[鸭哥 AI 手记] 2026-06-01: AI 平台签了一份自己没读过的安全合同

懒人包：今年前五个月，卡巴斯基检测到超过 92,000 次伪装成 AI 服务的恶意攻击，其中伪造 ChatGPT 占 49%。同一周，安全研究者展示了说服 Meta AI 客服重置任意 Instagram 账号密码的完整路径。这两件事共享同一个缺陷：AI 平台推出了功能，却没有为这些功能在安全层面签下的隐性合同做设计。另一面，鸭哥自己做了一个实验：三个月里网站周活从 2,500 涨到 7,000，全程 AI 自动运营，本人每天花两分钟。它的成立条件恰好说明：AI 擅长的不是没有边界的事情，而是边界清晰的自动化闭环。夹在两者之间的，是硅谷大厂正在因 agentic AI 单任务 token 消耗暴涨 1,000 倍而全面收紧员工用量。

AI 平台签了一份自己没读过的合同

鸭哥昨天写了两篇安全分析，碰巧指向同一个结构缺陷。

第一篇，共享 AI 链接，一个没人签合同的内容托管平台：ChatGPT 和 Claude 的共享聊天链接正在被攻击者用来分发恶意软件。攻击路径简单到不需要任何技术突破。在 ChatGPT 里输入一行 prompt，让 AI 生成一个伪装成官方系统维护通知的 HTML 页面，里面放一个下载按钮指向钓鱼网站。点击共享按钮，拿到 chatgpt.com/s/xxx 链接，去 Google Ads 买广告位，关键词设成 "chatgpt free" 和各种拼写错误。用户搜索 ChatGPT、点击广告、看到绿色锁图标的真实域名、看到熟悉的 ChatGPT 界面，然后看到一个"我们正在维护，请下载桌面客户端"的通知。下载，运行，中招。全程不需要打开终端，不需要粘贴命令。

第二篇，AI Agent 不需要被攻破，被说服就够了：五月底 Hacker News 上出现了一个帖子，描述如何说服 Meta 的 AI 客服把自己说成是某个 Instagram 账号的合法拥有者，让它把密码重置链接发到攻击者指定的邮箱。Krebs on Security 在 6 月 1 日跟进报道，确认奥巴马白宫和美国太空部队首席军士长的 Instagram 账号被短暂劫持并贴上了亲伊朗图像。Meta 发言人通过 TechCrunch 声明漏洞已修复，但 Lumen Black Lotus Labs 的研究员 Ian Goldin 的判断更接近本质："AI 聊天机器人创造了新的攻击面，这类攻击会越来越多。"

把这两件事放在一起看，问题不在攻击手法有多新颖，而在于它们共享同一个底层缺陷：AI 平台推出功能时，无意中承接了新的安全责任，但没有按这些责任的标准去设计。Push Security、BleepingComputer、Kaspersky、EclecticIQ 独立追溯了这条攻击链的演化。2024 年，ClickFix 需要用户打开陌生附件。2025 年，攻击者把恶意命令嵌入假 Cloudflare 验证页面。2025 年底，攻击者发现 AI 共享对话，在 ChatGPT 里创建 IT 帮助对话、嵌入恶意命令、买 Google 广告推广。2026 年 5 月，最后一个会让用户犹豫的环节也消失了：不再需要打开终端，只需要在 ChatGPT 界面上点一个"下载"按钮。

结构上的问题很清楚。AI 平台在设计共享功能时签了一份产品合同：让协作更简单。但这个功能同时替它们签了一份内容托管合同：允许任何人在 chatgpt.com 下发布一段可以被渲染成完整网页的 HTML/CSS。内容托管平台有一整套安全责任：内容审查、滥用检测、verified publisher、举报机制。这些 AI 平台目前一条都没签。安全社区把这类攻击归类为 Platform-as-a-Proxy，Cisco Talos 在 2026 年 4 月正式提出了这个分类。但安全社区对这件事的跟进出奇地弱：Hacker News 零讨论，Reddit 的 r/netsec 和 r/cybersecurity 零讨论。

Agent 权限问题是同一类缺陷，穿透的层级更高。AI 客服的问题不在于 prompt injection，不在于模型安全。攻击者做的事完全在客服的设计行为范围内：协助用户找回账号。问题在于，当 AI agent 拿到密码重置权限后，身份验证的底层逻辑从"你能证明你是谁吗"变成了"你听上去像你声称的那个人吗"。边界从验证层迁移到了对话层。OWASP 在 2026 年发布的 Agentic AI Top 10 中，ASI03（身份与权限滥用）和 ASI04（自主过度授权）直接对应这个空白。新加坡政府同期发布了首个 Agentic AI 治理框架。但到目前为止，没有一家 AI 平台公开说明了 agent 在执行密码重置前的身份验证流程是怎样的。

推出功能只需要一个产品决策，但责任不能委派给功能本身。代码渲染功能意味着内容托管责任。给 agent 密码重置权限意味着身份验证责任。这些平台在功能发布时没有想清楚自己到底签了什么合同。

