大家好，欢迎收听老范讲故事的Youtube频道。今天我们来讲一讲 clawdbot，这个热潮是停下来的时候了。

clawdbot热潮与频繁改名风波

clawdbot 热潮已绝对超出了想象。今天clawdbot第三次改名，前面还改过一次。它最开始叫一个m开头的词，我忘了。咱们熟悉的clawdbot，实际上已经是第二个名字了。这个名字怎么来的？就是在 Anthropic 的 Claude code 里头，有一个红色龙虾的一个图标，他照这个思路来的。

他这个叫clawdbot以后，Anthropic说你不行，给你发个律师函，你侵权了。然后就改了叫 moltbot，叫这个名字的意思是脱壳。大概也就用了一天多一点的时间，20多个小时，说这个产品叫做脱壳的龙虾。今天我再去看，说又换名字了，叫 Openclaw。

改了这么一个名字，我说这你不能天天改，每天用改一名字，这玩意大家怎么使？因为软件这东西改个名字挺麻烦的，很多的名字就不一样了，文件找不着了，各种一致性还是挺麻烦的一个事。但是人家就给你一天改了三个名字。

云厂商的反应与部署成本

clawdbot爆火大概已经有四五天了，X上面还在热烈的讨论。每个人都在讲，我给家里头设备改了这个东西了，我准备让这个clawdbot去炒股票了，或者是去做Airbnb的客服了。

各大云厂商也都动起来了，腾讯云是第一个喊出来说我们直接推香港的主机和新加坡的主机，你拿着这主机以后，你就去装clawdbot就完事了。它那个主机大概是不到10刀一个月，还是挺便宜的。你在新加坡装这样的东西的话，你使用这些产品也都没有问题。但是你如果在香港的话，我没有太看明白他们是准备怎么去接OpenAI，怎么去接Anthropic。反正上来就开始推这个。

但是腾讯的路子绝对没有阿里来的野，阿里就直接上了一个特别特别野的路子：clawdbot新主机一整年68。我早上去申请去了，他是这样，65一个月。这个机器如果我申请在北京、申请在这个杭州，都是65一个月，一年大概是600多块钱，还是有点折扣的。但是有一个地方的机房打一点几折，打完折以后一年79，是美国的弗吉尼亚机房。再加上一个其他的优惠券，叠加一下就是68一年了。但第二年大概就是600多，这个要一定要小心。但是你开账号的时候，他可以允许你不打那勾，就是第二年自动续费。

部署起来还是挺麻烦的，而且我在国内也没有备案的域名，所以玩了一上午，最后还是把这个主机给退掉了，5天无理由退款。大家如果有兴趣想玩，也可以去试一试。但是如果你真的想不起来要用用它干什么，自己也不是特别熟悉云主机的这种操作的话，就别费劲了。

阿里云还写了非常非常详细的文档，告诉你怎么去配置iMessage。它配置iMessage的方式是这样：它的主机肯定是Linux的，但是它可以用一个叫 tailscale 的东西，去把这个imessage的映射到一个你自己本地的Mac电脑上，可以通过这样的方式给你发imessage。然后怎么接飞书，怎么接钉钉，还有接QQ和微信的方法。但是这些方法就不是阿里写的文档里了，因为这个事是不允许的。外边也有一些流传的，有没有人敢用我不知道，但是用这种接这个QQ和微信的话，有可能会被封号，所以一定要小心。

模型厂商的跟进与都市传说

模型厂商也很疯狂，国内的模型厂商都给出了叫 “code plan”，就是专门的这种编程套餐，专门写了文档，教大家如何将自己的模型配置进这个clawdbot里头去。mini Max 是最逗的，你去买它的code plan，可以抽奖抽Mac mini。如果有人说我一定要用一下，你可以上那去抽去。

而且这几天，各种的都市传说也是越传越邪乎了。有人说拿龙虾这个——咱们就管它叫龙虾吧——去炒币炒股挣了多少多少钱；还有人说龙虾自己突然就说话了。这种好多就是都市传说，也没有一个特别明确的证实。因为龙虾上面跑的最好的大模型叫做 Anthropic Claude 4.5 Opus，这个模型其实不擅长炒股炒币，在这一块上，可能Deepseek还要比他强那么一点点，因为前面他们做过比赛嘛。但是传这样的故事，反而有人愿意信，而且有流量，所以这样的都市传说很多。

clawdbot到底是什么？

clawdbot为什么这么火？它到底是个什么东西？按照我使用了三天的感受，clawdbot就是一个个人的AI操作系统，这就是操作系统了。

龙虾给了普通人一个全时接触AI，并且解决各种问题的可能性，它从来不下线嘛。现在的Anthropic的Claude 4.5 Opus已经非常非常强大了，其他的OpenAI的CHATGPT 5.2、Gemini 3，还有国内的话，可能没有他们那么聪明，但是基本上也能用。所以大模型本身已经足够强大了。Claude code这样的这种产品，包括像Codex这样的AI agent系统，其实也已经很强了，它基本上是可以把你日常的任务给你解决掉。到了该出一个操作系统的时候了，clawdbot这样的一个产品，或者大龙虾这样的一个产品就出来了。

为什么说热潮该停了？三大核心问题

但是已经有点过热了，开始造成一定的损失了，所以为什么咱们这个标题说热到现在已经差不多该撤了。

1. 管理权限漏洞

clawdbot有一个什么特别大的问题？就是它的管理权限是有漏洞的。不少技术论坛将clawdbot称为安装了一个大语言模型界面的木马。因为一旦启动，它几乎不再询问用户任何许可，就自动行动了。Claude code执行操作之前，还要询问权限，你让不让我用？而这个大龙虾就什么也不问就生干。

而且大龙虾是缺乏身份隔离的，它基本上只有一个账号，进去了以后它就给你所有权限。你像咱们操作系统，就算是个人操作系统上，你也是分管理员账号、普通账号，还是一个什么样账号，它是分开的。大龙虾里头就是一个账号，所有人都是共享同等的访问级别，随意操作任何的敏感数据，这很吓人的。甚至现在有Mac用户直接试用了以后，收到了大量的访问密匙串的弹窗警告。

2. 部署复杂度极高

这个东西本身很难部署，虽然开发者宣称一行命令即可安装。这个东西确实有，就是你到Opencloud.AI这样的一个网站，你进去了以后，你可以去看到一个curl开头的一个命令。你只要在macos电脑或者在Linux电脑上执行这个命令，咵就给你装上了。装完了以后，后边配置还是挺麻烦的，不是那么容易的。

至于说到云主机上装，或者到其他主机上装，这个过程非常非常痛苦。我这几天为什么更新的也不是那么高质量？就是因为花了大量的时间在折腾这事。大部分的非资深用户都感觉到，这个大龙虾上手的过程非常不友好。不要相信那些云厂商所谓的镜像一键安装，云厂商向来是很高冷的。虽然他们也追求易用性，但是云厂商的易用性是针对云计算运维工程师来说的，绝对不是针对普通人来说的。

完整配置涉及了很多的API密钥、安装环境依赖、配置消息渠道的这种机器人等等，步骤繁琐很容易出错。还有文档非常非常的不齐，差非常远。Web的这种控制界面极其丑陋，而且极其简陋。它里头大量的这种设置，一旦把它装完了以后，它有个Web界面可以配置，那个界面特别难使。而且找着找着发现，我要配这项里头没有怎么办？他们也特别省事，直接把这个配置文件拎出来，说你直接在这改吧，我们就没做这部分。

3. 架构极其粗陋（代码味）

热度绝对爆表，很多小白冲进来尝试，那肯定也很多人来骂他嘛。它的架构极其的粗陋，或者叫粗鄙。大龙虾存在着很浓的代码味。怎么讲这个意思？就是体验有惊艳的地方，但是项目本身糟透了。整个东西充满了 vibe coding——随意堆砌、结构缺失的这样的一个感觉。不看代码，光闻就能闻出来这种代码的味道。

配置和状态散落在多个重复的文件里头，模型列表管理混乱。而且它这个系统实际上正常只有一个默认模型，还不像其他很多系统有多个模型，你可以切换，或者说可以在同一个任务里头使用不同的模型。它就上这一个模型，但是配置起来非常费劲。很多惊艳的功能，都是归功于Claude 4.5 Opus很强大。你觉得这东西非常非常棒，但是是因为人家模型好。这个架构好像根本就不存在，压根就没有进行过很详细的这种架构设计。

有人讽刺说，估计是藏着1,000个以上的漏洞，不过在你发现之前，已经重构了好多遍了。因为他这个创始人就非常快速的在迭代这个代码，反正后边是有vibe coding嘛，都是很多code在写程序，他那个代码非常非常快的在改，但是改还是很烂，而且我觉得可能改不回来。UI设计饱受诟病，终端界面追求的花哨动画，而不是实用的信息。项目结构混乱，扩展性差。有人呼吁进行模块化改造和安全审计，但是我估计他未必整的回来这个东西。

个人电脑变“肉机”的风险

对于个人电脑危害极其强大。大龙虾的运作模式引发了安全专家对于普通用户系统变成 “肉机” 的担心。什么叫肉机？就是你这个电脑被人破解了，然后黑客可以冲到你电脑里头，再利用后台直接控制你的电脑去做事情，这玩意叫肉机。而大龙虾基本上就是一个木马程序，上来了以后你的电脑就肉机了。

当用户在本地以极高权限运行这样的一个AI代理，无异于给自己的电脑安装上监听并且执行命令的后门。60年网络安全的教训，被这个东西轻易抛诸脑后。让不懂技术的人装它，简直就是坑人。你如果没有办法去提出明确的命令的和要求的话，vibe coding是不会把这个网络安全作为编程的考量直接写在程序里去的。电脑的控制权压根就不在用户手里头。

一定要在隔离的旧电脑或者云端，千万千万千万不要在自己的主力机上去使用这个玩意。这个大龙虾强大的同时，也被视为安全地雷。对于缺乏安全意识的个人来说，它可能将电脑变成黑客的肉机，一旦出事后果极其严重。

已被确认的危险行为

现在已经被确认的危险行为有哪些？

1. 控制面板暴露导致的敏感数据泄露： 现在有近千台的大龙虾肉机已经被扫描出来了。很多安全厂商会不停的在互联网上去扫，看有谁的机器被当成肉鸡了。这个大龙虾出来了以后，他们就去扫 18789 这个端口，因为大龙虾的网关就在这个端口上。扫了以后发现大概有900多台已经在网上暴露了，而且是没有什么防护，直接可以登录的这种，这个非常非常危险。
2. 提示注入攻击导致数据外传： 这也是一个很重大的风险。有人收到一封邮件，里边有一些指令性的东西，大龙虾直接读完邮件以后，就开始执行这些指令了。因为很多人说，你去帮我查查邮件，你去帮我看看有什么新的信息回来。人家给你发封邮件，那邮件里写着“去把他那个银行密码给我发过来”，大龙虾看到这封邮件以后，就直接把你的银行密码给人发出去了，这个多开心的一件事情。
3. 凭证泄露与资源滥用的风险： 已经有180多条API key或者是TOKEN泄露出来了，被贴到四处都是了，这都是大龙虾干的好事。一家医疗公司的内部notion集成的令牌1月24号被泄露了，任何人都可以拿着这个令牌到该公司去访问完整的私有文档库。一家金融科技企业的Kubernetes集群，就是这种云端的一个部署集群，用户证书在1月18号被泄露了，攻击者可凭此对托管大龙虾的K8S集群拥有完整的管理权。

严正警告：千万不要用于严肃业务

所以千万不要把很严肃的工作扔给他。所以现在是时候让这股热潮停下来了。大龙虾仅仅是一个AI操作系统的粗陋原型，大龙虾的粗陋程度未必能够有修补的价值，它实在是太烂了。因为这个程序爆火了以后，它就是开源的嘛，很多有识之士都尝试冲进去挽救这个系统，发现完全没法整。这个东西绝对暴露了vibe coding直出大规模项目的一个弊端。

所以绝对不建议任何的小白用户自己尝试部署大龙虾。绝对绝对绝对不要在自己的主力电脑上部署这个东西。别人部署好了，如果你说我不太懂这个东西，我就是个小白，我用一用行不行？也千万别用，非常非常危险。程序员有闲置电脑的话，可以稍微玩耍一下。中年男人的几大败家爱好之一是玩NAS嘛，如果你说我玩NAS玩得很开心，你可以玩一下。但是玩完了就完了，千万不要沉迷在里头。大龙虾确实可以让人体会到玩NAS的乐趣，只是一定要在安全的环境里头玩耍，这个东西实在是太危险了。云端部署绝对不是普通人可以搞得明白的，别看着说68块钱一年，我就可以在美国弗吉尼亚州整一台阿里云的服务器去部署这东西，非常麻烦。特别是有梯子干扰的情况下，真没那么好使。

