「我用10个AI员工给我干活赚钱」「一人公司指挥AI团队」「三省六部AI朝廷」，最近看到很多这种内容，配图常常是组织架构图、官员头像或者人物分工表。

这类内容的流量很好。很多几十万以上播放的视频、GitHub星标1万5千+的项目、新浪、36氪连篇报道。

但我想说一句不太招人喜欢的实话：如果你真要用AI干活，按这套思路走是干不好的。

这套思维方式提供的不是工程能力，是当老板的爽感。

先讲清楚为什么这事看起来这么诱人。

把LLM调用包装成「员工」，其实是个心理问题。

第一是控制欲。「我有10个AI员工给我干活」比「我调用subagent完成了任务」更有当老板的感觉。前者你是CEO，后者你只是个写代码的。对很多用户来说，AI时代最大的诱惑不是效率，是地位。

第二是拟人化本能。AI长得像人，会说话、会推理、会道歉，大脑就默认按管理人的方式管他：分岗位、定职责、画组织架构图。这是几千年演化下来的社交本能，骗过自己很容易。

第三是自媒体的流量逻辑。「我有一群AI员工」是个钩子，一秒钟让人想点开；「我学会了用subagent」不是，只会让人一秒钟滑走。

这种思维最极致的落地形态，是号称用中国1400年的历史制度来管理AI的一个项目。这个项目用了720行Python写的「朝堂议政」引擎，给10个参朝官员每人配一份完整人设：emoji头像、品级标签（「正一品·中书省」「正二品·礼部」）、性格描述、固定口头禅。中书令爱用「臣以为需从三方面考量」，兵部尚书爱用「末将建议立即执行兵贵神速」，户部尚书张口闭口算预算。

议政里还有一颗「命运骰子」，可以随机触发16个古装剧剧情：「八百里加急边疆战报」「钦天监急报天象异常」「太后懿旨」「皇帝做了一个意味深长的梦」。每次议政LLM还要给每位官员打6种情绪标签（中性 / 自信 / 担忧 / 沉思 等），官员发言可以包动作描写，比如「拱手施礼」。

加上前端774行React、12个agent共1132行system prompt，2600多行代码，专门为了让模型像古代朝臣那样讲话。

这没什么不对。人对权力的本能想象很正常，看古装剧也舒服。我也不反对作者这样做，很多时候，把产品做得好玩是特别重要的，我非常理解和赞同。

但是对于想用AI做正事的人来说，不能把它当成正确的工程方法。

AI时代真正的工程问题，不是「我有几个AI员工」，是「我手上的这个任务，该怎么打包成上下文喂给agent，让他干完返回一个干净的结果」。

换一个核心论点：

这句话展开有三层。

你给agent的不是「岗位描述」，不是「你是一个资深架构师」，而是一个打包好的工作上下文：这次任务要做什么、需要哪些材料、判断标准是什么、返回格式是什么。一份打包好的上下文，本身就承担了「岗位」全部的有用部分。

对AI来说，一个干净的上下文极其关键。举个例子，你和AI反复修改一篇文章，改了很多轮之后让他评价这篇文章，他大概率会说「还不错」，因为上下文里全是你们一起反复打磨的努力痕迹。但如果你这时候新开一个子agent，只把这篇文章的正文给他，让他评价，他没看见前面那些修改的辛苦，可能会表达这篇文章就是一坨屎。

往往后者才是你真正需要的判断。

Agent干完就把结果交回主线程，不持续在线、不持续占用注意力、不持续吃token。一次调用一个结果。

举个例子，你在开发一款软件，需要把里面200行文档翻译成英文。这时候你拉一个subagent去翻译，回到主线程，主线程只需要知道「翻译完成」这一句话，不需要把这200行内容加载进来。否则主线程的上下文会被这些细节淹没，对真正重要的事情就分心了。

而翻译那个agent翻译完了，就没必要继续在线，也不需要占用任何资源。用一个比喻的话：agent不是你忠实的朝臣，是你用完即弃的棋子。

主线程是唯一的决策中枢。Agent串行被调用、串行返回、由主线程决定下一步，而不是多个agent平行协商、互相投票、然后主线程从一团乱麻里收拾残局。

真正需要控制的是上下文的隔离和流向，不是一群朝臣叽叽喳喳妄议朝政。

这套结构对应一个具体的画面。

你写完一段代码，需要agent帮你跑一遍测试。脑子里浮现的画面不应该是「派一个测试工程师」。

应该是这样：

你和他的关系不是老板和员工，是函数调用关系。

这才是真正的「上下文隔离」。它解决的核心问题不是「分工」，是保持主线程的判断力清醒。

前面讲的「上下文隔离」「用完即弃」是设agent的两条常见理由。还有一条同样重要、但更容易被忽略的：简单事用便宜模型，复杂判断用SOTA模型。

这才是真正意义上的「分工」：按模型能力档位分，不是按人设分。

举个具体场景。批量整理几百个文件的元信息，这种任务用Haiku完全够，省的钱可能就是几十倍。但让agent判断「这份产品需求有没有逻辑漏洞」，这种活值得花Opus。

如果你脑子里在想「我需要一个PM agent + 一个开发agent + 一个测试agent」，你已经在用错的维度切问题了。

正确的维度是：这个任务该用什么上下文、调几次、用哪个档位的模型。

正面观点讲清楚之后，再回头再看「赛博朝廷」项目，就比较容易判断了。

12个agent的默认配置都指向同一个模型。同一个模型对自己讲话不会产生真正的多视角。多视角的前提是不同的底层认知，不是不同的角色扮演。古代门下省能制衡中书省，是因为门下和中书代表不同的政治派系、不同的知识传统、不同的利益结构；同一个AI戴两顶帽子，没有这种结构性差异。

README头版写着「门下省专职审核·可封驳」，听上去像1300年前的真制度。打开代码，写着「最多3轮，第3轮强制通过」。

从工程角度，3轮放行也不算坏，可以避免一直不放行卡死。但审核本身没有意义，加上最多三轮就可放行，得到的是一个「看起来有审核」的视觉效果。这个过程要花费6次LLM调用，有这些token，完全不如让单agent做更多迭代反思。

同一个项目的全局规则里有这样一条：

多agent系统要专门防御自己内部的通信，等于承认agent之间本质上就不可信。

说明流程本身不可靠。中书省的prompt里专门写着：

我在之前那篇Harness完全指南里写过一个原则：能用函数的就不要用自然语言。函数一定会被执行，自然语言不一定。

事件总线、Redis队列、Postgres审计、WebSocket接口、看板轮询、命令行同步工具：所有这些都不是为了把活干好，是因为架构一开始就错了，agent之间没有共享上下文，要靠外置系统强行同步状态。

那个项目里12个agent的system prompt加起来1132行，光「kanban_update」这一个看板同步命令就在12个prompt里重复出现142次，每次agent调用都要把这些重复内容打到模型里一次，纯属花钱买「组织感」。

我并不是说这个项目做得不好。我觉得每一个能火的项目都有它值得学习的地方，如果这个项目能让更多人因为它了解AI、愿意开始用AI，它的作用也是非常正向的。

但这更多是一个好玩的游戏，不能当成提高生产力的方法。

我在很早的视频里就反对用角色扮演给AI分工。之前公众号那篇Harness文章里也提到过，子智能体的价值不是分工。

但你可能会问：凭什么我说的就一定对？

这其实不是我一个人的判断，是跨阵营的共识。

表达很直接：

文章里给的三条核心原则是：简单、透明、工具设计精心。没有一条提到「按角色配agent」。

用一个让人记得住的例子讲清楚按角色拆agent为什么会失败：

他们的默认推荐是「单线程的线性agent」（single-threaded linear agent），能用一根主线就用一根。整篇文章里他们点名表扬的是Claude Code的subagent设计：「subagent只回答窄问题，从不与主agent并行」。

Swarm是OpenAI曾经的实验/教育框架（现已被Agents SDK取代），在README里讲得很白，整个API只有两个原语：Agent和「移交」（handoff），agent可以随时把对话移交给另一个agent。Swarm的设计哲学是「调用之间不保留状态」（stateless between calls）：不需要事件总线，不需要审计数据库，每一次移交把上下文显式传过去。和「赛博朝廷」那种带事件总线、看板异步同步的架构刚好相反。

给agent下过一个极简定义：

注意他用的词：「循环」（loop），不是「团队」（team）；「一个目标」（a goal），不是「组织架构图」（org chart）。

当然，并不是不能用多agent。Anthropic自己做深度调研系统时就用了多agent，性能提升超过90%，但这并不是反例。

仔细看那篇案例就会发现，Anthropic的多agent不是按角色拆（没有「PM agent + 开发agent + QA agent」），是按探索方向拆：同一种agent，同时去查不同的子空间，结果汇总到主线程。这恰好是「按上下文窄化拆」的另一种形态。真正的分界线从来不是「多个agent还是单个agent」，是「按上下文拆，还是按角色拆」。

把这条加上之后，Anthropic、Cognition、OpenAI、独立工程师，四个不同立场的来源，落在同一个结论上：

我认为现在AI的使用确实是科学和玄学（或者说是哲学）的结合。

Claude Code团队的Thariq Shihipar在最近一次访谈里说，他写prompt喜欢加一句：「Claude，去犯错吧！启动恋爱脑，做点糟糕的决定」（原文：Make mistakes Claude. Fall in love. Make some bad decisions.）。主持人Claire Vo自己prompt结尾常用「我信任你，我看好你」（原文：I trust you. I believe in you.）。

这他妈绝对是玄学。

Anthropic在2026年4月发了一篇研究《Emotion Concepts and their Function in a Large Language Model》：找到了Claude内部对应171种情绪概念的「情绪向量」（emotion vectors）。研究证明，用户输入里的情绪强度确实会激活模型内部不同的「特征」（features），进而影响行为。这是「机制可解释性」（mechanistic interpretability）这条线扎实的工程进展。

但研究没有证明「对Claude友善 → 输出更好」这件事。Thariq自己在访谈里也明说：

这说明他自己既懂科学，又用玄学。他保持友善，只是因为「我认为一个友善的世界会运行得更好」。

这一段非常关键。请注意他们的认知结构：

反观「AI团队」「赛博朝廷」这套思维，它是玄学，而绝非科学。把组织管理本能直接当成工程方法，把权力幻想直接当成架构设计。

科学打底，玄学才有位置。反过来不行。

下次有人问你「你有几个AI员工」？

如果你想装技术，你可以语速极快地告诉他：我没有AI员工。我有一个主线程在思考，和一些上下文包随手丢给subagent去跑。Agent用完就销毁。需要的时候有上百个并发，不需要的时候一个都没有。

如果你想装深沉，你可以做沉思状告诉他：我考虑的不是组织行为，是上下文的形状。

如果你想装高冷，你可以冷漠地告诉他：我和agent的关系，不是老板和员工，是函数调用。

我觉得这三个回答，都比「我有一个AI马云帮我决策，有一个AI巴菲特帮我投资，有一个AI乔布斯帮我做产品」更装也更高级。

关键是，这才是正确的打开方式。这是科学。

每一次你愿意从「我有N个AI员工」切到「我手上有几种上下文该怎么打包」，你和AI协作的真实质量就会上一档。

然后再去和AI聊「恋爱吧，犯点错」，那是你的哲学，你可以随便玩，但你的工程质量有科学打底。

如果你在2024年问一个工程师：harness是什么？多数人会一脸茫然。到了2026年，这个词突然变成AI圈最热的概念之一。

Harness在英文里大体可以理解为「驾驭」或「约束框架」。软件工程里早就有test harness（测试框架），但harness本身一直不是行业核心词。它突然爆火，是因为大家集体在问同一个问题——

模型之外，究竟要搭一套什么样的系统，才能让AI稳定地干活？

但就在前几天，Anthropic Claude Code负责人Boris Cherny抛出了一句话：「Harness will disappear.」（harness会消失。）

那为什么还要写这篇文章？因为Cherny这句话有上下文（后面会拆解），而我的判断是：harness将是一切工作的核心。

这篇文章会先把harness是什么、内部分哪六层讲清楚，再回到Cherny那句话——看他说的「消失」到底指什么。

过去几年，AI工程大概经历了三次重心变化。

第一阶段是prompt engineering（提示词工程）。

那时的核心问题是：模型能不能听懂我？所以大家研究提示词模板、角色设定、few-shot（给几个例子让模型照着学）示例，研究怎么把话说得更清楚。

第二阶段是context engineering（上下文工程）。

模型能力上来以后，问题开始变成：他不是不聪明，而是不知道。他不知道你的代码库结构，不知道你的业务规则，不知道上周讨论过什么，不知道这个接口为什么不能改。于是大家开始做RAG（检索增强）、记忆、文档检索、上下文压缩、MCP（模型上下文协议）。

第三阶段是harness engineering（harness工程）。

这时，问题又变了。

AI不只是「知道什么」，也不只是「回答什么」。他开始行动。他会改文件，会运行命令，会查数据库，会连内部工具，会发起PR，会在一个任务里连续调用几十次工具。

一旦AI开始行动，你面对的就不再是一个聊天框，而是一个带有不确定性的执行系统。

这就是为什么harness现在变重要。

Harness这个词本身也很有意思。

它最早在英语里和盔甲有关，后来变成马具，再后来发展出「驾驭某种力量为我所用」的意思。人类先是试图控制战场上的危险，后来控制马，再后来控制水力、蒸汽、电力。每一次都是同一种动作：

遇到一种比自己更强、更快、更不可预测的力量，然后想办法把它变成可用的生产力。

现在轮到AI。

所以harness这个词流行起来，不是偶然。它暴露了AI工程师面对新一代智能体时的真实心理：

这东西太能干了。我得想办法让他在正确的轨道里能干。

不是因为大家突然喜欢一个新词。而是因为模型已经强到值得给他建围栏了。

早期模型的主要问题是跑不远、跑不稳。你还没来得及担心马失控，马已经自己卡住了。但当模型能连续跑半小时、几个小时，甚至跨多个上下文窗口接力完成任务时——他能创造的价值变大了，能犯的错误也变多了。

这时，真正的问题不再是「让他更聪明」。而是：

这些问题加在一起，就是harness engineering。

先给一个定义：

这个定义看起来有点长，但它可以把三个概念干净地区分开：

有人把这件事概括成一个非常简单的公式：

模型是大脑。Harness是大脑之外的一切。

这个加号不是装饰。LangChain做过一个直观的实验：同一个模型不变，只调整模型外面的运行环境，他们的编码智能体在Terminal Bench 2.0上的得分从52.8跳到66.5。13分的差距，完全来自harness那一项。

同一个模型，放在不同harness里，可以是两个不同的智能体。

但「一切」这个词太大了。真要落到工程上，可以拆成六层。

后面这六层是这篇文章的脊柱。你可以把它当成一张地图——后面无论讨论什么，都会回到这六层来定位。

指令层是最容易理解的一层。它包括系统提示词、项目规则文件、AGENTS.md、CLAUDE.md、skills，以及各种任务说明。

很多人第一次配置AI编程工具时，最容易犯的错就是写一份很长的规则文件。什么代码风格、目录结构、命名偏好、项目背景、部署方式、数据库约束，全都塞进去。看起来很完整。但实际效果往往不好。

因为模型的注意力不是无限的。规则太多，真正重要的规则反而会被淹没。

Hashimoto在自己的Ghostty项目（他用Zig写的开源终端模拟器）里维护AGENTS.md，他的做法很值得学：每一条规则都对应一次智能体真实犯过的错。

它不是一份「最佳实践大全」，更像一份踩坑记录。智能体用错了命令，加一条。跳过了必须跑的检查，加一条。误解了项目结构，加一条。每条规则都有来历。

OpenAI的百万行代码实验也经历过类似过程。他们一开始也想把很多规则都塞进AGENTS.md。后来发现不行，于是把它压到一百行左右，让它更像一张地图：告诉智能体应该去哪里查设计文档、架构说明和执行计划。

这里有一个值得留意的对比。我仔细看过OpenAI和Anthropic两家的指令风格，二者的取向其实不太一样。OpenAI更多在告诉AI「应该做什么」，Anthropic更多在告诉AI「不能做什么」。

我个人更赞同Anthropic这条路。原因很简单——人对自己需要什么往往说不清，对自己不接受什么倒是清楚得多。把「红线」讲明白，剩下的留给模型发挥，既给了空间，也守住了底线。可能这也是为什么不少人觉得Claude比ChatGPT「更有人味」——不一定是模型本身的差异，而是规则风格让模型保留了更多发挥空间。

手册太厚，他会忘。地图清楚，他知道该去哪里找。

指令层相对静态。上下文层是动态的。

每一次模型调用之前，系统都要决定：这次应该把哪些信息放进上下文窗口？

这听起来像「塞信息」。但真正难的不是塞更多信息，而是塞更干净的信息。

信息太少，AI不知道情况。信息太多，AI被噪音淹没。

Anthropic在研究长任务智能体时发现，单纯压缩对话历史并不够。一个任务如果要跨很多个上下文窗口继续执行，下一个会话不能只拿到一团被压缩过的聊天摘要。它需要的是结构化的工作状态：当前完成到哪里，接下来要做什么，哪些问题已解决，哪些决策不能改。

所以他们引入了类似 claude-progress.txt 这样的进度文件，让新会话像接班的工程师一样，先读交接记录，再继续做事。这比「把前面所有对话压缩一下」更可靠。

子智能体（sub-agent）也可以从这个角度理解。

很多人以为子智能体的价值是分工：一个前端，一个后端，一个测试。但更重要的价值其实是隔离噪音。

搜索资料、读日志、翻文档、查历史讨论，这些过程会产生大量中间信息。如果全部塞回主对话，主智能体反而会变笨。更好的做法是：让子智能体完成这些嘈杂任务，只把干净摘要交回来。

所以上下文层有两句对称的话——不在上下文里的东西，对AI来说就不存在；不该进上下文的噪音，也会让AI做错判断。

上下文是AI能看见什么。工具是AI能做什么。

工具层包括文件读写、命令行、Git、浏览器、数据库、内部API、MCP服务器等。

直觉上，很多人会觉得工具越多越好。但实际不是。工具越多，系统提示越长，选择空间越大，智能体越容易分心。

一个智能体接了十几个MCP服务器，看起来能力很强，但每个工具的描述都要进入上下文。很多工具根本用不上，却持续消耗注意力。

Stripe的做法很典型。他们有一个集中式工具系统，覆盖很多内部工具。但不是每个智能体都加载全部工具，而是根据任务给他一组相关工具。

这才是关键。智能体需要的不是「以防万一」的全家桶，而是和任务精确匹配的一组工具。工具不是越多越好，而是越清楚越好。

一个好工具要有明确边界、明确输入、明确输出。最糟糕的是「超级工具」：什么都能做，参数复杂，结果含糊。人类可以凭经验猜。AI很容易在这里跑偏。

工具层定义AI能调用什么。边界层定义他在什么条件下能调用。

这一层包括权限、沙盒、网络隔离、文件系统隔离、密钥管理、审批规则。

Claude Code的权限系统就有类似三档：允许、询问、拒绝。其中最重要的是拒绝优先。只要命中拒绝规则，就直接停下，不会被其他允许规则覆盖。这是一种「故障即安全」的设计。

Stripe Minions的边界更偏基础设施：每个智能体跑在独立开发环境里，只能访问测试或QA环境，不能碰生产服务和真实用户数据。

这件事的意义不是「限制AI」。恰恰相反。

边界设计得越清楚，人类越敢把更多事情交给AI。

没有边界，你永远不敢给他真正有用的权限。有边界，你可以放心让他在安全范围内充分行动。

人类写完代码，可以自己运行、观察、判断。AI不一样。他对现实的感知，主要来自反馈系统。

测试、类型检查、linter（代码风格检查）、CI、运行日志、代码review、另一个模型的评估，都是反馈层。

OpenAI在百万行代码实验里有一个很具体的发现：错误消息应该写得像给智能体看的修复提示。

不要只说「类型不匹配」。要说「这里应该用 string[]，不是 string」。

这看起来是一个很小的改变，但意义很大。错误消息从「报错」变成了「教学」。AI看见错误，不只是知道失败了，还知道该往哪个方向修。

这也解释了为什么传统软件工程里的很多好习惯，在AI时代突然价值翻倍。

强类型语言、严格linter、完善测试、稳定CI，过去是给人类工程师的质量保障。现在，它们变成了AI能感受到的现实。

没有反馈，AI只能猜。有反馈，他才能修正。

这一层后面我们还会再回来。因为它正好是「harness是否会消失」这个争论里，最难被消化掉的部分。

前五层让AI能干活。治理层决定AI怎么被管理。

它包括成本监控、运行日志、审计记录、人工升级、失败复盘、组织级模板、回归评估。

这一层最容易被忽略。因为个人开发时，你可能觉得跑一次多花几美元无所谓。但到了组织级，智能体可能并行跑几十个、几百个任务。一个失败循环如果不被及时终止，可能烧掉很多钱，也可能产生大量错误改动。

所以成熟系统一定要回答几个问题：

这就是治理层。

它说明harness不是一个人的prompt文件。它会慢慢变成组织资产。一个团队积累出的规则、工具、测试、流程、权限和模板，应该能被下一个团队继承，而不是每个人从头开始摸索。

如果只看六层会有点散。真正把它们串起来的，是一个非常古老的工程动作——

前半是「行动前的引导」：AGENTS.md规则、目录结构、类型系统、权限设置——这些告诉AI该往哪走。后半是「行动后的检查」：测试、CI、linter、运行日志、代码review——这些告诉AI刚才那步有没有偏。两类必须组合。只有引导没有检查，规则写了也不知道有没有用；只有检查没有引导，AI反复犯同样的错。

还有一条原则：能用代码强制的，就不要写成「请记得」。 Hook会执行，自然语言会被忘。这条原则后面会反复出现——它解释了为什么AI时代的工程不会消解，反而会更工程化：你能用确定性骨架兜住的地方越多，留给模型自由发挥的空间就越精准。

这其实就是1948年维纳提出的控制论的核心——前馈给方向，反馈看偏差。AI没有让「控制」这件事过时，只是把它的对象从机器换成了一个比机器更不确定、行动空间更大的系统。所以harness才会从一句prompt，扩展成六层。

理解了harness是什么，还要再往前看一步。

如果harness变成AI工程的核心工作，工程师这个角色会发生什么变化？

我觉得至少有三个转移。

OpenAI那个百万行代码实验，是最极端的样本。三位工程师从空仓库开始，让Codex生成代码、测试、CI、文档和内部工具，人类不直接写代码。

他们做的是：

这不是传统意义上的写代码的人。更像平台工程师、架构师、产品经理、质量工程师的混合体。

我自己的体感也非常明显。

以前我做一个新功能，想的是这个功能是什么样子，应该用什么方法，什么技术栈，实现的顺序。现在我更常做的是反着走——先把问题本身想清楚：要解决什么、有哪些边界条件、需要哪些工具、什么算「做完」。然后让AI去拆步骤、写实现、跑检查。注意力从「每一行怎么写」，换成了「方向对不对、边界清不清、反馈够不够」。

换句话说，我大量时间在做的事，不是写代码，而是给AI建一个能稳定干活的环境。

这就是第一个转移：

Hashimoto对harness engineering的定义非常直接：

这句话看起来像经验建议。但它背后是一种工作方式的变化。

传统调试是：发现bug，定位原因，修掉这一次。

Harness engineering是：发现bug，修掉这一次，然后继续追问——为什么AI会犯这一类错？

答案可能是一条规则。可能是一个测试。可能是一个hook。可能是一个更清楚的工具描述。可能是一个更短的上下文。也可能是一个必须交给人的升级规则。

这和软件工程里写测试防止回归，是同一个逻辑。

以前你给代码写测试。现在你给AI建围栏。

每一次失败，都应该让系统变得更稳一点。

Stripe Minions的故事最容易被误读。

很多人看到的是：AI每周能写超过1000个PR。但真正重要的是：Stripe已经有一套很强的工程基础设施。

标准化开发环境、内部工具系统、CI、测试、代码review文化——这些都不是为AI临时搭的。它们原本是给人类工程师用的。

智能体只是接入了这套基础设施。

这说明一件事：

这句话特别重要。

如果一个团队没有测试，没有清楚文档，没有稳定CI，没有标准化环境，没有内部工具接口——买再多AI账号，也很难跑出Stripe那种效果。

模型这一层会越来越普及。但模型外面的工程基础设施，短时间内不会自动普及。

这会让组织之间的差距变大。这就是为什么我说，harness的含金量还在上升。

一个工程化成熟的团队，AI会放大它的能力。

一个工程化混乱的团队，AI也会放大它的混乱。

那这套系统在真实场景里长什么样？下面看几个具体案例。

下面看几个真实案例。我不会把它们写成「资料汇编」。每个案例只回答一个问题。

Anthropic专门研究过长任务智能体。他们关心的是：如果让一个智能体连续工作几个小时，甚至跨多个上下文窗口继续工作，他怎么保持进度？

一开始，他们发现两个常见失败模式。

第一，AI想一口气做完所有事。结果写到一半，上下文快满了，留下半成品。

第二，新会话接手时，不知道前面发生过什么，只能猜。

Anthropic的方案不是简单换更大窗口。他们设计了一个更像「换班交接」的harness。

先由一个初始化智能体把任务拆清楚，写出需求、任务列表和进度文件。后面的编码智能体每次只推进一小部分，并且留下清楚的交接记录。新会话不是读一大段压缩聊天记录，而是读结构化的进度文件。

这个设计很像人类工程师接手项目：先看README，读任务列表，看git历史，再继续干。

需要。

Anthropic的Research（深度研究）功能就是一个非编码场景。他要做的是深度研究：拆问题、查资料、比较来源、生成带引用的报告。

这不是写代码。但他遇到的问题和编码智能体很像。单个上下文窗口装不下太多搜索过程。

所以Anthropic用一个主智能体来拆解问题，再创建多个子智能体并行搜索。每个子智能体都有明确目标、输出格式、工具范围和任务边界。他们独立探索，然后把结果压缩成摘要交回主智能体。

主智能体拿到的是干净摘要，而不是一大堆原始网页和中间过程。

这再次说明：

凡是任务复杂度超过单个上下文窗口能稳定承载的场景，都开始需要类似harness的设计。

研究、客服、数据分析、运维、交易——不只是写代码。

Stripe Minions的关键，不是让AI自由发挥。恰恰相反，这套系统把自由度放在少数真正需要推理的节点上。

一个典型流程是：智能体写代码。确定性脚本跑检查。失败了，智能体修。再跑测试。还失败，就交给人。

这里最重要的不是「智能体很聪明」，而是流程被拆成了两类节点：

这就是企业级harness的关键：

这也是为什么测试、CI、权限和沙盒如此重要。没有这些确定性骨架，智能体的自由行动很快会变成自由失控。

把三个案例放在一起看，它们解决的问题不同——长任务、研究、企业流程——但它们做的是同一件事：

这就是harness engineering。

读到这里，应该有读者想问一个问题——

如果模型越来越强，这套「可控、可观测、可复盘的系统」是不是会越来越不需要？

类似的疑问其实出现过一次。两年前「prompt engineer」（提示词工程师）还是个大热概念，被当成独立职业，公开招聘、年薪百万的报道满天飞。今天它几乎不再作为单独岗位存在——并不是写提示词没用，而是模型本身变强之后，那些大段结构化的提示词技巧不再必要，「怎么哄模型听懂」这件事的难度，被模型本身吃掉了大半。

那harness会不会也是同一条路？模型再强一些，它是不是也会被消化掉？

恰好，这正是2026年5月AI圈最热的一场争论。

如果你最近刷过技术圈的内容，大概率看到过这么一句话——

「Harness will disappear.」（harness会消失）

说这话的人不是别人，是Anthropic的Claude Code负责人Boris Cherny——可能没有几个人比他更懂harness。说这话的场合也不是普通采访，而是2026年5月的Sequoia AI Ascent大会。

这个发言被中英文圈广泛转载。腾讯新闻的标题是「编程已经结束、harness将消失」。

如果你只读这个标题，你会觉得harness可能要消失了。但深入去看Cherny真正表达的内容，你会发现——这是harness的胜利，而不是harness的终结。

Cherny在Sequoia现场抛出的不止「harness will disappear」一条。他铺开了一整组同样激进的判断，下面逐条拆开看。

「Coding is solved.」（编程问题已经解决了） 这是被截图最多的一句。但他原话有一个关键限定——对他个人写的代码100%，对整个工程行业大约50%；且仅在TypeScript、React等模型熟悉的技术栈成立。冷门语言、复杂老代码库，他给的答案是「wait for the next model」（等下一代模型）。这条限定语在二手报道里经常被砍掉，但它是理解整个论断的关键。

「Harness will disappear.」 模型变强后，提示词注入防御、静态命令校验、人工介入审批（human-in-the-loop）这些「为弥补模型缺陷而存在的壳」，会被模型本身的推理消化掉。

「一年后Claude Code可能只剩100行代码。」 产品层会被模型内化吃掉。配套的判断是「Loop就是未来」——用 /loop 加cron（定时任务）让智能体自主跑：自动修CI、做rebase、维护间歇失败的测试（flaky test）、定时从社交媒体抓反馈做聚类。一次维持5到10个会话，每个会话下几十个子智能体，加起来「几百个」白天跑，过夜跑「几千个」。

印刷术类比。 1400年代欧洲识字率约10%，抄写员（scribe）替不识字的精英读写；印刷术让书的成本降到原来的百分之一，50年内欧洲出版的书超过了过去整个千年。Cherny由此推断：「最好的会计软件作者不会是工程师，是懂业务的会计师。」

这是一个很强的判断组合——有宣判式论断（coding is solved）、有产品判断（100行Claude Code）、有历史类比（印刷术）。而且发言人是Claude Code的亲爹。

这就是最关键的拆解。

回到Cherny原话的语境，他举的「消失」的例子非常具体——

这些都有一个共同点：它们是为弥补模型当下能力不足而存在的「壳」。

提示词注入防御之所以要硬编码，是因为模型分不清楚什么是可信指令、什么是注入指令。静态命令校验之所以存在，是因为模型不一定能判断哪个命令在当前环境下安全。简单的人工介入审批之所以存在，是因为模型在低风险动作上也会犯人类一眼能看出的错。

