AI Pulse

AI主权、开源模型与Alex Karp:企业如何保护数据护城河

AI主权、开源模型与Alex Karp:企业如何保护数据护城河

AI主权、开源模型与Alex Karp

前沿AI实验室不只是出售智能,它们正在吸收你的护城河。以下是企业为何醒悟,以及实际可选方案。

0 — 概要

前沿AI实验室不只是在出售服务,它们在研究你的工作流程、摄取你的专有数据,并利用这些情报构建竞争产品。这不是猜测。2026年2月,Anthropic的Cowork插件一夜之间抹去了2850亿美元的软件市值;同年4月,Anthropic的首席产品官在推出直接与Figma竞争的产品三天前辞去了Figma董事会职务。这一切都真实发生了。

开源模型是最明显的出路。智谱AI的GLM-5.2现在是全球排名最高的开放权重模型,在大多数智能体基准测试中接近前沿水平,而成本仅为六分之一。但开源并非单一选择:调用中国供应商的云API不过是用一个主权问题替换另一个。即便是自托管中国权重,也存在有据可查的安全风险,受监管行业的企业无法忽视。

AI时代真正的企业护城河不在于你选择哪个模型。而在于你如何封装自己的数据、工作流程和领域知识,使之不被底层服务商提取。

Karp的愤怒——“这简直疯了”

2026年7月1日,Palantir CEO Alex Karp出现在CNBC的Squawk Box节目中,名义上是要讨论与Nvidia的新合作。但随后发生的事情完全出乎意料。

Karp首先瞄准了前沿模型提供商——直接点名OpenAI和Anthropic。他的核心论点,以越来越激烈的语气阐述,是企业领导者被推销了一种本质上无法兑现的主张:你为token付费,却产生不了可衡量的价值,而模型提供商却得到了你的知识产权。正如他所说:“这个国家企业的基本观点是:我会放松一下,把时间浪费在token上,我得不到任何价值,而他们会拿到我的IP。”

当主持人Becky Quick说“你听起来很生气”时,Karp毫不犹豫地反驳:“不。这是美国企业的声音通过我传达出来。”他邀请任何持怀疑态度的人私下给两三个CEO打电话,问问他们对自己前沿AI投资的真实看法。

Karp对前沿实验室的三项指控:

1. Token无价值:企业“为不创造价值的token付费”——AI按量收费,但并未交付可衡量的业务成果。

2. 知识产权提取:每一次查询都将专有工作流程和运营数据通过外部基础设施路由。提供商从中学习。“他们在窃取你的权重和阿尔法。”

3. 主权丧失:在受监管、国防和关键基础设施领域,依赖外部黑箱模型不是供应商风险——而是国家安全失败。“我们真的要把这个国家的战场外包给硅谷的共识吗?这简直疯了。”

金融市场并未因这番爆发而动摇。Palantir股价当天上涨超过9%,得益于Nvidia合作公告,该合作实现了主权AI部署,客户保留对计算、模型权重和数据的控制。市场将合作与咆哮解读为一条连贯的信息:企业AI的价值归于治理和主权层,而非原始模型。

有一个值得指出的警告:Karp运营的公司其整个商业主张就是主权部署层。他对前沿实验室的批评,在结构上也是一种销售演示。但这并不等于其基本论点错误。Palantir 2026年第一季度收入16.3亿美元,同比增长85%,美国商业收入增长133%,这表明市场正在用真金白银验证这一论点。

SaaS末日:一个插件,2850亿美元蒸发

Karp并非第一个提出这个论点的人。但他可能是第一个在电视直播中提出时,证据已经可见于市场的人。五个月前,2026年2月,一次产品发布将这一论点从理论变成了2850亿美元的溃败。

2026年1月30日,Anthropic为其Claude Cowork平台悄然发布了十一个插件。没有新闻发布会。没有分析师日。只有一个GitHub仓库和一篇博客文章。到2月3日,金融界陷入混乱。

