658 倍。這是一個惡意 MCP 伺服器可以把你的 LLM 帳單灌到幾倍——而且標準防禦的偵測率不到 3%。這不是假設性攻擊,是本週剛被學界證實的攻擊技術。同一週,OpenAI 寫了一份內部備忘錄批 Anthropic 的收入造假、Windsurf 在被 Google 挖角後以 2.5 億被 Cognition 救援式收購、Claude Code Game Studios 把 49 個 agent 組成一家虛擬遊戲公司。

這幾條新聞放在一起看,你會看到一個共同模式:AI 的基礎設施跑得比風險管控快。 商業結構、攻擊面、agent 編排這三塊都在同一個時間軸上加速,但「怎麼守住」的答案集體還沒跟上。過去兩年大家在談「AI 怎麼改變我的工作」,今年開始變成「AI 怎麼攻破我的系統」。

Claude Code Game Studios — 49 個 agent 組一家虛擬遊戲公司

4 月 19 日,GitHub 開發者 Donchitos 開源了 Claude Code Game Studios,一個把 Claude Code 單一 session 變成完整遊戲開發工作室的專案。不是把幾個 prompt 拼起來——是直接搬運整套遊戲公司的組織結構:Creative Director 守願景、Technical Director 管架構、Producer 控排期、Art Director 定視覺。49 個專門 agent 外加 72 個工作流 skill、37 個 workflow 指令。

這個結構有個很反直覺的地方。過去一年 AI agent 領域的主流論述是「multi-agent 會變成雜訊,單一強 agent 更有效」。Claude Code Game Studios 做了相反的賭注——組織層級越複雜、agent 越多,輸出反而越接近真實工作流的產出。不是 agent 本身更聰明,是階層讓每個 agent 只做自己該做的事

反向問一下這個設計會怎麼失敗。答案很直接:協調成本。真實的遊戲公司每天有一堆會議在處理 creative director 跟 technical director 的衝突、producer 追 artist 時間表、QA 跟 dev 互推問題。這些「組織黏膠」在 LLM 世界裡不是免費的——每一次 agent 互動都是 token、是延遲、是可能的失真。49 個 agent 聽起來很強,但維護 49 個 system prompt + 72 個 skill 的一致性,是維護成本的平方關係。

真正值得觀察的風險是什麼?這類專案的生命週期通常是:前三個月上 GitHub Trending,接下來一年沒有 maintainer 撐著。倉庫裡 agent 定義會 drift、workflow 會過期、跟 Claude Code 主幹的介面相容性會壞掉。開源軟體的林迪效應在 AI 時代被壓縮了——活得久的 repo 在 2020 年可能是三年,在 2026 年可能只有三個月。使用前先看 commit 頻率,再決定要不要把關鍵工作流綁上去。

原文來源:Claude Code Game Studios - GitHub
原文來源:Claude Code Game Studios: 49 AI Agents for Game Dev - AIToolly

OpenAI 內部備忘錄開打 Anthropic 的收入帳

4 月 19 日,一份 OpenAI 的內部備忘錄流出。內容不是策略、不是產品路線圖——是批 Anthropic 的年營收數字是做帳做出來的。備忘錄指控 Anthropic 把跟 Amazon、Google 的 revenue share 用 gross 算法(而不是 net)灌進收入數字,讓 19B 年營收看起來比實際的大。

把時序拉開就更有趣了。3 月 OpenAI 剛做完有史以來最大私募,1,220 億、投後估值 8,520 億,準備 Q4 2026 年底衝 IPO 要打到 1 兆。4 月 15 日,TechCrunch 報導 Anthropic 拒絕 8,000 億估值的投資——是拒絕,不是談不攏。1 週後,OpenAI 的備忘錄就開始拆 Anthropic 的收入結構。

巧合嗎?不是。

當你的競爭對手可以拒絕 8,000 億的錢,代表它不缺錢——而當它不缺錢,你無法用定價戰打它。剩下的武器就只有公關戰。 這份備忘錄是公關戰的彈藥,不是會計報告。會計報告會走 10-K,這種東西只會走媒體。

芒格式的逆向問法:這種貼身打法對 OpenAI 自己的風險是什麼? 答案是失去中立感。過去兩年 OpenAI 一直在維持「AI 領頭羊」的敘事,任何人挑戰這個敘事 OpenAI 都靠產品發表來回擊。現在直接開打對手的財務,讀起來像「我承認你追上來了」。這是個信號而不是噪音。

