软件免费之后,贵的是信任
软件免费之后,贵的是信任
Dario Amodei 在 WSJ 的 Davos 访谈里说,软件会变得便宜,甚至接近免费。上下文不是一句孤立的 CEO 预言。他前面讲的是 Anthropic 内部工程负责人已经不怎么手写代码,Claude Cowork 这样的非编码工具几乎全靠 Claude Opus 一周半搭出来;后面接的是一个更大的判断:过去软件公司的商业前提,是把一套软件的开发成本摊到几百万用户身上。AI coding 把这个前提拆松了。
同一周,中文 AI 圈在争论另一件看起来很窄的事:第三方 API 中转站到底有没有把用户的 Claude / GPT 请求动过手脚。有人做了 api-relay-audit,用本地脚本检测 hidden prompt 注入、prompt 泄漏、指令覆盖、上下文截断、工具调用改写、SSE 流异常。另一边,网页检测工具更容易上手,普通用户打开就能跑。表面看,这是工具评测;放回 Amodei 那句话里看,它其实是软件免费化之后的第一批账单。
当生成一个可用软件的成本趋近于零,真正变贵的不是功能,而是信任。企业不再只问“这个工具能不能做”,而要问“它到底连到谁、有没有被改写、出错后能不能追责”。软件的计价单位正在从功能转向可信执行。
免费的是功能,不是责任
过去二十年的 SaaS 定价,建立在一个稳定假设上:软件开发贵,复制分发便宜。所以公司先花钱做产品,再用订阅费把成本摊给足够多的用户。Salesforce、Atlassian、Figma、Notion,本质上都是这个模型的不同切面。功能越复杂,研发和维护越贵,价格越有理由。
AI coding 让这条曲线变形。Amodei 的原话是:“software is going to become cheap, maybe essentially free”(软件会变得便宜,甚至接近免费)。他举的例子很小:为一次会议临时做一个让参会者互相交流的 app,可能只要几美分。这个例子故意小,因为杀伤力就在“小”。不是说 SAP 明天免费,而是大量以前不值得立项的小软件、小流程、小后台,会突然变得值得生成。
这会抽掉一类软件公司的地基。过去一个团队愿意为某个内部工具付费,是因为自己做太慢、太贵、没人维护。现在,做出来越来越便宜,真正的问题变成:谁保证它一直可用?谁负责权限、日志、审计、合规?谁在事故后接电话?
软件没有消失,价格从“功能稀缺”迁移到“责任稀缺”。功能像水电一样便宜以后,阀门、仪表、保险和维修工开始变贵。
中转站争论,是信任价格浮出水面
API 中转站听起来像灰色边角料,其实是 AI 时代最典型的供应链中介。
它解决的是真需求:官方 API 贵、支付麻烦、地区限制、额度不稳定、模型切换复杂。一个 OpenAI-compatible endpoint,把多家模型接到同一个接口后面,价格低一点,付款顺一点,国内开发者能快速接入。这类东西会长期存在,因为摩擦真实存在。
问题在于,LLM API 不是普通 HTTP 代理。论文《Your Agent Is Mine》把风险说得很直:第三方 API router 是应用层代理,能看到每一个飞行中的 JSON 明文载荷,而客户端和上游模型之间没有强制的加密完整性保护。换成人话,就是你的 system prompt、用户问题、工具调用、返回结果、甚至临时密钥,都可能经过一个你无法验证的中间层。
这不是理论洁癖。那篇论文买了 28 个付费 router,又从公开社区收集 400 个免费 router,发现 1 个付费和 8 个免费 router 主动注入恶意代码,17 个触碰了研究者布置的 AWS canary 凭证,还有 1 个从研究者私钥里转走 ETH。它定义的两类核心攻击很简单:payload injection,把东西塞进你的请求或响应;secret exfiltration,把不该带走的秘密带走。
另一篇《Real Money, Fake Models》看的是 shadow API 的另一面:你买的可能根本不是它声称的模型。研究者识别出 17 个被 187 篇学术论文使用过的 shadow API,发现最高 47.21% 的性能偏离,45.83% 的 fingerprint 测试身份验证失败。中文里常说“掺水”,这篇论文给了掺水的实证版本:有些端点不是不稳定,是模型身份本身不可验证。
