AI 热潮、战争与安全漏洞：世界真的坏掉了，还是只是正在重组？

2026年4月13日 • 4 min read

几周前，我在另一篇文章里写过，世界变化的速度比大多数人想象得更快。今天，我想把这个判断说得更直接一点。

在和客户、团队的交流里，同一个问题反复出现：这里面到底有多少是真正的进步，又有多少只是包装得很好的噪音？如果你从 2026 年初开始持续看新闻，很容易产生一种感觉：一切都在同时移动。OpenAI、Google、Anthropic 和 xAI 在公开竞速。人形机器人正从演示走向工厂。战争和地缘政治压力开始影响芯片和气体的供应链。与此同时，新的安全漏洞几乎每天都在出现，而每一个新工具带来的不只是更高的效率，还有更多权限、更多数据流和更大的攻击面。

对于那些负责搭建安全基础设施、并确保员工在越来越不确定的数字世界里仍然能够工作的从业者来说，这根本不像普通的科技新闻。这更像是时间被压缩了。问题也不再只是哪个模型跑分更高。真正的问题是：世界真的坏掉了吗，还是我们正在目睹一次全面重组的开端？

我现在的答案很简单：世界并没有突然坏掉。但它正在以一种很多人无法在心理、经济和安全层面及时消化的速度与强度，被重新排列。

简单来说：

我们现在看到的，与其说是世界末日，不如说是权力、基础设施和信任的一次仓促重构。
安全仍然是底层，因为把 AI 叠加在不安全的系统上，通常意味着更快的错误和更大的损害。
真正重要的问题不只是哪个模型领先，而是谁在掌控芯片、算力、平台、数据与供应链。

真正在加速的是什么

这里关键的不是某一次模型发布，而是五种力量正在同时起作用：

巨量资本
稀缺的算力资源
地缘政治的权力博弈
媒体关注作为战略杠杆
软件从来没有真正完成、也从来没有真正安全的技术现实

当这五件事一起移动时，就会产生一种持续加速的感觉。2026 年的样子正是如此。OpenAI 在 2026 年 3 月 31 日完成了又一轮巨额融资。Anthropic 则在 2026 年 2 月 12 日公布了自己的 Series G。xAI 在 1 月初筹到了新资本。至于 Google，甚至连戏剧化的融资新闻都不需要，因为它可以通过广告、云、硬件和既有市场力量来补贴自己的 AI 推进。它们早已不再只是普通的软件新闻，而是围绕基础设施展开争夺的信号。

这正是我眼中 hype 和 structure 的分界线。Hype 很吵。Structure 会留下来。真正重要的，不只是哪个玩家的演示更惊艳，而是谁能同时掌控模型、算力、分发、硬件和信任。

谁在玩什么游戏

如果冷静地看这些大型 AI 玩家，就会发现他们并没有在玩同一场游戏。而这种差异，正是这个市场从安全角度看如此值得关注的原因。

OpenAI

OpenAI 占据了分发入口。很多人不会说“我在用 LLM”，他们只会说“我在用 ChatGPT”。借助“unified AI superapp”这个概念，以及由 Codex、连接器、文件库、deep research 和其他相关功能构成的愈发密集的产品层，OpenAI 正在试图从 consumer 端一路进入日常工作场景。从安全角度看，这很重要，因为一个聊天窗口很快就会变成身份、会话、文件、插件和 agent 权限的集中点。

Anthropic

Anthropic 更明显地在打企业信任、开发者亲近度和安全叙事这张牌。Claude Code、Computer Use、Cowork 以及对更可控工作模式的强调，让 Claude 看起来更像一个“信任型产品”，而不是单纯的“大众产品”。在我看来，Anthropic 卖的不只是模型性能，还在卖一种叙事：企业可以放心地让 Claude 靠近源代码、工作流和敏感决策空间。关于 Mythos 和 Project Glasswing，我已经在另一篇文章里做过更详细的分析。

Google

Google 打的是最宽、也可能最耐打的一场仗。从 Gemini 这一侧，你可以看到一个从 Workspace 延伸到 Pixel、再到 DeepMind 的完整产品大陆。借助 Google Vids，AI 正在被放进日常工作界面，而不只是当作一个炫目的演示。与此同时，Google 还是少数几个能更大程度控制自身算力命运的玩家之一，因为它拥有第七代 TPU，也就是 Ironwood。也正因为这样，我依然认为 Google 是这场竞赛里最容易被低估的玩家。

xAI

xAI 看起来更安静，但绝不算小。通过 Colossus、Grok Business、Grok Enterprise，以及如今已经官方化的 SpaceX 关联，xAI 也在非常认真地占据基础设施和商业层。

