6月10日,Anthropic披露了一个数据:截至2026年5月,其超过80%的合并代码由Claude编写,工程师产出提升8倍。
同一天,中科院自动化所等机构联合发布了一份OpenClaw开源AI智能体网关框架的系统性综述,结论是:26.1%的社区工具存在安全漏洞。
两件事在同一天发生,不是巧合。
它们指向同一个事实:AI正在从"聊天"走向"动手",但安全治理还没有跟上。
这不是一个技术问题,这是一个管理问题。
一、80%的代码——AI从"工具"变成了"同事"
先说第一个数据。
Anthropic说80%的代码由Claude编写。这不是一个营销话术。同一时间,纽约州立大学石溪分校发布了113页的LLM自我提升全景综述,系统性地总结了AI自主迭代的闭环框架。
更具体的案例是Bun的创始人Jarred Sumner。他用Claude Opus 4.8的动态工作流功能,将Bun运行时从Zig迁移到Rust,覆盖了75万行代码,耗时11天,测试通过率99.8%。
75万行代码。11天。一个人。
如果放在五年前,一个资深工程师团队做这件事,至少需要3到6个月。这就是8倍产出提升的含金量。
但更值得关注的是这个模式的本质变化。
传统的AI编程工具,本质是"问答模式"——你提需求,它给代码,你反复调优。Claude Opus 4.8的动态工作流不一样。它会自动生成编排脚本,部署多个子Agent,分工协作完成复杂任务。换句话说,它不是在帮你写代码,它在替你管理一个虚拟的开发团队。
这意味着什么?意味着过去"AI是工具,人是决策者"的分工格局,正在被打破。AI开始承担协调和管理的职能,人正在从"执行者"变成"验收者"。
微软Build 2026大会传递了同样的信号。微软CEO纳德拉在大会上宣布Windows成为AI智能体的"一等公民"。Surface RTX Spark Dev可以在本地运行千亿参数模型,Agent可以脱离云端,在桌面端自主运行。微软一口气发布了7款自研MAI系列模型,包括首款高级推理模型。这不是一个趋势预告,这是一个已经发生的现实。
AI程序员已经入职了。问题是,谁来当HR?
二、26.1%的漏洞——AI动手越快,风险敞口越大
再说第二个数据。
26.1%的OpenClaw工具存在安全漏洞。OpenClaw是目前最主流的开源AI智能体网关框架之一,被大量企业用于管理AI Agent的接入和调度。差不多每四个工具里就有一个有安全漏洞。
这不是个别工具的粗心大意,这是一个系统性的行业问题。
同一个时间段,Google DeepMind开始研究"多智能体社会"的安全问题。当数百万个AI Agent同时在线、协作或竞争时,安全问题从"模型输出质量"扩展到了身份认证、权限最小化、任务审计、异常行为拦截、Agent间交互协议。
这意味着AI安全问题的维度发生了根本性变化。
过去的AI安全问题是"这台机器会不会说错话"。现在的AI安全问题是"这台机器会不会擅自行动"。过去你担心的是模型输出的内容,现在你担心的是Agent调用的工具、访问的数据、执行的命令。
2026年5月,提示注入攻击被正式列为CVE类别。CVE-2026-25592这个编号对应的漏洞,可以在Agent主机上实现远程代码执行。到2026年中,与AI生成代码相关的CVE数量比2025年增长了近6倍。
6倍。
这不是巧合。AI写代码的速度,已经超过了人类治理AI的能力。这就像一辆加速越来越快的车,刹车系统还是五年前的配置。
还有一个容易被忽视的细节。Claude Fable 5发布后,社交平台在24小时内涌现了大量3D、游戏等案例。但很快就有网友扒出,部分所谓的"神级案例"是手工造假的。同时,其安全分类器过度敏感,容易触发降级。
这说明一件事:AI的能力展示和能力控制之间,存在巨大的落差。宣传中的Agent无所不能,实际落地时的安全边界一团模糊。
OpenClaw的综述中还有一个关键结论:智能体的行动能力扩张已经远超人类治理能力。这不是直觉判断,这是一个基于数据分析的结论。
三、Agent落地——中国正在打一场"工程战"
如果说海外在焦虑安全,中国企业在做的事情更有意思:直接把Agent推向真实场景。
6月11日,工信部印发了《"人工智能+信息通信"创新发展实施意见(2026—2028年)》。目标很具体:到2028年,形成30个以上高价值典型场景,城域算力1毫秒时延圈覆盖率不低于75%,网络初步实现高等级自智。
这个文件的信号很明确:国家层面正在为AI Agent的规模化落地铺设基础设施。算力大通道建设、三级协同算力体系、智算专线服务能力——这些基础设施听起来很抽象,但它们是Agent能不能跑起来的物理基础。
