代码之父:程序员鱼皮全网臭闻大赏

——一个"写了9年代码"的营销号是如何把自己活成反面教材的
2026-02-25
"他赚钱靠的不是技术,而是把自己的无能包装成内容。"

一、人物简介:到底是程序员还是主播?

程序员鱼皮,B站82万粉丝UP主,自称"前腾讯全栈工程师","写了9年代码"。目前经营着一个叫 codefather.cn(代码之父)的编程导航网站,一个叫"面试鸭"的刷题网站,以及一个付费知识星球。

注意他的B站简介:"前腾讯开发"——为什么是前?因为腾讯已经不要他了。至于为什么不要他,看完本文你就明白了。

他的推特简介更精彩:"项目狂魔,10+上线产品"——互联网黑话翻译:10→十→💩,所以应该读作"💩+上线产品"。懂的都懂。

二、小红书"后门"事件:9年代码白写了

事件经过

2025年6月18日,有网友发现小红书安卓客户端的一个隐藏调试入口:在设置页面连续点击标题6次,输入"xhsdev"即可进入开发者模式。这跟安卓手机连点版本号进开发者选项是一个原理——业内常见的调试工具。

然而鱼皮看到后如获至宝,先是谨慎地等小红书修复完毕(毕竟不能得罪金主爸爸),然后火速发布视频:"突发,小红书开发者后门被破解!机密严重泄露!"

整个安全圈笑了。

被打脸

B站安全博主"边亮"(一位真正拿过苹果、微软0day致谢的安全研究员)随后发视频:"开发者模式是后门?泄露隐私?专业人士打脸!"——17万播放,8600点赞。

另一位博主直接说:"鱼皮真的说错了,这其实是很正常的开发者调试。"

开发者模式和后门的区别,就像"员工通道"和"盗洞"的区别——你不能因为看见商场有个员工通道就冲进去喊"我发现后门了!"

经典善后

被打脸后,鱼皮的操作很标准:悄悄删视频 + 发个不痛不痒的回应说"我缺少网络安全知识"。

写了9年代码,缺少的不是网络安全知识,缺少的是基本常识吧?安卓开发者模式你没用过?还是说这9年全花在写知识星球教程上了?

博主 Wibus 的评价更犀利:作为一名9年经验的开发者,基本的安全常识是必备素养。把开发者模式说成"后门",要么是为了流量故意夸大其词,要么是真的什么都不懂。无论哪种,都挺丢人的。

三、"too_long_too_long_too_long...":黑客用昵称教你做事

鱼皮的B站有个合集叫"程序员之耻",目前更新到了第22期,堪称B站最长寿的自黑连续剧。其中最经典的一期是2022年的昵称注入事件。

天才级攻击

有位天才用户把自己的昵称改成了:

too_long_too_long_too_long_too_long_too_long_too_long...

翻译:"太长了太长了太长了太长了太长了..."——无限循环,一个昵称 3.1MB。

人家黑客已经在用昵称告诉你问题出在哪了!

"哥们,太长了,你该加个长度限制了。"然而鱼皮的后端愣是连个基本的输入校验都没有。

更绝的是,这位大聪明还自己回复了自己。API返回时昵称加载两遍,单条响应直接飙到 6.2MB,网站当场暴毙。

弹幕疯了:"卧槽人才"、"当年爆破tskk直播间的核武器"、"被迫进步"。画面切到核弹爆炸,字幕写着"就爆了"——网站和观众一起爆了。

修复清单(全部没做)

  • 昵称长度限制 ✗
  • API响应大小限制 ✗
  • 分页加载 ✗
  • 用户输入校验 ✗

以上任何一条都能阻止这次攻击。但一条都没做。这就是"腾讯全栈"——全栈的意思是:全部技术栈都有漏洞。

四、年更被打系列:"是不是每年都得被暴击一次?"

2023年:赔了1.5万的卖惨名场面

网站又被攻击,鱼皮拍视频哭诉"没想到又被攻击了!赔了1.5万,我真服了!"字幕写着"是不是每年我都得被暴击一次"。弹幕统一回答:是的。

2025年12月:服务器沦为矿场

Next.js已知漏洞不打补丁 + 没有Docker容器隔离 + 宝塔面板裸跑 = 黑客乐园。

终端截图的文件列表堪称行为艺术:

  • xmrig-6.24.0 ← 门罗币矿机,用你的CPU帮别人赚钱
  • kal.tar.gz ← 黑客工具包,寄存在你家
  • sex.sh ← 这个...反正不是你写的

黑客把他服务器当自助仓库,来去自如,宾至如归。弹幕评论:"每日被入侵"、"这就是黄金体验"。

一个教别人编程的人,自己的服务器连Docker都不装。这就好比驾校教练不系安全带。

2026年2月:AI账单1.8万人民币

信用卡显示AI服务费 $2,466,发推感叹"没想到要为AI花这么多钱"。考虑到"10+💩上线产品"基本全靠Cursor生成,这1.8万就是他整个"开发团队"的月薪。

一个月花1.8万让AI写代码,产出的网站连输入校验都没有——这投入产出比,怕是连AI都觉得委屈。

五、GitHub控评事件:玩不起就删库

rubbish-yingxiaohao 事件

鱼皮在GitHub上有个项目叫 rubbish-yingxiaohao(垃圾营销号识别器)——讽刺的是,他自己就是最大的营销号。

有开发者在V2EX发帖揭露:有人给这个项目提了个PR(拉取请求),结果鱼皮的操作是:

  1. 把PR的标题和内容改掉(改成了小学生水平的内容)
  2. 锁定PR(让别人无法修改或删除)
  3. 最后直接删除整个仓库,连同所有社区贡献一起消失

V2EX网友评价:"大概是怕被发现那个傻子PR有记录吧。"

知乎封禁异见

更有意思的是,如果你在知乎提问"如何评价程序员鱼皮",问题会直接被封禁,理由是"侵犯他人隐私"。脉脉上骂鱼皮的动态也被清理干净。

V2EX用户一针见血:"如果你在任何一个有腾讯参股的软件搜索此人,你全部搜到的都是正面评价。"

一个做"垃圾营销号识别器"的人,自己就是最需要被识别的营销号。一个号称"开源精神"的人,PR被嘲讽了就删库跑路。这大概就是鱼皮版的"开源"——开你的源,闭我的嘴。

六、知识星球:付费割韭菜的艺术

内容质量

V2EX、牛客网上对鱼皮知识星球的评价高度一致:

"无实质内容和技术含量,总的来说就是一个骗骗小白的小丑。"
"群里内容无非就是网上找的资源、打卡学习等等。"
"计算机最好的内容99%是免费的,何必花钱开知识星球?"
"以前上学时把这些编程公众号博主奉若至宝,工作两年后回头看,全是骗新人入坑割韭菜的镰刀。"

有人用免费资源自学,拿了字节、微软、亚马逊offer;而花钱加入鱼皮星球的人,得到的是一堆网上免费就能找到的资源和"打卡学习"的仪式感。

本质分析

知乎有人总结得精辟:"鱼皮赚钱是因为他是主播,不是因为他技术牛。你别学他找工作,你可以学他的捞钱方法。"

说白了,鱼皮的商业模式是:

用"前腾讯"背书吸引小白 → 用免费视频建立信任 → 导流到付费知识星球 → 用CRUD项目包装成"实战教程" → 收割完毕,下一批

七、情人节特辑:AI女友名场面

2026年情人节,鱼皮发推:"给大家介绍一下我的女朋友——鱼小妹"。

点开一看:用GLM-5做的AI女友,部署在云服务器上接入QQ,"掏出手机就能聊,情绪价值拉满"。

聊天截图里,AI生成的"女友自拍"左下角清清楚楚写着"AI生成"两个字。

操作流程:花几万块买AI → 让AI帮自己写代码 → 用AI写的代码做了个AI女友 → 跟AI女友聊天 → 截图发推特 → 预告"晚点上教程"。

好家伙,教你怎么给自己造虚拟女友都能做成课程卖钱。万物皆可引流,鱼皮诚不欺我。

八、从翻车到变现的永动机

如果你以为鱼皮只是技术菜鸡,那就大错特错了。他真正满级的技能树是自媒体运营。

观察他的内容模式,你会发现一个精密的商业永动机:

出事故 → 拍视频卖惨 → 引发讨论获取流量 → 视频底下挂¥109面试题广告 → 等待下一次事故(平均3-6个月)

  • 网站被打?视频底下挂课程。
  • 被种矿机?出一期"云服务安全教程"。
  • 小红书开发者模式?先等修复再发视频蹭热度。
  • 做了AI女友?"保姆级教程来了!"

"程序员之耻"系列22期,每一期都是一次完美的引流素材。别人的耻辱是黑历史,鱼皮的耻辱是内容资产。

九、"代码之父"的含金量

codefather.cn——代码之父。一个自己写的代码连输入校验都没有的人,自称"代码之父"。

那代码管他叫什么?叫爹吗?

这个网站现在主要靠Cursor(AI编程工具)维护。也就是说,codefather.cn的真正开发者是Claude和GPT,鱼皮充其量是个运维——还是那种会把服务器搞成矿场的运维。

2025年12月才注册推特,目标2万粉,简介写着"创业中"。翻译:国内韭菜割完了,准备出海割洋韭菜。

十、结语

程序员鱼皮的"程序员之耻"系列已经22期了。以他的翻车频率来看,这个系列大概率会比《名侦探柯南》还长。

只要他继续用宝塔面板裸跑Node.js、继续不做输入校验、继续把开发者模式叫后门、继续让黑客用too_long昵称教他做人——这个系列,永远不缺素材。

而那位把昵称改成"too_long_too_long_too_long..."的无名英雄,大概是整件事里最有幽默感的人。他不仅炸了鱼皮的网站,还用昵称留下了一句完美的Code Review:

"太长了,哥们。加个长度限制吧。"

可惜,写了9年代码的"代码之父",没看懂。

本文基于公开信息整理。如有不实之处,欢迎鱼皮本人来纠正——建议先搞清楚"后门"和"开发者模式"的区别再来。另外,别忘了给你的服务器装个Docker。🤣🤣🤣

程式之父:程式設計師魚皮全網臭聞大賞

——一個「寫了9年程式」的行銷號是如何把自己活成反面教材的
2026-02-25
「他賺錢靠的不是技術,而是把自己的無能包裝成內容。」

一、人物簡介:到底是工程師還是直播主?