我在这里最感兴趣的，并不只是模型本身，而是背后的 datacenter thesis。xAI 把 Colossus 描述为一种 gigafactory of compute：122 天建成，随后又在 92 天内扩展到 20 万块 GPU，并且还规划了更大的容量路线图。这在我看来，与其说像传统软件发布，不如说更像在极早阶段就试图把一个战略性瓶颈直接纳入控制。

从市场观察的角度看，这让我想起 Musk 系公司过去反复出现的一种模式。Tesla 在很多竞争对手还没有真正意识到充电基础设施战略价值时，就已经提前铺设了 Supercharger 网络。后来，Tesla 又通过德州的锂精炼厂，进一步向电池价值链的上游推进。xAI 看起来也在算力侧做类似的事情：不仅训练模型，也尽可能提早塑造这些模型赖以存在的稀缺基础设施。当竞争对手意识到这一层的重要性时，优势往往已经不只体现在技术上，也体现在已经过去的时间上。

这并不会自动让 xAI 变得更好。但它确实让这家公司在战略上比很多人想象得更灵活。

Apple

在这幅图景里，Apple 更像一个症状，而不是驱动者。Apple 将在新的 Siri 堆栈中使用 Google 的 Gemini，这件事已经非常清楚地说明：再强的平台控制力，也不等于模型领先地位。对用户和安全团队来说，这并没有让事情变得更简单。on-device 承诺、private cloud compute 叙事以及外部模型内核混在一起越多，数据、上下文、日志和决策到底落到哪里，就越不清楚。

为什么 Anthropic 总在头条里

如果把 Anthropic 周围最近四个月压缩来看，会得到一条异常密集的新闻流：Claude Opus 4.6、Claude Sonnet 4.6、Series G、收购 Vercept、新的合作、Anthropic Institute、给 Claude Partner Network 的 1 亿美元、Fortune 的 Mythos 泄露、Bloomberg 的 Claude Code 泄露、IPO 传闻，以及 4 月 7 日的 Project Glasswing。

这并不能自动证明存在某种隐秘的 PR 编排。但它确实说明，Anthropic 在 2026 年是如何持续地把可见度转化成市场位置的。对于一家同时在卖信任、企业可用性和潜在 IPO 预期的公司来说，可见度并不是副产品，而是游戏的一部分。

人形机器人已经不再只是脚注

当 Anthropic、OpenAI 和 Google 这样的公司围绕模型、头条和软件工作流展开竞争时，同样的能力也在进入物理世界。而这件事仍然被低估，因为很多人想到 AI 时，首先想到的还是聊天窗口、图片生成器和编程助手。

Google DeepMind 现在已经把 Gemini、Veo、Imagen、Lyria 和 Gemini Robotics 并列展示。与此同时，Boston Dynamics 和 Google DeepMind 也在 2026 年 1 月宣布了围绕 Atlas 和 Gemini Robotics 的合作。这不只是某次科技展会上的漂亮时刻。它说明 foundation models 的逻辑正在逐步离开浏览器，进入物理系统。

我们当然还没有进入明天早上就到处站着人形机器人的世界。但我们已经明显处在一个阶段：工厂在测试，研究与硬件在靠近，机器人技术也不再脱离 AI 被想象。谁如果谈论未来工作，却只想到办公软件，那就看得太窄了。

安全仍然是最真实的底层

在整个讨论里，最让我在意的，不只是模型竞赛本身，而是这一切对安全意味着什么。这里快速看一眼 Maslow 金字塔会有帮助。安全在那里面的位置非常靠下，通常是倒数第二层。这恰恰是重点：安全不是一个可以在后面再加上的奢侈功能。它是让上层一切能够稳定运行的前提。这对人类成立，对数字基础设施同样成立。

在我的日常工作里，安全从来不意味着完美安全。它更意味着这些事：

理解风险
缩小攻击面
预先考虑失败模式
限制损失
让人保持可工作的状态

我们追求尽可能高的安全水平，同时也知道没有什么会真正绝对安全。也正因为这样，2026 才显得格外不舒服。变化的速度，比我们跟上的能力涨得更快。我们没有足够多的优秀开发者，也没有足够多的优秀安全人员，更没有足够的能力去认真审查那座持续增长的代码山，而现在写代码的不只是人，还有模型。互联网从来没有完全安全过。新的地方在于，不安全如今扩张得有多快。

互联网之所以更不安全，是因为 exploit 速度在上升

我并不认为 2026 突然变得更不安全，是因为人类忘了怎么写软件。我更倾向于认为，是更多的软件、更多的自动化、更多的依赖、更多的供应链环节，以及更强的模型，让我们终于看清这一切原本就有多脆弱。

当 Anthropic 在 Mythos 的测试中挖出那些在系统里躲了 16 年、27 年的 bug 时，那不是什么猎奇边角故事。那是在提醒我们：数字系统里塞满了历史债务、隐含假设和老旧层级，而现在几乎没有人真正理解这些东西。也正因为如此，对我来说，一条老的运营规则仍然很重要：

