你沒換 Agent工具,風險卻升級了:90 分鐘漏洞、模型偷換與 Agent 反噬
90 Minutes, One Vulnerability, One Mirror — When AI Capability and Risk Scale Together
序言:AI 的邊界正在從「回答問題」移向「執行任務」。九十分鐘找出二十年老系統的第一個高危漏洞、自主操控你的電腦完成工作流、找別人漏洞的工具本身也有漏洞—這些不是未來,是上個月的新聞。一人創業者和中小企業管理者面對的是同一場轉變,只是站在不同位置。這篇幫你定位你的位置,然後告訴你今天該從哪裡開始。
作者補充:我自己也有過一次教訓。在最近一次客戶合作裡,我在協助一個遊戲產業客戶處理道具資產管理的問題。這家公司同時與多個外包美術團隊合作,工作流橫跨美術設定確認、AI 生成提示詞撰寫、模型選用與資料集標注—每一個環節都有嚴格的版本控管需求。他們最大的噩夢不是技術問題,而是人的問題:某個外包團隊私下換用了不同的生圖模型,訓練資料集裡混入了未授權的參考素材,而這件事是在交付驗收時才被發現的。
我們事先已經設計了一套 Agent 治理規範—明定所有生成任務必須使用指定模型、訓練集與測試集需要版本鎖定、任何模型切換都要留下審計記錄。規範本身是完整的。但執行端的人有自己的習慣、有自己覺得「差不多的」替代方案、有趕 deadline 的壓力。規範擋住了惡意,卻沒有擋住惰性。
後來我們的解法,不是加更多規範,而是把「不能偷換」這件事從人的自律層,移到工具的強制層—讓 Agent 的每一次呼叫都自動記錄模型 ID 和資料集 hash 值,讓驗收流程可以直接比對,讓「偷換」在技術上變得可見、可追溯。這個經驗讓我得出一個結論:Agent 治理的本質,不是讓人遵守規則,而是讓規則本身不依賴人的自律。
這篇文章談的每一個案例—Ghost CMS 漏洞、底層模型被偷換、Claude Code 自身的安全破口—都指向同一件事。
2026 年 3 月,Anthropic 研究員 Nicholas Carlini 把 Claude 指向 Ghost CMS—一個擁有五萬顆 GitHub 星星、以安全著稱、運行超過二十年的開源內容管理系統。九十分鐘後,Claude 找出了這個系統有史以來第一個高危漏洞,精準定位攻擊路徑,演示如何竊取管理員 API 金鑰。同一周,Claude 在 Linux 核心中也發現了多個可遠程利用的漏洞(Finance Biggo [整合金融與科技新聞的媒體平台], 2026)。
一人創業者看到的是:過去需要一整個安全工程師團隊花幾週做的工作,現在一個人一個下午就能跑完。中小企業管理者看到的是:你的產品、你的系統、你的供應商,全部正在被這樣的工具重新審視。
同一個事件,兩種處境。我想同時跟你們說話。
你沒換工具,但工具換了模型—AI 供應鏈的無聲背刺
有一種無聲的背刺,叫「你沒換工具,但工具換了模型」。
你還在用同一個 SaaS,但輸出突然變得平庸、風格跑掉、某個你依賴的判斷能力消失了。你以為是自己 prompt 寫差了,調了三天,後來才在 changelog 的最底下發現一行小字:「We’ve updated our underlying model for improved performance.」
a16z 在 2026 年初的 CIO 調查指出,企業現在更傾向直接買現成的 AI 套裝軟體,而非自己研發(Andreessen Horowitz, 2026)。好消息是選擇變多了。壞消息是:你的軟體採購清單裡,有沒有人在追蹤底層模型的依賴關係?
Claude 的付費訂閱用戶年增超過 200%,ChatGPT 的訂閱規模仍是 Claude 的八倍(數位時代, 2026b)。市場正在分流,你用的工具背後正在換底。一個月前還是 GPT-4 驅動的 SaaS 功能,下個季度可能已經切換到 Claude API,而你完全不知道。更換底層模型會影響輸出品質、行為邊界、甚至你員工養成的使用習慣。
更值得注意的是入口的移位。Claude 在企業端的增長,很大一部分來自 Claude Code—一個五個月前還不存在的產品,使用量三個月內成長十倍。
企業採用 Claude 的主要入口不再是聊天機器人,而是程式碼協作與自動化工作流。AI 競爭的下一個戰場,在工程師的 IDE 裡、在企業的自動化管道裡、在你公司每一個「平常靠人重複執行」的流程裡。
三個月、六個月、三年—你的風險地圖長什麼樣?
