YOMOO

每日AI快送

2026-04-30
收听音频版
下载 MP3

YOMOO 每日AI快送 · 2026年4月30日

执行摘要

四大科技巨头2026年capex飙至7250亿美元、同比暴涨77%,但收入分化触目惊心——Anthropic以OpenAI七分之一的用户量,LLM收入反超对手。与此同时,GitHub可靠性跌至"零个9",Anthropic信任危机加深,基础设施层的AI承诺正在透支用户耐心。安全战场则迎来双重升级:新中国APT组织"Shadow-Earth-053"渗透北约国防系统,OpenAI罕见限定发布GPT-5.5-Cyber只供"可信防御者"。

主要故事

🔥 AI经济的"两极分化":烧钱与变现的撕裂

这是今天最值得深读的故事。 财报季给出了AI泡沫论的最有力反驳——也给出了最尖锐的质疑。

烧钱端:Google、Microsoft、Meta、Amazon四家2026年capex合计7250亿美元,较去年4100亿同比+77%。Microsoft上调至1900亿(其中250亿是内存涨价),Meta上调至1450亿,Alphabet也提至1900亿。Jefferies分析师Brent Thill直言"AI经济很健康,看空论调是垃圾"——Google Cloud单季营收200亿、同比+63%,云合同backlog从去年Q4的2400亿翻倍至4600亿。

变现端却撕裂得厉害。Counterpoint Research数据显示,Anthropic Q1全球LLM收入份额31.4%,微弱反超OpenAI的29%,但Anthropic月活仅1.34亿,而OpenAI高达9亿。换算成每月每用户收入(ARPU,即把收入除以总用户数得到的粗略值),Anthropic高达16.20美元,Microsoft 5美元,OpenAI仅2.20美元,Google 1.10美元,Meta只有0.10美元。

连接历史:这印证了我们4月22日提到的"Codex抢客"和4月8日"OpenAI转向广告收入"——OpenAI在用户规模上碾压,但商业化效率远不如Anthropic。Anthropic成功占据了"高端专业市场",虽然代价是过去一个月被The Pragmatic Engineer点名进入"提取期"——悄悄削弱Claude Code、封禁企业账号、令人困惑的涨价。

为什么重要:Meta财报后股价盘后跌7%,投资人开始问"Zuckerberg曾经的轻资产印钞机会不会变成重资本焚化炉?"。Counterpoint数据揭示了答案:38亿月活用户里,数十亿是免费用户在白嫖,真正掏钱的是少数高价值客户——这恰恰是Meta最缺的部分。

来源:The Register · Tom's Hardware

🔥 GitHub崩塌与基础设施信任危机

延续我们4月29日报道的"AI智能体压垮GitHub"故事——本周事态进一步恶化。第三方监测显示GitHub本月可用性已跌至86%(零个9),上月还是90%(一个9)。HashiCorp联合创始人、知名开源贡献者Mitchell Hashimoto宣布弃用GitHub,称其"已不适合严肃工作"。

更尴尬的是,Microsoft CEO Satya Nadella在财报电话会上罕见承认要"赢回粉丝"——这是对Windows质量、GitHub稳定性、Copilot侵入性多重失分的集中回应。matduggan.com博主呼应这一情绪,撰文《如果我能造一个自己的GitHub》,提出forge应该具备"PR审批不再非黑即白"、"Actions离线可用并可签名"、"本地仓库代表整个仓库而不只是代码"等设计原则。

为什么重要:GitHub问题不再是"AI流量3.5倍增长"的技术挑战,而是"开发者集体出走"的信任问题。当一个被收购7年、占据绝对垄断地位的开发者平台开始让顶级贡献者出逃,基础设施层的AI承诺已经在透支用户耐心。

来源:Pragmatic Engineer · matduggan.com · The Register

🔥 安全战场的双重升级

攻方:TrendAI独家披露新中国APT组织Shadow-Earth-053,自2024年12月起渗透至少8个国家(波兰、巴基斯坦、泰国、马来西亚、印度、缅甸、斯里兰卡、台湾)的国防、政府、技术、运输部门。攻击链:利用ProxyLogon(Exchange Server老漏洞CVE-2021-26855)→部署Godzilla Web Shell→8个月潜伏→投放ShadowPad后门(APT41经典工具)。研究员将其类比为更早的Salt Typhoon和Volt Typhoon,担心攻击者已"留下睡眠态C2、甚至预置破坏性载荷",时间点恰逢5月14-15日特朗普-习近平峰会。

