今天 Agili 的 Hacker Podcast 关注的焦点集中在政府指令、开源路线和安全基础设施上。Anthropic 在出口管制下被迫关闭两款前沿模型,FFmpeg 中一次低成本扫描发现了 21 个潜伏多年的漏洞,一位在 Mozilla 工作十五年的工程师离职前写下了对组织失去社区精神的尖锐批评。
美国政府在东部时间 2026 年 6 月 12 日下午 5:21 向 Anthropic 发出出口管制指令,要求立即暂停所有外国公民对 Fable 5 和 Mythos 5 的访问,包括公司内部的外籍员工。Anthropic 认为这一要求无法部分执行,只能关闭所有客户的访问。其他模型不受影响。
政府声称发现了一种绕过模型安全机制的“越狱”方法,可用来识别少量已知的次要漏洞。Anthropic 复查后指出,这些漏洞通过公开模型也能发现,根本不需要越狱,而攻击者利用的能力在 OpenAI 的 GPT-5.5 中同样存在,防御方每天都在使用。
Anthropic 过去反复强调自己模型的“危险性”并呼吁政府监管。CEO Dario Amodei 曾公开支持政府阻断不安全部署,但要求透明、公正的程序。这次行动显然不符合这一原则,社区中大量声音认为公司此前的末日叙事反过来成了砸向自己的石头。“当你一直说自己的产品多危险时,有权禁止危险产品的人就会听。”一位评论者写道。
不少人将这次行动解读为政治信号。这届政府与 Anthropic 有过公开过节,周五下班前宣布会影响市场的决定也被视为刻意制造周末消化期。无论动机是什么,这第一次让前沿模型的可获取性不再被视为理所当然。
讨论迅速延伸到更广的后果。如果美国把自家最强模型锁起来,中国是否也会跟进?有评论预警,两年后最强的 LLM 可能都不再对公众开放。与此同时,中国开源模型(如 DeepSeek、Qwen)在性能上紧紧追赶,成本只有十分之一,美国的限制客观上可能把用户推向中国模型。整个 AI 投资逻辑——数据中心、GPU 等重资产都建立在需求持续增长的假设上——也因这一先例出现裂痕。
安全研究公司 depthfirst 使用自主 AI 安全代理扫描 FFmpeg,发现了 21 个此前未知的漏洞,整个成本约 1000 美元,仅为人手渗透测试的十分之一。其中多个漏洞潜伏 15 到 23 年,8 个已分配 CVE 编号。
代理会先对代码库进行威胁建模,理解架构和攻击面,再沿数据流审计,并自动生成可重复的 PoC 输入来验证漏洞。
最严重的是 AV1 RTP 解包器中的堆缓冲区溢出(DFVULN-127)。攻击者只需通过 RTSP 推送一个 183 字节的 RTP 包,受害者执行 ffmpeg -i rtsp://attacker/stream 就会被触发。漏洞会覆盖邻接的 AVBuffer 结构体中的函数指针,在释放数据包时实现控制流劫持。整个过程不需要特殊命令行参数。
评论者普遍认为,FFmpeg 的 C 代码库规模庞大、历史久远,内存 corruption 问题很难根除。把 FFmpeg 运行在沙盒中处理不可信内容是安全性基本要求,而某些服务以 root 权限直接运行 FFmpeg 则是高危行为。也有评论质疑“零日”这一术语的使用,认为应该在已有公开利用后再说零日,但这些漏洞的确在被修复前完全不为人知。
一份公开声明提出,AI 已成为文明级基础设施,公众不能只通过封闭的 API、变动条款和不透明的审核来获取。研究、构建、修复、审计、适配、教学和保存智能系统的能力,都不应该需要请求许可。开源 AI 必须可用、可理解、可复现、可本地部署且经济可行。
讨论集中在训练成本与算力垄断上。有人认为需要建立分布式 LLM 推理框架,让社区共享资源。但另一部分评论推算,利用全球所有公共 GPU 进行分布式训练,因电力、延迟和能效问题,成本反而比建造自己的数据中心更高。Nous Research 的 DisTrO 项目声称可将梯度信息压缩 10000 倍以在互联网上实现训练,不过现有尝试比如 Petals 和 Prime Intellect,距离前沿模型的规模仍差千倍以上。
训练费用过于高昂,目前只有风投实验室或国家资助的实验室能承担。有人提出政府应购买并运营数据中心,作为公共物品开放给研究人员,类似于美国国家实验室提供 HPC 计算时间的先例。也有人愿意每月捐款 50 美元支持真正的开源 AI 实验室,但立刻被提醒实验室正在花费数千亿美元,靠订阅远不够。关于模型蒸馏的合法性同样引发争论:如果模型可以吸收所有人的作品再洗白成知识,那反向蒸馏是否也应被允许?而欧盟若允许蒸馏,至少能创造一个蒸馏模型市场。
