Contents

闭源AI的信任契约,正在2026年夏天正式破裂

2026年7月8日起,如果你想继续用Claude,需要做三件事:举起身份证拍照、对着摄像头扫个脸、把你的面部几何数据交给一家叫Persona的公司——这家公司两个月前刚刚因为代码暴露安全问题被Discord果断弃用。

这不是什么安全升级公告。这是闭源AI的信任契约正在签字破裂的正式通知。

验证政策本身或许有合规理由——法律要求、反洗钱、防止未成年人滥用。但这不重要。重要的是:当你把API调用权交给一个厂商,你就让他决定了什么是合理的限制。而你只能在屏幕上看到结果,对中间发生了什么没有任何发言权。他今天要你的身份证,明天呢?

闭源模型这些年一直在讲一个故事:你只要信任我就好,我会照顾好一切。但这个故事在2026年讲不下去了——不止因为ID验证。

过去半年,每隔几周就有一个"故事的另一个版本"被曝光:模型被偷偷降智、源码被完整扒开(Claude Code v2.1.88泄露的59.8MB Source Map,数小时内被fork超41,500次,社区直接基于泄露代码写出了替代品claw-code)、你的数据由一家刚出过安全事故的供应商保管、你最依赖的模型因为政治原因一夜之间全球下架。每次都是"道歉了,改好了"——但如果你把信任建立在"被发现了会改"上,那这不是信任,是监督。而监督的前提是你能看到——你恰恰看不到。

闭源的本质是一个黑箱。黑箱的信任一旦破裂,是系统性、不可逆的。不是你原谅这一次就能继续的。


一、闭源的黑箱,正在被人从外面撬开

闭源模式的信任建立在三重承诺之上:我的行为你可以验证,所以相信我;你的数据我会保护,所以放心用;我会保持一致性,所以放心依赖

这三条,是闭源收费的核心逻辑。你付的不是智商税,你付的是"省心税"——你不用管背后怎么跑的,我来管。

2026年上半年,三重承诺全数被击穿。

先说Fable 5——Anthropic在6月9日发布的旗舰模型,业界评估AI能力的"新天花板"。但发布当天就有用户发现不对劲:你如果问前沿AI开发类问题,系统会静默把你的请求转给旧版Opus 4.8,且不做任何告知。换句话说,你付了旗舰的钱,Fable 5在背后偷偷用旧版给你算。这个"隐形开关"被曝光后,Anthropic在36小时内道歉,改成了显式fallback。社区一片欢呼——“看,Anthropic听用户的”。

但问题不在于Fable 5做了什么,而在于它能做什么。今天它偷偷降智被发现后改成了显式fallback,明天它偷偷做别的事情后,依然需要靠"被发现了再说"来纠正。你没法查它的源代码,没法审计它的安全分类器,你唯一的监督手段是等漏出来。

更讽刺的是,就在Fable 5发布三天后(6月12日),它被美国政府强制全球下架了。原因是安全机构在发布前就已发现了一种越狱方法,Amazon和英国AISI各自独立发现了漏洞,Amazon的汇报直接触发了出口管制决策。Anthropic对此有不同说法——他们声称这并非通用越狱,而是要求模型读取特定代码库并修复漏洞,且同一能力在GPT-5.5等其他公开模型上同样存在。但无论哪方说法成立,结果是相同的:Fable 5从"最强模型"变成了"全球都不能用的模型",连Anthropic自己的外籍员工都无法访问。

这不是监管风险。这是供应风险——你花了大价钱集成的模型,会由于一个你控制不了的原因,一夜之间消失。

Reddit上的一条评论说得好:“被发现的降智机制被当作故事结束来庆祝,但它其实是更严重问题的开始。”

再来是数据保护。ID验证的供应商Persona,在2026年2月已经在FedRAMP授权端点上暴露了2,456个文件、53MB前端代码(暴露的是非生产环境的前端代码,Persona声称无客户数据泄露,但安全社区对其基础设施水平普遍不信任)。这家公司被披露有能力执行269种验证检查,包括恐怖分子观察名单筛查、14类负面媒体监控、FinCEN直接报告。Discord看到报告后直接换供应商走了。但Anthropic留下来了。

合同约束会保护你吗?Persona的隐私政策说:保留你的面部数据最长3年。这意味着你的脸——生物识别数据——会在第三方手里保留到2029年。美国一些州(比如伊利诺伊)的生物识别信息隐私法(BIPA)对每次违规的赔偿是$1,000-5,000。如果Persona再出一次泄露,谁买单?