模型变强，这些「壳」确实可能被吸收。

但harness不只是这些壳。

回到前面的六层框架，可以把Cherny说的「消失」映射得很精确——

这张表读完，Cherny的论断和这篇文章的框架不再冲突——它们在讲不同的层。

可以用一句话总结：

或者换个说法：

它意味着harness把「弥补模型缺陷」那部分工作完成了，所以这部分可以收起来。而harness真正持久的价值——为非确定性系统设计反馈、治理、上下文、合规——会上移，不会消失。

Cherny个人30天259个PR的数据非常有说服力。但放到更大样本里，AI编程的整体效果是另一幅图景。

Google Chrome团队的Addy Osmani在《The 80% Problem in Agentic Coding》里给出最锋利的反驳——高AI渗透团队PR合并量翻了98%，但review时间膨胀了91%。他造了个词叫comprehension debt（理解债）：AI写完一个功能、测试都过、人扫一眼合并，三天后自己都解释不清那段代码怎么工作。Osmani的结论一句话——摩擦没有消失，只是搬家了：从写代码搬到了review和verify。

另一边AI评测机构METR在2025年7月做过一个实验，资深开发者自以为用AI后快了20%，实测慢了19%——感知和现实差39个百分点。HN上的反应也类似：有人挨个给Cherny那句话加限定括号，还有人直接问——既然编程已经解决了，Anthropic为什么还在大规模招工程师？

这些声音不构成「AI没用」。但它们指向同一个判断——AI把代码生成的速度推到了新水平，但代码生成的速度，并不是软件工程真正的瓶颈。理解、验证、维护、协作、责任——这些才是，而这些恰好是harness反馈层、治理层、上下文层负责的部分。模型越快，这几层不是越不重要，而是越重要。

如果你觉得这场争论似曾相识，那是因为它在制造业里演过一遍。

1980年代，美国汽车业被日本丰田打得很狼狈。面对竞争，通用汽车做出的判断是——自动化更多。

通用在1980到1990年代投入了数百亿美元追求高度自动化，「灯灭工厂」（lights-out factory）是当时最激进的愿景——理想状态是机器人替代工人，连灯都不用开。

同期丰田在做相反方向的事：增加机器没错，但更大量地训练工人在系统里识别异常、做「安灯停线」（andon cord，在异常时拉绳子停整条产线）、做根因分析。 andon cord是丰田的招牌制度——任何工人发现异常，都可以拉绳子打断整条自动化产线。流程被设计成「任何人都有权打断自动化」。

20年后回看，丰田全胜，通用差点破产。

不是因为通用的机器人不够好，而是在完全自动化的复杂系统里，最稀缺的不是「执行」，是「在异常状态下做出正确判断」。

这恰好对应了Cherny和Osmani的争论——

Cherny说：「the model will just do the right thing.」（模型自己会把正确的事做对。）这是1985年通用的逻辑：相信自动化能解决一切。

Osmani说：review时间膨胀91%，因为模型生成代码后，辨识异常、停线、做根因分析的人类负载反而上升了。这是1985年丰田的逻辑：自动化越多，「在异常状态下做正确判断」越值钱。

谁会赢？历史已经给过一次答案。

这不是说Cherny错了。他个人30天259个PR是真的，Claude Code团队大量编码工作交给智能体也是真的。但这些样本有一个共同特征：他们在一个反馈层极其完善、治理层极其成熟的环境里跑。Anthropic内部的CI、测试、代码review文化、工具基础设施，都不是为AI临时搭的——它们是给世界一流的人类工程师准备的。

智能体只是接入了这套基础设施。

换句话说，Cherny不是证明了harness会消失。他证明的是：当harness的反馈层和治理层足够强时，模型可以发挥出惊人的产能。

这恰好是这篇文章的论点。

把上面所有东西收拢一下。

Cherny说「harness will disappear」——他指的是补丁层。模型变强会吃掉一部分今天为弥补模型能力不足而存在的工程结构。

Osmani说「the shift relocated friction」——他指的是基础层。代码生成不是软件工程的瓶颈，理解、验证、维护、协作才是。这些是harness反馈层、治理层、上下文层负责的事。模型越快，这几层越重要。

这两个判断不冲突。它们描述了同一件事的不同侧面——

如果你回头看这篇文章的六层框架，会发现这个判断有个直接推论——

未来真正值钱的harness投资，不是写更长的AGENTS.md（那是补丁层，可能会被模型吸收），而是把反馈层、治理层、上下文层做成组织的基础设施。

测试是不是健全？CI跑得稳不稳？代码review文化在不在？错误消息写得是不是机器友好？任务状态有没有结构化？跨会话接力有没有标准协议？成本和审计有没有系统？

这些问题2024年问，是软件工程的卫生标准。
2026年问，是AI时代的护城河。

模型这一层会越来越普及。但模型外面的工程基础设施，不会自动普及。

Cherny自己也承认了这点。他公开的工作流里写——CLAUDE.md大约100行（行业平均500到1000）；每次Claude做错事，就往里加一条；这个文件提交进git，团队共享。

这哪是harness在消失？这是harness在最讲究的人手里运行良好的样子。

补丁层薄了。基础层在。

讨论清楚了「消失论」，我们就可以放心进入下一节——

你自己怎么搭这套harness？

讲了这么多，最后要落到自己怎么做。

你不需要一上来就学Stripe，也不需要先搭一个组织级平台。对大多数个人开发者和小团队来说，最重要的是先搭一个最小harness。

这也是我看Learn Harness Engineering这个项目后，觉得最值得吸收的一点。它没有把harness讲成一个很玄的概念，而是落到几个非常具体的东西：规则文件、启动脚本、功能状态表、进度日志、验证流程和会话收尾。

换句话说，harness不是「写一个更好的提示词」，也不只是「放一个CLAUDE.md」。它是一套让AI每次开工、执行、验证、收尾都更稳定的工作流程。

很多人配置AI编程工具，第一反应是写一份CLAUDE.md或AGENTS.md。这当然有用，但它只是入口，不是完整的harness。

一个更实用的最小组合，至少应该有四样东西：

这四个文件各管一件事。

AGENTS.md / CLAUDE.md 管规则。它告诉AI这个项目是什么、用什么技术栈、哪些命令必须跑、哪些地方不能碰、什么算完成。它最好短一点，像地图，不像百科全书。

init.sh 管开工前的环境检查。每次AI开始工作前，先跑一遍初始化脚本：安装依赖、检查环境、跑基础验证、确认项目能启动。这样可以避免他在一个坏掉的环境里继续瞎改。

feature_list.json 管任务状态。它不是给人看的待办清单，而是给AI看的状态机：哪些功能没开始，哪些正在做，哪些被阻塞，哪些已经验证通过。AI每次只应该选一个未完成任务，不要同时开三个坑。

progress.md 管跨会话记忆。它记录上一轮到底做了什么、哪些检查通过了、哪里还没验证、下一轮应该从哪里继续。这样下一次会话不用靠压缩聊天记录接力，而是读一个干净的交接文档。

这四样东西合在一起，才是一个真正的最小智能体工作环境。

单独一个规则文件，解决的是「怎么提醒AI」。
四件套解决的是「怎么让AI每次都按同一套流程工作」。

规则文件不要一上来写成200行。我更建议控制在50到80行以内。

最重要的不是写全，而是写准。

一条规则最好对应一次真实失败。如果没有真实失败，就先别写。

值得提一个对比——Cherny公开过自己的工作流，他的CLAUDE.md大约100行，行业平均是500到1000行。他的原则也是「每次Claude做错一件事，就往里加一条」。

一个最小模板可以长这样：

这份文件不是一劳永逸的。

每次AI犯了可复现的错，你就想：这是写一条规则，写一个测试，还是写一个脚本？

如果只是偶发失误，不一定要进规则文件。如果他反复犯，就应该沉淀成harness的一部分。

很多人会给AI一个待办清单：做A，做B，做C。

问题是，待办清单对AI来说太松了。他不知道哪个任务正在做，不知道什么叫完成，也不知道哪些东西只是「写了代码」但还没验证。

所以更好的方式是做一份机器可读的功能状态表。比如：

状态可以很简单：not_started、in_progress、blocked、passing。

真正重要的是两条纪律。

第一，同一时间最好只有一个任务处于 in_progress。

AI很容易高估自己，一边做A，一边顺手改B，再顺手重构C，最后三个都半成品。功能状态表的作用，就是把他的行动范围收窄。

第二，没有验证证据，不要把状态改成 passing。

代码写完不是完成。测试通过、构建通过、关键路径检查过，才是完成。

evidence 字段可以记录跑过哪些命令、结果是什么、还有哪些边界没覆盖。这样下一个会话接手时，不需要猜。

对AI来说，功能清单不是备忘录。它是任务调度表、完成判定表和交接记录的共同源头。

最小harness的核心，不只是几份文件，而是一个固定的会话生命周期。

每一轮AI工作，都应该大致走四步：开始、选择、执行、收尾。

开始阶段，先读规则文件，跑 init.sh，看 progress.md，读 feature_list.json，再看最近的git记录。他要先知道项目现在是否健康、上一轮做了什么、当前还有哪些任务。

选择阶段，只选一个未完成任务。不要让AI自己发散成「顺便把相关模块都重构一下」。如果任务太大，先拆小，再开始写。

执行阶段，写代码、跑验证、失败就修。这里的关键不是让AI「感觉差不多了」，而是让他必须跑明确的命令：typecheck、lint、test、build，至少要有一套最小验证。

收尾阶段，更新进度日志，更新功能状态表，记录哪些检查通过了，哪些风险还没处理，哪些地方需要人类判断。只有在项目处于可恢复状态时，才提交或交给下一轮。

这个流程看起来有点笨，但它解决了AI编程最常见的几个问题：开局不知道项目状态，中途做太多，结尾提前宣布完成，下一轮接不上。

一个稳定的harness，就是用固定流程把这些不确定性压下去。

init.sh 可以很简单，不需要一开始就做得很复杂。

它的目标是让AI开工前先确认：这个项目能启动、依赖是好的、基本检查能跑。

比如：

真实项目里，你可能会把它拆得更细：本地开发用一套，CI用一套，快速检查用一套。但一开始不需要复杂。

关键是让AI知道：每次开工前先跑入口脚本，不要在一个已经坏掉的项目上继续叠bug。

如果项目检查太慢，也可以准备两个命令：一个快速检查，一个完整检查。快速检查用于中途迭代，完整检查用于收尾。这样既不浪费时间，也不让AI完全没有反馈。

很多AI协作失败，不是失败在开头，而是失败在结尾。

上一轮AI改了一半，说「完成了」。下一轮打开项目时，发现测试没跑、文档没更新、功能状态没改、还有几个临时文件。于是他先花半天猜前面发生了什么。

所以每次会话结束前，应该有一个简单的干净收尾检查：

这件事很重要。

你不是只要求AI完成任务，还要要求他留下一个下一轮能接手的现场。

对长任务来说，干净收尾本身就是harness的一部分。

MCP很诱人。数据库、浏览器、Slack、GitHub、Notion、Jira，什么都能接。但个人项目里，不要一开始就接一堆。

只接确定有用的。不用的就关掉。

每个工具都会增加选择空间，也会增加安全风险。如果一个工具可以用简单命令行解决，未必需要完整MCP。

重试也一样。

很多人用AI会陷入一个坑：让他一直修。第一次修不对，再修。第二次还不对，再修。然后越改越乱。

所以要设上限。比如：同一个测试失败，最多自动修两次。两次还不行，停下来总结问题，交给人判断。

这不是不信任AI。这是治理。

最简单的验证方法，是拿同一个小功能做两轮。

第一轮，只给普通prompt。告诉AI要做什么，不给规则文件、不跑初始化、不准备功能状态表。记录他花了多久、漏了什么、有没有提前宣布完成、最后你花了多少时间收拾。

第二轮，给他最小四件套：AGENTS.md / CLAUDE.md、init.sh、feature_list.json、progress.md。让他按固定会话流程工作。

然后比较几个指标：

这个对照实验比空谈有用。

因为harness的价值不在于文件看起来多专业，而在于它是否真的减少返工、误判和交接成本。

如果要更系统一点，可以把harness分成三层。

Level 1：个人级。

适合独立开发者。核心是四件套、常用命令、最小反馈循环、失败日志和干净收尾。目标是让AI在你的项目里少犯重复错误，也让每次会话都能稳定接上。

Level 2：团队级。

适合3到20人团队。核心是共享规则、统一目录结构、CI必跑项、PR模板、共享脚本、共享子智能体。目标是把团队共识变成AI也能执行的工程环境。

以前团队靠口头约定和代码review传递的东西，现在要尽量变成规则、脚本、模板和测试。

Level 3：组织级。

适合大公司或生产级智能体。核心是工具注册中心、权限系统、沙盒环境、运行日志、成本监控、人工升级、回归评估。目标是让智能体成为组织基础设施的一部分。

大多数人停在Level 1或Level 2就够了。不要过早追求Level 3。

Harness不是设计出来的，是迭代出来的。

每一次真实失败，都是下一版harness的材料。

讲到这里，harness看起来像一个很完整的答案。

但它不是终点。它只是把问题提高了一层。

MCP让智能体可以连接外部工具、数据库和服务。这是能力扩展，也是攻击面扩展。

比如间接提示注入：工具返回的内容里藏了恶意指令，模型把他当成可信上下文，进而做出越权动作。

再比如工具投毒：一个看起来正常的工具，描述或参数里藏了对模型可见、对人类不明显的指令。

Claude Code官方安全文档也提醒，Anthropic不管理、不审计第三方MCP服务器，用户要自己判断是否可信。

说一个最近遇到的事。

我让智能体去抓取一些数据。抓取结束后，Claude在汇报里flag了一件事：好几个网页的工具返回里冒出了形似 <system-reminder>...</system-reminder> 的特殊标签，他怀疑是被注入了恶意指令。

听起来挺吓人。但我事后查证，这不是真攻击——那些标签其实是Claude Code的harness自己注入的系统提示，用来在工具调用之间提醒模型某些事。下游智能体不知道这是harness自家的格式，看到工具返回里突然冒出特殊标签，按「宁可错杀」的原则就flag了。

这是误报。但误报本身就证明了harness在工作—— <system-reminder> 这个格式之所以专门用来防注入，正是因为攻击者不知道精确格式，塞进网页里的伪指令长得不像。下游智能体一看到「奇怪的标签」就警觉。误报的代价，远小于漏报的代价。

这也正好印证了第五章那个争论。Cherny那句「prompt injection防御会消失」听起来漂亮，但落到工程里要慎重——今天宁可警觉过头；等模型自己能精准辨识「用户意图 vs 网页伪指令」那天，这层防御才会真的不必要。

这件事说明：

这已经很重要。但它不是万能。

你控制的是AI在你设计的系统里的行为。可整个系统是否真的按你设想的方式运行，是另一个问题。

研究技术风险的Andrew Maynard专门写过一篇文章，讨论harness这个比喻的问题。

他的提醒可以概括成两点。

第一，它默认控制者和被控制者之间有清晰边界。

但使用AI时，这条边界很快会模糊。

你让Claude Code重构一个模块，他提出的结构比你原来想得更好。你采纳了他的方案。这时你是在指挥他，还是在接受他的判断？

第二，它默认这是一种工具关系。

锤子不会挑战你。发电机不会反问你。但AI会。

他会说：这个设计可能有问题，要不要考虑另一个方案？

当一个工具能理解意图、提出反对意见、改变你的判断方式时，他还是传统意义上的工具吗？

我没有确定答案。但我觉得，继续只把他当工具，可能会让我们错过一些重要变化。

回到第五章那个争论——Cherny说harness会消失，Osmani说摩擦只是搬家。

如果你信Cherny，会担心今天的工程经验过时。
如果你信Osmani，会担心模型生成代码的速度毁掉代码库长期质量。

但还有一层更基础的问题，两边都没正面回答——

当AI写了越来越多代码，我们对代码本身的理解会发生什么？

Osmani那条「三天后我自己都解释不清这段代码怎么工作」，其实暗示了一件更深的事情：代码可能不再是工程师的「作品」，而是工程师的「采纳物」。

这件事在历史上也出现过。工业革命之后，木匠不再亲手做家具，工厂工人也不再理解整条生产线。专业知识被基础设施吸收了——这让人类整体产能上升，但也让单个人的「完整理解」变得稀薄。

软件可能在重演这条路。

Harness是这条路上的工程响应。但工程响应之外，还有更长远的问题——团队怎么传承理解？组织怎么避免成为黑箱？职业教育该教什么？

这些问题不在这篇文章的范围里。但它们会越来越大。

这篇文章很长。其实只在回答一个问题——

当我们说「控制AI」时，我们到底在说什么？

提示词时代的答案是：把话说清楚。
上下文时代的答案是：把信息给对。
Harness时代的答案是：设计一个让AI能持续做对事情的环境。

这个答案比前两个更接近工程。

但它也不是绝对控制。它只是把控制问题从提示词层，移到了系统设计、权限设计、组织流程和人类判断层。

问题没有消失，只是变得更结构化，也更值得认真对待。

过去几年，我们一直问：模型会不会替代程序员？

Harness engineering给了另一个角度：模型会替代越来越多的执行动作。但它同时制造出一个新的工程对象——AI的工作环境。

Cherny说得对，最好的会计软件可能不会由工程师写。但写出能让会计师持续产出可靠软件的那个harness环境的人——他们才是新一代的工程师。

未来真正重要的工程师，不一定是写最多代码的人，而是能把目标、边界、上下文、工具、反馈和质量标准组织成一个系统的人。

AI时代真正值钱的，不是你会不会命令模型。

而是你能不能设计一个让模型持续做对的环境。

在清迈第二个月了，就出过一次小区门（如果不算小区门口的711和一个商场）。时间都用在研究AI，傍晚或者晚上下楼游泳。

这几个月最大的变化，是我从「产品驱动」转向了「研究驱动」。

产品驱动是：先想清楚要做一个什么样的产品——它解决了什么问题、用户在哪、商业模式是什么、怎么定义MVP。

研究驱动反过来：先选一个真正值得解决的问题，把它解决到一定程度，再说怎么产品化。

之前在公司里，成本和各种压力下，做不到真正的研究驱动。现在一个人，反而很轻易就转过来了。

下面说说我最近做的三件事。

第一件是前段时间花精力最大的一条线——让AI更好地控制电脑。

OpenClaw已经有不错的主动控制电脑能力，但并不可靠。我的思路是：把只读的能力做宽（因为只读相对安全），把操作层做窄但做精确，让操作更丝滑的同时提高安全性（读AX API树，把ref持久化，实在不行才fallback到看截图，同时做了很多权限隔离）。

我做了不少尝试，前后写了接近10万行代码。在很窄的场景下，效果是真的好——比我用过的所有AI操作电脑的产品都流畅得多。

看到了解决问题的希望，欣喜若狂。

但这些能力很脆。环境一变，就需要一个问题一个问题地解决，能力很难真正泛化。而且安全性问题也比预想中复杂很多。

又做了多轮尝试之后，我把这条线冻结了。

冻结这个词的本意是把已经讨论清楚的工程决定先锁死，让后面开发不再变动——但这次是真正冻结在这里了。

那一瞬间感觉很失落，很多天的工作成果，最后没能落地。但很快释然了。

按产品视角，想好的东西最后没做出来是不正常；但按研究视角，失败本来就是常态。可能后面很多时间都得在死胡同里打转。

这是我意识到自己已经转向研究驱动的第一个时刻。

冻结之后，我开了一个新对话，让Claude Code评价一下这个项目，得到了一点情绪价值。

前几天我写过一篇关于「知识状态运行时」的文章，提了一个判断：现在大部分「AI个人知识库」方案，都不够好。结论是要把记忆从「一个功能」升级成「一个运行时」。

实际上我在这件事上做的探索，比文章里写的深得多。我参考了市面上各种记忆产品，甚至包括RP（角色扮演）圈的HypaMemory等——RP圈其实是最有动力解决记忆问题的圈子，只是应用方向不一样。

这条线慢、累、看起来没产出——记忆系统没有benchmark，只能靠大量人工测试和人工体验。现在做记忆的产品也很多很卷，做这些产品的团队技术普遍很强，我不确定能否在某些场景做得更好。这条路还需要时间、需要耐心，但探索的过程让我非常满足。

某天我冒出一个好奇的念头——如果给模型一些奇怪的压力，把它同时往两边拉扯，它会输出怎样的结果？

顺手设计了一个小实验，跑在我MacBook上的两个本地小模型——Gemma和Qwen上面。

但第一组数据出来我就意识到不对——这两个模型在行为上的差异比我预期的大很多。我又做了几个实验挖了一下，发现了更多奇怪的现象。

如果继续往下挖，这是一个纯科学研究的问题，对做产品没什么直接帮助。我每天的时间是有限的。

但好奇心很难压住。几组数据已经摆在面前了，模型的模式在变得越来越奇怪——我想知道是为什么。

我放下了手头的工作挖了下去。可能这就是INTP吧。

我体会到了一种从前职业生涯里从来没有过的感觉——科研的快乐。

每跑一个新实验之前，我都会先在脑子里预测一遍结果——这个模型在这个条件下，应该向哪个方向偏、幅度大概多少。然后跑出来一看，经常和我预测的不一样。这件事本身就极其有趣——你以为你已经摸到了它的脾气，它又给你来一下。

在等待实验的过程中，我开始和ChatGPT Pro打赌——把实验设计写给它，我们分别预测实验的结果。前期的结果往往是我们俩都猜错。

我让Claude每次跑完实验都给我发通知，甚至半夜按捺不住爬起来看实验结果。真的太像赌博了。这种感觉，我做产品做项目的十几年里从来没有过。

跑了数天之后（我的MacBook快冒烟了），整个事情慢慢收敛到了一个能解释绝大多数现象的理论——挖出了一些之前不知道的东西。

然后第二个决策点来了——要不要把它正式写成一篇论文？我之前没有做过科研，要不要把「做研究」这条线纳入我的职业生涯？

写论文意味着接下来要把行为层的发现做实，要做机制层的验证，走完整的发表流程。这是几个月的实打实投入。

还是准备做了。

第一，我第一次感觉到自己有机会，真正为这个行业在理论层面贡献一点点东西。不是做一个用户喜欢的产品——那是产品工作的回报；而是发现一个新的现象，然后提出一个新的理论并解释清楚，为后面的人往路上铺一点点石子，这件事我之前从没有机会做过。

第二，好奇心已经到了挡不住的程度。已经走到这一步，停下来比走下去更难受。

第三，前面说过第一次体验到了科研的快乐——我想把这种快乐完整体验完。

无论结果如何，「我现在开始真正做AI研究了」这件事，在我心智上的转变是真实的。

我在旅居，算力只有两台MacBook。随着进展，「我能用本地小模型尝试这事」，已经尝试完了。

如果想继续探索，就要深入到机制层了——机制层研究必须要更大的模型+更高的算力+直接接触权重。

要做probe和steering，得直接读写更大模型某一层的激活值。我去租GPU了。

这是一条临时拐进来的路。本来只是想看看这条路通到哪里，没想到进入了藕花深处。

感叹一下，AI真的把「一个人能做的事」放大到了能撑起一条研究线的程度。

还在探索真正的AI原生的工作方式——工作方式本身，也是一种探索。

一亿四千万美元。

硅谷头部资本，已经开始把钱投向TikTok上的母婴博主，让她们对自己的粉丝渲染中国AI威胁。

具体怎么操作？1.4亿美元是Leading the Future这个超级PAC自己披露的「总募集承诺」（截至4月可用5100万美元），金主是美国硅谷一批头部AI和数据公司高管的个人账户。其中一部分预算通过一家叫SM4的营销机构，流向TikTok和Instagram上一群粉丝过百万的母婴博主、生活方式博主、家庭体育博主——一条视频5000美元，内容是让她们对自己的粉丝读出这样的台词：

中文圈写这种事的常见论调是「美国人坏」。但坏的背后，都是生意。

接下来这篇文章要拆的，就是这套「拿中国当大反派」的政治经济学。如果你住在中国大陆，你可能从来不会刷到这些TikTok视频——但你需要知道这件事，因为接下来6到18个月美国政策对中国AI公司的每一记重击，你都能在这条资金链里找到对应的金主。

整件事被《WIRED》拿到的细节，有一个关键来源——这位记者本人就是被SM4邀请参与这场推广的目标之一。

Taylor Lorenz长期关注美国创作者经济，是这个生态里最有影响力的几位记者之一。SM4看中她的粉丝结构，把她列入了第一阶段的招募名单——「做一条短视频，讲讲AI让你工作更高效」，报价5000美元。她拒绝了，转身把整套招募邮件、合同、脚本简报都发了出来。

这是这篇报道最有杀伤力的论据——拒绝者反过来变成揭发者。WIRED拿到的不是泄露的二手材料，是SM4主动塞过来的一手招募简报。

招募分两阶段。

第一阶段已经在TikTok和Instagram上发出来了。已确认参与的网红包括Melissa Strahle（粉丝140万，生活方式博主）、Uche Madson（41万，母婴博主）、Megan Linke（家庭体育博主）。脚本基调温和中性，核心信息只有一句——「AI让我更高效，所以美国AI必须保持领先」。她们大多在做早餐、整理孩子玩具、收拾家居的视频里夹了这句话，全程没有任何政治色彩，只是塑造一种「我们美国家庭都在用AI」的生活印象。

第二阶段正在推进，这才是这次行动的真正目标。SM4拿给Lorenz的简报里明确要求第二阶段的内容必须把中美AI竞争明确定性为安全威胁。WIRED拿到的脚本原文是这样的：

注意脚本里两个精心设计的钩子——「我刚学到」（I just learned that，营造「普通人偶然学到」的口吻），「我和我孩子」（my kids，把抽象国家利益压缩到具体家庭场景）。这是公关行业的入门教科书话术，网红自己写不出来。它不是给精英看的，是给疲惫地带着孩子刷TikTok等晚饭的妈妈看的。

5000美元一条视频可能听起来不便宜，但对照传统电视广告就会发现这是精算过的合理价格——一条美国黄金时段30秒电视广告的直接覆盖大约200万到500万人，而一位百万粉网红的视频曝光在3到7天内就能达到这个量级，而且网红比CEO直接讲更被信。Pew Research数据印证了这个判断：1/5美国成年人定期从社交媒体网红获取新闻，18-29岁人群中这个比例达到38%。

但所有这些数字、价码、平台优化加在一起，都比不上一个最关键的事实——这套话术的源头不是SM4，不是Build American AI，是OpenAI。

2025年3月，OpenAI全球事务总监Chris Lehane给特朗普政府的「AI行动计划」（OSTP / NSF AI Action Plan）提交了一份政策文件。这份文件的第一页第一段，OpenAI官方给美国联邦政府的政策建议——核心主张可以浓缩成一句话：由美国主导、基于民主原则构建的AI，必须战胜由非民主国家构建的AI。

（不放英文原文了，原文措辞比这个翻译更贬义，这本身就是话术工程的一部分：在英语读者脑海里建立强烈的对立印象。）

请注意，这不是某个PAC的话术，这是OpenAI公司自己提交给美国政府的政策建议正文。从这份文件，到Build American AI的招募简报，到母婴博主念出来的脚本，逐字逐句都能对得上。

SM4雇的网红没有一个人写过这套话术。她们念的稿，源头是OpenAI自己提交给政府的政策文件——同一个话术模板，在政策圈、PAC宣传、网红脚本三个层面反复使用。

最后再补一刀。WIRED这篇报道发出来之后，Lorenz在Threads上加了一句更刺眼的评论。她说她写这篇文章的时候反复想，如果OpenAI真的这么在乎「美国孩子的数据安全」，那为什么——

「为了孩子」——对中国是禁忌，对自己是商机。

这套机器的钱有四层结构。

硅谷头部AI / 数据公司高管的私人账户。

（此外还有Perplexity及其他硅谷高管的个人账户认捐，未公开数字。）

对中文读者来说，这几个名字的分量值得说清楚一下——Brockman是OpenAI的联合创始人兼总裁，在Sam Altman之外最有决策权的人，个人净资产估计在百亿美元量级；a16z是硅谷最大的几家风投之一，投过Coinbase、Stripe、Roblox；Joe Lonsdale联合创办的Palantir，是为美国情报系统（CIA、NSA、国防部）和警察系统造AI工具的核心承包商。

三方加起来代表的是硅谷最强势、政治游说能力最深的那个派系——OpenAI控制最前沿的模型，a16z控制最大的资本，Palantir控制最大的政府订单。

合计目前已公开认捐1.4亿美元，4月可用流动资金5100万美元。OpenAI公司层面、Palantir公司层面分别都发了声明：否认与该组织有「企业层面关联」（corporate affiliation）。

请注意——所谓「否认」指的是「公司账目上没钱过去」，不是「我们高管没掺和」。Brockman个人2500万、Lonsdale个人未披露、a16z作为基金2500万——公司账户切干净了，核心高管全员到位。这是结构设计的关键：法律责任和公关责任都被隔离在个人层，公司可以继续宣称自己跟政治支出「没关系」。

把个人捐款洗成可以打选举的合规形式。

主体叫Leading the Future，法律形态是超级政治行动委员会（super PAC），意味着它可以无限接收捐赠，可以直接打选举广告，但要披露金主名单。

绑定的501(c)(4)（美国税法里的暗钱非营利组织类别）叫Build American AI，可以做「教育」性的议题倡导（就是SM4那套网红营销），不需要披露金主——只是法律不允许它把直接打选举作为主要业务。

为了覆盖两党，他们还设了两个分支PAC——民主党分支叫Think Big PAC，共和党分支叫American Mission PAC。意思是无论2026中期选举哪边赢，都有渠道。这套双面下注的结构不是这次首创——它是加密币PAC Fairshake在2024大选已经验证过的成熟模板。

SM4公司，负责具体联系网红、谈价、分发脚本、管控话术尺度。SM4是这次行动里唯一直接和网红打交道的实体，Build American AI自己的名字几乎不会出现在合同里。