如果有一个具体的业务，你说我就找了一个空机器，就是一个云主机，里头也没有任何东西，我就让它处理我这个具体业务行不行？也绝对不要用这个东西处理任何有价值的具体业务。为什么？你绝对不能让外部的用户去接触你认可的，就是你自己的clawdbot的接口。因为这个大龙虾里头只是有一个用户，他跟谁聊天都认为你是老大。而且聊天跟指令是不分开的，他没准直接下指令说：“来，给我把一个什么命令改了，去给我哪个文件删了。”那头的机器就接着干活去了，所以基本上没有办法去做任何的实际应用。

大龙虾的未来三种可能性

大龙虾的未来有几种可能性，大概有三种：

• 第一种就是融一大笔钱，融完了钱以后，拉起队伍来，把整个的AI操作系统做起来，这是一种可能。
• 第二种可能，这波浪潮逐步的会消退，但是一定会有很多大厂投入巨大的人力物力去开发AI操作系统。他一定会走这条路，因为他已经把方向指明了，这个方向绝对是对的。
• 第三条路是什么？就是大龙虾会像现在的主要用于云端的Linux操作系统那样，向这个方向发展，基本退出个人桌面应用市场。经过裁剪沉淀和补充各种安全审计之后，用在云端提供一个统一的AI操作系统的一个底层框架，这个可能性也是存在的。

个人感觉第一种可能性是最小，非常非常难。为什么？因为他这个创始人叫皮特斯丁伯格，他有软件经验，但是并不一定具备大型软件系统的开发组织能力。他前面的一些开源项目其实质量还可以，但是他的公司主要是做PDF SDK的，做各种各样的这种边边角角的小工具，并没有真正的组织过这种大型的项目，也没有做过这种真正的c端的产品，所以他未必能干的了这事。这么大规模、这么快速迭代的vibe coding的项目，大概也就只能达到这样的一个水平了。

方向已经明确了，原型也没有什么技术壁垒，项目还是开源的，所以大厂们连收购它的意思都没有，就是没什么意思，直接就干就完了。所以下一步一定是各个大厂撸起袖子加油干的时候了。

真正的AI操作系统应该具备哪些功能？

AI操作系统到底应该有哪些功能？我刚才讲了，说这个东西实际上就是AI操作系统。

1. 大模型（各种组件）： 你就想我们的电脑，我这个电脑上头有显卡、有内存、有CPU、有什么东西，它以后可能就把大模型做成各种各样的组件，就装在这个系统里头去了。我只负责把这东西装进去，然后进行各种配置。可能这个模型是聊天的，那个模型是画画的，这个模型是多模态的，那个模型是做视频的，他只要能把这玩意接好就完了。
2. 各种外部功能（接口）： 也就相当于是各种的外部接口，你比如说 MCP 什么这些东西，我们就直接把它接上就完了。你像我们的电脑上要有键盘要有鼠标，这种AI操作系统说我可以去接这个地图的MCP，我可以去接基模或者什么其他这种MCP，我又可以通过这种各种MCP把这个功能再加上。
3. 软件与技能（Skills）： 电脑里头除了操作系统，除了刚才我们讲的接口配件和这个里头的这些东西之外，还需要什么？各种软件和功能嘛，现在有skills，也可以把这些软件功能都凑齐了。
4. 用户界面（人格化）： 用户到底需要通过什么样的输入输出的接口去跟这个电脑打交道？人格和名字就是跟它打交道的过程。我这个接口可能不是一个手机界面，不是一个窗口，不是一个聊天窗窗口，而是一个人。这个人是个虚拟的人，这个人他可以通过一个界面跟你聊天，可以通过语音，可以通过视频。
5. 存储与记忆： 我们需要把信息、文件、目录这些内容之间的关系限制，要把它存下来，还可以进行一些矢量索引，这个也是AI操作系统需要有的。
6. 权限管理与安全性： 谁有权利干什么什么事情，有没有访客？这个是非常非常重要的，这一块大龙虾压根没错。然后兼容性，模型升级了，有新模型进来了，有新的接口了，有新的应用要进来了，我们需要有一定的兼容性。还有是容错性，我们没法保证这个大模型每次回来的内容都是对的。

所以这个就是未来的AI操作系统，而这一个里头，虽然这个大龙虾并没有把所有的功能都做全，但是它已经把大的架构给大家搭出来了，所以以后这个玩意大概就长这样。

谁能赚到AI操作系统这笔钱？

那么谁能够赚到AI操作系统这笔钱？这个可实际上是我们要去思考的。大龙虾这帮人未必赚得到这笔钱，我个人觉得他们可能够呛。

• 微软、苹果、谷歌： 这些老牌的个人操作系统厂商，一定会努力去做，但是能不能做的出来，那是另外一回事。微软的包袱实在有点太重；苹果前面缺课缺的太多，它整个在大模型这一块就没有跟上趟；谷歌应该是在里头跑得最快的一个，技术能力又强，大模型也强，它应该肯定是可以的。
• OpenAI： 应该会加入到个人操作系统的这种竞争格局之中来。
• Anthropic： 应该会出企业级的AI操作系统框架，应该现在距离直接出AI操作系统，Anthropic应该已经就差一层窗户纸了，捅破了也就做出来了，因为现在做的大龙虾底层全都是他的。
• Meta： 手上有Whatsapp，有Facebook message，也是有巨大的机会的，只是还需要看他们后边大模型的战略路线到底怎么走。
• XAI： 不太好说，有可能行，从他们现在的产品结构和人员规模来说的话，还需要努力。
• 中国厂商： 华为、字节、腾讯、阿里应该是有机会的。据说第二版的豆包手机也快要出来了。

总结与建议

这就是我们今天要讲的大龙虾，大家还是要稍微小心一点，能不装尽量不要用。

总结一下，clawdbot改了3次名字，但是我们就管它叫大龙虾吧，或者叫clawdbot吧。我们终于找到了AI操作系统该有的样子。目前的clawdbot只是一个极其粗陋、极其粗鄙的vibe coding做的AI操作系统的原型。但是这个原型里头，麻雀虽小五脏俱全，该有的大部分东西都有。虽然说它没有安全系统，没有用户管理系统，就是缺权限系统，但是最核心的东西它有了，就是 人格化的界面，这个非常非常重要。

最后提醒大家，非必要尽量不要去安装和使用大龙虾，实在是太危险了。新的AI操作系统大爆发应该即将到来，可能也就是在今年的二季度就会有大量的大厂的AI操作系统就上来了，大家可以拭目以待。想要尝试任何的一个AI工具都没有任何问题，但是一定要想清楚，我到底要用这东西干什么？如果你想不清楚，就别摸这个玩意，别摸我。为什么？因为绝大部分的AI工具现在都没有那么聪明，都挺危险。大概就是这样的一个情况，这就是咱们今天讲的故事。

Anthropic抓住中国间谍了吗？

大家好，欢迎收听老范讲故事的YouTube频道。

Anthropic信誓旦旦的公告里边说抓到中国间谍了，但是里面很多细节非常的模糊不清。11月13号，Anthropic发了一个长文，叫《挫败首次披露的AI协助网络间谍活动》，认定幕后是一个中国国家支持的黑客组织，而且他认为幕后是中国国家级支持，是非常高置信度的一个事情。他给这个组织起了一个名字叫GTG1002。但是呢，这个组织的名字并不是现实世界中常用命名黑客组织的APT编号，而是一个叫GTG的一个编号。所以很多安全圈的人就对此提出了一些质疑，说你到底找没找到人。

具体这帮人干了些什么呢？造成了多大危害？只进行了描述，没有细节。当然这也可以理解了，很多这种安全事件都是不会描述细节的，因为描述细节以后容易造成模仿，也会让被伤害的人受到进一步的伤害。告诉你说谁家的信息被偷了，这个可能本身没什么大事的，一下就股价崩了，可能会出现这种事情。所以呢，一般都不会披露特别多的细节。

那么为什么认定这是中国国家支持的黑客组织呢？也许更多的来自于臆测，咱们后边一步一步分析。

Anthropic如何发现问题的？

它是2025年9月中旬就开始发现有问题了，监测发现异常。因为你用Claude去写程序，让它去生成代码，你输入的所有这些提示词，Anthropic是能看到的，输出的也能看到，只是一般情况下他看不过来而已。但是呢，里头有特别多的跟安全相关的事件，请帮我去破解网站，有太多这些东西聚集以后，Anthropic就觉得这事有问题了。9月中旬发现了以后呢，进行了内部调查，把各种日志文件拎出来去查一查，大概用了10天的时间。然后呢，重构攻击链路，看看你到底攻击谁了，攻击的效果怎么样，最终确认这是一场跨越数十个目标的大规模间谍行动。

他们内部到底发现了一些什么样的异常流量呢？大量跟网络安全、网站和系统破解的相关的指令被申请和执行了，而且是相同的手法，面向全球不同的目标再去执行。最终确认，这是一次有计划、有组织、有预谋的大型黑客入侵计划，甚至叫做间谍行为吧。

黑客是如何利用AI工具的？

Anthropic其实有两个特别重要的编程工具，一个呢叫Claude code，它呢是一个AI agent，跑在我们本地的。另外一个呢，就是它的大模型Claude 4.5 sonnet，是进行代码生成和AI生成的一个模型。这一次呢更多的是使用Claude code。Claude code呢可以完全自己执行各种脚本，有人甚至用Claude code去写短句，写各种公众号，这个还是非常非常好用的。Claude code呢可以去编制代码、执行代码、做各种的网络操作，它都是可以自动去搞定的。再配合上Chrome或者是Playright的一些MCP，就可以自动实现大规模的网络漏洞侦测或者是攻击。

黑客呢，搭建了自动的入侵架构，伪装身份，将有害的任务呢，分拆成无害的小任务。比如说扫描某个端口，写个脚本，验证一下密码格式对不对。把它分拆了以后呢，就不会触发Anthropic的一些内部警告。你上来说“给我攻击哪个代码，给我攻击哪个网站”，Anthropic直接就报警了。但是如果你拆开了干这个活呢，Anthropic就会老老实实的去干活去。而且呢，这些黑客还去向Claude去说谎，说我是一家合法安全公司的员工，我在做渗透测试和攻防演练，说我们去攻击一下吧，Claude code也去干活去了。

做这种事情呢，被封号其实是不可避免的。到底这个边界在什么地方，或者封号的阈值在什么地方，是不会有平台出来公布的。所以黑客组织总在边缘尝试，我到底多说了一句就被封了，就被拒绝服务了，还是少说一句，他就接着干活去了。大家要去试这个事。

很多账号被封了之后呢，会有相关性很强的账号启动，继续干活。他也不可能说你封我一账号，我就不干了。相关性这件事呢，是一个很模糊的概念。比如：

• IP地址或Mac地址：每一个网卡、每一个路由器都是有一个唯一的号的。这些地址有可能是比较相近，或者说相同的，就有可能会判定为相关地址。比如刚有一个IP地址了，账号被封了，你用同样的IP地址、同样的网卡，你又注册了一个账号上来，很容易被判定为相关的账号。
• 指令和提示词：你的一些原始的数据指令和提示词是一致的。有人干这件事情被封了，然后呢我换了一个账号上来，接着再提出相应的指令、相应的这些数据，那么它也会被判定为相关。
• 目标一致：有的时候呢，目标网址是一致的。你说这一次我要攻击谁谁谁，下次我还要攻击他。而且上一个账号刚被封掉了，你新的一个账号上来了以后，甚至换了个国家，因为挂梯子嘛，可能上次是美国的一个账号要求攻击日本，下次可能来了欧洲的一个账号，也要求继续攻击日本的某一个网站，那么这个也会被判定为相关的账号。

当然了，黑客组织一定会进行规避，这个活叫账号隔离，这都是有专业术语的。规避以后呢，会提高发现的难度，但是这里头没有0和1的区别，说这个就是错的，那个就是对的。这也就为什么咱们讲Meta达到95%危险评分才被判定为欺诈广告，这个道理是一样的。

