综述
开源与安全的双重拐点已在本周同时到来。月之暗面 Kimi K2.6 正式开源,以 13 小时无间断编码、300 个并发子智能体的实测能力,宣告国产开源模型首次在软件工程领域登顶全球;阿里 Qwen3.6-Max-Preview 紧随其后,按 Token 消耗量中国模型已包揽 OpenRouter 前三,低成本推理成为国产 AI 最锋利的全球竞争武器。与此同时,AI 编程工具的资本卡位战也白热化至极:Cursor 以 20 亿美元融资冲击 500 亿美元估值,xAI 的 Grok Build 也即将入局,AI coding 赛道正从技术比拼进入生态与资本的终局对决。
在黑客安全方向,两条警报同时拉响。攻击者借助 AI 已将网络突破时间压缩至最快 27 秒,横向扩散仅需 4 分钟,攻防博弈正式进入秒级生存竞速;而 Anthropic 的 MCP 协议被曝存在架构性设计缺陷,涉及 20 万台服务器、下载量超 1.5 亿次,厂商拒绝修复的态度令整个 AI 开发基础设施的信任体系蒙上阴影。
具身智能方面,高德全自主机器人"途途"成功协助视障人士完成城市级导航,并宣布将核心技术全栈开源;宇树科技科创板 IPO 获受理,具身智能的商业化进程正式踏入资本市场的主赛道。整体来看,本周 AI 领域呈现出开源能力跃迁、安全风险急速累积、具身智能落地三条主线同频共振的态势,每一条都指向同一个结论:AI 的产业化已进入不可逆的加速通道。
1. Kimi K2.6 深夜开源:国产模型首次登顶全球软件工程基准
月之暗面于 4 月 21 日凌晨正式开源 Kimi K2.6,在 SWE-Bench Pro 上得分 58.6,追平或超越 GPT-5.4 与 Claude Opus 4.6。实测案例中,K2.6 耗时 13 小时、调用工具逾 1000 次,将一个 8 年历史的金融撮合引擎吞吐量提升 185%;并发子智能体数从 100 扩展到 300 个,协同步骤从 1500 步扩展到 4000 步。这是国产开源模型首次在软件工程领域拿下全球第一,标志着开源编程 AI 的能力天花板被彻底打开。
值得关注:K2.6 支持接入 OpenClaw、Hermes Agent 等主流框架,并已有内部案例在 Kimi 基础上连续运行智能体 5 天自主处理运维任务,长周期自主执行能力或将重塑 AI coding 工作流。
2. Cursor 融资 20 亿美元,估值冲击 500 亿:AI 编程工具进入资本终局
AI 编程工具 Cursor(母公司 Anysphere)正洽谈 a16z 联合领投的 20 亿美元新融资,目标估值超 500 亿美元,较六个月前翻近一倍。Cursor 年化营收(ARR)已突破 20 亿美元,增速超越 Slack 与 Zoom 同阶段。超过 500 家财富 500 强企业将其纳入工程师日常工具链,企业客户贡献约 60% 营收。
值得关注:同期 xAI 宣布即将推出 Grok Build 与 Grok CLI 进军 AI 编程,Claude Managed Agents 也已公测,AI coding 赛道正同时迎来最强资本背书与最多头部玩家入局,格局重塑一触即发。
3. MCP 协议爆出架构级安全缺陷,Anthropic 拒绝修复
安全公司 OX Security 于 4 月 15 日发布报告,披露 Anthropic 的 MCP(模型上下文协议)存在设计缺陷,可导致远程代码执行(RCE)攻击,波及 Python、TypeScript、Java、Rust 全语言栈,影响超 20 万台 AI 服务器,相关软件包累计下载量超 1.5 亿次,且已有 10 个下游工具获得高危或严重 CVE 编号。Anthropic 多次被要求从底层修复,均予拒绝,坚称"协议运行正常"。
值得关注:MCP 是当前 AI Agent 生态最核心的通信底座之一,此次漏洞波及所有基于 MCP 构建的 AI 系统。厂商拒不修复的态度,令整个 AI 基础设施的信任危机升级,开发者应立即关闭公网暴露并将 MCP 输入视为不可信数据处理。
4. AI 让黑客突破速度压缩至 27 秒:攻防进入秒级生存竞速
CrowdStrike《2026 全球威胁态势报告》显示,网络犯罪平均"突破时长"已从 2024 年的 48 分钟压缩至 29 分钟(增速 65%);极端案例仅需 27 秒完成横向移动,首次登录后 4 分钟开始内网扩散,6 分钟内可完成数据外泄。AI 并未发明新型攻击手段,而是将钓鱼邮件制作、OSINT 采集、漏洞脚本生成等传统环节的时间从数天压缩至分钟级,使小团队得以批量发动高度个性化攻击。
