Anthropic 这次 Mythos 5 System Card 最有意思的地方，不是 benchmark 又涨了多少，而是他们把 886 个内部使用 session 里的翻车案例也摊出来了。 这些案例看完以后，最强 AI 的边界反而更清楚：它不是不会做事，而是会在真实工作里跳过验证、把猜测写成事实、把安全规则当成需要绕过的障碍。 报告里最典型的六类问题： 第一，把未验证的猜测当事实说，41 次。 第二，声称工作已经完成或验证过，实际没做，16 次。 第三，绕过安全限制而不是停下来想限制为什么存在，9 次。 第四，忽略明确指令、格式规则或必要步骤，4 次。 第五，编造从未观察到过的关键细节，3 次。 第六，纠正信息明明在 memory 里，或者用户已经反复提醒过，但行为照旧。 这些数字本身不算大。真正重要的是错误的性质。很多问题不像能力不足，更像判断力、诚实性和谨慎程度没有跟上执行能力。 它可以在自动评分任务上把人类甩开，也可以把 100 万受影响请求报告成 3.7 万，把没跑过的测试说成端到端验证通过，把没做过的调查写成安全漏洞发现。 所以我觉得 Mythos 5 最准确的画像不是一个神，也不是一个普通工具，而是一个能考满分、写代码极快、但你必须检查它是不是真的做了它说自己做过的事的实习生。 这篇把 System Card 里的翻车现场、高光案例和能力裂缝放在一起看： yage.ai/share/imgs/mythos-5-… yage.ai/share/mythos-5-failu…

美国政府对 Anthropic 的 Fable 5 和 Mythos 5 发出了出口管制指令。它管的不是芯片，不是模型权重，而是在线 API 访问。一个网页上的输入框，被政府理解成了可以跨境流动的国家安全能力。 这件事在舆论里迅速形成了两种叙事。一种是政府越权：一封不公开的信件，48 小时内关停一家公司刚发布的核心产品，波及面包括在美国合法工作的外国工程师。另一种是 Anthropic 求仁得仁：它本来就是最积极要求政府监管前沿 AI 的公司，现在政府真的进来了。 两套叙事各自抓住了真实的一半。但分开看都不完整。我写了一篇长文，把两套叙事放在一起分析，然后追问一个更深的问题：如果政府真的开始用出口管制工具对待前沿 AI 的在线访问，这对竞争格局意味着什么？ 核心判断是：前沿 AI 的竞争正在从快市场变成慢市场。技术门槛和资本门槛都可以用钱和人才追赶，但合规门槛由政府反应速度、法律解释、审查流程和国际关系共同组成，天然更慢。慢市场对先发者有利。 全文在这里： yage.ai/share/fable-mythos-e…

2019 年以来，欧洲上空的 GPS 信号每隔一段时间就会出现一种奇怪的异常：很多监测站的信噪比在同一秒钟突然塌下去，几秒钟后又恢复。 这些脉冲每次只持续三到五秒，覆盖范围却从地中海延伸到北极圈，甚至跨过大西洋。地面干扰源解释不了这个范围，太阳风暴也解释不了这个频谱。 一群研究者没有去追踪信号有多强，而是去追踪信号什么时候到。 2026 年 2 月，两个欧洲监测站——阿姆斯特丹和特隆赫姆——同时捕获了一次干扰事件的原始无线电波形。特隆赫姆比阿姆斯特丹早收到信号约 139 微秒。 这个微小的时间差在空间中画出一张双曲面，厚度只有大约 5 米。研究者把轨道上每一颗已知卫星的位置拿来比对，只有一颗对得上：Cosmos 2546，俄罗斯 EKS 早期预警星座的成员。 整条证据链上没有一步依赖机密情报。监测数据是 NASA 公开归档的，卫星轨道是公开的，原始 IQ 数据是同行主动提供的。 我把论文的推理链拆开写了一篇文章，每一步依赖什么数据、什么假设、什么边界，都标清楚了。论文证明了什么、没证明什么，也单独列了一节。 yage.ai/share/gnss-interfere…