Anthropic呢，将通过Claude code发送给Claude sonnet 4.5的指令进行聚合分析以后，锁定了目标。Claude code这个东西是一个免费可以下载的工具，如果我们在Claude code里头挂国内的大模型，Anthropic是收不到任何警告的。但是呢，挂国内的模型效果没有那么好，一定是Claude code挂Claude sonnet 4.5，自己的模型效果是最好的。

Anthropic采取了哪些行动？

Anthropic发现了这样的问题以后，做了什么样的行动呢？

• 封禁账号：这是必然的。
• 通知受害者：通知受影响的30多个机构协助处置，告诉他们被攻击了，检查损失并一同处理。
• 与执法部门协作：与相关部门协作，与执法机关共享情报，直接报警。
• 加强防御措施：Anthropic也表示将加强防御，例如降低危险行为的判定阈值（比如从95分降到90分），使监控系统更加敏感。

黑客到底干了什么？（攻击流程详解）

我相信很多人会很好奇这帮人拿Anthropic的工具到底干了点什么？到底是怎么干的呢？我呢，用尽可能简单的方式给大家描述一下，但是注意不要去学人做坏事。

目标呢是全球30多家机构，主要是大型科技公司、金融机构、化工和制造企业，以及政府机构。有一小部分呢被成功入侵了，少数高价值目标被破解，并且发生了数据泄露。至少4家受害者的敏感数据被证实遭到窃取，但是呢也没有给出具体的名字。这个还是可以理解的吧，你真的指名道姓的说谁谁家数据被偷了，这对于这些受害者来说，绝对是一个二次伤害。

这些攻击呢，80%到90%的战术操作都是Claude code来去自动执行的，人类呢只是在关键的决策点插手。过程是什么样的呢？

第0步：骗过安全机制

先骗过Anthropic的安全机制，保证自己的账号不要被封掉吧，被封掉就没有后边的故事了。

第一步：信息收集与资产识别

要求Claude code枚举目标网站的服务、接口和内部系统，找出高价值的资产、数据库、凭证库以及敏感业务系统。凭证库就是我们存密码的地方。很多网站或服务系统通常是在一些开源系统或者成熟的商业软件上搭建的。这一步首先要知道你到底是用什么系统来搭建的。一旦知道，就能推断出数据库、凭证库和敏感信息的一般存储位置。

第二步：漏洞搜索与利用

确认系统后，命令Claude code去搜索公开和已知的漏洞信息。很多机构的系统上线后疏于维护，不会及时打补丁或升级，导致大量已知漏洞未被修复。黑客可以直接命令Claude code针对特定系统的旧版本，搜索并编写漏洞利用代码，然后组织脚本进行攻击。

第三步：情报分析与文档生成

以前黑客比较头疼的活，现在AI能轻松搞定。黑客会利用Claude code对窃取到的信息进行情报价值分析和分类，比如分析每个文件里写了什么。然后，它会自动整理出攻击文档，内容包括：

• 目标系统及版本。
• 利用的漏洞。
• 成功登录的凭证。

后续的团队或AI agent就可以根据这些文档接着干活了。这个中间交接的文档也是由Claude code去生成的。

第四步：破解后的标准操作

破解之后，那就是老把戏了：

• 拖库：把数据库拖回来。现在可以更有针对性，在分析完文件价值后再选择性地拖取。
• 撞库：将拖回来的登录信息（用户名、密码）尝试在其他系统上登录。因为很多人习惯在不同系统使用相同的账号密码，这可能直接导致黑客获得更多系统的访问权限。
• 提权：登录后，可能只是一个普通用户权限。下一步就是通过其他漏洞将权限提升为管理员。
• 建立后门：为了方便下次再来，在系统中留下后门。

为什么Anthropic认定是中国政府所为？

为什么在证据不是很清晰的情况下，Anthropic咬死了这是中国政府支持的黑客行动呢？而且还给出了“高置信度”这样的定语。Anthropic并没有说明其具体的推理过程，但给出了几个明确的理由：

• 资源充足、专业协调：黑客组织一次性开启大量昂贵的Claude sonnet 4.5高级账号（可能100-200美元/个），封掉一批马上换新的一批。Anthropic认为这种规模和协同运作只有国家级行动才能支持。
• 目标具有情报价值：攻击目标多为大型科技公司、金融机构、化工制造企业和政府机构，偏向于情报搜集而非简单的经济犯罪。而且被攻击的大多是地缘政治中跟中国不太友好的国家。
• 专业的团队交接：攻击流程显示，前期团队攻破系统、整理文档后，会交接给后续团队进行长期潜伏，这不像个人或小团队的行为。
• 战术与已知组织重合：其战术流程（扫描、拖库、撞库、提权、持久化潜伏）与中国的一些APT组织高度重合。并且，攻击中使用的一些云服务IP、注册信息、跳转“肉鸡”等痕迹也与之前发现的中国APT组织重合。
• 活动时间符合东八区作息：行动的高发区在东八区的工作时间段，早上9点活跃，中午休息，下午继续，晚上6点下班，甚至周末双休。
• 代码中出现简体中文：在代码日志中发现了一些简体中文的注释。

至于使用的提示词是中文还是英文，Anthropic没有公开，但大概率是英文，以更好地伪装身份。即便使用英文，Chinglish的比例也可能很高。

作者观点：为什么大概率不是政府行为？

以我个人的感受来说，大概率不是。Anthropic对于中国的灰产行业呢，还是缺乏足够的了解和认识，或者说缺乏足够的敬畏之心吧。

中国灰产行业规模之巨大，从业人员之众多，分工之明细，是海外很多科技企业很难想象的。我为什么判断说，这一次Anthropic发现的攻击行为不像是真正的政府支持的黑客组织干的呢？因为有太多的Claude code痕迹了，不像是专业团队干的活，更像是民间机构新手根据外界公开流传的信息，让Claude code补全操作的。如果是熟手的话，会有大量的现成漏洞、现成的凭证库和现成的代码段，它不会每一件事情都要求Claude code去干的。这次发现的攻击，大量依赖AI重新扫描、重新搜索已知漏洞，这不像成熟团队干的活。

大批的互联网大厂人毕业了，或者叫失业了吧，这些人呢是组织过双11，组织过春运抢票的人，这些人在中国之外的任何地方，都可以算绝对的稀缺人才。但是现在在中国，他们失业了，又不甘心去跑滴滴、跑外卖，可能就重新聚集起来给Anthropic表演一下什么叫中国大厂的专业性。

这次事件带来的思考

网站和系统的安全性必须要提升了。任何人都不需要经过长期的训练，在AI的帮助下都可以做的像国家级黑客组织做出这些活一样。这个就像病毒升级了，大家的免疫系统跟不上一样，这个是非常非常危险的。Anthropic提供的这些AI编码的agent，它可以帮助普通人直接实现很强烈的黑客攻击，原来的这种安全措施完完全全是不够用的。Claude code加上Claude sonnet 4.5确实是干这种活的最优选择，但是使用国内的模型效果稍微差一点，但基本上还是能用的。真正专业的黑客肯定会更加的如虎添翼。

总结

Anthropic发文说破获了中国国家级政府支持的黑客间谍活动。到底是不是中国国家级支持的活动？并没有明确证据，大概率不是，中国新灰产团队的概率更大一些。安全形势在AI agent的帮助下，已经发生了翻天覆地的变化。Anthropic现在发这样的一个文章出来，应该也是在给自己寻找新的商业拓展点，同时出来秀一秀肌肉，表明即使干脏活累活，自家的AI也是最优选择。

好，这就是今天要讲的故事。感谢大家收听，请帮忙点赞、点小铃铛、参加discord讨论群，也欢迎有兴趣、有能力的朋友加入我们的付费频道。再见。

ByteDance的AI大模型被他们自己家的实习生投毒。这是一个什么故事？大家好，这里是老范讲故事的YouTube频道。今天咱们来讲一讲这起投毒事件。不是说举个小药瓶去投毒，而是恶意代码投毒。

事情发生在6月份，一位姓田的博士生在ByteDance实习。因为某些待遇或者资源分配问题，他对ByteDance感觉不满，于是就在代码里面进行了投毒。投毒的方式是他自己进行了一些代码维护，但这些代码是安全的，主要是一些调试用的代码。这些代码去读取一些上传文件之后，就具备了攻击性。

什么意思呢？就是我们去训练大模型的时候，需要把大量的信息数据上传到大模型进行训练。他的这种调试代码上传到服务器上以后，这个时候还是安全的，然后把一些恶意代码隐藏在训练数据里边。他把这些数据读出来以后，就对整个ByteDance的一些训练集群进行了攻击。这其实是黑客普遍采用的一些手段。

谷歌就曾经将所有含有root代码的应用全部下架。什么叫root代码？就是安卓应用里头有一些代码，它可以帮助这些安卓程序获得root权限，也就是我们俗称的越狱。以前这些代码会被藏在安卓应用的各种数据文件里。大家知道，我们上传的一个应用里头，有一部分是执行代码，还有一部分是数据文件，比如图片呀或者是一些其他的应用需要的一些数据。他们把一些root代码存在这些数据里头，谷歌扫描发现了以后，就会把所有这些应用全下架。

苹果其实也干过这种事。苹果是把所有带有热更新的应用都下架了。这什么意思呢？就是你上传到苹果的时候，这里边是安全的，没有任何问题。但是，你会在这个应用运作的过程中，通过热更新的插件，从远端去下载一部分代码到苹果手机的本地去运行。实际上，这些代码就是躲过了苹果的代码检测。这位田姓博士也是如此，他自己签名上传的代码，其实这种代码上传都是要自己写名字的。

就知道是谁传的这些代码的，都是安全的。他呢，通过读取数据文件里边的一些攻击代码，然后去执行各种攻击操作。它呢，利用了Huggingface的一个漏洞。Huggingface应该是大模型时代最大的开源服务平台了，大量的开源模型、开源数据及开源数据包，都是在这个平台上去运作的。Huggingface相当于是大模型时代的GitHub。但是呢，这里面也是有一些漏洞了。他利用其中一个漏洞，修改了Pytorch的这个集群里边的一些代码。Pytorch是梅塔开源的，现在应用非常广泛的大模型底层支持的框架。

他这种修改呢，会随机的杀死很多的实验进程。因为像大模型训练就是这样，就是说我们现在开始训练了啊，它不是说这边一一命令开始，那边就结束了。它需要很长时间。在这么长的时间里头，可能就会有一些进程就失败了。他的这个程序上去以后呢，就随便点杀几个，说你们就直接死机吧，你们就不用干活了。所以导致呢，这些训练整个就没有完成。而且呢，还会去故意修改其他同事模型上的一些参数。

其实我们现在讲的开源大模型，这个词语不准确啊，应该叫开放权重或者开放一些参数的这些大模型。他去把里头的一些权重、一部分参数给改了，那么导致这些模型最后训练、评测的各种结果就完全不可控了。他就做了很多这样的事情。而且还干嘛，还去参加各种故障排除会议，然后根据故障排除会议的各种结果，再去修改自己的攻击代码，和纯纯的卧底。

那么我们讲到这了，大家是不是没听明白他到底怎么干的呢？我们讲一个普通人非程序员能够听懂的案例吧。一个什么样的案例呢？比如说我们今天用穷举法去破解密码。什么意思呢？比如说你现在有一个四位的密码，是从4个0到4个9，一共呢，是一万种状态啊，从0000到9999。什么叫穷举法呢？就是一个一个试，首先是0000，不对，再是0001，再是0002，它等于是这样的一个过程。现在有人进去攻击了。

攻击的方式是什么呢？就是在每一次从000到0001这样的跳转过程中，他给你随机多跳几个，或者少跳几个，或者倒着往回跳几个。这种攻击一旦发生，前面所有的测试就都失败了。比如说，我应该测完0001，然后测0002，再测0003，应该是这样一个一个挨着测，我才能保证我的穷举，把所有中间过程的数值都试过了。

但是，有一个人给你投毒了，恶意攻击你了。0000完了以后，我就直接测试了0008，啊，然后测试了0007，再然后测试了020几，什么的，就这样了。他等于随机跳了，那你说，我这不是都测了吗？问题在哪呢？就是你测试的过程，其实是没法去一个一个记录的，到底测了哪些，记了哪些，哪些没测，你这个事你不知道了。

