差距,如果和第二名拉不开差距,切存量市场还要再减去个替换成本,有可能是失败的生意。差异化战略战略有很多流派,迈克尔波特提出的基本竞争战略有三种:总成本领先(效率)、差异化、集中化(聚焦),聚焦对于创业公司来说是一句废话,大家都会定义自己的服务边界,并随风险承受能力变动。效率战略契合红海市场,同质化、完全竞争、价格由市场定义。在此背景下技术或模式突破诞生使某些企业在原有市场价值空间内拿起价格屠刀。效率战略更近似于「新技术/模式-老群体」,而非《创新者的窘境》中提到的颠覆式创新,后者更像「老技术-新群体」,用于说明“技术与市场是互相依存、螺旋上升关系”。更多的初创会选择差异化——蓝海市场。它有可能是用户群体的差异化,或是价值的差异化。从IT行业 “技术-产品-解决方案-理念” 的拼装链路来看,从左往右的变化周期是越来越短的,从客户群体的角度看并没有差异化,但是从交易价值的媒介——产品来看,确实是差异化了。另一方面,客户群体的差异化是更加凶险的赌博,例如SaaS的中长尾市场,或者某些细分行业属性的客户群体,一般情况下赌的是这个新“价值网”的成长性;或者依靠新群体积累数据或产品力,同时杀回老战场做双线战斗。规模产品价值公式描述的是单一客户视角下的,产品的用户价值,而产品的商业价值看的是整体,即使用户B带来的价值增量不大,但是当规模化之后仍然可以获得可观的利润(例如软件制造成本均摊)。同时,规模也将进一步影响生产成本,当规模达到一定程度时成本???降反升(获客成本、组织成本、原材料成本等)。效用组合产品是什么?从商业角度而言是价值的传播媒介,从产品经理的角度而言是一组「效用组合」。这一定义比价值公式中新旧「体验」描述的更加准确,传达的含义有:效用的主体是客户,这避免了生产者视角的自嗨——从技术角度提升了百分之多少的效果,和最终的用户主观效用中间存在个转化比例,客户不见得会为之付费。效用是主观的,这强调了理解用户/同理心的重要性——C端的心理学和B端的行业knowhow。例如某些用户只喜欢90分的东西,另一些人觉得60分就够用并不愿意多付费购买更好的产品;某些客户会采购Top1的方案保证行业领先性,同时也有“过了考核”就行的买家。效用组合呈现了一个新的价值评估视角。即要把产品拆成多个「效用接口」来分析,同一个产品传递了多个效用, 功能->效用->用户行为 每一层是多对多的关系。针对B端产品而言,组织服务能力作为价值传递的媒介,其中咨询、产品、服务、商务等多个环节共同形成了一组效用组合。 阅读原文...
碎片 #202309
over 2 years ago
原创 cdxy 2023-10-08 19:47 北京 价值感---VC要的不是价值而是价值感,客户要的不是安全而是安全感。信息差越强的领域,越要求信任,越强调感觉,这???是品牌的价值。勇气---向光而行需要勇气,看不到光仍坚持在黑暗中摸索,是更为强悍的勇气。想成为画家的第一件事是先画一幅画,发现哪儿不合心意,涂掉修改,反复碰撞-校正,最终的作品呈现的或许不是「我想如何」而是「我不想如何」。关系---理论角度:关系的影响因素:成本、效用(边际的、主观的、预期的)、结构。 效用的边际性——越拥有什么,越不会受什么诱惑。 效用的主观性——个体/群体均存在偏好。 效用的预期性——决策着眼于未来,过去的行为买不来忠诚。 实践角度:1)维护关系的方式: 提高自身的边际价值:纵向或横向的价值拓展。例如:团建、员工福利;商品+配套服务。 降低竞争者的边际价值:例如:按照市场价格支付工资。...
