本文永久链接 – https://tonybai.com/2025/11/23/short-form-videos-harm-programmers

大家好，我是Tony Bai。

我想请你回想一个再熟悉不过的场景：

白天，你在成千上万行代码的丛林里艰难跋涉，与一个隐藏极深的Bug缠斗了数个小时，心力交瘁。晚上回到家，你只想“犒劳”一下疲惫的大脑，于是瘫倒在沙发或舒服的大床上，划开手机，沉浸在短视频那无穷无尽的信息流里。一个接一个的精彩片段，让你暂时忘记了白天的烦恼。

你以为这是一种高效的放松，一次精神上的“回血”。但一个令人不安的自我观察，或许你也有同感：为什么我们越来越难以长时间专注于一段复杂的代码了？为什么刚想深入思考一个架构问题，大脑就不由自主地渴望一次短暂的“分心”？

这仅仅是意志力下降了吗？还是我们的认知能力，真的在不知不觉中发生了改变？

最近，一篇发表在顶级期刊《心理学通报》(Psychological Bulletin)上的系统性回顾与元分析论文——《Feeds, Feelings, and Focus: A Systematic Review and Meta-Analysis Examining the Cognitive and Mental Health Correlates of Short-Form Video Use》，为我们揭示了残酷的科学真相。这份综合了71项研究、覆盖近10万参与者的报告，清晰地指出：我们所以为的“放松”，很可能正在系统性地消耗我们写出好代码的核心能力。

那么，这份报告到底说了什么？它又是如何科学地“实锤”短视频对我们大脑的影响的呢？下面，我们就从这份报告的核心发现开始看起。

科学的“实锤”：短视频到底对我们的大脑做了什么？

这篇论文用详尽的数据告诉我们，短视频的消费模式，并非无害的娱乐。

首先，它与认知能力的下降显著相关。 论文指出，增加的短视频使用与较差的认知能力存在明确的关联（中等效应，r = -.34）。而受损最严重的领域，恰恰是我们程序员最宝贵的两种资产：

1. 注意力 (Attention, r = -.38)
2. 抑制控制 (Inhibitory Control, r = -.41)

这是什么意思？让我们用程序员的语言来“翻译”一下：

• “注意力”下降，意味着我们持续跟踪复杂逻辑链条、在庞大代码库中保持上下文的能力正在变弱。你可能刚理清一个函数的调用栈，一个念头闪过就忘了自己刚才想到哪了。
• “抑制控制能力”下降，意味着我们抵抗内部或外部干扰的能力正在削弱。无论是同事的一条消息，还是脑子里突然冒出的“看看新邮件”的冲动，都变得越来越难以抗拒。

这两种能力，正是我们进行深度编程、系统设计和复杂问题排查的基石！

论文中提到的“习惯化与致敏化” (habituation and sensitization) 双重理论，通俗地解释了这一现象：我们的大脑，在反复经受短视频这种“高刺激、快反馈、强情绪”的内容轰炸后，会逐渐“习惯”这种模式。当我们再回到编程这种需要“低刺激、慢反馈、纯逻辑”的深度工作时，大脑会表现出极度的不耐烦和渴望“切换”的冲动，因为它已经被短视频“致敏”，期待着下一次即时的高强度刺激。

程序员的“高危”处境：为何我们更易受其害？

如果说短视频对普通人的影响是“温水煮青蛙”，那对程序员而言，它更像是一场针对核心技能的“精准打击”。

• 工作性质的根本冲突： 程序员是典型的“深度工作 (Deep Work)” 从业者。我们的价值产出，几乎完全依赖于长时间、不间断的专注。而短视频的消费模式，则是“浅层娱乐 (Shallow Entertainment)”的极致，两者在认知模式上水火不容。
• 从“心流”到“心碎”： 我们梦寐以求的“心流 (Flow State)”状态，其核心就是高度的专注和对干扰的抑制。短视频的算法和产品设计，其目标恰恰是系统性地、持续地打破我们的专注，用一个又一个的新鲜刺激来捕获我们的注意力。可以说，短视频正在系统性地摧毁我们进入和维持“心流”的能力。
• “伪学习”的陷阱： 很多开发者，包括我自己，有时也会通过短视频学习一些“技术小技巧”。这看似高效，但往往是碎片化的、不成体系的。这种“伪学习”带来的即时满足感，可能会取代系统性、结构化的深度学习，让我们误以为自己“学到了很多”，实则认知能力的基础正在被侵蚀。