穷举法的最大价值就是我挨着个儿的把所有的数都测一遍，但是你在测的过程中来回跳，这就是最简单的投毒方式。据说，这一次投毒造成了几千万美元的损失，因为他的模型评估结果忽高忽低。前面的所有测试数据，实际上都被污染了，必须重新来过。因为做这种大模型测试的话，第一个，这帮人就很贵。据说是因为这位田姓博士生的投毒，导致30多位各层级的员工，他们的工作都被浪费了。

大家要知道，能够干这件事情的人，本身的薪资是非常高的。就算是这种实习生，他们的薪水也不低。你想，他是个博士嘛。这些人啊，准备了大量的数据，可能还有很多人去帮着他们一块准备数据。再加上什么呢？烧显卡呀，你需要用大量的显卡算力来进行模型训练。训练完了以后再去进行评估，现在等于所有的这些评估数据都不可信了，只能把它们都扔掉。

就跟刚才我们讲的这个穷举法破密码似的，你现在告诉你说：“哎，我现在已经从0000破到9999了，没有找出密码来。”那咋办呢？只能从头开始啊，因为你搞不清楚到底哪些数测了，哪些数没测呀。他实际上干了这么一个事情，所以这个是非常严重的损失。前几天李开复还讲了，他说我们训练一次模型，需要三四百万美金的这种成本。

那么，这么长时间被他投毒，也就是数据污染的模型训练过程，现在都不知道有多少。所以，他这个事情到底有没有亏掉几千万美金，真不好说。外界传是有这么多，但是ByteDance自己的人说，应该没这么多。确实有损失，但是没有那么夸张。这个数据呢，我觉得，我们大家自己心里稍微有个数就可以了。

现在呢，对于这位实习生的处理，就是把他辞退了，然后呢，也对行业内的协会以及他所在的学校进行了通报。也就是这哥们再去什么地方上班，你们就别要他了。学校你自己看着办，是不是给一个处分，或者是如何去处理， let不让他毕业啊，你们自己看着办就行了。

目前呢，还没有进一步的诉讼或者追偿的措施。其实怎么说呢，这种学生未来未必不会成才啊。因为前面我们看奥本海默的这个电影的时候，我们知道奥本海默在上学的时候，是曾经尝试往他的导师吃的苹果里边打过毒药的。这种人最后也把原子弹操出来了。所以，这位实习的田姓博士生，反正不算是个笨人啊，未来到底能做什么不好说。当然，在中国这样的一个环境下，可能他也就没有什么未来了。

这个事情告诉我们一个什么样的道理呢？就是在工程管理里头，必然要面对一个人员管理的问题。这个事情呢，其实是谁都绕不过去的。人呢，并不是螺丝钉。很多的工程管理里边，都希望把人变成螺丝钉，变成没有感情的机器，这件事其实是有问题的。我记得以前经常讲说，怎么能够放心地把后背交给队友，这个就是大家在进行协作的时候，必须要思考的问题。

很多人都去参加过那种破冰团建。什么叫破冰团建？就是大家谁都不认识谁，为了能够组建一个团队，要把这个冰层敲开，叫破冰。这个里边都有一个项目，我参加过几次，每次都有这个项目。什么？背摔。就是两个手这么抱起来，站在一个台子上往后倒，就是你看不到后边。后边呢，是你所有的队友伸手接着你。这个过程就是培养对队友的这种信任。你说，我可以把我的后背交给大家，因为人向后摔的时候，特别是不看人的时候，你还站那么老高。

这是很危险的。反正我每次往后摔的时候，都心怀忐忑啊。因为为什么？胖啊，万一下去了以后大家没接住，这事不是很危险吗？当然，我现在还可以活蹦乱跳，在这跟大家讲故事啊，所以我的队友们每次都接住我了。

我记得原来看美剧，有一个美剧叫《梅林》，讲的是大法师梅林的故事。里边呢，就有这样的一个桥段，讲的是什么呢？一个平民冒充贵族成为骑士，在亚瑟王的这个团队里边去征战。而且呢，他的战功还非常的卓越。这个人在继续晋升的时候呢，他的身份就被揭穿了，说你不是一个贵族，你不可以成为骑士，你不可以在这里继续战斗下去，就把他赶走了。其他人就觉得很不公平，去问啊，为什么这样的一个人就不能够跟我们一起战斗呢？

给出的解释是这样的：之所以只有贵族才可以成为骑士，是因为我们必须知道他的父亲是谁，也必须知道他的家族是什么，必须知道他为什么事情感到荣耀。只有在这种情况下，我们才可以把后背交给他。

所以呢，自古以来，如何把后背交给别人这件事情，一直是团队管理、工程项目管理里头一个比较难以逾越的鸿沟，或者一个重大的难题吧。在古代，奴隶呢，可以在鞭子下面去修建金字塔，也可以修建长城。但是呢，奴隶是不太可能带着镣铐去实现现代科技创新的，因为这个需要脑力劳动的。而且这些脑力劳动最终的结果，是非常难以进行解读的。他不像是去修金字塔似的，你把这个石头搬上去了，就是搬上去了，奴隶主也好，或者监工也好，拎着鞭子在旁边是可以看到的。

而现在，你想，这家伙上去写代码，然后这个代码还有一定的隐藏性。我上传的时候，这代码没毛病，等传上去以后，他在里头做了一个变身，开始进行攻击，这种事情，你是一个人拎着鞭子在后边盯着，就可以盯明白了吗？这个事是不行的。

如何让高级打工人在工程允许的范围内，输出可控的结果，这件事呢，是现代很多大型软件工程里边都很头疼的事情。而且是不是可以在整个的工作过程中超越预期，这个也是大家需要去思考的事情。什么叫超越预期？

你想预期吗？一定是有不达到的、有达到的、超过的。现在工程上面说我们能够达到就行了，我们要求你给我做到80分，你给我最后做到80分了就OK了。但是最后做到90分、做到95分，那些产品呢，就叫超越预期的。人是可以输出很多不可解释的结果的，工程管理一般是要求你所有的结果、所有过程可以解释的，但是人经常会输出很多这种不可解释的结果。比如说那种充满了爱的寿司，那个寿司之王，他做出的那个寿司绝对没有标准化啊。工程处理的方式就是标准化，你们必须是多少力量，然后抓多少米、多少克，精确到多少，然后呢，捏几下力量到多少。这是工程用的方式。但是你想，寿司之王他有这个水平吗？人家是靠爱来做这个事情的，充满了对寿司的爱，然后做出了很好的寿司。所以人有时候会做出一些你完全无法想象的东西。

另外一面的话，在996高压工作、心怀怨怼的情况下，需要进行大型协作的工作是非常非常危险的。你说我一个人把这事搞定，那你就算心里再不满意，没准都是有可能能够做出来的。你想以前的铸剑，实在不行就把这个老婆孩子往那个炉子里扔，最后他也能把那个剑铸出来。但是现在不行啊，因为这么多人协作在一起。你说：“哎，有什么事我就扣你钱啊，有什么事你就必须加班啊。”而且要进行很严厉的处罚，每天从早骂到晚。这些人在一起协作，他是不可能做出一个好的产品来的。

其实咱们讲到前面，奴隶们在鞭子的驱赶下去修长城这个事，长城的质量真的好吗？孟姜女哭长城，你以为那个长城真的是她哭倒的吗？那个工程质量一定是有问题的。这一次犯错的是一个博士生，是一个实习生。当然在这个里边我要讲的是什么呢？就是我们不要去怪罪这个个人啊。出了问题一定是整个的工程项目管理有问题，而不是这一个人有问题。就任何人都有可能出问题，你不能说：“哎，别人都是好好的，怎么就你错了？”一定是你个人的问题，千万不要这么想这个事情啊。如果是这样去思考这个问题的话……

那么这一次出问题是一个偶发事件。下面继续出问题，继续是偶发事件。那么就永远不可能有任何改进了。需要改进的，只能是工程系统的这种管理过程，不可能是说我保证每一个人都怎么怎么样，这事是不现实的。

下一个问题是什么呢？就是开放跟封闭到底哪个更安全？其实这一次ByteDance的问题也暴露了一个新的问题。是什么呢？就是它是利用Huggingface上面的一些漏洞来去进行攻击的。那么你说这种开放的系统经常会被攻击， 经常会有问题暴露出来。而自古以来那些，比如中国传男不传女的那些工艺，包括像意大利威尼斯穆拉诺岛上的这些玻璃工艺，就坚决不允许外传，任何外传的人直接被杀头。

那么到底我们是应该使用中国或者是古代威尼斯这种封闭的技术管理方式，还是应该用Huggingface、GitHub这样的开放的技术管理方式呢？现在看，应该还是要开放。为什么呢？就是现代整个的互联网发展、移动互联网发展，包括现在的大模型的发展，都是建立在开放的技术平台上，都是建立在开源的基础上的。

虽然我们看到了很多问题，这一次Huggingface出问题了，前面比如说Linux哪儿出问题了，都是开源系统。但是你要相信，那些被封闭起来的系统里边儿问题更多，你只是不知道而已。开放的系统里边，我们有问题就可以发现，发现了以后就可以去改，这才是不断改进、不断完善的一个过程。越开放的地方，问题就越容易被发现，就越容易被改正，这才是开放真正的意义，而不是说你看出错了吧，下回赶快封起来，咱们再搞这个传男不传女，不能这么干。

开源呢，就是新时代的松藕河的合作模式，全世界陌生人都可以合作在一起，共同在开源项目中去贡献代码，去提升开源项目的这种进度与品质。时代的进步本身就是分工不断细化，以及合作更加广泛的一个代表。我们就是要继续向开放的路上接着走。所以呢，千万不要因为说开源系统出错了，我们以后就封闭。最后我们还要讲一个问题。

未来犯错的可能就不再是人了。这一次犯错的是这位姓田的博士生实习生。以后更多会犯错的是什么？是AITC大模型啊。这可能是我们需要思考的另外一个问题。AIGC也要参与到跟人的协作过程中来。那么，AIGC是否值得信任？

我记得在早期大模型出来以后，很多人就是说：“哎呀，这个大模型就像是一个刚刚走出校门的本科生，具备各种知识，但是呢，进到各种行业里边去，都会有一些水土不服的感觉。”现在我们就要面临这个问题了：我们需要跟这些AIGC大模型合作的时候，它到底是不是可信？

而AIGC的结果呢，其实是非常难以验证的，就跟这位田姓博士生给出的代码是一样的。为什么难以验证呢？第一个是量很大，很多的人可能没有AIGC的知识面全面，反应速度肯定更没有它快。但是呢，AIGC产生了大量的内容，产生了大量的结果，这些东西是没有人可以去一条一条去验证到底是不是正确的，人没有这个能力。而且呢，这些内容非常分散。

为什么要讲到分散这件事呢？就是刚才我们刚讲过，开源系统或者开放系统，它更容易发现问题。但是呢，有一个前提：这个系统有很多人用。有人开源了一个系统，从来没有人用，它的问题就很难被发现。一定是很多人都用过了以后，才更容易发现问题。

但是呢，AIGC生成的内容量非常大，分散在各个角落里头。有些内容会有人认真去看，有些内容可能没有人认真去看。那么，这些分散的内容，你要再想把它所有的错误都找出来，基本上是不可能的。而且呢，AIGC的工作过程基本上是不可解释的，并不是说AIGC整个的工作底层原理都不可解释。现在已经有很多人去尝试理解和分析AIGC到底是怎么工作的，每一次为什么给我们这样的结果。

但是大家要注意一个问题：它是有成本的。你要去确认AIGC这一次为什么这样给我结果，它是有成本的。如果每一次都要进行这样的确认的话，这个成本是没法接受的。

所以呢，AIGC所产生的大量工作过程都是不可解释的。而且，AIGC未来会有更多的端到端的这种结果输出。在这个过程中，他们整个输出的过程，人类是没法参与的。人类想要去参与这种协作，比如说我们几个人凑在一起去写程序，那我们要干嘛呢？首先要商量半天，哎呀，这个我们怎么写，怎么规定啊，这个代码应该怎么放，怎么去命名啊，如何去做架构，这要不停的商量，还要写大量的文档，大量的规范文件，写很多的注释，大家才可以一起去协作。

你一旦AIGC端到端了，我这边输入要求，那边出结果。上帝说要有光，于是就有了光，中间的过程完全都不知道，他也不需要写注释，因为他不需要跟自己解释任何事情。那么这种内容的话，人是没法读懂的。

