Cloudflare ने दावा किया कि उसने Cloudflare Workers पर Matrix इम्प्लीमेंट किया है, लेकिन वास्तव में ऐसा नहीं है

 (tech.lgbt)
1 पॉइंट द्वारा GN⁺ 2026-01-28 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Cloudflare ने घोषणा की कि उसने Matrix प्रोटोकॉल को Cloudflare Workers पर इम्प्लीमेंट किया है, लेकिन कोड में मुख्य सुविधाएँ गायब हैं
  • पूरे कोड में ‘TODO: Check authorisation’ जैसी अधूरी टिप्पणियाँ बड़ी संख्या में मौजूद हैं, और signature verification व authentication process अनुपस्थित हैं
  • state resolution algorithm को इम्प्लीमेंट किए बिना सीधे latest state को database में डाल दिया गया है, जिससे security vulnerability और compatibility issues पैदा हो सकते हैं
  • ब्लॉग पोस्ट प्रकाशित होने के बाद Cloudflare ने पोस्ट और README में बदलाव करते हुए ‘production use के लिए नहीं’ वाला disclaimer जोड़ दिया
  • डेवलपर कम्युनिटी में AI-generated code और भ्रामक technical claims को लेकर आलोचना फैल रही है, और Cloudflare की विश्वसनीयता पर सवाल उठ रहे हैं

Cloudflare के Matrix implementation दावे और कोड की जाँच

  • Cloudflare ने अपने ब्लॉग में घोषणा की कि उसने Matrix को Cloudflare Workers पर इम्प्लीमेंट किया है, लेकिन वास्तविक कोड मुख्य कार्य नहीं करता
    • कोड में ‘TODO: Validate PDU signature’, ‘TODO: Check authorization’ जैसी अधूरी टिप्पणियाँ छोड़ी गई हैं
    • Matrix server-to-server API के authentication rules को इम्प्लीमेंट नहीं किया गया, इसलिए forged data भी स्वीकार हो सकता है
  • Matrix का मुख्य state resolution algorithm छोड़ दिया गया है, और उसकी जगह केवल latest state को DB में insert करने का तरीका इस्तेमाल किया गया है
    • इससे room state mismatch और interoperability problems, साथ ही security vulnerabilities उत्पन्न हो सकती हैं

गलत technical claims और संशोधन इतिहास

  • Cloudflare ब्लॉग में लिखा गया था कि Tuwunel और उसके पूर्ववर्ती Postgres या Redis का उपयोग करते थे, लेकिन यह सही नहीं है
  • बाद में पोस्ट को संशोधित कर ‘Synapse’ से बदल दिया गया, और README में “production के लिए नहीं, केवल example prototype” जैसी पंक्ति भी जोड़ दी गई
    • GitHub commit(fd412f41f98c0f3f360f5c4034443ef80680de49) में ये बदलाव देखे जा सकते हैं
    • संशोधित संस्करण में Claude Code Opus 4.5 की मदद ली गई थी यह वाक्य भी शामिल है

कम्युनिटी की प्रतिक्रिया और आलोचना

  • Mastodon और Lobsters आदि पर AI-generated code और झूठे technical promotion को लेकर आलोचना फैल गई
    • “signature verification, hash और authentication हटा दिए गए”, “यह security नहीं बल्कि सिर्फ एक साधारण example स्तर है” जैसी कई टिप्पणियाँ सामने आईं
  • कुछ उपयोगकर्ताओं ने Cloudflare की प्रतिक्रिया को “छिपाने की कोशिश” बताया और commit history deletion तथा force push के रिकॉर्ड को ट्रैक किया
  • कम्युनिटी में व्यंग्यात्मक प्रतिक्रियाएँ भी जारी रहीं
    • “serverless architecture होने से लागत 0 तक scale करती है (क्योंकि यह मौजूद ही नहीं है)”
    • “Cloudflare ने संदेश भेजे बिना ही परफेक्ट security हासिल कर ली”

Jade की अतिरिक्त टिप्पणियाँ और प्रोजेक्ट परिचय

  • Jade ने अपने विकासाधीन Rust-आधारित Matrix homeserver Continuwuity का परिचय दिया
    • यह Raspberry Pi पर भी चल सकता है और centralized cloud infrastructure पर निर्भर नहीं करता
  • FOSDEM 2026 में वह Matrix vulnerability patching experience पर एक प्रस्तुति देने वाली हैं
    • सह-प्रस्तुतकर्ता @nex@fedi.transgender.ing हैं, और वे Matrix booth में भी शामिल होंगे

