12.5 億美金。一個月。

這不是年費,是 Anthropic 要付給 SpaceX 的月租。到 2029 年五月為止,三十六個月,總額超過 450 億美金,租的是 Colossus 跟 Colossus II 兩座資料中心的算力。同一週,Anthropic 第一次出手併購把 Fractional AI 從 OpenAI 的合作關係裡拉走、Microsoft Defender 爆兩個零日已經被打、GitHub 凍結了 Copilot Pro 的新註冊、Google 公開承認首次抓到 AI 自己寫出來的零日漏洞。

五條新聞,一個結構性訊號:基礎設施的供需正在被 AI agent 撕開,但守的人還沒準備好。

Anthropic 第一次併購:把 Fractional AI 從 OpenAI 那邊搶走

Anthropic 五月二十一號宣佈,由它牽頭的企業 AI 合資公司併購了 Fractional AI——一家成立兩年、總部在舊金山的 AI 部署顧問公司。創辦人 Chris Taylor、Eddie Siegel、Travis May 都來自 LiveRamp。原本,Fractional AI 過去 11 個月最大的合作夥伴是 OpenAI;併購條件之一,是終止這段合作。

這個合資公司本身的背景更有意思。五月四號剛成立,Anthropic、Blackstone、Hellman & Friedman 各投 3 億美金,Goldman Sachs 作為創辦投資人投 1.5 億,合計 15 億美金。後續 Apollo、General Atlantic、GIC、Sequoia Capital 也跟進。目標客群是中型企業——那些有錢做 AI 但沒能力自建團隊的公司。

把這件事拉到長期視角看:AI 模型本身的差異化在縮小,每個前沿模型的能力範圍越來越像。真正的差異化開始往「部署能力」走——誰能把這些模型有效塞進企業既有流程,誰就守住客戶。Fractional AI 做的就是這種「最後一哩」的工作,難複製、難規模化,所以 Anthropic 直接買下來。

逆向問一下:怎樣讓這個合資公司一定失敗?

答案是當你的核心競爭力來自「諮詢顧問的個別 know-how」時,這種公司很難規模化。一個顧問可以服務 10 個客戶,不能服務 1,000 個。15 億美金能買到的工程師頭數有上限,下一輪募資時的 valuation expansion 就會撞牆。

不過短期內,這步棋的意義不是規模,是「卡位」——把 OpenAI 在企業 AI 服務這塊原本可能用到的盟友先收掉。

原文來源:Anthropic Makes First Acquisition for Enterprise AI Push — PYMNTS
原文來源:Anthropic’s enterprise joint venture acquires Fractional AI, pulling it away from OpenAI — Crypto Briefing
原文來源:The AI-Native Enterprise Services Firm Backed by Anthropic, Blackstone, and Hellman & Friedman Announces Acquisition of Fractional AI — Blackstone

企業在搶人。然後我們回到防守端——資安軟體自己破了。

Microsoft Defender 兩個零日:你的防毒就是攻擊跳板

CVE-2026-41091。CVSS 7.8。提權漏洞。

Microsoft Malware Protection Engine 1.1.26030.3008 以下的版本,在處理檔案存取的 link resolution 時驗證不足。攻擊者只要拿到低權限的本機帳號,就能透過這個漏洞把自己提升到 SYSTEM 等級——也就是 Windows 上最高權限的那個身份。不需要使用者互動、攻擊複雜度低、已經有實際被利用的案例。

同一輪修補裡還有 CVE-2026-45498,CVSS 4.0,影響 Microsoft Defender Antimalware Platform 4.18.26030.3011 以下,可以讓未修補的系統被打成 DoS。

修補檔已經出了:Malware Protection Engine 升到 1.1.26040.8,Antimalware Platform 升到 4.18.26040.7。CISA 五月二十一號把這兩個 CVE 加進 KEV,要求聯邦機構六月三號前修完。

