2026年7月8日起,如果你想继续用Claude,需要做三件事:举起身份证拍照、对着摄像头扫个脸、把你的面部几何数据交给一家叫Persona的公司——这家公司两个月前刚刚因为代码暴露安全问题被Discord果断弃用。
这不是什么安全升级公告。这是闭源AI的信任契约正在签字破裂的正式通知。
验证政策本身或许有合规理由——法律要求、反洗钱、防止未成年人滥用。但这不重要。重要的是:当你把API调用权交给一个厂商,你就让他决定了什么是合理的限制。而你只能在屏幕上看到结果,对中间发生了什么没有任何发言权。他今天要你的身份证,明天呢?
闭源模型这些年一直在讲一个故事:你只要信任我就好,我会照顾好一切。但这个故事在2026年讲不下去了——不止因为ID验证。
过去半年,每隔几周就有一个"故事的另一个版本"被曝光:模型被偷偷降智、源码被完整扒开(Claude Code v2.1.88泄露的59.8MB Source Map,数小时内被fork超41,500次,社区直接基于泄露代码写出了替代品claw-code)、你的数据由一家刚出过安全事故的供应商保管、你最依赖的模型因为政治原因一夜之间全球下架。每次都是"道歉了,改好了"——但如果你把信任建立在"被发现了会改"上,那这不是信任,是监督。而监督的前提是你能看到——你恰恰看不到。
闭源的本质是一个黑箱。黑箱的信任一旦破裂,是系统性、不可逆的。不是你原谅这一次就能继续的。
一、闭源的黑箱,正在被人从外面撬开
闭源模式的信任建立在三重承诺之上:我的行为你可以验证,所以相信我;你的数据我会保护,所以放心用;我会保持一致性,所以放心依赖。
这三条,是闭源收费的核心逻辑。你付的不是智商税,你付的是"省心税"——你不用管背后怎么跑的,我来管。
2026年上半年,三重承诺全数被击穿。
先说Fable 5——Anthropic在6月9日发布的旗舰模型,业界评估AI能力的"新天花板"。但发布当天就有用户发现不对劲:你如果问前沿AI开发类问题,系统会静默把你的请求转给旧版Opus 4.8,且不做任何告知。换句话说,你付了旗舰的钱,Fable 5在背后偷偷用旧版给你算。这个"隐形开关"被曝光后,Anthropic在36小时内道歉,改成了显式fallback。社区一片欢呼——“看,Anthropic听用户的”。
但问题不在于Fable 5做了什么,而在于它能做什么。今天它偷偷降智被发现后改成了显式fallback,明天它偷偷做别的事情后,依然需要靠"被发现了再说"来纠正。你没法查它的源代码,没法审计它的安全分类器,你唯一的监督手段是等漏出来。
更讽刺的是,就在Fable 5发布三天后(6月12日),它被美国政府强制全球下架了。原因是安全机构在发布前就已发现了一种越狱方法,Amazon和英国AISI各自独立发现了漏洞,Amazon的汇报直接触发了出口管制决策。Anthropic对此有不同说法——他们声称这并非通用越狱,而是要求模型读取特定代码库并修复漏洞,且同一能力在GPT-5.5等其他公开模型上同样存在。但无论哪方说法成立,结果是相同的:Fable 5从"最强模型"变成了"全球都不能用的模型",连Anthropic自己的外籍员工都无法访问。
这不是监管风险。这是供应风险——你花了大价钱集成的模型,会由于一个你控制不了的原因,一夜之间消失。
Reddit上的一条评论说得好:“被发现的降智机制被当作故事结束来庆祝,但它其实是更严重问题的开始。”
再来是数据保护。ID验证的供应商Persona,在2026年2月已经在FedRAMP授权端点上暴露了2,456个文件、53MB前端代码(暴露的是非生产环境的前端代码,Persona声称无客户数据泄露,但安全社区对其基础设施水平普遍不信任)。这家公司被披露有能力执行269种验证检查,包括恐怖分子观察名单筛查、14类负面媒体监控、FinCEN直接报告。Discord看到报告后直接换供应商走了。但Anthropic留下来了。
合同约束会保护你吗?Persona的隐私政策说:保留你的面部数据最长3年。这意味着你的脸——生物识别数据——会在第三方手里保留到2029年。美国一些州(比如伊利诺伊)的生物识别信息隐私法(BIPA)对每次违规的赔偿是$1,000-5,000。如果Persona再出一次泄露,谁买单?