आगे की चर्चा और तकनीकी विवरणों पर प्रतिक्रियाएँ

  • कई डेवलपर्स ने Cloudflare कोड की logical errors (जैसे || की जगह ?? का उपयोग), ‘unknown error’ handling, और TODO टिप्पणियों की भरमार की ओर ध्यान दिलाया
  • कुछ लोगों ने कहा कि Cloudflare के संशोधन commit में “‘Remove PII’ का public commit के रूप में रह जाना अपने आप में विडंबनापूर्ण है”
  • पूरी कम्युनिटी में Cloudflare के AI-निर्भर development और तकनीकी विश्वसनीयता की कमी को लेकर चिंता व्यक्त की गई

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-01-28
Hacker News की राय

  • इंफ्रास्ट्रक्चर कंपनियों के technical blogs का मूल रूप से विशेषज्ञता दिखाना और विश्वास बनाना — ये दो मकसद होते हैं
    लेकिन जब बढ़ा-चढ़ाकर लिखना शुरू हो जाता है, तो दोनों ही खो जाते हैं
    “हमने Matrix implement किया” जैसी बात सच है या marketing exaggeration, यह अलग मुद्दा है, लेकिन पूरे industry में “हमने X किया” वाले कई लेख असल में “X का कुछ हिस्सा demo किया” के स्तर के निकलते हैं, और इससे थकान बढ़ रही है
    समाधान सरल है — जो बनाया है, उसे ठीक-ठीक लिखो। “हमने Workers पर सीमाओं वाला Matrix homeserver prototype चलाया” जैसा भी लिखें, तो भी भरोसा नहीं टूटेगा

    • निष्पक्ष रूप से कहें तो, Cloudflare के technical posts में आम तौर पर काफी insight होती है
    • लेकिन अगर इतना ईमानदारी से लिखा जाए, तो management नाराज़ हो जाएगा। क्योंकि इसका मतलब होगा यह मान लेना कि LLM अभी उस स्तर तक नहीं पहुँचा है जिसका वादा CEOs कर रहे हैं

  • मेरी समझ से, किसी ने ‘vibe coding’ से एक साथ लेख और repository बना दी और बिना review के उसे Cloudflare ब्लॉग पर डाल दिया
    लेखक शायद engineer नहीं था, और AI ने जब कहा “यह production-grade के लिए test हो चुका है”, तो उसने उसे सच मान लिया
    असली संकेत यह है कि code, Cloudflare की official repository में नहीं बल्कि एक personal GitHub पर है। Cloudflare को आगे public communication के review process को मजबूत करना चाहिए

    • अगर यह व्यक्ति Cloudflare का कर्मचारी है, तो चिंता होती है कि वह और क्या-क्या vibe coding कर रहा होगा। पहले की तरह “गलती से” आधा इंटरनेट बंद होने जैसी घटना फिर कब हो जाए, पता नहीं
    • मैंने सुना है कि Cloudflare के CEO और CTO सभी blog posts खुद review करते हैं
    • सवाल सिर्फ “क्या यह किया जा सकता है” का नहीं, बल्कि संगठन के incentive structure का है
      कहा जाता है कि Cloudflare में blog posts को engineers सहित सभी भूमिकाओं के लिए एक प्रमुख output माना जाता है। ऐसे ढांचे में quality से ज्यादा speed को प्राथमिकता मिलना आसान है
      आखिरकार इस घटना से भरोसा घटेगा, review प्रक्रिया बढ़ेगी, और publishing की रफ्तार धीमी होगी। संगठन के बढ़ने के साथ यह एक स्वाभाविक विकास प्रक्रिया है
      लेकिन हैरानी की बात यह है कि उन्होंने अभी तक लेख हटाया नहीं, बल्कि edits करके और ज्यादा confusion पैदा कर रहे हैं

  • मैं चाहता हूँ कि Cloudflare इस घटना पर एक root cause analysis (RCA) पोस्ट लिखे
    outage reports की तरह वह पढ़ने में दिलचस्प हो सकती है
    इस बार कौन-सा review process fail हुआ, और वे blog की credibility कैसे बहाल करेंगे — यह जानना रोचक होगा

  • मैंने Jade द्वारा बताए गए source code को देखा, और लगता है कि लेखक इस thread से वाकिफ हो गया है
    संबंधित commit link

    • नए commit में README से “production grade” वाला वाक्य हटाया गया, AI की मदद का उल्लेख जोड़ा गया, और ASCII diagram की alignment भी ठीक की गई
      commit link
      सच कहूँ तो blog और repository दोनों ही हटा देने चाहिए थे
    • लेकिन वह commit अब “Clean up code comments” में बदल दिया गया है, जिससे उसका उद्देश्य धुंधला हो गया है
      बदला हुआ commit
    • इस तरह के edits स्थिति को और खराब ही करते हैं