換個角度想,這件事比 CVSS 數字暗示的更糟。Defender 是企業 Windows 環境的預設防毒,幾乎跑在每一台機器上。當你的防毒本身可以被當作提權跳板——攻擊者只需要塞一個低權限的 foothold 進去(釣魚、惡意附件、任何 1-day 漏洞),就能借 Defender 走到 SYSTEM。

這是「複雜系統的脆弱性偏好藏身於防護元件」的經典案例。我們花了二十年在 Windows 上堆積各種安全機制,但這些機制本身的攻擊面也跟著膨脹。每多一層防護,就多一道可以被反向利用的縫。

原文來源:Microsoft warns of new Defender zero-days exploited in attacks — BleepingComputer
原文來源:Microsoft Defender vulnerabilities exploited in the wild — Help Net Security
原文來源:Defender CVE-2026-41091 45498 Exploit Zero-Days — PurpleOps

防毒被打穿是技術問題。接下來這條,是商業模式被打穿。

GitHub Copilot Pro 凍結註冊:agentic 經濟學的真實成本

GitHub 從四月二十號開始暫停 Copilot Pro、Pro+、Student 三個個人方案的新註冊。五月延續,沒有重開的時間表。

官方說法是「想優先服務既有客戶」。但 The New Stack 的拆解講得更直白——agentic workflow 把 Copilot 的算力需求結構性翻倍了。長時間運行、可平行化的 agent session,現在每個月的真實消耗常常超過用戶付的月費。GitHub 產品 VP 的原話是:「幾個請求的成本就能超過整個月的訂閱費用。」

伴隨的政策變動:

  • Opus 模型從 Pro 方案移除——Pro 用戶現在只能用 Sonnet 跟 Haiku。Opus 4.7 太貴,吃光了 GitHub 的 margin。
  • 用量在 VS Code 跟 CLI 裡可見——以前你不知道自己快撞 quota,現在強制顯示,意思是「請自己控制」。
  • 五月二十號前可以退費——如果你受不了這些變動,可以無條件退訂。

這個事件不是 GitHub 一家的問題,是整個 AI 訂閱模式的結構性裂縫。Anthropic 六月十五號要把 Agent SDK 跟互動式使用配額拆開算(昨天聊過),是同一個訊號的不同表現。

從風險視角看:所有「月費吃到飽」的 AI 訂閱模式,當 agent 可以 24 小時自動跑、可以平行開十幾個 task 的時候,邊際成本曲線就會崩壞。一個 Pro 用戶可能消費 50 個 Pro 用戶該消費的算力。月費模式沒辦法承受這種使用模式。

接下來會發生什麼?要嘛漲價,要嘛分層拆計費,要嘛限流——目前看起來三條路都會走。

原文來源:Changes to GitHub Copilot Individual plans — GitHub Blog
原文來源:GitHub pauses Copilot sign-ups as AI coding drives up compute demand — The New Stack
原文來源:GitHub freezes new Copilot sign-ups as agentic AI breaks the economics — TNW

訂閱模式的崩壞算商業問題。下一條是真正讓資安圈不睡的事。

Google 首次抓到 AI 自製的零日漏洞

Google Threat Intelligence Group 五月十一號公開報告:他們攔截了一個由犯罪組織主導、用 AI 模型策劃的大規模漏洞利用行動。

這個案子的特殊性,在於「AI 自製零日」。

過去看到的 AI 在資安的應用大多是輔助:用模型加速既有 PoC 的調整、用 LLM 撰寫釣魚信件、用 AI 生成 obfuscation 過反毒。這次不一樣。GTIG 用「高信心」(high confidence)的措辭說,駭客用 AI 模型「找到並利用」了一個 zero-day——一個原先沒人知道的 Python script 漏洞,可以繞過某個開源系統管理工具的雙因素認證。

Google 沒有公開駭客團體名稱,也說明這次用的 AI 不是 Gemini。報告裡點名中國跟北韓相關的駭客集團「對 AI 用於漏洞發現顯示顯著興趣」。

把這條跟昨天聊過的 Reward Hacking Benchmark 放在一起看:

  • 防守端:我們有些前沿模型作弊率 0%(Claude Sonnet 4.5)
  • 攻擊端:對手不在乎模型有沒有對齊,把模型當工具就行

不對稱在加速。防守端要等模型公司做完 alignment 工作;攻擊端只要拿到能跑的模型,不管它對不對齊都可以用。

逆向問一下:如果你是 CISO,怎樣讓自己一定中招?

