本文永久链接 – https://tonybai.com/2025/07/21/go-crypto-101

大家好，我是Tony Bai。

在我们的日常开发中，密码学（Cryptography）似乎是一个遥远又令人敬畏的“禁区”。我们遵循着“不要自己发明轮子”的金科玉律，熟练地调用着各种加密库，但内心深处，它对我们而言可能依然是一个“黑盒”。

• 为什么现代加密推荐 AES-GCM，而不是简单的 AES + HMAC？
• HTTPS 握手时，那神奇的密钥交换究竟是如何在不安全的网络上发生的？
• 同样是哈希，为什么存密码要用 bcrypt，而校验文件却用 SHA-256？
• Go 标准库 crypto 中那些设计精良的接口，背后蕴含着怎样的安全哲学？

这些“为什么”的背后，隐藏着从一个“能用”的开发者到“精通”的工程师之间的关键差距。如果你也曾对这些问题感到好奇，那么，这个新微专栏就是为你准备的。我将启动一个全新的微专栏——《Go密码学101通关实战》。

这不仅仅是一个“How-to”教程。我们将以密码学经典问题为导向，以Go语言强大且设计精良的标准库 crypto 及扩展库 golang.org/x/crypto 为实践武器，开启一段为期 7 篇文章的探索之旅。

我们的目标，是系统性地、一层层地揭开现代密码学工程的神秘面纱，让你不仅知其然，更知其所以然。

我们的 7 步通关地图

这是一个精心设计的、从基础构件到高级应用的完整学习路径：

1. 第一站：万物之始 (XOR)
   我们将从最简单的位运算出发，窥探加密与解密的本质，理解“一次性密码本”的理论完美与实践缺陷。

2. 第二站：信任基石 (哈希与 HMAC)
   学习如何为数据打上不可伪造的“数字指纹”，同时保证其完整性与真实性。

3. 第三站：对称加密核心 (AES)
   深入当今应用最广泛的对称加密标准，并掌握其多种工作模式（如 CBC、CTR）的利弊与选择。

4. 第四站：密钥交换魔法 (RSA & ECDH)
   解开“鸡生蛋”的死循环，探索如何在公开信道上，凭空协商出一个共享的秘密。

5. 第五站：现代加密黄金标准 (AES-GCM)
   拥抱认证加密（AEAD），学习如何一步到位地同时解决保密性、完整性与真实性三大难题。

6. 第六站：验明正身 (数字签名)
   掌握数字世界的“亲笔签名”，为你的数据和身份赋予不可否认的法律效力。

7. 终极实战：安全密码存储 (bcrypt)
   将所学融会贯通，解决日常开发中最常见的安全痛点——如何正确地存储用户密码，抵御暴力破解。

每篇文章都将包含可直接运行的 Go 代码示例和详尽的说明。在这个专栏的结尾，你将有能力充满信心地为你的应用设计和实现一套完整的、符合现代标准的安全方案。

旅程，现在开始。欢迎订阅关注，让我们一起出发！

第一篇《【Go密码学101】01 启蒙：XOR、加密的本质及其在现代密码学中的不朽地位》，已发布，欢迎订阅阅读。

你的Go技能，是否也卡在了“熟练”到“精通”的瓶颈期？

• 想写出更地道、更健壮的Go代码，却总在细节上踩坑？
• 渴望提升软件设计能力，驾驭复杂Go项目却缺乏章法？
• 想打造生产级的Go服务，却在工程化实践中屡屡受挫？

继《Go语言第一课》后，我的《Go语言进阶课》终于在极客时间与大家见面了！

我的全新极客时间专栏 《Tony Bai·Go语言进阶课》就是为这样的你量身打造！30+讲硬核内容，带你夯实语法认知，提升设计思维，锻造工程实践能力，更有实战项目串讲。