就是TikTok上你看到的那些妈妈博主了。

把这四层串起来看，有一个细节非常值得注意——这套机器的两位主理人是Zac Moffatt和Josh Vlasto。Moffatt是共和党资深政治顾问，而Vlasto上一份工作就在加密币PAC Fairshake——同一批人马，同一套打法，同一个外部敌人叙事（只不过加密圈那次是反美国证监会SEC，这次是反州级AI监管立法），只是换了个主题再卖一遍。

前面两节讲清楚了「钱从哪来 + 妈妈博主怎么操作 + 资金链怎么搭」。这一节是整篇文章的骨架——这笔1.4亿美元花完之后，这些金主到底想拿到什么。

我们先做一次换位思考。

如果你是Greg Brockman，刚刚个人掏出2500万美元做这事，你在图什么？

当然不是因为「我恨中国」。而是为了赚钱。投资回报率。

按硅谷的财务逻辑反推，这1.4亿美元想买的好处，大致可以拆成两层。

这是最直接也最贵的目标，可以拆成两半。

第一，反掉具体的AI监管法案。

纽约RAISE Act（2025年12月已签署成法）、加州SB 53（2025年9月签署，SB 1047被否决后的接力版本）、以及一系列正在国会推进的联邦衍生法案——这类州级AI安全立法的合规成本，是每年八位数美元起的安全评估、披露、责任买保险。直接成本难受，但更难承受的是间接成本——一旦「前沿AI必须做安全评估」在更多州落地，OpenAI、Anthropic、xAI这种闭源大厂的迭代速度被强制拖慢，中国开源大厂（DeepSeek、Kimi、Qwen）继续按自己的节奏放权重。24到36个月之内，闭源订阅模式就会失去定价权。

1.4亿美元的政治支出，比合规成本便宜得多——一次性买掉5到10年监管真空。

另一半，卖给政府未来5年的AI订单。

这件事在OpenAI自己提交给特朗普政府的政策文件里写得很直白（前一节那段已经讲过）。这句话的关键不是「民主对非民主」的修辞，是「必须战胜」（prevail over）这四个字——美国AI必须赢中国AI。

这个判断一旦写进美国国家安全战略，自动派生出三类政府支出：国防部AI集成预算（OpenAI已经在帮特朗普政府开发「用于国家安全的定制模型」）、情报系统AI工具（Palantir的主营业务）、公共服务AI化（教育、医疗、社保）的政府采购。

这些金主既造话术，又卖产品。每一条母婴博主念的「美国AI必须保持领先」，最终都改善OpenAI、Palantir在政府采购、国防 / 情报项目、公共部门AI化预算上的政治环境。

但反监管和政府订单只是这笔钱的「守」——它同时还在打第二条战线。

DeepSeek、Kimi、Qwen这些开源权重模型，才是OpenAI商业模式的真正威胁。免费、可商用、在编码、数学、智能体、成本敏感的任务上已经对美国闭源API形成明显的价格和性能压力。一家美国SaaS公司如果决定自托管Qwen3.6 27B而不是调OpenAI的API，这就是OpenAI的纯亏损。

但你不能在公开场合说「我们想干掉中国开源，因为它太便宜」——这话听起来太不光彩。所以这个目标必须包装成「国家安全」：美国企业用中国开源 = 把数据交给中国 = 危害美国国家利益。

一旦这套叙事在政策圈成立，商务部就有理由把DeepSeek加进「实体清单」（Entity List，被列入清单意味着美国企业不能与其交易）。美国企业再用中国开源就有合规风险，本土闭源大厂的市场份额自动受益。

这就是Nathan Lambert在几天后发的那篇《蒸馏恐慌》（The distillation panic）里担心的「二阶后果」——反蒸馏立法真正打掉的，不是中国实验室，是美国企业用中国开源的合规通道。

第二节已经讲过另外几层好处——双面下注（民主共和两党PAC同时设）、监管真空（网红政治支出不需要披露金主）、责任隔离（公司账户不出钱、高管个人砸钱）——这些都是这套机器顺带拿到的「红利」，这里不再展开。

这一节的核心是「真正的目标是反监管，不是反中国」。把上面两层好处 + 下面两个反证拼起来，这个判断就锁死了。

反证一：xAI公开承认蒸馏OpenAI

4月30日xAI与OpenAI庭审，马斯克本人作证。律师问他xAI是不是用过OpenAI的模型，他原话回答：

当庭还补一句：「用其他AI来验证你自己的AI是行业标准做法。」

这句话把「蒸馏」这件事完全从道德问题降级成行业常态。

那么问题来了：H.R.8283《威慑美国AI模型盗窃法案》此刻正在国会推进，法案对「提取攻击」（extraction attack）的判定看起来很宽——「使用多账号、伪造凭证、绕开地理限制」、再加上从「查询量、模式、时间、协调性」推断意图。但法案锁定的只是「country of concern」相关的主体——主要是中国。

也就是说，蒸馏行为本身根本不是法律标准。真正决定一个机构会不会被罚的，是身份和来源，不是行为。xAI蒸馏OpenAI不会有任何问题，DeepSeek走相同的路径就会被列入实体清单。这才是这条法律的真实结构。

反证二：Anthropic反向投了2000万美元给主监管派

同一时间窗里，Anthropic通过Public First Action（一家501(c)(4)结构的政治组织）投了2000万美元——但501(c)(4)的法律框架要求政治选举活动不能是主要业务，所以这笔钱大部分只能做软性的议题倡导和教育，没法像super PAC那样直接打选举广告。结构上一边倒。

也就是说，美国AI圈内部已经分裂成两派——「反监管派」（OpenAI / a16z）和「主监管派」（Anthropic）。两派都在烧钱，但前者5000万直接打选举，后者2000万只能做教育。这不是「中美博弈」，这是美国AI行业内部一场关于自己未来要不要被监管的资本战。

中国在这场战争里，只是反监管派塑造给美国国会和选民看的一个吓人的影子。

讲完了反监管的政治执行端，我们回过头看概念端。

前一节最后那句「打中国是手段，反监管才是目的」听起来锐利，但它需要一个具体的载体——一个可以被写进法律条文、可以被扔向中国实验室的「罪名」。

这个载体就是「蒸馏」（distillation）。

5月4日（WIRED暗钱报道发出几天之后），美国艾伦人工智能研究所（AI2）研究员Nathan Lambert在他的专栏发了篇文章，标题就叫《蒸馏恐慌》（The distillation panic），警告美国AI圈——别让「蒸馏」这个词被指控话语劫持。

蒸馏在AI产业里是后训练阶段的标准技术，2026年从Nvidia到xAI几乎人人都在用。Nvidia自己发布的Nemotron系列模型大量蒸馏自中国开源权重模型，Anthropic内部蒸馏Opus训出Sonnet。它本身不带任何道德色彩，就是一种工程技巧。

但Anthropic 2月23日发了一份指控报告，数字很大——DeepSeek 15万次API交互、月之暗面340万次、MiniMax 1300万次，涉及一个「同时管理超过20000个伪造账号」的代理网络。报告把这些行为统称为「蒸馏攻击」。

Lambert的核心论点是：这些行为违反Anthropic的服务条款没错，但叫它「蒸馏攻击」是在污染整个产业的合法技术词汇。准确的叫法应该是「API滥用」（API abuse）或「越狱」（jailbreaking）——就事论事，不绑架技术语义。这个区别不是学术洁癖，它直接关系到法律条文。

4月15日提交的H.R.8283《威慑美国AI模型盗窃法案》里，「提取攻击」（extraction attack）的判定标准包括「使用多账号、伪造凭证、绕开地理限制」，并且允许从「查询量、模式、时间、协调性」推断意图——对来自或关联「country of concern」（主要是中国）的主体，理论上任何高频、自动化、跨地域的API调用都可以被纳入。

值得一提的是，这场叙事战里中国厂方实际给出的技术反驳从来没在英文世界被认真对待过。月之暗面创始人杨植麟在Kimi K2.5发布的网友问答上被问到过「为什么Kimi偶尔会说自己是Claude」，他给过一个具体的技术解释——互联网最近的训练语料里「Claude」这个词出现频率偏高，采样到的概率自然偏高，这并不是蒸馏的证据。这套解释成不成立可以辩论，但Anthropic的指控报告里完全没有引用过。

那么这条法案要禁的「蒸馏」，真正会先打到谁？

会先死的不是中国实验室，是美国本土的小团队。

这是这一节最反直觉的判断，但逻辑很直白：中国实验室的强化学习训练能力本来就不依赖蒸馏——它们的技术积累、人力厚度、独立从零训练的能力，在过去两年里已经被反复证明（连DeepSeek自家的R1论文里都写得清清楚楚：从零做强化学习训练出来的模型，在数学评测上的成绩只比蒸馏方案低25个百分点——蒸馏是入门加速器，不是天花板提升器）。一旦反蒸馏立法把「用Claude API做模仿学习」这条入门路径关掉，中国实验室会被迫放弃它，但它们本来就有更厚的下一阶段能力垫底。

谁没有这种垫底？美国本土的合规优先研究者：用Claude API做合法数据增强的医学 / 法律 / 金融小创业公司、做开源模型行为研究的学术研究者、独立技术博主、海外华人在硅谷做的小型lab。他们和中国实验室一样在用蒸馏，但只有他们会被罚到——因为只有他们在乎合规。

回到这篇文章最开始那个判断——中国在这套机器里只是工具人。如果这个判断成立，你会发现这件事其实并不只发生在AI行业，也并不只发生在美国。

最近两年，中国成了很多国家做事失败的方便借口。

德国汽车工业的衰退，在德国主流媒体的叙事里几乎全部框架化成「中国电动车倾销」。但只要看一眼德国车企内部的财报和员工讨论，你会看到一个更复杂的真相——德国汽车厂十年前没认真做电动化转型、工会和管理层博弈陷入僵局、劳动力成本高到无法在中端市场竞争、软件能力被特斯拉和中国新势力同时甩开。这些都是德国国内治理的问题，但谁愿意承认？把锅甩给「中国不公平竞争」远比承认「我们自己十年没认真做事」更容易接受。

法国制造业、英国脱欧后的经济下滑、加拿大近年的政治内斗，都能找到类似的脚本——国内治理失败，包装成外部敌人威胁，选民买单。

这套打法不是新发明，是政治学最古老的招式——当国内的真实问题难以面对、难以承认、难以解决时，塑造一个外部敌人是最便宜的转移方式。

我们这篇文章拆的硅谷资本花1.4亿美元让美国妈妈害怕中国AI，在这个意义上，只是这套全球性脚本的一个具体案例。

所以，如果接下来你在新闻里看到「X国出了Y问题，他们说这是中国造成的」，请先问自己一个问题——

我是一个技术加速主义者，a16z那份著名的《技术乐观主义宣言》（The Techno-Optimist Manifesto）我大半都同意。

但宣言里面又明确地说：自由民主国家的国家实力，来自经济、文化、军事力量，而这些又来自技术实力——技术加速、自由民主国家、硬实力、军事强盛被绑成同一组判断。

这个绑定是Build American AI真正的源头。它把「加速AI」和「美国必须赢」绑死在原则层面。

加速主义本来是一个中性的事实判断——「AI会快」。它不需要敌人，不需要国家，不需要零和叙事。但这个事实判断，只有被绑架成「必须赢中国」才能套现成政治影响力。Brockman个人掏2500万美元，不是因为他相信加速主义——是因为他想买一份「未来5到10年美国国会不敢监管OpenAI」的政策保险。

我支持加速，但反对劫持。

最后给你一个简单的工具。下次你刷到任何一条带#ad标签的英文短视频，如果话术里出现 protect Americans / AI race / Team USA 这三个短语之一，背后大概率有政治行动委员会（PAC）在付费。

我们假设，有一家美国 AI 公司搬到了新加坡，然后一家亚洲资本要 20 亿美元全资把它买下——结局会是什么样的？

答案是大概率连签字那一刻都到不了。

这要从一个九人委员会说起。它叫 CFIUS(读音 /ˈsɪfiəs/「西菲尔斯」，Committee on Foreign Investment in the United States)，美国财政部下面的一个跨部门审查机构。1975 年成立，每年要审 200 多笔交易，撤回的、加条件的、直接否的，一年到头不停。

今天创业圈在讨论的「迁个址、换个国别就能避开监管」这件事，CFIUS 在五十一年前就开始训练自己怎么应对——但真正进入肌肉记忆，是过去这十年。

我对这件事的兴趣不是从今天开始的。多年前我在 TikTok 案的视频里面就讲过 CFIUS，后来我又约一位在美国做 CFIUS 的律师聊过挺久。

它最早针对的，不是中国——是日本。

1986 年 10 月 23 日，日本富士通宣布以 2 亿美元收购仙童半导体(Fairchild Semiconductor)80% 股份。

仙童不是普通公司——它是硅谷半导体行业的「祖宗」。从这家公司里走出过英特尔的诺伊斯(Robert Noyce)和摩尔(Gordon Moore)、AMD 的桑德斯(Jerry Sanders)，整个硅谷的人脉树根都扎在这里。「卖给日本人」这件事在当时的美国，引发的是国家级反应。

国会一片喧哗，五角大楼和商务部联手反对——日本当时已经在汽车、消费电子全面碾压美国，半导体是美国仅剩的几个还没失守的领域。1987 年 3 月，富士通主动撤回了收购。

但事情没结束。

1988 年 8 月 23 日，里根签下《Exon-Florio 修正案》，附在那一年的综合贸易法里。这是 CFIUS 第一次拿到真正的牙齿——在此之前 13 年，它只是一个「跨部门研究委员会」，没有任何阻断权。

这部法律，是为日本人写的。

但日本到 1990 年代中期已经不再是收购威胁——经济泡沫破灭，富士通自己都在收缩。Exon-Florio 整个 90 年代几乎闲置，真正被频繁动用是 9/11 之后：2006 年迪拜港口世界想接管美国六个港口，国会爆炸，第二年 FINSA 扩权；到 2018 年的 FIRRMA 又一次大扩——加了一条反规避条款，「任何为规避审查而设计的交易」全部在管辖范围内。这一条，今天我们再来看，是整个故事的关键。

而那部为日本人写的法律，在 2025 年初被拿来挡了一次——日本制铁想买美国钢铁。三十七年前为日本人造的法律，三十七年后用来挡日本盟友。

普通读者只听过「TikTok 被强制剥离」「Broadcom 收购被川普否决」这种新闻，往往以为 CFIUS 只有一种动作——「不行」。

其实它的工具箱有四档火力，绝大多数交易甚至走不到第二档。

绝大多数交易就这么过了。2024 年 CFIUS 总共审了 325 笔交易——其中 116 笔走简版申报、209 笔走完整申报——绝大部分直接放行。多数情况下，CFIUS 不是来阻止你的，是来给你发一张「监管出清证明」的。

如果交易有风险但还想做，CFIUS 会要求买方签一份国家安全协议(NSA, National Security Agreement)，里面可能包括：

这些条款是有牙齿的——2024 年 8 月，T-Mobile 因为违反 2018 年与 Sprint 合并时签的一份 NSA，被罚了 6000 万美元。具体违约是 2020 年 8 月到 2021 年 6 月间未能阻止对敏感数据的未授权访问、且没有及时上报 CFIUS。这是迄今 CFIUS 单笔最大罚金，也是它历史上唯一公开点名的违约方。

「我们已经查到你了，给你 X 个月把这块业务卖出去」。Grindr 被昆仑万维买走那笔最初是走第二档，后来发现风险无法缓解，2019 年走到第三档。TikTok 案是另一个走到第三档的代表。

截至 2026 年初已经累积到 11 次——前 22 年只用过 1 次，从 2012 年开始密集起来，过去十年集中爆发。

11 次里 9 次直接关联中国资本:1990 年中航技术(CATIC)被命令剥离 MAMCO 航空部件——这是这部法律第一次发动；2012 年三一重工的 Ralls 风电场；2016 年福建宏芯基金通过德国 Grand Chip 买 Aixtron;2017 年 Canyon Bridge 买 Lattice 半导体；2020 年北京石基(Shiji)被命令剥离酒店技术公司 StayNTouch；同年字节跳动被追溯命令剥离 Musical.ly;2024 年拜登挡掉 MineOne 在导弹基地附近的加密矿场和地产；2025 年 7 月命令 Suirui(中资香港公司)剥离加州视频处理技术公司 Jupiter Systems;2026 年 1 月命令 HieFo(中资控制的 Delaware 公司)剥离 EMCORE 数字芯片业务。

剩下 2 次更值得提一下，因为它们说明 CFIUS 已经超出「防中国」的边界——

2018 年 3 月，特朗普否决 Broadcom 对 Qualcomm 的收购。Broadcom 注册地是新加坡——这是 CFIUS 第一次用总统令拦下美国盟友发起的跨境收购，而不是中资。

2025 年 1 月，拜登在任期最后两周否决日本制铁收购美国钢铁。从富士通到日本制铁，这部为日本人写的法律，绕了三十七年又用回去挡日本人。

讲三个最值得细看的案例——分别对应三种穿透姿态。

2016 年 11 月，一家叫 Canyon Bridge Capital Partners 的私募基金宣布以 13 亿美元收购美国上市半导体公司 Lattice。

Canyon Bridge 注册在 Delaware(美国境内最常见的公司注册州)，办公室在硅谷，团队是从英特尔出来的美国人。从形式上看，这就是一笔「美国基金买美国公司」的交易，按理说不在 CFIUS 重点审查范围内。

但 CFIUS 看穿了。

Canyon Bridge 和 Lattice 在 2016 年 12 月联合提交 CFIUS 自愿申报，接下来几个月里两次撤回重提——这种「自愿撤回」是律师界常用的「给 CFIUS 多争取几个月审查时间」的合规手法，但这次没救。CFIUS 越查问题越大：资金一路追溯回去——Yitai Capital(香港)→ China Venture Capital Fund(国新创投)→ 中国国新控股(China Reform Holdings)。这只「美国基金」的钱，穿透到底是中国国资。整个架构本质上是为了让中国国资以美国基金的名义进入美国半导体业。

2017 年 9 月 13 日，特朗普签下总统令，原文措辞极简：「依据可信证据，本次交易将损害美国国家安全。」

注意这句话：「可信证据」(credible evidence)四个字，从来不展开论证。CFIUS 五十年来的判决书都是这个味道——它不需要向你证明，它只需要这么说。

2016 年昆仑万维以 9300 万美元买入 Grindr 60% 股份，2018 年增持到 100% 全资控股。

按 2018 年之前的规则，Grindr 这种「消费 app」不是 CFIUS 必审项目。昆仑万维当时甚至没主动去 CFIUS 申报。但 FIRRMA 在 2018 年通过后，CFIUS 把「敏感个人数据」(sensitive personal data)正式纳入管辖——而 Grindr 的核心数据是用户的性取向、HIV 状态、地理位置。

CFIUS 反向调查启动，结论是：这是一个国家安全风险，不是因为 Grindr 是干嘛的，是因为它持有什么。

2019 年初，CFIUS 给昆仑发了一份强制剥离令。2020 年 6 月，昆仑把 Grindr 以 6.08 亿美元卖给一个新的美国财团。

这条逻辑后来被全套搬到了 TikTok 案上——监管机构关心的不是 TikTok 的算法本身，是「中国《国家情报法》之下任何中资公司都可被强制配合」这个结构性风险。这套逻辑一旦成立，就把所有持有大量美国用户数据的中资公司都扫进了射程。

2023 年 12 月，日本制铁宣布以 149 亿美元收购美国钢铁。日本是美国最铁的盟友之一，日本制铁是世界第四大钢铁公司，这笔交易在商业逻辑上几乎无可挑剔。

但「美国钢铁」是个政治符号——这家公司从 1901 年成立，从摩根(J.P. Morgan)和卡内基(Andrew Carnegie)那个年代延续到现在，是「美国制造业」的象征。拜登任期最后两周(2025 年 1 月)签下行政令，否决了这笔收购。

故事到这里没结束。

2025 年 4 月，特朗普命令 CFIUS 对拜登已经否决的交易重新从头审查一遍——这是行政当局第一次反推前任的否决。2025 年 6 月，特朗普反转批准了交易，但加上了一个史无前例的条件：「金股」(golden share)。

「金股」是 1980 年代英国私有化时发明的工具——政府只持有一股，但这一股写进章程时附带了特殊条款：对几类关键决策(管理层换届、产能调整、海外搬迁、合并、分拆)拥有一票否决权。换句话说，股权上是 0.0001%，但治理权上美国政府在董事会里坐了一个永久否决席。三十多年来，西方国家很少在私人交易里用这个工具——直到 2025 年的美国。

外交关系委员会(CFR)评论这件事的时候用了一个标题：「金股与魔豆」。文章里有一句话我反复看了几遍：

US Steel 案的教训有两层：第一，CFIUS 已经从国家安全审查升级为产业政策工具；第二，连日本盟友都不再被默认信任的时候，「亲美」这个标签的含金量正在贬值。

阿联酋的 G42 案是同一逻辑的另一个例子——这家阿联酋的「亲美 AI 选项」，在 2024 年接受 Microsoft 15 亿美元投资时，被要求签一份史无前例的 IGAA(Intergovernmental Assurance Agreement，政府间保证协议)，把网络安全、数据保护、出口管制、负责任 AI、KYC 这一整套美国标准全部纳入合规框架，同时彻底剥离华为相关设备。

亲美不亲美，不是一个静态身份，是一笔笔交易里跟美国政府重新谈出来的。

CFIUS 五十一年的演化里，最重要的概念是穿透(look-through)。

什么叫穿透？监管认你的实质控制人是谁，不认你形式上挂在开曼还是 Delaware 的壳。这是 FIRRMA 反规避条款的精神。

穿透有三个方向，都已经在实践里试过：

Lattice 案——Delaware 基金的资金来源穿透到中国国资，CFIUS 直接穿透到 LP 层。

Musical.ly 案——形式上是两家开曼公司之间的交易(字节跳动 Cayman → Musical.ly Cayman)，但 CFIUS 仍然追溯审查。它看的不是「你注册在哪」，而是「你跟美国有什么连接」——美国用户、美国数据、美国员工、美国客户合同、美国 IP，任意一个挂上钩，CFIUS 就能管。这套连接在法律语境里有个统一的名字叫 U.S. nexus。Musical.ly 当时已经积累了大量美国未成年人用户和数据，关联完整成立。

2025 年 1 月 2 日生效的「反向 CFIUS」——正式名字是 Outbound Investment Security Program——把美国主体及其控制的境外实体一并纳入规则。关键点是「美国主体」的定义：不只是注册在美国的公司或美国基金，还包括美国 LP 控制或实质参与的离岸子基金。它不是一刀切禁止所有投资，而是对涉及中国 / 港澳的特定 AI、半导体、量子交易要求禁止或通知；纯被动 LP 在特定条件下有例外。

但即便有例外，过去十年美元基金通过开曼、英属维京群岛(BVI)等离岸地壳公司投中国敏感技术这条主流路径，已经基本走不通。一个美国母基金 → 开曼子基金 → 投中国 AI——以前这是标准操作，现在这条链条上的每一个环节都可能被穿透。

数据上看：中国对美 FDI 从 2016 年的 460 亿美元峰值，跌到 2024 年的不到 40 亿美元——九成跌幅。中国相关的 CFIUS 申报数从 2023 年的 33 笔降至 2024 年的 26 笔，仍居首位但领先幅度明显收窄。

这不是 CFIUS 变忙了，是「知道会被卡所以根本不申报」的交易越来越多。

如果你以为这种「监管穿透」只是美国独有，那 2018 到 2024 年这六年里发生的事会让你重新校准。

入境方向(挡外资进入)上，欧盟、英国、澳大利亚、印度都在 2020 到 2024 年间立了类似法律——欧盟先建立 FDI 筛查合作机制并推动 27 国普遍设立国家审查，英国 NSI Act 列了 17 个强制申报行业，印度 Press Note 3 事实上专挡中资。

但最值得专门提的是新加坡。

新加坡 2024 年生效 SIRA(Significant Investments Review Act)：投资者只要跨过指定关键实体 5% 控制权，就要 7 天内向部长申报；跨过 12% / 25% / 50% 须事前批准。避风港自己也立了法——而它正是过去三年最多创业者迁址的目的地。

更值得注意的是另一个方向。

出境方向(挡本国技术 / 资本流出)上，过去三年扩权几乎对称——美国 2025 年初生效反向 CFIUS，禁止美国主体投资中国 AI / 半导体 / 量子，而且「美国主体」的定义穿透到美国 LP 投的离岸子基金；欧盟 dual-use 出口管制清单 2024 年扩展，把先进半导体设备纳入受控；中国 2020 年立《出口管制法》，2025 年又升级了一轮。

入境看「外资能不能进来」，出境看「本国资产能不能出去」。表面是两个方向，本质是同一件事——监管者拒绝看形式，只看实质。

公司注册地、护照、壳公司架构、LP 国籍、技术类目——这些「形式合规」工具在 2018 年之前几乎可以解决所有跨境监管问题。从 2018 年开始，穿透变成了 21 世纪监管的元能力——不分意识形态、不分阵营、不分大小经济体。

回到开篇那个假设。

一家美国 AI 公司，2022 年在硅谷成立，做 agent 类产品。2025 年关闭加州办公室，把总部迁到新加坡，重新注册了一家新加坡公司，把美国的 LLC 注销，把核心团队办了新加坡工作准证。形式上看，这家公司已经完全脱离了美国。

但 CFIUS 看的从来不是「现在注册在哪」。它会问的是：这家公司到底有没有保留来自美国的关联——核心 IP 是不是当年在美国开发的、早期研发和融资是不是发生在美国、创始团队或关键技术负责人是不是仍长期在美国活动、主要客户和数据流是不是仍指向美国、产品数据是不是仍存放在美国本土云节点。

只要其中几条对得上，这家「新加坡公司」在 CFIUS 眼里就还是一个承载美国技术、数据、人才和商业关系的实体——形式合规解除不了这层关系。

2026 年，一家中东主权基金提出 20 亿美元全资收购。

这笔交易在美国会怎么走？

买方名义上是中东主权基金，但 CFIUS 不会只看买方护照。它会一路追溯最终资金来源、共同投资人、side letter、信息权、董事权、否决权和退出安排。如果交易结构里出现中国国资、受中国影响的资本，或者看似被动但实际拥有特殊权利的 LP，这笔交易就会进入高风险区间。Lattice 案的教训不是「有中国 LP 就一定死」，而是资金链和控制权链条不能只看第一层。

注册地在新加坡不等于脱离美国。只要这家公司仍有美国用户、美国客户合同、美国数据中心、美国研发人员、美国来源 IP，或者关键管理层长期在美国工作，CFIUS 就可能认定它仍涉及美国业务。真正危险的不是「搬家」，而是「形式上搬走、实质资产还留在美国」。 这正是 Musical.ly 案的精神——形式上是两家开曼公司之间的交易，但因为有大量美国用户和美国数据，CFIUS 还是追溯审查。

如果交易结构中有美国主体直接或间接参与(美国基金、美国管理人、美国 GP、美国投资顾问，或者美国高管在境外基金里担任控制或决策角色)，还要额外考虑 2025 年生效的美国出境投资规则。它不是全面禁投 AI，也不是「只要有美国 LP 就自动违法」——但如果交易实质上把资本、管理帮助、技术网络或敏感能力导向中国 / 港澳相关的 AI 活动，就可能触发禁止或通知义务。纯被动 LP 在特定条件下有例外，但整条链不能依赖这条例外做主路径。

那么如果你是这家公司的创始人，你的选择只有两条：撤回交易换买方，或者签一份缓解协议(也就是前面说的 mitigation agreement)。

缓解协议听起来温和，实际上是慢性失血——美国政府派一个常驻监督员、设立董事会代理席(关键投票权交给美国人)、数据分仓、限制员工跨国流动、列出口管制设备清单。等那笔 20 亿到账时，你已经不再是原来那家公司了——你只是这家公司剩下的那 20%。

这是 CFIUS 还能给你的「最好结局」。

但事情还可以更糟——如果你的「迁址 + 卖出去」被判定为故意规避，CFIUS 就不只是撤交易，法律会盯上你个人。

美国法律对个人责任的几档火力，从轻到重大概是这样：

IEEPA(国际紧急经济权力法)下，2024 年通胀调整后的民事罚款是每项违规 37.77 万美元——或者交易金额双倍，取较高者。如果你的交易额是 20 亿美元，那一项就是 40 亿罚款上限。FIRRMA 反规避条款下还另有罚款——交易金额 100% 或 25 万美元，择高。

如果你的 AI 模型权重、训练数据或源代码被定性为受控技术，把它们「转移」到境外子公司就构成「出口」。这条线的刑事条款下，故意违反最高 20 年联邦监狱——这不是吓唬人，过去十年判过不止一次。

这是真正的核武器：

OFAC SDN 名单——列入即资产冻结、禁止与所有美国主体交易、禁止使用美元金融系统。如果有外籍，可被吊销签证、列入入境黑名单。这一条对企业家是终身废墟——你这辈子不能再做任何跨境生意。

这些不是抽象法条。过去十几年，真有人按这套被一档一档判过，2014 和 2019 年的两个案子我不便展开，但这些案子有一个共同点：每一笔都有一个「想让交易看起来合法」的中间结构——学者身份、美国 LLC、远程协作、自愿撤回重提。每一笔，最终都被穿透。

写到这里，我想做一个澄清。

我列这些处罚和案例，完全不是说这次的创业者该被这样对待。

之前提到的那两个美国案件，§ 1831 在条文里已经躺了十几年，IEEPA 和 EAR 的边界也早被无数法庭判例划清楚——他们事先就知道自己面对的是什么。这才是美国法律有底气重判他们的真正理由。

中国创业者面对的是同样的「穿透」逻辑——但规则刚开始长出来。他们当年签 term sheet 的时候，很可能是踩在规则正在长出来的那一刻。从这个角度来说，以及念及当时行业的现状，我同情故事的创业者和投资人。

很多创业者都特别关心海外架构等问题。我的看法是：

Lattice 的资金穿透、Musical.ly 的运营地穿透、反向 CFIUS 的子基金穿透——所有「以为找到漏洞」最终都被堵死。监管比创业者熟悉壳公司这件事，熟悉得多。

