一个周六下午,三条看似毫无交集的新闻,恰好拼出了科技行业本周的完整切片:AI的经济账算反了,开源的信任基础被攻破了,用户的隐私承诺被撕开了。从算力成本到代码安全,从端到端加密到法律追责——每个维度都在提醒同一件事:技术越深入生活,它的裂缝就越不容忽视。
① AI比人贵:微软报告揭开算力成本真相
微软在一份内部报告中揭示了一个反直觉的结论:在特定工作场景中,部署和使用AI的算力成本,已经高于支付人类员工完成同类任务的工资。报告分析了基于"token"和"agent"的AI使用模式,发现综合开销——包括推理算力、调用成本和维护费用——超过了雇佣一名人类员工。一位英伟达高管也公开印证了这一判断:"算力成本已经远高于员工工资成本。"
讽刺的是,微软自己就是AI编程工具的积极推动者。半年前,它向数千名开发者、设计师、项目经理开放了AI工具,使用规模迅速超出预期。如今,员工的大量使用反而促使微软开始收缩授权——自家的工程师,正在"用垮"自家的AI。而这并非孤例:优步CTO也坦言,公司的AI使用量增长正在超过成本下降的速度。当AI的采用率飙升,而摩尔定律跟不上token消耗的速度,那个"AI一定比人便宜"的假设,正在被现实改写。

当token消耗的速度超过成本下降的速度,AI经济的算盘未必拨得响 | 图片来源:Unsplash
② 开源投毒如野火:TeamPCP用蠕虫攻陷GitHub
一个代号TeamPCP的黑客组织,正在以史无前例的规模投毒开源代码。他们的战术俨然形成了一条"供应链污染飞轮":先入侵一款被开发者广泛使用的工具(比如VS Code扩展或AntV数据可视化库),在其中植入恶意代码,感染其他开发者的机器;再利用窃取的凭证,发布更多被污染的开发工具——循环往复,如同滚雪球。最令人不安的是,他们近期引入了一款名为"Mini Shai-Hulud"的自传播蠕虫,将整个攻击链条彻底自动化。GitHub的3800个内部仓库因此沦陷,数据被公开叫卖;OpenAI的员工设备遭渗透;欧洲委员会的官方网站也未能幸免。
安全专家的警告带着罕见的紧迫感:TeamPCP已经从松散的黑客团伙进化为"勒索软件即服务"的商业模式,与BreachForums、DragonForce等网络犯罪平台建立了合作。Palo Alto Networks的研究员形容,这就像一场"野火"——攻击者找到一组凭证,就能不断深入。更棘手的是,这起事件暴露了一个结构性的安全漏洞:开源生态的信任链,正被一而再再而三地利用。安全公司Wiz的建议有些无奈——"不要总是安装最新版本",但这与开发者"及时更新"的本能完全背道而驰。当信任变成一种风险,开源软件赖以生存的根基正在动摇。

开源供应链攻击的规模和复杂度正在快速升级 | 图片来源:Getty Images
③ WhatsApp加密是谎言?德州起诉Meta
德克萨斯州总检察长正式起诉Meta,指控其旗下WhatsApp——拥有超过30亿用户——并未提供所宣称的端到端加密(E2EE)。诉状引用了一条扎克伯格2018年在国会作证的声明:"我们不看到WhatsApp上的任何内容,它是完全加密的。"但检方称,Meta实际上有能力读取WhatsApp消息的明文内容,长达数年的承诺不过是一场系统性欺骗。起诉书提到,美国商务部工业与安全局(BIS)去年曾就此展开调查,一名特工发出的内部邮件中写道:"Meta可以查看的WhatsApp消息类型没有任何限制。"
不过,加密领域的技术专家对此案持保留态度。2023年一支研究团队对WhatsApp进行了全面的逆向工程分析,结论是它"总体上安全且功能与描述一致"。唯一的漏洞是Meta员工可以利用基础设施权限向群聊添加成员——但这一操作对所有成员完全可见。问题是,2023年的分析不代表2026年的版本依然干净。在Meta矢口否认、专家也无法验证的僵局中,一个更大的问题浮现出来:当端到端加密的承诺只能靠用户"信任"而非可验证的证据来维系,它真的还叫端到端加密吗?这场官司无论结果如何,都已经把加密通信的可信度置于聚光灯下。

端到端加密的承诺,到底能不能信? | 图片来源:Getty Images
点评:三条新闻来自三个截然不同的领域——AI产业经济、开源安全、隐私诉讼——但它们共享一条底层逻辑:信任正在经受前所未有的考验。AI的"替代论"被成本真相戳穿,开源的"信任链"被供应链攻击瓦解,加密通信的"绝对安全"被法律诉讼撕开裂缝。技术行业一直靠"更快、更强、更安全"的叙事赢得用户信任,但这个周六提醒我们:信任不是承诺出来的,而是每一次验证、每一次审计、每一次成本计算中沉淀下来的——而这些环节,恰恰是当前科技行业最缺乏的。
夜雨聆风