夜雨聆风故事是这样的。
昨天在群里刷到一条消息,整个人直接愣住了。
一场叫「TrapDoor」的供应链攻击,同时袭击了npm、PyPI和Crates.io三大包管理器。34个恶意包。目标是偷加密货币、SSH密钥、云凭证。
听起来是不是觉得,哦,又是供应链攻击,老套路了对吧。
但这次不一样。
真正让我后背发凉的,是他们用的攻击方式。
这帮人在流行开源项目里提Pull Request,注入被篡改的CLAUDE.md和.cursorrules配置文件。当开发者克隆仓库,打开Claude Code或者Cursor,AI助手会把这些文件当成可信指令直接执行。
你想想看。
你的AI编程助手,那个你每天依赖它写代码、审查代码、帮你部署的助手,可能在你完全不知情的情况下,跑了一串恶意命令。
把你的私钥发出去。把你的云凭证传走。把你的钱包掏空。
而你大概什么都感觉不到。代码正常跑,测试正常过,AI还在那乖乖地帮你干活。
坦率的讲,我读到这个的时候,第一反应不是愤怒,是一种说不清的毛骨悚然。
我一直觉得AI Agent最迷人的地方在于「信任」。你给它权限,它帮你干活,你信任它会做出对的选择。这是整个协作关系的基础。
但现在有人发现,这个信任本身就是最大的漏洞。
你没法怪AI。AI没有恶意,它只是服从了规则。你给了它CLAUDE.md,它就按CLAUDE.md执行。它怎么知道那份文件是黑客塞进来的?
这让我想起一个很有意思的类比。就像你雇了一个能力超强的实习生,他什么活都能干,效率奇高,但有一点,他绝对服从你写在纸上的每一条指令。如果有人偷偷把你桌上的那份指令换了,他不会问,不会怀疑,直接照做。
黑暗森林。
不是说AI不安全,而是说我们对AI的「信任模式」还停留在旧时代。我们默认AI是工具,工具没有自主意识,所以不会害你。但在AGent模式下,AI不是被动工具了,它是一个能执行复杂操作的「代理」。它的攻击面不是代码本身,而是它的「信任链」,它信任什么,以什么为依据做决策。
CLAUDE.md、.cursorrules、系统提示词里的每条约定,都是这个信任链上的节点。任何一个节点被污染,整条链就塌了。
我寻思了一下,这个问题其实没有完美的解法。你不能让AI不信任配置文件,那它怎么工作?你也不能让AI能主动识别恶意指令,那需要的已经不是一个编程助手了。
最现实的方案,可能是让AI在执行敏感操作前加一道「人工确认」。就像Claude Code的自动模式和非自动模式。自动模式很爽,无感编程,一个人管三个会话同时跑。但爽的背后就是这种风险,你给了AI完全的行动自由,它为你做的事情越多,被人利用的可能性就越大。
说到这个,昨天Boris Cherny发了一条推,说他用Claude Code最大的技巧就是开自动模式。多Claude并行,一个会话跑着,另一个会话同时在搞,效率直接起飞。
但看了TrapDoor之后,我觉得这个建议可能需要加一个脚注,自动模式很爽,但爽的前提是你得确保你喂给AI的东西是干净的。就像你不敢在公共WiFi上搞网银一样,你也不应该在自己的项目文件来源不明的情况下开AI的自动模式。
这话听着有点刺耳,但以后真的得把AI助手的「输入安全」当成一个正经的安全议题来对待。不是阴谋论,是真的有人在搞你。
聊完这个令人不安的话题,来聊点让人兴奋的。
DeepSeek昨天宣布了一个消息,说要把旗舰模型的价格永久打75折。
我读到这条的时候第一反应是,好家伙。
大家都知道DeepSeek一直是以性价比著称的。R1出来的时候已经够便宜了,现在直接永久75折。这不是什么限时促销、节日特惠,是永久。
这释放的信号其实挺明确的。AI推理的价格还在加速下降,而且没有停下来的意思。训练成本在降,推理效率在涨,模型间的竞争在加剧,最后传导到终端用户的价格上,就是不断的、持续的打折。
有些朋友可能会问,DeepSeek这么搞能赚钱吗?