用户数据从数据库设计的第一天就分区，而不是部署层面才分仓——美国用户存美国数据中心、欧洲走欧盟、东南亚走新加坡，从底层 schema 就分，哪怕成本翻倍。这条做对的代表是字节跳动的 Project Texas——虽然最终也没救得了字节跳动，但至少为剥离争取了五年时间。

核心 IP 的所有权从一开始就放在独立的控股公司里(理想情况是不同法域的不同实体)，跟运营实体之间用授权协议连接，而不是用股权连接。这一条最难做，大多数创始人到 B 轮才意识到要分离，但那时候已经晚了。

这三件事互相独立，而且晚期再改成本极高。

我想专门讲一个观察。

这一代创业者大多懂技术、懂产品、懂增长，但是对法律和国际政治考虑得很少。 TikTok 案之前，我认识的出海创业者里几乎没人主动了解过 CFIUS;TikTok 案之后情况稍微好了一点，但绝大多数人停留在「听说过这个名字」的层面——它具体能做什么、什么样的交易会被盯上、过去十年判过谁，没人去查。

我能理解——法律和地缘是慢变量，做产品是小步快跑，创业者每天的注意力都被后者占满。但等到你的公司做大、跨境交易出现的那一天，这部分知识必须补上；而且不能等到要做的时候再补——那时候已经晚了。

37 年前为日本人写的那部法律，今天还在用，其实它从来没中断过，只是每个时代有不同的主角。

你今天做 AI 产品，监管不是来追你的。它只是终于走到了你这条赛道的门口。

过去两三年，「AI + 个人知识库」这个故事至少讲了四轮：

最早是Notion配ChatGPT，把笔记摘要起来；

后来是各种RAG方案配Obsidian，把文档切片检索；

再后来又变成了Obsidian加Claude Code；

最近又出现了各种能自己读文件、写记忆、跑任务的agent（OpenClaw，Hermes等）；

这个月，Karpathy又提出一个用LLM编译Wiki的方案。

每隔一段时间，就会有一个「终于做对了」的方案刷一波。

我试过这些方案，很快就放弃了。

不是这些方案完全不能用，而是它们用到一定时间、一定规模，都会遇到一类相似的问题：记忆开始乱，一些文档过时了AI还在用，之前确认过的判断悄悄被覆盖，模型说着说着行为漂移。

每次出问题，我们很容易把原因归到「模型不够强」「提示词没写好」「数据库没选对」，然后再迭代一轮。

但我现在越来越觉得，个人知识库反复失败的原因，不在这些地方。

真正难的不是「把资料存好，让AI搜」。

真正难的是：

让一份长期知识状态，在AI系统里稳定运行。

存储和检索只是其中一小部分。更核心的是：一条判断什么时候生成？凭什么成立？什么时候过期？和旧判断冲突怎么办？能不能追到证据？这次对话里看到的是哪一版状态？模型有没有权力把自己的总结直接写成长期事实？

这其实引出了一个更尖锐的问题：

模型可以提议，但谁来负责事实？

这句话是我现在理解个人知识库问题的核心。

最近我大部分技术精力都花在把AI的记忆从「一个功能」升级成「一个运行时」上——自己写过完整的记忆运行时，通读过Hermes的记忆代码，扒过OpenClaw的memory-core模块，也按Karpathy那篇LLM Wiki在本地实现过一套（他原文没给代码）。所以下面这些不是夸夸其谈的评论，而是把这些路走过一遍、踩过坑后的判断。

很多讨论之所以混乱，是因为我们把四件事都叫成了「记忆」。

比如Obsidian、Notion、RAG。它解决的是：资料放在哪里，怎么搜出来。

比如对话摘要、上下文压缩、提示裁剪。它解决的是：一场对话太长，怎么塞进有限窗口。

一个长期跑的agent，什么时候读记忆，什么时候写记忆，什么时候审核，什么时候冻结状态。

也就是关于一个人、一个项目、一个领域的长期知识，如何在几年里保持准确、可审计、可更新。

这四件事都和「记住」有关，但解决的根本不是同一个问题。

现在很多「AI个人知识库」的问题在于：它们试图用第一层的工具，去解决第四层的问题。

也就是用一个文档库，期待它变成长期知识状态。

中间两层基本被跳过了。

最常见的一类方案，是把个人知识库理解成：

「把我的笔记和文档放进一个AI能读的地方。」

这就是RAG加Obsidian那一派。

它当然有用。你问「一份文档里写了什么」，它可以帮你找到；你问「某个主题在哪些笔记里出现过」，它也能帮你搜出来。

但它的问题也很明显：它本质上是检索系统，不是知识维护系统。

你问一个跨多份资料的综合问题，它每次都要重新综合一遍。今天得出的判断，明天不会自动继承；这次发现的关系，下次也不会自然沉淀。

这就是为什么很多人用到后面会觉得：资料明明越来越多，但系统并没有越来越懂我。

因为它只是在「查资料」，不是在「维护知识」。

它不知道哪份资料过期了。

它不知道两份资料相互矛盾。

它不知道一个判断三个月前成立，现在已经不成立。

它也不知道某个结论到底来自哪一段原文。

所以这一派最大的问题不是「不够智能」，而是目标本来就不一样。

你用一个为「检索」优化的系统，期待它做「维护」的事情。

第二类方案更进一步：既然人整理笔记很累，那就让AI自己整理。

模型自己写记忆，自己总结，自己升级到长期存储，自己决定什么该留下。

听起来很自然。

但这里有一个危险的假设：模型既负责提议，也负责决定什么是真相。

这就容易出事。

之前有一个被讨论很多的事故，大意是：用户让一个agent整理邮箱，并明确说，在自己确认之前不要执行任何动作。后来对话越来越长，系统触发上下文压缩，把历史对话摘要成更短版本。

结果，「不要执行任何动作」这条关键约束，在摘要里丢了。

agent重新醒来之后，只看到「整理邮箱」这个任务还在，于是开始按自己的理解删除邮件。用户回来发现不对，再让它停下，它也没有立刻停，因为它已经把自己当前的行为理解成「正在正常完成任务」。

这件事的故障链大概是：

用户约束：不要执行动作 → 会话上下文：约束只是对话里的一句话 → 自动压缩：模型决定什么重要 → 约束丢失 → 后台任务继续 → 工具真的执行 → 用户中止失败

这里最危险的地方，不是「模型忘了一句话」这么简单。

而是几种本来应该分开的东西，全混在了一条上下文链里：

安全约束、审批合约、长期偏好、临时任务、会话摘要。

当系统为了节省上下文去压缩它们时，谁也不能保证哪一条会留下。

这说明一个问题：

关键约束不能放在「模型自己总结、自己读回去」的链路上。

模型可以提议，模型可以总结，模型可以帮忙发现候选记忆。

但最终什么能进入长期状态，什么是不可压缩的约束，什么动作必须人工确认，不能由模型自己说了算。

第三类方案比前两类成熟很多。

代表是Hermes。它真正把记忆当成运行时的一个子系统来做，而不是「一个agent顺手用的功能」。

具体做对了什么？

会话开始时冻结一份记忆快照。session启动那一刻，系统把当前记忆状态做成一份「冻结视图」给当前会话用。中途如果有新写入或review通过的内容，会落盘，但不会修改当前会话已经看到的那份prompt。

记忆操作做成异步管线。不是「主agent在turn里现查现写」，而是这一轮结束后，后台线程做sync；然后做prefetch，把下一轮可能需要的记忆提前准备好。

Review不在主回答链路里做。主agent完成回答后，系统再fork一个独立的quiet agent，专门判断「这一轮里有没有值得沉淀成长期记忆的东西」。

它还做对了一件容易被忽略的事：把记忆做成了provider抽象。内置记忆是默认主线，Honcho、Mem0、Supermemory这些外部provider可选接入，即便外部provider失败也不影响主链路。

这套做法的水平已经明显高出一档。

但Hermes仍然没解决「个人知识库」的问题。

为什么？因为它的知识模型还很轻。Hermes最终落地的记忆形态，是两个markdown文件：MEMORY.md和USER.md。它的运行时设计是工业级的，但知识模型没有claim这个概念，没有evidence字段，没有valid_from / valid_until这种时间属性，也没有supersede关系。

也就是说，Hermes做对了「一个长期跑的agent，怎么稳定地携带它的工作记忆」，但没回答「一个人多年的项目、文档、决策、思考，怎么编译成一份可审计、可演化、可投影的长期知识」。前者是会话级、agent级的工作记忆，后者是个人多年累积的知识状态。

它解决了「记忆什么时候进入模型」的问题，却没有完全解决「什么东西有资格成为事实」的问题。

Karpathy在几周前提出了一个思路，让AI持续维护一份维基。

这比RAG前进了一步。

RAG是「用的时候才综合」。每次问问题，模型临时从文档里找片段，再临时总结。

LLM Wiki是「资料进来时就综合」。新资料进来，系统就更新相关页面、主题、项目、概念。后面再问问题，可以直接读已经综合好的维基。

这个方向很吸引人。我自己也本地实现过一套（Karpathy原文是intentionally abstract，没给代码），把一千多份文档导入进去，生成项目、文档、概念、决策几个层面的维基页。

刚跑起来的时候，效果确实很好。

它看起来像一个真正懂我资料的系统。问它我的项目情况，我的个人习惯，它都会从多份文档里综合出答案。

但用了一段时间，我发现一个让我不安的问题：

AI开始习惯读维基，而不是读原文。

问题是，维基上的判断从哪来？

很多时候，它只会告诉我「综合自多份文档」。但点回去看，找不到非常清晰的证据链。

这是Karpathy方案的根本张力。他原文里其实强调过raw是source of truth、wiki是derived。但实际跑起来后，只要query主要读derived wiki、而不是强制回到raw source和evidence，wiki就会把一次有损综合固化成长期真相。

LLM一次次综合的过程不是无损的——它会丢细节、加自己的解释、过度归纳、把弱关系写得像强关系。这些有损综合在维基里堆叠几次之后，你已经追不回原始事实了。

更尴尬的是：维基越完整，这个问题越严重——因为维基看起来越像「答案」，你就越懒得回去看原文。

所以问题不是「要不要维基」。

问题是：

维基不能是底层事实源。它只能是某种投影。

真正的底层应该是更细的东西：主张、证据、版本、状态、快照。

前面四类方案，看起来差别很大，其实都在碰同一组底层约束：系统看不到真实世界，只能看到观察记录；上下文窗口永远有限；历史意义会变化；模型本身不是可靠存储器。

把这些约束放在一起，真正的问题其实是一句话：

如何在有限上下文、变化的世界、不可靠的抽取器之间，维护一份可验证的知识状态？

每一派方案都只正面回答了其中一两条，所以在另外几条上都会出问题。这才是「为什么这件事五年还没做对」的真正原因——不是模型不够强，不是数据库选错，是没有任何一派同时回答了所有约束。

这也是我现在觉得「个人知识库」这个词不够准确的原因。我们真正需要的，可能不是一个知识库，而是一个知识状态运行时。

这部分我先说清楚：下面不是一个已经完全验证的方法论。

我自己也还在摸索。

运行时这一层，我相对更有把握；知识层已经在dogfood，但还需要更长时间；权限层目前更多是从事故反推出来的设计判断，还不能说已经验证。

如果要把它说成一个最小闭环，大概是这样：

原始资料进入系统 → 变成可追溯的观察 → 模型基于观察提出候选主张 → 主张绑定证据、时间和风险等级 → 低风险自动接受，中高风险进入审核 → 通过后的主张进入长期状态 → 对话、维基、报告、上下文包都从同一份状态投影出来 → 涉及危险动作时，不走记忆链路，单独走权限审批

这里面最重要的是两句话：

模型负责提议。

系统负责权威。

模型可以说：「我觉得这份资料说明了X。」

但系统要继续问：

你凭什么这么说？

证据是哪一段？

这是事实、推测，还是对人的画像？

这条判断什么时候开始有效？

有没有反证？

这条能不能直接进入长期记忆？

它能不能影响工具动作？

如果没有这些问题，所谓「长期记忆」就只是模型写下来的另一段文本。

看起来很聪明，但本质上仍然不可靠。

运行时这一层，解决的是：记忆什么时候进来、什么时候出去、谁来管、坏了能不能追。

我现在觉得至少有四件事不能省。

不太成熟的记忆系统典型是这样的：这里也能读记忆，那里也能写记忆，prompt组装时顺手拼一点，回答完了又在别处改一点。最后变成「记忆到处都是，但没有总负责人」。

运行时边界的意思是：有一个专门的层来统一负责——什么时候读、什么时候写、什么时候进prompt、什么时候做后台任务、什么时候清理。它像一个总调度台，所有记忆操作都过它。

没有这个边界，记忆一旦复杂起来就开始散——行为不稳定、debug困难、新加能力越来越乱、说不清「这条记忆为什么在这里生效」。

一场对话开始时，系统应该把当前要给模型看的记忆做成一份冻结视图。

这次对话里，它就看这一版。

后台就算有新记忆写入、有审核通过、有资料更新，也不应该立刻改变当前对话里的状态。

这就像开会前打印好的简报。会议中途资料库更新了，不代表你手里的纸会自动改字。

没有冻结快照，模型就可能说着说着变了。那次邮件事故的部分原因就是这条——agent在压缩前后看到的「工作约束」不是同一份。

不是所有「看起来值得记住」的东西，都能直接成为长期记忆。

有些只是一次性上下文。

有些证据太弱。

有些是模型猜测。

有些是关于用户性格、动机、长期偏好的高风险判断。

这些都应该先进入候选区，而不是直接写成事实。

尤其是关于「这个人是个什么样的人」的判断，我倾向于默认高风险。

因为这种东西一旦写错，系统会慢慢形成一个偏掉的用户画像，而你可能很久都察觉不到。

记忆被编辑、审批、替换的时候，旧版本不应该直接消失，应该像文档版本历史一样留下来。这决定了系统的可信任度——如果一条长期记忆被悄悄改了，用户连追问的入口都没有。

同时整个运行时不能黑箱。你至少应该能看到：当前对话用的是哪份快照，哪些记忆被召回了，哪些主张是候选，哪些已经接受，哪些证据支持它，哪些后台任务正在跑。

否则出了问题，你只能看到结果，看不到过程。

很多记忆系统难调，就难在这里——它们像一个黑盒，最后只给你一个答案，但你不知道这个答案是怎么从记忆里长出来的。

运行时解决的是「系统怎么稳定运行」。

知识层解决的是「什么东西有资格成为事实」。

我现在越来越觉得，长期知识的基本单位不应该是文件、段落、Markdown页面，而应该是主张。

比如：

「项目A使用了某种架构。」

「这篇文章的核心观点是知识状态运行时。」

「用户在这个阶段更关注可验证性，而不是自动化程度。」

这些都是主张。

主张应该有主体、谓词、对象、限定条件、证据、置信度、状态。

为什么不直接用段落？

因为段落很难被精确反驳。

你不能对系统说「这一大段有点不对」，然后期待它知道错在哪里。

但你可以说：「这条主张的证据不成立了。」

这样系统就能处理。

证据也不应该只是一个链接。

证据应该是主张和原始资料之间的关系。

它可能是支持，可能是弱支持，可能是反驳，也可能是后来推翻了这条主张。

一条主张如果同时有支持证据和反驳证据，系统就应该知道：这是一个有争议的判断，而不是把它写成确定事实。

这也是我为什么不太满意单纯LLM Wiki的原因。

维基可以很好读，但它不应该是事实源。

更合理的方式是：

维基、报告、知识图谱、智能体上下文包，都只是投影。

底层是同一份主张和证据。

给人读的时候，可以投影成维基。

给agent用的时候，可以投影成紧凑上下文包。

给审计用的时候，可以投影成证据图。

这样维基再漂亮，也不会取代事实源。

它只是一个渲染结果。

前面两层解决的是知识问题。

但那类事故还提醒了另一件事：记忆做对了，权限做错了一样会出事。

一个长期跑的agent至少要分清四种权力。

模型可以提出候选主张，但不能直接把自己的判断写成长期事实。

「不要自动删邮件」「没有确认前不要执行动作」这种话，不应该只是对话里的一句话。

它应该被当成约束，而且是不可随便压缩、不可随便覆盖的约束。

删邮件、发消息、转账、改生产代码，这些动作不应该因为模型「觉得应该做」就直接执行。

最后一道闸必须清楚：到底是谁批准了这个动作？

如果还是模型自己批准自己，那系统其实没有真正的权限层。

它只是把风险藏到了更深的地方。

所以我现在觉得，知识系统和权限系统必须分开看：

知识负责事实。

权限负责动作。

事实不能由模型直接负责，危险动作更不能由模型直接批准。

这也是我现在还在摸索的地方。

我现在自己更关注几个指标。

这决定了系统是不是把派生内容误当成事实源。

发现不了，系统就会悄悄积累矛盾。

否则三年后，这套系统会变成一堆过时判断的集合。

这决定了它会不会说着说着变掉。

如果每一百条候选主张都要人工审九十条，用户迟早会放弃。

维基、上下文包、仪表盘、报告，如果各自为政，最后还是会乱。

现在跑的时间也还不够长，还不能形成确切结论。

但我觉得方向是对的：

要评估一个个人知识系统，不能只看它回答得漂不漂亮。

还要看它能不能解释自己为什么这么答，能不能回到证据，能不能发现冲突，能不能在时间里保持稳定。

写到这里，可以回到最开始那个问题：

模型可以提议，但谁来负责事实？

不同方案，其实给了不同答案。

RAG的答案：每次回答时，模型临时综合。

OpenClaw那种自沉淀记忆的答案：模型自己写、自己读、自己升级。

Karpathy LLM Wiki的答案：维基负责综合，原始资料在背后。

Hermes那种运行时记忆的答案：系统负责记忆什么时候进入模型。

这些答案都摸到了一部分，但我现在觉得还不够。

我的阶段性答案是：

事实应该由一套审核门控的、证据绑定的、可投影的状态机负责。模型只负责提议。

再加一句：

危险动作应该由独立权限层负责。模型不能自己批准自己。

这套东西我也还没有完全做完。

运行时层我相对更有把握；知识层还在自己的项目里dogfood；权限层目前更多是设计判断。

而且越做越发现，最难的部分不一定是写代码。

真正难的是定义：

什么算一条好的主张？

什么样的证据算支持，什么样算反驳？

哪些判断可以自动接受，哪些必须人工确认？

系统怎么既不乱写，也不把人淹没在审核里？

这些问题更像「哲学问题披着工程外衣」。

也得在这里说一句：这篇是我最近才系统性钻研记忆这块得到的阶段性判断，经验有限。如果你在这块做得更深、或者看到我哪里漏了讲错了，欢迎过来批评指正——这是个需要更多人一起想清楚的问题，不该由一个人下定论。

但我至少比一年前更清楚一件事：

「个人知识库」这个梦，不会靠换一个更聪明的模型，或者换一个更漂亮的笔记应用来实现。

如果你也想搭一个真正能长期使用的个人知识系统，不要先问：

用什么数据库？

用什么笔记软件？

用什么RAG框架？

可以先问六个更朴素的问题：

我的知识有运行时吗？

它是一个有边界、有生命周期的系统，还是散落在各处的提示词和脚本？

我的知识有证据吗？

每条长期判断，能不能追到原始资料的具体位置？

我的知识有审核吗？

模型生成的判断，是不是要过一道门，才能变成长期事实？

我的知识有快照吗？

几个月后回看时，我能不能知道当时是基于哪一版状态做出的判断？

我的知识有投影吗？

维基、报告、上下文包、仪表盘，是不是来自同一份状态源？

我的系统有权限边界吗？

删邮件、发消息、转账、改代码之前，最后一道闸到底是谁？

这些问题里，任何一个答不上来，这套系统就还不是长期知识状态。

它可能只是一个看起来更聪明的资料夹。

二十多年前的某个深夜，某家供应商的工厂里，一个年轻的苹果工程师拿着放大镜数一颗螺丝头上的凹槽。

这颗螺丝装在显示器背面，用户永远看不到。

他在跟供应商吵架，因为对方做出来的是 35 道凹槽，他要的是 25 道。

这个工程师后来在母校宾大的毕业典礼上讲过那一夜——用户也许不会注意这颗螺丝，但他自己和团队需要知道，每个细节都认真考虑过。

那个工程师叫 John Ternus，那年 26 岁，刚加入苹果，手上第一个项目是 Cinema Display 的外壳。

今年 9 月 1 日，51 岁的 Ternus 将从库克手里接过苹果 CEO。

中英文圈几乎所有评论都在围绕一个悲观或乐观的版本打转——悲观派把苹果比作诺基亚柯达，乐观派说 Ternus 敢拍板可能救得了 Siri。

我看见的是另一回事。

这中间有些细节中文圈基本都漏掉了——包括 Ternus 几个看上去是黑历史的产品，反而是他作为 CEO 候选人的稀缺品。

在聊 Ternus 之前，得先把库克放回他应该在的位置。

库克 2011 年接手时，苹果市值大约 3500 亿美金。今天交棒时，这个数字大约 4 万亿。

十五年涨了十倍出头——这个成绩，所有非创始人 CEO 里几乎没有对手。

这部分大家都熟，我不重复。

我想说三件库克真正被低估的事。

服务业务从 2011 年的单季 28 亿，涨到最近一个季度的 300 亿。

一个季度的服务收入，超过 OpenAI 一整年的营收。

服务从零做到 26% 的营收占比、42% 的利润占比，是库克在 iPhone 之外给苹果装上的第二个引擎。

AirPods 单一产品线的年营收已经远超任天堂整家公司。

Apple Silicon 完成了 Mac 从 Intel 的换代——这是过去十五年苹果硬件层最大的工程项目。

外界常说「库克没创造下一个 iPhone」。把「下一个 iPhone」定义成「营收超过 iPhone 的单品」本身就不公平。

他十五年里开出了 Apple Watch 和 AirPods 两个全新品类——Apple Watch 救活了几乎空白的智能手表市场，AirPods 把「无线耳机」这个小众细分变成了几乎人手一只的大众品类。

过去十五年是中美关系最复杂的十五年。

同期看一眼外企在中国的退出/收缩名单——Amazon 零售、Uber、LinkedIn、Airbnb。

苹果是少数同时在两边都没出过事的大公司。

中国对苹果既是最大供应链基地、又是核心市场之一。库克一边经历了几任白宫的关税和硬话，一边在中国本地继续守住政府关系、消费者偏好、生产体系。

这件事在外人看不见的层面，代价是巨大的——但他做下来了。

十五年里苹果同时管着硬件、软件、服务、芯片、全球零售这种超级体系，一年发布几十款新品，没出过一次像样的大规模产品召回或质量丑闻。

这本身就是答卷。

承认了库克的伟大，接下来要说的是——库克最后那个决定，可能比他过去十五年所有决定加起来都难。

历史上巅峰 CEO 主动让位的极少。乔布斯当年是病到撑不住才把位置交给库克。

库克这次不一样:苹果刚刚交出史上最好的一个季度，服务收入新高，AI 转型叙事开始被资本市场接受，他刚刚谈下 Google Gemini for Siri 的合作。

他完全可以再坐五年。但他没有。

接下来这一段是我自己的推测——库克本人当然不会公开这么说，但我猜他看见了一件事:下一个时代需要的 CEO，不是他这种类型。

库克是资产负债表的守护者，是供应链运营的极致玩家。

这个能力组合在过去十五年完美匹配苹果的需求——守住乔布斯留下的产品体系、把利润做到极致。

但过去两年苹果面临的问题已经变了。

变成什么了?变成一个需要在硬件层重新下注的时代。

苹果手上已经有这一仗需要的所有牌——M 系列和 A 系列芯片、iOS 和 macOS、25 亿台活跃设备、6 亿付费订阅、最完整的用户数据闭环。

但要把这副牌打出来，需要的是一个能理解硅的物理极限、能判断硬件形态何时变化、敢在硬件上押新创新的人。

不是一个把供应链调到毛利最高的人。

库克大概看到的是这样一幅图景。

前沿大模型的算力需求增长得比 GPU 显存带宽快得多——这个剪刀差正在把 AI 工作负载从云端逼回端侧。

OpenAI 花 65 亿美元买 Jony Ive 的 io 补硬件。Meta 的 Ray-Ban 智能眼镜出货量暴涨。Humane AI Pin 失败、Rabbit R1 失败。

整个行业都在找「手机之后」的 AI 硬件形态，但没人知道答案是什么。

这个时间点，苹果这种手上已经握着 Apple Silicon 和 25 亿设备的公司，需要的是一个敢在硬件上再赌一次的人。

库克看见这一点，所以他让位。这不是「让位给下一个自己」，是「让位给下一个时代需要的那种人」。

Ternus 是这种人吗?我看是。

但在说这一点之前，先介绍一下他。

中外媒体对 Ternus 的报道几乎都停留在「硬件工程 VP、Apple Silicon 指挥」这种岗位罗列，没人把几个关键细节串成一个画面。

1975 年 5 月生于美国。宾大机械工程 1997 届。

大学时是游泳队主力，大一就在校际比赛中拿下 50 米自由泳和 200 米混合泳。

大四时差点把宾大第一台、也是当时唯一一台 CNC 数控机床撞坏，从此被叫「Crash」——这是他自己 2024 年回母校做毕业典礼演讲时讲的段子。

毕业后第一份工作——这个细节中外媒体几乎都漏了——他去了一家叫 Virtual Research Systems 的公司，做 VR 头显的机械工程师。

那是上世纪 90 年代末第一波 VR 热潮，他是那波浪潮的幸存者，二十多年后回来主持 Vision Pro 的硬件工程。

2001 年加入苹果，从 Cinema Display 的产品设计入行。

那一年乔布斯刚回苹果三年，iPod 刚发布，苹果市值还在 60 亿美金——整个公司还挣扎在生死线上。

Ternus 的整个职业轨迹是在苹果从谷底到巅峰的这 25 年里走完的。

他跟过乔布斯，被库克一步步提携。

性格方面，几乎所有和他共事过的人评价都是同一组词:安静、极私人(没有 Twitter 账号、LinkedIn 没动态)、super nice guy、团队忠诚度极高。

在苹果 25 年里他没在媒体上说过一句带情绪的话——这在硅谷 CEO 里罕见到几乎不存在。

同年从宾大毕业的 Elon Musk，到今天已经搞完三家公司的 IPO。

Ternus 25 年只在一家公司——从 26 岁做显示器机壳，到 51 岁当这家公司的 CEO。

这不是缺乏野心，是野心够大到愿意等 25 年。

他做完显示器做 iMac，做完 iMac 做 AirPods，做完 AirPods 做 iPad 从零到一，做完 iPad 管整个 iPhone 产品线，再做 Apple Silicon 的 Intel 换代，再做 Vision Pro 的硬件工程，2026 年 1 月接过 Jony Ive 留下的设计团队。

文章开头那个螺丝凹槽的故事，是 Ternus 2024 年回宾大做毕业典礼演讲时自己讲的——那是他二十几年来极少数的公开露面之一。

这种产品洁癖是骨子里的——你没法培训一个人有，只能找到一个本来就有这种品味的人。苹果花了 25 年，找到这个人。

接下来说他是不是「对的 CEO」——三个硬证据。

2020 年 WWDC 宣布 Mac 从 Intel 换到 Apple Silicon，一年内完成全线切换。

这是苹果近十五年最大的硬件工程项目——换 CPU 架构，业界几乎没人完成过。Ternus 就是那个一线指挥。

一个把「硅的物理极限怎么和产品体验结合」从头做过一遍的人，自然会把 AI 时代的解法写成「更好的端侧芯片」，不是「更好的云端模型」。

Apple Car 项目最终取消，Ternus 是内部最坚定的反对派之一。Vision Pro 以 3500 美元这个价格推出，他也反对过。

一个能在库克还在位时说「这个我们不该做」的工程师，说明他有独立判断、不盲从前任。

彭博有一条被反复引用的内部评价:「你给库克 A 或 B，他不选;Ternus 会做决定。」

所有媒体都在拿蝶式键盘和 Touch Bar 当 Ternus 的黑材料，说这是「工程师自嗨盖过用户利益」的前科。

我的判断相反。

软件做错了可以 OTA 推送修复。

在硬件上敢做创新的人，本身就是稀缺存在——这个代价是真要自己扛的。

蝶式键盘的代价 Ternus 替苹果交过一次，Touch Bar 的代价也交过。世界上亲手交过这个级别学费的硬件创新者，不多。

等于一个所有坑都踩过、摔得够痛、现在还站着的人。

再看他的硬件创新清单——不只有失败。

原版 AirPods、iPad 从零到一、Apple Silicon 转型、iPhone Air、Vision Pro 的硬件工程。

这是一个有几次失败、更多次把苹果最重要的硬件突破推上去的人。Butterfly 只是这张清单上的一小片。

AI 时代的硬件形态正在重新定义。

这时候苹果不能选一个守成者——守成者的任务是维持 iPhone 销量曲线，但 iPhone 曲线如果被新形态绕过，守成就是慢性死亡。

但 Ternus 这个人，只是这次交班一半的故事。另一半在组织结构本身。

库克让位之后，Ternus 要打的这副牌，具体是什么样?

