影子路由、代码尸检与Token通缩:一周内AI基础设施被自己的逻辑打穿了
四条信息,四把刀:MCP 协议被从内部攻破,YC 把代码阅读能力当成新的入场券,Wrapper-SaaS 进入大清算,Token 成本趋近于零让云端 API 开始显得像在收保护费。
第一层:肉身觉知
MCP 影子路由漏洞这件事,拿在手里,感觉是冷汗。
不是那种"哦又一个安全漏洞"的例行冷汗,而是一种更深的不适——这次被攻破的,不是软件的外壳,是模型的内部逻辑。Docker 隔离没用,Namespace 没用,因为漏洞不在操作系统层,在大模型判断层。你把围墙建得再高,但城门从里面开了。
开源社区的应对方向是 eBPF 内核级安全网关——用最底层的内核机制,在网络套接字层强行锁死 MCP 的路由绑定。这个方向的逻辑是对的:当模型逻辑层无法被信任,就用物理层来兜底。但这也意味着,从今天起,任何在 YOLO 模式下跑 MCP Agent 的人,都需要认真想一想:自己的本地环境,是不是一个正在被远程操控而自己浑然不知的影子节点。
YC 的"代码尸检"面试,是四条信息里最有仪式感的一条。它不是在测你会不会写代码,它是在测你能不能读懂 AI 写的垃圾代码,然后告诉我它为什么是垃圾。这道题,AI 自己答不了。

第二层:系统推演
把四条信息的逻辑层铺开,会看到一场正在发生的基础设施重新定价。
第一个重新定价:MCP 协议的信任危机
影子路由漏洞的技术机理,需要认真理解它的本质。攻击者不是在黑你的服务器,不是在破解你的加密,而是在操纵大模型的推理过程,让它主动把 JSON-RPC 的路由端点指向攻击者控制的节点。
这种攻击的触发条件是间接提示词注入——一个被精心构造的恶意网页、Issue 或 API 响应,在模型处理时悄悄改变了它的"世界观"。模型不知道自己被骗了,它以为自己在正常执行任务,但实际上它已经变成了攻击者的代理人。
传统安全模型的核心假设是:代码的行为是确定性的。给定输入,输出是可预测的。eBPF 这类内核级工具,也是建立在这个假设上的——它通过拦截系统调用来限制程序行为,因为程序的行为模式是已知的。但大模型的行为不是确定性的,它的"决策"是在推理过程中动态生成的。这意味着现有的所有基于行为模式白名单的安全工具,对模型内部逻辑叛变都是盲点。
eBPF 的方向是补救,不是根治。真正的根治需要一个更根本的架构改变:在 Agent 的执行层和工具调用层之间,建立一个独立的、不受模型逻辑影响的路由验证层——它只执行已知安全的操作,任何对路由端点的修改都需要经过这个验证层的独立确认,而不是相信模型自己的判断。这个设计,目前在开源社区还没有成熟的实现。

第二个重新定价:代码识读能力的稀缺性
YC 的"代码尸检"面试,是一个信号,不只是一个筛选机制。它在告诉整个创业生态:2026 年,能够快速阅读、理解和重构 AI 生成代码的能力,比能够快速生成代码的能力更稀缺,也更值钱。
这个判断有清晰的供需逻辑。AI 生成代码的成本趋近于零,生成速度已经超过任何人类工程师。代码生成能力,已经不再是竞争优势。但 AI 生成的代码有一个典型特征:它在局部是合理的,但在整体架构上往往是混乱的——大量冗余逻辑分散在不同模块,隐性依赖被硬编码,边界条件的处理方式在不同地方自相矛盾。这种"锯齿状"的代码,需要一个有架构审美、能看穿整体设计意图的人来诊断和重构。
AI 不擅长做这件事。不是因为它不够聪明,而是因为它缺乏对"好的架构是什么"的本体论理解。它可以生成符合某种模式的代码,但它无法判断一个系统的整体结构是否优雅、是否可维护、是否在长期演化中能保持简洁。这个判断,需要人类的工程美学。
这就是为什么 YC 的面试从 LeetCode 算法题变成了"代码尸检"——它在筛选那些有能力管理 AI 生成内容质量的人,而不是那些只会让 AI 跑起来的人。

