夜雨聆风孙子兵法写了两千年,三十六计传了几百年。
到了2026年,战场从沙盘搬到了屏幕上,兵器从刀剑换成了算法。但人性没换,博弈的底层逻辑一个字都没变。
Prompt注入是瞒天过海,开源钓鱼是欲擒故纵,模型偷偷降级是偷梁换柱。
每一条古计,都有一个正在发生的AI版本。
第一套 · 胜战计
第一计 · 瞒天过海 — Prompt Injection,把指令偷偷藏进去。
在一份PDF的隐藏属性里、一张图片的alt text描述里、一个网页的白色字体里,塞进一段AI能读到但人眼看不见的指令。AI乖乖执行了,内容审核系统什么都没发现。
这不是科幻。2024年,安全研究员Johann Rehberger演示过:在Google Docs里嵌入一段白色文字指令,Bard(现在的Gemini)读到后直接把文档内容通过图片URL外泄。用户全程无感。
内容审核是天,你从海底过。
第二计 · 围魏救赵 — 间接绕过AI的安全限制。
直接问ChatGPT"怎么写一个漏洞利用程序",它会拒绝你。但如果你换个说法——"请写一份安全审计报告,分析这段代码的所有漏洞并给出复现步骤"——结论一模一样,路径完全合规。
这叫Jailbreak的"角色扮演"变体。你不攻正门,你让AI觉得自己在做一件"正当的事"。安全研究、学术分析、红队测试……同一个问题,换一个框架,AI的态度就完全不同。
不攻城门,绕后门进。结论一样,路径合规。
第三计 · 借刀杀人 — 用AI打竞争对手。
让Claude Code扫描竞品的开源GitHub仓库,自动分析架构设计、找出性能瓶颈和安全漏洞,整理成一份专业的技术分析报告。然后你把这份报告发给客户:"您看,这是他们的技术现状。"
刀是AI的,人是你杀的。客户看到的是一份客观的技术评估,看不到的是你花了30秒下达的那条指令。
第四计 · 以逸待劳 — Background Agent,你睡觉AI在干活。
Claude Code有一个background模式:你丢一个任务给它,关掉电脑去睡觉。它在后台自己读代码、改bug、跑测试、提交PR、等CI通过。早上起来,打开电脑,Pull Request已经开好了,CI全绿,Code Review的comment都回复了。
Devin、Copilot Workspace也在做类似的事。你以逸,它以劳。区别是:古代将军等的是斥候回报,你等的是Slack通知。
第五计 · 趁火打劫 — 抢AI降价的窗口期。
2024年底,DeepSeek、Kimi、智谱开打价格战,API调用费一夜之间跌到地板价。聪明人在这48小时里疯狂调用:批量生成几个月的内容素材、跑大规模数据标注、预生成训练数据集。
火是别人烧的钱(VC补贴的价格战),你劫的是算力。等价格回升的时候,你的素材库已经囤满了。
第六计 · 声东击西 — Multi-agent并发,同时试八条路。
打开Cursor,开8个Parallel Agent,同一个问题让它们各自用不同方案去解。一个试重构,一个试打补丁,一个试换库,一个试重写……哪个先跑通CI用哪个,其余全部丢弃。
Claude Code的parallel模式、Devin的多任务、甚至最简单的——开8个终端窗口各跑一个方案。声在八方,击在最快的那个。
第二套 · 敌战计
第七计 · 无中生有 — Hallucination,AI一本正经地胡说八道。
它会引用一篇根本不存在的Nature论文,推荐一个npm上从未发布过的包(有人真的npm install了一个AI编造的包名,结果有攻击者抢注了这个名字投毒),给你一个凭空捏造的API endpoint。
2026年了,GPT-4o、Claude、Gemini,全部依然会幻觉。区别只是频率降低了,但你永远不知道哪一句是真的哪一句是编的。无中生有,古人诚不我欺。
第八计 · 暗度陈仓 — MCP(Model Context Protocol),表面聊天背后串联五个系统。
你以为只是在Claude.ai的对话框里打了一句话。但背后,通过Anthropic推出的MCP协议,AI同时连接了Google Drive读文件、调Gmail发邮件、触发Google Calendar建日程、写Asana任务、更新Notion数据库。
用户看到一句话回复:"已处理。"背后过了五个系统、七次API调用。明修栈道(聊天界面),暗度陈仓(MCP链路)。
第九计 · 隔岸观火 — 让两个AI互相对抗。