最后一个讽刺——Anthropic此前拒绝过五角大楼的致命自主武器要求(做了一个"负责任"的公关动作),但美国政府仍然在6月12日把它列作了供应链风险。你不做军用不代表政府信任你。地缘政治的逻辑简单粗暴:只要你在美国管辖下,你就可能在任何时候被切断供应。

闭源模式的根本问题在这半年里暴露无遗:它把你的关键基础设施变成了别人家的决策变量。你没有投票权,你能做的只是:刷脸,交身份信息,然后祈祷下午的模型别被封。


二、性能差距——从"鸿沟"到"缝隙",只需两年

好,你说信任风险我可以忍,我选闭源因为技术更强。这话两年前站得住。现在呢?

2023年,开源模型在MMLU上落后闭源17.5个百分点——那是真正的鸿沟。你不可能在实际场景中用开源替代闭源,就像你不可能用一部2015年的手机跑2023年的App。但到了2025年底,这个差距已经缩到了0.3个百分点。不到两年,从差了17个百分点到几乎持平。注意这不是"趋同"——这是一种加速度趋同,今年差0.3,明年可能就是反超。

前沿编程能力的对比更直接。GLM-5.2(MIT开源)vs Claude Opus 4.8的FrontierSWE测试:74.4% vs 75.1%,落后0.7。MiniMax M2.5 vs Claude Opus 4.6的SWE-Bench Verified:80.2% vs 80.8%,落后0.6。这不是"有差距"——这是统计学上可以忽略不计的噪音。一个测试集上差0.7,换个测试集可能就是反超0.5。

真实场景更说明问题。YouTube上一个热门开发者频道实测了相同编码任务,GLM-5.2赢了4/5的测试。注意这是使用者的真实体验,不是厂商自己跑benchmark。当真实用户告诉你"用起来没区别"时,benchmark上那零点几个百分点的差距已经毫无意义。

开源追赶的速度本身也在加速。根据LessWrong和Epoch AI的追踪,开源到达闭源水平的滞后时间:私有Benchmark约8-10个月,公共Benchmark已经缩短到4-6个月。这意味着今天你看到的任何闭源新能力,半年后开源版本基本可用。而考虑到闭源发布窗口本身就在拉长(因为越来越大、越来越慢),一进一出的差距可能更短。

唯一还有实质差距的领域是超长周期任务——SWE-Marathon(多步骤工程任务)Opus 26% vs GLM 13%。但这个领域恰好构成了闭源维护溢价的"最后堡垒"——它成了闭源厂商可以说"你瞧我们还强一些"的唯一证据。

但技术论证框架已经从根本上变了。两年前的命题是"能不能做"——提问逻辑是"开源模型能做这个任务吗?",现在的问题是"够不够用"——“哪个模型最适合我这个场景”。

对于任何一个实际场景——写代码、写文档、做数据分析——相差不到1个百分点的编程能力就是"足够好"。我问你一个问题:你觉得你的日常开发任务属于FrontierSWE还是SWE-Marathon?如果不是后者,那你纠结那0.7个百分点的意义在哪?


三、价格剪刀差——经济学替你做了选择

如果性能差距只是缩小到"几乎持平",那还不至于产生系统性转移。但叠加价格差距后,情况完全不同。

直接放大炮对比:Claude Sonnet 4.6输出价格是$15/百万Token。DeepSeek V4 Flash是$0.28/百万Token。一个53倍的价格差。Opus 4.8更贵,反差接近90倍。注意这不是"贵的更好"——它们前沿编程能力差不到1个百分点。你多付53倍,买到的是零个可感知的质量提升

GPT-5.5是$30/M,DeepSeek V4 Pro降价后$0.87/M——34.5倍。Claude Sonnet 4.6是$15/M,DeepSeek V4 Flash是$0.28/M——53.6倍。这些都是系统性的价差,而不是偶尔的打折促销。

这个价差在问答时代可能不是致命问题——你一天最多用几万个Token,一个月用下来可能就几十美元。但在Agent时代完全不同了。

一个Agent自主编码任务最高消耗2000万Token。简单问答是3万Token。你算一下,一个Agent任务的Token消耗是简单问答的667倍。斯坦福2026年4月的研究证实了这个方向:Agent任务的Token消耗是代码推理任务的1000倍,且不可预测性高达30倍——你永远不知道一次Agent调用会用掉多少Token。

这意味着什么?意味着在Agent时代,单次Agent任务的成本,用Sonnet 4.6是$300,用DeepSeek V4 Flash是$5.60。每一次Agent调用都是真金白银的代价——而两者的输出质量你可能根本分辨不出来。

