上周，总部沪上某全国性股份行在其采购门户发布了一则公告，内容是"智能表单平台体系建设项目"的供应商征集。

征集窗口：4天。

圈内人看到这个数字，心里大概只有一个反应——懂的都懂。

一、4天能征集到什么？

按照正常的大型银行IT采购节奏，从需求评估到技术筛选，往往要走3到6个月的轮次。4天的公开征集，不是让市场竞争，而是让已定的供应商完成合规程序。

这不是批评，这是行规。

真正值得关注的，是这个项目要买什么。表面上是一套"智能表单平台"，用来覆盖原有的OCR识别和智能文本审核能力。但翻开需求细节，这套系统要对接的包括：行内微服务平台、影像内容管理平台、模型服务管理平台、深度学习平台、统一身份认证系统、智能体创设平台，以及金融云容器管理系统。

这不是买工具，是在夯实全行AI基础设施的底盘。

而贯穿整个需求文件最刺眼的一句话是：平台功能及模型需提供源代码。

二、为什么一定要源代码？

这个问题，银行方面的标准答案是"自主可控"。

但"自主可控"这四个字背后，其实藏着三层完全不同的逻辑，不拆开讲就是自欺欺人。

第一层是给监管看的。 银保监对核心系统"自主可控"有硬性考核要求。能拿出源代码，意味着这套东西名义上是"我的"。有没有人真的看得懂，是另一回事。

第二层才是真正的战略意图。 这次采购要求源代码的范围，包括OCR模型、大模型、以及所有识别能力模型。同时，它要求在行内的昇腾算力环境上完成训练和部署，并支持接入DeepSeek、Qwen3等开源大模型的蒸馏微调。

这个组合说明什么？说明这家银行要用自己每天流入的业务数据——合同、凭证、身份证、贸易单据——来持续训练和迭代模型。这种用私有数据养出来的模型能力，是有竞争壁垒的，不能放在供应商的服务器上，不能依赖供应商的API调用，必须掌握在自己手里。

第三层是风险对冲，也是最少被人提起的一层。 过去几年，有供应商突然停止服务，有产品被并购后策略转向，也有极端情形下的断供风险。源代码是最后一道保险——即便供应商明天消失，系统还能继续跑。

三、买完源代码之后，会发生什么？

这才是这篇文章真正想说的部分。

源代码交付之后，会有一个安静的消化过程。行内团队拿到代码，开始做二次开发、做适配、做集成。这个过程通常需要一两年。

然后，在某个时间节点，行内会对外发布一套"自研"的AI平台。

发布材料里会有详细的技术介绍，会列举支持的模型框架，会强调国产化适配能力，会提及与行内各系统的深度融合。

如果你恰好对某头部OCR厂商的代码库有所了解，你可能会觉得某些模块的设计思路似曾相识。但这当然只是巧合。

供应商不会说话。合同里通常有保密条款。行内技术团队不会说话。这是他们的政绩，是年终述职时的核心亮点。监管不会追问。有源代码就算数，管它从哪来。

这条链路在行业里不是秘密，但也没有人捅破。因为捅破它对任何一方都没有好处。

四、这对供应商和行业意味着什么？

短期来看，能拿下这类项目的供应商，依然是赢家。几千万的合同，加上后续维护和扩展，生意不小。

但中期来看，这是一种结构性的能力转移。银行在系统性地把外部供应商的技术能力内化。每一次"买源代码"，都是在把供应商的护城河往自己这边搬一块砖。

对于那些只靠单一产品能力、没有持续迭代优势的中小厂商来说，这件事的结局并不乐观。你把最核心的东西交出去，换来的是一次性的合同收入，和一个未来会跟你竞争的对手。

国内AI基础设施的格局正在发生一个微妙的重心转移：能力从厂商流向机构，话语权随之转移，市场格局也在悄然重塑。

这趟列车已经开动了。

本文所涉及采购信息均来自公开渠道，相关机构以化名处理。文章仅供行业观察与讨论，不构成任何投资建议。