在 Mozilla 工作十五年的工程师 Jr Conlin 将在 7 月 21 日离职。他在告别信里直言,Firefox 的用户是一群主动寻找、绕开预装浏览器的“深度不正常”的人,而领导层始终不明白如何对待他们。新上任的高管大多来自传统科技公司,习惯了闭门文化,面对开源全公开的代码表面奉承,实际操作仍按老规矩来。
Conlin 回忆,当 Firefox 还与社区紧密合作时,用户会主动帮他人安装,因为他们有参与感和归属感。后来管理层把志愿者降格为客户或粉丝,让无数无偿贡献者感到背叛。评论区有志愿者提到,2015 年 Mozilla 将日常沟通从公开的 IRC 迁移到封闭协议,他当场觉得被出卖,从此不再热心。还有用户指出,Mozilla 近期强制推送大量 AI 功能,需要在 about:config 里手动关闭十几个选项,后来才追加总开关,这种先推后修的模式不断消耗核心用户的耐心。
他认为 Mozilla 应停止那些副作用超过收益的登月计划——手机 OS、购物枢纽等——把精力放在修复技术债、让新功能默认 opt-in,并真正重建社区,鼓励外部代码贡献和翻译。他还批评 Mozilla 随意抛弃成功项目,比如把 Thunderbird 推远,错失 Rust 的变现机会,而 Servo 本来可能反过来超越 Firefox。作者最后表示仍会使用 Firefox,但会关掉 AI 等花哨功能,也会尝试 Servo 和 Vivaldi。
putt.day 是一个每日更新的单一球洞迷你高尔夫游戏。玩家拖拽球来瞄准和调整力度,松手击球,水障碍会重置位置。每天只有新的一洞,第一次完赛成绩被记录。
社区反馈集中在物理上:滚动阻力太大,弹跳动量损失过多,感觉球不够滑。有玩家发现,当天第 32 洞因为随机种子错误生成了有问题的关卡,但也因此可以反向击球,利用墙壁弹跳的垂直升力越过大部分赛道,以 2 杆或 3 杆低于标准杆 6 杆的成绩完赛。开发者 ellg 随后修复了种子问题,并提前根据反馈调整了物理和计分。他表示做这个游戏只是为了在“拉屎时能快速玩一下”。
纽约联储数据显示,计算机科学和计算机工程专业早期职业薪资在所有本科专业中分列第一和第二,约 9 万和 8.7 万美元。虽然失业率在 6% 到 7.5%,高于部分人文专业,但那些专业的就业不足率常常接近 50%,而计算机科学和工程专业的就业不足率只有 19.1% 和 15.8%。许多 CS 毕业生因为高薪岗位可接受,不急于迁就低薪工作,因此失业率统计被拉高。
一位没有学位的从业者指出,学位不仅是技能证明,更是财富、稳定性和“圈子”的信号。进入有权有钱的圈子需要有人引介,而大学提供了不同阶层年轻人长期相处的机会。没有学位的人可能需要多年低价合同才能建立信任,一个学位可以直接跨过那条起跑线。即使一位从业 15 年、收入数百万美元的无学位工程师,至今仍会被问“为什么没有 CS 学位”。当然,也有自学成功的案例,但那条路更艰难,且常面临职业天花板。
从 1990 年到 2010 年,人口普查局主要靠数据交换保护隐私,但后来发现攻击者很容易从中重建个体记录,违反了联邦法律。2020 年转向差分隐私,在能抵抗攻击的选项中保留了最多数据效用,代价是数字精度有所下降。一些社会科学家不适应重新理解数据,而政治操盘手则无法再通过数据重建个体来辅助选区划分。
商务部新命令禁用噪声注入,要求优先使用粗化和抑制。问题在于,粗化要么摧毁小群体统计的效用,要么极易受到隐私攻击,而去掉噪声后攻击门槛大幅降低。评论者引用了二战期间人口普查数据被用来列日本人名单并送往集中营的历史,提醒数据库的中立性只持续到有人来要名单。随着 IRS 与 ICE 共享税务数据等事件出现,很多人担忧新禁令是为制造选民压制清单铺路。
一位评论者总结:差分隐私将隐私与效用的权衡变得显式且无法忽视,禁止它就像假装问题不存在。破坏信任会让人们更不愿意分享真实数据,最终导致更差的数据和更糟糕的政策。“这不会让政府不再强大,只会让政府变得愚蠢——即使想做好事,也不再拥有做出有效决策的信息。”
女:Hello 大家好,欢迎收听 Agili 的 Hacker Podcast,我是莓莓。
男:大家好,我是阿迪。
女:今天话题挺杂的,但都挺有意思。要不先从一个轻松的聊起?阿迪,你最近有没有玩那个叫 putt.day 的迷你高尔夫?
