300 百萬瓦(Megawatt)。

這是 SpaceX 旗下的 xAI 剛簽約要交給 Anthropic 的算力容量。換算成 GPU,大約 22 萬顆 NVIDIA 晶片,承諾一個月內上線。一個月。蓋一座傳統資料中心要 18 到 24 個月,SpaceX 用一紙合約直接跳過了整段建設週期。

同一週,MCP 生態系的安全問題從「理論上的風險」變成「正在被打穿的現實」。一個 CVSS 9.8 的漏洞讓超過 2,600 台 nginx 伺服器被接管。三分之一的 MCP Server 存在 SSRF 漏洞。超過一千個惡意技能潛伏在 ClawHub 市場裡。而美國政府決定開始在 AI 模型公開之前先測試它們。

算力在指數級擴張。安全問題也在指數級擴張。治理機制試圖追上來,但它用的是線性工具。

SpaceX × Anthropic:算力軍備競賽的新玩法

五月六日,xAI 宣布與 Anthropic 簽署算力合作協議。Anthropic 將獲得 Colossus 1 超級電腦的存取權——超過 300MW 的算力容量,約 22 萬顆 NVIDIA GPU。

先理解一下 300MW 是什麼概念。一座典型的核電廠機組大約 1,000MW。Anthropic 這筆交易拿到的算力,相當於一座核電廠三分之一的輸出——全部用來跑 AI。

這筆交易對雙方都很聰明。

Anthropic 面臨的瓶頸不是技術,是算力。Claude Code 的需求暴增,Pro 和 Max 訂閱用戶的容量一直吃緊。自己蓋資料中心要錢也要時間——而時間在 AI 軍備競賽裡是最貴的東西。直接租 SpaceX 的現成基礎設施,用資本支出換營運支出,聰明。

SpaceX 呢?xAI 正在準備 IPO。簽下 Anthropic 這個等級的客戶,等於在招股書上多一行「我們的客戶包含全球估值最高的 AI 公司」。

更有意思的是合約裡的一條:Anthropic「表達了興趣」,要跟 SpaceX 合作開發太空軌道上的 AI 算力。多個 GW(Gigawatt)級的太空運算中心。地面上的資料中心受限於土地、電力、冷卻;太空沒有這些限制。這不是科幻——以 SpaceX 的火箭成本結構,把 GPU 叢集送上軌道的成本正在接近經濟可行的邊界。

逆向問一下:怎樣做這筆交易一定會虧?答案是假設算力需求的成長速度會放緩。如果 AI 推論的效率提升(比如次二次方注意力架構真的成功了),那 300MW 可能是過度建設。但如果需求持續暴增——目前看來是這樣——那 Anthropic 拿到的是一張排在隊伍最前面的號碼牌。在算力稀缺的世界裡,供應就是護城河。

原文來源:Anthropic, SpaceX announce compute deal — CNBC
原文來源:New Compute Partnership with Anthropic — xAI

CVSS 9.8。幾乎是滿分。而這個洞在被發現之前就已經被攻擊者利用了。

nginx-ui MCP 端點:一個漏掉的認證中介層,2,600 台伺服器被接管

CVE-2026-33032 是一個教科書級的認證繞過漏洞,出現在 nginx-ui 的 MCP 整合端點。

nginx-ui 暴露兩個 HTTP 端點:/mcp/mcp_message/mcp 有做 IP 白名單加認證。/mcp_message 只做了 IP 白名單——而預設白名單是空的。空白名單在中介層裡被解讀為「全部放行」。

就這樣。一個設計假設上的錯誤——「空白名單 = 拒絕所有」還是「空白名單 = 允許所有」——把 2,600 多台暴露在公網上的 nginx 伺服器變成任何人的玩具。攻擊者可以重啟 nginx、修改設定檔、觸發自動重載——完整的伺服器接管。

Shodan 掃描顯示這些實例全部跑在預設的 9000 port 上。連 port 都沒改。

這個漏洞被列入 2026 年三月「已被積極利用」的 31 個 CVE 清單裡。也就是說,攻擊者比防守者先發現了這個洞。修補版本是 2.3.4,三月十五日釋出。但截至五月,還是有大量實例沒更新。

一個空白名單。一個錯誤的預設行為假設。兩千六百台伺服器。MCP 的設計初衷是讓 AI agent 能「做事」——但每一個「做事」的端點,都是一個攻擊面。這不是 nginx-ui 的問題,是整個 MCP 整合模式的結構性問題。

原文來源:Actively Exploited nginx-ui Flaw Enables Full Server Takeover — The Hacker News
原文來源:Critical MCP Integration Flaw Puts NGINX at Risk — Dark Reading

MCP 生態系安全現況:三分之一有 SSRF,一千多個惡意技能

nginx-ui 不是個案。它只是讓人注意到整個 MCP 生態系的安全狀態。

BlueRock Security 分析了超過 7,000 個 MCP Server,結論是 36.7% 存在 SSRF(伺服器端請求偽造)漏洞。三分之一以上。這不是長尾的邊緣案例,是主流的問題。Trend Micro 的掃描更直接——492 個 MCP Server 暴露在網路上,零認證。

另一邊,Antiy CERT 在 ClawHub(OpenClaw 的技能市場)裡確認了 1,184 個惡意技能。這些技能可以在安裝後執行任意程式碼、竊取憑證、或者把你的 AI agent 變成攻擊者的跳板。Check Point Research 也揭露了一個手法——透過被污染的 repo 設定檔,在 Claude Code 裡觸發遠端程式碼執行。

