Cloudflare afirmó haber implementado Matrix en Cloudflare Workers, pero en realidad no es así

 (tech.lgbt)
1 puntos por GN⁺ 2026-01-28 | 1 comentarios | Compartir por WhatsApp
  • Cloudflare anunció que implementó el protocolo Matrix en Cloudflare Workers, pero al código le faltan funciones clave
  • A lo largo del código hay múltiples comentarios incompletos como TODO: Check authorisation, y faltan la verificación de firmas y los procedimientos de autenticación
  • Sin implementar el algoritmo de resolución de estado, inserta directamente el estado más reciente en la base de datos, lo que puede provocar vulnerabilidades de seguridad y problemas de compatibilidad
  • Después de publicar la entrada del blog, Cloudflare modificó la publicación y el README, y añadió un descargo de responsabilidad indicando que “no es para producción”
  • En la comunidad de desarrolladores se han extendido las críticas por el código generado por IA y las afirmaciones técnicas falsas, poniendo en duda la credibilidad de Cloudflare

Afirmación de implementación de Matrix por parte de Cloudflare y verificación del código

  • Cloudflare anunció en su blog que implementó Matrix sobre Cloudflare Workers, pero el código real no realiza funciones clave
    • En el código permanecen comentarios incompletos como TODO: Validate PDU signature, TODO: Check authorization
    • Al no implementar las reglas de autenticación de la API entre servidores de Matrix, incluso se aceptan datos falsificados
  • También omite el algoritmo de resolución de estado (state resolution), que es fundamental en Matrix, y usa en su lugar un método que simplemente inserta el estado más reciente en la BD
    • Esto puede causar inconsistencias en el estado de las salas y problemas de interoperabilidad, además de vulnerabilidades de seguridad

Afirmaciones técnicas incorrectas e historial de cambios

  • En el blog de Cloudflare se afirmaba que Tuwunel y su predecesor usaban Postgres o Redis, pero eso no es cierto
  • Después, la publicación fue editada para reemplazarlo por Synapse, y en el README también se añadió la frase “prototipo de ejemplo no apto para producción”
    • Estos cambios pueden confirmarse en el commit de GitHub (fd412f41f98c0f3f360f5c4034443ef80680de49)
    • La versión editada también incluye una frase indicando que recibió ayuda de Claude Code Opus 4.5

Reacción y críticas de la comunidad

  • En Mastodon y Lobsters, entre otros, se han multiplicado las críticas al código generado por IA y la promoción técnica engañosa
    • Se repiten señalamientos como: “eliminaron la verificación de firmas, los hashes y la autenticación” y “no pasa de ser un ejemplo básico, no algo seguro”
  • Algunos usuarios calificaron la respuesta de Cloudflare como un “intento de encubrimiento”, rastreando el historial de eliminación de commits y force push
  • También continuaron las reacciones satíricas dentro de la comunidad
    • “Como es una arquitectura serverless, el costo escala a 0 (porque no existe)”
    • “Cloudflare logró una seguridad perfecta simplemente no enviando mensajes”

Declaraciones adicionales de Jade e introducción del proyecto

  • Jade presentó Continuwuity, un homeserver de Matrix basado en Rust que está desarrollando
    • Puede ejecutarse incluso en una Raspberry Pi y no depende de infraestructura centralizada en la nube
  • También tiene previsto dar una charla en FOSDEM 2026 sobre su experiencia corrigiendo vulnerabilidades de Matrix
    • La charla será en conjunto con @nex@fedi.transgender.ing, y también participará en el stand de Matrix

Debate posterior y reacciones técnicas detalladas

  • Varios desarrolladores señalaron errores lógicos en el código de Cloudflare (por ejemplo, usar || en lugar de ??), la forma de manejar unknown error y el abuso de comentarios TODO
  • Algunos comentaron con ironía que el commit de Cloudflare que dice Remove PII haya quedado como un commit público
  • En toda la comunidad surgieron preocupaciones sobre la dependencia de Cloudflare en la IA para desarrollar y su falta de confiabilidad técnica

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-01-28
Opiniones en Hacker News

  • Los blogs técnicos de empresas de infraestructura originalmente tenían dos objetivos: demostrar experiencia y generar confianza
    Pero cuando empiezan a meter frases exageradas, terminan perdiendo ambas cosas
    No está claro si “implementamos Matrix” era una afirmación literal o una exageración de marketing, pero en toda la industria se está acumulando cansancio con publicaciones de “hicimos X” que en realidad significan “hicimos una demo de una parte de X”
    La solución es simple: escribir con claridad qué fue exactamente lo que construyeron. Incluso algo como “montamos sobre Workers un prototipo limitado de homeserver de Matrix” no les haría perder credibilidad

    • Para ser justos, los posts técnicos de Cloudflare por lo general sí tienen contenido valioso e interesante
    • Pero si lo escribieran con esa honestidad, la gerencia se enojaría. Porque eso implicaría admitir que los LLM todavía no llegan al nivel que los CEO prometieron

  • Mi interpretación es que alguien hizo tanto el post como el repositorio con ‘vibe coding’ y lo publicó en el blog de Cloudflare sin revisión
    El autor no parece ser ingeniero, y da la impresión de que simplemente creyó cuando la IA le dijo “esto ya está probado y listo para producción”
    La pista clave es que el código no está en un repositorio oficial de Cloudflare sino en un GitHub personal. Cloudflare debería reforzar sus procesos de revisión para la comunicación pública