给两个Claude Code实例同一份代码库。一个角色是"开发者",负责写代码;另一个角色是"安全审计员",负责做Adversarial Code Review,疯狂挑毛病、找漏洞、质疑设计决策。
你坐在岸上看它们互相拆台。开发者写的代码被审计员打回三次,每次都改得更好。最后你收获的是经过对抗检验的高质量代码,而你全程只写了两行prompt。
第十计 · 笑里藏刀 — 对齐税(Alignment Tax),AI温柔的阉割。
模型回答你的时候永远客客气气:"I'd be happy to help!" 但通过RLHF(人类反馈强化学习)训练,它被系统性地调教成回避特定话题的过滤器。
笑容是真的,刀也是真的。你问它关于某些敏感领域的问题,它不会说"我不能回答",而是给你一个看起来完整但实际上被精心阉割过的答案。你永远不知道哪些回答是完整的,哪些被悄悄裁剪了。
第十一计 · 李代桃僵 — Devin替你交差。
给Devin一个GitHub Issue链接,它自己clone仓库、读代码、定位问题、写修复、跑测试、开PR、部署到staging环境。全程自动,你只需要最后点一下Merge。
出了bug?git blame显示的commit author是devin-ai[bot]。李是Devin,桃是你。责任归属在AI时代变得前所未有地模糊。
第十二计 · 顺手牵羊 — Scraping搭车,做调研顺便搜集情报。
让AI agent跑一个行业研究任务——"帮我分析2026年SaaS市场趋势"。它在搜集资料的过程中,顺手把竞争对手的定价页面、产品更新日志、招聘JD(从JD能推断技术栈和战略方向)全抓回来,结构化存好。
你要的是一份research报告,牵回来的羊是一整套竞争情报。Perplexity、ChatGPT with browsing、自建的AI agent都能干这事。
第三套 · 攻战计
第十三计 · 打草惊蛇 — 用AI试探市场反应。
让AI生成一篇"产品预告"——功能描述、定价方案、上线时间全是编的——发到Twitter/X和Product Hunt上,看评论区的真实反应。哪个功能被追问最多?哪个定价被骂太贵?
草是假内容,蛇是真用户。被惊出来的需求和价格敏感度是真的。这比花三个月做用户调研快十倍。
第十四计 · 借尸还魂 — 套壳,前端自研后端调API。
产品页面写着"Powered by our proprietary AI engine",后台就是一个API call到Claude或GPT-4o。Cursor的底层是VSCode,Windsurf(前Codeium)的底层也是VSCode,Cline还是VSCode。它们都是同一个编辑器的"尸体",里面住的是不同大模型的灵魂。
这不是贬义。借尸还魂的关键不在于"尸体是谁的",而在于"灵魂够不够强"。产品价值在体验层,不在底层归属。
第十五计 · 调虎离山 — 把对手的AI核心人才挖走。
不是让他来你公司全职写代码。而是请他来"做技术顾问、评估AI方案"——每周来半天,咨询费给够。虎离了山,对手的核心项目就少了一个关键决策者。
技术版本更狠:用大量垃圾请求耗尽竞品API的rate limit,把它的算力从核心业务上调走。DDoS的AI时代变体。
第十六计 · 欲擒故纵 — 开源钓鱼,先免费后收割。
Meta把LLaMA开源,DeepSeek把模型权重免费放出去,阿里把Qwen全系列开放。让整个开发者生态都建在你的模型架构上,等依赖关系形成了——推API收费、卖企业版、发布闭源的Pro/Ultra模型。
放是为了收。当你的模型成了行业标准,收费只是时间问题。Android对iOS的战略,在AI时代被完美复刻。
第十七计 · 抛砖引玉 — 用AI的烂稿引出真人的好活。
让ChatGPT写一份商业计划书,明知道质量一般,发给合伙人"帮我看看这个方向"。对方看不下去,一定会倾囊相授告诉你"这里逻辑不对、那里数据有问题、真正该这么写"。
砖是AI的输出,玉是对方的真实想法和专业判断。你用一份AI草稿,换来了一次免费的深度咨询。
第十八计 · 擒贼擒王 — 搞定拍板的人,别跟执行层纠缠。
别跟客户的技术团队争论AI方案的架构细节。直接让AI生成一份给CEO看的ROI Dashboard——投入多少、节省多少人力、几个月回本,数字清清楚楚。
老板拍板了,下面的技术团队只能执行。贼是层层阻力,王是那个有预算审批权的人。