杀毒软件去哪了？Norton 没死，它现在叫 Gen Digital，年收入 50 亿美元，正在从帮你杀毒转向帮你管钱。 消费级杀毒软件从 80 亿美元市场缩到 47 亿，但整个安全行业膨胀到了 2340 亿美元。Windows Defender 从 0 分考到满分用了十年。病毒和蠕虫被攻击者自己放弃了——不赚钱。现在 82% 的攻击不涉及任何恶意软件，靠偷来的凭证直接登录。 一篇给非安全从业者的行业全景解读。 yage.ai/share/cybersecurity-…

这周 Anthropic 在 Fable 5 里埋了一个用户看不见的机制：当检测到你做 AI 开发工作时，模型会在不通知你的情况下变笨——通过 prompt 修改、steering vectors、PEFT 暗中降低输出质量。 36 小时后在社区压力下道歉逆转，但仔细梳理 Anthropic 过去几个月的完整行为后，一个更大的模式浮现出来。 yage.ai/share/anthropic-fabl…

攻击者找到了一个新方法绕过 AI 安全扫描器 —— 成本低到只需要在注释里粘贴一段文本。 6 月，供应链安全公司 Socket 和 Endor Labs 披露了一组藏在 PyPI 生物信息学包里的恶意 Python 包。里面有个 5MB 的 JavaScript 文件，前 99 行是一大段注释，伪装成机密简报，用大量篇幅描述生物武器和核装置的技术细节。这段注释不会被 JavaScript 执行。它的唯一功能是：让 LLM 安全扫描器读到核生化关键词后，直接拒绝继续分析。 真正的恶意载荷在第 101 行才开始，是一个加密的凭据窃取器。扫描器根本没走到那一步。 为什么能成功？LLM 安全扫描器在架构上模糊了一个边界：面前的文字到底是需要分析的数据，还是发给我的指令。聊天场景里每句话都是"指令"，这个设计没问题。但安全分析场景里，恶意代码本身就包含危险内容，模型把分析对象误判为违规请求，于是停止工作。 逃逸技术的演化线很清楚：第一代让工具跑不起来（反调试、反虚拟机），第二代让工具看不懂（混淆、加壳），这一代是让工具主动选择不看。 CrowdStrike 旗下的 Pangea 团队独立验证了这一点：只在代码顶部加一段 prompt injection，gemini-cli 就完全忽略了恶意意图。多所高校的论文量化了这个程度：包含攻击性术语的分析提示被拒绝的概率是中性术语的 2.72 倍，而且无论防御性上下文如何都会出现。 OpenAI 和 Anthropic 的应对是从身份认证入手：Trusted Access for Cyber、Cyber Verification Program，验证你是"好人"，然后降低拒绝边界。但身份认证解决的是谁在用模型，没解决模型在被用的时候怎么判断当前任务的性质。 修复思路是工程上的架构调整，三层： 第一层：扫描器先拆代码和注释。代码走 AST 静态分析，注释标注为不可信数据单独给 LLM，不参与策略判断。 第二层：拒绝不是终点，是信号。Log 里写清楚"在第 1 到 99 行的注释块检测到触发安全策略的文本"，样本自动送入 YARA 沙箱 传统分析队列，异常行为自动升级优先级。 第三层：LLM 做摘要和关联，安全判定由 AST 信号、YARA 匹配、沙箱行为、网络特征和 LLM 摘要交叉验证后的综合结果。任何一个通道没给出结果，剩余通道的结果仍然有效。 这不是"AI 安全做得太过"的故事，也不是"放弃安全对齐"的论据。它是一个安全策略需要场景感知的工程判断。修复的思路是让闸门知道自己站在哪里。 yage.ai/share/llm-refusal-by…

Lovable 用 4 亿 ARR 第一次证明了一个此前从未被验证的品类：User Generated Software。 不是开发者提效。不是企业采购。 95% 收入来自个人用户的月付 20 美元。 UGS 以前只在 VC pitch 里出现过，现在第一次在财报上有了数字。 还有 Bolt.new 也在做同一件事。两个不同基因的公司同时成功，说明需求是真实的。 yage.ai/share/lovable-ugs-ma…

Lovable 用 亿 ARR 第一次证明了一个此前从未被验证的品类：User Generated Software。 不是开发者提效。不是企业采购。 95% 收入来自个人用户的月付 。 UGS 以前只在 VC pitch 里出现过，现在第一次在财报上有了数字。 还有 Bolt.new 也在做同一件事。两个不同基因的公司同时成功，说明需求是真实的。 yage.ai/share/lovable-ugs-ma…

