AI大厂,正在互相设防
以前AI工具就像科技公司里的免费自助餐——谁家模型好用,就先端上桌;谁家代码工具顺手,就先拿来写;不知道怎么吃,就来几盘“龙虾”开开胃。token像餐盘里的薯条一样一把一把往外盛。
结果到了2026年上半年,自助餐厅开始查券了。
今年3月前后,谷歌因容量不足限制Meta对Gemini的使用。Meta想购买更多Gemini相关计算资源,但谷歌无法满足全部需求。
4月22日,据《洛杉矶时报》报道,谷歌大多数员工因为安全原因,被禁止使用Claude Code、Codex等竞争对手工具,但可以申请例外;与此同时,部分DeepMind团队,包括Gemini、内部应用和开源模型相关团队,仍在使用Claude Code。
5月14日,The Verge披露,微软开始取消大部分Claude Code内部许可证,把开发者导向自家的GitHub Copilot CLI。
6月10日,微软又因为Anthropic的数据留存要求,限制员工使用Claude Fable5。
6月28日,《金融时报》披露了谷歌限制Meta使用Gemini的细节,原本发生在幕后的算力短缺,以“巨头之间限量供应模型容量”的形式浮出水面。
紧接着,6月29日,The Information披露Meta内部文件:公司正在限制员工在AI模型构建中使用Claude和Codex。
随着模型越来越先进,AI变成了大厂的核心生产资料,AI大厂之间的关系也因此变得微妙。
AI大厂彼此之间既是客户也是竞争对手,他们既要调用对方最强的模型能力,又怕自己的数据、代码、工作流和模型路线被对方吸走。
AI的自由试用期结束了。AI大厂,正在互相设防。
图片由AI生成
AI大厂开始互相限制了
只看今年被报道出来的事件,Google是最早被看到“内外两头设闸”的大厂之一。
据《金融时报》报道,早在3月前后,谷歌就已经开始限制Meta对Gemini的使用。
从报道口径看,并不是谷歌不想卖,是Meta想购买的Gemini相关计算容量太大,超过了谷歌当时能够提供的规模。
换句话说,Meta想多拿一些Gemini,但谷歌的“后厨”供不上,所以只能限量供应。
大模型调用不同于传统软件授权,即使客户愿意付钱,也不一定能买到足够的容量。每一次调用背后都是真实的算力需求。
谷歌一边在外部给Meta设限,一边也在内部给自己人设限,不让自家员工使用竞争对手的AI编程工具。
4月22日,《洛杉矶时报》报道称,谷歌大多数员工因为“安全担忧”,被禁止使用Claude Code、Codex等竞争对手工具,如果能证明有业务理由,则可以申请例外。
与此同时,部分DeepMind团队,包括Gemini、内部应用和开源模型相关团队,仍在使用Claude Code。
这件事让谷歌公司内部出现了所谓“Claude haves and have-nots”,用还是不用,这是个问题。
谷歌在这种情况下显得非常矛盾:一边,公司正在推动员工更积极地使用AI,一些工程师甚至被设定了具体AI使用目标,并可能影响绩效评估;另一边,不同团队能拿到的AI工具并不一样。
据报道,部分员工认为谷歌内部模型在编码能力上不如Claude,于是“能不能用Claude”就不只是工具偏好,直接变成了效率的差异。
从谷歌的立场上来看,它也不是不知道Claude Code、Codex好用——关键AI团队仍然在使用这些外部工具,至少说明外部AI编程工具在谷歌的一线研发里仍有不可忽视的价值(就连它自己都承认了Coding落后)。
公开报道没有披露谷歌“安全担忧”的具体细节,但从企业内部使用AI编程工具的场景看,这类担忧通常会涉及代码、内部文档、产品信息和工作流数据进入外部模型。
说完了谷歌,微软也有类似的担忧。
The Verge 5月14日报道称,微软开始取消大部分Claude Code内部许可证,把开发者导向自家的GitHub Copilot CLI。
据报道,Claude Code在微软内部很受欢迎,但它毕竟是Anthropic的工具。把员工导向GitHub Copilot CLI,一方面可以控制成本,另一方面也是把内部AI编程工作流重新放回微软和GitHub自己的体系里。
不久后,微软又开始限制Claude Fable 5。
6月10日,据The Verge报道,微软因Anthropic的数据留存要求,限制员工使用Claude Fable 5。
报道称,微软法律团队正在评估员工内部是否可以使用这个模型,担心点主要集中在客户数据、内部代码和机密信息。
到6月底,Meta也开始跟进,给外部模型设闸。
The Information 6月29日披露,Meta内部文件显示,公司正在限制员工在AI模型构建中使用Claude和Codex。
报道标题直接点出了原因:Meta担心竞争对手模型的输出可能进入自家的训练数据,从而触发蒸馏、法律和竞争风险。