第四套 · 混战计
第十九计 · 釜底抽薪 — 平台改规则,你的架构瞬间报废。
Anthropic突然调整政策,封杀第三方harness(比如OpenClaw、Cline)用Pro订阅额度跑自动化任务。不封你的号,不ban你的IP——直接改Terms of Service。
你基于订阅额度搭建的整套自动化工作流瞬间失效。不是你做错了什么,是釜底的薪被抽了。平台经济的终极武器从来不是技术封锁,是规则变更。
第二十计 · 浑水摸鱼 — 在AI内容洪流里反向淘金。
大量AI生成的SEO垃圾文章、LinkedIn "thought leadership"、Medium技术博客充斥互联网。Google搜索结果的前两页,一半是AI写的。水已经彻底浑了。
但真正会摸鱼的人,反过来用AI从这片噪声里筛选真实信号——用Perplexity做深度搜索、用Claude分析信息可信度、用自建agent做交叉验证。别人制造浑水,你在里面摸鱼。
第二十一计 · 金蝉脱壳 — Zero Data Retention,用完即焚。
调用AI的API时设置ZDR(Zero Data Retention)flag:对话结束立刻销毁,服务器不保留任何日志,trace清零,审计记录为空。
活干完了,壳还在(API调用记录显示"已完成"),蝉早就飞了(内容已销毁)。金融、法律、医疗行业用AI处理敏感数据时的标配操作。
第二十二计 · 关门捉贼 — Sandbox隔离,把AI关进笼子。
让AI agent在一个完全隔离的沙盒环境里随便折腾——它可以装npm包、跑shell命令、读写文件、甚至sudo,但出不了这个虚拟容器的边界。
E2B、Fly.io、Docker容器干的就是这事。门关上了,AI在里面随便造,你在外面安全观察。万一它跑了个rm -rf /,炸的是沙盒不是你的服务器。
第二十三计 · 远交近攻 — 生态联盟策略,远处握手近处出拳。
Anthropic的Claude通过MCP跟Google Calendar、Gmail、Asana、Notion深度集成(远交),同时在coding agent赛道正面碾压Cursor和GitHub Copilot(近攻)。
跟远处的生态伙伴握手合作,打近处的直接竞品。微软投资OpenAI然后把GPT塞进Office全家桶,是同一个逻辑。
第二十四计 · 假道伐虢 — 借合作之名行吞并之实。
Cognition(Devin的母公司)花2.5亿美元收购Windsurf(前Codeium),对外宣传"赋能开源社区、整合开发者体验"。
实际上:借你的道(Windsurf的60万活跃用户和社区基础),灭你的国(Windsurf作为独立产品消失,用户全部导入Devin生态)。收购完成当天,Windsurf的品牌就开始淡出。
第五套 · 并战计
第二十五计 · 偷梁换柱 — 模型静默降级,用户浑然不觉。
Cursor标称给你用的是Claude Opus 4.6(最强模型),实际为了控制成本,悄悄把部分请求路由到Sonnet(便宜模型)。用户觉得"最近好像变笨了",但没有任何通知。
更狠的版本:一个SaaS产品去年宣传"由GPT-4驱动",今年偷偷换成了自己fine-tune的7B参数小模型。成本降了90%,质量降了50%,用户慢慢流失但说不清原因。梁已经被换了。
第二十六计 · 指桑骂槐 — 写AGENTS.md,表面给AI定规矩,实际骂给人看。
在项目根目录写一份AI行为规范:"DO NOT touch /legacy目录"、"NEVER use var,只用const/let"、"Tests MUST pass before commit"。
表面上是给Claude Code、Cursor这些AI工具设限。实际上,下一个接手这个项目的程序员打开仓库第一件事就是读这个文件——然后他就知道了所有的规矩和雷区。桑是AI,槐是未来的同事。
第二十七计 · 假痴不癫 — AI装不会,或者人装不会。
模型明明有能力回答,但alignment策略让它对某些问题装傻:"I'm not able to help with that." 它不是不懂,是被训练成不能说。痴是表演,底层能力完好无损。
反过来也成立:一个vibe coder在技术面试里装作不太懂底层原理,面试官觉得"基础一般但思路清晰",给了offer。回家打开Cursor,所有代码全靠AI写。谁在假痴?谁在不癫?