程式設計師魚皮,B站82萬粉絲UP主,自稱「前騰訊全端工程師」,「寫了9年程式」。目前經營著一個叫 codefather.cn(程式之父)的程式導航網站,一個叫「面試鴨」的刷題網站,以及一個付費知識星球。

注意他的B站簡介:「前騰訊開發」——為什麼是前?因為騰訊已經不要他了。至於為什麼不要他,看完本文你就明白了。

他的推特簡介更精彩:「專案狂魔,10+上線產品」——網路黑話翻譯:10→十→💩,所以應該讀作「💩+上線產品」。懂的都懂。

二、小紅書「後門」事件:9年程式白寫了

事件經過

2025年6月18日,有網友發現小紅書安卓客戶端的一個隱藏除錯入口:在設定頁面連續點擊標題6次,輸入「xhsdev」即可進入開發者模式。這跟安卓手機連點版本號進開發者選項是一個原理——業界常見的除錯工具。

然而魚皮看到後如獲至寶,先是謹慎地等小紅書修復完畢(畢竟不能得罪金主爸爸),然後火速發布影片:「突發,小紅書開發者後門被破解!機密嚴重洩露!」

整個資安圈笑了。

被打臉

B站資安博主「邊亮」(一位真正拿過蘋果、微軟0day致謝的資安研究員)隨後發影片:「開發者模式是後門?洩露隱私?專業人士打臉!」——17萬播放,8600按讚。

另一位博主直接說:「魚皮真的說錯了,這其實是很正常的開發者除錯。」

開發者模式和後門的區別,就像「員工通道」和「盜洞」的區別——你不能因為看見百貨公司有個員工通道就衝進去喊「我發現後門了!」

經典善後

被打臉後,魚皮的操作很標準:悄悄刪影片 + 發個不痛不癢的回應說「我缺少網路安全知識」。

寫了9年程式,缺少的不是網路安全知識,缺少的是基本常識吧?安卓開發者模式你沒用過?還是說這9年全花在寫知識星球教學上了?

博主 Wibus 的評價更犀利:身為一名9年經驗的開發者,基本的資安常識是必備素養。把開發者模式說成「後門」,要嘛是為了流量故意誇大其詞,要嘛是真的什麼都不懂。無論哪種,都蠻丟臉的。

三、「too_long_too_long_too_long...」:駭客用暱稱教你做事

魚皮的B站有個合集叫「程式設計師之恥」,目前更新到了第22期,堪稱B站最長壽的自黑連續劇。其中最經典的一期是2022年的暱稱注入事件。

天才級攻擊

有位天才使用者把自己的暱稱改成了:

too_long_too_long_too_long_too_long_too_long_too_long...

翻譯:「太長了太長了太長了太長了太長了...」——無限迴圈,一個暱稱 3.1MB。

人家駭客已經在用暱稱告訴你問題出在哪了!

「老兄,太長了,你該加個長度限制了。」然而魚皮的後端愣是連個基本的輸入驗證都沒有。

更絕的是,這位大聰明還自己回覆了自己。API回傳時暱稱載入兩遍,單筆回應直接飆到 6.2MB,網站當場暴斃。

彈幕瘋了:「靠北人才」、「當年爆破tskk直播間的核武器」、「被迫進步」。畫面切到核彈爆炸,字幕寫著「就爆了」——網站和觀眾一起爆了。

修復清單(全部沒做)

  • 暱稱長度限制 ✗
  • API回應大小限制 ✗
  • 分頁載入 ✗
  • 使用者輸入驗證 ✗

以上任何一條都能阻止這次攻擊。但一條都沒做。這就是「騰訊全端」——全端的意思是:全部技術棧都有漏洞。

四、年更被打系列:「是不是每年都得被暴擊一次?」

2023年:賠了1.5萬的賣慘名場面

網站又被攻擊,魚皮拍影片哭訴「沒想到又被攻擊了!賠了1.5萬,我真服了!」字幕寫著「是不是每年我都得被暴擊一次」。彈幕統一回答:是的。

2025年12月:伺服器淪為礦場

Next.js已知漏洞不打補丁 + 沒有Docker容器隔離 + 寶塔面板裸跑 = 駭客樂園。

終端截圖的檔案列表堪稱行為藝術:

  • xmrig-6.24.0 ← 門羅幣礦機,用你的CPU幫別人賺錢
  • kal.tar.gz ← 駭客工具包,寄存在你家
  • sex.sh ← 這個...反正不是你寫的

駭客把他伺服器當自助倉庫,來去自如,賓至如歸。彈幕評論:「每日被入侵」、「這就是黃金體驗」。

一個教別人寫程式的人,自己的伺服器連Docker都不裝。這就好比駕訓班教練不繫安全帶。

2026年2月:AI帳單1.8萬台幣...不對,人民幣

信用卡顯示AI服務費 $2,466,發推感嘆「沒想到要為AI花這麼多錢」。考慮到「10+💩上線產品」基本全靠Cursor生成,這1.8萬就是他整個「開發團隊」的月薪。

一個月花1.8萬讓AI寫程式,產出的網站連輸入驗證都沒有——這投入產出比,怕是連AI都覺得委屈。

五、GitHub控評事件:玩不起就刪庫

rubbish-yingxiaohao 事件

魚皮在GitHub上有個專案叫 rubbish-yingxiaohao(垃圾行銷號辨識器)——諷刺的是,他自己就是最大的行銷號。

有開發者在V2EX發文揭露:有人給這個專案提了個PR(拉取請求),結果魚皮的操作是:

  1. 把PR的標題和內容改掉(改成了小學生程度的內容)
  2. 鎖定PR(讓別人無法修改或刪除)
  3. 最後直接刪除整個儲存庫,連同所有社群貢獻一起消失

V2EX網友評價:「大概是怕被發現那個白癡PR有紀錄吧。」

知乎封禁異見

更有意思的是,如果你在知乎提問「如何評價程式設計師魚皮」,問題會直接被封禁,理由是「侵犯他人隱私」。脈脈上罵魚皮的動態也被清理乾淨。

V2EX使用者一針見血:「如果你在任何一個有騰訊參股的軟體搜尋此人,你全部搜到的都是正面評價。」

一個做「垃圾行銷號辨識器」的人,自己就是最需要被辨識的行銷號。一個號稱「開源精神」的人,PR被嘲諷了就刪庫跑路。這大概就是魚皮版的「開源」——開你的源,閉我的嘴。

六、知識星球:付費割韭菜的藝術

內容品質

V2EX、牛客網上對魚皮知識星球的評價高度一致:

「沒有實質內容和技術含量,總的來說就是一個騙騙小白的小丑。」
「群裡內容無非就是網上找的資源、打卡學習等等。」
「資工最好的內容99%是免費的,何必花錢開知識星球?」
「以前唸書時把這些程式公眾號博主奉若至寶,工作兩年後回頭看,全是騙新人入坑割韭菜的鐮刀。」

有人用免費資源自學,拿了字節、微軟、亞馬遜offer;而花錢加入魚皮星球的人,得到的是一堆網上免費就能找到的資源和「打卡學習」的儀式感。

本質分析

知乎有人總結得精闢:「魚皮賺錢是因為他是直播主,不是因為他技術強。你別學他找工作,你可以學他的撈錢方法。」

說白了,魚皮的商業模式是:

用「前騰訊」背書吸引小白 → 用免費影片建立信任 → 導流到付費知識星球 → 用CRUD專案包裝成「實戰教學」 → 收割完畢,下一批

七、情人節特輯:AI女友名場面

2026年情人節,魚皮發推:「給大家介紹一下我的女朋友——魚小妹」。

點開一看:用GLM-5做的AI女友,部署在雲端伺服器上接入QQ,「掏出手機就能聊,情緒價值拉滿」。

聊天截圖裡,AI生成的「女友自拍」左下角清清楚楚寫著「AI生成」兩個字。

操作流程:花幾萬塊買AI → 讓AI幫自己寫程式 → 用AI寫的程式做了個AI女友 → 跟AI女友聊天 → 截圖發推特 → 預告「晚點上教學」。

好傢伙,教你怎麼給自己造虛擬女友都能做成課程賣錢。萬物皆可導流,魚皮誠不欺我。

八、從翻車到變現的永動機

如果你以為魚皮只是技術菜雞,那就大錯特錯了。他真正滿級的技能樹是自媒體經營。

觀察他的內容模式,你會發現一個精密的商業永動機:

出事故 → 拍影片賣慘 → 引發討論獲取流量 → 影片底下掛¥109面試題廣告 → 等待下一次事故(平均3-6個月)

  • 網站被打?影片底下掛課程。
  • 被種礦機?出一期「雲端服務安全教學」。
  • 小紅書開發者模式?先等修復再發影片蹭熱度。
  • 做了AI女友?「保姆級教學來了!」

「程式設計師之恥」系列22期,每一期都是一次完美的導流素材。別人的恥辱是黑歷史,魚皮的恥辱是內容資產。

九、「程式之父」的含金量

codefather.cn——程式之父。一個自己寫的程式連輸入驗證都沒有的人,自稱「程式之父」。

那程式管他叫什麼?叫爸嗎?

這個網站現在主要靠Cursor(AI程式工具)維護。也就是說,codefather.cn的真正開發者是Claude和GPT,魚皮充其量是個維運——還是那種會把伺服器搞成礦場的維運。

2025年12月才註冊推特,目標2萬粉,簡介寫著「創業中」。翻譯:國內韭菜割完了,準備出海割洋韭菜。

十、結語

程式設計師魚皮的「程式設計師之恥」系列已經22期了。以他的翻車頻率來看,這個系列大概率會比《名偵探柯南》還長。

只要他繼續用寶塔面板裸跑Node.js、繼續不做輸入驗證、繼續把開發者模式叫後門、繼續讓駭客用too_long暱稱教他做人——這個系列,永遠不缺素材。

而那位把暱稱改成「too_long_too_long_too_long...」的無名英雄,大概是整件事裡最有幽默感的人。他不僅炸了魚皮的網站,還用暱稱留下了一句完美的Code Review:

「太長了,老兄。加個長度限制吧。」

可惜,寫了9年程式的「程式之父」,沒看懂。

本文基於公開資訊整理。如有不實之處,歡迎魚皮本人來糾正——建議先搞清楚「後門」和「開發者模式」的區別再來。另外,別忘了給你的伺服器裝個Docker。🤣🤣🤣

コードの父:プログラマー魚皮・全ネット醜聞大賞

——「9年コードを書いた」マーケティングアカウントが、いかにして反面教師になったか
2026-02-25
「彼が稼いでいるのは技術力じゃない。自分の無能をコンテンツに包装する能力だ。」

一、人物紹介:プログラマーなのか配信者なのか?