我宁愿用少数几个真正好的工具，也不想用一堆中等水平的工具。

每多一个工具，就会多出：

新的 token
新的 secret
新的浏览器会话
新的 library
新的 plugin
新的更新链路
新的权限

以及随之而来的更多出错方式。

在一个模型可以比过去更快地阅读、组合、排序，甚至有时 exploit 的世界里，stack minimization 再次变得重要。不是因为极简主义听起来优雅，而是因为复杂性会制造非常真实的安全成本。

现在最大的，是一个“真假”问题

现在几乎比传统漏洞更让我担心的，是认识论层面的问题：到底什么还是真的？过去，一张图片至少还能在一定程度上当作证据。视频更是如此。

而今天，我们生活在这样一个世界里：

合成图片几分钟内就能生成
声音可以被高度逼真地克隆
视频可以被极具说服力地伪造
数千个 SEO 子页面可以自动生成
整片意见空间可以被人工填满

对于安全来说，这是一个根本性变化。安全不再只意味着：

我的 endpoint 干净吗？
我的 password 足够强吗？
我的 network 做了分段吗？

它还意味着：

我还能信这个来源吗？
我能识别被操控过的证据吗？
我能基于真实信号作出判断吗？
incident 期间还有哪些渠道是可信的？

这已经不再是一个学术问题。如果企业越来越依赖 AI agents、自动化通信和 synthetic content，那么问题的中心就会从“保护系统”转向“保护系统、身份、决策，以及对现实的认知”。

信任本身正在变成攻击面

另一个仍然被讨论得不够多的问题是：今天的信任，已经不仅仅是密码学和干净网络规则的问题。它已经变成了平台问题、供应商问题，在某种程度上也是国家问题。

Signal 的 Meredith Whittaker 在 2026 年 1 月的 Bloomberg 采访里把这一点说得很清楚。她的核心意思是，AI agents 对安全应用来说“pretty perilous”，因为它们为了完成工作，需要深度权限、广泛的数据访问，而且往往需要系统级别的内容可见性。这也正是它在安全上如此重要的原因。即使加密在数学上依然坚固，一旦操作系统、agent 或周边平台已经能看到明文，它在现实中的价值就会下降。

从这个角度看，agent 绝不是“会点几下的 chatbot”。它更像是企业内部一个可编程的新员工。它读取邮件、查看文档、打开浏览器会话、调用 API、知道日历、使用 token、发起 workflow，甚至可以写代码或 ticket。如果这样的 agent 被入侵、被错误委派，或者只是拿到了过多权限，那么攻击者就不再站在门外，而是已经进入了流程内部。

然后还有政治层面。Apple 在英国因 backdoor 相关压力而不得不撤回更强的 iCloud 加密时，那并不只是一个隐私新闻。那是在提醒我们：安全承诺始终也依赖于权力关系。而当 Apple 同时又要依赖 Google Gemini 来支撑 Siri 时，图景就更清楚了：今天的信任站在依赖链上，而不是只站在一个产品名上。

地缘政治再次直接变成基础设施

当前最残酷的一点，是地缘政治事件再次如此直接地作用到技术现实上。Helium 就是一个典型例子。

2026 年 3 月 12 日，Tom’s Hardware 报道说，卡塔尔 Ras Laffan complex 的 helium production 在伊朗 drone attack 之后受到影响。根据报道，这个站点在 3 月 2 日离线，并一度让全球大约 30% 的 helium supply 从市场中消失。这正说明了战争、化学、半导体制造和 AI 基础设施之间的那根线，已经变得多么脆弱。

简单粗暴地说，就是：

drone strike -> helium shortage -> 芯片生产受压 -> AI 硬件缓冲变少 -> 本就过热的 compute world 压力更大

当关键工艺气体开始短缺时，我们谈的不是抽象的宏观故事，而是一个真实世界里的瓶颈，而且这个世界在同一时间对芯片的需求还在继续增加。这并不是把整个故事简化成某一台 ASML machine “需要 helium”。它讲的是整条链路：光刻、冷却、工艺环境、fab、封装、出口管制、电力和数据中心。AI 看上去是数字的，但它依赖的是非常物理的东西。

这也是我认为必须停止把 AI 只看成 app story 或 model story 的最强理由之一。今天的 AI 同时也是：

能源政策
供应链
芯片制造
云容量
外交政策
工业战略

中国正在建设的，不只是模型，而是主权

很多西方观察者把 DeepSeek moment 主要读成一个市场和媒体事件。但我认为，更重要的层面在更深的地方。

Reuters 在 2026 年 2 月底报道，DeepSeek 并没有把即将发布的 V4 model 交给美国 chipmaker 做优化，而是提前分享给了华为这样的本土伙伴。与此同时，越来越多的报道表明，Huawei 正在通过新的 Ascend 和 Atlas 系统，认真地在模型层之下构建一个本土 stack。最终这些性能承诺是否全部兑现，其实几乎是第二位的问题。方向已经非常清楚：中国不只想要模型。中国想要自己的 stack。