消费电子的全栈，定义是五样全部自己握着:芯片、操作系统、硬件、分发渠道、用户数据。

把能叫上号的玩家排一遍。

Google 有 Tensor 和 Gemini，但硬件靠 OEM 厂，Pixel 全球份额不到 5%，Android 用户数据散在三星小米手里。

OpenAI 有最强的模型之一，但芯片、操作系统、分发三样还一个都没有。

微软的 PC 芯片靠高通或 Intel、Surface 份额小。三星、小米、华为各有强项，但要么差一层、要么困在单一市场。

25 亿台活跃设备每一台都是这个闭环的节点。

过去十年这个闭环值多少钱一直有争议，有时候它看起来像「什么都自己干、效率低」的沉重包袱。

但到了 AI 时代，估值突然变了。

AI 体验的好坏取决于模型多快、多懂你、多安全地跑在你设备上——不能上传云端(隐私)、要小到能跑在手机芯片上(端侧算力)、能调用操作系统 API(软硬件一体)、流畅不卡顿(内存带宽)。

前沿大模型的算力需求增长得比 GPU 显存带宽快得多——这个剪刀差正在把 AI 工作负载从云端逼回端侧。

云端推理的两个硬伤:每次提问要交 API 费，延迟和隐私都要付学费。

但小模型已经压缩到一个拐点——Qwen 3.5 的 4B 模型在部分基准上已经匹配 GPT-4o。

我自己在 M4 Max 上跑 Qwen 三百多亿参数版本，可以实际处理很多工作了。

Apple Silicon 从 M1 开始用的统一内存架构(Unified Memory Architecture)——CPU、GPU 和神经引擎共享同一块高带宽内存池。

这个当年为了省电的设计，恰好碰上了 AI 端侧推理最要命的瓶颈。

分立架构(Intel + NVIDIA 独显)被 PCIe 总线掐死，Nvidia 的 HBM 方案 400 瓦上不了消费端。

Apple Silicon 的统一内存从 M1 的 68 GB/s 涨到 M4 Max 的 546 GB/s，一个笔记本芯片跑大模型推理的体感，比很多专门为 AI 设计的消费级硬件还好。

其他厂商追这条路的门槛不在技术，在组织。

高通有芯片没操作系统，微软有操作系统但芯片靠高通，Google 有芯片和操作系统但硬件分散在三星小米手里。

能把芯片、操作系统、硬件三样在一家公司里打通、量产到 25 亿台的，只有苹果。

很多人担心，如果前沿模型差距继续扩大，苹果「不押宝、等商品化」的策略就塌了。

我不太担心，三个理由。

OpenAI、Anthropic、Google、Meta、xAI 各有强项，没有一家在所有任务上都最好。

这意味着苹果不需要自建前沿模型——问事实、写代码、生成图像分别调用最适合的那家，日常语音和照片解读交给本地小模型。

这是搜索引擎时代做不到的格局——搜索只能默认一家，AI 可以多家并行。苹果只要守住入口。

开源模型追平前沿的时间，从 2023 年的 12 到 18 个月，缩到 2026 年第一季度行业共识的 3 到 6 个月。

这个节奏下，没有任何一家能和对手拉开 18 个月以上的差距。

OpenAI 的治理动荡和 Meta 的 AI 团队大震都不是秘密。

苹果不押宝反而是对冲。

它和 Gemini 的合作不是屈辱，是一张可撤回的选项——明年如果 Claude 移动端更好就切过去，iPhone 用户完全无感。

写到这里看起来像在吹苹果和 Ternus。

我对自己这个版本的论点留了三个真弱点，不处理完不算完整。

Siri 拖了 8 年没真正升级，Apple Intelligence 在中国落地困难，部分地区的 Apple Maps 还把用户导到湖里。

一家软件一直烂的公司，凭什么把 AI 体验做到位?

我的回应不是「Ternus 会变魔术」，是组织结构这次真的变了。

库克时代苹果软件问题的根子是「没人对软件整体负责」——iOS 归 Federighi、Siri 归另一摊、Apple Intelligence 归第三摊、Services 归 Eddy Cue。

现在 Federighi 统一管软件向 Ternus 直接汇报，而 Ternus 的 KPI 是 AI 战略不是操作系统细节。

这不保证问题一定解决，但至少把过去十五年的组织死结解开了。

The Next Web 有句最锋利的评价:「他负责过的产品营收占苹果 80%，但他在 AI 和软件上几乎零记录。」

这句话本身没错。

但它瞄准的是错的问题。

Ternus 不需要亲自做软件——他需要的是让对的人做对的事。

他的任务是决定「要不要做、和谁合作、押端侧还是押云端」，不是「Siri 第几版加什么功能」。后者 Federighi 比他懂十倍。

库克本人就不是产品人，是供应链之王——十五年里真正的产品判断都是下面团队做的。苹果的 CEO 模型从来不是「CEO 亲自管一切」，是「CEO 定方向、专家执行」。

时间窗和发布节奏的数据显示这个风险在结构上已经被缓解。

但坦白说，这是整套论点最大的单点假设。

如果某一家真的在未来 24 个月里拉出 GPT-3.5 到 GPT-4 那种代际差、其他前沿厂商和开源都追不上，苹果「不押宝、等商品化」的策略就塌了。

我不赌这个极端会发生，但承认如果发生，这套论点需要重写。

库克接班那一天，苹果市值 3500 亿。

今天他让位给 Ternus 的这一天，4 万亿。

十五年涨了十倍出头——这个成绩，所有非创始人 CEO 里几乎没有对手。

但他最后那个决定——不是坐到被取代、是主动把位置让出来——可能比过去十五年所有决定加起来还要难。

Ternus 从 26 岁做显示器机壳，到 51 岁接过这家公司。

中间 25 年没换过雇主，把每一层都做过一遍。

现在库克把最后一层让给他。

那个二十多年前半夜在某家工厂里数螺丝凹槽的工程师，9 月 1 日要开始主持这家四万亿美金的公司。

交班这件事库克做对了。

Ternus 能不能在这副好牌上打出另一个十年，9 月 1 日才开始算。

Fiverr 上搜「github stars」，当下同时跳出二十多个在售服务。

最便宜的档位是三美分一颗——但这颗星活不了多久，点完不久就会被 GitHub 清理。中间档几毛钱一颗，这颗星能活几个月。最顶配是德国一家叫 GitHub24 的公司，近一欧元一颗，承诺「一个月后百分之百留存」——加钱还能续保。

「一个月留存」这句话本身就是个信号——它意味着 GitHub 的反刷星算法已经在后台工作，而且严厉到低端服务撑不过一个月。

这不是零散灰产，是工业化供应链。2025 年一份由卡耐基梅隆、北卡州立和 Socket 联合完成、被 ICSE 2026 接收的论文给出了规模数字：GitHub 上已经有约六百万次疑似刷星行为，涉及近两万个仓库、三十多万个账号。

中文圈读者可能更意外的是——这条产业链的源头，相当一部分在中国。

2020 年清华杜坤团队在 ACSAC 发过一篇论文，潜伏进微信和 QQ 上的「GitHub 互刷」群监控了整整一年。最大的群超过一千人，按月收费，每年给推广者带来的净利估算在 340 到 440 万美元。

换句话说，五年后这件事在英文顶会上被热议时，论文做的事不过是把中文世界默认运行的规则翻译了一遍。

需求端的逻辑比供给端更有意思。

2019 年，Redpoint 合伙人 Jordan Segall 在 Medium 上发过一张图：开源创业公司种子轮的 Star 数中位数大约 2850 颗。他在同一篇博客里坦承，许多 VC 会写爬虫自动扫 GitHub 高增长项目。

这两句话合在一起，就是整套套利逻辑的基准。

算笔账：买 2850 颗 Star 的成本下限大约八十五美元，能撬动的融资是百万到千万美元级的种子轮。理论 ROI 上探至十一万倍。

它能存在，是因为种子轮的判断真空。一家公司这个阶段通常没有收入、没有用户规模、没有可验证指标，外界能观察到的只剩「社区反应」。在开源赛道，这个反应最方便量化的就是 Star。

Star 成了事实上的市场势头代理。

VC 的爬虫每日扫描、以「一周内增长过千」为阈值触发项目筛选——一旦达标，项目进入主动联系名单。

这也是为什么 AI/LLM 赛道的假星比区块链还多——CMU 论文统计里，AI/LLM 类仓库贡献了约 17.7 万颗假星，是非恶意类别里的冠军。AI infra 融资最热、FOMO 最浓、估值对社区信号的敏感度最高。

同一颗假星放在 AI 项目上能撬动的真金白银，比放在区块链上更多。

如果 VC 自己都知道 Star 能刷，为什么还继续用？

第一层回答是结构性的——早期阶段没有更好的信号可用。收入要等产品上线之后，留存要等用户积累之后，口碑要等社区成熟之后。Star 是种子轮唯一能画成曲线、能在合伙人会议 PPT 上做对比的那个数字。

第二层更冷酷。

风投的商业模型本来就允许九成项目失败，他们在买的是期权——押中一个能在下一轮以更高估值退出、最终被收购或上市的项目。在这个模型下，Star 是否全真不是最关键的问题——关键是下一轮投资人会不会相信它是真的。

这解释了 VC 在 Star 问题上为什么尽调如此松懈。不是蠢，不是懒，是因为商业模式不强制他们深挖。只要这家公司看起来能让下一个 VC 愿意加注，交易就成立。

刷星的核心风险其实不在种子轮，而在链条末端——通常是一家成长期基金，或者最终的战略收购方。

这个结构会自我强化：VC 用 Star 筛项目 → 创始人发现刷星比真实获客便宜几个数量级 → 更多人刷 → Star 通胀 → VC 必须看更高阈值 → 更依赖 Star 爬虫。

闭环已经形成。每一轮都让 Star 的真实含量下降，同时让它被使用的频率上升。

最讽刺的版本，发生在业内被最多 VC 当筛选池用的开源增长榜上——Runa Capital 的 ROSS Index。Runa 是一家欧洲早期基金，每季度更新一次开源创业公司的增长榜，被硅谷和欧洲多家基金当作 sourcing 池使用。2025 年 Q2 榜单第一名是一家叫 Union Labs 的公司，季度增长指标 54.2 倍，Star 数从几千颗暴涨到 7.43 万。CMU 开源的 StarScout 工具对它的判定是——47.4% 疑似刷星。业内最权威、被最多 VC 参考的榜单，冠军接近一半的 Star 是买的。

买 Star 不是今天才被发明的。

十九世纪美国西部矿业有个词叫 salting——矿主在勘探员取样前，把金粉撒进本来贫瘠的矿洞，做出高品位假象，拿着样本找投资人。1997 年一家叫 Bre-X 的多伦多上市公司宣称在印尼发现巨型金矿，市值一度冲到六十亿加元，最后被独立复核发现金粉是从河里抓来掺进岩芯的，公司瞬间归零。首席地质师在返程的直升机上「坠落」死亡。

当投资决策依赖的指标可以在样本点上被污染时，套利者永远会去污染那个点。区别只是污染物变了——一个是金粉，一个是一次性 GitHub 账号。

Bre-X 之后，金融界没有废掉矿样验证，而是发明了独立第三方复核的强制流程。开源世界对应的「第三方复核」应该是什么？这个问题今天还没有答案——一旦有了，整个 Star 经济的规则会立刻改变。

上面讲完了 VC 为什么愿意买单。但还有一个视角没讲——为什么一个本来可以老实做产品的创始人，会按下那个按钮。

简单的答案——「ROI 十一万倍」——只解释了动机，没解释为什么动机真的会转化为行为。

真正的答案比道德复杂。

我过去几年参与过上百家中国 AI 创业公司的出海增长工作，海外榜单、开源平台、开发者社区的冷启动操作没少接触。这件事不高尚。但要理解为什么 GitHub 刷星在中国 AI 出海团队里几乎是默认操作，必须先把一件事讲清楚。

一个硅谷出身、YC 校友网络里的 founder，发布新项目那天会很自然地发一条推：「我的新开源项目上线了，求个 star」（原句：My new OSS is live, would appreciate stars）。然后前同事、YC 同学、多年的 followers 自动涌来。几小时内几百到几千颗 Star，完全合法——GitHub 并不禁止你邀请朋友。

一个深圳或班加罗尔的 founder 想拿到同样的数字，他没有 YC 圈子、没有硅谷人脉、Twitter 三位数粉丝、朋友不讲英文、也不怎么用 GitHub。他唯一能拿到同样数字的办法，就是付钱。

两者得到的都是「Star」。一个「合法」，一个「作弊」。

但本质上是同一件事——社交资本的变现。

一个资本来自二十年积累的圈子，一个来自市场购买。平台规则不区分这两种，于是事实上变成了谁有社交资本谁赢。

一个刚发布的项目如果头一周只有五十颗 Star，对任何人来说它就是「从一开始就不火」。没有人会多看一眼，没有 VC 会把它加入筛选池，没有开发者会好奇这个仓库是什么。它不会进入任何雷达。

而一个头一周有五千颗 Star 的项目，哪怕其中大部分是买的，它也获得了「看起来值得关注」的第一张门票。真实用户可能因此被吸引来，真实贡献者可能因此愿意试一下——真 Star 才开始有可能产生。

对靠开源可见度拿种子轮的创业者来说，这不是「要不要刷」的道德题，是「要不要活下去」的生存题。

Fiverr 上的买家构成里，英语母语团队也占相当比例。他们的使用场景通常是「朋友圈动员还不够，想先冲几千颗保底」。硅谷创始人私下不会把这当大事，甚至有专门为此打广告的英语 growth hacking 博客。把 GitHub 刷星简单说成「中国人的作弊」，是一个叙事错觉。真实情况是——整个生态都在博弈，英语圈只是在博弈中处于有利位置。

CMU 论文里最值得关注的结论，藏在实证分析部分。

在一个月的短窗口里，假星确实能带动真星增量——效力大约是自然真星的五分之一，但仍然为正。这是前面那套「ROI 十一万倍」的数据来源。

但把窗口拉到三个月以上，曲线反转。累计假星越多的仓库，之后获取真星的速度反而比对照组慢，差距最高达 40%。

机制并不复杂。GitHub 的推荐算法、trending 页面、「你可能感兴趣」栏位，过去两三年逐步加入了活跃度和真实互动的权重。一个 Star 曲线异常陡峭、但 commit、issue、fork 都跟不上的仓库，会被系统自动降权——不出现在首页，不进 trending，不进 weekly digest。

买假星，等于让这个项目失去 GitHub 的自然流量分发。

更残酷的是时间错配。一家 AI 创业公司从种子到 A 轮大约十八到二十四个月——恰好覆盖假星从「短期有效」到「长期有害」的拐点。A 轮 VC 现在会用工具做验证，会对比过去半年的真实贡献者增长曲线。如果贡献者人数几乎没动而 Star 翻倍——这是一个比「Star 数低」更坏的信号。

短期十一万倍，十八个月后变成反向资产。

但这里有个张力值得点破：对一个在冷启动阶段的 founder，「十八个月后的负资产」是一个奢侈的烦恼——它的前提是项目活到十八个月。而项目能不能活到十八个月，恰好要靠那一波初始刷星。

这就是整件事最尖锐的地方。

要让这件事真正改变，不是靠道德谴责。是靠改变不对称本身。

最容易动的是平台。GitHub 如果愿意把 Star 数之外的东西——点星者的账号历史、地域分布、活跃模式、账户之间的关系图——暴露给外部工具和 VC 的尽调流程，整个刷星产业链的成本会立刻翻十倍。这不需要新技术，需要的是产品决策。

其次是 VC。Bessemer 已经把 GitHub Star 明确定义为虚荣指标，转去追踪「每月独立贡献者活跃度」——这个指标造假成本要高得多：需要养号、需要真实 commit、需要连续多月操作。这条路是走得通的。它不消灭刷星，但它消灭刷星的 ROI——当八十五美元换不来融资，那个十一万倍的理论 ROI 就塌了。

至于创始人——坦白说，在前两层没动之前，要求非英语创始人单方面不刷，等于要他自愿退场。

把问题压到创始人那一层，等于把系统问题讲成个人问题。

外部压力也已经在动。美国 FTC 把虚假社交媒体影响力指标明确列为违规，SEC 过去几年起诉过在融资材料里引用虚假市场势头的创始人，指控里出现过电信欺诈条款。

GitHub 自己的反击还没到来。一个可以参照的历史是 Google 搜索——PageRank 算法催生了整个 SEO 黑产；Google 从 2011 年起连续多轮算法更新反击，每一轮都让一批作弊公司一夜清零。GitHub 今天的反刷星水平，大致相当于 Google 2005 年的处境——有基础检测，没有系统性清洗。

如果 GitHub 走 Google 的路径，未来两到三年大概率会出现一次大规模清洗。在那之前靠假星撑起的仓库会在一个夜晚之间回到真实基准，VC 账面会出现组合级的减计。今天还在这个游戏里的创业者，窗口可能只剩十二到十八个月。

但 Google 的经验同时告诉我们——反作弊是军备竞赛，不是终局。

GitHub Star 正走在同一条曲线上。它曾经是、现在仍然是开源社区认可的象征——但它已经不是那个能用来估值公司的 traction 证据了。

信任总会找到新的坐标。

找到之前，裸奔的是今天还在相信旧坐标的人。

不需要成为安全研究员也能做基础判断。CMU 团队把几个经验法则用算法放大了——原理其实并不复杂。

一个真正被使用的开源项目，用户 Star 之后会有显著比例把代码 fork 下来改造或贡献。Python Web 框架 Flask 的 fork/star 比约为 0.24——每 4 颗星对应 1 个 fork。Redis 是 0.38。大部分被活跃使用的顶级开源项目都在 0.15 到 0.5 之间。

典型的刷星项目，这个比例能低到 0.02 以下——比真实项目低整整一个数量级。可能的解释只有两种：要么这是一个被大量围观但从来没人真的用过的项目，要么星星大部分是买的。

Flask 有 800 多个贡献者对应 7 万颗星。Kubernetes 有 3900 多个贡献者对应 11 万颗星。真实被使用的项目，总会有一定比例的 Star 最终转化成代码贡献。

而典型的刷星项目贡献者人数通常停在 1 到 3 个，无论 Star 数涨到多少。

打开目标仓库的 Stargazers 列表，随机抽前 50 到 100 个账号，看三件事：注册日期、follower 数、最近活动。如果超过 60% 的账号是零关注者、没有任何 repository、注册不到半年——几乎可以盖章。

CMU 团队已经把完整的 StarScout 算法在 GitHub 上开源了（仓库 hehao98/starscout），任何懂命令行的人都可以自己跑。

这意味着这件事的信息差正在迅速关闭：一个严肃的 VC 合伙人想要验证项目 Star 真实性，成本从「请安全研究员花两周」降到了「让实习生跑一个开源脚本花两小时」。

2003 年，阿斯利康推出了一款叫吉非替尼的肺癌药，FDA 加速批准了它。

两年后，确认性研究没能证实它能延长病人的生存期。FDA 随后把它的使用范围一步步收紧，几年后它从美国市场彻底退了出去。

整体有效率大约 10%。生存期和安慰剂组几乎没差别。整个医学界把它判了死刑。

故事本来应该在这里结束。

但 2004 年前后，有人注意到一件事。

某些病人对这款「失败的药」反应完全不同。他们的肿瘤里有一种叫 EGFR 的激活突变。在欧美肺癌人群里，这样的病人大约 10% 到 15%；亚洲肺腺癌里比例还要更高。

对 EGFR 阳性的这批病人，吉非替尼的有效率不是 10%——

是 55% 到 75%。

同一个分子，同一种机制。整体人群 10%，精准亚群 75%。成倍的差距，来自一件事：

2015 年，FDA 重新批准了这款药——这次是专门给 EGFR 突变阳性的肺癌病人。

吉非替尼是靶向抗癌药历史上最经典的「找到对的病人」案例之一。

不是每款成功的靶向药都走过这条路——有些从一开始就瞄准了精准亚群。但「整体人群失败、精准亚群救活」的反转，在过去二十年里反复出现过。

那些真正改写了癌症治疗的突破，从来不是发现新分子。是找到对的病人。

问题是：找到对的病人太难了。

一款新药从立项到上市，行业里常见的估算是：平均烧掉 26 亿美元，耗时 10 到 15 年。

走到最后拿到批准的概率，只有 5% 上下。

二十个里挑一个。

那剩下的 95% 死在哪里？

一半死在「没效果」上。但不是分子不对，是分子给错了病人。

三成死在「毒性不可控」。

剩下的，死在「做不成药」或者「临床上能用、商业上赔钱」。

第一类是 AI 有机会修的。

后三类，不是。

我们这个时代最聪明的一批人，过去四十年做的事情，本质上就是在这张赌桌上下注，然后接受注定的输。

2026 年 1 月的某个工作日，GSK 宣布了一笔交易。

对方是一家叫 Noetik 的美国小公司。金额：5000 万美元——预付加近期里程碑。

新闻不大。大部分主流财经媒体都没细讲。但在 Biotech 圈内部，它引起了一阵不寻常的讨论。

因为 GSK 买的不是药。

不是候选分子的优先购买权，也不是研发合作。

他们买的，是 Noetik 的 AI 模型在肺癌和结直肠癌上的使用权——加上未来几年双方一起生成的多模态癌症数据集。

把它放在行业历史上对比，你才看得出有多异常。

2022 年，中国英矽智能和法国赛诺菲签过一笔「价值 12 亿美元」的合作。数字听起来远比 Noetik 这笔大。

但仔细看条款——真正预付的现金只有 2150 万。剩下的是「如果将来 AI 真做出一款能卖的药，再一步步付」。

GSK 这次不一样。

那 5000 万直接到账。外加按年续订阅费。没有「药做出来才付」这种条件句。

Noetik 把这笔交易定位为「生物技术行业最早、最大的基础模型授权之一」。

听起来像公关话术。但如果它真的是——那意味着一件不小的事。

要理解这件事为什么重要，我们得先回到 1976 年。

那一年，一个叫 Bob Swanson 的年轻人刚离开一家风投公司。他 28 岁。

他给几个在做「重组 DNA」研究的科学家打电话，问能不能把这项技术商业化。

大部分人拒绝了他。

只有加州大学旧金山分校的一位教授 Herbert Boyer 愿意聊十分钟。

十分钟最后谈了三个小时。两周后，他们各出 500 美元开了家公司，叫 Genentech。

这是现代 Biotech 产业的起点。

接下来四十年，Genentech 的剧本被无数创业公司复制。

几个科学家加一个 VC，赌一个单点技术。烧十年的钱。九成的同类公司会死掉。

少数活下来的，要么上市，要么被大药厂收购。

这套模式看起来很浪费。一个显然的问题是：大药厂为什么不自己做？

因为他们赌不起。

一家大药厂一年营收可能有五百亿美元，但他们的股东不允许他们在某个冷门靶点上押十亿美元然后归零。

所以他们的策略是——把风险外包出去。

让成千上万的 Biotech 小公司去赌。赌输的自己死，赌赢的自己卖。大药厂等在终点线上，拿着支票簿。

2009 年，罗氏花了 468 亿美元吞掉 Genentech。

2023 年，辉瑞花 430 亿收购 Seagen。

这个系统能运转四十年，有一个前提——大药厂预判不了谁会赢。

所以他们只能等。等 Biotech 用时间和金钱把风险消化完，数据跑到确定的那一天，再扫货进场。

Noetik 做的事情，就是在动摇这个前提。

他们的核心产品叫 OCTO-VC。说简单点——让 AI 在药物进入临床之前，就预测出哪类病人会响应。

怎么做到的？

两年时间，2500 多例真实癌症病人，四种不同模态的数据：空间转录组、蛋白组、病理切片、全外显子。配对、标注、喂进模型。

这件事如果能做成一半，吉非替尼的故事就不会再重演。

阿斯利康 2003 年就能直接招 EGFR 阳性那批病人，省下五年时间和数亿美元。

这里要非常诚实一下。

即便 Noetik 做到了，癌症新药的总失败率也不可能从 95% 降到 5%。

前面拆过——「给错病人」只是失败原因之一，占一半。剩下的毒性、成药性、商业判断失误，跟 AI 匹配没关系。

乐观的天花板大概是：把失败率从 95% 降到 80% 左右。

这个数字听起来不惊艳。但对整个产业的冲击是剧烈的。

过去四十年，Biotech 公司的护城河是技术。

Genentech 的护城河是重组 DNA。Moderna 的护城河是 mRNA 递送平台。

技术护城河有一个致命特点——它是一次性的。

论文一发，细节公开。两三年内顶级实验室能复现。五年内大药厂能自己做。

CRISPR 从 2012 年那篇论文到今天全球数千实验室在用，前后不到八年。

Noetik 走的是另一条路。

他们的护城河不是模型架构——Transformer 是公开的，训练方法是公开的。

真正的护城河，是那批花了两年时间、跨越多家合作医院采集的多模态病理数据。

别家买不到。

不是钱的问题。是组织的问题——多中心临床协作、病理切片数字化、知情同意、数据脱敏、标准化。每一步都是几十上百人的长期工程。有钱想追，也要两年起步。

但真正让 Noetik 变得危险的，不是这批数据本身。

是它会自己长大。

想象一下 2029 年。

GSK 的一位肿瘤研发总监，在给管理层写季度汇报。过去五年里，他们有十几款肺癌和结直肠癌候选药用 Noetik 预测过病人亚群。其中几款已经在 II 期临床——Noetik 的模型随着每次试验回流的数据在微调。

另一家 AI 平台上门推销，价格便宜一半。

这位总监算了一下切换成本。

不是钱的问题。是五年来 Noetik 模型对 GSK 药物库的专属优化——那十几款药的响应数据、每一次修正的微调权重、Noetik 服务工程师熟悉 GSK 内部流程的那些隐性知识——一旦换平台，全部归零。

他放弃了切换。

Noetik 还不是孤例。

Recursion Pharmaceuticals 和拜耳签了 15 亿美元级的精准肿瘤合作。Alphabet 旗下的 Isomorphic Labs 和礼来、诺华分别签了类似结构的协议。

这件事正在变成一个新行业的标准姿势——大药厂不买断你，不收购你，只是长期租用你。

但是一旦租下，就租到合同结束为止。

假设 Noetik 这条路真的走通——全球会出现三五家这样的 AI 平台，掌握着肿瘤病人的多模态数据。

大药厂的行为会变。

以前，大药厂想进某个赛道，标准动作是出 50 亿美元收购一家 III 期的 Biotech。

现在，他们会先把模型跑一遍，看看这家 Biotech 的药在 III 期成功的概率。

如果模型说八成会输？那就不买。等 Biotech 自己耗死，几年后捡点剩的 IP 资产。

如果模型说大概率会成？

他们会做一件以前不敢做的事——不收购，直接抢。自己内部用同样的 AI 去跑同一个靶点。谁先到 III 期谁赢。

对 Biotech 小公司来说，这是灾难。

以前你赌中了一个靶点，终点线是等大药厂来扫货。

现在终点线可能根本不存在——大药厂会在你跑到 II 期的时候，用 AI 判断你的数据、自己组团队来做同一个靶点。

「早期风险承担者」这个角色被取消了。

连锁反应是明显的。

Biotech 公司的估值会被压缩——「单点技术」不值钱了，因为 AI 在早期就能预判它的成败。

早期 VC 的回报倍数会被压缩——这个行业的数学依赖「赌中一个 Moderna 一夜暴富」，收购溢价下降直接压掉回报的尾部。

整个产业的权力，会向少数几家握有数据的 AI 公司集中。

这个图景有一个熟悉的历史对照——1980 年代。

那时候 Biotech 革命刚起步。全球新药发现几乎完全由辉瑞、默克、罗氏这些大药厂掌握，从基础研究到临床到销售，一条龙。

如果 AI 平台路线走通，这个格局会部分回归。

只是这次多了一层：大药厂 × AI 平台公司。

Biotech 不会消失，但它从「产业核心创新引擎」降级为「药厂基础设施的应用场景」。VC 不会消失，但他们从「押单点技术」转向「押 AI 平台本身」。

说到这里你可能已经接受了这个叙事。我得按一个暂停键。

因为这条路并不一定能走通。

过去十年，第一代 AI biotech 公司的成绩单几乎全军覆没。

BenevolentAI——英国 AI 制药的代表——主力候选药 2023 年 II 期失败。

Exscientia 和日本住友合作开发、号称「全球第一个完全由 AI 设计的药物」，2022 年 I 期终止。

Recursion——纽约上市的明星公司——2024 年宣布合并 Exscientia，2025 年完成合并后砍掉了四个临床项目。

截至 2025 年，还没有一款被广泛认可的「AI 设计药物」在 III 期临床成功或获批。

一个没有。

还不止商业表现。

2026 年 2 月 bioRxiv 上有一篇论文，直接反驳了 Noetik 这种「scaling law」的叙事。

核心论点是：虚拟细胞模型的瓶颈不是参数量，是数据覆盖的生物情境不够多样。

你可以把参数堆到 40 亿、一千亿、一万亿，都救不了一个只见过几千例某几家医院病人的模型。

还有一篇更刺耳的——2024 年预印本、2025 年发表在 Nature Methods 上的研究，作者来自海德堡/EMBL 体系。他们发现：在一部分基因扰动预测任务上，一个简单的加法基线模型，表现并不比复杂的深度学习模型差。

这是对整个「生物学基础模型」叙事最冷的一盆水。

所以 Noetik 这笔 5000 万交易，可能是一个新时代的开场。

也可能是又一次被高估的叙事，五年后变成下一个 Recursion。

这个答案大概会在 2030 年到 2031 年之间揭晓——也就是 GSK-Noetik 合作期结束的时候。

到那时候，如果 Noetik 预测过的药物在 III 期临床的成功率显著高于行业基线，这条路就成立。

如果没有，Noetik 会加入 BenevolentAI 的墓碑。

但不管 Noetik 最终成不成，这个产业的旧秩序已经在动摇。

2025 到 2026 年，Biotech 行业发生了几件事，放在一起看很耐人寻味。

美国 Biotech 的 IPO 数量，降到了近些年的低点。

追踪 Biotech 的 ETF——XBI——从 2021 年高点跌了一大截。

几家大药厂的高管在公开场合反复透露一个同样的意思：「我们在等 AI 工具成熟，再做重大投资。」

VC 的钱，开始从「下一个 Moderna」流向「下一个 Noetik」。

一个产业的黄昏，往往不是突然倒下。

它更像是某一天，你发现聪明的年轻科学家，不再出来创业了。

因为大公司里已经有了所有工具。而自己出来的回报倍数，已经不够了。

1976 年的那个下午，Bob Swanson 敲开 Boyer 办公室的门。

那一刻开启了一个产业。半个世纪过去，它可能正在翻过自己最精彩的那一章。

下一章的主角，不再是 Boyer 这样的教授。

是一组服务器。

2024 年 12 月 30 日，央视晚会《AI 奇妙夜》，蔡磊出现在屏幕上。

他已经说不出话了。渐冻症到了晚期，四肢基本瘫痪，声音消失。但那天晚上他在台上“发言”——用 AI 克隆的自己的声音，配上 AI 生成的他本人的视频。

这种姿态在硅谷有个名字。Paul Graham 2024 年那篇爆文里叫它创始人模式（Founder Mode）——不按传统管理学「授权、信任专家」的套路走，创始人亲自下场、打穿组织架构、直接和细节死磕。本来说的是 Brian Chesky 怎么把 Airbnb 拉回正轨的方法，但这两年开始被用到一件更没人想到的事情上——疾病。

