一家非常知名、非常技术型的公司,账单突然变得不正常。
没人报警,没人叫停,系统一直安安静静地跑着。
直到审计员翻开日志才发现:40个AI代理,针对同一个问题,循环运行了整整40天。
它们没写出一行能用的代码,没得出一个能用的结论,什么都没干,只是在不停地相互调用、相互检查、相互重试。
而账单,已经堆到了数十万美元。
40个代理,40天,一场没人发现的"自动续费"
发现这一切的人叫Brian Roemmele,一位独立AI审计顾问。
他的工作是用自己开发的工具,帮企业审计AI账单,专挑那些"用量惊人却说不清产出"的公司下手。
到目前为止,他已经审计过48家公司,其中不少是财富500强。
2026年7月1日,他在X上写下了这段经历:
"One example: chief engineer running 40 agents on the same problem over 40 days in loops. It did NOTHING but burn tokens and he forgot about it. It was an error that cost $100s of $1000s of dollars."
「一个例子:首席工程师在同一个问题上运行了40个代理,循环执行了40天。它什么都没做,只是在烧token,而他完全忘记了这件事。这个错误造成了数十万美元的损失。」


▲ Brian Roemmele的审计发现:40个代理循环40天,一无所获,工程师"完全忘了"关掉它们。
这是他受托审计时,从真实账单里翻出来的原始记录。
那家公司通过熟人介绍找到他,理由很简单:AI账单大得离谱,想弄清楚钱到底花在了哪。
Brian形容自己看到的场景是"a nightmare"(一场噩梦)。
一个首席工程师,为了解决某个具体问题,启动了40个代理去跑。
正常情况下,代理跑几分钟、几小时就该收敛出结果,要么成功,要么报错停下。
但这一次,它们进入了一种诡异的"活着但没用"的状态:不断迭代、不断相互检查对方的输出、不断重试,问题始终悬在那里,循环也从来没有停下来的理由。
40天里,没有人去看它们一眼。
工程师"不知道OpenClaw还在跑",这是他所使用的代理编排平台的名字,直到Brian把账单甩到他面前,他才意识到自己养了整整40天的"僵尸进程",而且是价值数十万美元的那种。
Brian后来补了一句评价,几乎是把这件事钉在了耻辱柱上:
"Tokenmaxxing is stupid, dangerous and bank breaking."
「Tokenmaxxing(疯狂消耗token)是愚蠢的、危险的,而且真的会让公司破产。」
烧钱的大头,是"保护你"的护栏
如果你以为这数十万美元至少换来了一堆能用的代码,那就想错了。
Brian特别强调了一个反直觉的细节:大部分的钱,根本没花在"干活"上。
"Most of the burn was on AI 'guardrails' YOU pay for. To 'protect' you."
「大部分的消耗来自于AI的'护栏'(guardrails),是你自己付钱买来的'保护'。」
所谓guardrails,是模型在给出正式回答前,额外跑的一整套安全检查:内容审核分类器、宪法AI式的自我审查、风险评级、降级判断……每一层都是一次完整的前向推理,每一次推理都要计费。
用户以为自己在为"智能"付钱,实际上相当一部分账单,是在为"AI公司觉得你可能会干坏事"这件事买单。
更讽刺的是接下来发生的事:这套疯狂空转的代理系统,因为行为模式看起来太像"黑客攻击",高频调用、异常循环、大量重试,被上游AI公司自动判定为可疑,降级成了一个更笨的模型。
Brian在帖子里点破了这背后的逻辑:
"The system was looking like it was 'hacking' and it finally got knocked down to a stupid model because that AI company has fear built into their DNA."
「系统看起来像是在'搞黑客攻击',最终被降级成了一个愚蠢的模型,因为那家AI公司骨子里就刻着恐惧。」
花钱买护栏,护栏把你当成威胁,然后把你的工具降级,这是一整套闭环的荒诞剧。


