从 PRISM 到 Prompts:新的 AI 依赖
目录
其实距离 PRISM 震动世界并没有过去太久。Edward Snowden 在 2013 年展示了互联网已经多么集中化:当电子邮件、聊天、文件、照片和联系人都存放在少数大型平台上时,这些平台就会变成战略性的入口。
今天的情况有些奇怪地反过来了。没有人需要强迫我们把上下文放进中心化系统。我们自愿这样做,因为它有用。我们让 AI 改写一封难写的邮件,总结会议记录,解释内部文档,审查代码,或者组织一份演示文稿的结构。
这并不愚蠢。它确实有效。也正因为如此,它才如此强大。
新的 AI 依赖不是由强迫产生的,而是由便利产生的。
从 PRISM 到 Prompt
必须准确理解 PRISM。它并不只是“NSA 笼统地读取所有人的一切”。官方报告描述的是 Section 702 框架下的一套机制:美国服务商必须根据法律指令,提供与特定选择器相关的数据。即便如此,当时的政治震动仍然是合理的。关键不只是具体的法律依据。关键是:我们愿意想象成自由、分布式的互联网,在实践中其实可以从少数位置被很好地接入和抽取。
今天,我们自愿把许多这类数据交给更深入介入我们工作的系统。
这已经不只是把一段文字复制到输入框里。新的阶段是连接器和代理。ChatGPT 可以连接应用和自有的 MCP 集成。Microsoft 365 Copilot 从 Microsoft Graph 和外部来源获取上下文,可以是已索引的内容,也可以通过连接器实时获取。Claude 提供 Google Drive、Gmail、GitHub、Slack 和 Microsoft 365 集成。Gemini 直接嵌入 Gmail、Docs、Drive、Sheets、Slides 和 Meet。GitHub Copilot 可以把代码库作为上下文,帮助人更快理解它。
许多服务商现在已经在 Business 和 Enterprise 产品中明确写明,客户数据默认不会用于 Foundation Model 的训练。这很重要,而且公平地说,它确实不同于很多直觉上的担忧。
但即使这些承诺都成立,结构性问题仍然存在:访问、上下文整理、权限评估、UI、编排和计费,又一次通过少数平台运行。
我们交出去的不只是数据。我们正在习惯于让工作穿过这些平台才发生。
新依赖的名字叫便利
这种依赖不是从天而降的。我们已经和它共同生活很久了。
在桌面端,Windows 几十年来一直具有塑造力;macOS 尤其在创意、私人和开发者环境中扮演重要角色;在智能手机上,Android 和 iOS 几乎共同定义了日常生活。在云端,AWS、Microsoft Azure 和 Google Cloud 主导了大部分基础设施。除此之外,还有 Office 套件、App Store、身份系统、浏览器、搜索引擎、Git 平台和广告网络。
我说这些并不是反美。许多产品都很强、很稳定,也做得很好。是的,我现在住在 Dubai,也在美国生活过一段时间,现在也经常在亚洲和中东活动。但我的人生很大一部分在欧洲,我的根仍然是欧洲的。也正因为我认为自己非常开放,这种技术上的单边依赖才让我不舒服。
当操作系统、云、生产力套件和 AI 助手都来自同一个地缘政治空间时,这就不只是采购问题了。这是数字主权。
美国当前的政治局势也让我感到不安。不是因为政府和企业之间的每一次会面都有问题;大型企业总是会和政府交流。让我不舒服的是,当越来越威权化的政治语气遇上高度集中的技术基础设施:当总统让大型科技公司的 CEO 公开出场,要求投资承诺,并把出口管制、关税、签证、能源和监管紧密捆在一起时,技术集中就会变成政治运营风险。我不希望企业数据位于一种不仅在商业上、而且在政治上都可以被如此直接施压的基础设施中。
这个想法并不全新。Lord Palmerston 在 1848 年的英国下议院说过:
We have no eternal allies, and we have no perpetual enemies. Our interests are eternal and perpetual.
今天,这句话常被简化为国家没有朋友,只有利益。你不必犬儒地喜欢这句话,但应该从技术上认真对待它。云和 AI 基础设施并不在政治之外。它们位于某些国家之内,受法律约束,需要能源、芯片、出口许可、签证、资本市场和政府关系。
这不只发生在美国。根据媒体报道,United Kingdom 在 2025 年曾让 Apple 面对一份 Technical Capability Notice,目标是访问加密的 iCloud 数据。Apple 随后在 UK 对新用户撤回 Advanced Data Protection,而不是为这个产品建立后门。要点正在这里:即使服务商构建了技术上很好的保护机制,国家也可能试图从政治或法律层面打破它们。
在美国,自 2001 年 Patriot Act 以来,本来就有一套安全框架,在 9/11 后明显扩大了国家权力。CLOUD Act 在 2018 年加入,规定了在特定条件下,如何要求服务商提供电子数据,即使这些数据跨越国界。这并不意味着每个服务商都是坏的,或者每个机构随时都会读取一切。但它意味着:作为客户,我们往往无法完全知道 Prompts、被调取的文档、连接器元数据、日志、支持访问或法律披露请求到底发生了什么。
AI 会让这种局面更尖锐,因为它扮演的角色不同于早期软件。操作系统启动程序。云托管工作负载。Office 套件保存文档。但 AI 助手站在我和我的工作之间。它会表述、排序、总结、建议代码、整理信息,并参与决定我看到什么才算相关。
于是依赖变得更亲密。过去,平台是数据所在的地方。今天,它越来越成为工作被思考的地方。
美国、中国与欧洲困境
在 AI 竞赛中,这一点现在非常清楚。美国和中国正在进行真正的竞赛:模型、芯片、云容量、机器人、研究、资本和国家产业政策。Stanford AI Index 描述说,美国与中国顶尖模型之间的性能差距实际上已经闭合。
