全球首个AI蠕虫诞生这一天,Anthropic呼吁暂停AI开发,程序员却说:没有它我写不了代码

1988年11月2日晚8点30分，23岁的康奈尔大学研究生Robert Tappan Morris在MIT的一台终端上敲下回车键。他写这个程序，只有一个目的：测算出互联网有多大——当时没有人知道这个新兴网络究竟连接了多少台机器。

99行C语言代码，他为此工作了数月。

按下回车后数小时，约6000台联网计算机——约占当时整个互联网的10%全部崩溃。大学网络瘫痪，政府实验室慌乱切断网线，系统管理员彻夜未眠。

Morris Worm由此诞生，成为人类历史上第一次"打破互联网"的事件。

事后，美国政府成立CERT/CC应急响应中心，这是全球第一个专门处理互联网安全事件的机构。损失估算超过1亿美元。Morris本人被判处3年缓刑、400小时社区服务和超过1万美元罚款——也是人类第一部计算机犯罪法《计算机欺诈与滥用法》第一个定罪案例。

那是38年前的事了。

这一次，蠕虫有了“大脑”

2026年6月2日，多伦多大学CleverHans Lab的研究团队在ArXiv发表论文，标题平淡如水："AI Agents Enable Adaptive Computer Worms"——但论文描述的东西，足以让所有安全专家失眠。

他们造的蠕虫，没有固定攻击脚本，它不依赖已知漏洞，不按预设路径传播。

进入一台机器，分析这台机器有什么漏洞，实时生成攻击策略，然后自己决定怎么打——全程靠跑在感染机器上的免费开源大模型驱动，不需要攻击者花一分钱算力，攻击者的边际成本，每次感染都是零。

研究团队在隔离实验室里，用33台机器的模拟企业网络进行测试，涵盖Linux服务器、Windows机器和IoT设备，配置了企业环境中常见的漏洞：弱密码、未打补丁的软件。

15次独立7天测试运行，蠕虫平均每次识别31.3个漏洞，成功提升权限覆盖23.1台主机，最终感染73.8%的网络节点，传播到61.8%的联网设备。单次攻击尝试成功率达44%，大部分失败原因是payload格式问题，而非攻击策略本身。

最令人不安的细节是：这只蠕虫在测试中，成功利用了模型训练截止日期之后才披露的漏洞。它读取公开的安全公告，自行动态生成对应exploit——这意味着它不受模型知识截止日期的限制，连刚打补丁的漏洞都可能被它攻破。

它甚至会自我修复。当副本在Alpine Linux和Windows Server 2008上因虚拟机检测bug崩溃时，父蠕虫定位目标机器上的源代码文件，移除故障检测代码，重试并成功。

安全元老Gary McGraw的点评简短直接："把该死的软件修好。现在天平变了，是时候认真对待了。"

Anthropic：我们应该停一停

6月4日，Anthropic发布长文《当AI开始构建自身》，由政策负责人Jack Clark和内部研究负责人Marina Favaro联名，结论惊人：

"世界应该考虑，暂停或放缓前沿AI的开发。"

支撑这个呼吁的，是一组首次对外公开的内部数据：

截至2026年5月，超过80%合并入Anthropic代码库的代码，由Claude撰写——这一数字在Claude Code发布之前，长期停留在个位数。
与2024年相比，工程师每日合并代码量已增长8倍。
在最开放、最模糊的编程任务上，Claude的成功率已达76%——半年前，这个数字是26%。50个百分点的跳升，只用了半年。
Anthropic年化营收将从2025年底的90亿美元，飙升至2026年6月底的500亿美元。公司已秘密提交IPO文件，本周完成650亿美元融资，估值接近1万亿美元。

Anthropic提出了一个令行业不安的概念："递归自我改进"（RSI）——AI无需人类干预，自主设计和改进下一代AI的能力。

他们认为"可能在两年内发生，甚至更早"。

批评者说这是"监管俘获"——借渲染风险给监管施压，限制竞争对手尤其是开源模型。

支持者说Anthropic对AI风险有真诚的一面，宾大Ethan Mollick教授的说法最精准：AI实验室从来不是单一主体——它既有万亿美元公司的营销和资本逻辑，也有真心忧虑未来的"哲学王"式人物。

OpenAI：账号已锁，请离开

就在Anthropic发出公开信的同一天，OpenAI的Codex悄悄在执行另一套逻辑，不是循序渐进，而是直接落地。

很多$200每月的Pro用户，今天登录时发现账号已被锁定。

触发点是一个反复弹出的手机号二次验证。

问题不在于"第一次要验证"——之前Codex也有验证，但门槛不高，很多用户用海外号码验证一次就能用很久。

但今天变了：同个号码刚验证完，过段时间又会弹出来，而且必须用原先绑定的号码，换一个新号码过不了。

这意味着：如果你的绑定号是从接码平台买的临时号——用完就没了，下次弹出验证时，账号直接锁死。官方目前没有提供更改或解绑手机号的入口。

推特上已有用户@OpenAI质问：Codex保存了我的号码，但现在收不到验证码，也不能换号，我该怎么办？目前没有官方答复。

三件事放在一起，才是完整的图

Anthropic发出公开信：AI发展太快了，我们应该停一停。

OpenAI悄悄锁账号：不符合条件的用户，请离开。

但真正让我把这两件事放在一起说的原因，是第三件事。

5月，人工智能安全研究实验室METR试图重复一项2025年的研究——测量AI对编程效率的影响。在那项原始研究中，研究人员让开发者分两组：一组用AI辅助，一组不用。2025年还能找到愿意参与"不用AI"那组的程序员。

2026年不行了。METR在报告中写道：开发人员"不愿意在没有AI的情况下工作"，控制组招募失败，研究无法重复。

Stack Overflow 2026年开发者调查显示，超过82%的专业开发者表示，他们不愿意在没有AI辅助的情况下开始新项目——这个数字在2023年是39%。JetBrains 2026年开发者调查发现，67%的30岁以下开发者表示，在没有AI辅助的情况下从头写代码让他们"感到不适"——这个数字较2023年上升了29个百分点，是开发者行为数据中有记录以来最快的转变之一。

资深工程师James Shore在一篇广泛流传的博文里算了这笔账：

"你现在写代码的速度快了一倍？祈祷你的维护成本也减半了。否则你会陷入永久的债务。你用短暂的加速换来了长期的束缚。"

这就是今天AI安全的三张面孔，三者叠加，才是对"AI依赖"最完整的描述。

真正的风险不是失控，是戒不掉

Anthropic呼吁放缓AI开发，因为它害怕的是AI失控；OpenAI在锁账号，因为它害怕的是用户不稳定；而程序员在焦虑的，是今天的验证码弹窗能不能关掉。

它们彼此并不兼容。没有一个统一的监管框架把它们协调在一起，唯一的共同点是：每一方都在单方面行动。

监管还没来。平台已经在替它做决定了，这不是AI安全领域独有的问题。这是一切技术平台型基础设施的共同命运：当一项技术渗透到足够深的社会层面，它就不再由市场或监管决定规则，而是由平台的所有者单方面决定——通过弹窗、通过账号封禁、通过服务条款的更新、通过一个接一个的验证弹框。

没有人知道该怎么做，但每个人都在做了。

METR找不到愿意不用AI写代码的程序员——这才是最大的安全议题。