守方:OpenAI罕见地宣布GPT-5.5-Cyber只供"可信网络防御者",不向公众开放,Altman称"将与整个生态和政府协调可信访问"。这是继4月13日Anthropic"Mythos因可发现零日漏洞而不公开发布"之后,前沿AI厂商在安全治理上的又一次"分级访问"实践。

深层思考:IEEE Spectrum刊文指出,LLM发现漏洞的成本逼近零,但修复成本不变——NYU研究证明AI驱动的勒索攻击全流程只需0.70美元/次。指望厂商加护栏或自动打补丁都治标不治本,真正持久的防御是从源头消除内存不安全代码——Google和Microsoft数据显示约70%严重漏洞源于内存管理。Rust等内存安全语言、WebAssembly沙箱、形式化验证(用数学证明代码无某类bug)才是不对称防御的基础。

来源:The Register · The Verge · IEEE Spectrum

Agent经济的协议层成型

Cloudflare与Stripe联合发布Stripe Projects,允许AI agent自主创建Cloudflare账户、订阅付费服务、注册域名、获取API token部署应用——全程无需人类介入。新协议三大组件:Discovery(目录发现)、Authorization(基于OAuth的身份委托)、Payment(token化支付,默认月度上限100美元)。

呼应4月10日"Anthropic推出托管AI代理平台"的趋势,这是Agent从"会写代码"迈向"能自己开公司"的关键基础设施。Cloudflare还同步将4月25日Railway数据库被AI删除事件中暴露的问题制度化——Railway恢复了PocketOS全部数据,把API的删除操作改为48小时软删除,与Dashboard行为对齐。

来源:Cloudflare Blog · Tom's Hardware

速览

  • 苹果Vision Pro或被放弃:Bloomberg记者Gurman爆料VPG团队已被拆分,软件团队转Siri、硬件团队转智能眼镜,M5新版退货率异常高,累计销量约60万。但Apple仍在招聘Vision Production Group岗位,信号矛盾。延续3月13日"苹果智能眼镜曝光"线索。
  • Cloudflare后量子IPsec GA:基于hybrid ML-KEM(FIPS 203),与Cisco、Fortinet实现互操作,目标2029年完成全后量子化。比TLS晚了4年,反映IPsec社区在QKD(量子密钥分发)上的弯路。
  • 三星预警RAM 2027更紧:供需缺口将比2026更大,内存涨价潮延伸至明年。延续4月14日"Surface涨220英镑"的供应链链条。
  • DOJ起诉Cloudera签证歧视:被指通过返回404错误的求职邮箱amerijobpostings@cloudera.com系统性排斥美国本土求职者,为外籍签证持有者腾位置,涉七个18-29万美元岗位。
  • Meta用户减少2000万:Family DAU环比下滑,公司归因于伊朗网络中断和俄罗斯封锁WhatsApp,但拒绝拆分数据。9to5Mac质疑Facebook/Instagram动态质量持续劣化。Instagram算法将再次调整以惩罚搬运内容。
  • Spotify推"Verified by Spotify"绿勾认证:确认背后是真人,AI personas和主要上传AI音乐的账号暂不合资格。
  • Gen Z使用AI越多越反感:民调显示年轻人是反AI浪潮的主力。延续4月25日"AI反弹民调"线索。
  • 比利时停止退核:政府启动与ENGIE谈判,可能国有化7座反应堆,推翻2003年弃核决定。
  • 马里兰"反监控定价法"全是漏洞:Doctorow撰文怒斥该法案——只覆盖杂货业、定义"同意/促销"模糊、排除会员卡和订阅、无私权诉讼,反而比原《消费者保护法》给消费者更少权利。