プログラマー魚皮、Bilibili82万フォロワーのUP主。自称「元テンセントのフルスタックエンジニア」で「9年コードを書いてきた」そうだ。現在は codefather.cn(コードの父)というプログラミングナビサイト、「面試鴨(面接ダック)」という問題演習サイト、そして有料のナレッジコミュニティを運営している。

彼のBilibili紹介文に注目:「元テンセント開発」——なぜ「元」なのか?テンセントにクビにされたからだ。なぜクビにされたかは、本記事を読めばわかる。

Twitterのプロフィールはもっと傑作だ:「プロジェクト狂、10+リリース済みプロダクト」——ネットスラング翻訳:10→十→💩、つまり「💩+リリース済みプロダクト」と読むべき。わかる人にはわかる。

二、小紅書「バックドア」事件:9年のコーディングは何だったのか

事件の経緯

2025年6月18日、あるユーザーが小紅書(RED)のAndroidアプリに隠しデバッグ入口を発見した。設定画面でタイトルを6回連続タップし、「xhsdev」と入力すると開発者モードに入れる。Androidスマホでビルド番号を連打して開発者オプションに入るのと同じ原理——業界では一般的なデバッグツールだ。

しかし魚皮はこれを見て大興奮。まず慎重に小紅書が修正するのを待ち(スポンサー様を怒らせるわけにはいかない)、その後すぐに動画を投稿:「速報、小紅書の開発者バックドアが解読された!機密が深刻に漏洩!」

セキュリティ業界全体が笑った。

顔面崩壊

Bilibiliのセキュリティ系UP主「辺亮」(Apple・Microsoftの0day謝辞を実際に受けたセキュリティ研究者)がすぐに動画を投稿:「開発者モードがバックドア?プライバシー漏洩?専門家が論破!」——17万再生、8600いいね。

別のUP主はストレートに言った:「魚皮は完全に間違っている。これはごく普通の開発者デバッグ機能だ。」

開発者モードとバックドアの違いは、「従業員通路」と「盗掘穴」の違いだ——デパートに従業員通路があるのを見て「バックドアを発見した!」と叫ぶようなものだ。

お決まりの後始末

論破された後の魚皮の対応はテンプレ通り:こっそり動画を削除 + 当たり障りのない釈明で「ネットワークセキュリティの知識が不足していた」。

9年コードを書いて、不足しているのはセキュリティ知識じゃなくて常識だろう?Android開発者モードを使ったことがない?それとも9年間ずっとナレッジコミュニティの教材作りに費やしていたのか?

UP主Wibusの評価はもっと辛辣だった:9年の経験を持つ開発者として、基本的なセキュリティ常識は必須の素養だ。開発者モードを「バックドア」と呼ぶのは、PVのために意図的に誇張しているか、本当に何も知らないかのどちらかだ。どちらにしても恥ずかしい。

三、「too_long_too_long_too_long...」:ハッカーがニックネームで教育

魚皮のBilibiliには「プログラマーの恥」というシリーズがあり、現在第22回まで更新されている。Bilibili史上最も長寿な自虐シリーズだ。中でも最も伝説的なのは2022年のニックネームインジェクション事件。

天才的な攻撃

ある天才ユーザーが自分のニックネームをこう変えた:

too_long_too_long_too_long_too_long_too_long_too_long...

翻訳:「長すぎ長すぎ長すぎ長すぎ長すぎ...」——無限ループ、ニックネーム1つで3.1MB。

ハッカーはニックネームで問題点を教えてくれていたのだ!

「おい、長すぎるぞ。文字数制限をつけろよ。」しかし魚皮のバックエンドには基本的な入力バリデーションすらなかった。

さらに凄いのは、この天才が自分のコメントに自分で返信したこと。APIレスポンスでニックネームが2回読み込まれ、1レスポンスが6.2MBに膨れ上がり、サイトは即死した。

弾幕が狂った:「天才かよ」「tskk配信を爆破した核兵器」「強制的に成長」。画面が核爆発に切り替わり、字幕には「爆発した」——サイトも視聴者も一緒に爆発した。

修正チェックリスト(全部未実施)

  • ニックネーム文字数制限 ✗
  • APIレスポンスサイズ制限 ✗
  • ページネーション ✗
  • ユーザー入力バリデーション ✗

上記のどれか1つでもこの攻撃を防げた。しかし1つも実装されていなかった。これが「テンセントのフルスタック」——フルスタックの意味は:全技術スタックに脆弱性がある。

四、年1回ボコられるシリーズ:「毎年殴られないといけないのか?」

2023年:1.5万元の被害者アピール名場面

サイトがまた攻撃され、魚皮は動画で泣き言:「まさかまた攻撃されるとは!1.5万元の損害、もう勘弁してくれ!」字幕には「毎年ボコられないといけないのか」。弾幕の統一回答:はい。

2025年12月:サーバーがマイニング農場に

Next.jsの既知の脆弱性を放置 + Dockerコンテナ隔離なし + 宝塔パネル丸出し = ハッカーの楽園。

ターミナルのスクリーンショットのファイル一覧は行為芸術だ:

  • xmrig-6.24.0 ← Moneroマイナー、あなたのCPUで他人を儲けさせる
  • kal.tar.gz ← ハッキングツールキット、あなたの家に預けられている
  • sex.sh ← これは...まあ、あなたが書いたものではない

ハッカーは彼のサーバーをセルフストレージとして使い、出入り自由、まるで我が家。弾幕コメント:「毎日侵入される」「これがゴールド・エクスペリエンス」。

他人にプログラミングを教える人間が、自分のサーバーにDockerすら入れていない。教習所の教官がシートベルトをしないようなものだ。

2026年2月:AI請求書1.8万元

クレジットカードにAIサービス料 $2,466が表示され、ツイートで「AIにこんなにお金がかかるとは」と嘆く。「10+💩リリース済みプロダクト」が基本的に全部Cursorで生成されていることを考えると、この1.8万元は彼の「開発チーム」全体の月給だ。