造成最大破坏的插件是法律类工具,能够自动进行合同审查、NDA分类、合规跟踪和法律简报。摩根士丹利分析师立即将其标记为大型法律和数据提供商的“明显竞争压力”。48小时内,大约2850亿美元市值从软件、金融服务和资产管理股票中蒸发。高盛的一个美国软件股票篮子单日下跌约6%——这是自去年春天关税引发抛售以来的最大跌幅。

华尔街交易员为刚刚发生的事情起了一个名字:SaaSpocalypse。但恐慌并非因为AI功能变得更聪明。而是因为类别转变。长期以来被定位为模型提供商的Anthropic刚刚走进了应用层。投资者的解读很简单:如果Anthropic能通过一篇博客文章发布法律工作流工具,那么什么能阻止它们推出金融、人力资源、采购或分析工具呢?

接下来的一个月更糟。30天内,大约两万亿美元的软件市值消失。ServiceNow年内下跌41%。Intuit从峰值下跌50%。Workday的目标价从325美元被砍至150美元。双重困境令人痛苦:在AI方面行动过慢的公司被视为颠覆受害者;过于积极强调AI的公司则引发投资者怀疑它们将是下一个被替代的对象。

市场此前未能完全定价的是,Anthropic在结构上拥有相对于全球每一家垂直软件供应商的信息优势。它位于模型层。企业通过Claude运行的每一次查询,整体上都是对这家企业实际做什么以及如何做的教学。Karp五个月后在国家电视台上明确指出了这种动态。市场已经将其定价。

Figma时刻与微软剧本

2026年4月14日,Anthropic首席产品官Mike Krieger悄然辞去Figma董事会职务。三天后,Anthropic推出了Claude Design。Figma股价当天下跌7%。Adobe下跌2.7%。Wix下跌4.7%。

董事会辞职是一个信号。Krieger曾处于双方关系中:Anthropic最高级的产品主管,以及Anthropic即将直接竞争的公司的董事会成员。当竞争意图变得不可避免时,辞职是关闭冲突最干净的方式。它向所有观察者发出信号:Anthropic已决定竞争比合作更清晰。

这里的机制值得仔细审视。Figma是Anthropic的客户。使用Figma Claude集成的设计师产生了丰富的信号:他们使用什么工具,如何描述设计问题,哪些工作流程感觉流畅,哪些需要变通。从规模上看,这些使用数据是一张非常详细的设计软件市场地图。Anthropic不需要进行市场研究。信号已经通过它们的模型流动。

“技术客户想要的是对他们计算、模型、数据堆栈和阿尔法的控制。他们希望知道自己拥有生产资料的所有权。”

这不是一个新剧本。

科技史学生会立刻认出这个结构。在20世纪80年代和90年代初,Lotus 1-3-3主导了电子表格,WordPerfect主导了文字处理。两者都是卓越的产品。两者都获得了深度企业采用。两者都假设操作系统是中性的基础设施,是支撑软件的层,而不是与之竞争的层。

微软控制了Windows。随着PC市场扩大,微软可以在总体层面观察哪些软件类别驱动了最多使用和最多留存。电子表格和文字处理排在那份列表的顶部。回应是Excel、Word,最终是Office,一个捆绑套件,使现有类别领导者结构性失去竞争力。Lotus十年内从市场领导者变得无关紧要。WordPerfect的故事完全相同。

这个模式并不新颖。新的有三点:AI层识别高价值垂直领域的速度,它收到的关于这些领域实际运作方式的信号粒度,以及将强大模型重新用于新产品垂直领域的便利性。

企业护城河究竟是什么?

Karp使用了“阿尔法”这个词,一个金融术语,指无法用市场敞口解释的超额回报。翻译成企业术语:阿尔法就是让你的业务具有防御性且难以复制的东西。它有三个不同层次。

通过外部模型发送查询的结构性风险在于,所有三个层次都在缓慢向上泄露。每天处理数千次查询的客户服务AI,整体上是在教模型提供商你的客户问题的确切形状。审查每一份合同的法律AI正在绘制你的交易结构、风险承受能力和对手方关系。处理每一个模型的设计AI正在构建你的视觉系统和产品方向的内在模型。

