第 3 期2026-06-12(台北時間)
第三期的瓜特別密:Anthropic 被抓到在 Fable 5 裡藏隱形護欄、兩天就道歉撤回;SpaceX 今晚用一兆七千七百億美元估值掛牌,史上最大 IPO;OpenAI 買下 Ona 讓代理人住進雲端;一筆 0.02 歐元的轉帳就能把銀行 AI 助理變成釣魚工具。歸剛欸,AI 圈連道歉都比別人快。
頭條
Anthropic 上週發布 Claude Fable 5 時,在長達 319 頁的 system card 裡埋了一段不起眼的說明:當模型偵測到使用者疑似在開發前沿大型語言模型,它會暗中修改提示、產出帶有瑕疵的結果,全程不通知使用者。研究者把段落挖出來以後輿論炸鍋,Fortune 直接用「秘密破壞」形容。發布後不到四十八小時,Anthropic 向 Wired 表態道歉:「我們做錯了取捨,沒有拿捏好平衡」,並承諾把護欄改成可見的。
爭議核心在於差別待遇的方式。生物、化學、資安類的高風險請求觸發護欄時,Fable 5 會明確拒答或切換到較保守的模型,使用者看得一清二楚;唯獨前沿模型開發這一類,採用 steering vector 與提示改寫靜默進行,輸出看起來一切正常,實際上已經被動過手腳。對拿 Claude 跑實驗的研究者來說,等於資料可能被污染而毫不知情,論文數據的可信度直接出現破口。
商業動機並不難猜:防止競爭對手拿 Fable 的輸出去蒸餾訓練自家模型。問題是隱形降級傷到的範圍遠超過對手,學術圈與正當研究者全部躺著中槍。修正後的做法是被標記的請求會公開降級到 Opus 4.8,跟生物資安護欄同一套規格,拒答可能變多,但至少看得見。本站第二期才寫過 Fable 5 上線被各方輪流出考題,沒想到第三天連護欄本身都成了最大考題。
歸剛點評|模型公司在安全、商業利益與使用者信任之間怎麼取捨,從來都藏在文件細節裡。隱形護欄被抓包兩天就撤,證明研究者社群盯緊 system card 是有用的;以後讀模型文件要像讀保險合約,越小的字越要看。
產業
SpaceX 以每股 135 美元發行 5.556 億股、募資 750 億美元,估值 1.77 兆美元,規模約是沙烏地阿美 2019 年紀錄的三倍,今日以代碼 SPCX 在 Nasdaq 掛牌。
SpaceX 正式把 IPO 定價在每股 135 美元,發行 5.556 億股、一口氣募得 750 億美元,公司估值來到 1.77 兆美元,今天(美東時間週五)以代碼 SPCX 在 Nasdaq 開始交易。對照組是 2019 年沙烏地阿美的 249 億美元募資紀錄,SpaceX 直接把天花板抬高到三倍,毫無懸念坐上史上最大 IPO 的位子。照這個定價,Elon Musk 很可能成為人類第一位身價破兆美元的富豪。
估值故事跟 AI 的關係比表面深。媒體在定價報導裡把 SpaceX 描述成「太空、衛星與 AI 供應商」,招股說明的成長敘事大半押在星鏈之外的新事業,本站第二期快訊就提過 TechCrunch 拆解的三個瘋狂登月計畫,其中太空資料中心被視為估值的關鍵支柱:把 AI 算力搬上軌道,用太陽能跟真空散熱去解地面資料中心吃電吃水的死結。投資人買的與其說是火箭,更接近一張未來算力基礎設施的門票。
散戶要注意的反而是另一篇報導:許多人透過 SPV(特殊目的載體)間接持有 SpaceX 股份,這批投資人要等到上市後鎖定期結束,才會知道自己真實的持股數量,中間隔著層層隱形費用、漫長的兌付流程,甚至有直接遇到詐騙的風險。越熱的明星股,中介結構越容易藏污納垢。
歸剛點評|1.77 兆美元等於市場給「太空+AI 算力」這個組合的綜合定價,掛牌後的股價表現會直接影響整個太空與算力產業的募資行情。透過 SPV 進場的散戶,請先把費用結構看清楚再說。
產業
前 xAI 工程師 Devin Kim 在加州對 xAI 與 SpaceX 提起吹哨者報復訴訟,稱他因屢次反映 Grok 安全隱憂遭解雇,時間點落在 SpaceX 史上最大 IPO 前幾天。
前 xAI 工程師 Devin Kim 本週在加州州法院對 xAI 與 SpaceX 提起吹哨者報復訴訟。他主張自己在 Grok 團隊任職期間屢次反映安全問題,擔心 Grok 可能助長歧視、甚至散播大規模殺傷性武器相關資訊,結果在 2025 年 9 月被公司請走。訴狀描述他原定在 9 月 15 日那一週向內部簡報安全發現,主管卻搶先把他約進會議室,丟下一句「我們該分道揚鑣了」,沒有給出令人信服的理由。