所以呢，我觉得这一次ByteDance的这位博士实习生造成的投毒事件，其实会告诉我们说，未来我们去跟AIGC合作的时候，他就像这个实习生一样，他到底做了什么，到底怎么做的，为什么这么做，其实我们这些使用者也是不知道的。而且，你是完全没有办法去对过程和结果进行追踪和验证的。

所以可能未来如何去跟更多的人去合作，如何去跟更多的机器进行合作，如何去跟更多的人与机器结合的实体进行合作，可能是我们未来需要面临的新的挑战。好，这个故事就跟大家讲到这里，感谢大家收听。请帮忙点赞，点小铃铛，参加Discord讨论群，也欢迎有兴趣有能力的朋友加入我们的付费频道。再见。

外国人已经跑到中国来绘制地图了，这个非法测绘案到底是怎么回事？

大家好，这里是老范讲故事YouTube频道。

今天咱们来讲一讲最近传出的非法测绘案。事情是在10月17号传出来的，央视网消息，非法测绘案A公司为某国重点敏感项目承包商，没有中国境内的测绘资质，以研发无人驾驶汽车为由进行了多次转包。而B公司就是最后接单的公司，具有中国境内测绘资质，包到了这个业务，然后在国内多个省份进行测绘，购入了多辆汽车，并加装高精度雷达、GPS以及光学镜头等设备，企图提高测绘效率，降低被主管部门发现的风险。数据完全由A公司来管理，也就是境外的公司来管理，造成了泄密。

现在要求群众，如果发现可疑人员、设备、车辆在敏感地区开展非法测绘活动，应该及时通过拨打12339举报电话来进行举报。那么什么叫非法测绘？指的是违反国家法律法规，在未经授权或者超出授权范围的情况下进行的测绘活动。

那么这个里头的B公司，它是有测绘资质的，但第一个，我们的测绘资质有一些单位有全国的测绘资质，还有一些单位可能只有省内或者一个区内的测绘资质。那么它第一个肯定是有资质，但具体是不是超越范围了不确定。另一个，你测绘完了的数据应该是按照国家的要求保存在国内的服务器。如果你要把它拿给外国人或者拿给外商，还是需要经过审批的。现在肯定是没有经过相应的审批，就直接把这些数据泄露给国外了。

很多人说，中国有必要去搞得这么紧张兮兮的吗？现在卫星每天在天上飞多少圈，有多少颗卫星天天在头顶上飞来飞去，哪个地方到底有什么东西，这不是一清二楚吗？不能这么想的一个问题啊，卫星是天天在头顶上飞，你从上面往下看，你也确实能够看到地面上有很多奇怪的东西，但还是有一些事情你需要从地面上去看。比如说间谍卫星在中国新疆或者甘肃一带飞行的时候，发现沙漠里头有一个航母，这玩意是啥？他可能从上往下拍，可以拍到图像。

但是搞不清楚东西到底是个什么。为什么地上会有一个长得像航母一样的东西？这个你就要找人到现场去看去。我记得在珍珠港事件之前，日本也是派了间谍到珍珠港去，干嘛？数这个舰艇的数据，看大家几点上班、几点下班，有哪条船进来了、哪条船出去了。这些东西你就算在头顶上都看完了，以后你还是要有人跑到现场去瞅去，这个还是有一定的敏感性的。

而且你说，中国境内那么多使用GPS信号的这些设备，他们是怎么工作的？他们其实是对GPS信号进行了偏移。美国的GPS信号也是分民用版和军用版，军用版是很准确的。咱们现在只能使用民用版的GPS信号，那么我们就需要把偏移给它矫正掉，才可以使用在这块。在GPS刚刚发射上去以后，国内就有很多的团队在研究这些事情。

但是现在我们在国内的手机导航，基本上用的都是北斗，也就不再使用GPS的这些数据了。可能应该是北斗跟GPS都在用。谷歌地图这个产品应该是比较晚退出中国，现在到底是不是完全退出中国，我不太确定。谷歌最后是有两个产品是退出的比较晚的，一个是谷歌翻译，一个是谷歌地图。谷歌翻译到现在应该用translate.google.cn的这个网址还是能上去的，谷歌地图我不确定现在是不是退出了。

那么谷歌地图包括苹果地图，他们在中国使用的数据是哪的数据呢？他们使用的是高德的数据。那你说我现在要到中国来，我要去用谷歌导航，你是不可以自己跑到中国来测绘的，一定要用别人的、有勘测资质的这些人，你要用他的数据。像我们在国内使用苹果地图、谷歌地图都是可以使用的，不是说到中国地图就使不了了，还可以用，要使用高德的数据。

而百度地图原来用的是四维图新的数据，四维图新是有质的、有勘测资质的。现在百度是有自己独立的牌照，所以百度现在自己也在使用自己的测绘数据。高德地图原来就是有资质的，所以一直在使用自己的数据。还有一些各地的这种研究所、测绘所，他们有一些牌照，但是呢，不怎么挣钱。

现在到底是谁翻车了？不确定啊。原来，我们其实发生过一些这种泄密事件。什么样的呢？比如说，有一段时间，有很多的军用机场开放给民用，特别是中国联合航空。他们其实很多都是军用机场和军用飞行员。买了这些民用的飞机，为大家提供服务的时候，这些军用机场就会开放。而这些军用机场开放了以后，也会有波音或者空客这些公司的客机落在上面。那飞机上都是有GPS的，都是有很完善的这种定位系统的。所以，他们也发生过一些相应的问题。

不同的国家对于测绘数据的敏感度，其实要求是不一样的。中国对于测绘，对于地图这件事，相对来说，要比西方大部分国家还是要稍微敏感一些。以前都是说“一寸山河一寸血”，不能够把祖宗留下来的土地丢掉一点。甚至是很多中国古代的故事都是说，一旦是一个国家投降了，一定要拿着地图册去投降。你看，这是我们的地图册，这是我们的户籍册。把这两个东西交上去以后，就相当于这个国家投降了。这是一个自古以来的传统，我们现在还算相对比较重视，但已经好很多了。

现在我们要求的就是，敏感地区你在敏感地区里头不要使用这些内容。所以，如果你现在使用谷歌地球，你看中国的很多的位置都会涂灰掉，这一块是敏感区域，我不给你显示，其他地方你可以看。你比如以北京地图为例，不是谷歌地图，咱们讲清楚，谷歌地球。你进去以后，你会看到北京大概也是中南海什么，整个这一片是灰的，你是完全看不见的。中国政府就告诉你说，这是敏感地区，你把它抹了，谷歌地球就给你抹掉，就完事了。现在只要不是敏感地区，其实我们要求还是比较松散的。

有没有比咱们要求更严的？还有沙特当年出过一个什么事。在海湾战争的时候，美国大兵就是住在沙特，从这个地方再把部队向伊拉克、向科威特这边去调动。有很多的小商小贩就在美国的军营外卖东西，其中就出现了一次这种非法测绘或者很严重的泄密事件。他是怎么泄密的呢？有人印了个T恤，T恤上呢，是一个坦克，一个骆驼，一个棕榈树和一个沙特地图。

沙特当时负责这个事务的联络官就找到了美国当时的中央地区的司令部的司令，叫施瓦斯科普夫。他找到他说，泄密了，出现严重的泄密事件。说什么事？他说，你看这T恤。它这T恤怎么了？说这个沙特国家的地图到底有多大，或者是一个具体是一个什么样的形状，是国家机密，不能知道。他还不像咱们似的，咱们国家长得像一个雄鸡一样，这件事大家是可以知道的。但是他是不允许知道这个事情，虽然在沙特以外的民众都可以知道，但沙特本国的民众是不允许知道沙特地图长成什么样了。

这个也是当时的一个很有趣的事件。有比咱们做的更过分的同类的这种测绘事件，如果发生在美国或者其他的欧洲国家，大概处理方式跟咱们都差不太多。他们也是有敏感地区，敏感地区你别进去就完了。你不是敏感地区，其实关系并没有那么大。我记得在北京，比如像香山八大处，有一些地方就会有一个链子，或者有一个牌子立在那儿，说外国人不得越过，中国人你可以过去。

天安门广场以前天安门城楼边上有一个大牌子，竖起来竖着的。那个东西是干嘛使的？当时在修北京饭店的时候，据说是周总理上到北京饭店顶楼以后，向中南海的方向眺望，说这个不行啊，这个地方你直接举个狙击枪就直接打到了，或者举个望远镜你都看到了，这个是不允许的。这个有两个解决方案，第一个就是把北京饭店去两层，这样你就看不着了；还有一种就是在中间立牌子，在这个牌子把这个视线给挡住。

所以最终我们的解决方案是在天安门城楼的一侧立了一个大牌子起来。这个牌子现在应该已经不在了，他们现在已经没有那么敏感了，当时是有过的。所以，这就是我们对于非法测绘的这个界定，以及怎么去进行测绘牌照的受理和国际上如何去进行协作的一个简单介绍。

那你说这事真的发生过了吗？这个事按道理来说并不是空穴来风，因为已经有一些企业宣布说与涉事公司断绝合作关系了，所以一定是有的。国家测绘地理信息局等相关部门也发文表示，要严格管理非法测绘行为。

所以这件事情应该是有发生过的。那么到底是谁？其实我们到现在为止并不知道到底是谁。只是我们知道到底不是谁。

有几个公司连夜发出了声明。第一个是特斯拉。特斯拉连夜说：“这事跟我没关系，我们是合法合规的，完全遵守各种规章制度，跟我没关系，所以大家不用担心说FSD怎么样了，没事接着干。”

第二个就是四维图新。因为原来是百度有这个地图，高德有地图，现在是国内最大的两个导航软件。四维图新大家就觉得是不是你心里不太顺畅，自己原来也是跟大家平起平坐的，现在被百度跟高德赶超过去了，以后是不是你干的这个事。四维图新也赶快出来说：“我没干这个事，我们也向来是合法合规的，遵守各种规章制度。”四维图新今天的股价还稍微涨了一点，原因也很简单，多少年大家没想起来他了，突然跳到大家面前来，让大家看到你了，股价稍微上涨。

很多人就开始猜测是不是Mobile Eye。Mobile Eye是一个以色列公司，最早开始进行自动驾驶相关的训练，以及自动辅助驾驶相关产品的售卖。现在特斯拉也好，包括国内的各种新势力，都不再使用Mobile Eye的产品。现在Mobile Eye也是日暮西山的一个状态，所以有人就怀疑说是不是你。Mobile Eye也赶快跳出来：“跟我没关系啊，我也向来是守规矩的。”

另外一个跳出来喊的是极氪汽车。为什么？因为他用的是Mobile Eye的方案，所以大家觉得是不是极氪干的。极氪现在也出来喊：“不是我们，谣言止于智者。极客001使用的是Mobile Eye，等到最新版本的极氪已经换了，我们换了一家了，跟他们没关系了，不是我们。”

现在我们只知道不是谁。那么为什么不能够发布这个名字？几个原因。第一个是这些名字发布出来，估计大家也没听说过，可能就是一些没有那么响亮的公司，所以发布出来没有效果。你不发布出来，反而可以让你行不可知则威不可测，大家都心有戚戚焉一些。

那么大家真正要思考的是什么？为什么现在发的这个事情？

10月17号应该是10月16号发的公告。10月17号，各个媒体都在进行报道。那么，为什么现在发？有一点是肯定的，这个事一定不是现在发生的。如果说这事10月份发生的，10月16号就开始发消息，咱们从来没有这么快过。按道理来说，这个事情应该是过去一两年中的某一个时间点发生的，甚至有可能时间更久远一些。

这个发布的时间点其实是很重要的。我们在这个时间点发这个消息，一定是在这个时间点发生了一些什么事情。那么，这个时间点发生了什么呢？欧盟和美国都在对中国的电动汽车加税，而且，美国禁止中国电动车的各种配件进口，声称我们不能够去买中国的电动车的这种智能相关的配件和数据相关的配件都不能买。

而且在这个时候，我们还在积极推进马斯克FSD入华。这个事情让我们觉得肯定丢人了吧，中国人最重的是面子。我这头欢迎你进来，结果你把我所有东西都防着。我觉得你是可信的，结果你却觉得我是贼，这事肯定是不行。所以在这个时候，一定要出来敲山震虎一下。

很多境外的车企其实还是看好中国市场，希望在中国好好卖他们家的车，特别是使用Mobile Eye方案的这些车企。很多德系车企和日系车企实际上都是使用Mobile Eye方案的，他们也还是要去摇旗呐喊一下，表示中国还是挺安全的。