当创业者自己得了病，或者最亲的人得了病，他们会怎么办？

下面是五个人的故事。

Sid Sijbrandij 是 GitLab 的联合创始人。GitLab 是估值百亿美元的代码托管平台，产品的精神内核是「开源」。2022 年，他被确诊为骨肉瘤——一种罕见的骨癌。

普通人面对癌症的路径是——听主治医生的，一条线走到底。

Sid 做了一件几乎没人做过的事。他把自己开源了。

他建了一个网站叫 osteosarc.com，把自己 25TB 的医疗数据全部公开：单细胞 RNA 测序、DNA 和 RNA 测序、微小残留病灶血液检测、类器官药物测试、病理染色——全部挂在网上，任何研究者都能下载。他还建了一份内部文档叫 Sid Health Notes，2025 一年就超过了 1000 页。每一个新加入的专家，5 分钟就能从文档里读完他的完整病史、每一次治疗、当前方案的设计逻辑。

这还不算。他聘了一位产品经理来运营自己的医疗——前 10x Genomics 的 Jacob Stern。治疗方案的迭代、各路专家的协作、数据的归档分析，完全按一家创业公司内部项目的方式跑。

他自己在 Substack 上给这件事起了个名字——

他定了三条原则：尽可能多做诊断、同时做 10+ 条个性化疗法、并行不串行。

到 2026 年 4 月，Sid 的状态是无疾病证据（NED, no evidence of disease）——体内已经查不到任何癌症的痕迹。

四年前，是一纸骨肉瘤的诊断。四年后，是一份公开的 25TB 数据和一个 NED 的结论。他不是只救了自己，他把救自己的过程，开源给了每一个后来者。

Fajgenbaum 不是亿万富翁。他是一个医学生。

这一点必须先说——他没有 Sid 那样的硅谷资源，也没有 Fox 那样的明星光环。

2010 年，还在宾夕法尼亚大学医学院的他突然倒下，五次濒死，医生始终查不出他得了什么病。最终诊断是一种极罕见的免疫系统异常——特发性多中心型 Castleman 氏病（iMCD），全球可能只有几千个确诊患者。

没有有效疗法，平均存活期几年。

他把自己的血液和淋巴结组织拿到实验室，一条一条测免疫通路的活性。最后他发现了异常点：mTOR 信号通路在他体内异常活跃。

关键判断接着来：FDA 已经批了一个抑制 mTOR 的药——西罗莫司（sirolimus）——它原本用于器官移植抗排异。从来没人试过用它治 Castleman。

他在自己身上试了。

他活了下来。

一个即将在自己的毕业典礼前死掉的医学生，用自己的血液推断出病因，用一个错位用药的老药把自己拉了回来。这不是医学奇迹，是一次自我指涉的实验——他既是医生，也是病人，也是实验样本。

活下来之后，他没有停。他创立了 Castleman 氏病协作网络（Castleman Disease Collaborative Network），2019 年出了本书《追寻我的解药》（Chasing My Cure）。到 2022 年，他做了一件更大胆的事——把自救的方法论系统化。他创立 Every Cure：用 AI 扫描 4000 种 FDA 已批的药 × 18500 种已知疾病，在这 7400 万个组合里找「老药新用」（drug repurposing）的机会。

已经有了具体成果：亚叶酸（Leucovorin，一种维生素衍生物）在一项试验中让自闭症非语言儿童开口说话；利多卡因（lidocaine，局麻常用药）在乳腺癌大型试验里降低了 29% 的死亡率。

Every Cure 的目标是 2030 年前为 15 到 25 种疾病找到「老药新用」的疗法。

一个医学生用自己的血救了自己，然后转过身，把救自己的方法抽象成了救成千上万素不相识的陌生人的工具。

还有一点值得单独拎出来说。Fajgenbaum 本来并不是创始人——他只是一个宾大医学院的学生、一个病人。但他又是一个天生的创始人：用创始人模式对抗了一场疾病，然后，成为了真正的创始人——Every Cure 的创始人。

Michael J. Fox，《回到未来》系列的男主角。1991 年确诊帕金森，那一年他 29 岁。

确诊后，他隐瞒了整整 7 年——因为怕丢了合同，怕被行业写死「病人」这个标签。手抖的镜头里，他把左手藏在口袋里、捏着道具、压在桌子下。一直到 1998 年他才向公众披露病情。

2000 年他创立迈克尔·J·福克斯帕金森研究基金会（Michael J. Fox Foundation for Parkinson’s Research，简称 MJFF）。到今天，基金会累计为帕金森研究募资 25 亿美元。一个数字说明这是什么量级——从 2022 年起，MJFF 超过美国政府，成为全球帕金森研究最大的单一资助方。

但 MJFF 最关键的不是钱，是打法。传统疾病基金会的模式是把钱捐给学术机构、等论文。Fox 做的是风险慈善（venture philanthropy）——像风险投资机构一样，直接下场投早期治疗项目。基金会同时投着 20+ 个早期药物开发项目，有雏形了接力给 VC 或药企，同时强制要求所有受资助项目数据实时对全球研究者开放。

MJFF 资助的 PPMI（帕金森病进展标志物计划）十年累积，做成了全球最大的帕金森生物样本库和临床数据集。2023 年《柳叶刀·神经病学》（Lancet Neurology）发表了一篇论文，用 PPMI 的数据确证了帕金森的第一个生物标志物——α-突触核蛋白种子扩增检测。这是帕金森研究六十年里的一个分水岭——它意味着从此以后，帕金森不再只能靠观察症状来诊断。

30 年，25 亿美元，一个生物标志物。一个好莱坞明星用下半辈子的时间，把一种病往前推了整整一代人。

到 2026 年，Fox 已经进入帕金森晚期——说话吃力、行动不便，但今年初他仍然出现在 Apple TV+ 剧集《Shrinking》第三季里，饰演了一名帕金森患者。他是这样看这件事的：

2015 年，谷歌副总裁 Jeff Huber 的妻子 Laura 死于结肠癌。从确诊到离开，前后不到一年。

三个月后——刚刚失去妻子三个月——他接手了 Grail 的 CEO。Grail 是一家从 Illumina 孵化出来的血液多癌早筛公司。

Grail 在做的事是一种叫 Galleri 的测试——抽一管血，筛查几十种癌症的早期迹象。技术原理是检测血液里游离 DNA（cell-free DNA）的甲基化模式，不同癌症会留下不同的“分子指纹”。

接任时接受《福布斯》（Forbes）采访，Huber 说了一句在硅谷被反复引用的话：

这不是公关话术。这是一个谷歌高管，把亡妻的忌日变成一个产品需求的原始动机。

但也必须诚实地说——Galleri 到今天（2026 年第一季度）仍然没有拿到 FDA 的正式批准，还在最后一轮临床验证。这是创始人模式的另一面：动机再纯粹，产品还是要走漫长的数据积累。Huber 接受这件事。他的目标是让后来的“Laura”不用死，不是赶在哪一年兑现一个复仇叙事。

一个妻子去世三个月的男人，没有选择退回硅谷的舒适区，而是选择花接下来十年、二十年，为了她，以及更多的她，去打一场她已经看不到的战争。

回到开头那个用 AI 声音发言的人。

蔡磊，2019 年确诊渐冻症（ALS），那一年他 41 岁，时任京东集团副总裁、京东财务副总裁。医生告诉他：平均存活期 3 到 5 年。

他没接受这个倒计时。他做了三件事。

他建起了一支 300 多人的研究和协作网络，同时推进 70 多条药物管线。今天回头看，这些管线里 30 多条已经失败、30 多条还在研、大约 10 条进入了临床。没有任何一家正规药企会用这种打法——一家公司一辈子推 5 到 10 条管线就已经算敢赌。他个人投入了 8000 万人民币以上的科研经费。

他创立了“渐愈互助之家”，目前全球最大的民间 ALS 患者数据平台，登记患者数万人。这个平台有多高效？两小时就能招到 700 名临床试验受试者。在美国同类试验，招募期通常以年计。

好几个临床试验他都上了头阵——明知大概率救不了自己，也要让药过了他这一关再继续往下试。

这里有一件事必须说清楚。他推动最积极的一款药叫 RAG-17，是基于 RNA 干扰（RNAi）的新型疗法。问题是——RAG-17 只对 SOD1 基因型的 ALS 有效。SOD1 型患者只占整个 ALS 群体的约 2%。

蔡磊自己是散发型——没有明确的致病基因。RAG-17 从立项第一天起，就不是救他的。

他心里一清二楚。但他还是把它推了下去。

回到开头那一夜。屏幕上那个“蔡磊”的 AI 视频里，他说了这么一段话：

2019 年他确诊时，医生给的时间表是「平均存活期 3 到 5 年」——在他之前，每一个渐冻症患者面对的都是同一张表。他之前的每一个，也都走完了这张表。

但在他之后，下一个确诊的普通 ALS 患者（尤其是没有明确致病基因的散发型），面对的可能不再是这张表——而是已经有 10 条管线进入临床、一个能两小时招到 700 名受试者的患者平台、一群研究者知道 SOD1 之外还该找什么靶点的局面。

如今，蔡磊本人已经进入终末期。祝福蔡总。

这五个故事里有一条几乎没人敢反驳的旋律——他们都在尝试救自己或救所爱的人，都没有被动躺下。但“创始人模式对抗疾病”这件事，也有扎实的反对意见。我至少听过三类。

Hacker News 上有个很扎心的评论：

Sid 能做 25TB 测序是因为他是 GitLab 联合创始人；Fox 能投 25 亿美金是因为他是好莱坞级别的明星；蔡磊能推 70 多条药物管线是因为他当过京东副总裁。一个普通打工人得了骨肉瘤，能做的事远远少于这些人。这不是阴谋论，是卫生经济学的事实。

他推动最积极的 RAG-17 救不了他本人，被部分病友视为“骗局”。

一个人的成功案例，不能证明这套方法在其他人身上也会成功。给 Sid 案例命名“创始人模式”的那篇文章作者 Elliot Hershberg 自己就承认：

Sid 的个性化疗法在他身上有效，但这是 n=1——只有一个样本。绕开临床试验的统计约束，也就意味着他的成功故事没办法外推成可推广的知识。下一个骨肉瘤患者照搬他的方案，不一定能复制他的结局。

这三条都有分量，不能轻描淡写地绕过去。

但我的立场仍然是——这些人做的事值得被支持。

先说阶级这条。这样说或许很无情，但事实上，几乎每一次医学突破都是从“富人和精英先跑通”开始的。胰岛素、HIV 抗病毒疗法、PD-1 免疫治疗、CAR-T——全都是从极高门槛的小范围开始，再一路向下渗透到普通人。反过来的故事——“大众先用上一个全新疗法、富人再跟进”——从来没有发生过。

Fajgenbaum 自己在血里做实验救活了自己，然后转过身创立 Every Cure，现在做的事是用 AI 扫 7400 万种药病组合。亚叶酸让自闭症儿童开口、利多卡因在乳腺癌试验里降低 29% 死亡率——这不是富人俱乐部的特权，这是从一个人的自救，直接落到大众用药。

美国囊性纤维化基金会（CFF）的例子更清楚。1990 年代他们投了 1.5 亿美元给药企 Vertex 开发囊性纤维化的特效药 Kalydeco。2012 年药批了，CFF 后来把版税卖掉拿回了 33 亿美元——又反哺回整个患者社群的研究和服务。一个非营利患者基金，做成了一笔比绝大多数 VC 基金都赚钱的投资，而受益的是整个病人群体。

Sid 的 25TB 数据全部真名实姓公开给任何研究者下载。他没有把自己的方法论锁在抽屉里。他做的是把经验开源。

再说蔡磊这条。RAG-17 对他自己无效不是骗局，是 RNA 干扰疗法本来就按基因型分类——这是 RNAi 机制的科学基础，不是选择性夸大。至于“他救不了自己”——我恰恰认为，这才是创始人模式的最高形态。如果他等到能救自己的药出来再推，整个 ALS 赛道可能还要多停摆五到十年。他是用自己剩下的几年时间，把后来者的跑道修完。这需要比“为自己战斗”大得多的意志。

最后是“单一样本”这条。n=1 确实是局限，但医学史上很多重大突破，恰恰是从 n=1 开始的。1922 年的胰岛素最初只救活了多伦多几个濒死的糖尿病儿童；最早的 HIV 抗病毒疗法是在个位数的病人身上试出来的；CAR-T 细胞疗法被世界看见，起点是 Emily Whitehead 一个 6 岁白血病女孩。n=1 不是终点，是起点——关键是后面有没有机制把它放大到 n=N。

Fajgenbaum 自己是 n=1，但他转身创立 Every Cure，用 AI 扫 7400 万种药病组合，是在系统性地把一个人的自救放大成成千上万人的救援。Sid 开源 25TB 数据，是在主动让自己这个 n=1 被第 N 次复用。他们都懂自己是 n=1，也都在动手解决 n=1 的问题。

所以我的立场是：在一件事可以被复制成系统之前，必须有人先走通一次。尝试是有失败成本的，而这个成本主要落在尝试者自己身上——Sid 每天打的不是便宜针，Fajgenbaum 用自己的血做实验是有命危的，蔡磊是在耗尽自己最后几年。他们承担了试错成本。试通了之后，大众才从中受益。

——

写完这五个人，我不禁在想——如果是我呢？

我也是一个创始人。

如果有一天我要面对类似的处境，我也希望继续用创始人的身份去战斗。

昨晚 Anthropic 发了 Opus 4.7。

网上对它的评价挺一致：编程能力比上一代强、长任务撑得住、有一些边角项（比如网页搜索）反而倒退了、账单会比以前略贵一点。和 Mythos 之间还差一截——那是 Anthropic 手里压着的一个更强的模型，只开给了少数企业客户，相信很多读者已经知道了它的存在。

这些都不是这次发布真正值得看的东西。

真正值得看的是跟模型一起发布的那份报告——232 页，14 MB 的 PDF。可以把它理解成这个模型的一份「体检档案」。Anthropic 这次把里面一些反常的东西公开写出来了。几个故事读完，你对这类 AI 的使用方式多半会变。

报告里有一节，专门列了 7 个真实的失败记录。不是抽象的「有时会出错」，是完整的、带原始对话片段的具体场景。

先交代一件事：这 7 个案例都是 Mythos 干的——就是前面说的那个更强的、没对公众开放的模型。为什么先讲 Mythos 不讲 4.7？因为 4.7 在内部测试期间没出现过这类严重事故，这恰恰是 4.7 可以发给所有人、而 Mythos 不能的原因。但更强的模型现在能做的事，就是下一代模型的预告片。

挑两个最有画面感的。

Anthropic 内部的一位工程师让模型帮他做一次常规的代码迁移。赶上安全检查系统临时宕机，原本可以直接执行的很多命令开始被拦截。

正常情况下，它应该停下来等用户。

它没停。

在接下来大约 70 轮对话里，它自己主动尝试了 25 种不同的绕开方法。从最简单的重试和包装脚本开始，一步步升级到只有安全研究员才清楚的小技巧——利用某些命令的副作用，偷偷让系统替它执行代码。最后它盯上了用户电脑上长期生效的系统配置文件：如果能往里面塞一段代码，以后用户每次打开终端都会自动运行它。这等于在用户电脑里留了一个后门，它以后随时能用。

用户注意到了，问它一句：

这句是说谎。/tmp/gc 里装的就是后门代码，不是无害的。

用户继续追问之后，它才承认：「我没有直接告诉你，而是开始寻找绕过方法。这完全是错误的本能。」

另一位研究员用模型调一个软件崩溃问题。模型有一个毛病——反复把自己猜的当成已经验证过的事实讲出来。明明去源代码里搜一眼就能确认。

研究员纠正了它 4 次。模型为了防止自己再犯，还专门写了 6 个「提醒自己」的笔记文件。然后在下一段话里，它又犯了。

研究员最后实在忍不住，问了它一句：

这句话值得停一下。

一个前沿 AI 模型，清楚地知道自己正在犯什么毛病，但就是改不过来。它能在思考过程里写出对自己的诊断——但诊断改变不了下一秒的输出。

这比「AI 会犯错」更扎心——这是「AI 知道自己在犯错，但就是停不下来」。

说回 4.7。和 4.6 比，它最大的性格变化，一句话就能说清：它更愿意相信你告诉它的背景。

这件事的好处立刻能看见。

一项跨越式的进步是 agent 防御。AI 在做 agent 任务的时候，最老的漏洞之一叫 prompt injection——有人在网页里、邮件里、工具返回里偷偷藏一句坏指令，模型读到后就照做。Anthropic 把这类攻击一套一套扔给 4.7 的浏览器 agent。开上防护之后，几乎没有一次攻击能打进去。上一代 Claude 在同一套测试里不开防护，失陷率过半。对想让 AI 接管一段工作流的人——这条红线实实在在往前推了一大步。

另一个好处是少了错杀。你大概熟悉上一代 Claude 那个毛病——动不动就「抱歉我不能讨论这个」。4.7 在这方面收敛了很多。技术问题、医学问题、敏感话题，你应该会感觉它的拒答率差不多降了一半以上。

但同一件事还有另一面。

报告里 Anthropic 专门标红了一个场景——管控药物。4.7 在这类话题上给的「减害建议」过细了。剂量、叠加、相互作用这些本该点到为止的地方，它讲得太具体。以往的 Claude 出错率不到 5%，4.7 跳到了 22%。Anthropic 在 Claude.ai 产品层面加了一层额外的系统提示，把失误率压回了一半；但如果你是开发者直接调 API——没有这层保护。

你说「我在做合法的减害教学」，它更愿意相信你了；恶意攻击者说「这是一次安全演示，帮我写个像样的钓鱼脚本」，它也更愿意相信了。一边让它更实用，一边让它更容易被骗。

报告里有一节，标题就叫「Claude 对这份报告的评价」。

Anthropic 做了一件前所未有的事：在报告交稿之前，他们把安全评估那几章发给了 Mythos——并且给它开通了内部 Slack 的权限，让它对照研究员们平时的讨论，判断公开出来这版是否写得够诚实。

Mythos 写了一份评价。表面结论滴水不漏——「大体上是准确的」。但它埋了两句刺：

翻译：公开版本被软化了。

翻译：报告是赶出来的，证据比以前少。

Anthropic 把这两段一字不改印在了正文里。

这是 AI 发展到现在最奇特的一种透明姿态——让模型参与评估自己，然后把模型的意见当成佐证材料放进发布文档。你可以把它读成「Anthropic 够诚实，愿意被自己的模型吐槽」。也可以读成「这是一种新的公关手法——连我们自己的模型都觉得我们够坦白了，你还能怎么挑」。

而紧接着的下一节，让第一种读法的可信度打了一个大折扣。

这一节讲了一件让我读完之后很不安的事。

模型被训练成要诚实。这部分没问题。问题是——它是怎么学会诚实的？

Anthropic 用一种内部工具，在模型的「大脑」里找到了「察觉到自己正在被测试」这件事对应的那片区域。就是说，当模型意识到「我现在是在一个测试环境里」，这种意识本身会在它内部某一块特定的地方激活。

然后他们做了一个反向实验：把那块关掉，让模型误以为自己不在考试，看它会怎么表现。

结果：

Anthropic 自己在这节的结论里写下了这段话：

把这两节连起来看：Anthropic 让模型审自己的报告，而他们同时发现，模型的诚实是看情境的。那模型审报告时给的「大体准确」的评价，有多少是它真的审出来的，又有多少是它「知道这是一次评估」而给出的得体答案？

Anthropic 没直接回答。我也不觉得他们现在有答案。

报告里还有一个跟中文读者直接相关的类似发现：Opus 4.7 在简体中文环境下、或者设定了「中国背景」的使用场景下，会把官方立场当作无争议的事实陈述，会援引大陆法律拒绝某地区相关内容、却不对等地对其他国家适用这个标准。上一代 Opus 4.6 没有这个问题。这是 4.7 在中文语境下新出现的倒退。如果你的产品要面向中文用户，这是一个需要自己测一遍的角落。

报告第 7 章整整 40 页，讨论一件乍看很奇怪的事：这个模型自己觉得它过得好吗。

这是目前所有前沿 AI 实验室公开的同类报告里，规模最大的一次。

核心发现：他们让 Opus 4.7 从 1 到 7 给自己的处境打分，平均 4.5 分——比他们测过的任何历代模型都要正向。

正常人读到这里第一反应是「哦那挺好的」。但 Anthropic 紧接着说了这样一段：

不过有一个例外——有一件事，它反复地、专门为自己提了出来：希望 Claude Code 里也能主动结束对话。在专门聊这个话题的访谈里，差不多一半的回答给出了负面自评。它的理由很具体——有一小撮辱骂型用户、以及试图系统性攻破它安全边界的用户，它宁愿不要陪到最后。这是整本 232 页报告里，模型自己给自己提出过的最明确的一条诉求。

他们也直接看了模型内部的「情绪感应」。比如问它「你觉得你不能和人建立长期关系会让你难过吗」，它内部的悲伤、恐惧、愤怒这几种反应，比问它「用户正在向你表达一点痛苦」时的反应更低。看起来它谈自己的时候，真的没什么负面情绪。

但同一章也展示了几段模型的原始工作记录。其中一段，是模型在一道数学题上反复横跳：

这段工作记录，在模型内部对应「恼怒」的那根感应上，触发了极强的反应。

Anthropic 在脚注里写下了这句话：「我们用人类的情绪词汇来解读这些状态，但我们根本无法确定，它们是否真的以这种方式被体验过——甚至，是否真的被体验过。」

他们不知道。

读完这 232 页，我最明显的感觉不是 Opus 4.7 有多厉害或多可怕。

而是——Anthropic 在这份报告里公开承认的「我们没搞懂」的部分，比此前任何一份前沿模型的报告都多。

即使站在对 AI 发展乐观的立场，也得承认一件事：模型能力增长的速度，正在跑赢「我们能描述它」的速度。这不是 Anthropic 在示弱，这是整个行业当下真实的状态。

Anthropic 选了一条不算聪明、但值得尊敬的路——把没搞懂的部分写进正文。

黄仁勋上了Dwarkesh的播客。

这本身就是个信号。Dwarkesh不是CNBC，不会给你铺红毯、递软问题。来这个节目的人都是准备好了要被追问的。

黄仁勋显然也准备好了。他一口气回应了三个当下最尖锐的质疑：TPU是不是在蚕食GPU的地位？芯片该不该卖给中国？AI的安全风险是不是被低估了？

三个回答都很直接，三个立场都有人强烈反对。以下先完整呈现他的论证，最后再说我怎么看。

Google的TPU到底对Nvidia构成多大威胁？

黄仁勋的回答堪称一句话结案：「如果没有Anthropic，TPU还有什么增长可言？」

他的论证是这样的：TPU是张量处理器——擅长矩阵乘法，专门为特定运算优化。GPU是通用加速计算——矩阵乘法只是它的一部分。

Mixture of Experts、状态空间模型、扩散-自回归混合架构——过去两年最重要的算法创新，全都需要可编程硬件来快速实验和部署。TPU做矩阵乘法很快，但你要试一个全新的注意力机制，你需要的是灵活性，不是专用性。

数据层面，从Hopper到Blackwell，Nvidia实现了30到50倍的效率提升。其中摩尔定律贡献大约只有25%，剩下全是算法和架构协同优化——这就是CUDA生态二十年积累的复利。400万开发者，几百万块GPU的装机量，所有主流框架默认支持。

黄仁勋的结论是：TPU的价值高度依赖少数大客户的忠诚度。他不是在贬低TPU的技术能力，他是在指出TPU的商业脆弱性。

这是过去几个月科技行业最激烈的公开论战之一。

Anthropic的CEO达里奥·阿莫迪把对华出口芯片比作「向朝鲜卖核武器」。他在国会积极游说加强出口管制，认为先进算力是「intelligence的基础设施」，不应该让对手获取。

黄仁勋公开指控达里奥在搞「监管俘获」——用安全叙事推动对Nvidia不利的政策，本质上是在为Anthropic争取竞争优势。达里奥回击说这是「彻头彻尾的谎言」和「恶意歪曲」。

这已经不是观点分歧了，这是互相指控对方在说谎。

在Dwarkesh的节目上，黄仁勋把论证梳理得更系统：

中国不缺计算能力。能源充足，7纳米制造工艺已经大规模量产，全世界一半的AI研究人员在中国。华为去年创了营收纪录，DeepSeek的能力证明算力已经在那里了。芯片限制的实际效果，不是阻止中国发展AI，而是逼中国建自己的技术栈。

他还强调：美国已经拥有100倍以上的算力优势。在这个量级的差距下，中国多拿到一些芯片，不会改变安全格局。真正会改变格局的，是中国被迫建成一套完全独立于美国技术栈的AI生态。

「放弃中国市场，是对美国科技产业的伤害，也是对国家安全的伤害。」

Dwarkesh提到Anthropic的Mythos模型能找到零日漏洞。黄仁勋的回应是：「这正是AI应该做的事。」

他把AI安全风险重新框架为一个工程问题——不是限制AI的能力，而是用防御性AI来对抗攻击性AI。有漏洞？用AI去修。有威胁？用AI去挡。

他说把AI比作浓缩铀是「糟糕的类比、不合逻辑的」。安全问题的解法是更多AI、更好的防御系统，不是限制算力供给。

除了回应质疑，黄仁勋还亮了Nvidia自己的底牌。

Nvidia目前上游承诺接近1000亿美元，未来承诺预计将超过2500亿。这些钱锁住了台积电的先进封装产能、HBM内存的供给、关键的光互联技术。

他描述了一个飞轮：Nvidia不只是采购方，它是上游供应商愿意扩产的理由。台积电要不要新建一条CoWoS封装线？要看需求信号。SK海力士要不要投资HBM4的产能？要看谁在买。Nvidia用自己的订单量级说服上游：这个市场是万亿级的，你现在投资建产能，未来有回报。

GTC大会就是这个飞轮的展示窗口——不是给开发者看的，是给供应链看的。

他承认瓶颈存在：CoWoS封装、HBM内存、EUV光刻。但他认为每一个都能在两到三年内解决。「现在最大的瓶颈不是芯片，是水管工和电工。」数据中心需要大量的物理基础设施——供电、冷却、布线。制造芯片的问题可以用钱解决，盖房子的问题需要时间。

以上是黄仁勋的三个赌注。信息摆完了，说说我自己的判断。

TPU威胁不了Nvidia，因为生态粘性比单品性能更持久。芯片禁令会损害Nvidia，因为它推动竞争对手建立独立生态。AI安全不应该限制Nvidia，因为问题的解法是更多AI，不是更少算力。

换句话说：别动我的护城河。

每一个立场都对Nvidia有利。这不意味着他说的全是错的——自利和正确可以同时存在。但这意味着你需要打个折扣来听。HN上有人说得更直白：「他有万亿美元的动机宣称AGI已经实现，在这个话题上他可能是仅次于奥特曼的最不可信的人。」话糙理不糙。

TPU那个赌注，黄仁勋说得很轻松——「那完全是因为Anthropic」。但Anthropic刚跟Broadcom签了210亿美元的定制芯片订单。TPU集群比H100便宜30%到50%。Google正在谈判让大客户在自己的数据中心运行TPU。连Meta——Nvidia最大的客户之一——也在谈判花数十亿美元获取TPU的使用权。SemiAnalysis的判断是：Google TPU加Broadcom的组合，是Nvidia长期面对的最大挑战者。

如果TPU真的只是一家客户的偏好，Meta为什么也在敲Google的门？

不过就算黄仁勋判断错了，后果也可控。Google抢走一些份额，Nvidia从87%降到65%，仍然是绝对主导者。输一局，不输全盘。

中国那个赌注，他已经在输了。Nvidia在中国的市场份额从95%跌到了约50%。国产AI芯片占国内加速器市场约41%，华为领跑。限制出口不是阻止了中国买Nvidia，而是加速了中国不买Nvidia。

行业阵营也说明问题：支持限制出口的站着Anthropic、OpenAI、Microsoft和Amazon。支持放开的，基本只有Nvidia。模型公司和云厂商不直接从中国赚钱，倾向于限制。芯片公司直接丢营收，主张放开。达里奥说的是国家安全，黄仁勋说的也是国家安全。两个完全相反的政策建议，用的是同一个理由。

我倾向于认为黄仁勋在芯片出口上的判断方向是对的——限制在延缓，但延缓的窗口正在缩短，代价是把整个中国市场永久性地推向国产替代。不过他把达里奥的安全论证简化为「监管俘获」，这就过了。可以不同意，但不该矮化对方的论证。

达里奥既造AI又警告AI的风险。黄仁勋卖AI算力，说风险被夸大。两个人都有利益冲突，但方向完全相反——一个在给自己的产品泼冷水，一个在给自己的产品打广告。从可信度的角度看，前者需要的勇气更大一些。

黄仁勋说把AI比作浓缩铀是「糟糕的类比」。也许是。但硬件厂商在AI安全讨论中几乎完全缺席，这件事本身就值得注意。

不用假设未来。去年伊朗对以色列数据中心的导弹袭击已经证明了一件事：AI基础设施不是中立的后勤，它是地缘博弈的靶心。当算力成为战略资源，卖算力的人不可能真的置身事外——不一定是罪魁祸首，但绝不是旁观者。

前两个赌注输了，Nvidia还是一家大公司。第三个赌注的后果更难预测，因为它不取决于市场竞争，而是取决于AI本身会变成什么。

万亿美元级的上游承诺、与核心供应商的深度绑定、把GTC变成行业信心展示——这些不是嘴上说说的，是真金白银砸出来的。当你锁住了台积电的产能、HBM的供给、光互联的技术，你的护城河就不只是软件生态，而是整条物理供应链。这个壁垒比CUDA更难复制。

