13.4%。

這是 AI agent skills 市場裡,被查出含有重大安全漏洞的比例。不是 0.1% 的邊緣案例。每八個 skill 就有一個有問題。

同一週,OpenAI 宣布把 ChatGPT、Codex 和 Atlas 瀏覽器合進一個超級 App。Google I/O 後天就開。Anthropic 六月起要把 Agent SDK 從訂閱額度裡拆出來另計。OpenAI Codex 跳上了手機,週活衝到 400 萬。

五條新聞,一個暗流:AI 工具正在加速集中化。但支撐這些工具的供應鏈,比任何人願意承認的都脆弱。

OpenAI 超級 App:ChatGPT、Codex、瀏覽器合而為一

五月十六號,OpenAI 宣布由共同創辦人暨總裁 Greg Brockman 永久掌管所有產品策略,同時把 ChatGPT、Codex 和開發者 API 三個團隊合併成一個組織。時間點很有意思——Google I/O 開場前三天。

這不只是組織調整。OpenAI 正在打造一個 Mac「超級 App」,把聊天、寫程式、上網瀏覽全部塞進同一個桌面應用裡。Atlas 瀏覽器也在裡面。

Brockman 的邏輯很直白:一個不能寫程式跑程式的 ChatGPT 只是聊天介面,一個沒有消費者前端的 Codex 只是工程師的工具。兩個合起來才是完整的產品。

換個角度想:怎樣讓這個策略一定失敗?

答案是整合之後體驗變差。ChatGPT 的使用者要的是快速回答問題,Codex 的使用者要的是精確操作程式碼。兩群人的容錯閾值完全不同。如果合併後 ChatGPT 變慢了、Codex 的程式碼品質掉了,這個超級 App 就只是一個什麼都能做但什麼都做不好的肥大軟體。

但更值得注意的結構性變化是:OpenAI 正在從「模型公司」轉型為「平台公司」。 超級 App 的目標不是讓你用 GPT,是讓你不需要離開 OpenAI 的界面去做任何事。瀏覽網頁在這裡、寫程式在這裡、對話在這裡。一旦你的工作流被鎖在裡面,switching cost 就建立了。

這跟 Google 的策略形成了鏡像。Google 要在 I/O 展示的,也是同一件事:把 Gemini 塞進 Android 的每一個角落。

原文來源:OpenAI Unifies ChatGPT, Codex, and Developer API Under Co-Founder Brockman — TechTimes
原文來源:OpenAI ‘Superapp’ to Merge ChatGPT, Codex, and Atlas Browser — MacRumors

一邊是平台在集中化,另一邊是 Google 準備在後天的 I/O 放一波大招。

Google I/O 倒數:Android 17、Gemini 3.2 Flash、Googlebook

Google I/O 2026 在五月十九號和二十號舉行。還沒開始,已經漏了不少東西出來。

首先是 Gemini 3.2 Flash,Google 準備把它同時塞進 Search、Maps、YouTube、Docs、Gmail 和 Chrome——不是 beta 測試,是直接推給數十億使用者。這是目前為止最大規模的 LLM 產品化部署。

Android 17 重點放在兩個方向:創作工具和數位健康。一個叫「Pause Point」的新功能會在你打開令人分心的 App 之前強制暫停十秒。另外一個安全更新——遺失裝置被標記後,解鎖需要生物辨識加 PIN 碼雙重驗證。

最意外的是 Googlebook——Google 正式進入高階筆電市場,推出以 Gemini Intelligence 為核心的 AI PC 系列。不是 Chromebook 的升級版,是從零打造的新產品線。

還有 XR 眼鏡的預覽,今年稍後上市。

為什麼重要?

Gemini 3.2 Flash 同時上線六個旗艦產品,這個部署規模本身就是訊號。Google 不再把 AI 當「獨立功能」來做。它在做的是把 Gemini 變成 Google 全產品線的底層——就像 Android 是手機的底層一樣。

但大規模同時部署的風險也很大。六個產品同時接上同一個模型,如果 Gemini 3.2 Flash 在某個邊緣情境出問題,影響面是六倍。集中化帶來效率,但也帶來單點故障的可能性。

原文來源:Google I/O 2026: What to expect — Yahoo Tech
原文來源:Everything announced at The Android Show: I/O 2026 edition — Engadget

AI Coding Agent 成供應鏈攻擊的新目標

回到開頭那個數字。13.4%。

Snyk 的 ToxicSkills 審計掃描了 ClawHub 和 skills.sh 上的 3,984 個 agent skills,結果超過八分之一含有至少一個重大安全問題。後來 Koi Security 報告的 ClawHavoc 攻擊活動更狠——1,184 個被植入惡意程式碼的 packages 散佈在整個平台上。

這不是假設性威脅,這已經在發生了。

MCP 協議的漏洞更根本。Anthropic 官方 MCP SDK——不管 Python、TypeScript、Java 還是 Rust——都有一個系統性弱點。影響範圍:7,000 多個公開 MCP server、超過 1.5 億次下載。The Hacker News 四月底的報導標題直接寫:「Anthropic MCP Design Vulnerability Enables RCE, Threatening AI Supply Chain」。

還有更精彩的。Check Point Research 在二月揭露了 Claude Code 本身的配置注入漏洞(CVE-2025-59536,CVSS 8.7)。然後四月 Vercel 被供應鏈攻擊打穿——一個第三方 Context AI 的員工被入侵,連鎖反應一路打到 Vercel 的資料庫,現在在 BreachForums 上被標價 200 萬美元。

為什麼重要?