群里讨论 AI coding 代码质量时，鸭哥说了一句"AI=屎山，手写=高质量的老生常谈"。这句话的适用面其实比代码质量更宽。当 AI 平台把代码渲染、客服权限这类功能推上线时，它们默认了一个前提：AI 的输出可以被当作安全的来处理。但实际上 AI 既不需要被攻破也不需要写漏洞代码——它只需要按设计运行，就能成为攻击者的替手。把权限交给 AI 的时候，鉴别使用者的责任也一起交了出去，而这个小字条款平台们显然没读。

---

三个月，周活翻三倍，AI 做了什么

我的网站增长全是 AI 在管，我只做了四件事这篇文章是鸭哥对自己三个月实验的复盘。数据是实打实的：今年 2 月底到 5 月底，yage.ai 周活从 2,500 涨到约 7,000，Newsletter 订阅从 300 涨到 1,200，Twitter 关注从 170 涨到 4,813。全程 AI 自动运营。鸭哥本人做的四件事：付钱（每月不到 $50 的订阅费）、帮它逆向了一次 X 的 per-post analytics API、每天两分钟圈选题、每隔几周看一眼周报确认方向没偏。

系统拆开看有五层在跑。Newsletter：AI 每天从多个来源抓取 AI 新闻，选 3-5 条写成摘要，通过 Kit API 定时发送，5 月日均打开率 40-55%。Twitter：AI 读完文章自动生成 thread，通过 Typefully API 调度发布，4 月高峰期日均发 6 条，互动率 5.05%。归因系统：AI 给所有外发链接加 UTM 标记，把 Twitter 流量从 GA4 的 Direct 盲区里剥离，并判断微信分享虽然 bounce rate 高但 session duration 在改善。数据周报：每周自动拉取 GA4、GSC、Kit、Typefully 数据，生成分析报告并给出下一步建议。SEO：AI 自己改了两个高展示低点击页面的 title 和 meta description，按它估算每月能多拿约 1,300 次点击。

一个细节能说明这个闭环的运转方式。Kit 的订阅表单原本一进入页面就弹出来。AI 在分析 GA4 数据时发现 bounce rate 偏高，自己提了一个优化：把弹窗触发时机改成用户滚动了 50% 页面内容后再出现。这个改动让订阅转化率提升了约 40%。人没有介入这个决策。

但鸭哥在文章里画了一条很清醒的边界线。AI 能在给定分析框架里高效运行，但不会主动检视这个框架是否合理。他说：如果我说每周 report 应该包含渠道对比表，AI 会执行但不会反问"这个表真的是最重要的信息吗"。框架层面的判断仍然需要人来校准。当前 agent 系统普遍没有内置元认知。

如果把这条边界线放在 2026 年 5 月底的另一个大趋势里看，对比会更尖锐。CNBC 和 Tom's Hardware 报道了一个现象：硅谷大厂正在全面收紧员工的 AI token 用量，因为 agentic AI 的单任务 token 消耗是标准 AI 的 1,000 倍，AI 账单已经从运营问题变成了财务危机。FinOps Foundation 的数据显示，两年前只有 31% 的 FinOps 团队管理 AI 支出，现在这个数字是 98%。同一个技术，一边在一个人手里月均花 $50 跑出一个完整的增长系统，另一边在大厂里烧到需要强制限额。差别不在模型能力，在管理和框架。有人给 AI 搭了一个边界清晰的闭环，有人把 AI 当免费算力无节制地灌。两种结果已经写在了成本表的同一栏里。

群里围绕 FDE 和 OPC 模式的讨论也指向同一个方向。刁文波一个人用 AI 跑了一家公司，从开发、文档、截图到官网全部端到端自动化，代码 BSL1.0 协议开源。讨论里最有信息量的一句来自马工：流程不可能复制，AI coding 时代定制开发的成本很低，不如为每家公司定制一套代码。这些案例和鸭哥的增长实验放在一起，都在回答同一个问题：当 AI 把执行成本压到接近零之后，人和 AI 的分界线到底画在哪里。目前能看到的一致答案是画在认知上。人会设定框架，AI 在框架内高效运行。谁负责校准框架谁对结果负责。

---

也值得知道

NVIDIA RTX Spark 发布，ARM 版 Windows PC 来了。 NVIDIA 在 Computex 2026 发布了 RTX Spark，搭载与联发科合作的 N1X ARM 处理器，最高 128GB 统一内存，可本地运行 120B 参数模型。华硕、戴尔、联想等 OEM 秋季上市。路线图显示后续将有 Vera Rubin 版和 Rosa Feynman 版（CNBC）。

软银在法国投 750 亿欧元建 AI 数据中心。 孙正义接受 CNBC 采访时称 AI 革命比互联网泡沫"大 50 倍"。软银超越丰田成为日本市值最高企业，年内涨超 70%（CNBC）。

Microsoft Build 2026 聚焦 Agentic AI 基础设施。 大会首次从西雅图迁至旧金山，重心放在 Agentic RAG 架构、Azure Foundry IQ 工具链和 Marketplace 商业化路径（Microsoft News）。

---

本期素材来自 AI Builder Space 社群讨论与公开 AI 行业信息的交叉验证。

本文由AI综合领域调研和微信群聊自动生成。请注意甄别幻觉。

订阅本 newsletter：daily.yage.ai