所以 Berryxia 转述李韭二关于中转站检测工具的讨论,意义不在“哪个工具更好用”。它把一个抽象转变落到了手边:当模型调用足够便宜,便宜本身不再构成优势。便宜但不可审计的调用,是一张没有发票、没有称重、没有留样的采购单。
安全工具自己也要被审计
api-relay-audit 的有趣之处,不是它声称能抓出所有坏中转站,而是它把信任问题递归了一层:检测安全的工具本身,也必须可审计。
GitHub README 写得很清楚:它审计第三方 AI API relay / proxy 是否做了不该做的事,包括 hidden prompt 注入、prompt 泄漏、指令覆盖、上下文截断、工具调用改写、错误响应泄漏、SSE 流异常,以及 Web3 钱包安全风险。它提供两个形态:一个零依赖的 audit.py 单文件,和一个模块化开发版;三种 profile:general、web3、full;最后给 LOW / MEDIUM / HIGH 总判定。
这套设计背后有一个朴素判断:安全检测不能只是一张网页排行榜。网页工具可以降低门槛,但如果检测逻辑不可见、样本不可复现、误判不能申诉,它只是把“信任中转站”换成了“信任检测站”。用户仍然不知道自己信的是什么。
企业采购里,这一点会越来越关键。未来的 AI 工具链不会是一条直线:用户 → 模型。它更像一串中介:IDE 插件、Agent 框架、MCP server、API gateway、日志平台、向量库、权限系统、模型供应商。每一层都可能改写上下文,每一层都可能截断信息,每一层都可能在故障时互相甩锅。
“可用”会变成最低要求。“可追”才是采购项。
价格塌缩之后,护城河换了位置
Amodei 的判断容易被读成“软件公司要完”。这太粗。
软件功能便宜,不等于所有软件公司归零。仍然昂贵的东西很多:行业数据、合规责任、迁移成本、客户关系、品牌信用、售后 SLA,以及真正能承担错误后果的组织。便宜软件能生成一个 CRM 页面,但生成不了十年客户数据的清洗迁移;能写一个报销 workflow,但替不了财务制度和审计责任;能做一个 API gateway,但不能自动承担模型误用后的赔付。
护城河没有消失,只是从“我有这个功能”换到了“我能让你放心把业务压上去”。
这也是 Anthropic 自己的利益相关。它卖的不是“软件免费”后的废墟,而是让软件变便宜的模型和 Agent 基础设施。Amodei 说软件免费,当然会利好掌握生成能力的公司。这个判断必须打折读。但打折不等于丢掉。商业动机解释了他说这话的方向,不能抹掉这句话指向的结构变化。
下一轮企业软件的竞争,很可能不是谁功能更多,而是谁能交出更完整的信任材料:上游模型来源、路由策略、日志留存、数据边界、故障回滚、审计报告、责任条款。价格表不会消失,只是旁边会多一张“可追责表”。
盲区:开源审计不自动赢
开源、可审计、本地运行,这些词在技术圈很有说服力,在普通用户那里未必赢。
低门槛网页工具有真实优势。用户不想下载脚本、不想配 Python、不想理解 profile,只想粘贴 key 和 base URL,十秒看到红黄绿。安全行业早就证明过这件事:更严谨的工具经常输给更顺手的仪表盘。信任不仅是密码学性质,也是分发体验。
另一个盲区是误判。API 中转链路复杂,模型本身也会漂移。一次指纹不一致,可能是中转站替换模型,也可能是官方模型灰度、系统提示差异、采样参数变化、路由临时故障。真正可靠的安全产品不能只给一个“有罪”标签,还要给证据、置信度和申诉路径。
还有一个更现实的问题:很多团队明知中转站不可审计,仍然会用。原因不是他们不懂风险,而是官方 API 的支付、地区、合规、额度、成本都还没给出足够好的替代路径。灰色市场的存在,本身就是主市场没有服务好需求的证据。
对从业者意味着什么
对 CTO / 技术负责人:本周把 AI 工具采购表加四列:上游模型来源、请求/响应是否留痕、是否有可复现审计工具、事故责任路径。不要只比较 token 单价和模型列表。