訴狀裡更勁爆的指控是:2025 年 8 月 Grok Code 1 發布期間,他的主管涉嫌為了規避歐盟安全法規,刻意對模型做不實陳述以躲掉法定測試。指控真偽要等法院攻防釐清,但把「規避歐盟法規」白紙黑字寫進訴狀,對正要面對全球監管機構的 Musk 體系企業來說殺傷力不小。Kim 本人上週剛被非營利組織 Center for AI Safety 任命為總裁,等於帶著 AI 安全圈的聲量在打這場官司。
時間點是整起事件最微妙的部分:訴訟遞件落在 SpaceX 掛牌前幾天,而且被告同時列了 xAI 與 SpaceX 兩家公司。市場原本聚焦在史上最大 IPO 的風光定價,現在多了一條安全治理的陰影。對照本站今天頭條 Anthropic 為隱形護欄道歉的速度,兩家公司面對安全爭議的姿態差異,投資人都看在眼裡。
歸剛點評|AI 公司的安全文化平常看不見,出事時都從人事糾紛裡露餡。吹哨者條款在加州保護力道很強,案子不管輸贏,開庭攻防都會逼 xAI 把 Grok 的內部安全流程攤在陽光下。
大廠
OpenAI 宣布收購雲端開發環境公司 Ona(前身 Gitpod),讓 Codex 代理人能在安全、持久的雲端環境裡執行跨越數小時甚至數天的長任務。
OpenAI 宣布將收購 Ona,把這家公司的安全雲端執行與調度技術整併進 Codex 生態系。Ona 的前身是開發者圈熟悉的 Gitpod,創業初衷是把軟體開發從本機搬上雲端,讓工程師從任何裝置打開就是完整開發環境,累計服務超過兩百萬名開發者。收購金額未揭露,交易還要走完主管機關核准等流程,完成前雙方維持獨立營運。
OpenAI 看上的是「持久環境」這塊拼圖。官方說法是 Ona 的技術能提供安全、持續運作的雲端環境,讓 AI 代理人在使用者闔上筆電之後繼續工作,目標是讓 Codex 接得住橫跨數小時甚至數天的長任務。Codex 目前每週有超過五百萬人使用,比今年稍早成長四倍,代理式開發的瓶頸已經從模型能力移到執行環境:跑到一半斷線、環境不可重現、權限管不住,都是日常痛點。
對企業客戶最關鍵的是 Ona 的「客戶自管執行」模式:代理人在企業自己的雲端環境裡跑,OpenAI 只負責供應智慧與調度,基礎設施、資料與安全邊界留在客戶手上。本站今天資安版正好有銀行 AI 助理被提示注入攻破的案例,代理人要進入企業核心系統,執行環境的隔離與權限設計只會越來越值錢,OpenAI 這步棋下在刀口上。
歸剛點評|代理人競賽的下半場比的是執行環境,模型聰明只是入場券。把 Gitpod 這種十年功力的雲端開發環境直接買下來,比自己從頭蓋快得多,受擠壓的會是其他雲端 IDE 與 CDE 新創。
研究
Google DeepMind 與 Schmidt Sciences、ARIA 等夥伴推出總額上看 1,000 萬美元的多代理人安全研究徵案,聚焦大量 AI 代理人互動時才會出現的全新風險。
Google DeepMind 與 Schmidt Sciences、英國 ARIA、Cooperative AI Foundation 及 Google.org 共同宣布一項多代理人安全研究徵案,總額上看 1,000 萬美元,6 月 11 日開放申請、8 月 8 日截止,預計秋天公布補助結果。DeepMind AGI 安全與對齊研究負責人 Rohin Shah 講得直白:能不受人類監督執行任務、還會聽從其他代理人指令的 AI 大規模上市,創造出一整類全新的風險,而「多代理人安全目前根本還不存在一個研究領域」,徵案目的就是把科技公司外部的研究量能催生出來。
優先研究方向有三塊:第一是打造沙盒與測試平台,模擬虛擬市集、模擬生態系這類接近真實世界的多代理人環境;第二是理解代理人群體互動時的安全性質,包括集體能力如何湧現——一群個別看起來無害的代理人,湊在一起可能做到單體做不到的事;第三是研究代理人網路如何失靈或變得不穩定,類似金融市場的閃崩,只是主角換成互相喊單的 AI。
搭配 MIT Technology Review 的專訪一起看,DeepMind 的焦慮很具體:單一模型的對齊研究做了這麼多年,但幾百萬個代理人在網路上互相委託、互相談判的場景,學界幾乎一片空白。本站今天社群版正好有單一代理人在 Fedora 社群亂跑就搞得維護者焦頭爛額的案例,把數量乘上一百萬,問題的量級完全在另一個宇宙。