  • Cursor ने GPT-5.2 से शुरू से web browser बनाया — इस fake news का खंडन हुए कुछ ही दिन हुए थे, और फिर यह मामला सामने आ गया
    इस तरह की कहानियों के लिए मूल रूप से पहले संदेह करने वाला रवैया ज़रूरी है

    • मैंने खुद “Cursor के browser experiment” पर लेख लिखने के बाद, सिर्फ एक agent के साथ browser बनाकर देखा
      Show HN पोस्ट
      नतीजे में, Cursor ने सैकड़ों agents को कई हफ्तों तक चलाकर जो स्तर हासिल किया, उसके करीब की चीज़ मैंने 20,000 lines of code में बना ली
      repository link
    • समस्या यह है कि Cloudflare के blog या repository, कहीं भी यह नहीं लिखा था कि यह “vibe coding” है
      सिर्फ matrix-workers repository को देखकर भी बिगड़ा हुआ ASCII diagram एक संकेत था, और यह चौंकाने वाला है कि किसी ने इसकी review भी नहीं की
    • यह समझना मुश्किल है कि उन्होंने यह जाँचे बिना लेख कैसे प्रकाशित कर दिया कि functionality सच में काम भी करती है या नहीं
    • आजकल “AI” से जुड़े ज़्यादातर लोग ठग या शेखीबाज़ जैसे लगते हैं। अब तक मुझे कोई अपवाद नहीं दिखा
    • बहुत से लोग इस “technology” में जरूरत से ज्यादा निवेश कर चुके हैं, इसलिए कंपनियों की घोषणाओं पर आँख बंद करके भरोसा न करने वाली hacker ethics तक वापस पहुँचने में समय लगेगा

  • मूल blog के शीर्ष पर “यह proof of concept है” जैसी बात स्पष्ट करने वाला नोट जोड़ दिया गया था, लेकिन नीचे अब भी
    “हमारी team असली encrypted communication को Matrix on Workers से संभाल रही है” जैसी पंक्ति बनी हुई थी
    इससे भ्रम होता है कि आखिर सही क्या है

    • “हमारी team Matrix on Workers इस्तेमाल कर रही है” — इस दावे पर विश्वास करना मुश्किल है। repository personal GitHub पर है और implementation भी अधूरा है
    • 11:45 पर फिर edit किया गया, और अब इसे “हम इस implementation के साथ experiment कर रहे हैं, और interested contributors का स्वागत है” में बदल दिया गया है
      archive version
    • अगर वे सच में इसे अंदरूनी तौर पर इस्तेमाल कर रहे हैं, तो यह हैरान करने वाली बात है, क्योंकि इसका मतलब होगा कि वे अधूरा और जोखिमभरा code अपने internal network में चला रहे हैं

  • किसी बड़े vendor का ऐसा code जारी करना जो वास्तव में काम नहीं करता, और फिर उससे product बेचने की कोशिश करना चिंताजनक है
    जब जटिल engineering को बहुत आसान दिखाया जाता है, तो यह समझाना मुश्किल हो जाता है कि safe software बनाने में समय लगता है
    इस तरह का व्यवहार platform पर विश्वास को नुकसान पहुँचाता है

    • समस्या यह है कि industry पहले ही बहुत लंबे समय से “race to the bottom” में फँसी हुई है
      AI coding ने बस उसी आसान भ्रम का फायदा उठाया है, और आखिरकार लालची market structure ने ही ऐसी स्थिति पैदा की है

  • Cloudflare मूल लेख को लगातार edit कर रहा है, इसलिए original देखने के लिए यह archive link उपयोगी है

    • Mastodon पर किसी ने 🤮 emoji के साथ quote किया, तो blog से LLM जैसी sentence pattern — “not just X; Y” — चुपचाप हटा दी गई

  • यह घटना Cloudflare और लेखक, दोनों के लिए शर्मनाक मामला है
    बिना review के लेख प्रकाशित होना अविश्वसनीय है
    हाल के समय में Cloudflare में बार-बार गलतियाँ हो रही हैं, इसलिए लगता है कि वह अपने शिखर से आगे बढ़कर धीरे-धीरे गिरावट की ओर है

    • मन में सवाल आता है, “आजकल Cloudflare में इतनी विफलताएँ क्यों हो रही हैं?” शायद हाल की नई फैशनेबल technologies इसका एक कारण हों

  • जिस account से यह blog Hacker News पर पोस्ट किया गया, वह एक throwaway account था, जो इस बात का संकेत है कि लेखक खुद अपने code और दावों को लेकर आश्वस्त नहीं था
    HN link

    • ऊपर से उसने अपनी ही पोस्ट पर खुद comment करके सवाल पूछने का नाटक भी किया