Anthropic的条款可是明确禁止用户使用Claude输出训练与Anthropic竞争的模型,也禁止支持第三方这样做;OpenAI的条款也写明,用户不得使用OpenAI服务的输出开发与OpenAI竞争的模型。
这些大厂并不是同一种限制,但共同说明了一件事:AI工具已经不再是可以随便试用的效率插件了。
它消耗算力,流过代码,接触客户数据,影响产品入口,甚至可能成为训练下一代模型的原料。
大厂不是不用彼此的模型,是不敢再随便用了。
大厂给AI的三道防线
一个员工多装一个软件、多开一个网页、多试一个工具,通常不会影响公司的底层资源分配。
但AI不一样,每一次模型调用背后,都是算力、token、代码、数据、权限和输出资产。
当AI变成了公司的核心生产资料,公司对待它的态度自然也发生了变化。
把这段时间的信息串在一起看,大厂开始给AI工具设三道闸。
第一道闸是资源。
算力和token都不能无限用。
大模型不是传统软件。传统软件卖出去以后,边际成本很低,但大模型每一次调用,背后都是真实的算力账单。尤其是长上下文、代码任务、Agent工作流,消耗的资源远比普通问答更重。
问题是,AI竞争已经进入算力紧缺的阶段。
路透社今年多次提到,微软、亚马逊、Alphabet和Meta等巨头2026年AI相关资本开支已达到数千亿美元量级;其中2月报道提到约6000亿美元,3月转述S&P Global Visible Alpha的口径则约为6350亿美元。这是一场历史级别的资本开支,但即便如此,市场仍然在讨论这些钱什么时候能转化成足够的可用算力。
最近的存储和内存价格上涨,也是一个非常直观的信号。
路透社6月援引摩根士丹利(Morgan Stanley)报告称,受大型科技公司AI基础设施投资推动,内存芯片价格在过去一年已经上涨约6倍。摩根士丹利把这种现象称为 “芯片通胀(chipflation)”:最初只是AI基础设施瓶颈,现在已经外溢到硬件利润率、设备价格、云成本、资本开支和供应链延迟。
谷歌限制Meta使用Gemini,就是最直接的资源侧限制。路透社转述称,这一短缺影响并推迟了Meta的部分内部AI项目,其他谷歌客户也受到影响,只是程度较轻。与此同时,Meta已经要求员工更高效地使用AI tokens。
也就是说,连Meta这种大客户愿意付钱,也不一定能买到足够模型容量;连谷歌这种云和AI基础设施巨头,也不得不在客户之间分配算力。
第二道闸是数据。
代码、客户信息和内部机密,不能随便进入外部模型。
这不是大厂过度敏感,他们已经有过前车之鉴。
早在2023年,三星半导体部门员工就被曝多次把敏感信息输入ChatGPT,包括用于排查问题的源代码和内部会议内容。随后,三星临时禁止员工在公司设备上使用ChatGPT等生成式AI工具。
员工一旦把代码、会议记录和内部资料输入外部模型,数据就已经离开了公司的可控边界。
这类行为也不是孤例。Cyberhaven早期监测显示,ChatGPT上线后,4.7%的员工至少一次把敏感公司数据粘贴进ChatGPT;员工粘贴到ChatGPT的内容中,约11%属于敏感数据。
AI研发场景里的数据风险更大,做开发的人都知道,发布代码前检查API key有没有被误提交是基本操作。到了AI数据集、模型训练和开源样本共享场景里,这个问题会被放大。
同为2023年,微软AI研究团队就曾在分享开源训练数据时,因为错误配置Azure存储访问token,导致38TB私有数据暴露,其中包括私钥、密码、内部Teams消息和员工工作站备份。
在AI Coding已成趋势的现在,大厂员工使用AI时,反而更需要注意数据的边界。
本地部署可以把数据留在公司自己的环境里,减少代码、日志、客户信息进入外部模型的风险。对于一些安全要求很高的场景,比如内部代码审查、日志分析、客服数据处理、合规文档整理,本地模型或者私有云部署会越来越重要。
但当模型的能力和工作效率挂钩,员工想用的往往不只是“一个能用的模型”,而是当下最强、最顺手、最会写代码的工具。本地部署一个开源模型或许能解决一部分数据边界问题,但很难复刻外部工具的完整体验和能力。
这也是为什么谷歌会因为安全担忧限制大多数员工使用Claude Code、Codex,为什么微软会因为Anthropic的数据留存要求限制Claude Fable 5。
本质上,这种限制是对公司数据的保护。
第三道闸是资产。
模型输出,不能随便进入竞争对手的研发流水线。
资产闸有两个开关,在模型提供商和模型使用商的两边。
对模型提供商来说,他们要防蒸馏:Anthropic的条款禁止用户使用Claude输出训练与Anthropic竞争的模型;OpenAI也禁止用户使用OpenAI服务的输出开发与OpenAI竞争的模型。