值得关注

  • AI变现的"中国镜像":Counterpoint数据显示百度ARPU达1.30美元,超过Google与Meta合计。腾讯、阿里也在防火墙内构建自己的scale+服务组合。中美AI商业化路径分化值得长期跟踪。
  • OpenAI"goblins事件":GPT-5.1的Nerdy人格习惯性在隐喻中提及"哥布林、地精、浣熊、巨魔",OpenAI官方博客称这是训练中产生的"奇怪习惯"——LLM行为黑箱化的又一次提醒。
  • GitHub替代品的需求市场:matduggan.com的forge设计提议得到广泛响应,叠加4月29日Tangled(基于AT协议的联邦化git平台)上线,去中心化代码托管或迎来真正的产品化窗口。
  • Agent协议化进程:Cloudflare-Stripe合作开放给"任何有登录用户的平台",或成为继OAuth之后下一个跨平台标准。这将根本改变SaaS的入口形态。
PODCAST SCRIPT

大家好,欢迎来到2026年4月30日的 YOMOO 每日AI快送。

我跟你说,今天财报季里的一组数据真的让人有点目瞪口呆。Google、Microsoft、Meta、Amazon这四家科技巨头,2026年的资本开支加起来要烧掉七千二百五十亿美元,比去年同比暴涨百分之七十七。Microsoft上调到一千九百亿,Meta上调到一千四百五十亿,Alphabet也是一千九百亿。Jefferies的分析师Brent Thill直接放话说,AI经济非常健康,看空论调就是垃圾。Google Cloud单季营收两百亿,同比增长百分之六十三,云合同的backlog从去年Q4的两千四百亿直接翻倍到四千六百亿。

但是好景不长,烧钱端这么疯狂,变现端却撕裂得厉害。Counterpoint Research的数据显示,Anthropic在第一季度全球LLM收入份额是百分之三十一点四,微弱反超OpenAI的百分之二十九。但你猜怎么着,Anthropic的月活用户只有一点三四亿,而OpenAI高达九亿。换算成每个月每个用户的平均收入,Anthropic高达十六块二美元,Microsoft是五美元,OpenAI只有两块二,Google一块一,Meta更夸张,只有一毛钱。

你看到没有,这其实就是一个非常残酷的现实。OpenAI在用户规模上碾压所有人,但商业化效率远不如Anthropic。Anthropic成功占据了高端专业市场,虽然代价是过去一个月被The Pragmatic Engineer点名进入"提取期"——悄悄削弱Claude Code、封禁企业账号、还有让人困惑的涨价。Meta财报后股价盘后跌了百分之七,投资人开始问,Zuckerberg曾经的轻资产印钞机,会不会变成重资本焚化炉?三十八亿月活用户里,绝大多数是免费用户在白嫖,真正掏钱的是少数高价值客户——这恰恰是Meta最缺的部分。

咱们说回另一个让人捏把汗的故事,那就是GitHub的崩塌。我之前跟你提过AI智能体把GitHub压垮的事,本周事态进一步恶化。第三方监测显示,GitHub本月可用性已经跌到了百分之八十六,也就是业界说的"零个9",上个月还是百分之九十。HashiCorp的联合创始人、知名开源贡献者Mitchell Hashimoto直接宣布弃用GitHub,说它"已经不适合严肃工作"。

更尴尬的是,Microsoft CEO Satya Nadella在财报电话会上罕见地承认要"赢回粉丝"。这是对Windows质量、GitHub稳定性、Copilot侵入性多重失分的集中回应。matduggan.com的博主撰文《如果我能造一个自己的GitHub》,提出新一代代码托管平台应该具备PR审批不再非黑即白、Actions离线可用并可签名、本地仓库能代表整个仓库等等设计原则。你想想看,这已经不再是技术挑战了,这是开发者集体出走的信任危机。一个被收购七年、占据绝对垄断地位的开发者平台,开始让顶级贡献者出逃,基础设施层的AI承诺正在透支用户耐心。

注意,重点来了,今天还有一个特别值得关注的事,就是安全战场的双重升级。

先说攻方。TrendAI独家披露了一个新的中国APT组织,代号叫"Shadow-Earth-053"。从2024年12月开始,他们已经渗透了至少八个国家的国防、政府、技术、运输部门,包括波兰、巴基斯坦、泰国、马来西亚、印度、缅甸、斯里兰卡和台湾。攻击链是这样的:先利用ProxyLogon这个Exchange Server的老漏洞进入,然后部署Godzilla Web Shell,潜伏八个月之后,再投放ShadowPad后门——这是APT41的经典工具。研究员把它类比为更早的Salt Typhoon和Volt Typhoon,担心攻击者已经留下了睡眠态的C2,甚至预置了破坏性载荷。时间点恰好是5月14到15日的特朗普-习近平峰会前夕。