练习时长两年半的API安全练习生
over 2 years ago
原创 cdxy 2023-10-24 15:13 北京 21年,很多人同时忙着一件事——从26个英文字母随机挑选几个拼成一个新词,并做出释义:趋势、价值、未来。 2021年,很多人同时忙着一件事——从26个英文字母随机挑选几个拼成一个新词,并做出释义:趋势、价值、未来。其他人努力搞懂这些词到底是啥意思。某专家指出,只要大家掌握了26^4=456,976种字母的排列组合,就能完全理解安全产品的品类了!然而隔日便宣称自己的新解决方案用了5个字母,是绝对的创新!当时我们也讲了一个「以API安全为切入点,向多场景转化数据价值」的故事,跟着赛道发展,转眼间成了时长两年半的练习生。01 API安全国外API安全领域自19年起逐渐火热,以面向云环境的串行防护/分析/管控一体化形态为主,SaaS+私有化结合着卖,21-22年出现了几个收购退出案例。国内这两年来也陆续出现了二十来个厂商的方案,「API安全」的释义似乎从来都没有固定过,大家探索出了很多玩法——毕竟,软件咋能离开API呢?ChatGPT不就是用API交付的吗?API无处不在,容易被集成,和应用安全、云安全、零信任、数据安全、风控等方向均有结合,主要产品形态有:防护类:WAF加入API场景变成了WAAP(Gartner)。机器与人的交互,Web=API+UI;机器与机器的交互,就是纯API了。WAF用户开个API防护模块顺理成章。分析类:通过旁路流量、日志分析的方式,进行资产梳理、威胁监测、数据追踪等。终端类:生产服务器的RASP、办公终端的DLP,都可以加入针对API的Detect&Response能力,这种模式效果与侵入性都很强。管理类:一方面是安全解决方案(ASM)的融合,包括资产发现与漏扫能力;另一方面是API Infra厂商(以云、API网关、API管理平台、APM为主的解决方案)的融合,作为API业务中台解决方案的安全底座。我们选择的是旁路分析模式,因为PMF要快,价值体现也要快,先做无侵入,验证了价值,大家才能有深度配合。从21年开始,这两年半时间里非常克制,没折腾什么产品矩阵,也没做与主线业务无关的项目,从第一版MVP的四个功能页面,到当前2.9版本的二十多个功能页面,一套数据分析底???,承载不同的场景化功能。02 客户价值客户价值指的是:任何意义上(政治/经济/心理上),通过任何媒介(产品/服务/咨询/活动),企业为客户提供的效用组合(以人为中心的,主观的、边际的)。* 可以说一切都是产品,或者一切都是服务,总之都是传递价值的方式。C端更加关注体验——心理上的;B端更加关注效率——经济上的;而安全的特殊性在还有很重要的管理意义和政治价值。项目为什么要做?客户需要一个理由:* 实战-漏洞多被打痛过?*...
冥河之水
over 2 years ago
原创 cdxy 2023-12-09 11:33 北京 Flectere si nequeo Superos, Acheronta movebo如果我不能撼动天神,那么我将搅动冥河一拉萨尔不再被人提起。中文维基百科中,对他的生平描述只有一行字:“斐迪南·拉萨尔于1863年5月23日,在萨克森王国莱比锡,建立了德国境内最早的工党、全德意志工人联合会。”1825年,拉萨尔出生在普鲁士王国东部的布雷斯劳——那里的犹太人直到1843年才正式获得解放。尽管富商家庭免除了拉萨尔的物质之苦,但时代赋予了犹太人精神之苦——所有属于受压迫种族的人,甚至是生活环境优渥的人,都遭受了这种屈辱。1840年5月,大马士革事件对犹太人的迫害,让15岁的拉萨尔大声疾呼:“瞧,连基督徒都对我们迟缓的血液感到惊讶,我们不会反抗,我们宁愿死于酷刑也不愿冲上战场。……胆怯的人,不配得到更好的命运。”数月后,他更为强烈地表达了自己的革命热情:“这种来自世界各个角落的压迫似乎在对我说,我们将用基督徒的鲜血来武装自己的时刻很快就会到来,Aide toi...