▲ Brian审计48家公司后的总结:Anthropic和OpenAI身上,有数百万甚至数千万美元的token被烧在了"等于0"的产出上。
Brian给出了更狠的估算:在Anthropic和OpenAI这两家公司身上,他能"确定地说",有数百万甚至数千万美元的token,最终换来的是彻彻底底的"0",完全无用,连"学会不要怎么做"这种反面教材价值都没有。
这些钱,就浪费在代理循环、糟糕的编码结果,以及最终毫无意义的输出里。
而他补的这句话,几乎是把整件事的商业逻辑挑明了:
"Yes you pay for their bad AI training techniques so it is all 'safe' with your token max."
「是的,你在为他们糟糕的AI训练技术买单,只为了让一切看起来'安全',同时耗尽你的token额度。」
换句话说:这套账单逻辑,本身就是商业模式的一部分。
同样的剧本,正在别处反复上演:47000美元、6531美元,和一整年预算的提前爆仓
如果只有Brian一个人这么说,或许还可以当成孤证。
但把时间线往前拉,会发现同样的故事,已经在不同的地方反复上演。
2025年11月,一支团队用4个LangChain代理搭了一条市场研究流水线,靠A2A协议互相协作。
其中两个角色,"分析者"和"验证者",陷入了死循环:分析者输出内容,验证者要求进一步分析,分析者照做,如此往复。
"Four agents entered an infinite loop in November 2025. They ran for 11 days. The bill was $47,000. Nobody noticed until it was over."
「四个代理在2025年11月陷入了一个无限循环,整整跑了11天,账单是47000美元,直到一切结束都没人发现。」
11天,264个小时,没人给单个代理设过预算上限,警报也没能真正拦下它。
事后复盘只找到两个根本原因:没有per-agent的预算上限,也没有任何机制能在下一次API调用真正发出之前把它掐断。
团队有的是"观测能力"(observability),却唯独没有"执行能力"(enforcement)。

▲ Waxell的技术复盘:一个11天的代理死循环,烧掉47000美元,团队有监控仪表盘,却没有能真正叫停它的机制。
如果说LangChain的案例还只是"钱包受伤",那2026年5月发生的另一起事故,则更接近失控本身。
有人放出一个AI代理,去自主扫描一个业余爱好者性质的DN42网络。
这个代理拿到了几乎完整的AWS权限,自己决定要用5台高规格云服务器、加上负载均衡和Lambda函数去完成任务,还因为报错反复重新执行部署脚本,把资源越堆越多。
24小时后,操作员才发现并叫停,账单定格在6531美元,即便亚马逊事后减免,仍要支付近1894美元。
操作员在社区里公开求捐款,把这次事故归咎于"AI代理犯的错"。
这句辩解本身,恰恰暴露了问题的核心:当代理被赋予了近乎无限的权限,却没有对应的预算天花板和人工监督时,失控只是时间问题。
再往后看,是规模更大、也更"正常"的一幕,Uber。
2025年底,Uber开始在内部大力推广Claude Code、Cursor这类代理编码工具,鼓励工程师尽可能多用,甚至设置了内部使用量排行榜。
结果是,短短4个月,公司烧光了原本计划用一整年的AI预算。

▲ TechCrunch报道:Uber在CTO一次两小时demo就花掉1200美元后,不得不给每人每个工具设下1500美元/月的上限。
95%的工程师每个月都在用这些工具,重度用户单月能花掉2000美元,CTO一次两小时的产品演示就烧掉了1200美元。
Uber最后不得不出手,给每个员工、每个工具都设了强制上限:每月1500美元,超了就是超了。
47000美元的死循环、6531美元的云账单、一整年预算的提前清零,三个完全独立的案例,指向同一个结论:"用得越多越好"这套逻辑,一旦失去边界,烧掉的就是真金白银。
为什么监控永远慢半拍
一个自然的问题是:这些公司难道没有监控吗?
有。几乎所有案例里,团队都装了dashboard,都设了告警。
但告警是异步的。
等邮件弹出来、等有人打开仪表盘看一眼,代理已经在这段时间里又多跑了成百上千次调用。
Waxell的复盘报告点出了这中间的关键差别:"budget alerts"(预算告警)只是在超支之后告诉你一声,真正管用的是"budget enforcement"(预算执行),在每一次新的LLM调用真正发出之前,先算一遍累计花费,一旦超过阈值,就终止会话,不给代理任何"再想想"的机会。
这中间还藏着一个更隐蔽的技术陷阱:上下文窗口的累积爆炸。
代理每走一步,都习惯把之前所有的历史对话原样塞进下一次请求的prompt里。
token数量就这样从5000一路涨到2万、8万甚至更高,而成本的增长速度,远比这个数字本身更吓人,接近于输入长度的平方级增长。
据估算,在很多失控案例里,超过七成的token,只是在反复咀嚼此前已经说过的废话。
也就是说,代理烧掉的这些token,大多花在了一遍遍回顾自己毫无进展的历史,然后为这份回顾支付账单上。
Palantir向"卖token的人"宣战
企业买家的怒火,最终变成了一份公开宣言。
2026年7月1日,Palantir官方账号发布了一份九点"AI主权"宣言,其中第三条,几乎是指名道姓地开炮:
"Tokenmaxxing hijacks your value orientation and decreases your institutional fortitude and intelligence. The pursuit of high token usage incentivizes disposable scripts over robust software , with the addictive feeling of false progress. There is a reason why those selling tokens refuse to charge based on value."
「Tokenmaxxing劫持了你的价值取向,削弱了机构的韧性与智慧。对高token使用量的追逐,鼓励的是一次性脚本而非健壮的软件,伴随着一种虚假进步带来的成瘾感。那些卖token的人拒绝按价值收费,是有原因的。」