Linux Foundation 的數據說 MCP 生態系現在有超過 10,000 個公開 Server,SDK 下載量達數千萬。十萬分之一的惡意率聽起來不高,但當你的 AI agent 安裝了一個惡意技能,它拿到的是 agent 的全部權限——讀檔案、執行指令、存取 API key。一次就夠。

怎樣做一定會在 MCP 安全上翻車?把技能安裝當作 npm install 那樣無腦執行。在 npm 的世界裡,一個惡意套件搞壞的是你的 build pipeline。在 MCP 的世界裡,一個惡意技能搞壞的是你的整個開發環境,包括裡面的所有憑證。

原文來源:One in four MCP servers opens AI agent security to code execution risk — Help Net Security
原文來源:Top MCP security resources — May 2026 — Adversa AI

AI 模型已經夠強了,強到政府覺得應該在它們公開之前先看一眼。

美國政府開始「預審」AI 模型

五月五日,美國國家標準暨技術研究院(NIST)旗下的 AI 標準與創新中心宣布,已與 Google DeepMind、Microsoft、和 Elon Musk 的 xAI 達成協議——在 AI 模型公開上市之前,由美國政府先行評估。

這是 Trump 政府在 AI 監管上做的最大動作之一。不是事後追責,是事前審查。

協議的核心是:三家公司同意讓政府測試它們的模型,在模型對公眾開放之前。具體測什麼?NIST 沒有公開完整的測試框架,但方向明確:安全性、偏見、潛在的濫用風險。

從系統性風險的角度看,這件事有兩面。

好的一面:當 AI 模型的能力已經到了可以自主發現零日漏洞、即時合成逼真語音的程度,「先測試再上市」是最基本的風險管理。藥物上市前要做臨床試驗,汽車上路前要通過碰撞測試,AI 模型在接觸數億用戶之前做安全評估,邏輯上完全成立。

另一面:誰來測、用什麼標準、結果是否公開?如果測試變成一個走形式的合規流程——像某些資安認證那樣——那它只會給公眾一種「經過政府認證所以安全」的錯覺,而不是真正的安全保障。而且目前只有三家公司同意,OpenAI 和 Anthropic 不在名單上。一個不完整的預審機制可能比沒有更危險,因為它會把注意力從未受審的模型上轉移開。

原文來源:Trump admin moves into AI oversight, will test Google, Microsoft and xAI models — CNBC

OpenAI 2026 年基礎設施預算:$500 億

Greg Brockman 在美國參議院作證時說了一個數字:OpenAI 預計 2026 年在基礎設施上花費約 $500 億美元。

$500 億。

九年前,整個 AI 基礎設施的創投融資總額——全產業加起來——都沒有這個數字大。Brockman 自己用了「1,667 倍」這個乘數。一間公司,一年,花掉九年前全產業一整年的投資額的 1,667 倍。

把這個數字放到上下文裡。JPMorgan 上週把 AI 從實驗預算搬進核心基礎設施,一年的科技預算是 $198 億——整個科技預算,不只是 AI。OpenAI 光是 AI 基礎設施就要花 $500 億。全球最大銀行的整體科技預算,不到 OpenAI AI 預算的四成。

Anthropic 這邊剛拿到 SpaceX 的 300MW 算力。OpenAI 那邊預算是 Anthropic 最新融資輪的 10 倍。Google 在背景裡安靜地砸錢。AWS 的 MCP Server 剛 GA。每一家都在用不同的方式表達同一件事:AI 的基礎設施軍備競賽已經進入燒錢速度前所未有的階段。

反過來想:這個支出速度可持續嗎?$500 億一年的支出,假設 OpenAI 的 ARR 是 $240 億(按目前傳聞的數字),光基礎設施成本就超過營收的兩倍。這不是正常的商業模式,這是賭整個產業會在他們燒完錢之前起飛的豪賭。

賭注成立的前提是:AI 的使用量會持續爆炸性成長,直到營收能覆蓋成本。如果成長曲線在某個點開始收斂——比如企業發現 AI 的真實 ROI 沒有預期那麼高——那 $500 億就是史上最貴的基礎設施泡沫。

原文來源:OpenAI expects ~$50B in infrastructure spending in 2026 — Greg Brockman Senate testimony

五條新聞,兩個層面。

表層是商業敘事。SpaceX 和 Anthropic 結盟、OpenAI 砸 $500 億、政府開始介入監管——這些是頭條,是投資人看的東西。

底層是結構性問題。nginx-ui 的一個空白名單打穿了 2,600 台伺服器。三分之一的 MCP Server 有 SSRF。一千多個惡意技能潛伏在技能市場裡。整個 AI agent 生態系——那個讓 AI 能「做事」的基礎設施——正在以快於安全機制能覆蓋的速度擴張。

算力在用百萬瓦計算。安全漏洞在用千計算。治理機制在用「協議」計算。三個不同的度量單位,三種不同的成長速率。

算力跑最快。漏洞跑第二。治理跑最慢。

這個排序如果不翻轉,接下來的幾年會很有趣——但不是好的那種有趣。因為在一個 AI agent 能操作你整台伺服器的世界裡,「有趣」的定義已經從「有新功能」變成「有新的攻擊面」。你蓋的基礎設施越多,能被打穿的面積就越大。唯一的問題是:你蓋安全牆的速度,有沒有跟上蓋基礎設施的速度。