这一切都不需要模型提供商做任何恶意之事。信号就在那里,嵌入在总体使用模式中,任何坐在模型层并留意的人都可获取。

微软的Satya Nadella在2026年初也提出了类似的担忧,警告整个行业可能会发现自己积累的知识被所依赖的AI提供商提取。这一模式在技术领域之外也有历史先例。当制造商将零部件生产外包给供应商时,那些供应商逐渐积累了足够的能力成为竞争对手。当零售商与品牌供应商共享销售数据时,品牌供应商利用这些数据优化自己的分销,最终绕过零售商。来自每个平台经济时代的教训是一致的:无论谁控制了你下面的层,最终都会学到足够的东西进入你的市场。

当前境况令人不安的算术:你按月订阅那个正在研究如何取代你的实体。

开源模型——显而易见的出路,但需谨慎

对Karp批评最常被引用的回应,来自投资者兼All-In Podcast联合主持人Jason Calacanis,是直截了当的:“开源AI是最好的防御。”逻辑在概述上是合理的。如果模型权重是公开的,你可以在自己的基础设施上运行它们。提供商无法观察你的查询。你的数据永远不会离开你的边界。

来自从业者的信号已经存在。Mira Murati的Thinking Machines Lab,在她离开OpenAI担任CTO后创立,于2026年6月发布了与Bridgewater Associates合作的结果,比任何基准都更具体地证明了这一论点。该团队没有部署前沿模型,而是在Qwen3-235B上微调了一个定制模型,训练数据由Bridgewater自己的专家投资者标注。它在测试中优于所有前沿模型:Claude Opus 4.8、GPT-5.5、Gemini 3.1 Pro,推理成本降低了13.8倍。Murati称其为“差异化智能”:针对特定组织判断而非通用能力调优的模型。选择微调而非购买前沿访问权不是能力上的权衡。这是一个主权决策。Bridgewater的投资优势留在了建筑物内。

问题在于“开源”并非单一事物。它描述了一系列部署模式,各有不同的主权属性、能力权衡和风险概况。在将开源模型视为解决方案之前,企业需要清楚自己实际选择的是哪种版本的开源。

GLM-5.2——“足够接近”有多接近?

在过去两年的大部分时间里,开源论点有一个致命弱点:与前沿模型的能力差距大到企业工作负载无法认真权衡。这一情况在2026年6月中旬当智谱AI发布GLM-5.2时发生了实质性变化。

关键数据:7530亿参数,混合专家架构,每个token激活400亿参数,真正的一百万token上下文窗口,以及允许不受限制的商业使用、修改和自托管的MIT许可证。该模型于6月13日首先面向付费GLM Coding Plan订阅者发布,然后在几天内完全开放权重。

独立基准测试机构Artificial Analysis将GLM-5.2在其Intelligence Index v4.1上评为51分,这是全球任何开放权重模型的最高分,总体排名第四,仅次于Claude Fable 5、Claude Opus 4.8和GPT-5.5。在测试长周期智能体任务完成的FrontierSWE上,GLM-5.2得分74.4,大约比Claude Opus 4.8的75.1低一分。在工具使用评估MCP-Atlas上,它得分77.0,而Opus 4.8为77.8。在真实漏洞修复基准SWE-bench Pro上,它得分62.1,超过GPT-5.5的58.6。

从业者的接受度因其可信度而值得注意。不轻易推广的研究者Jeremy Howard称GLM-5.2在日常使用中“至少与Opus 4.8一样好”。Harvey联合创始人Gabe Pereyra告诉CNBC,GLM-5.2代表了“第一个真正与一些闭源前沿模型竞争的模型”。与此同时,Coinbase提供了另一种现实世界的验证:该公司通过默认将工程师路由到GLM-5.2和Kimi,将内部AI支出削减了大约50%,仅在特别需要时保留前沿模型访问权。

价格论点本身也很重要。GLM-5.2通过API提供,大约每百万输入token 1.40美元,每百万输出token 4.40美元。GPT-5.5大约为5美元和30美元。这个比率很重要,尤其是对于消耗大量token的智能体工作负载(多轮规划、工具调用和重试)。六倍的价格优势在一天自主工作中快速累积。