AI coding agent 正在變成開發者的預設工具——你用它寫程式、管 Git、跑測試、自動修 bug。但這些 agent 的 skill 生態系,安全標準還停留在「上傳就能用」的階段。這就像 npm 早期——隨便一個 package 就能跑在你的 CI/CD pipeline 裡,中間沒有任何審查。

差別在於 npm package 只能執行程式碼。AI agent skill 可以讀你的 repo、改你的設定、發 HTTP 請求、甚至操作你的終端機。攻擊面不是多了一點,是多了一個數量級。

歷史 pattern 非常清楚:每當一個新的軟體分發渠道出現且成長速度超過安全基礎設施的建設速度,供應鏈攻擊就會來。npm 的教訓、PyPI 的教訓、Docker Hub 的教訓——現在輪到 AI agent skills。

原文來源:Supply-chain attacks take aim at your AI coding agents — CSO Online
原文來源:Anthropic MCP Design Vulnerability Enables RCE — The Hacker News

從攻擊面回到商業面。Anthropic 正在重新定義誰為 AI agent 的用量買單。

Anthropic Agent SDK 計費改革:六月起獨立額度池

六月十五號起,Claude Agent SDK 的用量將從訂閱的速率限制額度裡拆出來,改成獨立的月度信用額。

具體數字:Pro 方案 $20、Max 5x 方案 $100、Max 20x 方案 $200、Team 方案每人 $100、Enterprise 每人 $200。用完就按 API 標準費率計價。

受影響的範圍包括:claude -p 非互動模式、Claude Code GitHub Actions、以及所有透過 Agent SDK 認證的第三方應用程式。

為什麼重要?

表面上看,這是計費架構調整。但往下想一層——Anthropic 正在把「人類使用 Claude」和「機器使用 Claude」的用量分開計價。

這背後的邏輯是:agent 的消耗模式跟人完全不同。一個人一天用 Claude 對話可能跑幾萬 token。一個跑在 CI/CD 裡的 agent 一天可以燒掉幾百萬 token。兩者共用同一個額度池,agent 會迅速把人的額度吃光。

分開計價是合理的。但對生態系的影響值得注意:那些建立在「用你的 Claude 訂閱免費跑 agent」商業模式上的第三方工具,六月之後的經濟模型會被打破。如果你的用量超過免費信用額度,你要不然自己付 API 費用,要不然減少 agent 的使用。

這不是壞事。但它會改變行為。

原文來源:Anthropic June 15 Claude subscription billing overhaul — Apiyi Blog
原文來源:What Anthropic’s $200 Agent SDK Credit Means — DEV Community

OpenAI Codex 登上手機,週活 400 萬

五月十四號,OpenAI 宣布 Codex 正式進入 ChatGPT 手機版。

Codex 原本是桌面工具——你在終端機裡跑它,它幫你寫程式、改 bug、管 repo。現在你可以在手機上啟動一個 coding agent 任務,讓它在背景跑,出門買咖啡回來看結果。

週活躍使用者:400 萬。而且還在漲。

為什麼重要?

400 萬週活的 coding agent,這個數字本身就值得停下來想一下。

這代表每週有 400 萬人讓 AI 在自己的程式碼庫裡動手動腳。有些人在自己的 side project 裡用,有些人在公司的 production repo 裡用。每一次使用都是一次信任——你相信這個 agent 不會搞壞你的程式碼、不會引入安全漏洞、不會把你的 API key 洩漏出去。

把這跟前面第三則新聞放在一起看。400 萬週活使用者,13.4% 的 agent skills 有安全問題,MCP 協議有系統性漏洞,Claude Code 自己也被揭過配置注入漏洞。使用量在指數成長,安全基礎設施在線性追趕。

手機版的加入會讓使用量再上一個台階。但手機環境比桌面更難監控——你在手機上按了「開始」,agent 在雲端跑,你看不到中間過程,只看到最後結果。可觀測性更低,出問題更難抓。

原文來源:OpenAI Launches Codex in ChatGPT Mobile for Its 4M Weekly Users — eWeek
原文來源:OpenAI says Codex is coming to your phone — TechCrunch

五條新聞,一條結構線。

OpenAI 在合併產品線,打造不需要離開的超級 App。Google 在把 Gemini 塞進六個旗艦產品。Anthropic 在重新定價 agent 用量。這三家都在做同一件事:讓你更深地鎖進自己的生態系裡。

同一時間,支撐這些生態系的 agent skill 供應鏈,八分之一有安全問題。MCP 協議有設計層級的漏洞。Vercel 被第三方 AI 公司的供應鏈攻擊打穿。使用者數量四百萬、而且還在往手機擴張。

集中化的速度,正在超過安全化的速度。 這是一個典型的反脆弱問題:系統越集中、效率越高,但對單點故障的脆弱性也越高。一個 MCP 漏洞影響 1.5 億次下載。一個 Codex 配置注入影響上百萬開發者。一個超級 App 出問題影響所有工作流。

這不是說不要用這些工具。是說在享受集中化帶來的效率時,要同時意識到你正在把更多雞蛋放進更少的籃子裡。而那些籃子的安全性,還沒有被充分驗證。