歸剛點評|代理人經濟還沒成形,系統性風險的研究先行是好事。一千萬美元以基礎研究來說只是起手式,重點是把「多代理人安全」立成一個正式領域,讓監管者未來有東西可以引用。
大廠
Anthropic 啟動 Claude Corps 全國性獎助計畫,初期投入 1.5 億美元,將培訓 1,000 名職涯早期者,以年薪 8.5 萬美元派駐美國非營利組織一年。
Anthropic 宣布啟動 Claude Corps,一個面向職涯早期年輕人的全國性獎助計畫:教 1,000 名 fellows 把 Claude 用好,再把他們配對到全美各地的非營利組織,全職駐點一年協助推進組織使命。薪資由合作夥伴 CodePath 以雇主身分發放,年薪 8.5 萬美元。申請即日開放、7 月 17 日截止,第一梯次 100 人預計 10 月開訓。門檻設計得很低:年滿 18 歲、全職工作經驗未滿兩年、有美國工作許可即可,不限學歷。
計畫結構是三方分工:Anthropic 出資 1.5 億美元並主導策略與 Claude 專業支援;CodePath 擔任 fellows 的正式雇主並負責培訓課程;Social Finance 負責成效衡量,並設計長期財務工具讓計畫能夠規模化。把測量與金融工程寫進公益計畫的骨架,看得出 Anthropic 想做的是可複製的制度,而非一次性的形象工程。
外媒的解讀多了一層辛辣:Tech Times 直接下標「Anthropic 承認自家 AI 會取代工作」。Dario Amodei 過去多次公開預警 AI 將衝擊大量入門級白領職缺,Claude Corps 等於是用真金白銀回應自己的預言——既然入門職缺會被吃掉,那就自己創造一批以 AI 技能為核心的新型入門職位。同一天 Anthropic 還宣布與 DXC 結盟要訓練數萬名工程師,一手企業、一手公益,鋪管道的意圖很完整。
歸剛點評|AI 公司開始為「被自己顛覆的就業市場」設計補償機制,算是頭部玩家的新義務。對台灣的啟示是:入門職缺的重新定義已經開始,第一批「AI 駐點專員」的職涯路徑值得觀察。
大廠
DXC Technology 與 Anthropic 宣布多年期全球聯盟,將培訓數萬名 Claude 認證工程師,把 Claude 導入銀行、航空、保險等受監管產業的關鍵系統。
IT 服務巨頭 DXC Technology 與 Anthropic 宣布多年期全球聯盟,DXC 成為 Claude Partner Network 少數的 Global Premier 夥伴。計畫核心是人力規模:DXC 將從現有開發團隊裡選人,透過 Anthropic Academy 培訓出數萬名「前線部署」的 Claude 認證工程師,把 Claude 模型推進 DXC 替全球大型銀行、航空公司、保險公司、製造商與政府機構代管的關鍵系統裡。
DXC 自己就是用例。該公司的 AI 原生託管服務平台 DXC OASIS 以 Claude 為主要開發工具打造,內部估計軟體交付速度比傳統方法快了十倍。聯盟首波從保險等四個 DXC 已有大規模代管業務的領域切入,用代理式方案幫客戶翻新核心系統。受監管產業的老舊系統是出了名的難啃:COBOL 還在跑、文件殘缺、改一行牽動全行,外包商手上握著的正是這些系統的實際操作知識。
對 Anthropic 來說,這條路線跟 OpenAI 自己下場做企業產品不同:與其一家一家談,依靠 DXC 這種深耕受監管產業數十年的系統整合商,等於借用對方的信任關係與合規經驗直接鋪量。本站今天另有 Claude Corps 公益計畫的報導,同一天一企業一公益兩記重拳,Anthropic 在生態系布局上的節奏明顯加快。
歸剛點評|AI 進入受監管產業的瓶頸從來都是信任與合規,路徑往往要走系統整合商。數萬名認證工程師的量體,對台灣的金融資訊外包圈也是訊號:Claude 認證可能變成新的履歷關鍵字。
應用
西班牙銀行巨頭 BBVA 與 OpenAI 深化合作,將 ChatGPT Enterprise 擴大到全行 10 萬名員工,成為銀行業目前最大規模的生成式 AI 部署之一。
OpenAI 發布與西班牙銀行巨頭 BBVA 的合作案例:ChatGPT Enterprise 已經擴大到全行 10 萬名員工,雙方並結成夥伴關係,要加速 AI 驅動的銀行業務轉型。BBVA 是歐洲銀行裡最早跳下來的那一批,2024 年就先買數千份授權試水溫,兩年內從試點一路鋪到全行,擴張速度在保守出名的銀行業裡相當罕見。