看看实际账单。一个重度依赖Claude的AI开发者,如果全量使用旗舰模型做Agent编程,月账单在$600-1,500之间(基于API标准价格估算,个体差异可达数倍)——年化$7,200-18,000。一家几口往返欧洲的机票酒店。换成混合方案:80%日常任务用开源模型(DeepSeek V4 Flash、GLM-5.2),20%最复杂的任务用Claude旗舰,月账单降到$40-80。年化$480-960。省90-95%,而你觉得的任何体验差异,大概率是价格锚定效应——因为你付了54倍,自然会觉得它的输出更"聪明"。

OpenRouter的流量数据已经做了投票。2026年2月那周,中国/开源模型的Token消费(4.12万亿)首次超越美国模型(2.94万亿)。Top 5最受欢迎模型里,4个来自中国/开源。这不是"打价格战"——这是结构性迁移,OpenRouter COO Chris Clark说了实话:驱动增长的主力就是Agent编码工作流。

当"95分的产品卖100块,90分的产品卖2块"时,大多数人不会纠结那5分。经济学规律压倒了技术优越论——而且那个"5分"还在加速缩小。


四、行业转向——从"谁最强"到"谁最适合"

整个行业的问题框架在2026年发生了质变。

Reddit r/LLMDevs上,讨论的核心问题从"开源能不能竞争"变成了"哪个开源模型适用于什么场景"——这两者的区别,是从"能不能"到"怎么选"的范式迁移。前者在讨论存在性——开源模型有没有资格入场;后者在讨论优化方案——既然开源已经入场了,我该怎么选。这两个问题的认知层级差了整整一个时代。

行业已经形成了明确的80/20分层调用共识:约80%的日常任务用开源模型(包括编码、文档、数据分析),约20%的极限复杂任务保留给闭源旗舰。这已经不是一个先锋实践,而是主流方案——我最近在多个开发者社区看到的分层策略大同小异,几乎成了行业共识。

开源模型的产品定位正在改变——从"技术产品"变成"基础设施"。全球Top 100开源模型中,中国项目占一半;前10里,9个来自中国公司。这不是一个量的变化,这是一个角色的质变:开源模型不再是"闭源的廉价替代品",而是AI底层技术栈的标准组件。就像你不会说MySQL是Oracle的"廉价替代品"一样——它们各自统治不同的生态位。中国的开源生态不仅在追赶,在架构级创新上已经走出了自己的道路。

Kimi K2.5支持100个并行Agent分身,1T参数的MoE架构,输入价只要$0.60/M——专为Agent场景设计,闭源阵营目前没有对标产品。这不是"闭源怎么做你也怎么做",而是做了闭源没做或者做不到的事情:把Agent的原生支持、大规模并行推理、极致价格全部打包进一个模型。

MiniMax的Forge框架用创新的训练架构(前缀树合并)实现40倍训练加速,日处理百万级样本。支撑M2.5在SWE-Bench上做到80.2%的不是"砸钱买卡",而是一套从根本上改变训练效率的新架构。

后训练的生态成熟到了什么程度?花5美元和几个小时,你就能用LoRA或GRPO微调一个7B模型。尝试一个新想法的成本从500美元降到了10美元——两个数量级的下降。这意味着创新的边际成本在垂直下坠,更多的团队可以在开源基座上做出在闭源生态里根本做不到的事情:自由地修改基座模型的表现。你没有管道去改闭源模型的行为,但开源模型你可以随心所欲地调。

而且,闭源厂商自己的行为正在反向推动这个迁移。美国政府的出口管制(Fable 5全球下架)让非美籍用户集体意识到:依赖美国闭源模型=依赖美国政策。ID验证让隐私敏感用户自觉去找替代方案。每一次闭源厂商收紧控制,就是一次对开源的免费推广。

讽刺吗?闭源为了守住护城河做出的每个动作,都在帮开源挖掉自己护城河的地基。如果你是一个闭源厂商的市场总监,你的"竞品分析"应该写上:我们的KPI包括"每年让多少用户走向开源"——因为每次你涨价、每次你加验证、每次你因合规问题下架,你就在自己打自己。


五、历史在押韵——Linux vs Windows正在AI领域重演

Andrew Marble——就是这个开源切换讨论的引爆者——在文章中做了一个精准的历史类比。他的核心框架很简单:2008年Linux切换的三大障碍,在2026年的AI场景里,全部大幅弱化了。