夺回专注力：一个程序员的“数字健康”自救指南

认识到问题的严重性，并非为了制造焦虑，而是为了找到夺回主动权的路径。结合之前分享过的“状态管理”理念，我们可以尝试以下具体的“自救”策略：

1. 拥抱“状态管理”，而非死磕“时间管理”
   承认我们的精力是有限的，不同状态适合做不同的事。将你最宝贵的“高能专注态”严格地留给编程、设计等核心任务。

2. 划分“数字领地”，建立清晰边界

   • 创建“深度工作”场： 在需要专注的时段，将手机物理隔离（放在另一个房间，或开启飞行模式）。使用番茄钟，关闭电脑上所有不必要的通知。为你的大脑创造一个“无短视频”的纯净空间。
   • 设定“浅层娱乐”场： 允许自己在“低能碎片态”（如午休后、通勤路上）适度消费短视频，但必须设立明确的时间边界。例如，定一个15分钟的闹钟，闹钟一响，立即停止。

3. 主动“反向训练”你的专注力
   既然大脑的专注力可以被“去训练”，那它也可以被“再训练”。

   • 刻意练习“长阅读”： 每天或每周，强制自己进行30分钟以上不间断的、无干扰的阅读。内容可以是技术书籍、深度文章，甚至是高质量的源码。这是对抗碎片化最好的“健身”。
   • 尝试正念或冥想： 每天花5-10分钟，专注于自己的呼吸。这看似简单，却是科学证明能有效提升注意力和抑制控制能力的强大练习。

4. 改变消费模式，化被动为主动

   • 从“被动投喂”到“主动搜索”： 有意识地减少在“推荐”页的无尽滑动。将短视频平台当作一个“视频搜索引擎”来使用，带着明确的目的去查找你想看的内容。
   • 关注高质量、长内容的创作者： 关注那些能引发你深度思考的创作者，让算法为你推荐更有价值的内容。

小结：在“快娱乐”的时代，守护“慢思考”的价值

短视频作为一种媒介，本身并无原罪。它在娱乐、信息传播甚至某些知识普及方面，都有其独特的价值。

但作为程序员，我们必须清醒地认识到，我们赖以生存和发展的核心资产——专注力、逻辑推理能力和深度思考能力——是脆弱的，是需要被刻意守护的。

守护它，就是守护我们的职业未来。

希望我们都能在享受科技便利的同时，成为数字工具的“主人”，而非被算法俘虏的“奴隶”。从今天起，让我们重新审视“白天改Bug，晚上刷视频”的生活模式，为我们宝贵的大脑，留出更多“慢思考”的宝贵空间。

资料链接：https://doi.org/10.1037/bul0000498

你的Go技能，是否也卡在了“熟练”到“精通”的瓶颈期？

• 想写出更地道、更健壮的Go代码，却总在细节上踩坑？
• 渴望提升软件设计能力，驾驭复杂Go项目却缺乏章法？
• 想打造生产级的Go服务，却在工程化实践中屡屡受挫？

继《Go语言第一课》后，我的《Go语言进阶课》终于在极客时间与大家见面了！

我的全新极客时间专栏 《Tony Bai·Go语言进阶课》就是为这样的你量身打造！30+讲硬核内容，带你夯实语法认知，提升设计思维，锻造工程实践能力，更有实战项目串讲。

目标只有一个：助你完成从“Go熟练工”到“Go专家”的蜕变！ 现在就加入，让你的Go技能再上一个新台阶！

还在为“复制粘贴喂AI”而烦恼？我的新专栏 《AI原生开发工作流实战》 将带你：

• 告别低效，重塑开发范式
• 驾驭AI Agent(Claude Code)，实现工作流自动化
• 从“AI使用者”进化为规范驱动开发的“工作流指挥家”

扫描下方二维码，开启你的AI原生开发之旅。

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。如有需求，请扫描下方公众号二维码，与我私信联系。

本文永久链接 – https://tonybai.com/2025/11/22/the-2025-go-cryptography-state-of-the-union

大家好，我是Tony Bai。

2025 年 8 月，Go 官方密码学库核心维护者、Geomys 创始人 Filippo Valsorda 在 GopherCon US 上发表了备受瞩目的年度主题演讲 —— “The Go Cryptography State of the Union“。

这是一次年度技术汇报，也是一份关于 Go 语言如何应对未来十年安全挑战的战略蓝图。从抗量子计算的未雨绸缪，到 FIPS 合规的架构性重构，再到令人惊叹的“零漏洞”审计记录，Go 团队用行动证明了：最好的安全性，是让开发者无需感知、却时刻被守护的安全性。