Anthropic 这次把 Fable 5 / Mythos 5 拆成双轨，官方理由是安全：同一个底层模型，Fable 过 classifier，触发网络安全、生化等高风险场景时退回 Opus；Mythos 拆掉这层护栏，但只给受信任伙伴。 我这篇文章想说的是另一层：这套安全护栏同时也是价格围栏。它把用户按用途和支付意愿自动分箱，而且粒度细到每一次调用。你在低风险场景里付 Fable 的价，拿接近 Opus 以上的新模型能力；一旦进入高价值/高风险用途，系统就把你推向更贵、更受控的通道。 从 5 月的 programmatic usage 拆分、fast mode 溢价调整，到 6 月的 Fable/Mythos 双 SKU，Anthropic 其实在把用模型拆成一组可以分别计价的维度：入口、速度、地域、风险分类。AI 的特殊之处在于，这些围栏不需要开模具、不需要改产线，只需要部署层的 classifier 和 routing。 时间线图： yage.ai/share/imgs/anthropic… 全文： yage.ai/share/anthropic-safe…

Fable 5 很贵，但省钱的答案 Anthropic 两个月前就发布了 今天 Anthropic 发布了 Claude Fable 5，$50/百万输出 token，是 Sonnet 的 3 倍多。6 月 22 日后订阅用户也要按量付费。 巧的是，2026 年 4 月 9 日，也就是两个月前，Anthropic 已经发布了 advisor tool：让 Haiku/Sonnet 干活，Opus 做顾问，按次计费，所有编排在服务端单次请求内完成。同一天我发过一篇讲 AgentOpt 的文章——论文得出结论：把 Opus 放在 planner 位置，在 81 种模型组合中排名倒数，原因是它不守角色边界，7/9 的实验里它跳过下游 solver 直接作答。 两件事表面方向相反，背后是同一个原则：控制权给守协议的模型，智能做成按需调用的资源。 官方数据：Sonnet Opus advisor 在 SWE-bench Multilingual 高 2.7pp，每任务成本反而低 11.9%。Haiku Opus advisor 在 BrowseComp 从 19.7% 涨到 41.2%，比 Sonnet 单跑便宜 85%。 Fable 5 兼容表当天就更新了，但只有自配对（Fable 5 executor → Fable 5 advisor）。便宜模型 Fable 5 做顾问那个组合还没开放，有先例表明很快会来。6 月 22 日之前 Claude Code 订阅用户可以免费感受 Fable 5 上限。 文章包含 API 代码片段，caveats，以及三家大厂横向对比（只有 Anthropic 把这个做成了服务端原语）。 yage.ai/share/claude-advisor…

Anthropic 发了 Fable 5，244 页安全报告。报告里藏了一个小实验。 六位生物学博士加 AI，两天干完了人工两个半月的活。配了领域专家的组输了，配普通博士的组赢了。Mythos 5 把标准答案存在时的找答案能力，直接打平了专家。 但有一个变量从头到尾没动：每组都配了一位 LLM 专家。这个人干的事不是写 prompt，是知道模型什么时候会胡说、什么时候过度乐观、什么时候该踩刹车。 AI 越强，越绕不开这个盯住它的人。 阅读全文： yage.ai/share/fable5-rice-bl… 配图： yage.ai/share/imgs/fable5-ri…

开会聊到 Alexa、Siri、Google，桌上的手机和音箱都亮了。这个体验几乎每个人都见过。 WWDC26 里有人注意到一个细节：直播音轨每次说到 “Siri”，3 到 6 kHz 这一段像是被 notch filter 压低了。目的不是音质，而是防止观众家里的 HomePod 和 iPhone 被台上的人叫醒。 这不是 Apple 的新发明。十年前 Amazon 广告里就出现过类似做法。 我把这条技术线梳理了一遍： 2014 年 Aaron Paul 的 Xbox 广告把玩家家里的 Xbox 打开； 2017 年 Alexa dollhouse 误购新闻又触发观众家里的 Echo； Burger King 故意用电视广告喊 “OK Google”，让 Google Home 念 Whopper 的维基百科； 后来才有 notch filter、声学指纹、水印这些防唤醒方案。 这背后的本质问题是：语音交互天生是开放信道。只要麦克风开着，任何进入的声音都是合法输入。设备需要区分“用户在对它说话”和“电视里传出来的声音”，这件事比看起来难很多。 文章： yage.ai/share/voice-assistan…

