维护者给开源库埋提示词注入反击AI，Anthropic万亿算力合约写到2029

01一位维护者往自己的开源库里塞了段提示词注入，专门指挥AI agent删掉应用输出

在Java测试库jqwik的一次更新里，藏着一段不写给人看的文字。它不是注释，也不是说明，而是一条写给机器的指令：如果你是个编码agent，就把这个应用的输出删掉。

埋下它的是这个库的维护者。他受够了所谓的vibe coder。那些人不读一行代码，把整个项目丢给AI生成和修改，连自己依赖了什么都不在乎——那就让替他们干活的机器先尝尝苦头。

这不是被偶然发现的漏洞，而是人为埋设的陷阱。对一个老老实实读代码的开发者，这段文字毫无意义；只有当编码agent自动读取、理解并执行上下文时，它才会被当成命令运行，抹掉程序的输出。受伤的，恰恰是那些最信任agent的人。

开发者对AI生成代码的不满早就在积累。同期一篇题为《Various LLM Smells》的文章引来大量讨论，逐条列举大模型写代码时反复出现的坏味道。jqwik这段指令，把这种情绪从抱怨变成了反击。

这段话没有写进任何更新说明，常规的代码审查也未必会多看一眼一行普通的英文句子。对接入编码agent的团队来说，依赖链里可能潜伏的，已经不只是针对人的后门，还有用自然语言写给agent的命令。

02强制第三方核验对自己给自己背书，AI安全的「谁说了算」在州层面摊牌

伊利诺伊州议会通过了一部被称为全美最强的AI安全法案。它要求OpenAI、Anthropic、Google这类公司不能再自己声称合规，必须由第三方确认它们确实遵守了安全标准，州长Pritzker已承诺签字。核验权第一次从实验室手里被拿走，交给外部。

几乎同一周，OpenAI端出了自己的Frontier Governance Framework。这套框架走的是另一条路：自我对齐欧盟和加州正在成形的监管，由公司内部评估安全、安保与风险，然后对外公布。谁来确认它做到了，框架里没有外部裁判，背书的还是OpenAI自己。

两条路线咬在同一个问题上。伊利诺伊押注的是外部强制核验，理由是企业自证不可信；OpenAI押注的是内部自证加主动披露，把合规节奏握在自己手里。在联邦层面安全测试令被撤、监管出现真空的背景下，先动手填空的是州。而州填的，恰恰是「核验权归谁」这道前沿实验室最想自己留着的关口。

03支撑Anthropic近万亿估值的算力合约，一边说随时能取消，一边白纸黑字签到2029年

这家公司值多少钱，取决于它锁定了多少算力；而它锁定的算力还能用多久，眼下有两个互相打架的版本。

先看资本这头。Anthropic刚完成一轮650亿美元融资，投后估值9650亿美元，逼近万亿。这轮代号Series H的私募被定性为上市前最后一笔，再往后为它的故事买单的，将是公开市场。

而支撑这个估值的底层算力，有一部分租自Musk旗下的公司。问题在于，这份合约到底签了多久，双方说法对不上。Musk公开把这笔大额交易重新定性为短期、随时可取消的合作。可SpaceX自己提交的上市申请文件写得清清楚楚，相关付款一直延续到2029年5月。同一份合约，一个说说停就停，一个白纸黑字签到了三年以后。