这也正是未来几年如此值得关注的原因。真正的战场不在 chatbot 之间，而在 infrastructure bloc 之间。

欧洲面临的是“更多旁观、少些建设”的风险

欧洲依然拥有优秀的研究、优秀的大学、优秀的工业，以及相对理性的监管传统。但如果我说实话，现在的欧洲有点像“大陆里的 Apple”：

在 ambition 上很强
在 design、ethics 和 rules 上很强
在 models、chips 和 platform power 上更弱

这个说法是故意有一点锋利的，但我认为方向是现实的。当美国在推动 models、cloud、chips 和 capital，中国在推动 sovereignty 和 domestic stack 时，欧洲面临的风险是花很多时间评论、监管，然后去消费别处建好的产品。从安全角度看，这并不是小问题，因为依赖始终也是安全问题。

hype 与恐惧之间，往往藏着利益

媒体生态本身如今已经成了系统的一部分。在美国，AI 常常被用一种几乎带有宗教感的未来语调来兜售。这并不奇怪。因为这波浪潮里很多最大的受益者就在那里：model vendor、cloud platform、chip designer、venture capital、public market、defence buyer 和 enterprise customer。

在欧洲，讨论通常听起来不一样：更多关于失业的担忧、更多监管焦虑、更多关于依赖和失速的警告。这同样不奇怪，因为欧洲在很多底层平台层里的 upside 更小，而 dependency 更大。

我认为这两种反应，一旦变得过于简单，都会变得危险。naive hype 会忽视损害、权力集中和安全风险。pure fear 会忽视工具、生产力，以及终于去建设那些过去一直没有足够时间去做好系统的机会。所以我总是回到那条更难走的 middle path：保持兴趣，但不要天真；指出风险，但不要僵住；并且在每一个大 headline 背后问自己，这个故事是谁在讲，又是为了谁的利益。

那么，世界真的坏掉了吗？

我的答案是否定的。但它正在剧烈移动。那种“一切都在同时发生”的感觉，正在给很多人带来过载。

我们同时经历着：

AI 热潮
真实的模型进步
过热的资本
安全问题
地缘政治
对媒体内容信任的下降
机器人技术的推进
一个越来越难以分清 substance 和 show 的公共空间

这已经非常多了，尤其是当一个人同时还要维持普通生活、工作、家庭、公司，或者承担基础设施责任的时候。尽管如此，我依然认为，把这个阶段只读成一场崩塌故事是危险的，因为那会遮住真正要做的事情。问题不是如何阻止变化。问题是：

我真正愿意信任哪些系统？
我应该减少哪些依赖？
我真正需要哪些工具？
哪些安全基础必须变得更硬？
在一个速度和欺骗同时上升的世界里，我如何保持决策能力？

企业现在必须加固什么

如果把这一切落回到实际工作里，答案会变得出乎意料地不那么 glamorous。重点不是往每个团队里再丢五个 AI 工具，然后希望未来自动出现。重点是比以前更有意识地把几件事真正做好。

不要让 AI agents 跑在普通用户账号下面。给它们独立身份、收紧的 scope、短生命周期 token，以及在邮件、代码部署、管理变更和支付上的清晰 approval boundary。
简化工具版图，而不是每周再接入一个 SaaS。每一个新的 AI app 都会带来更多会话、浏览器扩展、plugin、secret、log 和 vendor dependency。
把 agent 也像用户一样认真记录下来。重要的是 tool call、file access、approval、outgoing connection、ticket 或 code 的变更，以及从 prompt 到 action 的过渡。
为 synthetic content 建立 verification playbook。支付批准、HR 指令、管理请求和 incident communication 都应该经过第二条渠道确认。
把 patching 和 exposure management 当成更接近 real time 的事情，尤其是浏览器、身份系统、VPN、防火墙、协作工具和面向互联网的服务。
把 recovery 练到一种程度：就算 model、connector 或 vendor 明天出故障，你也还能应对。这意味着导出路径、备用沟通渠道和给 agent 准备好的 kill switch。
对关键供应商提出更强硬的问题。数据、日志、prompt、memory、key、training opt-out 和 forensic option 到底在哪里？

这些话听起来远没有 Mythos、Gemini、ChatGPT 或 Grok 那么耀眼。但真正的分界线恰恰在这里：一家企业到底会把下一波浪潮当成工具来用，还是会被自己的复杂性压垮。世界并没有简单地结束。它正在变得更硬、更密、更快。现在把地基打牢的人，之后才真正还有自由去受益于 AI。

下次见，
Joe