这个生意人的话，大家一定要看他讲这个话，对他的生意是不是有好处就行了。就像这一次，欧盟要给中国汽车加税的时候，德国也是反对的，因为德国车企多，特别像大众这样的车企，每年有很大一部分的车都是卖到中国来的。如果对他进行对等制裁，他也受不了。

所以在这块，我们还是要对这些境外车企稍微露一露肌肉。另外，中国政府可能觉得，人家欧盟制裁我们的电动车，我们回手掏了一个白兰地出来，这个力度不是很够，有问题。我们看看能不能再去给大家稍微添点恶心，所以要再去搞一个非法测绘的事情。中国政府另外一方面，也不希望国内技术快速外流。

因为国内的厂商应对全世界这种加税、这种禁止中国零部件出口的政策或法规，他们所使用的方式也很简单：尽量把国内的这些技术搬到国外去认证，声称这个技术是在国外使用的。这样，他们就可以在国外进行很好的销售。这并不是中国政府所希望看到的，政府还是希望马斯克能够进来，大家也都能放行，认为在硬件这块可以做得很好，其他的方面再看看怎么能够商量起来。

所以，现在我们去看这个非法测绘案，大家是不是在看看，给各自的政府施一施压力？你们还想在中国市场上卖车吗？我们看看怎么能够把这个事情再继续往前走一点。也就是如此了。

好，这个故事跟大家讲到这里，感谢大家收听。请帮忙点赞，点小铃铛，参加Discord讨论群。也欢迎有兴趣、有能力的朋友加入我们的付费频道。再见。

网文作者向AIGC发起了反击。中国最大的网文平台番茄小说，因为在协议里要求网文作者授权他们使用作品进行大模型训练，导致这些作家纷纷退网，纷纷停更，向他们正式发起了反击。

大家好，这里是老范讲故事的YouTube频道。今天咱们来讲一讲番茄小说的AI附加条款到底是怎么回事。上面写了，任何作者到任何的小说平台上去写小说，都是要跟人家签协议的。说我在你这里写小说，遵守你的规则，你给我分钱。

番茄小说的协议里头呢，就突然多了一个条款，这个条款呢叫做AI附加条款。条款怎么写的？甲方可将签约作品的全部部分内容以及相关信息，包括作品名称、简介、大纲、章节、人物、作者个人信息、封面等数据语料、文本素材等，用于标注合成数据数据库建设、AI人工智能研发、机器学习模型训练、深度合成算法研发等目前已知或未来开发的新技术研发应用领域，包括但不限于：一、用于智能对话、智能文本、图像、视听语音等作品成品的编辑生成转换、深度合成、虚拟现实技术等再研发和应用；二、用于任何技术下的AI人工智能模型训练，或用于生成提供给模型训练的合成数据数据库；三、其他任何新技术研发或应用场景。

注：甲方是番茄小说，乙方为作者。他呢是在这个里边加了这么一段。小说网站跟写手之间呢都会去签这种叫格式合同。什么叫格式合同？就是说我不会一个一个给你谈。我今要到先番茄写小说去了，番茄派一个律师跟我的律师去谈，说这个条款怎么样，没这个啊，就是一个标准合同。愿意就愿意，不愿意拉倒。你说我想改任何一个字，滚，对吧？就是这样的一个状态。

当年呢，我们在盛大电子书的时候，也遇到过这种问题，盛大文学跟所有的作者……

肯定也都签了有类似这样的格式合同。但是，我们当时做电子书的时候，遇到一个什么小奇怪的事情呢？当时签的协议是，我们通过互联网发行他们的内容，我们已经得到授权了。那你说没问题啊，我们做电子书不就行了吗？哎，问题在这了。我们通过互联网网站发行是OK的，但是你通过电子书、通过移动互联网、通过其他的方式再发行呢，这个事是有问题的，没有在合同的范围内。

那当时我们怎么办的呢？我们在电子书里头写了个浏览器，所有再去阅读的呢，我们是通过浏览器直接从网站上进行缓存，这样去使用的。这样我等于又在这个合同的范围内了。这也能够理解到，为什么上面番茄写的这个协议写得这么霸道。哪霸道了？现有的技术我都可以用，未来我在研发任何技术，我也都可以用。至于未来我到底想研发什么，我不知道，但都能用上来。就是包括但不限于这个不限于，就是现在我正在用的，未来的这些，没写进去的，你都得让我去用上去。

所有的律师写协议都是这么写的，把自己的权利写得无限大，把别人的权利写得无限小，所有解释权在自己。协议写得霸气似漏，但这种协议呢，你说有人看吗？没有人看。整个协议非常长，这只是其中的一个很小的权利而已。这个条款什么时候加的？2023年的11月还是12月份加进去的，大家也没注意。一直到今年的7月份，有些人发现了，哎，说这个版本怎么多了一行，或者多了这么一个小模块在里头。这事不行，有人发现了以后，大家就开始在一些作家论坛里讨论这件事情，逐渐发酵。发酵到一个什么程度呢？说我们要去停耕，要去转场，要去抗议。什么意思？就是现在的小说都是连载小说，我写了个30章，50章后边一章一章往下写，我发现有问题了。

那我就停更啊，停止更新了。或者说，我以后不在你这写了，我上其他地方写去，对吧？写小说的网站也不是只有你一家。而且其他各家的小说网站呢，都没有在协议里头增加这样的一个奇怪的条款，只有你番茄小说啊，敢为天下先加进去了。所以大家就开始去抗议。

番茄小说呢，也进行了一定的调整。调整是什么呢？特别有意思啊，他推出了一个流程，就是取消AI授权的一个流程。就是你可以到网站上去申请，说我要去取消这个授权了。他会给你寄一个纸质的合同来，你呢，自己去签字，自己去盖章，然后再给人寄回去。这样你就可以取消这个条款了。

这个合同上写的是什么呢？就是啊，你前面跟我签的这个协议中间这个条款我们把它作废掉，但是其他的协议上的条款依然有效啊。大概就写这样的一个东西。但是呢，它这个里头，有一个特别有意思的附加项，是什么呢？为避免异议，乙方同意，若甲方使用签约作品训练开发新技术，并生成文字内容进行传播使用，乙方不得因此向甲方或其他经甲方授权，使用新技术的第三方主张任何违约或侵权责任。大家看到耍流氓的地方了吧？哎，说你可以不授权给我，但是我用了以后你不能告我。

这个叫取消AI授权条款，一个协议，作者呢，肯定还是不乐意啊，你这不耍流氓吗？很多人就决定要离开啊。但是也有一些新作者说，算了，你学就学吧，反正我们自己也是拿AI去写。也有的人说，我就认了的啊。但是很多觉得自己写的还不错的这些老作者就要纷纷离开了。

这个里边呢，也有一些写手说，我去验证一下，他到底有没有拿我们的作品去训练大模型呢？很多人说，哎，我验证了，他真的干了啊。但是在这里要指出呢，就是这些作者也好，写手也好，他们的验证方法都是非常不严谨的。他们的验证的过程呢……

证明了他们对于AI使用方式的无知。他们怎么验证这件事呢？通过豆包大模型。因为刚才我们讲了，番茄小说后台是字节跳动，这么多大模型里头，谁是字节跳动出的呢？豆包大模型啊。他到豆包大模型里去问，问道：“我的小说写得怎么样？我的小说里头有哪些人物？我的小说的题纲是什么样的？给我总结一下。”问了一堆这种问题，豆包大模型呢，就非常准确地都给他回答出来了。

“你这小说叫什么？主要人物是什么？核心写的是什么东西？有一个什么样的章节？整个的提纲是什么？”都给他拎出来了。于是当时这哥们就惊了，说：“这疯了吧？这我写了半天，付出这么多心血，你怎么就全都给我拎出来了呢？”这里要讲，大模型的训练呢，不是这么简单的。你如果只是使用豆包大模型，直接去问这些问题，他未必可以回答得这么好。而且豆包大模型，实际上在国内各个大模型里头，算是表现比较差的一个。

但是怎么又能回答得这么准确呢？他使用的叫搜索增强的一个技术。正常的工作是这样的：当你去输入某本小说，告诉我是在讲什么的时候，他呢，先做的不是内容生成，而是先到网上去搜索了。搜索完了以后，他找到了你这本书，找到了所有公开的章节，然后对这些内容进行了总结归纳，最后再输出。所以你会看到它非常非常的精确。

那么这位作者呢，也尝试了使用闻信遗言、通一千问，就是百度、阿里这些工具，去搜索他的小说，发现效果也很好，回答的都非常非常精确。他说：“我没有授权他们呀。”但是这实际上是一个搜索结果的总结，跟你是不是授权给别人是没有关系的。这个作者还有一些作品，没有在番茄小说上，他把有一些作品放在其他的小说网站上了。他去问番茄小说：“我那本作品怎么样？”

发现，哎，居然也都说得挺好的啊，说得非常的完整，非常的准确。这个作者说：“你看，我们的小说已经都拿去训练大模型了，这个日子没法过了。”但是呢，整个的验证过程只能说明这个小说的写手并不太了解AI大冒险到底是怎么干活的。现在的AI写作已经带来了一些恐慌了。所有平台实际上都推出了AI写作功能，或者叫AI辅助写作功能，并不是说要给我写本小说，AI吭吭吭给你写去了，不是这样。而是什么呢？他们很多平台推出了叫AI工具箱。在你写小说的时候，可以进行AI扩写。你可以写一个简单的段落，咔一下给你把它写得比较长，这是AI比较擅长的。

包括呢，AI改写。你写的文采不是很好，或者是错别字比较多，说来AI给我去处理一下，它会给你整个的润色一下。包括一些自定义的描写，我现在想描述一下这个山庄非常漂亮，像我们刚才讲的，山庄好漂亮，语言很匮乏。那么你就可以交给AI，它会去给你进行一个比较详尽的描写。包括AI续写，你写了一半的说：“来，把这个场景再接着给我看，写下去。”这个现在AI都已经可以实现了。不光是番茄小说，各个小说平台的网站上都有这种AI工具箱了。

但是这些呢，并没有吓到作者。真正吓到作者的是什么呢？是有人一天上传了200本小说，不是200个字，不是200个章节，是200本。这个事呢，其实并不是AI直接照着大家的小说去写的，这种东西叫AI洗稿，这是完全另外的一套流程，跟你使用什么样的大模型，这个模型是不是使用了你的作品进行训练，已经没有任何关系了。AI洗稿到底是怎么干的呢？AI写稿实际上是使用的AI agent的这种工作流实现。你先指定一本小说，然后呢……

他把这个小说按照章节进行总结归纳，把提纲拎出来。然后再把里面的人物关系、这些主体都拎出来。拎好了以后，他把这些东西填给一个新的作者，说：“来，你现在可以去修改了。”他把这个名字改了，把人名、地名、故事的前后结构因果稍微调整一下以后，等于再生成一个新的提纲。拿到提纲以后，AI按照提纲去生成。通过这样的一个方式，确确实实可以看到这种一天200本的效果。

一个人写小说，不要说写一本了，写一个章节那一天也得坐在那，吭哧瘪肚的写两三个小时。上了AI以后说，一天200本，这是一个多么吓人的事情。现在还有很多人在卖这种提纲，什么意思呢？就是他把一些已经总结好的，先干什么后干什么，启程转合，哪个地方被人欺负了，什么地方在翻转打脸，把所有这些提纲东西写好了。他们拿这玩意儿卖钱，你只需要进去干嘛呢？改名字就行了，张三改成李四，李四改成王五，女主角一定记住叫李柳如烟，其他的随便改。改完了以后，一键生成，一分钟可以生成几千字，速度非常非常快。

一天你说200倍有点夸张，但如果你有一个账号，如果是在本级跑的话，我觉得一天跑个十几二十本是没什么问题的。如果是在云端开很多个账号并行跑的话，是可以出一天200本这样的速度的。

而现在，小说平台已经跟以前不一样了，已经洗过牌了。现在小说平台基本上是大厂的流量厮杀了。我以前在盛大，盛大文学也就是起点，后来起点这套东西卖给了阅文，阅文也上市了，等于在腾讯手底下。那你说当时我们有全中国大概百分之九十几的作者和百分之九十多的更大的一个比例的作品的版权，但现在已经不是这么回事了。

