Cloudflare อ้างว่าได้นำ Matrix ไปใช้งานบน Cloudflare Workers แต่ความจริงไม่ใช่เช่นนั้น

 (tech.lgbt)
1 คะแนน โดย GN⁺ 2026-01-28 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Cloudflare ประกาศว่าได้ นำโปรโตคอล Matrix ไปใช้งานบน Cloudflare Workers แต่ในโค้ดยังขาดความสามารถสำคัญ
  • ตลอดทั้งโค้ดมีคอมเมนต์ที่ยังทำไม่เสร็จจำนวนมาก เช่น TODO: Check authorisation และยัง ไม่มีการตรวจสอบลายเซ็นและขั้นตอนยืนยันตัวตน
  • ไม่มีการใช้งาน อัลกอริทึม state resolution แต่กลับนำสถานะล่าสุดใส่ลงฐานข้อมูลโดยตรง ทำให้มีโอกาสเกิด ช่องโหว่ด้านความปลอดภัยและปัญหาความเข้ากันได้
  • หลังเผยแพร่บล็อกโพสต์ Cloudflare ได้ แก้ไขบทความและ README พร้อมเพิ่มข้อความปฏิเสธความรับผิดว่า ‘ไม่ใช่สำหรับใช้งานจริงในโปรดักชัน’
  • ในชุมชนนักพัฒนาเริ่มมีเสียงวิจารณ์เกี่ยวกับ โค้ดที่สร้างด้วย AI และการอ้างอิงทางเทคนิคที่ไม่ตรงความจริง พร้อมตั้งคำถามต่อความน่าเชื่อถือของ Cloudflare

การอ้างว่าใช้งาน Matrix ของ Cloudflare และการตรวจสอบโค้ด

  • Cloudflare ประกาศในบล็อกของบริษัทว่าได้ นำ Matrix มารันบน Cloudflare Workers แต่โค้ดจริงกลับไม่สามารถทำงานสำคัญหลัก ๆ ได้
    • ในโค้ดยังคงมีคอมเมนต์ที่ทำไม่เสร็จอย่าง TODO: Validate PDU signature, TODO: Check authorization หลงเหลืออยู่
    • ไม่มีการทำตาม กฎการยืนยันตัวตนของ API ระหว่างเซิร์ฟเวอร์ของ Matrix ทำให้แม้แต่ข้อมูลปลอมแปลงก็อาจถูกยอมรับได้
  • มีการละเว้น อัลกอริทึม state resolution ซึ่งเป็นหัวใจสำคัญของ Matrix และใช้วิธีเพียงแค่นำสถานะล่าสุดใส่ลง DB
    • สิ่งนี้อาจทำให้เกิด ความไม่สอดคล้องของสถานะห้อง ปัญหาการทำงานร่วมกันระหว่างระบบ และ ช่องโหว่ด้านความปลอดภัย

การอ้างอิงทางเทคนิคที่ผิดพลาดและประวัติการแก้ไข

  • ในบล็อกของ Cloudflare มีการระบุว่า Tuwunel และโครงการก่อนหน้านั้นใช้ Postgres หรือ Redis แต่ข้อความนี้ไม่เป็นความจริง
  • ต่อมาบทความถูกแก้ไขเป็น ‘Synapse’ และใน README ก็เพิ่มข้อความว่า “เป็นเพียงต้นแบบตัวอย่างที่ไม่ใช่สำหรับโปรดักชัน”
    • การแก้ไขเหล่านี้ยืนยันได้จาก GitHub commit (fd412f41f98c0f3f360f5c4034443ef80680de49)
    • ในฉบับที่แก้ไขยังมีข้อความว่า ได้รับความช่วยเหลือจาก Claude Code Opus 4.5

ปฏิกิริยาและเสียงวิจารณ์จากชุมชน

  • บน Mastodon และ Lobsters เป็นต้น มีเสียงวิจารณ์เพิ่มขึ้นเกี่ยวกับ โค้ดที่สร้างด้วย AI และการประชาสัมพันธ์ทางเทคนิคที่ไม่ตรงความจริง
    • มีข้อสังเกตจำนวนมาก เช่น “ลบการตรวจสอบลายเซ็น แฮช และการยืนยันตัวตนออกไป”, “ไม่ใช่งานด้านความปลอดภัย แต่เป็นแค่ตัวอย่างง่าย ๆ”
  • ผู้ใช้บางรายมองว่าการตอบสนองของ Cloudflare เป็น “ความพยายามปกปิด” และติดตามประวัติการลบ commit รวมถึงการ force push
  • ภายในชุมชนยังมี ปฏิกิริยาเชิงเสียดสี ต่อเนื่อง
    • “เป็นโครงสร้าง serverless เลยสเกลค่าใช้จ่ายลงไปถึง 0 ได้ (เพราะมันไม่มีอยู่จริง)”
    • “Cloudflare บรรลุความปลอดภัยสมบูรณ์แบบด้วยการไม่ส่งข้อความเลย”