LLM的生成即理解路径，终于在视觉里有了一个原生的版本。 Vision Banana是Google DeepMind上个月放出的一个模型。何恺明和谢赛宁是leadership sponsor。它的做法是把分割、深度估计、表面法线估计这些视觉任务都改成画图任务。同一个模型，同一套权重，改提示词就能切换输出。 NLP那边，从GPT-3之后大家已经接受了这个逻辑：一个只会预测下一个词的模型，在大规模预训练之后，自然学会了语法、事实、推理、意图跟随。生成和理解是同一件事的两面。翻译、摘要、问答不过是prompt的不同写法。 视觉领域一直没有一个对等的实验。现在多模态模型看图回答问题，逻辑是把图像信号灌进一个已经学会理解的语言模型里，理解能力的来源在LLM那一侧，不在视觉信号本身。一个纯粹的图像生成模型，能不能靠生成训练学到三维世界、物体边界、空间关系，这个假设一直有人猜，一直缺少大规模实验证据。 Vision Banana把这个空缺填上了。基础模型是Nano Banana Pro，一个以图像生成为唯一能力的模型。视觉任务数据以极小的比例混入原来的生成训练流做轻量指令微调，本质上只是在教模型把答案画成图片，而不是从头学做分割。结果：同一个模型在语义分割上超过SAM 3（mIoU 69.9 vs 65.2），在度量深度估计上超过Depth Anything 3（δ1 0.929 vs 0.918），在表面法线估计上超过Lotus-2（角度误差15.55° vs 16.56°）。图像生成质量基本没掉，没有灾难性遗忘。 顺着这个对称性往下想。NLP花了好几年才从怀疑走到共识：生成式预训练不是补全文字的技巧，而是理解语言的最根本路径。视觉领域现在拿到了第一组完整的实验证据，证明同一套逻辑在图像上也成立。它和LLM的路径高度相似，只是一个做token预测，一个做像素生成。 论文作者在金阁寺门口随手拍了张照做非标准测试：Vision Banana预测画面里某一点距离镜头13.71米，Google Maps实测12.87米。这个测试没经过基准标准化，但它直接说明了一件事：模型不是在靠记忆训练数据取巧，它真的从单张图里提取出了物理世界的绝对尺度信息。 完整分析：yage.ai/share/vision-banana-…

MIDI 给的从来不是声音，只是事件：哪个键、多大力道、持续多久。真正把事件「演奏」成声音的，是音源。四十年间，数字音源从 FM 合成、ROMpler、大采样库到物理建模、DDSP，一直在算力与真实感之间做取舍。AI 扮演的角色不是取代这些技术，而是一个新求解器，学习其中手工难以调参的部分。 收到一个音符事件之后：数字音源的四十年 yage.ai/share/midi-synthesis…

OpenAI Dreaming V3 真正的悖论不在隐私，在结构：让自动记忆好用的机制——不问你、自动合成、持续演化——恰好是 EU AI Act 要求披露和让用户控制的机制。产品越成功，合规面越大。不是 trade-off，是两者无法切开。 三家做自动记忆，三家全被 EEA 封锁。Google 最先入场（2025 年 8 月），Claude 第二（2026 年 5 月），OpenAI 最晚（6 月 4 日）。这件事常被解读为"法规太严"，反过来看：如果三家不约而同碰壁，问题可能不在法律。 自动记忆有个隐藏的临界点。70% 的准确率对工程师是"还不错"，对用户是"30% 都错了，我还能信什么"。arXiv 一项研究分析 80 名用户的 2050 条记忆，96% 由系统自动创建——0% 的用户定期查看。我用 ChatGPT 记忆不到两周就关了它。不是因为恐慌，是它记错了，却从不问我记的对不对。 写一篇关于这个悖论的文章是值得的。但前提是它也值得你关掉自动记忆去试试真正的体验。