与此同时,阿里推出了免费的高考志愿填报Agent。百度也升级了高考服务,采用"AI+真人专家"的模式。AI负责信息整理,专家负责关键结论确认。
为什么是高考志愿填报?因为这个场景天然具备Agent的典型特征:信息量大(几千所学校、几百个专业)、决策路径长(分数匹配、城市偏好、专业方向、就业前景)、需要多轮交互。Agent能够围绕风险梯度、专业偏好和城市选择进行追问,整理出多套方案供用户决策。
腾讯也没闲着。它正在内测AI视频创作工具"TDream",支持微信和QQ登录,可以用文字生成长视频、互动内容和AI-NPC。这意味着Agent正在进入内容创作领域——把视频制作这个复杂的多步骤流程,变成一个对话式的任务。
这些案例说明了一件事:Agent的落地不是说一个漂亮的故事,而是把AI嵌进一个真实的、有痛点的业务流程里。
企业的需求也在发生变化。过去半年,企业对AI的需求从"试用聊天机器人"变成了"改造具体业务流程"。研发提效、风控、客服质检——这些已经不是实验项目,而是实实在在的生产线改造。
背后还有一个更深层的变化。企业AI选型的标准变了。过去企业选AI看的是"模型能力排名",现在看的是"模型能力+云平台+安全治理+开发工具"的组合。模型只是中间层,企业真正需要的是高质量数据、权限体系、评测标准、监控系统和业务反馈闭环。
这些听起来不性感,但它们是Agent能不能真正干活的关键。
用一句话说:中国AI Agent的竞争,已经从"谁的模型更好"变成了"谁的工程更强"。
四、loop工程与递归自我提升——一条没人走过的路
最值得关注的,是一条正在引发激烈争论的技术方向。
OpenClaw创始人斯坦伯格发了一条关于"loop工程"的推文,获得了800万次浏览。loop工程的核心想法是:设计一套AI自主迭代的流程,让Agent自动完成任务,不需要人工逐轮引导。
支持者认为,这是AI从"工具"走向"自主"的必经之路。反对者认为,这等于让AI自己决定自己的边界,风险完全不可控。
这不是一个学术争论,它是一个正在发生的现实。
vivo最近提出了一个大胆的想法:为AI Agent设计专门的折叠屏硬件。他们推出的X Fold系列"原子工作台"和即将发布的OriginOS 6 Fold,目标就是打造适配AI任务的移动工作台。硬件厂商已经在为Agent设计"身体"了。
与此同时,Zilliz基于Milvus推出了Vector Lakebase,专门应对AI Agent带来的间歇性负载。传统数据库在Agent场景下不够用了——因为Agent的工作模式不是稳态的,而是突发性的。
基础设施层已经在为Agent做准备了。
但问题是,技术跑得越快,治理的漏洞就越大。
陶哲轩主导的First Proof项目二期结果刚刚公布。在10道未公开的数学新题测试中,经过双盲评议,7道题的AI解答达到了论文发表标准,单题调用成本最低只有8美元。
7道题达到论文标准。最低8美元一道。
这是一个里程碑。但它也带来了一个尖锐的问题:当AI的推理能力超过大多数人类时,谁来验证AI的答案?当AI开始"自己迭代自己"时,谁来设定迭代的方向?
Anthropic的策略是"渐进式信任"——先从低风险的代码编写开始,逐步扩展Agent的权限边界。投资人Sarah Guo也提出了一个值得深思的观点:能被Benchmark衡量和标准化的工作,终将被AI商品化。真正的价值存在于私有数据、依赖许可和信任的领域。
但问题在于,AI的能力进化速度是指数级的,而人类的审核能力是线性的。
指数和线性之间的差距,就是风险。
站在加速和刹车之间
写到这里,我想说一个判断。
AI Agent正在经历一个"ICU时刻"——能力在ICU里飞速康复,但治理系统还在急诊室排队。
从Anthropic的80%代码,到OpenClaw的26.1%漏洞率;从阿里百度的高考Agent,到陶哲轩的First Proof项目——所有证据都在指向同一个方向:AI的"动手能力"正在以超出预期的速度成熟,而配套的安全治理、权限管理、审计机制严重滞后。
这不可怕。这是一个新兴产业走向成熟的必经阶段。
真正可怕的是无视这个差距。
如果你是企业管理者,我的建议是:拥抱AI Agent带来的效率提升,但永远不要跳过安全治理。测试是门槛,权限是底线,审计是护栏。这三件事做不好,AI的效率红利迟早会被风险吃掉。
如果你是技术从业者,我的建议是:在Agent安全领域深耕。26.1%的漏洞率意味着巨大的机会——谁先解决Agent的安全治理问题,谁就拿到了下一轮竞争的入场券。
AI跑得越快,刹车就越重要。
这不是一句口号,这是一个所有AI参与者都应该记住的基本原则。
夜雨聆风