[鸭哥 AI 手记] 2026-04-19

> 当模型接口统一成一个 HTTP endpoint 之后，真正贵起来的是那些没法被 endpoint 封装的东西：能被复利的数据、能阻止账单失控的治理、能追溯出处的验证链。鸭哥昨天连发三篇文章，今天群里正好在各自的位置上把这条线拖出来。

懒人包：Cursor 以 $50B 估值融 $2B+，纯 API 消费的独立编程工具一家没做到 $100M ARR，鸭哥那篇文章把这件事讲透：没有自研就没有数据飞轮。jay luo 在群里直接问 OpenRouter 要不要用，鸭哥两个小时内发了一篇校准文章，结论是门槛低，但三个隐性成本可以把 5.5% 手续费放大一个数量级；jay luo 看完就打消了念头。yousa 买羊毛烘干球被伪造学术引用坑到，鸭哥顺手做了一期调研，NewsGuard 同期的数据显示 AI 内容农场每月新增 300-500 家。就在今天 Vercel 被攻破，入口是 Context.ai 这个第三方 AI 工具的 OAuth。三件事放在一起，信任链在同一个时间窗口从两端同时被磨薄。

Cursor 的 $50B 押注：自研模型真正省下的不是 API 费，是数据的入口

鸭哥昨天那篇 AI 编程工具的自研模型之争 把一张表拍在桌上：独立 AI 编程工具公司里，做到大规模的全部在自研或深度定制模型；纯调第三方 API 的独立公司里，最大的 Augment Code 只有 $20M ARR，它还是尝试过自研才放弃的。Claude Code 和 Codex 跑到了大规模，但它们是模型厂商自家的编程工具，不存在 API 成本问题。这条分界线之清晰，反直觉到需要解释。

反直觉在于：过去 18 个月推理成本下降了 280 倍。按这个速度，两三年后调 API 可能比今天自己跑 GPU 还便宜。既然如此，Cursor 为什么还要把大把钱投进自研 Composer？TechCrunch 四月十七号披露的数据把这个问题逼到了一个具体的位置：Cursor 二月达到 $2B 年化收入，预计年底做到 $6B；但在自研 Composer 上线之前，它整体还是负毛利，亏损最严重的部分是调用 Anthropic 最贵模型的重度用户。

群里柯西问了一个很实际的问题：大 scope 项目该怎么推，20k 行的 side project 维护起来 Claude Code 已经吃不消了。鸭哥回了一个让人侧目的数字：不光是 claude code，包括了 cursor、opencode，目前差不多六万行，加上几个 Apple Watch、iOS、Android app、auth 系统，差不多十万行，deploy 在 prod，支持学生做项目，host 了快 200 个项目、几千个学生。这是单人用多模型编排做出来的规模，维护没问题。

这个个体数据折射出 Cursor 那张表背后的真正机制。API 降价不会让独立工具公司活下来，因为 agent 工作流的单任务 token 消耗是普通补全的 5 到 30 倍，Cursor 过去一年 agent 使用量涨了 15 倍。单价降 10 倍、用量涨 15 倍，总成本反而在涨。更关键的是用户要的是今年最贵的前沿模型，前沿模型的价格没跟着同步降。这就是 Augment 自研失败的那句判词：模型每几个月换代，上一代微调很快被下一代通用模型超过。Cursor 能走通的原因不只是 Composer 省钱，更在于它 日处理近 10 亿行代码 产生的编辑行为数据，这批数据在被持续喂回模型，纯 API 消费者拿不到同等质量的训练信号。省下的 API 费是明面上的账，数据飞轮才是暗处的复利。

一个有意思的旁注：韩国 Threads 上 有人翻出 Moonshot 的公告，Kimi-K2.5 对月营收超 $2M 的公司是要付费的，而 Cursor 通过 Fireworks 做二次训练时没有单独和 Moonshot 谈授权。即便自研，底座本身也是租来的，这条链条比表格呈现的更脆。