我相信,AI 作为基础设施会像电网一样重要。不是因为每个聊天窗口都会改变世界,而是因为其下方正在建设下一层基础:数据中心、芯片、数据线路、能源合同、模型平台、机器人技术栈、自动驾驶车辆和工业自动化。这种基础设施现在形成,并且不会只停留几个季度,而会持续数十年。今天控制平台、芯片、标准和运营模型的人,也就控制了未来几年经济、行政、出行和生产如何运作的一部分。
所以这场竞赛不只是围绕更好聊天机器人的炒作。AI、芯片、自动驾驶汽车和机器人会在接下来几年持续改变世界。也许不会像投资者演示文稿里听起来那么顺滑。但它足够深,以至于把它当作另一个软件话题来处理是轻率的。
欧洲与此同时往往首先看监管、委员会、资助计划和原则。这并不全错。规则和基本权利很重要。但如果最终模型、芯片、云和平台都在别处制造,欧洲仍然依赖别人。那时你也许拥有最好的法规,却没有产品。
ASML 是这里最大的欧洲例外,同时也是这个例外边界的完美例子。没有荷兰的光刻机,许多最先进的芯片根本不会存在。但即便 ASML 也依赖全球供应链、出口许可和地缘政治半导体规则。欧洲最强的芯片明珠很重要,但并没有摆脱他人划出的权力线。
汽车产业在我看来不是旁枝末节,而是一种警示。欧洲几十年来拥有出色的工程能力、品牌和供应商。但在电池、软件、垂直整合和价格速度上,Tesla 与 BYD 已经展示了缓慢反应的危险。如果欧洲以类似方式面对 AI,也就是长期讨论、迟迟交付,然后对平庸产品感到惊讶,那么它不只是落后几年。它会结构性地依赖别人。
从安全角度看 AI 连接器
从安全角度看,AI 连接器并不只是便利功能。它们是新的集成点,可以访问数据、身份,有时甚至拥有写入权限。一个可以搜索 SharePoint、Gmail、Slack、Teams、GitHub、Jira 或 CRM 的助手很实用。但它也因此成为权限模型中的新一层。
对管理员和 MSP 来说,这正是事情变得严肃的地方。一个设置错误的 OAuth Scope,一个过宽的 Graph Connector,一个在工单系统中拥有写入权限的代理,或者一个把不同安全区域内部文档汇总在一起的 Copilot,都不是小小的 UI 细节。它可能是数据外泄、新的审计主题,最坏情况下还是攻击路径。
Prompt Injection 有时听起来像玩具问题,但当模型读取外部内容并从中推导行动时,它会变得很棘手。一个被精心准备的文档、工单、网页或邮件,可能试图影响助手。这不等同于经典漏洞利用,但在工具、连接器和代理的世界中,它会变得与运营有关。
过去我们问:哪条防火墙规则允许了这段流量?今天还必须问:哪个助手可以看到哪些数据,以哪个身份,使用哪些工具,在哪个 Tenant,带着怎样的日志,以及具备多大能力去修改东西?
因此,AI 不只属于创新会议,也属于 IAM、DLP、CASB、SIEM、变更管理和防火墙策略。
由此得到什么
对我来说,这并不意味着要禁止 AI,或者一概避开中心化平台。那不现实,也并不特别聪明。但我们不应再把 AI 连接器当作无害的浏览器扩展。给助手访问邮件、文档、工单、代码仓库和内部聊天的权限,就是在改变自己的安全架构。
因此,更重要的问题不只是:哪个模型最好?还包括:它在哪里运行,处于哪个司法辖区,使用哪些数据,拥有哪些权限,有怎样的日志,以及以后能否再次更换提供商?
也许这正是数字主权最清醒的形式:不是想把一切都自己建造,而是有意识地设计依赖。有些任务可以放心地在大型平台中运行。另一些则应更接近自己的数据,位于自己的 Tenant、本地模型,或至少处在一个保持可替换的运营模型中。
另一条方向
反过来的问题是:每一项 AI 工作都必须集中运行吗?
并不总是如此。我们身边闲置的计算能力这篇文章讨论的是另一面:闲置算力、本地模型、去中心化存储和计算网络,以及 Compute Smart Grid 的想法。
我不认为中心化 AI 平台会消失。它们太有用,集成得太好,而且对许多任务来说确实高效。但我认为,我们必须更有意识地决定,哪些工作真的应该在那里运行,哪些工作可以更靠近自己的数据,留在自己的 Tenant、自己的国家,或至少留在一个可替换的运营模型中。
数字主权并不意味着一切都自己建造。但它意味着,不要把自己工作的每一层都固定在同样少数的平台上。
下次见,
Joe
来源
- PCLOB: Report on the Surveillance Program Operated Pursuant to Section 702
- OpenAI: Apps in ChatGPT
- OpenAI: Business data privacy, security, and compliance
- Microsoft Learn: Microsoft 365 Copilot connectors overview
- Microsoft Learn: Data, privacy, and security for Microsoft 365 Copilot
- Google Help: How Gemini in Workspace protects your data
- Claude Docs: Connectors overview
- GitHub Docs: Using GitHub Copilot to explore a codebase
- UK Parliament Hansard: Lord Palmerston speech, 1 March 1848
- AP News: Trump hosts tech executives at White House
- AP News: Apple drops encryption feature in the UK
- GovInfo: USA PATRIOT Act of 2001
- U.S. Department of Justice: CLOUD Act Resources
- Stanford HAI: 2026 AI Index Report
- ASML: 2025 Annual Report
- BIS: Advanced computing and semiconductor controls
- Volkswagen Group Annual Report 2025: Deliveries