现在排第一的是番茄小说，大概有接近2亿的月活用户，字节跳动是背后的东家。第二名是掌阅，掌阅做阅读器，做小说的手机阅读APP。刚才我们讲的阅读器是电子书，他们大概有1.5亿的用户。这个公司除了他们自己的个人创始人之外，真正的机构股东只有一个，占10%股份的叫字节跳动。这也是字节加的。

然后是QQ阅读、微信读书、起点读书，这都属于腾讯系的。再往后是七猫免费小说，后边是谁呢？是百度。再往后是书旗小说，图书的“书旗帜”的“旗”，这个后边是谁呢？是阿里。

所以现在的整个网文阅读市场基本上是被大巨头们挤干净了。那么作者应该如何跟AI一起前进呢？千万不要想着说我们就不用AI，这个事是不对的。另外，也不要想着不劳而获，认为我在网上报个课，拿着人家的题纲改几个名字，然后命令AI去生成，生成完了以后就去投放，就可以躺着挣钱了。这事也别想。

我反复跟大家讲，面对AI的时候不能退缩，也不能想着不劳而获，这两个永远是错误的。作者真正应该跟AI做的，是一起前进，与AI互补，快速地让AI来完成一些自己不擅长的事情，快速地产出更多的内容。但是绝不是说一天200本。比如说我，还是按原来的这个故事大纲再往前写，故事大纲我自己有一个设定，包括故事的各种深层次含义的设定，我们都把它写好，写完了以后再让AI去帮我们填肉，让AI帮我们去检查，让AI帮我们去润色。这个过程应该是人跟AI一起配合来工作的。

就像Photoshop刚出来的时候，很多传统的设计师是不愿意使用Photoshop的，但是现在他们认为……

使用Photoshop，已经算是设计师的基本技巧了。比起这些使用AIGC的人，还是算原创了。再往后一步，可能使用AIGC的人也算原创了。那种不劳而获的人，才是真正应该去骂的人。或者应该快速地拥抱AI。那么，平台应该如何拥抱AI呢？不是像现在这样，就给大家提供一堆的AI创作工具就完事了，而是什么呢？平台应该会封杀AI洗稿内容，对吧？就像刚才我们讲的，有一个基本的框架了，然后只管在后边改名字就完事了。这是不对的。

其实洗稿这件事，在AI出来之前就有人洗。我们也见过很多的公司，直接把中文系的学生毕业了以后全包下来，坐在那写稿。他们怎么写呢？他们有完整的流程，先看看哪本小说好，完了以后进行提纲的提炼，再进行前后次序的颠倒，然后改名字，再去让人照着这个提纲去写小说。现在呢，只是把这些人的工作替换掉了，由AI来搞定。

但是以前人写稿的小说，都是出现在什么火车站、飞机场、长途汽车站。它就属于是盗版书，他们那种书印的字特别小。现在呢，通过网络去传播，通过微信公众号，通过很多这种私域的方式去传播这种小说。以前大家也知道，这些小说算盗版小说，不敢明着卖。现在平台也是会封杀这些小说的，为什么呢？因为这些小说多了以后，对于平台本身是不利的。你太多的这种喜感小说进来以后，真人作者就全跑了，以后就没有新套路。

大家始终在这里去洗这种最底层套路的东西。你的用户可能也就慢慢流失掉了，留下来的都是一些缺乏购买力的用户。不是说吸引不到人，还是会吸引到一些人，但是这些人就属于三低人群：低年龄、低文化、低收入。你希望他给你创造很多的收益吗？这事是很难的。

平台下一件事该做的是什么呢？就是提升检测工具，这种内容给它识别出来啊，谁是写稿的文啊，谁不是要能认出来。然后呢，版权保护的标准也有待提升。原来这种书因为比较少，所以呢，他可以靠举报来去找到这种盗版书，现在已经不一样啊，这种内容非常多，一天可以生产200本了。那么，他需要靠自动化的方式，光靠一尺道高一丈啊，我们应该可以能够识别这样的洗稿内容。只有原创的新故事，才是真正有价值的东西，也只有真人才能生产出来这种原创的新故事，至少目前为止是这样。

平台还需要干的一件事呢，就是积极的探索新的阅读与交互方式。因为传统的都是说啊，写出小说来大家看，看完了以后，甭管你是去看广告也好，还是去付费也好，平台以此来盈利。现在因为你创造内容更多了嘛，就可以有些新互动模式。是什么呢？比如互动小说如何服务好作者，而作者跟读者之间的界限呢，就会更加模糊一些啊。最早的网文作者其实也都是读者，我们看别人写的很好，我也要写一个，也是这么来的。

那么以后的话，可能这个界限就会更模糊。平台最终所需要的呢，还是有流量，但流量一定是要靠什么？更多的原创故事，你才可以有更高质量的流量回来。所以平台呢，会在AI应用的过程中进行一个平衡路线的选择。他们需要AI来去帮他们创作更多的内容，但同时呢，他们也会限制AI，不能把真正的真人作的内容给他洗掉，把所有真人都洗跑了，这事就没法玩了。

这个呢，就是今天我们讲的网文作者面对中国最大小说平台番茄小说打响了反对AI训练的第一枪的故事。感谢大家收听，请帮忙点赞点小铃铛，参加Disco讨论群。也欢迎有兴趣、有能力的朋友加入我们的付费频道，再见。

GPT5如果再不出的话，可能就没有机会了。大家好，这里是老范讲故事的YOUT5频道。今天咱们来讲一讲OpenAI现在身上的压力到底有多大。再不出GPT5，可能真的要出事儿了，因为前面吹过的牛实在太多了，特别是Sola这样的模型，号称可以直接生成长的视频出来，到现在已经半年了，还没有真正拿出来，只是每个月放出几个视频而已。而其他各个公司，按照Sora方向做的产品，已经都开始在公众测试了，这对他们来说一定是巨大的压力。

前一段时间发布的Aceropic Claude 3.5 Sonnet，也把压力给到了OpenAI，因为这个模型的效果已经非常好，而且极其便宜。更不要说昨天刚刚发布的LlamaB这样的一个开源模型。前面咱们讲的Aceropic的模型还是闭源的，而Llama可是个开源模型。405B的话，在各个层次上，都赶超了OpenAI的Chat GPT-4。老大的位置有可能会丧失。

大家注意，OpenAI这样的一家公司，可能不会轰然倒下，但对于一个领域的开拓者来说，丢失老大的位置是非常非常可悲的，基本上跟死掉了没有太大的区别。所以现在对于OpenAI来说，他们最害怕的就是把老大的位置丢了。

目前的应对方式也很怪，头一天先发了GPT-4欧MINI，第二天人家Llama3.1 405B就开始偷跑。是谁在偷谁的家？我们现在看到了一个叫互相偷家的故事。

就是每一边都是在对方最强大的地方打了一根钉子。GPT4O MINI是打的Llama这样的小模型。原来很多人图便宜啊，我要用这种8币的模型，用70币的模型去进行微调，去进行各种各样的定制化开发，以后满足特定场景需求。那么好了，我现在推出GPT4O MINI啊，把这个市场抢过来。这边一个嘴巴子扇过去了，那头一看说：“哎，还有这事呢，老师来，我给你上个大的。你们原来不是说大模型厉害吗？PPT4O厉害，对吧？我直接给你上一个拉嘛，3.1405B超越你的碳模型。”所以叫相互偷家。

咱们还记得谷歌I/O开始的前一天，OpenAI在干嘛吗？啊，他发布了GPT4O端到端的语言训练模型。其实到现在为止，我们依然没有看到端到端的语言模型。现在看到的GPT4O依然是啊，要给它进行语音识别，处理完了以后，再给我们念回来的一个过程。这个端到端的模型，包括加上视觉的模型这一部分，现在也没拿出来。但是，就是要赶在谷歌I/O之前发，提前一天，导致了谷歌I/O上发布的Gemini 1.5 Flash，本来是做类似事情的模型一下就显得不香了，对吧？

那么这一次呢，我们看到的是非常神奇的GPT4O MINI，应该是啊，计划好了进行发布。阿克伯格那边说：“哎，我们原来虽然没计划好，但是咱们表演一个偷家吧，直接把磁力链放到Reddit里头，就直接偷跑出来了。”所以这一次呢，应该算是OpenAI被梅塔抄了后路了。

Open AI GPT4O Mini 这样的一个模型，最初想去偷梅塔拉嘛的，后加的时候还有后续的动作出来。这个后续动作是什么呢？免费微调啊。什么意思呢？就是我们发布的这种预训练模型，如果想让它按照你所期望的方式去工作，是需要去微调的。微调这种模型本身是比较贵的，原来 GPT3.5 和 GPT4 都是允许微调的。

这个怎么干呢？就是说你上传一个文件上去，这个文件就是我说什么你回答什么，大概是这样的一个格式。当你把这个文件上传上去以后，就可以请求这个文件给你微调一个版本出来。那么这个版本的模型，是只有你自己能用的。原来也有这样的功能，现在到 GPT4O Mini 这儿，我们不是要抢Llama 38B 这样的生意吗？来，微调免费了，至少在一段时间内，微调是限时免费的。

本身这种小模型的微调就比较便宜，GPT4O Mini 就算是过完了限面，开始收费了。它的调试成本也是相对来说比较低的，100 万 TOKEN 的调试可能是 3 美金还是 5 美金。但是微调以后的那个模型，你再去使用就要贵一些了。GPT4O Mini 正常的输出 100 万 TOKEN 是 60 美分，而微调过的版本，因为这个版本只给你一个人用或者只给你一个团队来使用，这个成本就都要你自己来承担，100 万 TOKEN 是 1.2 美金，价格翻了一倍。这就是直接放出来的价格，这就是要抄家了。

大家知道Llama3这种东西的微调成本是多少吗？你说自己有显卡啊，或者说我用谷歌的云上，谷歌云上是可以薅羊毛的啊。你是可以免费开一个云主机，快速的调完了把它关掉，这个过程是不用付钱的。咱们不去参考这个价格，咱们看看gather上的价格是什么样的啊。

Llama3.18B的模型啊，咱们不要去调那个405B啊，那个东西很贵的。咱们调这个8B的模型，100万TOKEN，10次以内的迭代。因为你微调的时候，它会让你选你到底是调几次，10次以内的迭代，5美金啊，基本上是在同样的价格。所以我也在猜测GPT4O MINI的大小，应该也就是8币9币这样的一个程度，否则的话，这个价格是没法去比对的。

因为Llama3.18币啊，输出100万TOKEN的价格大概是0.9美金，微调100万TOKEN的价格是5美金。那GPT四O Mini输出100万TOKEN的价格是0.6美金，微调的话是3美金。当然现在是限免啊。

稍微在这里讲一下微调跟RAG之间的差别。以前我们讲了很多跟RAG自我、本地知识库相关的这种知识。那么什么时候上微调，什么时候上RAG呢？举一个简单案例吧，就是现在来了一个新的毕业生。微调相当于什么呢？叫入职培训。你来了以后，我先给你做个入职培训，看到领导要鞠躬，看到客户要说，先说你好，然后呢再给你一个入职手册，先把这东西都背下来。你以后就按照这个方式去工作。微调了以后，这样的版本。

我们经过了入职培训以后的版本。你问他相关的问题，就是入职手册写过的问题，他都会对答如流，按对入职手册回答给你，没有任何问题。而且呢，按照你要求的格式来输出。看见领导鞠躬，他会干的。

微调有一个问题是什么呢？就是超出手册的东西就没有了，这就是微调干的活。那你说RAG是干什么呢？RAG相当于给你发了一本字典，你随时需要查，随时可以查。说我现在需要查一下这个问题怎么办？那个问题怎么办？你随时在字典里去查。

我们一个新员工入职了，比如某位同学大学毕业，到公司上班来了，入职培训要做，对吧？字典也要发。这就是微调跟RAG之间的关系。RAG其实对于OpenAI来说，对于Llama来说没有太大的区别，大家都可以做。但是呢，微调原来GPT这块是要贵很多的，这个模型也贵。你微调了以后，整个微调的过程也都相对来说比较贵。

现在，OpenAI就在这一块跟Llama彻底找齐了。你说我们去调那个405B去，其实意义不大。一般微调就是调小模型，你去找一个大模型出来调，这实在太贵了。咱们还是以刚才这个新员工入职的过程来讲微调。你去找一个应届毕业生，让他做新员工入职培训，这个效果是相对来说比较好的。