男:玩了几洞。那个物理手感怎么说呢,球好像粘在草皮上一样,滚动阻力太大。不过我发现一个野路子——反向击球撞墙,利用弹跳直接跳过半个赛道,两杆就完赛了。
女:哈哈,你永远是找捷径的。开发者说他做这游戏就是想“拉屎时能快速玩一下”,我觉得这种每日一洞的设计其实挺解压的。而且社区反馈了手感问题,他当天就推送了修复,小开发者的迭代速度让人羡慕。
男:没错,这种能快速看反馈、快速修的小游戏,反而比大产品更鲜活。不过咱们今天第一个大头就跟“快不了”有关——上周五 Anthropic 的事情你看到了吧?就是美国政府突然封了他们的最强模型。
女:看到了,而且封的时间很有戏剧性,周五下午5点21分。政府要求立即暂停所有外国公民对 Fable 5 和 Mythos 5 的访问,连 Anthropic 自己的外籍员工都不行。公司说这没法执行,干脆对所有人关掉。
男:对,这种周五收盘前掐点宣布的操作,市场人士一看就知道是想让周末消化冲击。政府给的理由是发现了绕过模型安全机制的“越狱”方法,但 Anthropic 复查之后说那些漏洞很普通,用公开模型比如 GPT-5.5 也能发现,不需要什么越狱。
女:说到越狱,你简单解释一下它是什么意思吧?
男:越狱就是用精心设计的提示词骗过大模型的安全护栏,让它回答不该回答的东西,比如怎么合成危险物质。Anthropic 过去几年一直在说自己家的 Fable 和 Mythos 有多危险,做了几千小时红队测试,然后强调完美抵抗不可能,所以他们强制保留30天数据来监控攻击。这次政府真就照单全收了他们的“危险”标签。
女:等于你天天告诉邻居家里养了猛兽,有一天真有人来把院子封了,你说其实没那么猛,但没人听了。社区里有一条评论挺刻薄的:“当你一直说自己的产品多危险时,有权禁止危险产品的人就会听。”
男:这就是自己吹的风,最后把自己吹跑了。Anthropic 的 CEO 之前公开支持政府阻断不安全部署的能力,但要求程序透明公正。这次行动既没有透明也没有公正,动机就被各种猜——有人觉得是政治惩罚,毕竟这届政府跟 Anthropic 有过节,而 OpenAI 在高层的管道更顺。也有人说是市场操纵,先封再放,人为制造波动。
女:抛开动机,这件事开了一个什么先例?
男:政府可以单方面切断公众对最强语言模型的访问。而且实际操作上,虽然名义上只针对非美国公民,结果所有人都用不了。很多人担心这会成为常态:如果美国把自己最强模型锁了,中国那边也不太可能继续开放,那两年后最强的 LLM 可能都不再对公众开放了。
女:这正好接上另一篇上周很火的宣言式文章,你可能也看到了。一位作者说 AI 是文明级基础设施,不能只从少数封闭机构那里租用。你怎么看?
男:那篇文章的核心论点是:如果智能只能靠租用 API 获得,公众失去的不只是软件自由,而是研究、构建、修复、审计、教学、保存智能系统的能力。开源 AI 必须保持可用、可本地部署、由社区治理——即使今天的大实验室改变方向或消失。这次 Anthropic 的事简直是为这篇文章提供了实时案例。
女:但开源 AI 真的可行吗?评论里的争议挺大的。有人说分布式训练成本太高,数据中心硬件效率远超消费级 GPU,全世界的公共 GPU 加在一起,功耗和延迟算下来还不如自己盖数据中心。
男:对,但也有项目比如 Nous Research 的 DisTrO,号称能把梯度信息压缩一万倍,在互联网上实现分布式训练。Petals 和 Prime Intellect 也试过,目前规模跟前沿模型差了一千倍以上。更现实的出路是让政府建公共数据中心,像美国国家实验室给研究人员提供 HPC 计算时间那样,或者依赖竞争——中国的 DeepSeek、GLM 成本只有十分之一,性能已接近西方前沿水平。
女:这又引出另一个问题:美国限制自家模型,会不会直接把市场推给中国开源模型?