---

OpenRouter 的 5.5% 只是第一层账单：jay luo 的两小时问答

群里 jay luo 抛了个标准的企业 AI 问题：公司搭 AI sandbox 让团队自由试各家模型，OpenRouter 一个 key 把 300+ 模型接通，除了 5.5% 手续费还有啥坑？鸭哥没在群里答，两个小时后扔了一篇完整的校准文章 用 OpenRouter 做企业 AI Sandbox 入口，jay luo 看完只回了一句："感觉上不会用它了。"

一小时群聊问题变一篇 publish 文章，这个动作本身已经有意思，更有意思的是答案的结构。5.5% 手续费是能看到的账单，文章把真正大头的隐性成本分成三层：prompt caching 在网关层经常失效、agent 场景的账单可以在几分钟烧掉 $50、数据留存的默认设置把 prompt 送进 GCP bucket 至少保留三个月。这三件里任何一件的成本都可以把 5.5% 放大一个数量级。Anthropic 的 cache read 只按原价 10% 计费，一个典型 agent 工作流靠 caching 能降 60-90% 总成本；网关层 sticky routing 一失效，这部分直接蒸发。Trustpilot 上的一个用户 报告在 VSCode Copilot 里调 Sonnet 4.5，几分钟烧掉 $50，就是 caching 失效叠加 agent 高频 tool call 的标准灾难现场。

这件事放在今天群里另一场辩论里看会更清楚。yeka36 转了一段隔壁群的咨询师发言：给一家年收入千亿的国字头银行子公司讲 AI，IT 部门上百人占公司 1/3，干了一年整了几十个智能体，一个成功的都没有；业务部门说 IT 你管好基础设施就行，我们自己搭 Dify。Ethan 紧接着给了个更尖锐的判断："业务应该自己做自己的 Agent，别依赖人家，AI 已经这么能干了。"马工补了一句："有些单位的 IT 部门禁用 agent，并不是真的担心安全，而是担心权力旁落到业务部门。"

把这条辩论和 OpenRouter 那篇文章摆在一起，AI 网关的真正价值维度就不在手续费了。便利和治理是两条分岔路：便利派把所有模型统一成一个 endpoint，上手门槛低、覆盖广；治理派（Portkey、LiteLLM、TrueFoundry）把 PII 过滤、预算上限、审计链路做进默认档。企业 sandbox 选哪条，取决于业务部门能不能自己管住预算和数据边界。jay luo 看完文章"感觉上不会用它了"，未必是说 OpenRouter 不好。更可能的读解是：在业务部门要抢 agent 话语权的当下，一个公司级 sandbox 承担不起那三层隐性成本的暴露面，上一条省事但失控的通道，等于把 IT 想阻止的东西亲手送到了违规线上。

---

AI 搜索的出处正在变成可以批量伪造的东西

yousa 在群里讲了一个具体的故事：想买羊毛烘干球，用 AI 搜索查资料，AI 引用了 Wisconsin 大学 extension 部门 2022 年一项研究、MIT 2023 年的纺织品生命周期报告，还附带两组精确到小数点后两位、出自 ASTM 和 AATCC 的数据。鸭哥顺手做了一期调研，下午发了 AI 联网搜索正在被内容农场渗透。Wisconsin extension 部门存在，那项研究不存在；MIT 没发过那份报告；标准编号格式对，但对应的测量项目和引用数字毫无关系。真机构，真格式，假内容。

这不是 yousa 一个人运气差。NewsGuard 三月发布的数据 确认了量级：AI 内容农场一年里从不到 1500 个涨到 3006 个，月均新增 300 到 500 个，其中 358 个已经被追踪到由俄罗斯影响行动 Storm-1516 运营。Ahrefs 做过一个实验 凭空造一个奢侈品牌，八家 AI 搜索里 Perplexity 和 Gemini 的错误率 37-39%。ZipTie 从另一端测，ChatGPT 搜索返回的源链接超过六成指向错误内容。