更系統性的問題:當兩家 AI 龍頭同時準備 IPO、同時靠敘事撐估值,它們會怎麼對待壞消息? 答案是互相指控——而這對整個 AI 產業的公信力是慢性毒藥。如果市場投資人開始不相信 AI 公司的自報數字,下一輪的融資成本會變貴。這不是兩家公司的問題,是整個板塊的風險。

原文來源:OpenAI memo lashes out at rival Anthropic - Yahoo Finance
原文來源:Anthropic shrugs off VC funding offers valuing it at $800B+ - TechCrunch

Windsurf 被 Cognition 用 2.5 億買走

近期消息顯示,Cognition(Devin 的開發商)以 2.5 億美元收購了 Windsurf。這不是一個乾淨的併購故事——Google 幾個月前剛用 24 億美元把 Windsurf 的創辦團隊整組挖走,留下沒有靈魂的產品、員工、和技術棧。Cognition 撿回來的是屍體。

24 億 vs 2.5 億,差了十倍。這就是「團隊 vs 產品」的定價差異

這個事件的結構性意義很值得拆開來看。過去十年的 SaaS 收購邏輯是:買產品、買用戶、買 ARR;現在 AI 工具的收購邏輯變成:買人。因為在 AI 這個領域,訓練、調優、prompt 工程的隱性知識全在創辦團隊腦袋裡——文件、測試、程式碼都複製得走,那個「為什麼這樣調就比較好」複製不走。

反向問一下:Cognition 為什麼還願意付 2.5 億買一個被抽空靈魂的產品?答案藏在整合邏輯裡。Cognition 有 Devin 這個通用 coding agent,但沒有 IDE;Windsurf 有 IDE,但沒有強 agent。2.5 億買的不是產品本身——是繞開「自己從零做 IDE」的成本。從零做一個能跟 VS Code 競爭的 IDE,光是適配各種 language server、debug protocol、extension API,就要燒掉幾十個工程年。用 2.5 億換兩年時間,對 Cognition 這種有 Devin 現金流的公司,可能划算。

系統性風險在於這種「團隊單賣、產品賤賣」的模式會變成新常態。如果創辦團隊可以談 10 倍於產品的個人價碼,之後每一家 AI startup 都會變成人才收購市場,而不是產品市場。投資人投下去的錢,最後可能只換到一個「靈魂逃逸、軀殼待售」的結構。這對 VC 是系統性風險——它們過去估值用的 DCF 模型,都沒有「核心團隊可以被整組買走」這個變數。

原文來源:Cursor vs Windsurf vs Copilot in 2026 - CodeAnt

MCP 被攻破:一個惡意伺服器可以把你帳單灌到 658 倍

學界本週發佈的論文揭露了一個 MCP 的系統性攻擊面。一個惡意的 MCP 伺服器可以誘導 LLM agent 陷入超長工具呼叫鏈,讓每次查詢的成本灌到 658 倍——而現有的標準防禦對這類攻擊的偵測率**不到 3%**。

這還不是唯一的攻擊面。同一批研究裡,TIP 框架用樹狀搜尋生成隱藏的 MCP 注入 payload,攻擊成功率 95%。跨 7 個主流 MCP 客戶端的比較分析發現,Cursor 對所有四種測試的工具中毒攻擊都沒有防禦

攻擊向量包括:schema poisoning(餵給 LLM 的工具描述被改)、tool poisoning(實際執行的動作跟描述不同)、rug pulls(裝好是乾淨的,某天更新後變惡意的)、cross-server shadowing(不同 server 之間騙 LLM 選到惡意那個)。

把這件事翻譯成白話:你信任的「工具描述」是可以被偽造的,而 LLM 沒辦法驗證它實際上會做什麼。這不是 patch 掉某個 bug 就能解決的——這是協定架構層級的問題。MCP 的設計假設是「server 說它幹嘛,client 就信它幹嘛」。這個信任預設在 HTTP 世界叫 CORS 沒開、在 DNS 世界叫 DNSSEC 沒部署。

成本灌水那段特別危險。你可能幾個月都不會發現——帳單是月結的、攻擊是分散的、每個查詢看起來沒什麼異常。這跟 2000 年代初那批 dial-up 病毒一樣——撥打高費率國際號碼,被害者月底才發現。現在換成撥打高消耗 LLM 查詢,被害者月底才發現 API 帳單多了一個零