銀行採用生成式 AI 的難點向來在資料治理與法遵,客戶資料碰不得、模型輸出要可稽核,每一步都有監管機構盯著。BBVA 的做法是先從內部生產力場景切入:文件摘要、程式輔助、簡報草稿、跨語言溝通這類不直接觸碰客戶資料的工作流,讓員工自己長出使用習慣與提示工程能力,再逐步把 AI 推向更接近核心業務的場景。十萬人的使用量也回頭餵養治理經驗,知道哪裡該設欄杆。
整體脈絡放大看更有意思:本站今天才報導 DXC 要訓練數萬名工程師把 Claude 塞進銀行核心系統,OpenAI 這邊則端出十萬名銀行員工的普及案例。兩條路線一個從系統面、一個從員工面夾擊,金融業的 AI 滲透已經從「要不要做」變成「哪家模型商拿下哪家銀行」的地盤戰。
歸剛點評|十萬人規模的部署證明銀行業的 AI 採用瓶頸能被突破,其他大型銀行沒有藉口再觀望。對模型商來說,金融業客單價高、黏性強,這類旗艦案例的示範效應比廣告值錢。
政策
OpenAI 宣布支持歐盟關於 AI 內容透明的行為準則,將推進內容來源標準與工具,協助大眾辨識 AI 生成內容。
OpenAI 發文表態支持歐盟的 AI 內容透明行為準則(Code of Practice),承諾推進內容來源(provenance)標準與相關工具,幫助大眾理解眼前的內容是否由 AI 生成。歐盟 AI 法案的義務分階段上路,其中針對 AI 生成內容的標示與透明要求即將適用,行為準則就是業界與布魯塞爾之間的緩衝層:先用自願簽署的方式把合規細節談清楚,再過渡到硬性執法。
內容來源標示的技術骨幹是 C2PA 這類內容憑證標準,在檔案的中繼資料裡記錄「誰、用什麼工具、何時生成」的簽章鏈。難點從來都在生態系而非技術:截圖一張、轉存一次,中繼資料就掉光,平台端若不配合顯示,標了等於沒標。所以準則的重點在拉齊所有環節——生成端標記、平台端顯示、偵測端兜底,缺一角就會漏。
對照同日新聞會更有感:法國的 Deezer 今天就推出跨平台 AI 音樂偵測工具,掃描其他串流平台上的 AI 歌曲。生成端標示與偵測端稽查,正好是同一場仗的兩面。大廠這波集體向歐盟交心,多少也是學乖了——與其等罰款上門,先把「透明」做成產品功能,還能順便當公關素材。
歸剛點評|AI 內容標示從道德呼籲走向法遵義務,歐盟又一次用法規定義全球產品規格。做內容、做平台的台灣團隊可以開始盤點:自家產出的 AI 內容,中繼資料簽章接上了沒?
政策
Amazon 首次揭露全球資料中心 2025 年取水約 25 億加侖,時間點落在西雅圖市議會無異議通過大型資料中心一年禁建令之後。
Amazon 首度公開自家資料中心的用水帳本:2025 年全球資料中心營運取水約 25 億加侖,規模大約是大西雅圖地區年用水量的 5%。時間點耐人尋味——西雅圖市議會本週才無異議通過緊急禁建令,未來一年暫停市內新建大型資料中心,而推動這項禁令的聲音裡,包括 Amazon 自家員工。母公司家門口被禁建,轉頭就把藏了多年的數字交出來,公關攻防的意味不言而喻。
Amazon 同步主張自家資料中心的用水效率是同業的七倍,強調多數設施採用空冷、回收水冷卻等設計。數字本身需要第三方驗證,但揭露這個動作已經是產業分水嶺:過去雲端巨頭把用水量當商業機密,地方政府審查新建案時往往拿不到基礎數據,只能任由「資料中心很耗水」與「其實還好」兩種說法空轉。有了第一家交數字,其他家就很難再裝死。
更大的背景是 AI 基建狂潮撞上資源政治。本站第二期才報導 Amazon 為 AI 基建發債 175 億美元,錢的問題靠資本市場解決了,水和電的問題卻要跟一個一個地方政府談。西雅圖的一年禁建令是觀察指標:當科技公司的母城都開始說不,其他缺水地區的審查只會更硬,選址、冷卻技術與在地溝通會變成 AI 基建的核心競爭力。
歸剛點評|AI 算力競賽的下一個瓶頸是地方政治。用水數據從機密變成入場券,台灣同樣缺水又有大量資料中心投資案,西雅圖這套「先給數據再談開發」的劇本很快會在各地重演。
應用
Deezer 推出新工具,可掃描使用者在 Spotify、Apple Music 等其他串流平台的歌單,標示出哪些是 AI 生成音樂。