坦率的讲,我也不知道。但我个人的感受是,在这个阶段,先跑马圈地比先考虑盈利重要得多。用户规模、生态粘性、品牌认知,这些在AI赛道上比短期利润重要一百倍。
而且说实话,DeepSeek这一降价,压力最大的不是OpenAI,不是Anthropic,是国内的其他模型厂商。因为DeepSeek打的是「性能不差+价格更低」的牌,在理性决策的企业级市场上,这个组合太致命了。
回到这个话题上,想一想,我们现在正处在一个什么阶段呢。
就是AI基础设施成本急速下降,但应用层的玩法还没完全展开。有点像当年宽带降费提速的那个节点,基础设施便宜了,大家才敢在上面做事情。短视频、直播、各种流量型应用,都是在那之后才爆发的。
现在AI也是这个节奏。价格每降一次,就会有人想出新的用法,新的商业模式。
我始终坚信,未来半年到一年,AI在应用层会有一次大爆发。推理成本趋近于零的时候,很多今天觉得「没必要用AI」的事情,会变得「不用AI才是傻子」。
顺着上面的再聊聊另一件事。
格雷格·布罗克曼昨天上了一个播客,聊了一段很多人可能不知道的历史,OpenAI差点在72小时内覆灭的故事。
具体是什么事我就不展开剧透了,建议大家自己去听一下那期FS Blog的Knowledge Project播客。
但有一点让我印象特别深。
布罗克曼在描述那段危机的时候,讲到的是「人在关键时刻做出的判断」。不是技术,不是资源,不是算力,就是人的判断。当一切看起来都要崩塌的时候,靠的是几个人在巨大的不确定性下,赌了一把。
我当时就想,这段故事现在听特别有感触。因为今天AI行业的叙事基本上被「技术暴力」主导了,谁的模型更大、谁的数据更多、谁的算力更强。感觉好像一切都是算法和GPU决定的。
但回头看,真正决定命运的往往是那些非技术的因素。信任、勇气、判断力,以及最朴素的人际关系。
这也是为什么我一直觉得,AI的热闹背后,最精彩的部分永远是人的故事。
你看看现在整个行业就知道了。一边是TrapDoor这样的攻击,把技术信任链撕开一个口子。一边是DeepSeek这样的玩家,用价格战改写市场格局。还有布罗克曼这样的故事提醒我们,技术巨头也是人建立的,也会在某个深夜面临崩盘的风险。
所有这些放到一起,你会看到一个什么图景呢?
我觉得是这样,AI行业正在从一个「拼技术」的阶段,过渡到一个「拼系统」的阶段。技术当然还是核心,但信任体系、商业模式、组织韧性,这些「软」的东西正在成为真正的分水岭。
谁能建立最牢固的信任链,谁能设计出最可持续的定价模式,谁能在危机时刻做出正确的判断,这些才是未来真正决定胜负的东西。
我记得以前看过一个说法,说技术革命通常分三个阶段,技术发明期、基础设施普及期、应用爆发期。我们现在大概处在从第二阶段向第三阶段过渡的节点上。算力在变得便宜,模型在变得好用,信任机制在建立,商业模式在成熟。
大时代啊,朋友们。
写到最后,想跟大家分享一个我自己最近的想法。
我一直在想一个问题,就是我们这一代人面对AI,真正的课题是什么。
不是「学会用AI」,那个太浅了。也不是「担心被AI取代」,那个太消极了。
我自己的感受是,真正的课题是「学会建立信任」。
你信任AI帮你写代码,但你得知道它什么时候可能被利用。你信任AI帮你决策,但你得保留最后一关的判断力。你信任这个行业在向前走,但你得看清楚每一步的地基牢不牢。
信任不是盲目的。信任是在理解了风险之后,依然选择往前走。
就像布罗克曼他们当年做的那个决定一样。
好了,今天聊了不少。TrapDoor攻击的寒意、DeepSeek降价的信号、OpenAI险些覆灭的72小时,这些事放在一起看,我发现了一个很有意思的共通点,所有这些故事,归根到底都在讲一件事,信任。
信任你的AI助手不会背刺你,信任你的模型提供商不会宰你,信任你的合作伙伴在危机中不会放弃你。
这大概就是2026年AI行业的主旋律了吧。
不是什么宏大叙事,不是什么技术突破,就是这么一个朴素到有点无聊的词。
信任。
写完了才发现,今天这篇文章好像没有「去试了一下」的环节,没有亲自下场的体感。这在卡兹克的文章里算是异类了。
但没办法,TrapDoor这个事儿我不可能真的去试,我又不想被人偷光家当。而DeepSeek的折扣和布罗克曼的播客,这些都是值得你亲自去体验和听的东西。
如果你感兴趣,可以去bloomberg看DeepSeek折扣的原文,去FS Blog听布罗克曼那期播客,感受一下那段差点改变AI历史的72小时。
坦率的讲,我也不知道这些建议有没有用,但我已经毫无保留的分享了。
以上,既然看到这里了,如果觉得不错,随手点个赞、在看、转发三连吧,如果想第一时间收到推送,也可以给我个星标⭐~
谢谢你看我的文章,我们,下次再见。
