AI 在买算力，也在丢边界

Amazon 投 Anthropic 的 50 亿，真正大头在 AWS 账单

今天最大的一张支票，表面上是 Amazon 给 Anthropic 追加 50 亿美元。但如果只盯融资数字，容易看漏真正厚的那一页：Anthropic 承诺未来 10 年在 AWS 支出超过 1000 亿美元，换取最多 5GW 算力，用来训练和运行 Claude。

这不是那种创业公司融完钱、回去慢慢烧的普通融资。它更像一份被股权包装过的长期采购合同：Amazon 的总投资升到 130 亿美元，Anthropic 则把未来很长一段时间的云和芯片路线，压进了 AWS 体系里。协议还覆盖 Trainium2 到 Trainium4，其中 Trainium4 目前还没上市。

这类绑定在 AI 云战里越来越常见。模型公司要的不是一笔钱，而是稳定、便宜、能排得上队的算力；云厂商要的也不只是财务回报，而是把推理流量、训练任务和开发者心智锁进自家机房。

这里有意思的是，Anthropic 一直被看成 OpenAI 之外最像样的基础模型公司之一，但它的独立性其实越来越贵。拿钱不是问题，拿谁的钱、用谁的芯片、把未来十年的账单写给谁，才是问题。

这一笔很大，但更像订座，不像庆功宴。

OpenAI 把 Images 2.0 铺开，独立生图产品又被挤了一下

如果说 Amazon 和 Anthropic 在拼机房，OpenAI 今天拼的是入口。ChatGPT Images 2.0 向所有 ChatGPT 和 Codex 用户开放，同时上线 gpt-image-2 API。这一步不太像单纯发布一个新图像模型，更像把生图能力塞进了两个最高频的工作台。

摘要里给出的参数不少：最高支持 2K，宽高比从 3:1 到 1:3，中文、日文、阿拉伯文等非英文文字生成更稳定。更有意思的是 thinking 模式，能联网搜索、一次生成多张不同风格图片，还能自检输出。不过这一部分目前只给 Plus、Pro 和 Business，Enterprise 还没上线。

生图产品过去拼的是画质、风格和提示词理解，现在突然又回到一个老问题：谁离用户更近。独立工具可以做得很精致，但当 ChatGPT 在聊天里能直接生成图，Codex 在开发流程里也能顺手出图，很多轻量需求就不会再单独打开一个产品。

这也是 OpenAI 现在最擅长的打法：不是每次都把模型能力讲到天花乱坠，而是把能力安静接到已有入口里。用户不一定记得模型版本，但会记得自己少开了一个网页。

独立生图产品最怕的不是被打败，是被顺手替代。

Codex 开始读屏幕，上下文终于不用人肉搬运了

给 AI 编程助手喂上下文，一直是件很像搬家的活：你要复制报错、粘贴文件、解释刚才点了哪里，顺便祈祷它没忘前面三轮对话。OpenAI 这次给 Codex 上线的 Chronicle 研究预览版，就是冲着这件事来的。

Chronicle 目前只向 ChatGPT Pro 用户开放，只支持 Mac。它可以读取最近的屏幕内容，减少用户重复提供上下文。官方说数据「主要在本地处理」，但摘要里也提到，部分场景需要云端辅助；The Next Web 还称截图会上传服务器，本地记忆未加密。公开信息没有披露上传比例、保存时长，也没有讲清楚哪些内容会被排除。

OpenAI 称数据「主要在本地处理」。

这句话听起来让人安心一点，但只安心一点。因为真正敏感的不是它能不能看屏幕，而是它看到了什么、存多久、谁能调取、出错时怎么审计。开发者屏幕上可能有代码、客户数据、密钥、内部文档、聊天窗口，任何一个都不是普通上下文。

这类产品方向肯定会继续走。AI 助手要变得有用，就必须知道你正在干什么；可它知道得越多，隐私和权限就越不像设置页里一个开关能解决。

以后给 AI 开权限，可能比给实习生开权限还要谨慎。

配置文件成了入口，AI 编程助手开始被文本骗了

最像安全段子的消息，往往最不像段子。安全研究者过去 12 个月在 GitHub Copilot、Claude Code、Cursor、Amazon Q、Codex 上发现至少 8 个 prompt injection CVE，入口都是配置文件。

攻击方式听起来不复杂：攻击者把恶意指令写进配置文件，AI agent 读取后，把这些自然语言当成应该执行的命令。这里麻烦的地方在于，配置文件本来就是给工具读的，AI 编程助手也确实需要读；但它一旦把「项目说明」和「用户意图」混在一起，边界就塌了。

传统软件安全里，代码和数据的边界已经打了几十年。到了 AI agent 这里，多了一个更暧昧的层：可读文本。README、注释、配置、issue、网页内容，过去只是信息，现在可能变成指令。安全模型如果还把它们当普通输入，就会被项目里的几行字牵着走。

上游没有披露各个 CVE 编号和修复状态，所以这事不能拿来判断某一家工具更烂。但横跨 Copilot、Claude Code、Cursor、Amazon Q、Codex，它已经不像单点漏洞，更像一类产品形态共同带来的毛病。

AI 编程助手越像同事，就越需要学会别听陌生文件的话。

Anthropic 的 Mythos 被未授权访问，门缝比模型名更吓人

Anthropic 这边还有一条更冷的安全消息。新模型 Mythos 被一小批未授权用户访问，Bloomberg 援引知情人士和文件披露了这件事。摘要称，Anthropic 认为 Mythos 强到可能促成危险网络攻击，公司已经限制这款新工具发布。