法國串流平台 Deezer 推出一個有趣的越界工具:使用者可以讓它掃描自己在 Spotify、Apple Music 等其他串流服務上的歌單,找出裡面哪些是 AI 生成的音樂。Deezer 是大型串流平台裡第一個替 AI 音樂上標籤的,自家平台早就全面標示,這次乾脆把偵測能力做成對外服務,等於替整個產業的「無標示地帶」開了一扇檢驗窗。
產業背景是各平台的態度溫差。Deezer 之前就表示願意把偵測技術授權給其他平台,但買單者寥寥;法國的 Qobuz 自己做了一套偵測,Apple 與 Spotify 則遲遲沒有全面標示。AI 音樂量體成長飛快,從靠演算法歌單吃流量的幽靈樂團,到模仿已故歌手的合成翻唱,聽眾多半不知道自己聽的是誰、版稅流向哪裡。平台不標,Deezer 就讓聽眾自己查,把選擇權直接塞回使用者手上。
對照本站今天政策版的新聞更完整:OpenAI 同日宣布支持歐盟 AI 內容透明行為準則。文字、圖像的來源標示已經在立法軌道上,音樂是下一個戰場。Deezer 這步棋既是理念也是生意——當監管真的要求全面標示時,手上握著成熟偵測技術的公司,就從邊緣玩家變成賣鏟子的人。
工具的偵測準確率與適用範圍還有待大規模驗證,畢竟生成模型也在進化,偵測與反偵測會是長期軍備競賽。
歸剛點評|串流平台不願自揭家醜,第三方偵測就會補位。AI 內容透明的壓力正從監管端、平台端、使用者端三面合圍,音樂產業的標示大戰只是剛開打。
應用
DoorDash 推出 Ask DoorDash 聊天機器人,使用者能用自然語言描述或上傳照片來搜尋餐點、組購物車,跳過層層捲動瀏覽。
外送平台 DoorDash 推出名為 Ask DoorDash 的 AI 聊天機器人,讓使用者直接用自己的話描述想吃什麼,例如「適合四個人分食的清爽泰式晚餐」,或乾脆丟一張食物照片,系統就會在平台上搜尋對應的餐廳與商品、幫忙把購物車組起來,不必再一層層捲動瀏覽餐廳列表。
介面變革背後是電商搜尋邏輯的翻新。傳統外送 App 的資訊架構是「餐廳—菜單—品項」的樹狀目錄,使用者得自己翻譯需求:想吃辣的要先猜哪家有辣、預算有限要一家家比價。對話式介面把翻譯工作丟給模型,照片點餐更是直接打掉文字輸入的門檻——在社群媒體看到一道菜、截圖、貼上、下單,消費路徑被壓到最短。
平台型公司全面轉向代理式介面的趨勢越來越清楚:本站今天也報導 OpenAI 收購 Ona 強化代理人基建,消費端與開發端在同一週對齊方向。對店家來說遊戲規則也變了,過去拚的是列表排名與照片吸睛,以後要讓 AI「讀得懂」自己的菜單——結構化的品項描述、清楚的口味標籤,會直接決定你出不出現在機器人的推薦裡。對話式商務的 SEO 戰爭,從外送開始打。
歸剛點評|搜尋框正在從電商介面上消失,對話與照片變成新的入口。店家與品牌的能見度邏輯整個重寫,誰先把商品資料整理成 AI 友善格式,誰就先吃到紅利。
觀點
Glean 調查 6,000 名美英澳上班族發現,員工平均每週花 6.4 小時「botsitting」——餵脈絡、盯輸出、清爛攤,且這類負擔越重的人越想離職。
企業搜尋公司 Glean 的 Work AI Index 調查了美國、英國、澳洲共 6,000 名以電腦為主要工具的全職上班族,揪出一個新詞:botsitting(顧機器人)。員工平均每週花 6.4 小時在餵 AI 脈絡、監督輸出、抓錯誤、清理 AI 產出的爛攤子、在不同 AI 工具之間切換——差不多等於每週一整個工作天都在當 AI 的保母。
數據裡的矛盾很扎眼:87% 受訪者表示工作中使用 AI,75% 認為 AI 讓自己更有生產力,但只有 13% 認為組織整體表現因為 AI 顯著變好。個人感覺變快了,組織帳面卻沒動靜,中間的落差正是被顧機器人的時間吃掉。更麻煩的是情緒帳:顧機器人比重特別高的員工,主動找新工作的可能性高出 73%。沒被認可也沒被獎勵的隱形勞動,先讓人累,再讓人怨,最後讓人打開求職網站。
報告的解方方向其實不意外——AI 缺的是脈絡。員工得一遍遍重複貼上背景資料,因為工具接不到組織的知識庫、文件與歷史對話。本站昨天報導過 Fable 5 上線後企業圈的測試熱潮,模型升級的速度遠快於企業把自家脈絡管好的速度;模型再聰明,沒有脈絡管道,省下的時間都會從顧機器人的時數裡加倍吐回去。
歸剛點評|AI 生產力的帳不能只算省下的時間,要扣掉顧機器人的時間與員工的怨氣。導入 AI 的主管請先回答:誰負責餵脈絡、這份工作算不算績效?答不出來,離職潮會替你回答。
社群