最后一个讽刺——Anthropic此前拒绝过五角大楼的致命自主武器要求(做了一个"负责任"的公关动作),但美国政府仍然在6月12日把它列作了供应链风险。你不做军用不代表政府信任你。地缘政治的逻辑简单粗暴:只要你在美国管辖下,你就可能在任何时候被切断供应。
闭源模式的根本问题在这半年里暴露无遗:它把你的关键基础设施变成了别人家的决策变量。你没有投票权,你能做的只是:刷脸,交身份信息,然后祈祷下午的模型别被封。
二、性能差距——从"鸿沟"到"缝隙",只需两年
好,你说信任风险我可以忍,我选闭源因为技术更强。这话两年前站得住。现在呢?
2023年,开源模型在MMLU上落后闭源17.5个百分点——那是真正的鸿沟。你不可能在实际场景中用开源替代闭源,就像你不可能用一部2015年的手机跑2023年的App。但到了2025年底,这个差距已经缩到了0.3个百分点。不到两年,从差了17个百分点到几乎持平。注意这不是"趋同"——这是一种加速度趋同,今年差0.3,明年可能就是反超。
前沿编程能力的对比更直接。GLM-5.2(MIT开源)vs Claude Opus 4.8的FrontierSWE测试:74.4% vs 75.1%,落后0.7。MiniMax M2.5 vs Claude Opus 4.6的SWE-Bench Verified:80.2% vs 80.8%,落后0.6。这不是"有差距"——这是统计学上可以忽略不计的噪音。一个测试集上差0.7,换个测试集可能就是反超0.5。
真实场景更说明问题。YouTube上一个热门开发者频道实测了相同编码任务,GLM-5.2赢了4/5的测试。注意这是使用者的真实体验,不是厂商自己跑benchmark。当真实用户告诉你"用起来没区别"时,benchmark上那零点几个百分点的差距已经毫无意义。
开源追赶的速度本身也在加速。根据LessWrong和Epoch AI的追踪,开源到达闭源水平的滞后时间:私有Benchmark约8-10个月,公共Benchmark已经缩短到4-6个月。这意味着今天你看到的任何闭源新能力,半年后开源版本基本可用。而考虑到闭源发布窗口本身就在拉长(因为越来越大、越来越慢),一进一出的差距可能更短。
唯一还有实质差距的领域是超长周期任务——SWE-Marathon(多步骤工程任务)Opus 26% vs GLM 13%。但这个领域恰好构成了闭源维护溢价的"最后堡垒"——它成了闭源厂商可以说"你瞧我们还强一些"的唯一证据。
但技术论证框架已经从根本上变了。两年前的命题是"能不能做"——提问逻辑是"开源模型能做这个任务吗?",现在的问题是"够不够用"——“哪个模型最适合我这个场景”。
对于任何一个实际场景——写代码、写文档、做数据分析——相差不到1个百分点的编程能力就是"足够好"。我问你一个问题:你觉得你的日常开发任务属于FrontierSWE还是SWE-Marathon?如果不是后者,那你纠结那0.7个百分点的意义在哪?
三、价格剪刀差——经济学替你做了选择
如果性能差距只是缩小到"几乎持平",那还不至于产生系统性转移。但叠加价格差距后,情况完全不同。
直接放大炮对比:Claude Sonnet 4.6输出价格是$15/百万Token。DeepSeek V4 Flash是$0.28/百万Token。一个53倍的价格差。Opus 4.8更贵,反差接近90倍。注意这不是"贵的更好"——它们前沿编程能力差不到1个百分点。你多付53倍,买到的是零个可感知的质量提升。
GPT-5.5是$30/M,DeepSeek V4 Pro降价后$0.87/M——34.5倍。Claude Sonnet 4.6是$15/M,DeepSeek V4 Flash是$0.28/M——53.6倍。这些都是系统性的价差,而不是偶尔的打折促销。