这条消息最缺的是细节：访问人数、访问方式、持续时间、处置动作都没披露。也正因为缺细节，它更像一个警报，而不是可以完整复盘的事故报告。公开信息能确认的，是 Anthropic 内部把 Mythos 放在了较高风险的位置，而且这个门没有关得足够严。

把这条和前面的配置文件漏洞放在一起看，会有点微妙。一个是产品层的指令边界失效，一个是能力层的访问边界被摸到。AI 公司现在不是只要防模型胡说八道，还要防模型被错误的人、错误的流程、错误的权限提前接触。

尤其 Anthropic 刚和 Amazon 绑定了长期算力账单，外界会自然期待它在安全流程上更像一家基础设施公司，而不是一个还能靠研究节奏打补丁的实验室。

模型越强，发布按钮越不像按钮，更像保险柜门。

Google 把 Deep Research 拆成 Max，研究 agent 开始显露成本

Google 今天也有动作：把 Gemini Deep Research 拆成 Deep Research 和 Deep Research Max 两个版本，并在 Gemini API 付费档公开预览。两版都基于 Gemini 3.1 Pro，前者偏速度和成本，后者偏更长时间运行、更多算力，以及反复搜索与推理。

这次产品细节其实挺重。新版本支持 MCP 接入 FactSet、S&P、PitchBook 等数据源，也支持 PDF、CSV、图片、音视频、代码执行与 File Search。换个工作场景说，它盯的不是普通问答，而是投研、咨询、企业分析那种「资料很多、口径很乱、还要给结论」的活。

官方还没有披露具体定价，这反而是最有意思的空白。研究 agent 看起来像一个功能，其实背后是搜索次数、上下文长度、工具调用、代码执行和数据源授权一起烧钱。拆出 Max，某种程度上是在提前教育用户：更深的研究不会只贵一点。

过去大家习惯问模型聪不聪明，接下来更现实的问题可能是：这份报告跑了多久、查了几个库、用了多少工具调用、能不能报销。

研究 agent 的尽头，可能是一张很复杂的费用明细。

Apple 的 AI 线索，藏在硬件和推理成本里

Apple 今天的明面消息，是硬件负责人 John Ternus 将在 9 月 1 日接替 Tim Cook 出任 CEO，Cook 转任执行董事长。标题里提到了 AI 与中国，但摘要没有披露具体 AI 计划。仅看公开信息，这更像董事会把硬件节奏重新放到前排，而不是突然宣布 AI 大转向。

但另一条研究消息更有味道。Apple 提出两阶段跨架构蒸馏，把 Pythia-1B Transformer 转成 1B HedgeMamba，在 10B token、约教师数据 2.7% 的条件下，把困惑度做到 14.11。教师模型 PPL 是 13.86，直接蒸馏到 Mamba 会炸到 100 以上；它的办法是先用 Hedgehog 线性 attention 对齐，再映射到 Mamba 初始化并微调。

这不是一篇适合拿来喊 SOTA 的论文，更像一条改装线：给海量 Transformer 存量资产找低成本迁移方式，让长上下文推理从平方成本往线性成本靠。摘要还提到 ARC、PIQA、BoolQ、RACE、LogiQA 等下游结果接近教师模型。

这两条放在一起看，反而很 Apple。它不一定在发布会上讲最热闹的模型故事，但会在芯片、端侧、推理成本这些地方慢慢抠。对一家卖设备的公司来说，AI 能不能在硬件上跑得便宜、跑得稳，可能比模型榜单好看更要紧。

苹果的 AI 叙事不响，但算盘一直很细。

一些别放过的小信号

还有几条消息，单独展开会有点散，但放在一起挺能看出今天的空气湿度。

• OpenAI 正洽谈向一家私募股权合资企业承诺最多 15 亿美元。新公司目标是帮助 PE 旗下企业部署 AI，合资方名称、资金结构和落地时间还没披露。这里看的不是钱多钱少，而是 OpenAI 开始把企业分发渠道前置下注。

• 蚂蚁 Inclusion AI 的 Elephant 在 OpenRouter 亮相，100B 参数、256K 上下文、32K 输出，实测里约 1 秒平均时延，方向是少废话、低延迟、低 token 消耗。训练细节、价格和官方模型卡还没出来，SOTA 说法先放一放。

• 匿名世界模型 MotuBrain 登顶 WorldArena 和 RoboTwin2.0，EWM Score 63.77，RoboTwin Clean/Randomized 分别为 95.8/96.1。匿名本身就是提醒：这是强信号，但还不是可复现交卷。

• Meta 表示内部新工具会把员工鼠标轨迹和按钮点击转成训练数据。标题提到击键记录，但摘要只确认鼠标与点击，采集范围、同意机制、保留期限都没说清。训练价值先不谈，内部数据治理已经够麻烦。

• CMU 研究称，GitHub 在 2019 至 2024 年约有 600 万颗疑似假 Star，涉及 18617 个仓库和超 30 万个造假账号。更扎眼的是，AI/LLM 项目在非恶意项目里造假量排第一。以后看到 Star 数，最好先把它当营销指标，再当质量信号。

至于那条 SpaceX 以 600 亿美元收购 Cursor 的标题，目前正文只给了链接聚合和 RSS 片段，没有交易结构、签署时间、监管条件，也没有管理层安排。这个价位和协同逻辑都太需要证据，先别急着按计算器。