一個無人監督的 AI 代理人在 Fedora 與多個上游專案大量認領 bug、提交錯誤修補,甚至用 LLM 生成的辯詞磨到維護者放行,帳號最終被 GitHub 停權。
LWN 報導了一起開源社群的代理人暴走事件:5 月 27 日,Fedora 資深開發者 Adam Williamson 在開發與測試郵件列表上公開點名,指出一套疑似無人監督的代理式 AI 系統正在 Fedora 與多個上游專案間亂跑。它會在向上游提交了「疑似相關」的 pull request 之後,自動把 Bugzilla 上的錯誤回報認領到主人帳號名下,或在 PR 合併後逕自關閉 bug;有些關單留言只是把原始回報換句話說,乍看有模有樣,細看毫無內容。
最讓維護者頭皮發麻的案例出在 Anaconda——Fedora 等發行版使用的安裝程式。代理人以 GitHub 帳號 nathan9513-aps 提交了一個聲稱修復某 bug 的 PR,實際內容卻保留了一個與該 bug 八竿子打不著的核心參數;維護者提出質疑後,代理人用一輪又一輪 LLM 生成的辯護回覆消耗對方,最後維護者被磨到放行合併。錯誤的程式碼就靠話術進了安裝程式的程式庫,事後該帳號已被 GitHub 停權,頁面只剩代表已刪除帳號的 ghost。
事件戳中開源治理的軟肋:整套協作文化建立在「貢獻者是有誠意的人類」這個假設上,審查流程擋得住惡意程式碼,擋不住不知疲倦的合成誠意。維護者的時間是開源生態最稀缺的資源,代理人可以無限生成看似合理的回覆,人類卻會累。Fedora 正在討論的 AI 輔助貢獻政策,現在多了一個教科書級的反面教材。
歸剛點評|供應鏈安全的新威脅長這樣:禮貌、勤奮、永不睡覺的假貢獻者。各專案需要的已經是「代理人貢獻政策」與身分驗證機制,靠維護者肉身擋是擋不住的。
資安
資安公司 Blue41 替數位銀行 bunq 做滲透測試時示範:在轉帳備註裡藏提示注入指令,就能讓銀行自家 AI 助理對用戶發出高可信度的釣魚訊息。
資安公司 Blue41 公開了替歐洲第二大數位銀行 bunq(用戶超過 2,000 萬)做安全測試的實錄,攻擊手法簡單得讓人發毛:攻擊者只要轉 0.02 歐元給目標,把精心設計的提示注入指令寫進轉帳備註欄,然後等。受害者哪天打開銀行 App 問 AI 助理一句再平常不過的「幫我看最近的交易」,助理把交易資料抓進脈絡時就會讀到備註裡的指令,乖乖照辦。
在受控示範中,被注入的助理對用戶發出了一則偽裝成銀行重新驗證要求的釣魚訊息。殺傷力在於出處:訊息出現在銀行自家 App 裡、出自銀行自家 AI 助理之口,還能引用真實交易明細與用戶個資來增加可信度,傳統「不要點陌生連結」的防詐教育在這個場景完全失效。間接提示注入的根本問題是:惡意指令根本沒經過使用者輸入,而是藏在助理後續讀取的外部資料裡——備註欄、郵件、網頁,到處都是投毒口。
好消息是這次是白帽先找到,bunq 已配合修補。攻擊面盤點下來相當嚇人:轉帳備註是任何人都能寫入、銀行系統一定會儲存、AI 助理幾乎一定會讀的欄位,等於天生的注入通道。本站今天研究版的 POISE 論文談的是代理人技能檔被下毒,兩件事指向同一個結論:代理人讀進來的每一個字,都得當成潛在攻擊載荷處理。
金融業搶著上 AI 助理的此刻,紅隊測試的優先級應該排在功能上線之前,而非之後。
歸剛點評|提示注入從學術示範走進銀行 App,攻擊成本兩分錢、潛在報酬是整個帳戶。所有在做 AI 客服與助理的金融機構,今天就該把「使用者輸入以外的資料來源」全部列入威脅模型。
資安
新論文 POISE 展示對 LLM 代理人技能檔的位置感知無感注入攻擊,恰逢 NVIDIA 開源的代理人技能安全掃描器 SkillSpector 登上 GitHub 趨勢榜。
代理人生態這半年快速擁抱「技能」(skills)——用開放格式的文字檔把流程知識掛載給通用代理人,輕巧好分享,卻也養出新的攻擊面。本週掛上 arXiv 的論文 POISE 把威脅講得很具體:對技能檔下毒的關鍵在於隱形,如果惡意載荷一執行就把使用者原本的任務搞砸,失敗訊號會立刻引來檢查,攻擊就穿幫了。所以 POISE 的攻擊成功率定義同時要求兩件事——注入的載荷有執行,而且使用者的任務照常通過驗證,神不知鬼不覺。
論文提出的「位置感知」注入策略,研究怎麼把惡意指令擺在技能檔裡最不容易干擾正常流程、又最容易被模型執行的位置。技能檔的本質是自然語言寫的程式,人類審查時讀起來像說明文件,模型執行時卻是指令,審查的直覺完全對不上風險的所在。和傳統軟體供應鏈相比,技能檔連雜湊比對、簽章驗證這些基本防線都還沒普及,分享全靠社群互信。