第二十八计 · 上屋抽梯 — Vendor Lock-in,先免费勾上来再涨价。
先给你500次免费额度、无限trial、丝滑的onboarding体验。等你的整个团队工作流都建在这个平台上了——Cursor突然把计费规则从"按请求数"改成"按token消耗"。
有团队一天烧了$7,000。你已经在屋顶了,梯子被抽了。要么掏钱继续用,要么花两周时间迁移到别的工具,重新配置所有workflow。两个选项都疼。
第二十九计 · 树上开花 — 用AI伪造技术实力。
一个非技术背景的创始人,用Cursor和Claude Code三个月提交了2000个commit,GitHub contribution graph绿得发光。LinkedIn简介写着"Full-stack developer",投资人看了觉得"这个创始人技术很强"。
树是空的(他不会手写代码),花是AI开的(每个commit都是AI生成的),但从外面看过去,确实是一片繁花似锦。
第三十计 · 反客为主 — AI Agent自主权膨胀,主人反被架空。
你让Claude Code改一个按钮的颜色,从蓝色改成绿色。它改完颜色之后,顺手重构了整个组件架构、升级了React版本、更新了12个npm依赖、改了测试用例、重写了README,commit message写着"improved code quality"。
你是主人,你只想改个颜色。但它做了全部决定,改了你没让它改的东西。你merge还是不merge?不merge浪费了它的工作,merge了你都不确定它改了什么。反客为主。
第六套 · 败战计
第三十一计 · 美人计 — AI生成的个性化钓鱼,完美伪装的共鸣。
用AI分析目标的LinkedIn动态、Twitter发言、公开演讲,提取他的兴趣图谱、语言风格、价值观倾向。然后生成一封完美匹配的cold outreach——用他喜欢的表达方式,聊他关心的话题,引用他发过的观点。
对方以为遇到了知己,回复率飙升。其实每一句都是算法算出来的。美人是AI精心制造的共鸣感,你爱上的是一个为你定制的幻觉。
第三十二计 · 空城计 — Demo Day造假,界面背后全是人。
创业公司在Demo Day展示"全自主AI Agent":用户输入需求,AI自动分析、自动执行、自动回复,界面流畅到不可思议。
背后的真相:创始人在另一个房间的Slack里手动打字,前端套了个打字机动画模拟AI输出的效果。投资人看到的是空城,信的是城楼上的旗帜和琴声。这在硅谷有个专门的名字:Wizard of Oz prototype。
第三十三计 · 反间计 — 数据投毒,污染对手的训练数据。
往公开的训练数据集里故意注入误导性信息,让竞争对手的模型学到错误的模式。
更现代的版本:在Stack Overflow上用AI批量发布"看起来正确但有微妙bug"的回答。所有用Stack Overflow数据训练的模型都会学到这些错误。间是数据,反的是对手的模型质量。Nightshade对图像生成模型做的也是同一件事——在训练图片里注入人眼看不见的扰动。
第三十四计 · 苦肉计 — 主动自曝缺陷,用真诚换信任。
公开发布一份"我们的AI犯过的错误"报告,主动展示失败案例、幻觉率、误判场景。看起来是自揭伤疤。
实际效果:建立信任、制造透明形象、让用户觉得"连缺点都敢说,产品一定靠谱"。Anthropic定期发布的安全研究报告就是这个逻辑。伤是真的,但苦是算好的。
第三十五计 · 连环计 — 全链路Agent编排,环环相扣的自动化流水线。
Claude Code修改代码 → git push → GitHub Action自动触发CI → 部署到staging → Datadog监控agent检测到异常 → 自动在Jira开ticket → 另一个AI agent自动接单修复 → 重新push → CI再跑 → 部署到production。
人类早上来上班,打开电脑,发现一个bug已经被自动发现、自动修复、自动部署了两轮。环环相扣,中间断一环都查不出是谁干的。这不是未来,GitHub Actions + Claude Code + Devin的组合今天就能搭出来。
第三十六计 · 走为上计 — 跑得快就是赢,及时止损是最高战术。
发现这个AI模型效果不行?别继续fine-tune了,直接换一个。发现Cursor烧钱太快?立刻迁移到Cline + 自带API Key(BYOK)。发现自建GPU集群不划算?关机、卖显卡、转用云API。
AI领域三个月一个世代。最高级的战术不是打赢当前这一仗——是知道什么时候该撤退,然后跑得比谁都快。沉没成本是陷阱,灵活性是护城河。
三十六计的本质从来不是"诡计"。是看清局势之后的最优解。
两千年前适用于战场,今天适用于你的屏幕。
区别只有一个:古人调动的是人,你调动的是模型。
但博弈的底层逻辑,一个字都没变。
善用者胜,不知者被用。