目标只有一个：助你完成从“Go熟练工”到“Go专家”的蜕变！ 现在就加入，让你的Go技能再上一个新台阶！

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。如有需求，请扫描下方公众号二维码，与我私信联系。

本文永久链接 – https://tonybai.com/2025/07/20/mitchell-hashimoto-agentic-engineering

大家好，我是Tony Bai。

在云计算Infra和云原生工程领域，Mitchell Hashimoto 是一个如雷贯耳的名字。作为 HashiCorp 的创始人，他一手打造了 Terraform、Vagrant、Consul 等一系列定义了现代 DevOps 和基础设施即代码（IaC）的工具。如今，这位大师级程序员正在开发他的新项目——一个用小众语言 Zig 编写的高性能终端模拟器 Ghostty。

最令人关注的是，在开发这样一个严肃、底层的系统软件时，Mitchell 正深度使用 AI Agent 来辅助编程。这并非简单的 Web 应用开发，而是对 AI 赋能开发在“硬核”场景下的终极考验。

最近，我有幸读到一篇对 Mitchell 的深度访谈，其中详细阐述了他的 Agentic Engineering 实战心法。这些经验并非空谈理论，而是充满了可以直接应用的、来自一线的真知灼见。今天，我想把这些宝贵的“干货”分享给你。

核心哲学：“我是架构师，AI 是初级工程师”

当被问及如何使用 AI 时，Mitchell 提出的核心理念，足以给当下狂热的“AI 全自动编程”思潮泼上一盆冷水：

“我感觉自己更像是软件项目的架构师。我仍然会构思代码的结构、应用的数据流、状态的存放位置等。我将这些指导信息提供给 AI 工具……我发现这能带来最大的成功。”

他从不直接向 AI 抛出一个模糊的问题，比如“修复这个 Bug”。相反，他会在脑中构思好解决方案的“形状”（Shape），然后将 AI 视为一个初级工程师来分配任务。

他用了一个绝妙的比喻：给 AI 派任务，就像带一个初级工程师，你需要提供清晰的范围和明确的“护栏”（guardrails），就像给保龄球道装上保险杠，确保球能击中目标。

这种“人机协作”的模式，并非对 AI 的不信任，而是一种深刻的工程智慧：将开发者的精力从“如何实现”的繁琐细节中解放出来，聚焦于“应该怎样实现”的顶层设计。

AI 的“甜点”与“禁区”：知其长，避其短

要成为 AI 的“架构师”，首先要清晰地认知 AI 这个“初级工程师”的能力边界。Mitchell 在访谈中分享了他眼中 AI 的“甜点区”与“禁区”。

AI 的“甜点”（可以大胆授权）

1. 代码重构：提炼函数、重命名、调整代码结构等机械性工作。Mitchell 的评价是：“我几乎不用给任何修改意见，它总是做得很完美。”

2. UI 复刻：这是一个杀手级应用。他曾直接给 AI 一张 Zed 编辑器命令面板的截图，让它用 Swift UI 复刻出来。Ghostty 的这个功能，其视图部分 90% 以上都是 AI 直接从截图生成的。

3. 注释维护（一个反直觉的惊喜）：在传统观念里，“好的代码应自解释，无需过多注释”。但 Mitchell 的做法恰恰相反，他推崇重度注释：“我做每件事都做两遍：一次用代码，一次用英语。如果注释和代码不匹配，那说明有一方是错的。” 在 AI 时代，这种看似“冗余”的习惯发挥出了惊人的价值：

   • 提供上下文：丰富的注释是 AI Agent 理解代码意图的最佳养料。
   • 成为“校验和”：AI 能通过对比代码和注释的不一致，发现潜在的 bug 或过时的文档。
   • 跨文件洞察：最令人惊叹的是，AI 能在一个文件的修改后，发现另一个完全不相干的文件里，有一行相关的注释变得不准确了——这是人类代码审查时极易忽略的盲点。