大多數 SMB 管理者對 AI 的反應是「等等看」。但「等」不是一個沒有代價的選擇—它只是把代價推遲到你看不見的地方。你現在面對的風險,分三個時間層。
第一層(立即,三個月內):你的安全暴露面正在擴大
Ghost CMS 的九十分鐘事件告訴我們,任何有 GitHub 公開程式碼的系統,現在都可以被自動化掃描漏洞(Finance Biggo, 2026)。你的競爭對手可以用這個工具找你的漏洞,你也可以用它找自己的。絕大多數中小企業,目前既沒有做主動安全審計,也沒有意識到 AI 已經把這個門檻降到了一個人、一個下午就能完成的程度。
行動建議:清點你公司使用的開源元件和 SaaS 工具,確認供應商是否有定期的安全更新機制。這不是技術問題,這是採購盡職調查的一部分。
第二層(六到十二個月):你的 IT 採購邏輯需要增加一欄
3 月 24 日,Anthropic 宣布 Claude 可以控制使用者的電腦—打開應用程式、瀏覽網路、填寫試算表、執行複雜工作流(CNBC, 2026)。示範場景:你在手機上用語音說「我快遲到了,把簡報轉成 PDF 附到會議邀請上」,幾分鐘後,任務完成。
功能仍在早期階段,Anthropic 自己也承認距離人類水平還有差距(Anthropic, 2025)。但方向已經確立:未來的 AI 是你的數位員工。當你的供應商開始整合這類功能,你的員工培訓計畫、資料存取權限、工作流程設計,都需要重新思考。
第三層(一到三年):作業系統層的入口正在移位
業界觀察者已經在用「Claude OS」來描述 Anthropic 正在打造的東西。但這個標籤既揭示了一個真實的趨勢,也藏著一個危險的誤判。拆開來看:
Anthropic 從未正式發布一個叫「Claude OS」的產品。這個說法是業界觀察者對 Anthropic 現有功能組合的命名投射—Claude 電腦操控(Computer Use)、Claude Code、多 Agent 協作(Agent Teams)、Cowork 協同工作流—這些功能疊在一起,在邏輯上形成了一個「調度所有應用程式的中間層」。
問題不是「Claude OS 會不會成功」,而是:「AI Agent 調度層」這個位置,真的能成為 SMB 轉型的護城河嗎?
歷史上聲稱要做 OS 的雲端公司,幾乎全敗:
規律很清楚:凡是聲稱要「取代」現有 OS 的,幾乎全敗。真正成功的,是在現有 OS 之下或之上建了一個新的基礎設施層,而且解決了使用者原本沒有解決方案的真實問題。
這次不一樣?三個差異,三個反駁
差異一:Agent 真的可以跨應用執行任務。 ChromeOS 的問題是你還需要本機軟體。但 Claude 的電腦操控功能不需要你換掉現有 OS—它疊在上面,直接操控你現有的 Excel、Slack、Figma(CNBC, 2026)。
反駁:微軟 Copilot 也在做同樣的事,而且它在 Windows 和 Office 裡面,Anthropic 在外面。Google Gemini 也在 Android 和 Chrome 裡面。沒有分發渠道的「OS」,在歷史上從來沒有贏過有分發渠道的競爭者。
差異二:企業真的在改變入口行為。 Ramp 的企業支出數據顯示,使用 Claude API 的企業數量正在快速增長,很多是直接整合進內部工作流(Ramp, 2026)。有一批企業正在把 Claude 當成工作流的調度核心。
反駁:這同樣是 Salesforce 曾經做到的事。Salesforce 確實成為企業業務流的核心,但它的定位最終是「強大的 SaaS 平台」,不是「作業系統」。強大的中介層和作業系統,在商業上是兩種截然不同的護城河高度。
差異三:這次的「OS」不需要使用者切換。 ChromeOS 要你換整台電腦。Slack 要你換整個溝通習慣。Claude 的策略是「不要求你換任何東西,只是在你現有的一切上面多一層調度」—摩擦係數低得多。
反駁:低摩擦係數是進入的優勢,不是護城河。如果 Claude 不強迫你切換,競爭者也不需要強迫你離開 Claude。入口越容易進,越容易出。AWS 的成功恰恰是因為遷移成本極高—一旦你的基礎設施上了 AWS,搬走的代價讓人卻步。Claude 的「無縫疊加」策略,可能恰好讓它永遠無法建立真正的轉換成本。
我的判斷:方向真實,標籤過度
Claude OS 的方向是真實的,但「OS」這個標籤是過度的。
真實的部分:AI Agent 調度層確實在成形,對企業的意義就像當年的雲端基礎設施—不是可選的未來,而是正在發生的現在。
過度的部分:Anthropic 不太可能「贏得」這個位置。更可能的結局是成為這個層位上最重要的競爭者之一—就像 AWS 是雲端市場最大玩家,但 Azure 和 GCP 也活得很好。「Agent 調度層」最終可能不是贏家通吃的市場,而是一個按使用情境分流的多平台生態。
對一人創業者和 SMB 管理者來說,歷史教訓的實用意義只有一條:
不要押「誰會贏」,要押「這個層位本身會變重要」。 學習如何設計和管理 Agent 工作流,比選對哪家平台更有長期價值—因為平台會換,但會設計 Agent 架構的人不會被替代。
對 SMB 管理者來說,今天就該放進採購評估標準的問題是:這個工具有沒有開放 API?有沒有 Agent 整合的路徑?
{合作廣告}
🧑🎓 UX 訂閱制學習計劃:把 human-in-the-loop 變成你的日常。這也是我會特別推薦 #UX訂閱制學習計劃 的原因:它不是一次性的 bootcamp,而是把借位、補位、入位拆開來,串成 3 月到 12 月的一條學習軸線。透過每月 Podcast 和專欄,先向不同領域的 UX / 產品 / AI / 服務設計講師「借位」
透過直播與 Circle 社群討論,在你的真實案子與問題上進行「補位」