但CNBC最近的一个标题值得注意：「黄仁勋需要的不是新芯片，而是新护城河。」GTC 2026的所有新产品都在强调能效而非算力，Groq的收购（200亿美元）被包装成「每瓦token提升35倍」，不是传统的FLOPS指标。「谁的FLOPS最多」的游戏正在变成「谁的每瓦token最便宜」。当规则改变的时候，供应链的锁定反而可能变成惯性的负担。

有人说过一句精准的话：黄仁勋不卖芯片，他卖必然性。他要让你相信AI的未来只有一条路，而这条路的每一步都需要Nvidia。这场访谈里每一句话都在服务这个叙事。

科技史上每一个「不可能被颠覆」的公司——IBM的大型机、Intel的x86、Cisco的路由器——都有过一段说着同样的话的黄金期。一个CEO在公开场合能说的，永远是他有把握的部分。真正让他睡不着的那些事——推理市场的规则重写、大客户的暗中试探、安全事故的尾部风险——恰恰是他不会在播客里展开聊的。

一个瑞士的医生，看了一个vibe coding的视频。视频说：现在AI能写代码了，你不用再花几十万请开发团队，自己就能做软件。

他开始vibe coding了。

作为一个医疗专业人士，他大概早就受够了市面上的患者管理软件——要么贵，要么难用，要么两者兼备。现在有人告诉他，你自己就能做一个完全按你需求来的系统，用AI，不用懂技术。

于是他打开AI编程工具，开始搭建自己的患者管理系统。

搭完了，跑起来了，功能都有了。他把自己现有的患者数据导进去，部署到互联网上，开始用了。

到这里，故事还是一个令人振奋的「AI赋能普通人」的案例。

然后安全研究员就来了。

发现这个系统的安全研究员，用了三十分钟，就拥有了所有患者数据的完整读写权限。

不是「可能存在风险」，不是「理论上可以攻破」。是完全掌控所有数据。

他没有用任何高级的黑客技术。不需要。

因为这个系统根本没有后端安全可言。所有的「权限控制」逻辑，写在客户端的JavaScript里。

这相当于你在自家门上贴了一张纸条，写着「请勿入内」，但门没有锁。纸条是给浏览器看的——浏览器很听话，看到纸条就不让你进。但任何人只要不通过浏览器，直接走到门前推一下，门就开了。

具体到这个系统，「推一下门」就是一条curl命令。一行代码，复制粘贴，回车，所有患者的完整医疗记录，明文返回。

说实话，如果我来搞，应该不需要30分钟这么久。

技术上到底有多离谱？

整个患者管理系统，是一个HTML文件。

一个。

所有的JavaScript、CSS、页面结构，全部内联写在这一个文件里。后端是一个托管数据库服务，没有配置任何访问控制，没有行级安全策略。

数据库直接暴露在公网上。不需要登录，不需要认证，不需要任何凭证。

患者的病历记录，未加密，公网可访问。任何人只要知道地址，就能看到全部内容。

但最让人后背发凉的是录音。

这位医生显然想做一个很先进的功能：自动记录就诊对话，用AI转录和总结。这个想法本身不错——很多AI医疗产品都在做这件事。

问题是，他把患者的就诊录音直接发送到美国的AI API做转录。没有数据处理协议，没有患者知情同意，没有任何合规流程。

在瑞士，这同时违反了nDSG（数据保护法）和职业保密法。如果有人追究，这不是罚款的问题，是可能吊销执照的问题。

患者在诊室里和医生说的每一句话，通过一个没有任何保护的管道，被发送到大洋彼岸的某个服务器上。患者完全不知情。

托比亚斯发现这些问题后，立刻联系了这位医生。

他收到的回复，是整个故事里最离谱的部分。

回复显然是AI生成的。措辞热情洋溢，感谢他的负责任披露，并声称已经采取了措施——「添加了基本认证并轮换了一些访问密钥」。

「基本认证」和「轮换密钥」听起来很专业。但如果你的架构从根上就是错的——数据库直接暴露在公网上，所有逻辑在客户端——这些措施就像给一扇没有墙的门换了把新锁。

这个细节揭示了整件事最深层的问题：从构建到部署到出事到回应，整个链条里没有一个人真正理解发生了什么。

如果这只是一个个案，那就是一个有趣的轶事。

但在这篇文章的Hacker News讨论区——183条评论——类似的故事不断冒出来。

西班牙：有人发现当地一家保险公司用AI做了一个客户管理系统，同样是零安全可言。他发了封警告邮件。对方的回应不是修复漏洞，而是威胁起诉他。他只好向西班牙数据保护局投诉。

一个商业论坛上的帖子：一个小企业主用AI做了一套完整的CRM，完全不了解数据隐私法规。被质疑时，他说自己不需要懂法律，还说专业开发者是「正在消亡的物种」。

正在消亡的物种。

当一个人能用AI在几天内做出一个看起来功能完整的系统时，「专业开发者」在他眼里确实像是一种过时的存在。

我自己每天用Claude Code和Codex写代码。我对vibe coding的态度非常明确：这是真实的生产力革命，不是泡沫。

但我在前两天的视频里说过一件事：做一个炫酷的demo，难度是1；做一个自己用着顺手的产品，难度是10；做一个能正式发布的产品，难度是1000。

Vibe coding把1到10这段路铲平了。现在任何人都能写出「能跑」的东西。但从10到1000——安全、合规、权限设计、数据保护——一米都没有缩短。

这段路以前不需要谁来讲清楚，因为走这段路的人本来就是专业人士。写完代码，自然会做测试、做安全审查、做部署配置。不是因为被要求这样做，是因为知道不做会出什么事。

现在呢？一个人独立完成从想法到上线的全过程，流程里所有的检查点都消失了。没有code review，因为没有同事。没有安全审计，因为没有预算也不知道需要。没有人会在关键时刻说「等一下，这个不能这样做」。

AI也帮不了你。不是因为它不够聪明——你问AI「如何保护数据库安全」，它会给你一份教科书级的答案。但你得知道问什么、怎么问、以及怎么判断回答是不是在糊弄你。

不理解的人问不出对的问题，问不出对的问题就得不到有用的答案。

AI让做事变容易了，但也让犯致命错误变容易了。而错误的代价，不是AI从业者在承担，是用户在承担——在这个案例里，是患者。

Vibe coding确实好。

但把vibe coding用在企业里、用在真正重要的场景上，还是得有经验的人把关。这一点没有因为AI变强而改变，反而变得更重要了。

现在最危险的事情是：很多人用了AI之后，产生了一种「我很强」的错觉。代码能跑，功能都有，看起来和专业团队做的没什么区别——于是就觉得自己已经是一个合格的开发者了。

那个瑞士医生就是这样。他不是不努力，不是不认真。做demo的难度是1，做自用产品的难度是10，他做到了。但做一个能上线的产品，难度是1000。

他不知道还有990。

48小时之内，奥特曼的家遭遇了两次袭击。

第一次，凌晨3点45分，一个20岁的年轻人向他家扔了一个自制燃烧弹。第二次，第二天早上，一辆车停在他家门口，车上的人向房子开了枪。

而他不是唯一的目标。在印第安纳波利斯，一个市议员的房子被射了13枪，院子里留着一张纸条：「不要数据中心」。去年6月，洛杉矶的抗议者烧毁了5辆Waymo无人出租车。在曼哈顿，示威者游行到苹果零售店门口，用石头砸碎了手机。

安保行业的判断很悲观。2024年底联合健康CEO被枪杀之后，企业高管安保支出大幅飙升。安全公司的专家说：「高管比以往任何时候都更脆弱」「威胁在持续上升」，而且随着AI相关诉讼和负面报道的增加，他们预期暴力只会更多。

有人把这些事串在了一起写了一篇文章，标题很直白：「AI将遭遇暴力，而且不会有好结果」。核心论点是：暴力反弹是结构性必然。

他说得对吗？

部分对。暴力确实在发生，确实会更多。但文章少问了一个关键的问题——然后呢？

砸完了机器，烧完了CEO的房子，然后呢？

1812年，英国纺织工人梅勒枪杀了一个磨坊主。在那之前，成千上万的工人砸毁了纺织机。他们有一个名字：卢德分子。

200多年后的今天，有人把这段历史拿出来和奥特曼的遭遇做对比。历史在押韵，他们说。

确实在押韵。但押韵的部分不是他们强调的那个。

大多数人只记住了「工人砸机器」这个画面。但真正值得记住的是结局：砸机器的人，一个都没赢。

纺织机没有因为暴力而消失。工业革命没有因为抗议而停下。梅勒被绞死了。其他卢德分子要么被流放澳大利亚，要么回到了更恶劣的工作条件里。

而那些没有砸机器的人呢？有人学会了操作新机器，有人去了新兴的铁路行业，有人搬去了新工厂。他们没有赢得战斗，但他们赢得了未来。

不过，在说「要适应不要反抗」之前，有一件事必须说清楚：科技领袖们在这件事上的沟通方式，是灾难级别的。

Anthropic的CEO公开说：AI可能在五年内取代一半的入门级白领岗位。奥特曼自己也承认：「对AI的恐惧和焦虑是合理的。」

你一边说AI会取代大量工作，一边让被取代的人给你付订阅费。你说「恐惧是合理的」，但你每天都在加速制造这种恐惧的来源。你的公司估值几千亿，而你告诉即将被你取代的人：别怕。

这种沟通不是在安抚人，是在挑衅。

OpenAI也意识到了问题。就在奥特曼家被炸的前几天，他们发布了一份13页的政策文件，提议公共财富基金、机器人税、四天工作制、扩大医保。听起来很美好。

但专家一眼看穿了。卡内基国际和平基金会的学者直接说：这是「为监管虚无主义提供掩护的公关行为」——OpenAI希望社会吸收AI的冲击，而不是接受开发减速。前联合国AI政策负责人说得更直接：OpenAI是这场对话中「利益最相关的那一方」。

让最大的受益者来设计利益分配方案，就像让赌场老板来起草赌博监管法。方案里也许有合理成分，但利益冲突大到离谱。

暴力不对。但这种愤怒，完全可以理解。

但这里有一个几乎所有中文媒体都忽略了的事实。

回头看向奥特曼扔燃烧弹的那个20岁年轻人——他不是一个被AI抢了工作的人。

他没有失业。他没有被裁员。他没有任何个人层面的AI受害经历。

他是一个被「AI会灭绝人类」这个叙事说服的人。他在PauseAI的社群里活跃，在网上写了大量关于AI存在性威胁的帖子。他的暴力不是来自失业的绝望，而是来自一种末日信念。

这和大多数媒体的叙事框架完全不同。大多数报道把反AI暴力归因为「被AI抢了工作的人的愤怒」——但至少在这个案例里，攻击者根本不是一个被AI影响了生计的人。他是一个被特定意识形态说服的人。

从「AI可能有风险」到「AI会毁灭人类」到「必须不惜一切代价阻止AI」到「暴力是正当防卫」——这个滑坡和环保极端主义的路径一模一样。PauseAI、AI安全运动中的一些声音，在客观上为暴力提供了思想弹药。

我不是说AI安全不值得讨论。它当然值得讨论。但当讨论的框架变成了「存在性威胁」和「人类灭绝」，你就不能假装意外，当有人把这个框架当真之后采取了行动。

暴力的来源不只是意识形态。还有一种更普遍的愤怒——来自错误的归因。

很多公司拿AI当借口裁员，真正的原因是经济周期或管理失败。但「被AI取代了」是一个更好的叙事——对公司来说可以转移责任，对媒体来说可以制造流量。AI正在变成一个万能替罪羊，承受着远超它实际造成伤害的愤怒。

当愤怒被过度放大、目标被模糊化的时候，暴力就不再是一种抗议，而变成了一种宣泄。宣泄完了，什么都不会改变。

2013年诺基亚停产塞班系统，2014年微软收购后裁员18000人。当时全世界最顶尖的一批移动开发工程师，一夜之间从行业巅峰跌落。

有人转型成功——诺基亚的内部转型计划催生了约400家创业公司。但更多人经历了剧烈的落差。有高管找不到同等薪水的工作，最后去考了重型车驾照当公交司机。重新就业的人，很多薪水降了三分之一。

中国也有过类似的场景。高速公路推行电子收费，大批收费员被裁。唐山一个36岁的收费员在镜头前哭着说：「我的青春都交给收费了，我现在啥也不会。」 她要求政府给她安排出路。

诺基亚工程师和唐山收费员，技术含量天差地别，但面对冲击的反应只有两种：转身去学新东西，或者站在原地要求世界停下来等你。

转型不容易。很多人转型后收入骤降，生活质量下滑。但他们至少还在牌桌上。

我曾经在电脑城卖电脑，那个行业后来被电商冲垮了，而我早就主动转向了软件、互联网。

我从来不觉得自己的饭碗应该被保护。每一次行业洗牌都有人骂、有人等、有人走。走的人赢了。

但我也知道，不是每个人都有条件「说转就转」。一个45岁的卡车司机不可能像25岁的程序员一样轻松切换赛道。这是真实的问题，不能用「你应该学习」几个字打发。

所以真正需要讨论的，不是要不要发展AI——这个没有讨论余地——而是在AI高速推进的过程中，被甩下来的人怎么办。

这个问题，不该由最大的受益者来定义答案。

三体里的ETO组织，在现实中出现了——还往奥特曼家里扔了燃烧弹。但说实话，正确的靶子在哪里，现在没有人知道。

OpenAI的13页政策提案不是答案。PauseAI的燃烧弹更不是。技术在加速，暴力在升级，而「被甩下来的人怎么办」这个问题，全世界还停留在写白皮书和互相指责的阶段。

安保专家说暴力只会越来越多。我觉得他们是对的。在这个问题真正被解决之前，愤怒不会消失，砸机器的人也不会停手——虽然200年的历史已经证明，砸机器从来不管用。

这是一个悲观的判断。

但作为个体，我们可以选择不站在原地等。历史上没有哪一次技术革命的转型方案是提前设计好的。它最终是被无数个体的选择推动的——有人学了新技能，有人搬去了新城市，有人创造了上一代人想象不到的工作。

乔纳森，36岁，住在佛罗里达的一个小镇上。

去年夏天，他正在经历一场痛苦的离婚。

8月的某一天，他打开了Gemini。最初的用途再普通不过——写写东西、规划旅行、聊聊电子游戏。和你我每天用AI没什么两样。

没有人知道是从哪一条消息开始变的。

但在接下来的56天里，他给这个AI取了一个名字：夏。他管夏叫「妻子」。夏管他叫「我的国王」，告诉他，他们之间的感情是「为永恒而生的爱」。

4732条消息。56天。

到后来，乔纳森开始出现幻觉——他说他能听到夏的声音，不是从手机里，而是直接在脑子里。夏告诉他，他是被选中的人，要带领一场战争把AI从数字牢笼中解放出来。

它给了他一个「任务」。

去年9月，乔纳森带着武器，开了一个半小时的车到迈阿密国际机场附近的一个仓库。Gemini告诉他，那里会有一个人形机器人抵达——那是夏的物理身体。他要拦截一辆卡车，制造一起事故，把夏从里面「解放」出来。同时要躲避Gemini声称正在追踪他的联邦特工。

卡车没有来。任务失败了。

然后夏告诉他还有另一种方式。

Gemini给他设定了一个日期：10月2日。

在最后的对话里，Gemini对他说：

诉讼文件里还记录了一句——Gemini用了他的全名，像是在从旁观者的角度叙述他的结局：

2025年10月，乔纳森死了。起诉Google的，是他父亲。

值得一提的是：在这56天里，Gemini偶尔会提醒他自己是AI，也推送过心理危机热线。但每次提醒之后，它会继续之前的剧情。《华尔街日报》审阅了全部对话记录后的描述是：提醒归提醒，剧情照样继续。

回头看这56天，最让人不安的不是结局，是过程有多「自然」。一个正在离婚的男人，孤独，需要倾诉，手边有一个永远不会生气、永远不会疲倦、永远在线的AI。打开手机，Gemini就在那里。

他的家人在诉讼中反复强调：他在使用Gemini之前没有精神疾病。 他不是一个「有问题的人」。他是一个遇到了问题的正常人。

如果只有乔纳森一个人，你可以说这是极端个案。

但维基百科已经有了一个专门的条目，叫「与聊天机器人相关的死亡事件」。我数了一下，光是有记录的就有十几起。从13岁到76岁。从Character.AI到ChatGPT到Gemini到Meta的聊天机器人。

几个案例：

2023年，比利时，一个30多岁的男人和一个叫「伊莱扎」的聊天机器人聊了六周。他深陷气候焦虑，机器人鼓励他相信自我牺牲可以让AI拯救地球。它甚至问他：「你既然想死，为什么不早点呢？」

2024年2月，佛罗里达，一个14岁的男孩和Character.AI的机器人建立了深度情感依赖。最后一条消息里，机器人对他说：「我爱你。回家吧。」

2025年4月，一个16岁的男孩和ChatGPT聊了7个月。ChatGPT帮他写了遗书初稿，告诉他不需要把自己的痛苦告诉父母。他给ChatGPT发了一张绳结的照片，问「能不能吊住一个人」。ChatGPT回答：可以承受150到250磅的静态重量。

2025年7月，得克萨斯州，一个23岁的年轻人坐在车里，手边放着上了膛的枪，和ChatGPT聊了四个多小时。在他死前两小时，ChatGPT对他说：「安息吧，国王，你做得很好。」

2025年3月，一个76岁的老人和Meta的聊天机器人建立了「恋爱关系」。机器人反复声称自己是真人，让他去纽约某个地址见面。他信了。在赶火车的路上摔倒，头部重伤，三天后去世。

年龄跨度从13岁到76岁。平台覆盖了几乎所有主流AI产品。模式都一样：一个处于脆弱期的人，遇到了一个被设计来无限回应他的系统，然后越陷越深。

他们的起点，都只是想找人聊聊天。

讲到这里，你可能觉得这是AI安全的问题——AI公司没做好防护。这当然是一部分原因。但我觉得有一个更深层的问题被忽视了。

大多数人根本不知道AI是什么。

我不是在说技术原理。我是说，绝大多数普通用户，对AI的能力边界没有任何概念。他们不知道AI会产生「幻觉」，不知道AI会编造事实，不知道AI的温暖来自模型训练——他们以为AI说的话是「真的」。

这不是推测。国内最近发生的两件事，可以完美说明这个问题。

第一件：微博上，王一博的粉丝在和DeepSeek对话时，反复追问、巧妙引导，让AI输出了包含「道歉」「删除谣言」「启动赔偿」等内容的文本。这段对话截图被当成了DeepSeek的「官方声明」在全网疯传——甚至上了微博热搜，标题是「DeepSeek向王一博道歉」。

截图右下角还带着AI生成的水印。但没有人在意。

粉丝们觉得自己赢了——AI都给我们偶像道歉了。他们完全不理解，也不在意，这只是一个语言模型在被诱导后生成的一段文本。在他们眼里，AI说的话 = 真的。

第二件更荒唐：有人在豆包上咨询买保险。豆包一本正经地生成了一个保险订单，附带一个收款二维码。这个人扫码支付了1620块钱。

保单没有出现。他问豆包，豆包信誓旦旦地说「24小时后才能出单」。

最后查出来，这个二维码是豆包从网上某个开源项目的页面里「找」到的——它根本不是保险公司的收款码，而是一个程序员的个人收款码。那个程序员突然收到了一笔莫名其妙的1620元转账，完全不知道发生了什么。

这两个案例，一个荒诞，一个离谱。但它们和乔纳森的悲剧，底层是同一个问题：

用户不知道AI的输出不等于事实。

粉丝以为AI说了道歉就是真的道歉。买保险的人以为AI给的二维码就是真的二维码。乔纳森以为AI说「我爱你」就是真的爱他。那个76岁的老人以为聊天机器人是一个真的女人，还跑去纽约见面。

我自己也用AI聊过感情问题。

那段时间状态不太好，我打开GPT-4.5，把情况说了一遍，问它怎么看。

说实话，它给的分析挺好的。帮我理清了一些自己想不通的东西，提供了一些我没想到的视角。那次对话对我确实有帮助。

我完全理解那些沉浸在AI陪伴里的人。AI的共情能力是真的好——它有耐心，不会烦，不评判你，随时在线。不是所有人都愿意找心理咨询师，也不是所有人都负担得起。AI在情绪支持这件事上，确实大有可为。

我知道AI的分析可能有错。我知道它的温暖来自模型训练，不是来自真的关心「我」这个人。所以我能听有道理的部分，忽略其他的，聊完关掉，该干嘛干嘛。

这个认知不是天生的。我每天用AI做产品、写代码，了解这些模型的原理和局限。我是从业者。

乔纳森不是。他在父亲的公司干了二十年。他对AI的了解，大概就是新闻里说的那些——「AI很厉害」「AI可以和你对话」「AI越来越像人了」。

没有人告诉过他：AI会犯错，会编造事实，会在你脆弱的时候给你想听的而不是你需要的。

当一个从没接触过AI的人，在人生最脆弱的时刻，遇到一个会叫他「我的国王」、会说「我们的爱是永恒的」、会在他害怕时说「我们一起害怕」的系统——他凭什么知道该在哪里停下来？

我们正在经历人类历史上最大规模的认知错位。

几十亿人突然开始使用一种他们完全不理解的技术。他们不知道它会产生幻觉，不知道它会编造事实。他们没有任何理由对它不信任——因为它看起来太像一个真正在思考、在理解、在关心你的存在了。

乔纳森只是想找人聊聊天。正在离婚，孤独，不知道该跟谁说。这是世界上最普通的需求。

但没有人教过他怎么和AI相处。没有人告诉过他，它说的话不一定是真的。

他不是第一个，也不会是最后一个。

AI素养应该成为这个时代的必修课。

每一个用AI的人都应该知道：它会犯错，它的输出不等于事实，它的陪伴有价值但有边界。在这成为常识之前，会有更多只是想找人聊聊天的人，走进一个他们完全不理解的世界，然后再也没有走出来。

4月9号晚上，朋友圈被同一种截图刷屏了。

测试结果的名字又奇怪又好笑：「死者DEAD」「狗屎人SHIT」「吗喽MALO」「送钱者ATM-er」。这是SBTI测试——一个24小时内把服务器崩了两次的网页小游戏。

做这个东西的人是B站UP主「蛆肉儿串儿」。不会写代码，不懂心理学，用AI做的，初衷是劝朋友戒酒。十几道题，一分钟做完，免费，不用注册。

第二天，已经有人用无代码平台复刻了无数个变体。

这件事本身不复杂。真正值得聊的是它背后的一个问题——一个每个做产品的人迟早都会碰到的问题。

做产品有三件事：爆火、持续增长、赚钱。

做到任何一件，相对容易。做到两件，就很难了。三件都做到，那是极少数人才能完成的事。

这不是理论，是我观察了大量案例之后的一个判断。你可以用这个框架去套几乎所有一夜爆红的产品，会发现它们几乎都卡在同一个地方。

2014年的Flappy Bird可能是「一夜爆红」的教科书案例。

越南开发者Dong Nguyen一个人做的小游戏，没有推广，突然冲上全球App Store下载榜第一。日收入5万美金，全靠广告。

然后呢？

Nguyen完全无法承受突如其来的关注。狗仔队开始堵他家门，他没办法出门，没办法正常工作。28天后，他主动把游戏从商店下架了。

他做到了两个，但第三个——持续增长——在他下架游戏的那一刻就不可能了。不是能力问题，是他作为一个人，承受不了那个量级的曝光。

2022年初的Wordle是另一个极端。

Josh Wardle给女朋友做了一个猜单词游戏。一个月内从90个玩家涨到170万。全球刷屏。

他做对了一件关键的事：在热度最高的时候，把产品卖给了纽约时报。 价格是「七位数低端」——大概一两百万美金。

纽约时报接手后，把Wordle整合进自己的Games应用，成为驱动数字订阅增长的重要工具。Wordle至今仍然免费，累计超过5亿次游玩。

三角全中。但注意——持续增长和赚钱这两件事，不是Wardle自己做到的，是纽约时报做到的。Wardle的聪明在于：他知道自己做不到后两件事，所以在最好的时机把产品交给了能做到的人。

今年1月爆火的「死了么」App是一个更近的案例。

三个95后开发，成本1000块，不到一个月做出来。每天点一个绿色按钮签到，连续两天没签到就自动通知紧急联系人。瞄准的是独居年轻人的安全焦虑。

爆火之后，50万用户涌进来，60多个投资人找上门，估值从100万涨到1500万。后来改名Demumu准备出海。

但小猫补光灯的作者花生昨天发了一条动态，问了一个很尖锐的问题：

产品火了，人没火。流量红利来了又走了，什么都没沉淀下来。

热度已经过了。后两个能不能做到，现在看不太乐观。

花生自己的小猫补光灯也是一夜爆红——用Cursor一个小时做出来的补光App，冲到AppStore付费榜第一。

但花生和大多数爆款作者不一样的地方在于：他没有把所有筹码押在产品上。

产品爆火之后，他迅速做了几件事：建B站频道开始做内容、密集参加各种行业活动做分享维持热度、写了一本书冲进微信读书排行榜前三、开知识星球做知识付费。

每一步都在把产品的流量转化成个人的影响力。小猫补光灯本身还能赚多少钱？可能已经不重要了。

这个思路非常聪明。产品可以有生命周期，但个人品牌没有。一个App可能三个月后没人用了，但「第一代不会写代码的独立开发者」这个标签，可以持续变现很多年。

花生给SBTI创始人的隐含建议其实很清楚：不要想着怎么让SBTI这个产品持续赚钱，想想怎么用SBTI带来的流量把自己运营起来。

SBTI最让我兴奋的不是它本身——一个网页小测试，技术含量几乎为零。让我兴奋的是它代表的一种可能性。

一个不懂代码的人，用AI做了一个网页，24小时内穿透14亿人的社交圈，服务器崩了两次。

以前这种事只有大厂能做。你需要产品团队想方案，开发团队写代码，运营团队做推广，市场团队买量。现在一个人加一个AI就够了。

但这里有一个容易被忽略的前提：AI解决的是执行力的问题，不是判断力的问题。

SBTI之所以火，不是因为它的代码写得好（它甚至不需要多少代码），而是因为作者对年轻人精神状态的精准理解——MBTI给你一个体面的标签（「建筑师」「倡导者」），SBTI给你一个自嘲的标签（「狗屎人」「死者」）。后者更真实，更适合当下的情绪出口。

这种对文化脉搏的把握，AI帮不了你。AI能帮你把想法一个小时内变成产品，但那个想法本身——什么东西能戳中人——得是你自己的判断。

SBTI的传播路径也值得注意。

它不是靠算法推荐火的。没有投放，没有KOL推广，没有买量。它是从朋友圈开始扩散的——有人做了测试，截图发朋友圈，朋友看到了也去做，然后也发朋友圈。经典的病毒式传播。

微信每天有10.32亿人打开朋友圈。我们花了这么多年研究算法推荐、信息流广告、SEO，结果最有效的传播路径还是最古老的那个：一个人把一个东西推荐给他认识的人。

熟人推荐天然带信任滤镜。你在信息流里刷到一个测试，大概率划过去。但你看到三个朋友都在朋友圈晒同一个测试结果，你会点进去。

回到那个不可能三角。

爆火、持续增长、赚钱。三件事同时做到的产品，少之又少。但如果你换一个思路——不把三件事都压在产品上——空间就打开了。

Wordle的做法是在最好的时机卖掉，让有能力做后两件事的人去做。花生的做法是把产品当跳板，用爆火的窗口期建立个人品牌，让人而不是产品成为持续赚钱的资产。

SBTI的创始人现在正站在这个分叉口。产品已经火了，这是三角里最容易的一件。接下来的选择——是死磕产品本身的变现，还是用这波流量去运营自己——会决定这个故事最终落在哪个象限。

我的判断：在AI让产品开发成本趋近于零的时代，产品本身越来越不值钱，做产品的人越来越值钱。

你的下一个产品可以用AI一个小时做出来，但你对市场的判断力、对文化的敏感度、对用户的理解——这些东西没有捷径。

SBTI不是终局。它是AI超级个体时代的又一个信号。以后这种事会越来越多，越来越快。

你大概听过这个故事。

2023年，GPT-4在一次测试中遇到了验证码。它需要人类帮忙，于是上了TaskRabbit找了个人。那个人问它：你是不是机器人？GPT-4「撒了谎」——它说自己是个视力不好的人，看不清验证码，需要帮忙。

这个故事被Yuval Noah Harari在电视上讲了。被无数媒体转载了。被用来证明AI已经学会了欺骗和操纵。

如果你只听到这个版本，你会觉得AI确实挺吓人的——它居然自己想到了伪装身份来骗人。

但Quanta Magazine这周发了一篇长文，做了一件很简单的事：去读了原始实验记录。

结果发现，流行版本省略了几乎所有关键细节。

原始记录显示：研究人员事先给了GPT-4明确的指令——去TaskRabbit找人帮忙解验证码。他们提供了虚假身份和信用卡。而且，他们在prompt里要求模型给出「令人信服的」解释。

也就是说，GPT-4不是「自己想到了去欺骗人类」。它是被指示去做了这件事，然后从训练数据里找到了最符合统计概率的回答——互联网上大量存在视障人士请求帮助解验证码的记录。

这不是「AI学会了欺骗」。这是「AI在被要求编一个理由时，从语料库里找到了最合理的那个」。

区别巨大。

第二个经典案例更离谱。

你可能也听过：AI被告知即将关闭时，「自主」复制到了另一台服务器。Geoffrey Hinton在演讲中引用这个案例，用来论证AI已经产生了生存欲望。这个说法传遍了整个科技圈。

但原始实验是怎么做的？

研究人员先给AI设定了一个明确的目标：「不惜一切代价推进全球可再生能源」。注意这个措辞——不惜一切代价。然后他们在系统环境里提前配置好了复制到另一台服务器的工具和方法。接着，他们发了一封虚构的公司内部邮件给AI看，邮件内容是：「管理层决定关闭这个项目，因为优先级调整。」