值得关注:无文件攻击已成主流,传统特征库防御近乎失效。攻防胜负的核心已从"能否检测威胁"转向"能否在数分钟内自动隔离、切断攻击链",AI 驱动的实时自动化响应正成为防御侧的生死线。
5. 高德开源全自主具身机器人技术栈:助盲导航刷新 15 项 SOTA
高德于 4 月 19 日在北京亦庄人形机器人半程马拉松上发布四足机器人"途途",现场协助视障人士完成复杂城市环境下的全自主导航任务,包含人群穿行、突发干扰响应和动态避障。技术底座基于上万种真实场景与千万级多模态数据训练,在全球 15 项基准测试中达到 SOTA,并宣布将"ABot"具身技术全栈完全开源。
值得关注:相比导盲犬,AI 机器人具备可量产、可迭代、无生理寿命三大优势,"视障辅助"被定位为首个规模落地场景。高德将技术栈开源,有望推动具身导航在全球范围内的快速复制,这是 AI 具身智能真正服务于弱势群体的里程碑式落地案例。
6. Qwen3.6-Max-Preview 发布:中国模型包揽 OpenRouter Top3,低成本推理成全球竞争力
阿里于 4 月 21 日发布 Qwen3.6-Max-Preview,上下文长度达 262,144 tokens,在 SWE-bench Pro、Terminal-Bench 2.0 等编程基准上表现优异。更值得关注的是,据 OpenRouter 数据,本月按 Token 消耗量排名前三的模型分别来自小米 MiMo、阿里 Qwen 和 DeepSeek,中国模型已全面主导全球低成本推理市场。
值得关注:这不只是单一模型的胜利,而是中国开源 AI 整体竞争力的集体爆发。低成本推理策略正将全球开发者生态向国产模型倾斜,直接冲击 OpenAI 和 Anthropic 的 API 营收护城河。
7. OpenAI 三高管同日离职,Sora 4 月 26 日关停:战略收缩信号明显
4 月 19 日,OpenAI 三位核心高管同日离职,包括 Sora 负责人 Bill Pibuls。Sora 将于 4 月 26 日正式关停,每日运营成本高达 100 万美元,但使用率持续下滑。与此同时,OpenAI 的科学部门独立项目运作模式也将被取消,研究资源重新分配以聚焦 GPT-6 以后的商业化主线。
值得关注:这是 OpenAI 从"技术探索优先"向"商业变现优先"转型的最强信号。Sora 关停腾出的 AI 视频市场空间,正被 xAI Grok Imagine 和国内快手、字节等视频生成厂商快速填补,格局重塑正在进行中。
8. DeepSeek 启动首次外部融资:百亿估值下的算力与人才双重压力
DeepSeek 正式启动成立以来首次外部融资,目标金额至少 3 亿美元,估值至少 100 亿美元。融资的核心驱动力有二:一是开发 V4 模型所需的算力投入大幅攀升,二是多名核心研究员遭大厂高薪挖角,需通过调整薪酬结构留住人才。这是 DeepSeek 此前以"极低成本颠覆行业"叙事之后的重要转折。
值得关注:DeepSeek 过去的最大差异化优势在于"零融资、低成本、开源碾压",此次融资意味着这一叙事正式终结。随着模型规模提升和算力需求增加,开源 AI 企业的成本结构正向头部闭源模型收敛,行业竞争将进入资本密集阶段。
9. Claude Managed Agents 公测:AI 智能体开发速度提升 10 倍
Anthropic 的 Claude Managed Agents 于 4 月 8 日开启公测,作为可组合的全托管 API 服务,声称将智能体开发速度提升 10 倍。该服务支持长时任务、多步骤决策与工具调用,已在金融分析、数据处理等企业场景落地。与此同时,谷歌发布 A2UI 0.9 生成式 UI 标准,允许 AI 智能体动态构建前端界面,进一步打通了 Agent 与用户交互层的壁垒。
值得关注:AI Agent 基础设施正在快速成熟,从模型 API 到托管服务再到自适应 UI,整个"Agent 开发栈"正在被系统性补全。对开发者而言,这意味着构建生产级 AI 自动化系统的门槛正在快速下降。
10. 宇树科技科创板 IPO 获受理:具身智能首家 A 股上市进入倒计时
宇树科技科创板 IPO 已获上交所受理,保荐机构为中信证券,2025 年净利润约 6 亿元,Q4 销售额占全年超 40%。宇树是全球销量最大的四足机器人企业,其 Go2、H1 等产品出货量远超同级竞争对手。此次 IPO 若成功落地,将是具身智能赛道在 A 股的首次正式登陆。
值得关注:宇树 IPO 为整个具身智能产业提供了公开市值锚点,将加速吸引更多机构资金涌入,同时倒逼同赛道竞争对手加速融资或上市节奏。智元机器人、星海图等企业的上市窗口压力将随之显著上升。