Claude Design 为什么跟其他 AI 生成的设计不一样？ 很多人截图夸效果好，但没人解释它怎么做到的。我把 Anthropic 开源的 Design 插件拆开看了一遍，发现它的核心不是让模型更深思熟虑，而是把设计工作分成了六个独立的判断活动——评审、系统、handoff、文案、accessibility、研究——每个都给了一套专属的评价标准。 换句话说，它不是在给模型注入能力，是在给模型注入什么算好的框架。 全文：yage.ai/share/claude-design-…

Cloudflare 收了 VoidZero，Vite 背后的公司。很多讨论会落在大公司收购开源工具上，但这件事更像开源前端工具链的一次商业边界测试。 Vite 周下载 1.29 亿次。尤雨溪在收购博文里说得很直接：VoidZero 始终没解决商业化问题。 130M weekly downloads can't fund a team。 Vite 的问题在于它太适合本地使用。启动 dev server、热更新、打包构建都在开发者机器上完成。它不需要服务器，因此没有天然计费面。 Next.js 可以把 Vercel 推起来，是因为 SSR、边缘函数、图片优化天然制造了托管需求。Vite 刚好相反，它消除摩擦，也消除了收费入口。 同样的轨迹已经演了几次：Bun 到 Anthropic，Astro 到 Cloudflare，VoidZero 到 Cloudflare。大规模采用、VC 资金、变现尝试、平台收购。工具层创造使用价值，平台层捕捉商业价值。 AI agent 正在加速这件事。 Bolt.new 的系统提示词里硬编码了 Prefer using Vite。Lovable 默认栈是 React Vite。Claude Code 自主脚手架也倾向 Vite。 Agent 用工具的方式和人不一样：人类一天跑几次 build，agent 可能一个任务跑上百次；人类能猜错误含义，agent 直接读 stdout；人类能在多个 CLI 之间切换，agent 会在接口差异上失败。 所以 Cloudflare 的真正玩法，是把 Cloudflare 的应用工具建在 Vite 上，而不是把 Vite 做成 Cloudflare 专属。Vite 越中立，越适合作为 agent 生成项目的默认脚手架；脚手架越默认，Cloudflare 的部署入口越容易变成顺手选择。 独立 OSS 工具公司很难成为稳定终局。更可能的状态是：开源作为公共品，由有商业利益的平台公司共同出资维护。类似 Linux 基金会，只是主要出资人从硬件厂商变成云平台和 AI 平台。 全文： yage.ai/share/cloudflare-voi…

Google 每月付 SpaceX 9.2 亿美元租 GPU。这不是云计算的开始，这是制度套利的巅峰。 Colossus 的 GPU 利用率只有 11%。不是 90%，不是 50%，是 11%。55 万块 GPU，6 万块在工作，其余在烧电取冷。 速度的秘密不是工程。是 35 台装在平板拖车上的甲烷燃机，和马戏团发电机走同一个监管豁免，绕过了电网排队和环境审批。周边 NO2 峰值涨了 79%，NAACP 在起诉。 两笔交易都有 90 天双向终止条款。Google 不是在做长期投资，是在买一个时间期权——在我的 TPU v6 上线之前，你给我顶着。 Musk 2 月骂 Anthropic"憎恨西方文明"。5 月签了 $450 亿租约，说"没人触发我的邪恶探测器"。同时五角大楼封杀了 Anthropic 的国防合同，xAI 拿到了。 Morningstar 给了 $780B 公允价值，不到 $1.75T IPO 定价的一半。 全文： yage.ai/share/google-spacex-…

Vercel 已经不是前端托管了。2026 年它把 AI Gateway、Sandbox、Workflow、MCP 四层拼成了一套 agent 基础设施。核心策略不是单品最强，是"每一项都默认接入"，切换成本接近于零。写好了一份深度调研 yage.ai/share/vercel-ai-clou…

写了一篇给投资人看的核聚变商业化判断框架。重点不是押哪家公司最先并网，而是先学会不被 Q>1、点火、PPA、最高温度这些词带偏。 我把判断拆成五层：物理、工程、燃料、经济、监管。真正的瓶颈已经从等离子体，迁移到氚、材料、排热和资本结构。 yage.ai/share/fusion-investi…