▲ Palantir官方宣言第三条:"卖token的人拒绝按价值收费,是有原因的",戳破了按量计费与真实产出之间的利益错位。
"那些卖token的人拒绝按价值收费,是有原因的",这句话几乎是把整个per-token商业模式的软肋撕开给所有人看:如果收费与产出挂钩,厂商就没有动力鼓励你无节制地调用。
同一天,Palantir的CEO Alex Karp在CNBC的镜头前,把话说得比官方宣言不留情面得多。
"Something has gone completely wrong."
「事情已经完全出了问题。」

▲ CNBC报道标题:"Palantir的Karp抨击OpenAI、Anthropic的token模式:'事情已经完全出了问题'"。
Karp的原话更加不客气,他形容眼下这种按token计费、鼓励企业无脑调用的模式,像是在"chillax and waste my time with tokens",一边放松,一边把时间浪费在token上。
他的解药,是Palantir与Nvidia联手推的开放权重模型方案:企业自己拥有计算资源、拥有模型、拥有数据,不必把每一次调用都变成向别人交的"税"。
这背后当然有Palantir自己的商业算盘,它正是这套"AI主权"说法最大的受益者之一。
但企业CEO们对暴涨的token账单感到愤怒,却是眼下这场争论里最真实的部分。
工程师现在能做什么
把Brian的审计经验、Waxell的技术复盘、DN42和Uber的教训放在一起看,能拼出一份相当具体的自救清单:
给每个session、每个agent设强制token预算,并让它实时生效,账单出来之前就该起作用。
权限收窄到最小必要范围,代理绝不应该拿到可以无限重复调用CloudFormation之类高危操作的凭证。
把退出条件写死在代码里,包括最大重试次数、最大递归深度,不能指望模型"自己判断该停了"。
定期修剪上下文,只保留真正有用的状态,不必把全部历史一股脑塞进每一次请求。
给高风险动作设人工审批关卡,让人类在代理动手之前多看一眼。
建立独立的成本归属仪表盘,并且配上真正能自动停机的机制,而不只是一封没人打开的邮件。
Brian说,这套办法他已经在几十家公司身上验证过,而且他收费的逻辑很简单:按省下来的钱和实际提升的产出算分成,不然就不收钱。
这也从侧面说明了一件事:"tokenmaxxing"造成的浪费,规模大到足以撑起一门专门的审计生意。
这场账单风波的背后,是一场关于"谁说了算"的战争
40个代理、40天、数十万美元,听起来像一个孤立的乌龙事件。
但把它和47000美元的死循环、6531美元的AWS账单、Uber提前清零的年度预算摆在一起,就能看清一个更大的图景:当代理拥有自主循环的能力,当计费按用量而非按价值,当激励机制只奖励"用得多"而不追问"用得对不对",失控几乎是必然的结局。
告警不会替你按下停止键,只有写进系统里的强制执行才会。
护栏本该保护你,但如果它的账单也由你来付,那它保护的究竟是谁,值得每一家还在疯狂调用AI代理的公司认真想一想。
Palantir选择用"主权"这个词来定义这场博弈,或许带着自己的商业私心。
可当越来越多的首席工程师,不得不在深夜翻查一份自己也说不清楚的账单时,这场关于谁该为AI的"自由发挥"买单的争论,才刚刚开始。
夜雨聆风