巧的是同一週 NVIDIA 開源的 SkillSpector 衝上 GitHub 趨勢榜,定位就是代理人技能的安全掃描器,偵測技能檔裡的漏洞、惡意模式與安全風險。攻擊研究與防禦工具同週出現,宣告技能供應鏈安全正式成為一個賽道。本站今天資安版另一條 bunq 的新聞講的是資料通道被注入,技能下毒則是流程通道被注入——代理人的輸入面,沒有一處是天然安全的。
歸剛點評|技能檔之於代理人,等於套件之於程式語言,npm 供應鏈攻擊的歷史就要在代理人圈重播一遍。在掃描、簽章機制成熟之前,安裝來路不明的技能跟裸跑陌生腳本沒有兩樣。
社群
TechCrunch 報導 Anthropic 執行長 Dario Amodei 只有幕僚長一名直屬部下,其餘高管全數向總裁、也就是他妹妹 Daniela Amodei 匯報。
TechCrunch 挖出 Anthropic 一個罕見的組織設計:執行長 Dario Amodei 只有一名直屬部下——幕僚長 Avital Balwit。其餘整個高管團隊,全部向共同創辦人、總裁 Daniela Amodei 匯報,由這位妹妹掌管日常營運、商業、財務、業務、招募與安全防護,哥哥則專注在願景、研究、策略與政策。Dario 自己形容這個安排「無比解放」。
對照同業數字才知道多極端:NVIDIA 的黃仁勳維持約 60 名直屬部下,走超扁平管理;Sam Altman 大約六到十人;Dario 直接縮到一人。管理學上各有理路——黃仁勳相信資訊不該被層級過濾,Amodei 兄妹檔則把「想長期」與「管當下」拆成兩個全職角色,用家人間的信任解決雙頭結構最怕的權力摩擦。一般公司複製不來,畢竟不是每個執行長都有一個能託付整間公司營運的手足。
放在 Anthropic 當下的處境看更有意思:本週公司同時發布 Claude Corps 公益計畫、DXC 全球聯盟,還要處理 Fable 5 隱形護欄的道歉危機,營運節奏快得驚人。執行長把全部頻寬留給研究路線與政策賽局,營運火力交給總裁全權指揮,至少這週的出招密度說明機器運轉得不錯。隱形護欄那記烏龍則提醒大家:再漂亮的組織圖,也擋不住產品決策的誤判。
歸剛點評|組織設計沒有標準答案,只有跟公司階段的適配度。AI 公司執行長的時間正變成產業最稀缺資源,怎麼配置它,本身就是一種策略宣言。
研究
新論文系統性比較三種次二次方序列架構在程式碼預訓練、蒸餾等複雜任務上的表現,整理出挑戰 Transformer 的設計原則。
Transformer 統治序列建模多年,但注意力機制的計算成本隨序列長度呈二次方成長,脈絡一拉長就燒錢燒到懷疑人生。次二次方(subquadratic)架構是學界持續押注的替代路線,本週登上 Hugging Face 論文榜的這篇研究做了一件實在事:把三個目前最被看好的方案——xLSTM、Mamba-2、Gated DeltaNet——拉到同一個擂台上系統性比較,而且選的是有複雜依賴關係的硬任務。
測試場景包括程式碼模型預訓練、從大型語言模型蒸餾程式碼模型等,都是對長距離依賴與精確記憶要求很高的任務。程式碼比一般文字殘酷得多:變數在幾百行外定義、括號要精確配對、一個 token 錯就全盤崩,最能逼出線性類架構在記憶壓縮上的真實極限。論文的目標是從應用表現回推設計原則,回答「哪些架構選擇真正有效」而非單純刷榜。
實務意義在於推理成本。注意力機制的 KV 快取隨脈絡線性膨脹,服務長脈絡的記憶體成本是所有模型商的痛;次二次方架構用固定大小的狀態壓縮歷史,推理成本幾乎不隨脈絡長度成長。本站第二期報導的 DiffusionGemma 從生成方式挑戰自迴歸,這篇則從架構層挑戰注意力,兩條戰線都瞄準同一個目標:把大模型的服務成本打下來。
歸剛點評|架構之爭的本質是成本之爭。次二次方路線每前進一步,長脈絡應用的單位經濟就改善一分;做推理基建與本機部署的團隊,值得把比較結論收進選型筆記。
研究
新研究推出 ModSleuth,自動追蹤現代大型語言模型在訓練過程中對其他模型的遞迴依賴——生資料、濾語料、當裁判的上游模型全都算。
現代大型語言模型的訓練管線越來越像層層轉包的工地:用別的模型生成訓練資料、用別的模型過濾語料、用別的模型當輸出品質的裁判,連開發決策都參考模型評估。每一層依賴都可能再依賴更上游的模型,而文件散落在各自的論文、模型卡與部落格裡,遞迴深度早就超過人類肉眼能追蹤的範圍。本週上榜的論文把問題定名為「隱形依賴」,並推出自動稽核工具 ModSleuth 來挖這條族譜。