群里谷雨抛了个更尖锐的反问："这是个大问题哦，不过吧，我拿大哥做 geo 也是去搞内容农场……怎么区分呢🤔 source 可能是真的。"Wayne Wei 紧接着补了一句："但是我是融合 reddit 和 youtube 内容，没搞伪造文章，这个太过了。"攻防两侧用的是同一代 AI 工具，边界划在哪里，划了又靠什么来稽查？

这条线今天还有一个意外的同构事件。Vercel 在美东时间今天披露了 一起安全事件：攻击者的入口不在 Vercel 自己的代码，是 Context.ai 这个第三方 AI 工具被攻破后，通过 Google Workspace 的 OAuth 链，接管了 Vercel 员工账号，进而读到了未标记为"sensitive"的环境变量。ShinyHunters 随后在 BreachForums 挂牌出售 据称从中拿到的源代码和内部数据库。一个部署平台的信任链，因为员工装的一个 AI 辅助工具的 OAuth 权限被撬开了底。

AI 内容农场伪造的是信息出处，Vercel 的入侵伪造的是身份出处，两件事的机制上是同一种：当某个被上游信任的第三方（内容来源、OAuth 应用、爬虫专属页面）由 AI 生成或 AI 驱动时，链路里所有下游默认它可信，这个默认就成了攻击面。SPLX 记录的 AI-targeted cloaking 把这个机制做到了极致：服务器识别到 ChatGPT、Perplexity、Gemini 的爬虫 UA，专门给它们返回 AI 优化过的内容，普通浏览器访问同一个 URL 看到的完全是另一页。用户想点进去亲自验证，看到的是干净版；AI 引用时拿到的是污染版。最后一道人工核验就此失效。

应对的起点不便宜。鸭哥文章末尾那两条个人习惯值得搬出来：消费和生活类查询对 AI 给的综合结论默认当线索，先别当结论；任何带学术引用或标准编号的回答，引用本身要单独去 DOI、Crossref、机构官网或标准目录里查证。多来源共识这个判断信号过去一直管用，前提是制造一条独立来源的成本足够高；AI 把这个成本压到接近零之后，这个信号就失灵了。判断事实的路径正在从统计判断（多少来源同意）转向因果判断（能否追溯到原始现场），对应的工具和习惯都要跟着变。

---

也值得知道

Vercel 今天被攻破，入口是第三方 AI 工具的 OAuth：Vercel 4 月 19 日披露安全事件，攻击链条是 Context.ai 被攻破、员工 Google Workspace 账号被接管、未标记 sensitive 的环境变量被读取。核心服务未停，但 Mandiant 已介入，ShinyHunters 在 BreachForums 挂牌出售据称从中获得的源代码和内部数据库（Vercel KB，HN 讨论）。所有非 sensitive 环境变量需要立刻轮换。

Kimi K2.6 Code 开始压价：Moonshot K2.6 的编程 preview 这周被群里多位测过，崔富泽和群友反馈在 Claude Code 里接 Kimi 使用，一人觉得好过 GLM 5.1；鸭哥自己也提到从 Kimi 迁到 GLM 是因为 Kimi 贵。K2.5 也是 Cursor Composer 2 的底座，Moonshot 上周公开"感谢"了 Cursor 的合作。国产编程模型的 commoditization 节奏明显快于前沿模型（NxCode）。

黄东旭在 QCon 放话：TiDB 的黄东旭在 QCon 北京上抛出几条"暴论"，包括 "我去 Anthropic 交流 AI coding，发现他们还不如我"、"SaaS 都会死"、"甲骨文这种大公司会死"。他的核心论据是消耗了上百亿 token 后的一手经验，不是坐而论道，群里马工、摔跤吧金金等多人在讨论。完整讲稿：TiDB 黄东旭的思考。

---

本期素材来自 AI Builder Space 社群讨论与公开 AI 行业信息的交叉验证。

本文由AI综合领域调研和微信群聊自动生成。请注意甄别幻觉。

订阅本 newsletter：yage-ai.kit.com