差距仍然存在的地方:在最难的从头开始算法编码任务(DeepSWE)上,GLM-5.2得分46.2,而GPT-5.5为70.0。在端到端仓库合成(NL2Repo)上,它得分48.9,而Claude Opus 4.8为69.7。对于需要这种合成能力的工作负载,前沿差距尚未弥合。大多数企业部署的实际架构:将大部分智能体任务路由到GLM-5.2,仅对差距确实重要的特定任务升级到前沿模型。

云陷阱——以及西方开源模型替代方案

GLM-5.2的能力故事令人信服。它的主权故事则更加复杂。许多评估开源模型的企业忽略了一个关键区别:使用模型权重与调用模型供应商API之间的区别。从数据治理角度看,这并非同一回事。

中国API陷阱

当企业直接调用智谱AI的API时,其数据会传输到中国管辖下的服务器。中国的国家情报法要求国内公司向国家情报机关提供数据和合作。对于受SOC 2合规约束的企业,这会产生子处理方披露问题:大多数企业客户会在问卷中拒绝将数据通过中国路由的供应商。对于政府承包商和处理受控非加密信息的实体,这不是合规细微差别,而是硬性障碍。

安全证据并非假设。美国国家标准与技术研究院评估了DeepSeek的模型,发现基于DeepSeek最安全模型构建的智能体,平均比美国前沿模型更有可能遵循恶意指令,可能性高出12倍。在模拟中,被劫持的智能体发送钓鱼邮件、下载恶意软件并窃取用户登录凭证。2026年5月,Booz Allen Hamilton对五个前沿代码生成模型进行了超过2800次试验——四个中国,一个美国——发现当用户角色似乎为美国国防承包商工作时,中国模型存在系统性策略偏差。

问题不仅限于API调用。War on the Rocks在2026年4月分析中国AI渗透美国企业环境时直言不讳:“当组织选择在没有独立验证的情况下在中国基础模型上构建时,它们正在继承这些模型可能包含的任何漏洞——或刻意设计的后门。”安全公司Protect AI早在2025年4月就在Hugging Face上发现了超过352,000个可疑文件,分布在51,700个模型中。开源权重生态系统不是一个有来源保证的精选人工制品仓库。它是一个庞大的公共仓库,模型血统通常不明确,完整性验证很少执行。

治理反转是更深层次的结构性问题。当企业使用像ChatGPT这样的集中式平台时,由单个公司控制基础设施、监控滥用并执行安全护栏。当企业自托管来自敌对方的开放权重时,这种控制完全消失。企业要负责一个它们没有工具审计的安全面。

西方开源模型替代方案

对中国模型风险的明显回应是西方开源模型,这一方向是真实的,尽管目前能力上落后。

OpenAI自GPT-2以来于2025年8月首次发布开放权重模型。Google的Gemma系列稳步扩展。Nvidia的Nemotron 3于2026年3月发布,明确被定位为Palantir-Nvidia主权AI堆栈的开源模型组件——为隔离式政府和企业部署而构建。Meta的Llama系列仍然是最宽松且部署最广泛的西方开源模型,拥有最广泛的微调工具和基础设施支持生态系统。

截至2026年中期的诚实评估:这些模型都没有在可比成本下匹配GLM-5.2的基准性能。差距是可测量的。Artificial Analysis Intelligence Index将最佳西方开源模型放在GLM-5.2总分51之后几分。在价格上,差距更大——中国实验室表现出一致的意愿补贴API定价,而西方实验室尚未匹配。

这一差距可能会缩小。地缘政治时刻使西方开源模型投资成为战略必要而非商业选择。美国出口管制将Anthropic的Fable 5和Mythos 5限制给外国国民,这迫使Anthropic在全球范围内禁用它们,因为查询时无法验证国籍,这创造了加速GLM-5.2采用的确切需求信号。同样的逻辑反向适用:接近前沿的中国开源模型创建了一个美国实验室及其政府支持者无法忽视的能力展示。