คำกล่าวเพิ่มเติมของ Jade และการแนะนำโครงการ

  • Jade แนะนำ Continuwuity โฮมเซิร์ฟเวอร์ Matrix ที่พัฒนาด้วย Rust ของตนเอง
    • สามารถรันบน Raspberry Pi ได้ และ ไม่ต้องพึ่งโครงสร้างพื้นฐานคลาวด์แบบรวมศูนย์
  • มีแผนจะบรรยายในงาน FOSDEM 2026 ในหัวข้อ ประสบการณ์การแพตช์ช่องโหว่ของ Matrix
    • ผู้บรรยายร่วมคือ @nex@fedi.transgender.ing และมีกำหนดเข้าร่วมที่บูท Matrix ด้วย

การถกเถียงต่อเนื่องและปฏิกิริยาทางเทคนิคเชิงลึก

  • นักพัฒนาหลายคนชี้ให้เห็นถึง ข้อผิดพลาดเชิงตรรกะในโค้ดของ Cloudflare (เช่น ใช้ || แทน ??), วิธีจัดการ unknown error และการใส่คอมเมนต์ TODO ไว้มากเกินไป
  • บางคนระบุว่า commit แก้ไขของ Cloudflare นั้น “น่าขันตรงที่ Remove PII ยังถูกทิ้งไว้เป็น commit สาธารณะ
  • โดยรวมแล้วชุมชนแสดงความกังวลต่อ การพึ่งพา AI ในการพัฒนาและความน่าเชื่อถือทางเทคนิคที่ไม่เพียงพอ ของ Cloudflare

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2026-01-28
ความเห็นจาก Hacker News

  • เดิมทีบล็อกเทคนิคของบริษัทโครงสร้างพื้นฐานมีอยู่เพื่อสองจุดประสงค์คือ อวดความเชี่ยวชาญ และ สร้างความน่าเชื่อถือ
    แต่พอเริ่มมีการใช้ถ้อยคำเกินจริง ก็จะเสียทั้งสองอย่างไป
    จะเป็นความจริงหรือเป็นการพูดเชิงการตลาดก็ไม่รู้กับคำว่า “เราได้ implement Matrix แล้ว” แต่ทั้งวงการตอนนี้มีบทความแนว “เราทำ X ได้แล้ว” ที่จริง ๆ แล้วมีระดับแค่ “เดโมบางส่วนของ X” อยู่บ่อยจนคนเริ่มเอือม
    วิธีแก้นั้นง่ายมาก — เขียนให้ชัดเจนว่าได้สร้างอะไรไปบ้าง แค่เขียนว่า “เราได้นำต้นแบบ Matrix homeserver ที่มีข้อจำกัดมารันบน Workers” ก็ไม่ได้ทำให้เสียความน่าเชื่อถือ

    • พูดอย่างเป็นธรรม โพสต์เชิงเทคนิคของ Cloudflare โดยรวมมักมี เนื้อหาที่ลุ่มลึกและน่าสนใจ
    • แต่ถ้าเขียนตรงไปตรงมาแบบนั้น ผู้บริหารคงไม่พอใจ เพราะมันเท่ากับยอมรับว่า LLM ยังไปไม่ถึงระดับที่ CEO ทั้งหลายเคยให้คำมั่นไว้

  • การตีความของฉันคือ มีใครบางคนใช้ ‘vibe coding’ ทำทั้งบทความและรีโพพร้อมกัน แล้วเอาขึ้นบล็อก Cloudflare โดยไม่มีการรีวิว
    ผู้เขียนไม่น่าใช่วิศวกร และดูเหมือนจะเชื่อ AI ตรง ๆ ตอนที่มันบอกว่า “นี่ผ่านการทดสอบระดับโปรดักชันแล้ว”
    เบาะแสสำคัญคือโค้ดไม่ได้อยู่ในรีโพทางการของ Cloudflare แต่อยู่ใน GitHub ส่วนตัว Cloudflare ควรเข้มงวดกับกระบวนการตรวจทานการสื่อสารสาธารณะมากกว่านี้