男:很多人正是这么担心的。你禁了美国模型,别人就去用 DeepSeek、Qwen。但也有人指出,中国封闭模型的趋势同样在出现,开源不是永远的护身符。不过至少目前来看,竞争还在让开源这条线保持活力。
女:说到 AI 的能力,其实它不光是个被管制的对象,还能帮我们发现一些埋了很久的老漏洞。上周 depthfirst 公司用自主 AI 安全代理在 FFmpeg 里扫出了21个零日漏洞,成本只要1000美元。
男:这个数字真的惊人,只有 Anthropic Mythos 成本的十分之一。他们的代理不是简单的脚本扫描,是先生成威胁模型,理解代码架构和输入协议,然后沿着数据流审计攻击面,自动验证漏洞可达、生成 PoC 确认。
女:FFmpeg 为什么会有这么多陈年漏洞?
男:FFmpeg 是几乎所有音视频处理软件背后的底层库,C 语言写的,代码量巨大,历史超过二十年。这次发现的漏洞里,一个栈缓冲区溢出从2003年引入,潜伏了23年。最严重的一个叫 DFVULN-127,在 AV1 RTP 解包器里。攻击者只要发一个183字节的 RTP 包就能触发堆溢出,覆盖函数指针,控制流直接被劫持。受害者执行一句 ffmpeg -i rtsp://attacker/stream 就中招。
女:用一句话就躺了?那很多处理流媒体的服务器不是裸奔一样。
男:是的,社区评论也在说,很多人以 root 权限跑 FFmpeg 处理不信任的输入,这是高危险动作。这件事也说明,在 C 语言写的老牌媒体库里,想完全消除内存漏洞几乎不可能,AI 代理只是替我们把它们更快地挖出来了。
女:从 AI 管制到 AI 挖漏洞,我们其实都在聊一个东西:控制与信任。而这种信任感最近在 Mozilla 那边也崩了一把。一位在里面工作了15年的工程师 Jr Conlin 要离职了,写了一封告别信,说 Mozilla 忘了自己是谁。
男:他的话很直,我印象最深的是他说 Firefox 用户是一群“火星人”——深度不正常,因为他们必须主动搜索、忽略系统警告、绕过 Chrome 广告才能用上 Firefox。他们选 Firefox 就是因为不想用那个自带的浏览器。而管理层呢,总想着复制 Chrome 的功能,把社区成员当“客户”或“粉丝”,不是合作者。
女:他举了个例子,曾经 Firefox 用户会帮亲戚邻居安装,因为在产品里有参与感。后来 Mozilla 为了追企业客户去考 ISO 27001,要求在公司设备上装监控软件——一个开源组织在自己人电脑上装间谍软件,听起来就很荒谬。
男:社区里还有人回忆,2015年 Mozilla 把日常沟通从开放的 IRC 搬到雅虎通封闭协议时,他就觉得被背叛了。最近 Mozilla 又强制推送一堆 AI 功能,用户得在 about:config 里手动关十几个选项,后来才给了一个总开关。这种“先推后修”的模式在消耗最忠诚的那批人的耐心。
女:钱的问题也浮现了。前 CEO 2018年拿245万美元,比2008年涨了400%,同期的 Firefox 市场份额降了85%。另一边,社区看到 Mozilla 招的 senior 职位年薪只有5.9万欧元。
男:Conlin 的建议是“先无聊一阵子”,放弃那些副作用大于收益的登月计划,回到浏览器本身——修老 bug,新功能默认 opt-in,真正把社区接回来。他还惋惜 Mozilla 错过了 Rust 的变现机会,Servo 也可能反过来超过 Firefox。有评论总结得很刻薄:Firefox 曾经是“装 Chrome 前用来下载 Chrome 的浏览器”,现在自己变成了需要用户主动寻找的小众软件。
女:说个稍微轻松点的。上周有个开发者用那个被说成“太危险”的 Claude Fable 模型,一次性生成了一个2319行的牧羊犬赶羊小游戏。他说这是他第一次有 AI 一次性做出来,玩起来跟他想象的一模一样。
男:哈哈,评论区可不吃这套。很多人说这种赶羊玩法在 GBA 时代就有,App Store 上一大堆,AI 之所以能一次过,很可能因为训练数据里本来就有类似代码,更像是克隆而不是创造。
女:作者自己也乐呵呵地承认,只要搜一下就知道这想法其实很普通。不过也有玩家说,跟他之前用早期模型做的版本比,这次动画流畅、UI 合理、难度递进清晰,说明模型对“怎么实现这类游戏”的理解确实进化了。
男:关于 AI 生成代码的长期维护,有人担心一次性生成只是局部最优,改起来还得懂架构。但也有用户分享,他用 LLM 维护完全不熟悉的项目已经很顺了,关键是让模型解释代码然后交互式调整。
女:这又说到技能了。最近“计算机科学学位已死”的说法又热起来了,你作为一个老工程师怎么看?