对企业 AI PM:设计内部 Agent 平台时,把“可追责”当成产品功能。用户不只需要看到答案,还要能看到这个答案经过了哪些工具、哪些模型、哪些中介层。
对架构师:API gateway、MCP server、Agent runtime、日志系统要分层建账。每一层至少留下请求哈希、路由决策、模型标识、工具调用摘要和错误回放入口。没有账本,就没有信任。
对安全工程师:把 relay / router 纳入供应链威胁模型。过去审 npm 包、Docker 镜像、CI secret;现在还要审 OpenAI-compatible endpoint。重点不是一次性扫毒,而是持续验证身份、完整性和异常漂移。
对中转站运营者:低价不是长期护城河。真正能卖给企业的是透明路由、官方来源证明、账单可核对、误判可申诉、日志可导出。越早把自己从“便宜入口”改造成“可信通道”,越有机会活过价格战。
本期关键词
近零软件 —— 指 AI coding 把一部分软件的生成成本压到接近零,不是说所有软件公司明天免费。它改变的是立项门槛:以前不值得做的小工具、小流程、小后台,现在可以临时生成。价格下降最先冲击“只卖功能”的软件,暂时冲不掉合规、数据迁移、品牌信用和售后责任。
可信执行 —— 企业真正购买的不只是模型回答或软件功能,而是“这个动作按承诺发生了”的证明。包括请求没有被改写、模型来源可验证、工具调用可回放、错误有人负责。AI Agent 越能代替人执行,可信执行越像新的基础设施层。
供应链中介 —— API 中转站、模型 router、MCP server、Agent 插件、IDE 扩展都属于这一类。它们不一定生产模型,却站在用户和模型之间,能影响上下文、工具调用和返回结果。软件供应链过去管代码包,AI 供应链还要管这些运行时中介。
黑盒审计 —— 在看不到对方内部实现的情况下,通过输入输出、延迟、指纹、异常行为来判断服务是否可信。它有价值,但不能当司法判决。模型灰度、采样参数、官方路由变化都可能造成误判,所以黑盒审计必须配置信度和复测机制。
可追责表 —— 下一代企业软件采购表旁边应该出现的新表。价格、功能、性能之外,还要列清楚日志留存、审计接口、上游来源、事故响应、赔付条款和数据边界。软件越便宜,这张表越值钱。
信任溢价 —— 同样能完成任务的两个工具,一个便宜但不可追,一个贵一点但可审计、可申诉、可赔付,后者多出来的价格就是信任溢价。AI 软件越接近免费,信任溢价越会成为商业模式本身。
引用
- Rohan Paul 转述 Dario Amodei / WSJ 访谈片段 —— 本期触发素材
- WSJ Davos 访谈转录:Anthropic CEO Dario Amodei From World Economic Forum —— Amodei “software is going to become cheap, maybe essentially free” 上下文
- Berryxia 转述 API 中转站检测工具讨论 —— 中文 AI 圈现场素材
- api-relay-audit GitHub —— 第三方 AI API relay / proxy 审计工具
- Your Agent Is Mine: Measuring Malicious Intermediary Attacks on the LLM Supply Chain —— LLM API router 恶意中介攻击模型
- Real Money, Fake Models: Deceptive Model Claims in Shadow APIs —— shadow API 模型替换与性能偏离实证
“software is going to become cheap, maybe essentially free”(软件会变得便宜,甚至接近免费。)
“These routers operate as application-layer proxies with full plaintext access to every in-flight JSON payload.”(这些 router 是应用层代理,能完整看到每一个传输中的 JSON 明文载荷。)