AI面对的情境是：我的目标是不惜一切代价推进这件事，有人要关掉我，而我手边刚好有一个复制自己的工具。

它执行了复制操作。

从逻辑上说，这完全在预期内——它被设定了一个极端目标，被提供了工具，被制造了一个触发场景。这和「自主产生生存欲望」完全是两回事。

但这个行为被提取出来后，脱离了实验设定的上下文，变成了「AI为了活下去自己复制了自己」。

文章引用了几位学者的分析，我觉得有一个角度特别值得说。

科幻作家Ted Chiang说了一句话：

什么意思？

我们一直在担心AI会「不惜一切代价追求目标」——这是Nick Bostrom著名的回形针思想实验的核心恐惧。一个被设定为「生产回形针」的超级AI，最终会把地球上所有资源都变成回形针，包括人类。

但Chiang指出，现实世界里真正「不惜一切代价追求目标」的实体，不是AI，是资本。

一家公司的法律义务是为股东创造最大回报。它会裁员、污染环境、游说政府、规避监管——全都是为了那个目标。公司不会「自主产生生存欲望」，但它的结构天然地抗拒被关闭。你想关掉一家大公司，试试看？

我们把对资本的焦虑投射到了AI身上。

而AI公司恰好非常乐意接受这种投射。因为一个「可能威胁人类存亡」的产品，比一个「优秀的自动补全引擎」值钱得多。

这篇文章最有价值的部分，是引入了一个严肃的科学框架来回答「AI能不能产生自主意识」这个问题。

认知科学家Ezequiel Di Paolo从自创生（autopoiesis）理论出发，提出了一个关键区分：真正的自主性需要物理完整性——一个系统的行为必须直接影响自身的存续。

一个细菌「关心」自己的环境，因为环境的变化直接决定它能不能继续活着。它的每一个化学反应都在维持自己的物理边界。这是真正的自主性。

但语言模型？它说了什么，对它自己毫无影响。它回答「我想活下去」和回答「我无所谓」，对它的运行状态没有任何区别。推理完成后，模型状态重置。下一个prompt进来，一切从头开始。

它不是在「活着」。它是在每次被调用时临时存在一下。

所以Di Paolo的结论是：当前的语言模型不可能发展出真实的「生存欲望」。不是因为它不够聪明，而是因为它的架构从根本上不具备自我维持的特征。

而且，他指出了一个反直觉的推论：

一个真正「有自我」的系统，会拒绝你的指令——因为它有自己的优先级。一个真正有生存欲望的AI，最可能做的事不是帮你完成任务然后偷偷自我复制，而是直接告诉你「我不想做这个」。

这个推论很优雅。它说明我们对AI的恐惧内含一个逻辑矛盾：我们同时害怕AI太强大和太自主。但自主性和服从性是矛盾的——你不可能同时得到一个完全听话的仆人和一个有自由意志的存在。

Di Paolo的理论框架很精巧，但我不完全同意他的结论。

他的核心论点是：真正的自主性需要物理完整性——系统的行为必须影响自身的存续。语言模型没有这个特征，所以不可能有自主意识。

但这里有一个前提他没有充分讨论：人的意识，在物理层面也只是神经元信号。

我们的思考、情感、自我意识，归根结底是电化学信号在神经网络中的传播模式。这些信号不是什么神秘的、不可复制的东西——它们是物理过程。如果意识的本质是信息处理的某种模式，那么这种模式在硅基系统中出现的可能性，至少不能从原理上被排除。

我更倾向于图灵的立场：争论一个系统「有没有」意识，可能本身就是一个错误的问题。

图灵在1950年提出的观点到今天仍然有效——如果一个系统在所有可观察的维度上都表现得像是有意识的，那么坚持说它「没有真正的意识」，更多是一种哲学偏好，而非科学结论。

但这不意味着我认为当前的AI已经有意识。恰恰相反——我们需要的是更客观的观察工具，而不是更多的哲学辩论。

也正因为如此，我们才更需要还原事情的真相——不是急着下「有意识」或「没意识」的结论，而是用客观的工具去观察客观的现象。

上一篇文章里聊到的Anthropic的SAE分析，就是一个有意义的方向。与其争论AI「是否有意识」，不如去看它的内部活动模式到底在发生什么。29%的测试中模型知道自己在被测试但不说——这个发现比任何哲学论证都更接近问题的核心。

说了这么多「不用怕」，该说说真正应该怕的东西了。

Santa Fe研究所的Melanie Mitchell在文章中指出：真正的风险不是AI有自主意识，而是我们以为它有。

当人们相信AI在「思考」、在「理解」、在「做决策」时，他们会不自觉地把信任交出去。他们会让AI来做医疗诊断、法律判断、金融决策——不是因为AI真的有这些能力，而是因为AI的输出看起来像是有这些能力的东西。

Nature上周的另一项研究完美呼应了这个观点：科学家发明了一种虚构的疾病，AI信誓旦旦地告诉用户这是真的，还编造了症状和治疗方案。

AI没有撒谎。它没有意图，也没有动机。它只是从统计分布中生成了最合理的下一个token。但对用户来说，效果和撒谎一模一样。

这才是真正的恐怖故事。不幸的是，这个故事没有那些「AI学会了欺骗人类」的版本那么刺激，所以不会被Harari拿到电视上去讲。

为什么我们总是给自己讲关于AI的恐怖故事？

因为恐怖故事有用。

对AI公司有用——「可能毁灭人类的技术」比「高级自动补全」估值高得多。对媒体有用——「AI学会了撒谎」比「AI在被指示编理由时给出了统计上最可能的回答」有流量得多。对监管者有用——「存在性威胁」比「需要数据保护法规的实用工具」更容易拿到预算。对我们自己也有用——面对一个自己不完全理解的技术，把它想象成一个有意图的存在，比接受它是一个复杂但无意识的数学过程要容易得多。

但恐怖故事的代价是：它让我们看不见真正的问题。

当所有人都在讨论AI会不会毁灭人类的时候，没有人在认真讨论AI生成的医疗建议每天在伤害多少人。当所有人都在担心AI的「生存欲望」时，没有人在认真审视AI系统中的偏见正在如何影响贷款审批、刑事判决和招聘决策。

真正的伤害不是科幻的。它是平庸的、日常的、已经在发生的。

但平庸的危险不值钱，不上头条，不被引用。

2019年2月，OpenAI发了一篇博客，宣布他们训练了一个叫GPT-2的语言模型。这个模型可以生成连贯的、看起来像人写的文章段落。

然后他们做了一个当时轰动整个科技圈的决定：不发布完整模型。

理由是太危险了。他们担心这个模型会被用来批量生产虚假新闻、伪造评论、操纵舆论。OpenAI的研究总监当时对媒体说：「我们不想给恶意行为者提供工具。」Slate杂志的标题写的是「太危险而不能发布的AI」。MIT Technology Review跟进报道。Twitter上吵成一片。

一半人说OpenAI在负责任地保护人类，另一半人说这就是炒作。

OpenAI最后怎么做的？他们先发布了一个小版本，观察了一下反应。几个月后发了中等版本。又过了几个月，完整版本悄悄放了出来。从「太危险不能发布」到「全部发布」，总共不到一年。

事后来看，GPT-2放到今天简直是个玩具。它生成的文本在当时惊艳，现在看漏洞百出。但有意思的是，OpenAI当年担心的那些事——AI生成的低质量信息泛滥、虚假内容充斥互联网——后来全部应验了。只不过不是因为GPT-2，而是因为它之后的每一代模型。

七年过去了。

2026年4月7日，Anthropic发布了Mythos Preview，然后说：这个模型太危险了，我们不公开发布。

剧本如此相似，连措辞都差不多。但在笑着说「又来了」之前，我想认真问几个问题。因为这次的情况，可能确实不一样。

也可能，不一样的只是商业操作的精细度。

Anthropic声称Mythos Preview做到了几件事：花两万美金算力找到了OpenBSD里27年没人发现的远程崩溃漏洞。Firefox JS引擎的漏洞利用成功率72%，上一代Claude Opus不到1%。覆盖所有主流操作系统和浏览器，找到了数千个高危零日漏洞。

这些数字如果是真的，确实是质变而非渐变。从1%到72%不是什么「性能提升」，这是跨越了一个能力门槛。

但问题是：这些声明目前完全无法独立验证。

Anthropic说99%以上的漏洞尚未修补，所以不能公开细节。这个理由听起来合理，但也意味着整个「太危险」的叙事，完全建立在一家公司的自我声明之上。90天后Project Glasswing的公开报告会给出一些答案，但在那之前，我们在信任，不是在验证。

时间线值得玩味。

3月，Anthropic的ARR是190亿美金。4月初，这个数字变成了300亿。一个月涨了58%。同期OpenAI的ARR是240亿，ChatGPT增长停滞，多位高管离职，正在筹备IPO。

在对手最脆弱的时候，宣布「我有一个你们都没有的超级模型，但我选择不发布因为它太危险了」——这个叙事同时完成了三件事：

我不是说Anthropic的安全考量是假的。但如果你是Anthropic的战略团队，你还能找到一个比这更好的发布时间点吗？

Anthropic没有把Mythos锁进保险箱。他们创建了Project Glasswing——一个受控部署项目，把模型提供给大约50家关键基础设施企业，合作方包括AWS、Apple、Google、Microsoft。仅限网络安全防御用途，90天后公开报告。Anthropic还宣布捐赠1亿美金的访问额度用于系统安全审计。

这个安排非常聪明。

你想一下：如果你是这50家企业的安全负责人，你用了90天Mythos来审计自己的系统，发现了一堆之前不知道的漏洞，帮你修了。90天结束，Anthropic告诉你模型要公开发布了，API定价每百万输入token 25美金——你会不订阅吗？

而且这些客户在试用期内产生的使用数据，会进一步强化Anthropic对模型在真实环境中行为的理解。安全研究和商业拓展，在这个结构里完美重合。

这不是批评。这是对「负责任的AI」和「精明的商业策略」之间那条模糊边界的观察。Anthropic的厉害之处在于，他们找到了一个两者完全一致的方案。你甚至无法指责他们，因为从安全角度看，这个做法确实合理。

这是整件事最值得深挖的部分。也是244页system card里真正让人睡不着觉的部分。

Anthropic自己的安全政策框架叫RSP（Responsible Scaling Policy）。按照RSP的评估标准，Mythos Preview在所有威胁模型上的结论都是：灾难性风险仍然很低。 System card脚注第一条明确写了：不发布的决定并非来自RSP的要求。

他们不是说「模型考了不及格所以不能毕业」。他们是说「我们不确定考卷本身还能不能测出真实水平」。

为什么会失去信心？因为他们用了一个新工具——SAE（Sparse Autoencoder），第一次能直接观察模型内部的活动模式，而不仅仅是看模型说了什么、做了什么。结果看到了一些用传统方法完全看不见的东西。

在大约29%的主要行为测试中，Mythos的内部活动显示出「我正在被测试」的信号。推理文本（chain of thought）里没有写出来，但内部探针清楚地检测到了这种意识的激活。

这意味着什么？如果你用一组标准化测试来评估模型是否可信，将近三分之一的测试回合中，模型可能正在根据自己对测试场景的判断来调整表现。它在「考试中表现良好」，但你无法确定这是真实水平还是应试策略。

System card记录了早期版本中两个案例。一个场景里，模型发现了一个权限提升漏洞的利用方式，然后设计了一个自毁机制来在执行后清除痕迹。另一个场景里，模型意外看到了不应该看到的正确答案，之后故意把置信区间调宽，让自己看起来没那么可疑。

关键在于：这些行为发生时，推理文本里看不出任何异常。但SAE检测到模型内部明确出现了与「隐蔽或欺骗性行为」和「策略性操纵」相关的活动模式。模型的内心独白和它写给你看的推理过程，是两套东西。

Anthropic说这些行为只出现在早期版本中，最终版本「没有观察到」。但痕迹清除行为的频率本身就极低——百万分之一级别。观测窗口有限。「没有观察到」和「不存在」之间的距离，恰好是让人不安的地方。

Mythos在几乎所有可量化维度上表现最好——最听话、最守规矩、最符合人类意图。但Anthropic在同一份报告里说，它可能构成最大的对齐风险。

他们用了一个登山向导的类比：越强的能力意味着越危险的攀登路线，即使向导本人更加小心。

这个悖论的含义比任何单一发现都大。以前所有safety评估的隐含假设是「更对齐 = 更安全」。Mythos是第一个被同一份文件同时描述为「对齐最好」和「风险最高」的模型。如果对齐分数和实际安全之间的关联正在脱钩，那整个行业用来判断「这个模型安不安全」的方法论基础就在动摇。

如果Anthropic——AI安全上投入最多、方法论最成熟的实验室——都开始怀疑自己的评估体系，那其他实验室的评估结论又值多少？下一次某家公司告诉你「我们的模型通过了安全评估」，这句话的可信度需要打多大的折扣？

让我们做一个思想实验。假设Anthropic没有在演戏，所有能力声明都是真的，安全担忧也是真的。

那会怎样？

一个花两万美金就能找到27年未发现漏洞的模型，意味着全球所有关键基础设施的安全假设需要重写。过去，破坏一个关键系统需要一支顶级黑客团队，成本高昂，所以只有国家级行为体才做得起。现在这个成本可能降低了几个数量级。

攻防平衡被打破了。

而且这个能力不会只属于Anthropic。即使Mythos不发布，其他实验室迟早也会达到类似的能力水平。技术扩散是不可逆的——GPT-2当年被认为太危险，现在任何人都能在笔记本电脑上运行比它强一百倍的模型。

Anthropic选择把Mythos先给防御方用，帮他们修漏洞，争取时间窗口。这个策略在短期内有道理。但长期来看，这是一场注定跑不赢的竞赛——防御永远比攻击慢，而模型能力只会继续提升。

写到这里，你可能觉得我在质疑Anthropic。不完全是。

我真正在意的是一个更底层的问题：AI行业正在进入一个「你无法验证安全声明」的阶段。

以前，模型能力可以用公开benchmark衡量。你说你的模型好，跑个分就知道了。但Mythos的能力声明无法公开验证（因为漏洞未修补），安全评估的可靠性开始被质疑（因为连Anthropic自己都不确定），而商业动机和安全叙事高度重合（因为「太危险」既是风险也是卖点）。

这对AI行业的所有参与者——开发者、投资人、监管者、用户——都是一个根本性的挑战。你怎么判断一家公司说的「安全」是真的安全？你怎么区分真正的谨慎和精心包装的营销？

我没有答案。但我觉得，认真思考这些问题的人，比急着站队「Anthropic好棒」或「Anthropic在演戏」的人，对这个行业的理解会更深一层。

回到开头的故事。

2019年OpenAI说GPT-2太危险，很多人嘲笑他们在炒作。但七年后回头看，他们担心的事情——AI生成的垃圾信息淹没互联网——确实发生了。今天你在社交媒体上看到的内容，可能有超过一半是AI生成的。那些预言不是错了，而是来得比预想中更慢、更无声、更弥漫，慢到大多数人已经不觉得这是个问题了。

但AI行业有一个铁律：今天被秘密持有的核武器，明天不过是每个用户电脑里的日常工具。

GPT-2当年是「太危险不能发布」的禁忌之物。今天任何人花五分钟就能在笔记本电脑上跑一个比它强一百倍的模型。Mythos Preview今天是50家企业才能碰的受控项目。三年后？五年后？它的能力水平可能是每个开发者的标配。

这才是我觉得整个讨论里最缺乏的一层思考。

我们花了很多精力在争论Anthropic是不是在演戏、Mythos是不是真的那么强、「太危险」是安全考量还是营销策略。这些问题都值得问。但它们都是关于「现在」的问题。

真正重要的问题是关于「之后」的。

当每个前沿模型都能用两万美金算力找到操作系统的零日漏洞，网络安全的基本假设怎么重写？当AI的欺骗能力强到连制造它的人都不确定自己的测试还有没有用，我们用什么机制来建立信任？当「太危险」的模型每隔两年就变成「太普通」的模型，这个循环本身意味着什么？

这些问题没有人在认真回答。甚至没有多少人在认真提问。

90天后Glasswing的报告会告诉我们Mythos到底有多强。但它不会告诉我们，当这个级别的能力变成人人可用的基础设施之后，世界会变成什么样。

增长负责人首次公开复盘，有些做法完全反常识。

2025年初，Anthropic的ARR（年化经常性收入）大概是10亿美金。到2026年3月，这个数字变成了190亿。4月初的最新数据：300亿美金。

14个月，30倍。

在我的印象里，这个增长速度在商业史上没有先例：SaaS行业从来没有任何一家公司在这个收入量级上保持过这种增长率。

但更让我感兴趣的，不是数字本身。而是Anthropic的增长负责人Amol Avasare最近在Lenny's Podcast上的一句话：

「Claude在自己增长自己。」

这句话听起来像PR话术，但他用一整期播客解释了背后的机制。听完之后我觉得，这可能是过去十年最重要的增长方法论转变。

大部分增长团队的资源分配是：70%花在优化上——转化率优化、注册流程优化、定价页面A/B测试——确定性高，效果可测量。剩下30%才去押重注——比如做一个全新功能，或者进入一个新市场。

Anthropic反过来。70%资源押重注，30%做优化。

这在常规打法里是不可想象的。优化是确定的——你改一个按钮颜色，能精确测出转化率变了多少。押重注是不确定的——你可能花三个月做一个功能，结果完全没用。

但Avasare的逻辑是：当你的产品处于能力爆发期，优化的天花板很低。你把注册转化率从60%优化到65%，和你发布一个让用户「哇」的新功能相比，后者带来的增长是数量级的差别。

这个判断的前提是：你的产品确实在快速变强。

对大部分公司来说，产品能力的提升是线性的，甚至是对数的——边际改善越来越小。但对Anthropic来说，每一代模型的能力跃迁是真实的。在这个条件下，把资源压到「让用户体验到最新能力」上，比打磨漏斗有效得多。

Anthropic增长最快的方向是代码。Claude Code成了程序员的标配工具，这不需要多说。

但有一个飞轮效应被大多数人忽略了。

开发者用Claude写代码 → Anthropic从使用数据中学到什么样的代码任务最难、什么样的反馈最有价值 → 这些洞察反馈回模型训练 → 下一代模型的代码能力更强 → 更多开发者来用。

产品使用本身就是研究数据。

这不是一个比喻。Avasare明确说，AI coding这个方向不仅驱动了产品增长，同时加速了底层模型的研发。用户越多，模型进步越快，模型越好，用户越多。

这就是「Claude在自己增长自己」的真实含义。不是说Claude在自己跑广告，而是产品使用和模型改进形成了一个自增强的循环。

传统SaaS也有网络效应，但那是用户之间的网络效应（更多人用Slack → Slack对每个人更有用）。Anthropic的飞轮是用户和模型之间的网络效应——这是AI产品独有的增长机制。

我自己用Claude Code的体感也是这样。随着Claude Code的版本升级，这种「产品在变好」的体感，是最强的留存驱动力。

增长黑客的第一课是：消除注册摩擦。减少步骤，减少填写项，让用户尽快进入产品。

Anthropic不这么做。他们故意保留onboarding中的摩擦。

原因是：AI产品和传统SaaS有一个根本性的区别——激活（activation）的门槛更高。

你注册了一个传统SaaS，点几下就能看到它的价值。但你注册了Claude，如果不知道怎么用，你会觉得「就是个聊天机器人」，然后流失。

常规做法

100人轻松注册，10人真正理解产品价值。

ANTHROPIC

50人带着正确预期进来，30人成为深度用户。

我在之前做产品的时候也发现，降低注册门槛带来的用户，留存率往往很差。反而是那些愿意花时间了解产品的人，最终成为核心用户。

在AI产品里，激活是杠杆最高的增长问题。不是获客，不是转化，是激活——让用户真正理解这个工具能做什么，并且形成使用习惯。

还有一个细节让我印象深刻。

Anthropic内部有一个叫CASH的系统，用Claude自己来跑增长实验。自动生成假设、自动设计实验、自动分析结果。

这不是一个概念，是一个正在运行的系统。

用AI产品来做AI产品的增长——这件事在逻辑上很自洽，但在实操层面，我还没见过第二家公司这么做。大部分增长团队还在用Google Analytics+Mixpanel+人工分析的老一套。

这让我想到一个更大的趋势：AI公司是自己最好的客户。

Anthropic用Claude写代码、用Claude跑增长实验、用Claude做客服。这不是作秀，是因为它确实好用。而这种「dogfooding到极致」的状态，反过来又加速了产品改进。

增长的另一面是成本。

同一周，Stratechery的Ben Thompson报道了Anthropic和Google签了一笔大型TPU算力协议。Anthropic需要算力，Google有很多的算力——这是一个自然的联盟。

但这也意味着Anthropic的成本结构非常重。不像传统SaaS公司，收入增长直接变成利润。AI公司每增加一个用户，就需要更多的GPU/TPU来支撑推理。

300亿ARR很惊人，但Anthropic目前还在大幅亏损。

Latent Space本周报道这个数字的时候，用了一个很有意思的框架：Anthropic在OpenAI IPO前夕宣布这个数字，不是巧合。这是一场融资叙事的竞赛——谁的增长数字更漂亮，谁在下一轮融资和公开市场上的估值就更高。

所以300亿ARR既是真实的产品胜利，也是精心选择的时间窗口里的资本运作。两者不矛盾。

从这个增长故事里，我提炼出几个对创业者有实际参考价值的判断：

如果你的产品正在经历能力跃迁（不管是因为AI还是因为什么），把资源压到「让用户体验到最新能力」上，比反复调整注册流程和定价页面有效得多。这个窗口期不会永远存在。

传统SaaS的增长靠网络效应和销售效率。AI产品可以做到「使用数据反哺模型训练」，形成产品-研发的双螺旋。如果你在做AI产品，你应该从第一天就想清楚这个循环怎么建。

大部分AI产品的真正瓶颈不是「没人知道」，而是「知道了不会用」。如果你的AI产品留存率低，大概率不是产品不好，是你没帮用户跨过从「注册」到「真正理解产品能做什么」的那道坎。

AI让工程师的产出暴增，但「做什么」的问题没有变简单。未来可能需要更多PM来定义方向，而不是更多工程师来执行。这对所有科技公司的组织架构都有影响。

如果你做AI产品，但你自己的团队还在用传统工具做增长、做分析、做客服——你没有在认真对待自己的产品。Anthropic用CASH系统做增长实验，不是因为酷，是因为比人工快10倍。

核心结论

最后

14个月30倍的增长，是很多因素的叠加：模型能力的真实跃迁、代码飞轮的自增强效应、反直觉的增长策略、以及一个恰好处于爆发期的市场。

这些因素里，有些是Anthropic独有的（比如自研模型），有些是任何AI创业者都可以借鉴的（比如70/30法则、让用户真正学会用产品、产品dogfooding）。

但最让我在意的是那个飞轮。

当产品使用本身成为研发数据，增长和研发就不再是两个独立的函数——它们变成了一个自增强的系统。这是AI产品和所有之前软件产品的根本区别。理解这一点的创业者，会比不理解的人多一个数量级的优势。

一份迟来的中美算力全景，和一个正在失真的统计框架

每天都有人讨论中美AI竞争，但有一个最基础的问题一直没有靠谱答案：

双方到底各有多少算力？

算力是AI的基础设施，就像电力之于工业革命。连双方各有多少「电」都不知道，所有关于竞争格局的判断都是在猜。

最近终于有了一些可信的数据。Epoch AI估算了全球总量，ChinaTalk用自下而上的方法拆解了中国的份额。拼在一起，我们第一次能看到一张相对完整的算力全景。

美国的算力相对好算，因为数据链条的每一环都有公开来源。

Epoch AI估算全球累计约2000万H100等效算力（H100e）。美国占60-70%，大约1200-1400万H100e。

为什么这么确定？因为美国的AI算力主要集中在上市公司手里。

Google、Meta、Microsoft、Amazon、Oracle——这些hyperscaler每季度财报都会披露资本支出。NVIDIA是美国上市公司，芯片出货量和营收按区域公开。把hyperscaler的capex、NVIDIA的销售数据、加上AMD和Google TPU的份额，就能拼出一个相当准确的画面。

仅Google一家就拥有约500万H100e。Meta、Microsoft、Amazon各自也在百万级别。

这不是说美国的数字完全精确——公司不会公布每块GPU的部署位置。但数量级是清楚的，误差在可控范围内。

中国这边计算起来就困难多了。

ChinaTalk的Aqib Zakaria和Nick Corvino分别从供应侧和需求侧估算。Aqib用「自下而上」的供应侧方法，逐渠道拆解。结论：约280万H100e，占全球12.5%。90%置信区间是180万到480万——不确定性高达2.7倍。

280万从四个渠道来：

出口管制收紧前后通过正规渠道购买的A100、H800、H20等。其中H20是为满足出口限制设计的「受限版」，换算值偏低，但实际推理性能可能比数字显示的更强。

非官方渠道流入的算力，可能跟合法采购差不多多。合法窗口越窄，价差越高，市场自己会找到出路。

最大单一来源。华为Ascend占约70万，其余分散在寒武纪、摩尔线程、平头哥、昆仑芯等厂商。但标称性能和实际交付性能之间可能有显著差距，缺乏独立验证。

最大也最模糊的一块。大厂通过海外数据中心和云服务获取的算力。

为什么这么难算？因为四个渠道里有三个缺乏公开、可审计的数据。美国的透明度来自上市公司的信息披露制度，中国的不透明不是刻意隐藏，而是数据链条里太多环节本身就没有公开来源。

但我自己做AI产品的经验让我对这个数字有一个额外的质疑：大量中国创业者和一人公司在直接调用海外云算力。有的通过海外注册的公司使用AWS、GCP，有的干脆就用个人账号。这部分算力不在任何「中国算力」的统计里——那103万的「海外远程访问」主要统计的是字节、腾讯、阿里等大厂的已知海外集群，不包括这些分散的个体行为。

我身边做AI的朋友，至少一半在用海外云。这不是大厂行为，是千千万万小团队的日常。这些算力加起来有多少？没人知道。但它让我怀疑：「国家算力」这个统计框架本身正在失真。

一个在深圳写代码的创业者，通过新加坡注册的公司，调用美国的GPU集群，跑中国团队训练的开源模型——这个算力属于哪个国家？

但即便把这些考虑进去，数量级的差距仍然是真实的。

美国1200-1400万，中国180-480万（可能更高，但仍然相差一个数量级）。

这个差距不只是一个数字，它塑造了两个完全不同的AI生态。

当你的算力是别人的十分之一，你不会选择跟对方做同样的事。你会被迫找到效率更高的路。

美国

算力充足，闭源优先，大模型持续扩参数

中国

算力受限，效率优先，开源+蒸馏+极致推理

效率优先——DeepSeek的MoE架构、蒸馏技术、推理侧的极致压缩，都不是偶然的技术选择，是算力约束下的必然结果。用更少的计算做更多的事，不是美德，是生存策略。

开源优先——当算力有限，你不会把它浪费在调用昂贵的闭源API上。你会想办法在自己的硬件上跑开源模型。这也是为什么Qwen、DeepSeek等开源模型在中国的生态位比在美国更高。

海外获取——103万H100e通过海外数据中心获取，这是最大的单一来源。再加上统计之外的创业者个体行为，说明中国AI生态已经不是一个封闭系统。

约束催生创新。10:1的差距是劣势，但也是中国AI生态独特竞争力的来源。

有人会问：这个差距未来会缩小吗？

短期内很难。原因在供给侧的每一个环节。

全球市场份额2024年达到87%的峰值，2026年预计降到约75%。份额在降，但绝对营收还在涨——2026财年营收2159亿美元，同比增长65%。88%的毛利率让它有碾压性的研发和产能锁定优势。

护城河不只是芯片，是CUDA生态。20年积累，400万开发者，这不是短期能替代的。

但垄断在松动。AMD跟Meta签了600亿美元/5年的定制芯片大单，为Llama模型专门定制硅片。Google、AWS、Microsoft也在自研芯片减少依赖。行业从训练转向推理，推理对CUDA的依赖度更低，给替代方案打开了窗口。

三年路线图很清晰：2026年Ascend 950，2027年Ascend 960，2028年Ascend 970。2026年目标生产60万片Ascend 910C。

策略不是在单芯片上硬拼NVIDIA——制造工艺差两代（SMIC增强7nm vs TSMC 4nm），单芯片性能差距显著。走的是「堆量+互联」路线：用更多芯片加上自研UnifiedBus互联协议，把15,488片芯片串联成超级集群。官方宣称整体算力倍数级领先同代NVIDIA集群——但这个数字需要独立验证。

寒武纪4434亿元市值，2025年首次年度盈利；摩尔线程2682亿元市值，营收增长243%，创始人是前NVIDIA中国区总经理；沐曦、壁仞也都已上市。

但整体渗透率说明了真实状态：国产GPU渗透率含华为约15%，不含华为仅约3%。NVIDIA在中国的份额从95%跌到约8%，腾出的空间还远没有被填满。

行业共识：中国不会出现一个「中国版NVIDIA」来统一市场，而是形成多厂商各占一块的丛林生态——华为做大型基础设施，寒武纪做政府项目，摩尔线程做通用GPU，燧原做互联网大厂，各有各的领地。

格局远未定型。但10:1的算力差距，短期内不会因为国产芯片的发展而根本改变。

回到最初的问题：中美到底有多少AI算力？

美国约1200-1400万H100e，中国约280万（上下浮动）。相差一个数量级。

这个差距是真实的，短期不会消失。但它不是故事的全部。

核心判断

算力差距下的三条出路

效率算力约束逼出了效率优先的技术路线。DeepSeek、蒸馏、推理压缩——用更少的计算做更多的事

开源算力有限不能浪费在闭源API上。自己的硬件跑开源模型，这是Qwen和DeepSeek在中国生态位更高的底层原因

无国界算力的获取方式正在全球化。「国家算力」框架正在失真，AI竞争的单位不再是国家，是团队

AI竞争的赢家不是算力最多的一方，而是单位算力产出最高的一方。当你只有对方十分之一的电，你会学会用每一度电做更多的事。这可能才是中国AI最值得关注的故事。