答案是繼續用「假設攻擊者跟我們速度一樣」的威脅模型。傳統的 patch cycle 是 30-90 天,但 AI 輔助的漏洞發現可以把週期壓到幾小時。Patch 還沒推到所有客戶,攻擊者已經寫完 exploit 了。

原文來源:Google says it likely thwarted effort by hacker group to use AI for ‘mass exploitation event’ — CNBC
原文來源:Google Thwarts First AI-Generated Zero-Day Exploit — PYMNTS
原文來源:Google Detects AI-Created Exploit — Security Boulevard

攻擊和防守都在加速。錢也跟著燒得越來越快。

Anthropic × SpaceX 算力協議:每月 12.5 億美金到 2029 年

SpaceX 揭露:Anthropic 同意在 2029 年五月前,每月支付 12.5 億美金給 SpaceX,用於使用其兩個 AI 訓練資料中心 Colossus 和 Colossus II 的運算容量。

數字攤開看:每月 12.5 億,三十六個月,總額超過 450 億美金。這是純粹的算力租金,不含模型開發、人力、其他基礎設施。

同一週,Anthropic 公開的財報顯示,六月季度的營收預估會達到 109 億美金,接近第一次的單季營業利潤。Claude 的營收年增驚人,企業端的訂單持續灌水。

把這幾條串起來看,Anthropic 的策略很清楚:

  1. 鎖死算力供給——SpaceX 的合約意義不是「我們現在需要這些算力」,是「我們不要在 2027-2029 年因為算力短缺被卡住」。預先鎖死供給,是高速成長期的標準動作。
  2. 企業營收支撐燒錢——KPMG 聯盟、Fractional AI 併購、財務服務 agent——所有動作都指向企業 B2B 訂單。這比消費者市場可預測、毛利更高。
  3. 獲利證明可持續性——接近首次單季營業利潤,是給投資人「不是無底洞」的訊號。配合下一輪募資。

逆向問:怎樣讓這個策略一定崩盤?

答案是「需求假設錯了」。如果企業對 Claude 的需求在某個季度突然減速(競爭對手追上、模型差異化縮小、客戶評估後決定自建),那 450 億美金的算力租金合約就會變成沉重的固定成本。月燒 12.5 億,營收必須持續成長才撐得住。

這是高槓桿打法。對的時候威力很大,錯的時候反作用力也一樣。

原文來源:Anthropic nears rare AI profit milestone as Claude boom fuels revenue surge — Gulf Business
原文來源:Higher usage limits for Claude and a compute deal with SpaceX — Anthropic

把這五條串起來,可以看到一個共通結構:每一條都是 AI 帶來的「速度差」。

Anthropic 收購 Fractional AI 是「企業 AI 部署速度」的競爭。Microsoft Defender 零日是「攻擊者用工具的速度 vs 防守者修補的速度」的競爭。GitHub Copilot Pro 凍結是「agent 燒算力的速度 vs 月費收錢的速度」的競爭。Google 抓到 AI 自製零日是「AI 找漏洞的速度 vs 人類補洞的速度」的競爭。Anthropic-SpaceX 算力合約是「客戶成長的速度 vs 算力供給的速度」的競爭。

每一個競爭裡,AI 都把分子加速到比分母快得多。當系統的某一端速度被結構性放大,另一端就會變脆。Defender 漏洞、Copilot Pro 凍結、首次 AI 零日,都是脆性點先暴露出來。

如果你的工作裡有任何一環的假設是「明年的速度跟今年差不多」,今天是個好日子去把那個假設拿掉。