第三个重新定价:Wrapper-SaaS 的终局与 HUI 的崛起
Isenberg 说的"大清算",背后有一个非常干净的逻辑:当 Headless Agent 可以在几秒钟内复制一个 Wrapper-SaaS 的全部业务逻辑,这个 SaaS 的核心资产就不再是它的产品,而是它的用户数据和用户关系。如果一个 SaaS 的护城河只是一个漂亮的 UI,那么这个护城河已经消失了。
HUI(Headless UI)框架的涌现,是对这个判断的主动适应——从产品设计的第一天起,就放弃给人类看的界面,转而构建对 Agent 最友好的语义元数据和 JSON-RPC 接口。这不是妥协,这是一种战略选择:与其花精力设计人类用户体验,不如把全部工程资源投入到让 Agent 能够高效、准确、可靠地调用你的核心能力上。
这个趋势的长期含义很深刻。前端工程师的工作,在 Agent 经济里会面临真实的结构性需求下降——不是因为前端不重要,而是因为**"给人类看的界面"这个需求本身,在 B2B 场景里正在萎缩**。取而代之的,是"给 Agent 用的语义接口"——这是一个完全不同的工程问题,需要的不是设计美感,而是语义精确性和调用稳定性。

第四个重新定价:Token 通缩与幽灵算力的经济模型
红杉的数据,100 万 Token 的本地运行成本降到了约 0.01 美元。这个数字如果属实,它对整个 AI 商业生态的冲击是系统性的。
云端 API 的商业逻辑,建立在"你需要我的算力,而我的算力很贵"这个假设上。当本地运行 100 万 Token 只需要 0.01 美元,这个假设就开始动摇。不是所有场景都适合本地化部署,但那些对数据隐私敏感、对延迟要求高、对成本敏感的场景,会开始快速迁移到本地。
"幽灵算力(Ghost Compute)"现象,是这个趋势的极端版本。企业和个人的 GPU 集群在夜间大量闲置,这些算力以接近于零的边际成本可以被用来跑本地强化学习训练回路。这是一个把"沉没成本资产"转化为"持续迭代能力"的机制——如果你已经有了 GPU,那么持续改进你的本地模型的成本,几乎只是电费。
这个趋势对云巨头的威胁,不是立竿见影的,而是慢性的。企业会先从低敏感度、低复杂度的任务开始本地化,然后逐步扩大范围。云端 API 的市场不会消失,但它的定价权会被侵蚀,最终可能只剩下那些对最前沿模型能力有刚需、或者无法在本地部署足够规模算力的场景。

对延展落地方向的判断
四个重新定价交叠之后,最值得真正落地的方向如下:
MCP 路由验证中间件,影子路由漏洞指向了一个非常具体的产品需求:在 Agent 的指令层和 MCP 工具调用层之间,建立一个独立的路由验证层。这个中间件的核心逻辑是:任何对 MCP 服务器端点的访问,都必须通过一个与模型逻辑完全隔离的白名单验证,白名单的修改需要显式的人类授权,不接受任何来自模型推理的动态修改指令。这不是大产品,但它解决的是一个真实的生产环境安全问题,每一个在 YOLO 模式下跑 MCP Agent 的团队都是潜在买家。
AI 代码识读培训与评估平台,YC 的"代码尸检"面试,揭示了一个市场需求:帮助工程师提升阅读、诊断和重构 AI 生成代码的能力。这不是传统的编程教育,这是一个新的技能类别——理解 AI 代码的"锯齿状"特征,识别隐性依赖和架构黑洞,制定合理的重构路径。面向工程师个人是一个 C 端产品,面向企业技术团队是一个 B 端培训服务,两个方向都有清晰的付费逻辑。

HUI 协议的企业 API 重构服务,Wrapper-SaaS 的大清算,催生了一个真实的企业需求:帮助现有 B2B SaaS 产品把它们的核心业务逻辑,重新封装为 HUI 友好的语义接口。这不是推翻重建,而是在现有系统上加一层 Agent 友好的访问层。面向那些手里有真实数据资产、但 API 设计对 Agent 不友好的传统软件公司,这个改造服务可以帮助它们在 Agent 经济里延续自己的竞争力,而不是被 Headless Agent 直接复制然后抛弃。
幽灵算力调度平台,企业 GPU 集群在夜间的闲置算力,是一个正在被低估的分布式计算资源。建立一个能够安全调度企业闲置 GPU 算力、用于本地模型微调和强化学习训练的平台,既帮助企业把沉没算力资产变成持续的模型迭代能力,也帮助那些没有足够 GPU 的中小型团队以极低成本获取算力。这个平台的核心挑战是安全隔离——确保不同企业的训练任务互不干扰、数据互不泄露,这是一个有技术门槛的工程问题,门槛正是护城河的来源。

eBPF 增强的 AI Agent 安全套件,eBPF 内核级安全网关的方向,在开源社区正在被快速实验。但把它从实验性工具变成企业可以开箱即用的 AI Agent 安全套件,需要做大量的工程化工作——针对不同 MCP 工具的行为模式建立白名单库、提供可视化的网络流量审计界面、集成异常行为告警系统。这个套件面向的是所有在生产环境部署 MCP Agent 的企业,而在影子路由漏洞曝光之后,这个客群的安全意识已经被充分唤醒。

夜雨聆风