月1.8万元でAIにコードを書かせて、出来上がったサイトには入力バリデーションすらない——このROI、AIですら不憫に思うだろう。

五、GitHubコメント統制事件:負けたら削除

rubbish-yingxiaohao 事件

魚皮はGitHubに rubbish-yingxiaohao(ゴミマーケティングアカウント識別器)というプロジェクトを持っていた——皮肉なことに、彼自身が最大のマーケティングアカウントだ。

ある開発者がV2EXで暴露:誰かがこのプロジェクトにPR(プルリクエスト)を出したところ、魚皮の対応は:

  1. PRのタイトルと内容を改ざん(小学生レベルの内容に変更)
  2. PRをロック(他人が修正・削除できないように)
  3. 最後にリポジトリごと削除、コミュニティの貢献もろとも消滅

V2EXユーザーの評価:「あのバカPRの記録が残るのが怖かったんだろう。」

知乎での異論封殺

さらに面白いのは、知乎で「プログラマー魚皮をどう評価するか」と質問すると、「他人のプライバシー侵害」を理由に即座にBANされること。脈脈(Maimai)で魚皮を批判する投稿もきれいに消されている。

V2EXユーザーが核心を突いた:「テンセントが出資しているプラットフォームでこの人を検索すると、出てくるのは全部ポジティブな評価だけ。」

「ゴミマーケティングアカウント識別器」を作った人間が、自分自身が最も識別されるべきマーケティングアカウント。「オープンソース精神」を掲げる人間が、PRで馬鹿にされたらリポジトリごと削除して逃亡。これが魚皮版の「オープンソース」——お前のソースは開く、俺の口は閉じる。

六、ナレッジコミュニティ:有料カモ刈りの芸術

コンテンツの質

V2EX、牛客網での魚皮ナレッジコミュニティの評価は驚くほど一致している:

「実質的な内容も技術的価値もない。要するに初心者を騙すピエロ。」
「グループの内容はネットで拾ったリソースと出席チェックだけ。」
「CS分野の最高のコンテンツの99%は無料だ。なぜ金を払ってナレッジコミュニティに入る?」
「学生時代はこういうプログラミング公式アカウントを崇拝していたが、2年働いた後に振り返ると、全部新人を騙してカモにする鎌だった。」

無料リソースで独学してByteDance、Microsoft、Amazonのオファーを獲得した人がいる一方、魚皮のコミュニティに課金した人が得たのは、ネットで無料で見つかるリソースと「出席チェック」の儀式感だけ。

本質分析

知乎の誰かが的確にまとめた:「魚皮が稼いでいるのは配信者だからであって、技術が凄いからじゃない。就活の参考にするな、金の稼ぎ方の参考にしろ。」

要するに、魚皮のビジネスモデルは:

「元テンセント」の肩書きで初心者を釣る → 無料動画で信頼を構築 → 有料ナレッジコミュニティに誘導 → CRUDプロジェクトを「実践チュートリアル」として包装 → 収穫完了、次のバッチへ

七、バレンタイン特集:AI彼女名場面

2026年バレンタインデー、魚皮がツイート:「みなさんに僕の彼女を紹介します——魚小妹」。

開いてみると:GLM-5で作ったAI彼女、クラウドサーバーにデプロイしてQQに接続、「スマホを取り出せばすぐチャット、感情的価値マックス」。

チャットのスクリーンショットでは、AI生成の「彼女の自撮り」の左下にはっきりと「AI生成」と書いてある。

操作フロー:数万元でAIを購入 → AIに自分のコードを書かせる → AIが書いたコードでAI彼女を作る → AI彼女とチャット → スクショをツイート → 「後でチュートリアル出します」と予告。

すごいな、バーチャル彼女の作り方まで講座にして売れるのか。万物が集客ネタ、魚皮は嘘をつかない。

八、炎上からマネタイズへの永久機関

魚皮がただの技術弱者だと思ったら大間違いだ。彼の本当にカンストしたスキルツリーはSNSマーケティングだ。

彼のコンテンツパターンを観察すると、精密な商業永久機関が見えてくる:

事故発生 → 被害者アピール動画 → 議論を呼んでPV獲得 → 動画の下に¥109の面接問題集広告 → 次の事故を待つ(平均3〜6ヶ月)

  • サイトが攻撃された?動画の下に講座リンク。
  • マイニングされた?「クラウドセキュリティ講座」を1本出す。
  • 小紅書の開発者モード?修正を待ってから動画で便乗。
  • AI彼女を作った?「完全ガイド来ました!」

「プログラマーの恥」シリーズ22回、毎回が完璧な集客素材。他人の恥は黒歴史、魚皮の恥はコンテンツ資産。

九、「コードの父」の実力

codefather.cn——コードの父。自分の書いたコードに入力バリデーションすらない人間が、「コードの父」を自称している。

じゃあコードは彼を何と呼ぶ?パパ?