    • ถ้าคนนี้เป็นพนักงาน Cloudflare ก็ชวนให้กังวลว่าเขากำลัง vibe coding อะไรอยู่อีกบ้าง ไม่รู้ว่าเมื่อไรจะเกิดเหตุ “พลาด” จนอินเทอร์เน็ตครึ่งหนึ่งล่มอีกแบบสมัยก่อน
    • เท่าที่ได้ยินมา CEO และ CTO ของ Cloudflare ตรวจทุกโพสต์ในบล็อกด้วยตัวเอง
    • ปัญหาไม่ใช่แค่ “ทำได้ไหม” แต่คือ โครงสร้างแรงจูงใจ ภายในองค์กร
      ว่ากันว่า Cloudflare มองว่าบล็อกโพสต์เป็นผลงานหลักของทุกตำแหน่งงานรวมถึงวิศวกรด้วย ในโครงสร้างแบบนี้ความเร็วมักมาก่อนคุณภาพ
      สุดท้ายเหตุการณ์นี้จะทำให้ความเชื่อถือลดลง ขั้นตอนรีวิวเพิ่มขึ้น และความเร็วในการเผยแพร่ช้าลง ซึ่งเป็นวิวัฒนาการตามธรรมชาติเมื่อองค์กรเติบโต
      แต่ที่น่าแปลกคือจนถึงตอนนี้ก็ยังไม่ลบบทความออก แถมกลับทำให้สับสนยิ่งขึ้นด้วยการแก้ไขเพิ่ม

  • อยากให้ Cloudflare ออกโพสต์ วิเคราะห์สาเหตุรากเหง้า (RCA) สำหรับเหตุการณ์นี้
    น่าจะอ่านสนุกไม่ต่างจากรายงานเหตุขัดข้อง
    อยากรู้ว่าคราวนี้กระบวนการตรวจทานส่วนไหนล้มเหลว และจะกู้ความน่าเชื่อถือของบล็อกกลับมาอย่างไร

  • ฉันไปตามดูซอร์สโค้ดที่ Jade พูดถึงมาแล้ว และดูเหมือนผู้เขียนจะรับรู้ถึงเธรดนี้แล้ว
    ลิงก์คอมมิตที่เกี่ยวข้อง

    • ในคอมมิตใหม่ได้ลบคำว่า “production grade” ออกจาก README, ระบุชัดว่าได้รับ ความช่วยเหลือจาก AI และแก้การจัดแนวของ ASCII diagram ด้วย
      ลิงก์คอมมิต
      พูดตามตรง ทั้งบล็อกและรีโพควรถูกลบไปเลย
    • แต่ตอนนี้คอมมิตนั้นกลับถูกแก้เป็น “Clean up code comments” ทำให้เจตนาของมันพร่าเลือน
      คอมมิตที่แก้แล้ว
    • การแก้แบบนี้ยิ่งทำให้สถานการณ์แย่ลงกว่าเดิม

  • เพิ่งผ่านไปไม่กี่วันหลังมีการหักล้างข่าวปลอมที่ว่า Cursor สร้างเว็บเบราว์เซอร์ขึ้นมาใหม่ทั้งหมดด้วย GPT-5.2 แล้วก็มาเจอเรื่องนี้อีก
    เรื่องทำนองนี้โดยพื้นฐานแล้วต้องมี ท่าทีแบบตั้งข้อสงสัยไว้ก่อน

    • หลังจากฉันเขียนบทความเรื่อง “การทดลองเบราว์เซอร์ของ Cursor” เอง ก็ลองสร้างเบราว์เซอร์ด้วยเอเจนต์เพียงตัวเดียวดู
      โพสต์ Show HN
      สุดท้ายก็ได้ของที่ใกล้เคียงกับสิ่งที่ Cursor ใช้เอเจนต์หลายร้อยตัวรันกันหลายสัปดาห์สร้างขึ้นมา โดยใช้โค้ดแค่ 20,000 บรรทัด
      ลิงก์รีโพ
    • ปัญหาคือทั้งในบล็อกและในรีโพของ Cloudflare ไม่มีที่ไหนระบุเลยว่านี่คือ “vibe coding”
      แค่ดู รีโพ matrix-workers ก็เห็น ASCII diagram ที่จัดไม่ตรงเป็นเบาะแสแล้ว น่าแปลกใจที่สิ่งแบบนี้ผ่านการตรวจทานมาได้
    • เข้าใจได้ยากมากที่โพสต์บทความออกไปทั้งที่ยังไม่ได้ตรวจสอบด้วยซ้ำว่าฟีเจอร์มันทำงานจริงหรือไม่
    • ทุกวันนี้คนที่เกี่ยวข้องกับ “AI” ส่วนใหญ่ดูเหมือน นักต้มตุ๋น หรือ พวกพูดโม้ ยังไม่ค่อยเห็นข้อยกเว้นเลย
    • หลายคนลงเงินกับ “เทคโนโลยี” นี้มากเกินไปแล้ว เลยคงต้องใช้เวลาอีกพักใหญ่กว่าจะกลับไปสู่ จริยธรรมแบบแฮ็กเกอร์ ที่ไม่เชื่อคำประกาศจากบริษัทโดยอัตโนมัติ