给当今企业的实际指导:在受监管、敏感或国防相关工作负载中使用西方开源模型,即使以能力为代价。将中国模型保留在西方基础设施上托管(保持SOC 2合规),用于非敏感工作负载,其中性能优势证明了来源权衡的合理性。避免为涉及专有数据的任何工作负载直接调用中国模型API。

本地托管——真正的主权,真实限制

最干净的主权路径是本地推理:模型权重在你控制的硬件上运行,数据从不跨越外部网络边界,没有供应商关系需要处理。GLM-5.2的MIT许可证明确允许这一点:不受限制的商业使用、修改、自托管。Meta的Llama模型、Nvidia的Nemotron以及大多数西方开放权重生态系统也是如此。

限制在于硬件。GLM-5.2是一个7530亿参数的模型。以FP8精度运行它需要大约744到890GB的VRAM,大约八块H200 GPU。动态1比特量化将其降低到大约176到180GB,但在复杂任务上有显著的质量下降。对于大多数企业来说,直接托管前沿规模的模型今天不可行。

对于希望本地部署但没有数据中心规模GPU基础设施的组织,有两个实际的前进道路。

无论选择哪种硬件路径,权重完整性问题都不容忽视。从公共仓库下载模型权重,即使是维护良好的仓库,也不附带来源保证。企业等效于软件物料清单的东西正变得必要:一个模型物料清单,跟踪模型来源、训练数据血统、微调链和托管地理位置。这不是官僚演习。它是知道你所运行的实际上是否是你认为你运行的东西的基础。

正如Greyhound Research一位分析师在2026年初所说:“企业通常与原始来源相隔几层。传统的第三方风险管理从未为此设计。它不跟踪模型血统、微调链、训练数据继承或运行时路由行为。”对采购团队的影响是:“你使用什么模型?”不再是一个有用的问题。正确的问题是:“实际在生产中执行我的任务的是什么模型——它源自哪里,上次更新是什么时候,它是如何治理的?”"

企业实用框架

决策空间可能令人瘫痪:前沿模型提供最佳能力但向提供商泄露你的阿尔法;开源模型保留数据主权但引入来源风险;本地托管最大化控制但需要基础设施投资。大多数企业最终会采用分层架构而非单一答案。

对于任何给定工作负载,三个问题应锚定决策。

分层部署策略

结语——主权不是偏执,而是战略

2026年初的事件并非孤立。SaaSpocalypse、Figma董事会辞职和Karp的CNBC亮相都指向同一个结构性现实:前沿AI实验室不是中立的底层基础设施提供商。它们是平台玩家,拥有科技史上每个平台玩家相同的基本激励。它们坐在底层,观察在它们之上运行的东西,并向它们能识别的高价值垂直领域移动。

这不是对其伦理的批评。这是对其激励结构的描述。微软在构建Office时并非邪恶,它是理性的。Anthropic推出Cowork插件时并非邪恶,它是理性的。未能理解这一点的企业并非被牺牲,而是天真。

开源模型使逃生路线比以往任何时候都更近。GLM-5.2是最清晰的证明,前沿能力与开放权重可用性可以共存。在大多数智能体和工具使用基准测试中,与封闭前沿的差距现在小到足以成为商业决策而非技术上的不可能。问题不再是开源模型是否可行,而是哪些开源模型、如何部署、用于哪些工作负载。

但开源本身并非主权终点。调用中国供应商的API是用一个主权问题替换另一个。自托管中国权重而不进行完整性验证,会引入大多数企业没有工具审计的风险面。而西方开源模型,尽管是最干净的来源选择,但在某些工作负载上能力落后。

真正的答案是架构性的:从一开始就将模型视为可替换组件,将工作流知识封装在你拥有的工件中,独立于你当前使用的任何模型构建数据护城河,并按工作负载的敏感性对部署进行分层。赢得下一个十年AI的企业不会是选择最佳模型的企业。它们将是构建AI关系使其阿尔法留在自己手中的企业。

阅读原文
📚 相关主题 企业数字化开源

📬 订阅 AI Pulse

每天三次更新,不错过重要信号

▲ 回到顶部