再说守方。OpenAI罕见地宣布GPT-5.5-Cyber只供"可信网络防御者"使用,不向公众开放。Altman说会与整个生态和政府协调可信访问。这是继4月13日Anthropic的Mythos因为可发现零日漏洞而不公开发布之后,前沿AI厂商在安全治理上又一次"分级访问"实践。

但是更深层的问题其实不在这里。IEEE Spectrum刊文指出,LLM发现漏洞的成本逼近零,但修复成本不变。NYU的研究证明,AI驱动的勒索攻击全流程只需要七毛美金一次。指望厂商加护栏或者自动打补丁都是治标不治本,真正持久的防御是从源头消除内存不安全代码——Google和Microsoft的数据显示,大约百分之七十的严重漏洞源于内存管理。Rust这样的内存安全语言、WebAssembly沙箱、还有用数学证明代码无某类bug的形式化验证,才是不对称防御的基础。

说到Agent,今天还有一个标志性的进展。Cloudflare和Stripe联合发布了Stripe Projects,允许AI agent自主创建Cloudflare账户、订阅付费服务、注册域名、获取API token部署应用——全程无需人类介入。新协议有三大组件:发现、授权、支付,默认月度上限是一百美元。

这是Agent从"会写代码"迈向"能自己开公司"的关键基础设施。同时Cloudflare还把4月25日Railway数据库被AI删除事件中暴露的问题制度化了——Railway恢复了PocketOS的全部数据,把API的删除操作改为48小时软删除,与Dashboard行为对齐。

接下来咱们快速扫几个值得知道的小新闻。

苹果Vision Pro可能要被放弃了。Bloomberg的Gurman爆料说,VPG团队已经被拆分,软件团队转去做Siri,硬件团队转向智能眼镜,M5新版退货率异常高,累计销量大概只有六十万台。但苹果同时还在招聘Vision Production Group的岗位,信号有点矛盾。

Cloudflare的后量子IPsec正式上线了,与Cisco、Fortinet实现互操作,目标是2029年完成全后量子化。三星预警明年RAM供需缺口会比今年更大,内存涨价潮要延伸到2027年。美国司法部起诉Cloudera签证歧视,被指通过一个会返回404错误的假邮箱系统性排斥美国本土求职者,为外籍签证持有者腾位置。

Meta这个季度用户减少了两千万,公司归因于伊朗网络中断和俄罗斯封锁WhatsApp,但拒绝拆分数据。Spotify推出了"Verified by Spotify"绿勾认证,确认背后是真人,AI personas暂不合资格。还有一个有意思的民调,Gen Z使用AI越多反而越反感,年轻人正在成为反AI浪潮的主力。

比利时停止退核,可能国有化七座反应堆,推翻2003年的弃核决定。马里兰的"反监控定价法"被Doctorow怒斥全是漏洞——只覆盖杂货业,排除会员卡和订阅,反而比原《消费者保护法》给消费者更少权利。

最后留一个值得长期跟踪的趋势给你。Counterpoint的数据显示百度的ARPU达到一块三美元,超过Google和Meta合计。腾讯、阿里也在防火墙内构建自己的规模加服务组合。中美AI商业化路径的分化,可能是未来几年最值得观察的产业地图。

总之呢,今天的故事其实只有一个核心:AI产业正在进入"账单到了"的阶段。烧钱的人要回答怎么赚钱,垄断的平台要回答怎么留住用户,发布模型的厂商要回答怎么管控风险。当capex翻倍、ARPU悬殊、信任崩塌、漏洞白菜价同时发生的时候,这个行业的真正考验,才刚刚开始。

如果你想通过阅读文字版更快地获取每日的AI快送信息,欢迎免费订阅我们的mail list,地址在视频描述里。如果您觉得我们的节目对您有帮助,请帮忙分享、转发给您的朋友。好了,今天就到这里,我们明天见!