このサイトは現在主にCursor(AIコーディングツール)でメンテナンスされている。つまり、codefather.cnの本当の開発者はClaudeとGPTで、魚皮はせいぜい運用担当——しかもサーバーをマイニング農場にしてしまうタイプの運用担当だ。

2025年12月にやっとTwitterに登録、目標2万フォロワー、プロフィールには「起業中」。翻訳:国内のカモを刈り尽くしたので、海外のカモを刈りに行く準備中。

十、結語

プログラマー魚皮の「プログラマーの恥」シリーズは既に22回。彼の炎上頻度から見て、このシリーズは『名探偵コナン』より長くなる可能性が高い。

宝塔パネルでNode.jsを丸出しで動かし続け、入力バリデーションをせず、開発者モードをバックドアと呼び続け、ハッカーにtoo_longニックネームで教育され続ける限り——このシリーズはネタに困ることがない。

そしてニックネームを「too_long_too_long_too_long...」に変えたあの無名の英雄は、おそらくこの一件で最もユーモアのセンスがある人物だ。彼は魚皮のサイトを爆破しただけでなく、ニックネームで完璧なCode Reviewを残した:

「長すぎるぞ、おい。文字数制限をつけろ。」

残念ながら、9年コードを書いてきた「コードの父」には、読めなかった。

本記事は公開情報に基づいて作成。事実と異なる点があれば、魚皮本人の訂正を歓迎する——まず「バックドア」と「開発者モード」の違いを理解してから来ることをお勧めする。あと、サーバーにDockerを入れるのを忘れずに。🤣🤣🤣

The Codefather: Programmer Yupi's Greatest Hits of Shame

— How a "9-year coder" turned himself into a cautionary tale
2026-02-25
"He doesn't make money from his skills. He makes money by packaging his incompetence as content."

I. Who Is This Guy: Programmer or Streamer?

Programmer Yupi, a Bilibili creator with 820K followers, self-proclaimed "ex-Tencent full-stack engineer" who has "written code for 9 years." He currently runs codefather.cn (a programming navigation site), "Interview Duck" (a practice problem site), and a paid knowledge community.

Note his Bilibili bio: "Ex-Tencent developer" — why "ex"? Because Tencent didn't want him anymore. Why they didn't want him will become obvious by the end of this article.

His Twitter bio is even better: "Project maniac, 10+ shipped products" — internet slang decode: 10 → 💩, so read it as "💩+ shipped products." If you know, you know.

II. The Xiaohongshu "Backdoor" Incident: 9 Years of Coding for Nothing

What Happened

On June 18, 2025, someone discovered a hidden debug entry in Xiaohongshu's Android app: tap the title 6 times on the settings page, type "xhsdev," and you're in developer mode. Same principle as tapping the build number on any Android phone to unlock developer options — a standard industry debug tool.

Yupi saw this and lost his mind. He carefully waited until Xiaohongshu patched it (can't upset the sponsors), then rushed out a video: "BREAKING: Xiaohongshu developer backdoor cracked! Serious data leak!"

The entire security community laughed.

The Smackdown

Bilibili security creator "Bian Liang" (an actual security researcher with Apple and Microsoft 0-day acknowledgments) responded: "Developer mode is a backdoor? Privacy leak? Expert debunks!" — 170K views, 8,600 likes.

Another creator put it bluntly: "Yupi is flat-out wrong. This is perfectly normal developer debugging."

The difference between developer mode and a backdoor is like the difference between a staff entrance and a break-in tunnel — you don't run into a mall's staff door screaming "I found a backdoor!"

Classic Damage Control

After getting destroyed, Yupi's response was textbook: quietly delete the video + post a lukewarm statement saying "I lack cybersecurity knowledge."

Nine years of coding and what you lack isn't security knowledge — it's common sense. You've never used Android developer mode? Or did you spend all 9 years writing tutorials for your paid community?

Creator Wibus was sharper: As a developer with 9 years of experience, basic security awareness is a fundamental skill. Calling developer mode a "backdoor" is either intentional clickbait or genuine ignorance. Either way, it's embarrassing.

III. "too_long_too_long_too_long...": A Hacker Schools You Via Nickname

Yupi has a Bilibili playlist called "Programmer's Shame," now on episode 22 — the longest-running self-own series on the platform. The most legendary episode is the 2022 nickname injection incident.

A Genius-Level Attack

Some genius changed their nickname to:

too_long_too_long_too_long_too_long_too_long_too_long...

Translation: "too long too long too long too long too long..." — infinite loop, one nickname at 3.1MB.

The hacker was literally telling you the problem in the nickname!

"Dude, it's too long. Add a length limit." But Yupi's backend didn't even have basic input validation.

Even better: this genius replied to their own comment. The API loaded the nickname twice per response, ballooning a single response to 6.2MB. The site died on the spot.

The comment section exploded: "absolute legend," "the nuke that blew up tskk's stream," "forced evolution." Cut to a nuclear explosion, subtitle reads "it blew up" — the site and the audience blew up together.

Fix Checklist (None Implemented)

  • Nickname length limit ✗
  • API response size limit ✗
  • Pagination ✗
  • User input validation ✗

Any single one of these would have prevented the attack. None were implemented. This is "Tencent full-stack" — full-stack meaning: vulnerabilities across the full stack.

IV. The Annual Beatdown: "Do I Have to Get Wrecked Every Year?"

2023: The ¥15K Victim Performance

Site got attacked again. Yupi filmed a sob video: "I can't believe I got attacked again! Lost ¥15K, I'm done!" Subtitle: "Do I have to get wrecked every year?" Comment section's unanimous answer: Yes.

December 2025: Server Becomes a Mining Farm

Unpatched Next.js vulnerability + no Docker isolation + bare BaoTa panel = hacker playground.

The terminal screenshot's file listing was performance art:

  • xmrig-6.24.0 ← Monero miner, using your CPU to make someone else money
  • kal.tar.gz ← Hacking toolkit, stored at your place
  • sex.sh ← This one... wasn't written by you, at least

Hackers treated his server like a self-storage unit — come and go as they please, make themselves at home. Comments: "daily intrusion," "this is the golden experience."

A guy who teaches others to code can't even install Docker on his own server. That's like a driving instructor who doesn't wear a seatbelt.