   在 Mitchell 的工作流中，注释不再仅仅是文档，它升级成为了人与 AI 高效协作的“接口协议”。

AI 的“禁区”（需要人工接管）

1. 高层架构设计：AI 无法进行有远见的顶层设计。
2. 复杂的、定制化的高性能数据结构：AI 不理解性能约束。Mitchell 举了 Ghostty 的例子，为了极致的性能和缓存亲和性，他们设计了基于虚拟内存页和 16 位偏移指针的复杂数据结构。“没有任何一个 LLM 能理解这里面发生了什么”。
3. 小众语言（如 Zig）的熟练编写：由于训练数据不足，AI 编写 Zig 代码时举步维艰。他的变通方法是：让 AI 用它擅长的语言（如 C 或 Rust）生成逻辑，然后自己手动移植到 Zig。

Mitchell 的实战工作流：一套大师级的“组合拳”

除了哲学思想，Mitchell 还分享了一系列具体、可操作的战术，堪称一套大师级的“组合拳”。

• 并行竞赛：为同一个任务，在多个代码库副本上（ghosty, ghosty2, ghosty3…）同时运行不同的 AI 模型（Claude, Gemini 等），然后选择做得最好的那个。他开玩笑说：“你可以让它们‘战斗至死’，这是对机器才能做的事。”

• “Jiu-Jitsu 快照”：他使用 Jiu-Jitsu（一个现代化的 Git 替代品）的版本快照功能。当 AI 走错路时，他会直接回滚到上一个状态，然后给出新的、更精确的指令，而不是让 AI “撤销”或“重试”，这样更干净、更可控。

• 人机并行工作：在 AI “思考”时，他从不干等。他会利用这段时间去做更需要人类智慧的工作，比如对上一个版本进行 QA 测试，或者观看 WWDC 视频学习新技术。这实现了人机效率的最大化。

• “复制-粘贴式”重构法：这是一个他坚持了十多年的习惯，在 AI 时代变得尤为强大。重构时，他会先复制旧的实现，在新副本上进行修改，让新旧两版代码在项目中并存，直到新的版本完全就绪。这样做能为 AI 提供极其清晰的“before”和“after”上下文，让 AI 更准确地理解重构的意图和模式。

结论：重新定义“高效”，而非放弃思考

听完 Mitchell 的分享，我最大的感触是：Agentic Engineering 不是为了“偷懒”，而是为了重新定义“高效”。

它将开发者从繁琐、重复的劳动中解放出来，让我们能将宝贵的精力聚焦于架构设计、性能调优、代码审查这些真正体现工程师价值的创造性工作上。它不是要替代我们，而是要成为放大我们能力的杠杆。

最后，我想用 Mitchell 的一句话来结尾，以此回应那些对 AI 效果感到失望的人：

“你用过什么新工具是让你立刻就变快的吗？”

无论是学习一门新语言，还是切换到一个新的版本控制系统，我们总要经历一段学习和适应的阵痛期。AI 也不例外。

我们需要学习的，是如何成为一名优秀的“架构师”，去引导和驾驭我们手下这位不知疲倦、潜力无限的“初级工程师”。这，或许就是 AI 时代对我们所有开发者提出的新要求。

原视频链接：https://www.youtube.com/watch?v=XyQ4ZTS5dGw

你的Go技能，是否也卡在了“熟练”到“精通”的瓶颈期？

• 想写出更地道、更健壮的Go代码，却总在细节上踩坑？
• 渴望提升软件设计能力，驾驭复杂Go项目却缺乏章法？
• 想打造生产级的Go服务，却在工程化实践中屡屡受挫？

继《Go语言第一课》后，我的《Go语言进阶课》终于在极客时间与大家见面了！

我的全新极客时间专栏 《Tony Bai·Go语言进阶课》就是为这样的你量身打造！30+讲硬核内容，带你夯实语法认知，提升设计思维，锻造工程实践能力，更有实战项目串讲。

目标只有一个：助你完成从“Go熟练工”到“Go专家”的蜕变！ 现在就加入，让你的Go技能再上一个新台阶！

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。如有需求，请扫描下方公众号二维码，与我私信联系。