在本文中，我们将深入解读这次演讲的核心内容，从后量子加密的技术细节到纯 Go FIPS 的实现突破，带你一窥 Go 语言构建未来安全防线的全景图。

后量子时代的第一道防线：ML-KEM

如果说量子计算是悬在现代密码学头顶的达摩克利斯之剑，那么 Go 团队已经提前为我们铸造了盾牌。

为什么是现在？”Record Now, Decrypt Later”

Filippo 开场便澄清了一个常见的误区：量子计算机可能还需要 5 到 50 年才能破解现有的非对称加密（如 RSA、ECDH），为什么我们现在就要着急？

答案在于 “Record Now, Decrypt Later”（现在窃听，以后解密） 的攻击模式。攻击者（或是某些国家级力量）可以现在捕获并存储加密流量，耐心等待数十年后量子计算机问世，再解密这些数据。对于长期敏感的信息（如外交电文、个人健康数据、商业机密），现在的连接已经不再安全了。

Go 的应对：ML-KEM 与混合加密

• 标准落地：Go 1.24 正式在标准库中引入了 crypto/mlkem 包，实现了 NIST 最终选定的后量子密钥交换标准 ML-KEM（即 Kyber）。
• 默认开启的混合保护：最令人兴奋的是，普通开发者无需修改一行代码。在 crypto/tls 中，Go 1.24+ 默认启用了 X25519 + ML-KEM-768 的混合密钥交换模式。
  • 混合的智慧：密码学界对新算法总是保持谨慎。ML-KEM 虽然基于格密码学（Lattices），但仍可能隐藏着未知的数学缺陷。Go 团队采用了“双保险”策略：将经典的 X25519 椭圆曲线算法与 ML-KEM 结合，将两者的结果进行哈希组合。
  • 安全性：除非攻击者同时拥有量子计算机（破解 X25519）和破解 ML-KEM 数学结构的天才数学家，否则你的连接坚不可摧。

为什么不急于“后量子签名”？

与密钥交换不同，Filippo 解释了为什么后量子数字签名的推进更加缓慢。因为伪造签名需要实时进行，无法通过“现在记录，以后攻击”来实现，因此紧迫性较低。更重要的是，后量子签名的大小通常高达数 KB（相比现在的几百字节），这对网络协议设计带来了巨大的挑战，需要更多时间来演进。

FIPS 140-3：一场“纯 Go”的合规革命

对于服务政府、金融或受监管行业的企业来说，FIPS 140 合规认证往往是强制性的。长期以来，Go 社区只能依赖 Go+BoringCrypto —— 一个基于 CGO 调用 Google 内部 C 语言库 BoringSSL 的方案。

这不仅破坏了 Go 引以为傲的“静态编译、无依赖”特性，还引入了 C 代码的内存安全风险。Filippo 甚至透露，Trail of Bits 审计中发现的唯一一个真正漏洞，正是出在 Go+BoringCrypto 中。

Go 1.24+ 的破局：原生 Go 模块

Go 团队做出了一个大胆的决定：用纯 Go 重新实现 FIPS 模块。

• 原生与透明：新的 FIPS 模块位于 crypto/internal/fips140/…。对于用户来说，它只是标准库的一部分。当开启 FIPS 模式时，标准库会自动路由到这些经过认证的代码路径，而 API 保持完全一致。
• 全平台制霸：得益于纯 Go 的跨平台特性，FIPS 支持不再局限于特定的 Linux 发行版。Filippo 自豪地展示了他在自家客厅搭建的测试实验室——从高端的 Ampere Altra ARM64 服务器，到女友的 Windows 笔记本，甚至是作为路由器的 EdgeRouter (MIPS/ARM)，全部通过了 FIPS 测试。
• 无需 CGO：这是最大的胜利。开发者终于可以既拥有 FIPS 合规性，又享受 Go 原生的交叉编译和内存安全。

安全记录：用测试堆出来的“零漏洞”

Go 密码学库最令人骄傲的或许不是新特性，而是其惊人的安全记录。

惊人的成绩单

• 零高危漏洞：自 2019 年以来，Go 密码学库未发生过任何严重（Ouch 级别）的安全漏洞。
• 零 Go 专属漏洞：自 2021 年以来，甚至没有出现过 Go 实现特有的中等严重漏洞（Oof 级别）。所有出现的漏洞几乎都是协议本身的设计缺陷。
• 审计背书：2025 年初，著名安全公司 Trail of Bits 对 Go 密码学库的基础设施进行了全面审计。结果令人欣慰：他们没有发现任何安全漏洞。