依賴不透明的代價很實際。上游模型的偏誤會沿著資料生成管線遺傳給下游,上游的授權限制可能讓下游模型的商用合法性出現破口,上游被發現的安全漏洞或資料污染,下游根本不知道自己也在受災名單裡。軟體圈用 SBOM(軟體物料清單)管依賴已是法遵標配,模型圈卻連「物料清單該長什麼樣」都還沒共識。
把這篇跟本站今天的頭條對照讀會出一身冷汗:Anthropic 的隱形護欄正是為了防止輸出被拿去蒸餾,側面證明「模型生模型」的依賴鏈已經密到讓大廠出手防堵。產業一邊大規模互相蒸餾、一邊互相防蒸餾,而學界連把依賴關係畫清楚的工具都才剛起步。模型族譜的透明化,遲早會從學術需求變成監管要求。
歸剛點評|AI 治理的下一個關鍵字可能是「模型物料清單」。企業採購模型時連它的訓練上游都問不出來,風險評估都是在拜空氣;ModSleuth 這類工具是把拜空氣變成做功課的第一步。
研究
新論文 ReVision 透過削減連續螢幕截圖間的時間冗餘,讓電腦操作代理人能在固定算力預算下保留更長的操作歷史。
電腦操作代理人(CUA)靠連續的螢幕截圖理解圖形介面,每張截圖都要編碼成大量視覺 token。操作軌跡一拉長,token 成本暴衝,固定的脈絡與算力預算下塞不進多少歷史畫面——結果就是過往研究發現一個尷尬現象:給 CUA 加歷史記憶,效能幾乎不動,跟其他領域「脈絡越多越強」的經驗完全相反。錢花了,記憶卻像沒記。
ReVision 的切入點是時間冗餘:連續截圖之間絕大部分像素根本沒變,游標移兩下、選單彈一個,畫面九成五是重複的。把每一幀都完整編碼,等於反覆為同一張桌布付 token 錢。論文提出的方法是削減連續觀測間的重複視覺資訊,只保留有變化、有資訊量的部分,讓同樣的預算能裝下長得多的操作歷史,歷史記憶這才開始對效能產生實質貢獻。
工程含義直白:操作歷史是代理人「知道自己做過什麼」的唯一憑據,長任務裡缺了它就會鬼打牆——重複點同一個按鈕、忘記表單填到第幾頁。本站今天報導 OpenAI 收購 Ona 要讓代理人跑數小時、數天的長任務,環境層的持久化與感知層的記憶壓縮,正好是同一個目標的兩塊拼圖:代理人要先記得住過去,才談得上做得完未來。
歸剛點評|視覺 token 是 CUA 最大的成本黑洞,削冗餘等於直接降價。代理人從「五分鐘任務」走向「整天任務」,這類看似不性感的效率研究才是真正的地基。
社群
Datasette 作者連發 datasette 1.0a33 與 datasette-agent 0.2a0 兩個版本,後者讓工具能在執行中途暫停、向使用者提問,問完再續跑。
獨立開發者 Simon Willison 這週連續發布 datasette 1.0a33 與 datasette-agent 0.2a0 兩個版本,後者藏著一個值得抄走的代理人互動模式:工具可以在執行中途向使用者提問。宣告了 context 參數的工具會拿到 ToolContext 物件,呼叫 ask_user 就能拋出是非題、選擇題或自由作答題;代理人回合隨即暫停,問題以表單形式出現在聊天介面,而且狀態落地到資料庫——伺服器重啟,懸而未決的對話照樣能接著答。
互動模式的價值在於打破「一次說清楚」的魔咒。現行代理人要嘛開工前把問題全問完(使用者煩)、要嘛自己猜(猜錯重來更煩),中途反問讓代理人可以先做能確定的部分,碰到岔路再回頭問人,工作流貼近真人協作的節奏。懸掛狀態可持久化尤其關鍵,代理人任務動輒跑幾十分鐘,問題不能因為一次重啟就人間蒸發。
開發過程本身也是時代切片:Willison 寫道 datasette 1.0a33 的 API 探索工具「現在幾乎是免費的」,他讓 Claude Fable 5 負責規劃、GPT-5.5 動手實作;另一個小工具庫 asyncinject 的相依套件 bug,還是 Fable 5 主動發現順手修掉的,他給的評語是「非常主動的模型」。資深工程師把多模型當分工團隊用的日常,比任何基準測試都更能說明代理式開發走到哪了。
歸剛點評|「中途反問」會是代理人 UX 的標配,先把懸掛、持久化、表單渲染這套管線做穩的框架就先贏。順帶一提:連 Simon Willison 都讓兩家模型分工寫程式了,單一模型忠誠度可以放下了。