  • ที่ด้านบนของบล็อกต้นฉบับมีการเพิ่มข้อความว่า “ชี้แจงชัดเจนว่าเป็น proof of concept” แต่ด้านล่างยังคงมีประโยคว่า
    “ทีมของเรากำลังจัดการการสื่อสารเข้ารหัสจริงด้วย Matrix on Workers”
    เลยยิ่งสับสนว่าอันไหนกันแน่ที่ถูกต้อง

    • คำว่า “ทีมของเราใช้งาน Matrix on Workers อยู่” ฟังดูเชื่อได้ยาก รีโพอยู่บน GitHub ส่วนตัวและตัว implementation ก็ยังไม่สมบูรณ์
    • มีการแก้อีกครั้งตอน 11:45 และตอนนี้เปลี่ยนเป็น “เรากำลังทดลองกับ implementation นี้ และยินดีต้อนรับผู้ร่วมพัฒนาที่สนใจ”
      เวอร์ชันใน archive
    • ถ้าใช้งานภายในจริง ก็เท่ากับกำลังรัน โค้ดที่ยังไม่สมบูรณ์และเสี่ยงอันตราย อยู่ในเครือข่ายภายในบริษัท ซึ่งก็น่าตกใจมาก

  • น่ากังวลที่ผู้ขายรายใหญ่เอาโค้ดที่ใช้งานจริงไม่ได้ออกมา แล้วพยายามขายสินค้า
    เมื่อทำให้งานวิศวกรรมที่ซับซ้อนดูง่าย ก็ยิ่งอธิบายได้ยากว่าการสร้างซอฟต์แวร์ที่ปลอดภัยต้องใช้เวลา
    พฤติกรรมแบบนี้ทำลาย ความเชื่อมั่นต่อแพลตฟอร์ม

    • ปัญหาคือทั้งวงการอยู่กับ “การแข่งขันลงสู่จุดต่ำสุด” มานานเกินไปแล้ว
      AI coding แค่อาศัยภาพลวงตาแบบลดทอนนั้น และสุดท้ายก็เป็น โครงสร้างตลาดที่ขับเคลื่อนด้วยความโลภ ที่ก่อให้เกิดเรื่องแบบนี้

  • Cloudflare ยังคงแก้ไขต้นฉบับอยู่เรื่อย ๆ ดังนั้นถ้าจะดูเวอร์ชันดั้งเดิม ลิงก์ archive นี้ มีประโยชน์มาก

    • หลังมีคนอ้างถึงมันบน Mastodon พร้อมอีโมจิ 🤮 ทางบล็อกก็แอบลบสำนวนแบบ ประโยคสไตล์ LLM อย่าง “not just X; Y” ออกไปเงียบ ๆ

  • เรื่องนี้เป็น เหตุการณ์น่าอับอาย ทั้งต่อ Cloudflare และผู้เขียน
    ไม่น่าเชื่อเลยว่าบทความนี้ถูกเผยแพร่โดยไม่มีการตรวจทาน
    ช่วงหลัง Cloudflare พลาดบ่อยขึ้น จนดูเหมือนผ่านจุดพีคไปแล้วและกำลังอยู่ในช่วง ถดถอยลงทีละน้อย

    • ทำให้อดสงสัยไม่ได้ว่า “ทำไมช่วงนี้ Cloudflare ถึงล้มเหลวบ่อยจัง” อาจเป็นเพราะ เทคโนโลยีตามกระแสใหม่ ๆ ในช่วงหลังด้วยก็ได้

  • บัญชีที่นำบล็อกไปโพสต์บน Hacker News เป็น บัญชีชั่วคราว (throwaway) ซึ่งบ่งชี้ว่าผู้เขียนเองก็ไม่ได้มั่นใจกับโค้ดและคำอ้างของตัวเอง
    ลิงก์ HN

    • แถมยังมาแกล้งคอมเมนต์ใต้โพสต์ตัวเอง ทำเหมือนเป็นคนอื่นมาถามคำถามอีกด้วย