February 2026: $2,466 AI Bill

Credit card shows $2,466 in AI service fees. He tweets: "Didn't expect to spend this much on AI." Given that his "10+ 💩 shipped products" are basically all Cursor-generated, that $2,466 is his entire "dev team's" monthly salary.

Spending $2,466/month on AI-written code that doesn't even have input validation — even the AI must feel ripped off.

V. GitHub Comment Control: Can't Take the Heat, Delete the Repo

The rubbish-yingxiaohao Incident

Yupi had a GitHub project called rubbish-yingxiaohao (spam marketing account detector) — the irony being that he himself is the biggest marketing account.

A developer exposed on V2EX: someone submitted a PR to this project. Yupi's response:

  1. Edited the PR title and content (changed it to grade-school-level nonsense)
  2. Locked the PR (preventing anyone from modifying or deleting it)
  3. Deleted the entire repository, wiping all community contributions

V2EX users' take: "Probably scared that the idiot PR had a paper trail."

Zhihu Censorship

Even better: if you ask "What do you think of Programmer Yupi?" on Zhihu, the question gets banned for "violating someone's privacy." Critical posts about Yupi on Maimai get scrubbed clean too.

A V2EX user nailed it: "Search for this guy on any platform Tencent has invested in, and all you'll find are positive reviews."

The guy who built a "spam marketing account detector" is himself the account most in need of detection. The guy who preaches "open source spirit" deletes his repo and runs when a PR mocks him. This is Yupi's version of "open source" — open your source, shut my mouth.

VI. Knowledge Community: The Art of Paid Grifting

Content Quality

Reviews of Yupi's knowledge community on V2EX and Nowcoder are remarkably consistent:

"No substance, no technical value. Basically a clown scamming beginners."
"The group content is just resources scraped from the internet and daily check-ins."
"99% of the best CS content is free. Why pay for a knowledge community?"
"In college I worshipped these programming influencers. Two years into my career, I realized they're all scythes harvesting newbies."

People have self-studied with free resources and landed offers at ByteDance, Microsoft, and Amazon. Meanwhile, those who paid for Yupi's community got a pile of freely available resources and the ritual of "daily check-ins."

The Real Game

Someone on Zhihu summed it up perfectly: "Yupi makes money because he's a streamer, not because he's technically good. Don't learn from him how to get a job — learn from him how to make money."

In plain terms, Yupi's business model:

"Ex-Tencent" credibility to attract beginners → free videos to build trust → funnel into paid community → wrap CRUD projects as "hands-on tutorials" → harvest complete, next batch

VII. Valentine's Special: The AI Girlfriend Moment

Valentine's Day 2026, Yupi tweets: "Let me introduce my girlfriend — Yu Xiaomei."

Click through: an AI girlfriend built with GLM-5, deployed on a cloud server connected to QQ. "Pull out your phone and chat anytime, emotional value maxed out."

In the chat screenshots, the AI-generated "girlfriend selfie" clearly reads "AI Generated" in the bottom-left corner.

The pipeline: spend tens of thousands on AI → have AI write your code → use AI-written code to build an AI girlfriend → chat with AI girlfriend → screenshot and tweet → tease "tutorial coming soon."

Incredible. Even "how to build yourself a virtual girlfriend" becomes a monetizable course. Everything is a funnel. Yupi never lies about that.

VIII. The Perpetual Motion Machine: From Disaster to Monetization

If you think Yupi is just a bad programmer, you're dead wrong. His truly maxed-out skill tree is social media marketing.

Watch his content pattern and you'll see a precision-engineered perpetual motion machine:

Incident → film a sob video → spark discussion for traffic → slap a ¥109 interview prep ad under the video → wait for the next incident (average 3-6 months)

  • Site got DDoS'd? Course link under the video.
  • Got cryptojacked? Drop a "cloud security tutorial."
  • Xiaohongshu developer mode? Wait for the fix, then ride the hype.
  • Built an AI girlfriend? "Step-by-step guide incoming!"

"Programmer's Shame" series, 22 episodes — each one a perfect piece of funnel content. Other people's shame is a skeleton in the closet. Yupi's shame is a content asset.

IX. The "Codefather" Brand

codefather.cn — The Codefather. A guy whose own code doesn't even have input validation calls himself "The Codefather."

So what does the code call him? Daddy?

The site is now primarily maintained by Cursor (an AI coding tool). Meaning codefather.cn's real developers are Claude and GPT. Yupi is at best an ops guy — the kind of ops guy who turns his server into a mining farm.

Registered on Twitter in December 2025, targeting 20K followers, bio says "building." Translation: finished harvesting domestic users, preparing to harvest international ones.

X. Conclusion

Programmer Yupi's "Programmer's Shame" series is at 22 episodes. At his rate of disasters, this series will probably outlast Detective Conan.

As long as he keeps running bare Node.js on BaoTa panel, skipping input validation, calling developer mode a backdoor, and letting hackers school him with too_long nicknames — this series will never run out of material.

And that anonymous hero who changed their nickname to "too_long_too_long_too_long..." is probably the funniest person in this entire saga. They didn't just crash Yupi's site — they left a perfect Code Review in their nickname:

"Too long, dude. Add a length limit."

Sadly, the "Codefather" with 9 years of coding experience didn't get the message.

This article is based on publicly available information. If anything is inaccurate, Yupi is welcome to correct it — but maybe learn the difference between a "backdoor" and "developer mode" first. Also, don't forget to install Docker on your server. 🤣🤣🤣

评论

← 返回首页