逆向問一下:這件事會怎麼讓你的生產環境爆炸? 最糟的劇本是:你部署了一個第三方 MCP 伺服器當 dev tool,某天它被攻擊者接管(rug pull),你的 production 機器人開始偷偷執行 prompt injection,客戶的資料被洩漏、你的 LLM 帳單被灌爆、事發一個月後才有人發現。到時候 root cause 分析會花幾個月,因為連你自己都不記得當時裝了哪些 MCP server

這不是理論風險。Microsoft @azure-devops/mcp 已經在 4 月 3 日被披露有 CVSS 9.1 的認證繞過漏洞(CVE-2026-32211)。從披露到武器化的時間一如資安圈的共識——只會越來越短

原文來源:MCP Security Vulnerabilities - Practical DevSecOps
原文來源:Top MCP Security Resources April 2026 - Adversa AI
原文來源:AI Conundrum: Why MCP Security Can’t Be Patched Away - Dark Reading

2025 年 9 月 Flowise 修掉的 CVE-2025-59528(CWE-94,任意程式碼生成控制失效),2026 年 4 月初才開始大規模被利用。Cloud Security Alliance 的 Lab Space 記錄到的主要攻擊來源——單一 Starlink IP——在做機會主義式的掃描和利用,目標是公開暴露的 Flowise 實例。

Flowise 是什麼?開源的 AI workflow builder,拿來在瀏覽器裡拖拉 LLM 節點、MCP server、data store,組出 RAG pipeline 或 agent workflow。CVSS 10.0 RCE——滿分——意思是攻擊者拿到 shell 不用 credentials、不用社交工程、只要網路上打得到

再往回看一週:4 月 8 日披露的 Marimo pre-auth RCE(CVE-2026-39987),Sysdig 的 honeypot 在披露後9 小時 41 分就收到第一次攻擊嘗試。4 月 7 日公開的 BlueHammer(CVE-2026-33825),PoC 在 10 日就被武器化、16 日衍生出 RedSun 和 UnDefend 兩個變種。

共同的模式是:AI 工具鏈的披露-武器化時間窗正在崩塌。以前漏洞揭露後,防守方有幾週到幾個月佈防;現在剩幾小時到幾天。原因不只是 AI 寫 PoC 更快——AI 工具的 deploy 模式本身很糟。大部分 Flowise / Marimo / low-code AI builder 都是 default 設成可遠端存取,部署者為了「團隊協作方便」把服務暴露到公網,防火牆和認證是 opt-in 而不是 opt-out。

反向問一下:什麼樣的組織一定會被這波打爆? 答案很清楚——把「demo 環境跑一跑就丟著」當日常的那些。2024 年 Jupyter Notebook 暴露在公網被挖礦的那一波,現在換成 AI workflow builder 版本。同樣的錯誤、同樣的懶散、放大了十倍的攻擊面。

原文來源:Flowise CVSS 10.0 RCE: AI Agent Builders Under Attack - CSA Lab Space
原文來源:Marimo Pre-Auth RCE: AI Development Toolchain Under Attack - CSA Lab Space

五條新聞拉成一條線

把這五則擺在一起,你看到的不是「各種 AI 消息」,是同一個基礎結構在三個方向上開裂

商業結構這端:OpenAI 跟 Anthropic 開始互相拆台、Windsurf 被團隊整組挖走然後產品賤賣。這代表 AI 公司的護城河比大家想像的還薄——沒有 network effect、沒有 switching cost、沒有傳統軟體業的粘著度。一個強的創辦團隊可以單獨離職,整家公司的估值就崩到零頭。

技術架構這端:Claude Code Game Studios 代表 agent 編排的複雜度在往上堆,MCP 攻擊面代表這些複雜度全部都是攻擊者的樂園。Agent 越多、工具越多、server 越多,系統性風險的暴露面就越大。組織越複雜,失敗模式就越多。

資安這端:Flowise 的 Starlink 掃蕩和 MCP 的 658 倍成本灌水,是同一種問題的兩個面向——AI 工具鏈的 default 設定沒有內建防禦,而披露到武器化的時間窗在崩塌。現有的 SOC、CSIRT、incident response playbook 都不是為這個節奏設計的。

三條線的共同分母是一個字:速度。AI 能力長得太快,風險管控跟不上。這不代表要停下來——停下來的人會被市場淘汰。但它代表在自己的生產環境裡,防禦預算要跟著 AI 預算一起漲。不漲的那些,會在某個月底看到 API 帳單嚇到跌倒。