夜雨聆风Uber 给每人设了 $1,500/月的 AI 工具上限。这条政策本身不重要,重要的是:这是我第一次看到企业在认真管 AI 工具的钱。
AI 工具正在制造三种失控,而且它们同时在发生。
预算失控:没人知道公司每个月花了多少钱在 AI 工具上,花在哪里,值不值。Uber 的 $1,500 上限是第一批可量化的「企业 AI 预算天花板」数据,说明 IT 部门已经开始用 Excel 和信用卡账单来管这件事了——这是一个不应该用 Excel 管的事情。
安全失控:VSCode 有一个一键窃取 GitHub Token 的漏洞。IDE 的扩展生态本质上是一个没有沙箱的代码执行环境,这个问题不是今天才有,只是今天才有人认真写出来。
技能失控:伯克利 CS 不及格率在飙升,因为学生用 AI 做完了作业,但一到闭卷考试就垮掉。
这三件事背后是同一个结构:AI 工具进入的速度,远超我们为它建治理工具的速度。
💡 Uber AI工具月费$1,500上限:企业AI预算治理市场浮现
Uber 给每名员工设了 $1,500/月的 AI 工具使用上限。HN 474 分,帖子标题直接说:「这个数字对 AI 工具定价是个有用的信号」。开发者已经开始用企业政策来反推市场价格区间——这是第一批可量化的企业 AI 工具预算天花板数据之一。IT 部门现在靠 Excel 和信用卡账单来管这件事。
企业 AI 预算的可见性工具现在基本不存在。哪个员工用了多少、用在什么工具上、是否超了上限、ROI 是多少——这些都没有一个专门的系统来管。这个位置应该存在,但还没人占。
🔒 VSCode一键窃取GitHub Token:IDE供应链安全盲区
Full Disclosure 披露了一个 VSCode 漏洞:攻击者可以一键触发 GitHub token 窃取,无需任何用户交互。这不是「理论上可能」,是已证明的攻击链。VSCode 是全球最多开发者使用的 IDE,它的扩展生态是一个没有沙箱的代码执行环境——任何扩展都可以访问你的 token、文件系统和环境变量。
IDE 安全监控——扩展行为审计、token 泄露检测、VS Code 扩展沙箱——几乎没人在认真做。企业安全团队知道这个风险但没有好用的工具。有 DevSecOps 背景的人,这是一个非常具体的产品空白。
⚡ AI让Berkeley CS不及格率飙升:编程技能验证工具缺失
伯克利 CS 教授发现,自从学生大量使用 AI 之后,不及格率大幅上升,数学基础能力在退化。学生能用 AI 完成作业,但一到闭卷考试就垮掉。HN 261 分,评论区充满对「AI 拐杖」的真实讨论。这不是预测,是已在最顶级 CS 院校发生的现实。
教育机构现在需要的不是「禁止 AI」,而是能区分「学生真正掌握了技能」和「学生会用 AI 完成任务」的评估工具。AI 感知型编程评估、自适应技能验证系统——这个市场刚刚被这批数据点燃。
🤖 深圳视触觉传感器获亿元融资:具身AI底层硬件窗口
戴盟机器人完成亿元 A 轮,由汇川技术和中国电信联合投资,做的是视触觉一体化传感器,出货量行业第一。汇川是工业自动化巨头——它入局说明传感器这一层已经从技术验证进入产业化节点。
传感器之上是一层几乎空白的软件栈:多模态传感数据融合、机器人感知模型训练、生产线数据标注工具。硬件公司不擅长做软件,传统 AI 公司缺乏具身场景数据。这个夹层现在没人占。
持续追踪
• 企业封禁Cursor持续蔓延:快手跟进字节、腾讯,合规AI编码工具缺口在每次封禁事件后持续扩大。
今日还值得关注
V2EX:5月消耗34亿Token 开发者实际token消耗数据,强化LLM成本管理的需求信号V2EX 65回复
字节AI 2026四大命题 世界模型训练是字节核心方向,对AI基础设施创业有方向参考价值36氪独家
I Spent 10x Longer Debugging AI Code AI代码调试成本远超编写,AI代码质量审计工具需求浮现DevTo 64赞
小红书金融专业号治理专项 金融内容合规升级,持牌合规SaaS工具机会36氪
📊 查看完整报告(含所有信号评分)→