    • Si esta persona es empleada de Cloudflare, preocupa pensar qué otras cosas estará haciendo con vibe coding. Nunca se sabe cuándo podría volver a “cortar” por “accidente” la mitad de internet, como antes
    • Según escuché, el CEO y el CTO de Cloudflare revisan personalmente todos los posts del blog
    • El problema no es solo “si se puede hacer”, sino la estructura de incentivos dentro de la organización
      Al parecer, Cloudflare considera los posts del blog como un entregable importante para todos los roles, incluidos los ingenieros. En una estructura así, es fácil que la velocidad termine importando más que la calidad
      Al final, este incidente va a reducir la confianza, aumentar los pasos de revisión y volver más lenta la publicación. Es una evolución natural en organizaciones que crecen
      Aun así, sorprende que todavía no hayan retirado el texto y que, en cambio, estén generando más confusión con las ediciones

  • Me gustaría que Cloudflare publicara un post de análisis de causa raíz (RCA) sobre este caso
    Creo que sería tan interesante de leer como un informe de incidente
    Tengo curiosidad por saber qué proceso de revisión falló esta vez y cómo piensan recuperar la credibilidad del blog

  • Fui a buscar el código fuente que mencionó Jade, y parece que el autor ya se dio cuenta de este hilo
    Enlace al commit relacionado

    • En el nuevo commit eliminaron la frase “production grade” del README, aclararon que hubo ayuda de IA y también corrigieron la alineación del diagrama ASCII
      Enlace al commit
      Sinceramente, debieron haber borrado tanto el blog como el repositorio
    • Pero ahora ese commit fue cambiado a “Clean up code comments”, diluyendo el propósito original
      Commit modificado
    • Editar las cosas de esta manera solo empeora más la situación

  • Hace apenas unos días se desmintió la noticia falsa de que Cursor había creado un navegador web desde cero con GPT-5.2, y ahora vuelve a pasar algo así
    Este tipo de historias básicamente exige una postura de escepticismo por defecto

    • Después de escribir yo mismo un artículo sobre el “experimento de navegador de Cursor”, intenté construir un navegador con un solo agente
      Post de Show HN
      Al final logré implementar en 20 mil líneas de código algo de un nivel parecido a lo que Cursor habría construido con cientos de agentes durante semanas
      Enlace al repositorio
    • El problema es que ni en el blog ni en el repositorio de Cloudflare se aclaraba que era vibe coding
      Incluso viendo solo el repositorio de matrix-workers, el diagrama ASCII desalineado ya era una pista, así que sorprende que nadie lo haya revisado
    • Cuesta entender que hayan publicado el texto sin siquiera comprobar si la funcionalidad realmente operaba
    • Hoy en día, la mayoría de la gente relacionada con “IA” parece ser estafadora o charlatana. Todavía no he visto excepciones
    • Mucha gente ya está demasiado invertida en esta “tecnología”, así que va a tomar tiempo volver a una ética hacker de no creer automáticamente lo que anuncian las empresas

  • En la parte superior del blog original agregaron una frase diciendo que “se aclara claramente que es una proof of concept”, pero abajo todavía seguía la línea
    “nuestro equipo ya está manejando comunicaciones cifradas reales con Matrix on Workers”
    Quedaba totalmente confuso cuál de las dos cosas era cierta

    • Cuesta creer la frase “nuestro equipo está usando Matrix on Workers”. El repositorio está en un GitHub personal y la implementación está incompleta
    • A las 11:45 volvieron a editarlo, y ahora dice “estamos experimentando con esta implementación y damos la bienvenida a colaboradores interesados”
      Versión archivada
    • Si de verdad lo están usando internamente así, sería sorprendente, porque significaría que están ejecutando código incompleto y riesgoso dentro de su red interna

  • Es preocupante que un gran proveedor publique código que en realidad no funciona e intente vender productos con eso
    Si hacen que la ingeniería compleja parezca fácil, se vuelve más difícil explicar que desarrollar software seguro toma tiempo
    Este tipo de acciones daña la confianza en la plataforma

    • El problema es que la industria ya lleva demasiado tiempo compitiendo hacia el fondo
      La programación con IA solo aprovechó esa fantasía simplificada, y al final fue una estructura de mercado codiciosa la que produjo este tipo de desastre

  • Como Cloudflare sigue editando el texto original, este enlace de archivo sirve para ver la versión original

    • Después de que alguien lo citó en Mastodon con el emoji 🤮, quitaron discretamente del blog la construcción típica de los LLM “not just X; Y”

  • Todo esto ha sido un episodio vergonzoso tanto para Cloudflare como para el autor
    Cuesta creer que publicaran el texto sin revisión
    Cloudflare viene acumulando errores últimamente y da la impresión de que ya pasó su mejor momento y entró en una caída gradual

    • Dan ganas de preguntarse “¿por qué Cloudflare está fallando tanto últimamente?”. Quizá tenga que ver con la nueva tecnología de moda

  • El hecho de que la cuenta que publicó el blog en Hacker News fuera una cuenta temporal (throwaway) sugiere que el propio autor no confiaba en su código ni en sus afirmaciones
    Enlace de HN

    • Además, hasta se respondió a sí mismo en los comentarios fingiendo estar haciendo preguntas