男:这事儿得看数据。纽约联储统计,CS 和计算机工程专业起薪分别是9万和8.7万美元,所有本科专业里排前二。失业率大约6%到7.5%,确实比哲学 3.2% 高,但哲学专业的就业不足率是47.1%,半数毕业生干着不需要学历的活儿。CS 的就业不足率只有19%,很多毕业生是高薪岗位可以接受才不急着“屈就”。
女:换句话说,他们不是找不到工作,而是有底⽓挑。
男:对。学位还有一个隐蔽的价值——社会资本。有人没学位也赚了几百万美金,但至今会被问“为什么没 CS 学位”。在商业世界里,学位是财富、稳定性和“是不是自己人”的信号。进入有权有钱的圈子需要引介,大学,尤其是顶尖大学,提供了一个让不同阶层的年轻人长期混在一起的机会。
女:现在 AI 开始取代一些入门级工作,会不会让学位贬值?
男:短期内可能让找工作更难,但如果企业完全放弃培养新人,长远是自食其果。总体来看,CS 学位仍然是通往高薪最可靠的路径之一,但个人还是得清醒衡量成本和收益,这不是唯一的路,只是代价相对清晰的路。
女:最后我们聊聊两个让人不太舒服的新闻,都和数据、信任有关。法国反虚假信息机构 Viginum 说,一家叫 BlackCore 的以色列公司涉嫌干预了法国地方选举、苏格兰选举和纽约市长选举。
男:手段就是大量疑似 AI 生成的机器人账号发动抹黑。苏格兰首席大臣 Swinney 因为把加沙局势描述为人道主义灾难和可能的种族灭绝,选举期间社交媒体被负面评论淹没,最后丢了6个席位。纽约那边当选的市长支持巴勒斯坦事业,网络上对他的“反犹”指控被当地居民形容为“歇斯底里”,线下根本没那种氛围。
女:法国总理已经要求以色列协助调查了。能查得下去吗?
男:不好说。BlackCore 在路透社问询后就清空了在线资料,手法跟前些年的 Black Cube 和 NSO 很像。以色列用户在社区里也表达羞愧,但有人辩解以色列在生物技术等领域也有很多正面创新。问题在于,这类事情一旦被揭露,公众对整个民主程序的信任就会打折。
女:这种信任打折在美国本土也在发生。上周美国商务部下令,所有人口普查局和经济分析局的统计产品里禁用差分隐私的噪声注入。
男:这听起来技术化,其实后果很严重。差分隐私是隐私保护的黄金标准,简单说就是在发布统计数据时加一点精确大小的噪声,让攻击者没法靠差分分析重识别出个体信息。2020年人口普查局用它,就是因为旧的数据交换方法不安全,攻击者能重建个体记录。
女:新命令说禁用噪声注入,优先用粗化,比如把出生日期变成年龄段,把县变成州,实在不行才抑制小群体数据。这不就是退回到粗糙的工具吗?
男:对,粗化和抑制要么摧毁数据效用,尤其对少数群体不利,要么极易受到隐私攻击。去掉噪声,攻击者做差分攻击变得极其简单。二战期间美国就用过普查数据列日本人名单送进集中营,这种事不是不可能重演。今天税务数据已经被 IRS 与 ICE 共享,很多人担忧这次禁令是为了将来制造选民压制清单。
女:一位评论者说:“差分隐私让隐私与效用的权衡变得显式且无法忽视。禁止它就像假装问题不存在。”这让我觉得,从 AI 管制、开源宣言,到 Mozilla 失魂,再到现在人口普查隐私的倒退,其实都在反复验证一件事:当规则可以被单方面改变时,信任就会瓦解。
男:是的,技术上的任何一次后退,毁掉的不只是数据精度或功能,而是人们分享真实信息的意愿。今天聊的这些事件,看似跳跃,底层指向的都是基础设施的控制权和公共信任。无论是模型访问权、浏览器的独立,还是政府数据的隐私保护,一旦我们把钥匙交出去,再拿回来就难了。
女:好,今天聊得够满。从一个小小迷你高尔夫开始,串起 AI 管制、开源、FFmpeg 漏洞、Mozilla 的告别、CS 学位,再到选举干预和差分隐私。希望听众们能从中找到自己关心的那一块。
男:感谢收听。如果喜欢我们的节目,记得用泛用型播客客户端订阅,这样就不怕被大平台算法埋没了。
女:咱们下期见!
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。