也就是说,模型可以被调用,但输出不能随便拿去训练下一个竞争模型。
大模型公司的核心资产不只是模型权重,也包括模型输出中体现出来的能力:代码能力、推理方式、任务拆解、合成数据、评测样本、某类问题的标准解法。如果竞争对手可以大规模调用一个强模型,再把这些输出整理成训练数据,就等于用别人的能力给自己的模型补课。
所以,模型提供商必须在条款里把这件事堵住。他们的这道闸写在条款里。
对模型使用商来说,他们则要自证清白。
这道闸和第二道闸几乎是一件事情的两面:数据闸关心我的数据会不会进入外部模型,资产闸则关心外部模型的输出会不会影响我。前者防的是自己的数据流出去,后者防的是别人的能力流进来。
合规问题是不得不考虑的一环。
Meta限制Claude和Codex,限制的是模型构建场景。据The Information 披露的Meta内部文件,公司担心Claude或Codex的输出进入自己的模型构建流程,比如训练数据、合成数据生成、评测、模型优化或代码基础设施。
因为一旦这些输出进入研发流水线,就可能被对方认为:你在用我的模型能力训练或改进你的模型。
更进一步,如果这种调用变成大规模、系统性抓取,就可能被模型提供商视为蒸馏攻击。
路透社6月24日报道,Anthropic在给美国参议员的信里提出指控,称与阿里巴巴及Qwen AI实验室相关的操作者,在2026年4月22日至6月5日之间,使用近2.5万个虚假账号与Claude进行了2880万次交互,试图通过蒸馏提取Claude能力。虽然这条消息还不是公开诉讼,但它已经进入了政策和监管语境。
说来好笑,《连线》杂志6月29日报道称,Meta的一个承包商项目让数百名外包人员伪装成未成年人,去测试ChatGPT、Gemini、Character.AI等竞争对手的聊天机器人。项目由Meta承包商Covalen管理,内部代号Cannes,至少到2026年4月21日仍在运行。
这些承包商被要求创建虚假的未成年人账号,向竞争对手的聊天机器人提问多种高风险内容,有时还会发送图片,再把回复复制进表格。
Meta的说法是,这是标准的安全测试和benchmarking。但就事论事的话,很难说没有触犯到模型的竞争边界。
资产闸,可以看做大厂给自己的模型研发流程留出的合规余地。
不然,未来一旦出现模型能力争议、合同纠纷或监管审查,公司很难证明自己的模型没有借用竞争对手的输出。
AI行业进入了新的竞合阶段
“三”这个数字很有意思,请容许我偏一点题:在希腊神话体系下,从世界秩序到命运走向,从神灵权柄到英雄宿命,“三”无处不在。
希腊神话里,进入冥界要通过三道关卡:先渡过冥河,由摆渡人卡戎带路;然后遇到守门犬刻耳柏洛斯;最后进入审判体系。其中刻耳柏洛斯是三头犬,十字路口坐着冥界的三位判官,就连冥界本身也分为三层。
现在,AI大厂的入口也多了三道防线:
资源不能无限用,数据不能随便流,输出不能随便拿去训练。
透过这三道防线,我们可以看到,AI行业正在进入一个新的竞争合作阶段。
在这个阶段,每家公司都同时有两种身份。
一方面,它们是模型提供方,它们当然希望自己的模型被更多人使用,被接进更多产品、被放进更多企业工作流里。
另一方面,它们也是模型使用方。没有哪家公司可以闭门造车,最强的模型、最好的编程工具、最成熟的云基础设施、最丰富的企业入口,往往分布在不同公司手里。
这些大厂考虑的事情很多,它们既想让别人用自己的模型,又不能让别人拿自己的输出训练竞品;它们既想用别人的模型提高效率,又不能让自己的数据、代码和研发流程失去控制。
合作还会继续,但大厂之间的AI合作已经不会是过去那种“应有尽有”的关系了。
在云计算时代,大厂之间也会互为客户。Netflix可以跑在AWS上,苹果可以使用Google Cloud,微软的软件也可以服务竞争对手。那时候,基础设施和应用之间的边界相对清楚:你租我的服务器,我提供算力、存储和网络;你的数据、产品逻辑和业务流程还在你自己的系统里。
当然,云时代也有安全、合规和供应商锁定问题,不过,从整体来看,它还像一种基础设施租赁关系。
但这套逻辑在大模型上已经难以适用了,因为大模型不仅仅是基础设施,还是能力本身。
你调用我的模型,本质上是在付费使用我的模型能力;你把我的输出接进你的流程,不只是拿到一个结果,也可能把我的能力沉淀到你的体系里。
这条连接会带来效率,也会带来风险。
大厂之间的连接因此变得更加敏感。过去只是流程细节的问题,现在都变成了合作的前置条件:谁能用、用多少、数据怎么进出、输出能不能复用……
早些年,当AI只是效率插件时,谁好用就用谁,但当AI变成了核心生产资料,它就必须被权限化、配额化、审计化和边界化。
AI工具自由试用期,已经结束了。
本文来自微信公众号“字母AI”,作者:袁心玥,36氪经授权发布。