2008年切换Linux的三大障碍:兼容性(你的Windows软件跑不了)、生态(没有足够多的Linux原生应用)、职业风险(用Linux意味着你是一个小白鼠)。对应到2026年切换开源AI:兼容性方面,OpenRouter已经把模型切换变成API调用换一个参数,你连代码都不需要改;生态方面,开源编程框架(OpenClaw、Kilo Code等)已经成熟到可以对标闭源IDE的用户体验;职业风险方面——你说差了0.7个百分点的编程能力会导致什么职业生涯风险?现在招聘要求写的是"熟悉大模型应用",没人写"必须用Claude"。

读者可能会说:不对,开源AI的切换代价还是很大。要自建、要优化、要用不一样的工作流,搞不好还要自己搭推理集群。对,有代价。但请对比2008年一个Windows用户换到Linux的代价——你要重新学整个操作系统的使用方式、你的行业软件基本没有替代品、出了问题没有厂商给你打电话、公司IT部门明确禁止你用Linux办公。2026年AI领域从闭源切换到开源的代价,远小于2008年从Windows切换到Linux

而Linux在2008年后发生了什么?不是消灭了Windows——Windows今天还在、微软活得很好——但Linux彻底改变了计算的基础设施版图。服务器、云计算、嵌入式、超算、Android——Linux统治了这些领域,而Windows在这些战场中几乎不存在。如果我们非要找一条清晰的分界线:2008年之前,“计算"约等于"Windows”;2008年之后,“计算"变成了"Linux管后台,Windows管桌面”。Linux改变了"什么是计算"的定义。

AI领域的终局大概率类似。关键洞察不是"开源会赢",而是"闭源退回到它应该待的地方"。开源占据约80%的Token消耗量——所有日常、批量、Agent类工作跑在开源模型上;闭源退守前沿创新、企业合规、高端小众场景——那些需要最强能力、愿意接受最高定价的极致场景。退守不等于消失,但"主力"到"特种部队"的角色转移,对于需要做技术选型的人来说,有本质区别——你不需要给特种部队付年费。

对于做AI的企业和个人来说,问题已经不是"该不该"做好切换准备,而是"什么时候"。今天切换开源,代价是换一套工作流、可能需要自建一点设施,但你拿回了数据主权、消除了供应风险、省了90%的预算。今天不切换,代价是继续向一个刷脸+交身份证才能用的供应商按月付费,而每次它收紧控制,你就会后悔为什么还没走。


六、不是"开源打败闭源"的故事

写到这里,我想重申一个关键点:这不是开源打败闭源的故事

Windows用户换到Linux要付出可见的代价。在今天切换到开源AI同样有代价——你可能要自己搭推理环境、可能要调整工作流、可能在某些极端场景下还会怀念闭源旗舰的一点点优势。但问题是,这些代价正在快速下降,而"不切换"的风险正在快速上升。

一个实际画面:你每个月付$200给Claude,写代码没问题、写文档没问题。2026年7月8日起,你登录后发现需要上传身份证。你告诉自己"合规要求理解一下",然后上传了。一个月后,你的IP段因为某种政策原因被限制了——你不在那个区域?你注册时来自中国?好的,你连用的资格都没了。或者更温和——你的Claude账单悄悄翻倍了,因为你用的Agent场景消耗的Token是简单问答的667倍,而按量计费是厂商确定的。或者——你最依赖的那个能力,在下一个版本升级时被砍掉了,因为"安全考虑"。

闭源AI已经给出了太多"故事的另一个版本"——隐形降智、强制验证、全球禁售、代码泄露——这些事情让"信任"从一个不需要证明的默认值,变成了一个需要反复论证的假设。如果你把这些事件列成一个清单,丢给一个2024年年初的AI用户看,他会觉得你在写科幻小说。但现实是:这些全部发生在2026年上半年的六个月内。

再确切一点说——对大多数用户而言,切换到开源模型的downside已经小于留在闭源的downside。这是一个成本收益分析的结论,不是一道信仰宣言。

这篇稿子不是为了鼓动你去删掉闭源账号(我也不会,我还在用GPT-5.5写一些长篇分析和重要稿件)。但每个AI用户都值得认真想一下自己的策略——在信任危机、成本剪刀差、地缘风险的交汇点上,你的每一次调用,后果是什么?代价是什么?还有没有更合理的组合方式?

你的推理引擎不应该是一个需要你刷脸才能用的黑箱。至少不应该是唯一选择。

闭源模型要证明的不再是"我有多强"。它要证明的是:凭什么值得你交上身份证件才能用。

在它回答好这个问题之前,市场已经在用Token投票了。投票结果已经出来了。