幕后功臣：疯狂的测试

这种安全记录不是运气，而是工程化的结果：

• 累积测试向量 (Accumulated Test Vectors)：如何测试一个算法在 0 到 200 字节长度的所有组合？这会产生数百万个测试用例。Go 团队使用了一种名为 “Accumulated” 的技巧：将算法在所有输入下的输出进行滚动哈希 (Rolling Hash)，最后只比对这一个哈希值。这使得在 CI 中运行海量测试成为可能。
• 汇编变异测试 (Assembly Mutation Testing)：密码学底层大量使用汇编。为了测试难以覆盖的分支（例如进位标志的处理），团队开发了一套工具，自动“变异”汇编代码。例如，将一个“带进位加法”指令强制替换为“普通加法”。如果测试套件在汇编代码被故意破坏后依然通过，说明测试覆盖不足。这种反向验证直接消灭了潜在的盲区。

细节中的魔鬼：更安全、更快的底层

除了大方向的演进，无数细节的优化构成了 Go 安全的基石。Filippo 分享了几个令人印象深刻的案例：

• RSA 的重生：crypto/rsa 包经历了彻底的重构。它不再使用通用的、性能较慢且难以防御侧信道攻击的 math/big 库，而是采用了全新的、常数时间 (Constant-time) 的底层实现。这不仅提升了性能，更从数学层面杜绝了计时攻击。同时，Go 果断移除了对小于 1024 位 RSA 密钥的支持，强制推动行业向更安全的标准迁移。
• AES-CTR 性能飞跃：通过一位社区成员 (Boris Nagaev) 的贡献，AES-CTR 模式的性能提升了 2 到 9 倍。
• 永不失败的随机数：crypto/rand.Read 现在的承诺是 “Never Fails”。
  • 在 Linux 上，它利用 vDSO 技术直接调用内核，大幅提升了获取随机数的性能。
  • 为了确保承诺，团队甚至重新编写了 seccomp 库，专门用来在测试中模拟 getrandom 系统调用失败的极端场景，确保回退逻辑（fallback）绝对可靠。

小结：不仅要做得好，还要让开发者用得轻松

Filippo Valsorda 的演讲向我们展示了 Go 语言在安全领域的宏大愿景：安全不应是开发者的负担，而应是语言赋予的基础设施。

无论是默认开启的后量子保护，还是透明、无感的 FIPS 合规，Go 团队都在践行一种极致的工程哲学——把复杂性留给自己，把简单留给用户。 他们不满足于仅仅提供“能用”的加密算法，而是致力于通过持续的测试、审计和架构演进，为整个生态系统构筑一道坚不可摧、且能抵御未来威胁的防线。

随着 Go 1.24 及后续版本的发布，每一位 Gopher 手中的工具箱，都已在不知不觉中完成了升级。当我们轻松地编写代码时，Go 的密码学库正在底层默默地为我们抵挡着来自现在和未来的风暴。

参考资料

• Filippo Valsorda: The 2025 Go Cryptography State of the Union
• Youtube Video: GopherCon 2025 – The Go Cryptography State of the Union
• Go 1.24 Release Notes
• Accumulated Test Vectors
• Assembly Mutation Testing

还在为“复制粘贴喂AI”而烦恼？我的新专栏 《AI原生开发工作流实战》 将带你：

• 告别低效，重塑开发范式
• 驾驭AI Agent(Claude Code)，实现工作流自动化
• 从“AI使用者”进化为规范驱动开发的“工作流指挥家”

扫描下方二维码，开启你的AI原生开发之旅。

你的Go技能，是否也卡在了“熟练”到“精通”的瓶颈期？

• 想写出更地道、更健壮的Go代码，却总在细节上踩坑？
• 渴望提升软件设计能力，驾驭复杂Go项目却缺乏章法？
• 想打造生产级的Go服务，却在工程化实践中屡屡受挫？

继《Go语言第一课》后，我的《Go语言进阶课》终于在极客时间与大家见面了！

我的全新极客时间专栏 《Tony Bai·Go语言进阶课》就是为这样的你量身打造！30+讲硬核内容，带你夯实语法认知，提升设计思维，锻造工程实践能力，更有实战项目串讲。

目标只有一个：助你完成从“Go熟练工”到“Go专家”的蜕变！ 现在就加入，让你的Go技能再上一个新台阶！

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。如有需求，请扫描下方公众号二维码，与我私信联系。