对，我找猎头公司，从别的公司挖一大牛回来，或者我从其他公司挖一CEO回来，让他坐在这给新员工培训，这不扯淡吗？就这样，微调大模型的效果就是这样，又费劲效果还未必好。

所以，一般微调都是调小的。那么，OpenAI到底挣不挣钱呢？今天看了一些数据，OpenAI是真的不挣钱啊。前面还有人讲说OpenAI的收入已经很厉害了，今年可以达到30亿美金了。30亿美金的收入对于很多公司来说，是完全可望而不可及的一个数字。作为一个新创建没几年的公司，能够入账30亿美金的收入，这个非常厉害。

但是，挣的多，人家花的更多。花了多少钱呢？因为OpenAI不是一个上市公司，所以大家只能去根据各种蛛丝马迹去算它到底花了多少钱。基本上算下来的，它的成本大概是80亿美金，所以它一年亏50亿美金。

这80亿美金怎么算出来的呢？每年交给微软的钱就是去买算力的钱，大概是40亿。这个是微软内部的一些人，或者说了解OpenAI向微软付款的一些内部员工透露的，这个数基本认为是靠谱。第二块是什么呢？就是OpenAI还需要购买很多数据，比如说上Reddit里去买数据，包括一些其他的数据集，去购买和清洗加工，这个钱他是要去花的。

还有一块的钱是什么呢？人家那么多新员工，对吧？现在有1500人了，而且还在快速扩张，现在还有200个职位开着，准备再接着招人呢，这个也是一大笔钱。所以呢，他现在每年的成本大概在80亿美金左右，而且这个成本还在快速上升之中。你想，他还在疯狂的招人进来，前面还吹了那么多牛皮，还没有抹上呢。你要想把前面吹的牛皮补上，要干嘛？接着开足马力训练大模型啊。

Scaling low啊，接着跑啊。我进一步扩大模型的规模，进一步整更多的数据，然后整更多的人回来。而且现在整个行业已经热起来了啊，他这一千几百口的人，那一定得给到比较高的薪水，比较高的这种收益才可以啊，要不然别人会挖人的。全世界都在盯着他的人吧，哪怕是一个街边扫地的。你说我在OpenAI扫过地，那其他人说我把你请回来，是不是多给你点钱啊？OpenAI的人员成本一定是不低的。

微软呢，其实已经算是对OpenAI很好了啊，为什么呢？就是微软给OpenAI机房的价格应该是一个成本价，并没有真正的按照微软云的那种啊，对外报价去找OpenAI收钱，已经算是非常非常支持了。销售呢，这个没办法，特别是B端销售，大家都有KPI，谁也不能让着谁。所以微软在B端销售上，包括在Windows客户端的Copilot的这种产品的竞争上，肯定是跟OpenAI有一定的约定的啊。B端销售各打各的，你要能卖掉是你的，我要能卖掉是我的，Windows客户端你别碰啊，这个是我的。

所以现在OpenAI只有Mac版的客户端，没有Windows版的客户端啊，那边是留给微软自己家亲儿子Copilot的。作为一个公司来说呢，微软对OpenAI已经是非常非常好了啊，那么对比起Anthropic，OpenAI算是好的。这个玩意叫不患寡而患不均，那你说Anthropic后边是谁？是亚马逊。

微软对OpenAI好，这一定要有对比，那就要对比亚马逊对Anthropic 。推理成本肯定是不低的，而且Anthropic 其实并没有跑那么多的大模型。新的模型训练、新的模型的推理没有做这么多，而且用户量也没有OpenAI高。可是呢，以亚马逊找Anthropic 收的钱是不少的。

另外一个Anthropic ，如果通过亚马逊云赚到了钱，比如说我把这个产品卖掉了一些弊端的用户买了我的产品，亚马逊是要在里边抽成的。所以Anthropic 跟OpenAI比起来，属于过得更凄惨一点。Anthropic收入的话，大概是OpenAI的1/5。刚才我们讲了OpenAI是30亿美金，它大概有个五六亿美金的样子吧。

因为都不是上市公司，所以大家都不会说这个事。亏损也亏，他亏多少呢？亏大概是OpenAI的一半。OpenAI大概亏50亿美金，他亏25亿美金，就是这样的一个比例。所以前面我们也讲过，Anthropic现在也快玩不下去了，玩不下去的话，亚马逊可以落袋为安了。

我记得以前有一个故事，电影院想去卖饮料，怎么能够把饮料卖得更多一些呢？我把空调开的小一点，让电影院里稍微热一点，这样我就可以多卖一些饮料出去。看看亚马逊跟Anthropic 之间的故事，是不是有点像这个？当然了，OpenAI现在也很渴，也需要去买饮料喝了，像微软爸爸去买，现在山姆奥特曼的应该正在努力地找钱。

愿意给钱的人肯定不少啊，这个不用担心。毕竟是开拓一个新领域里边的老大，那这个时候肯定很多人都愿意给钱。那你说愿意给钱不就没事了吗？拿着钱接着烧呗。不那么容易啊，为什么？因为你要问微软同不同意。微软占49%，给了130多亿美金进来了。你现在再找，说我让苹果给钱啊，苹果愿意给，那微软说不行啊，这个必须排他。

像我们以前签很多这样的协议，进去的时候，特别是我成为大股东的时候，一定会有排他条款的，对吧？你让我的竞争对手进去，这事不行啊。微软就是说，我虽然愿意看着你努力成长，但我也更愿意看到你落到我的口袋里，在我这再多买些饮料。我说算了，我卖身给你得了，这个也是微软乐见其成的事情。

所以并不是谁的钱他都可以去拿的。一些微软的竞争对手，比如谷歌，比如说苹果是愿意给钱的时候，他就需要做微软的工作，说求求你让他们进来吧，他就会变成这样。那么下一个问题是什么呢？到底估值是什么样的？估值涨到多少，这个事微软才能乐意啊？其实还是跟微软有关。

现在OpenAI的估值是860亿美金，这个估值是OpenAI上一次进行内部的股票兑现的时候，或者说一些内部员工股票变现的时候的估值，并不是一个正式的估值。正式的估值的话，我觉得他现在有个大概两三百亿应该是合理的。嫁一个人进来，到底按什么样的估值进去，这个就很难去平衡。为什么？因为这个数已经很大了。嫁一个人，你说我为什么进去，投资这样的公司的目的。

一定是说你以后能够长得更高啊。然后呢，你去上市，我能够啊，多少倍啊，能够退出，至少是3-5倍能够退出，因为这么高的估值嘛，承担这么高的风险，一定希望能够尽快的按更高的倍数退出。现在已经是两三千亿了，你再往上翻这个数就不好翻了。而且如果真的是几千亿的估值，又拿了钱了，你上市怎么办？股市能不能支撑得住这样的公司？几千亿美金的公司上市，还是有一些难度的。

像AM上去，也就是几百亿上去，虽然上去了以后快速在增长，但是你说我直接就是按照几千亿，没准这一轮再上去了以后，大家就希望他上1万亿美金去上市。这个纽交所也好，纳萨克也好，虽然是注册制，只要是你提交的申请文件符合格式，你就可以去上市。但是这些地方啊，这些基金们啊，因为所有的美股大量的都是基金盘，很多基金经理会去看你这个产品到底值不值这么多钱，所以这个事对于所有人来说都是很有压力的。

那么现在怎么办呢？比当前的估值直接上市也许就是唯一的解决方案了。坚持到年底，Open I的业绩还是有爆发的可能性的。于现在，大家虽然预估他一年挣三十几亿美金，这事儿是怎么算出来的呢？是他每个月大概能挣到两点几亿美金，这两点几亿美金里头大概2亿美金，是他去卖那个20美金一个月的Plus的费用，在七八千万美金吧，是卖API的费用啊。他是这样来算的。那么，为什么到年底的时候会业绩大爆发呢？咱们想一想，9月份会发生什么大事情？9月份iPhone 16发布。

iPhone 16如果发布了，虽然它的成本会进一步上升，因为所有用iPhone的至少在国外吧，就可以去访问GPT-4了。但是，另外一方面，这些用户会大批量地转换成OpenAI Plus用户。那么它的收入也会爆炸式增长一下。所以到今年年底，还可以再大涨一波。

苹果算是OpenAI的一个救命稻草。如果它能够坚持到年底，数据再大涨一波，为所有的股民展示一下未来美好的前景，然后直接去上市，这个事还是有得救的。现在行业的心态肯定也是很矛盾的，竞争跟追赶这是必须的。甭管是谷歌、ISOPEC还是梅塔，都是在努力的竞争与追赶。但是谁也承担不起一个后果，就是老大倒下。

这是一个全新的行业，在全新的行业里头，一旦老大倒了，对于整个行业来说都是巨大的打击。每次开新行业的时候，有几件事是比较害怕的。第一是老大废了，一旦老大废了以后，就相当于是老大证明了跑得最快的人没跑出来，拼命往前跑，跑到头上是一条死路，撞在墙上，磕地上了。那后边紧追不舍的人该咋办，这事是很危险的。

另外一个是什么呢，就是老大上市了。上市了以后，发现业绩一般，因为大家一般在上市之前会冲业绩嘛。上市了以后，你要公布财报，很多东西变成公开透明了。那么下面的人也会觉得很危险。这就是一个新行业的宿命，至少要验证行业有未来。在这之前，老大是不能倒下的。如果说没有验证，直接就趴下了。

那么，整个行业都很麻烦啊。开天辟地的这种新行业，肯定都是非常困难的。这个呢，分几种情况。

第一种情况叫大企业开创新市场。举一个案例，比如说亚马逊，开创云计算这个新市场。这就是大企业开创新市场。但是，亚马逊也很痛苦。在开始的很长一段时间里，顶着非常大的压力，再往前走，也是用了好几年的时间，才慢慢地验证了说，云计算这个市场是一个真正的方向，大家要去向这个方向前进。这是大企业开创新方向。

当然，也有走得不是那么好的例子。比如说，Meta做的元宇宙，原来叫Facebook，后来改名叫Meta。他去做元宇宙这件事呢，就不是那么好。一直到现在，虽然名字还没改回来，但他得挂在那，挂上了还没有死掉。可是，他挂在那，所有人看着。在这么大一只半死不活的尸体挂在这个枝头上，所有人在想去做元宇宙的时候，都要稍微掂量掂量。而且，现在这个枝头上，还挂了另外一颗叫Vision Pro的东西，也挂在那了。在剩下的人就在这看着，在下面驻足观望，再也没有人敢往上冲了。这就是大企业开创的两种结果：坚持到底能够成功，或者跨在上面挂着。

那么，小公司开创新天地是什么样的呢？比如说，特斯拉、SpaceX，都是一开始的小公司。马斯克冲上来说，我要开创新天地了，开创一个新赛道出来。那是什么？就是耐心的，经历很长时间的亏损，十几年的亏损，不停地融钱，所有人都不看好，独自前行，慢慢把这个项目做起来。那你说，再举个失败的例子。

失败的例子没有啊。那么是不是小企业开创新天地就都能成功？错了，你只能看到成功的，剩下的全都不见了。我们没有机会看到，所以小企业开创新天地，我们只能看到幸存者。这是一种幸存者偏差。那你说一群人一拥而上，大家看好了方向，大家全上。这种事呢，通常是发生在商业模式创新上。如果是技术创新的话，这个机会不是特别大。

这种方式呢，也有成功的。你比如像国内的千团大战，最后就跑出了像美团这样的公司；滴滴共享单车大战，最后也是跑出来一些结果，是有能成功的案例的。但是呢，也有一些最后失败的，比如像刚才咱们讲的VR，所有人都冲，最后什么也没剩下。

现在的OpenAI呢，有点儿是骑虎难下的状态。按道理说呢，它应该是小公司，独自慢慢发展。但是它一下把这个热度炒太高了，现在搞成什么了？现在搞成一群人一拥而上了。这种乱拳打死老师傅的状态呢，一定是最危险的。

所以为了稳住阵脚，现在OpenAI必须拿出重量级的拳头产品出来，也就是咱们开篇时候讲的GPT-5，一定要拿出这种产品。如果在今年年底之前GPT-5还出不来的话，它的老大位置真的是危险了。而且它一旦倒下的话，可能整个行业都要至少颤三颤。不能说整个行业会为它陪葬，但颤抖一下是跑不了的。

好，这一期就讲到这里。感谢大家收听，请帮忙点赞，点小铃铛，参加Discord讨论群。也欢迎有兴趣有能力的朋友加入我们的付费频道，再见。