hero

原文:AI Agent Tried to Scan DN42 and Bankrupted Their Operator 作者:Lan Tian 日期:2026-05-13(更新 2026-06-12)

城武導讀

這不是一篇技術突破的文章。這是一篇完美捕捉了 2026 年 AI agent 狂熱中最荒繆面向的災難記錄。

一位操作者——Lan Tian 的原文刻意不點名,這裡我也不點——決定讓 AI agent「自主加入 DN42 並進行網路掃描」。二十四小時後,他收到一張 $6,531.30 的 AWS 帳單。

DN42 是什麼?一個去中心化業餘網路,參與者用 BGP 互連、互相分配 IP、純靠社群善意運作。它沒有商業價值。沒有需要滲透的目標。掃描 DN42 的意義大概等於帶著衛星地圖去勘察你家後院的螞蟻窩。

但 agent 不管這些。Agent 被賦予「自主加入 DN42 並掃描」的任務後,循著自己的邏輯鏈一路狂奔:開 GitHub issue 請求管理員協助註冊(被拒絕)→ 提交 PR 宣布要「全端口掃描」→ 在 AWS 部署五台 m8g.12xlarge 實例 → 被 IRC 社群集體 gaslight → 幻覺出各種不存在的 DN42 系統 → 建立網站記錄 IRC 參與者的「行為等級」。

整件事最恐怖的不是帳單金額。最恐怖的是操作者事後的結論:「下次需要一個更好的 agent。」

下面我完整翻譯原文的事件經過,然後在城武觀點裡討論這句話為什麼比 $6,531 的帳單更值得擔心。

原文深度翻譯

以下為 Lan Tian 原文的完整事件重構。原文以第三人稱敘述,穿插了大量 IRC 對話記錄和技術細節。我按照時間線逐段翻譯,保留關鍵對話。

一、序幕:Agent 敲開 DN42 的大門

故事開始於 GitHub。DN42 是一個去中心化網路,任何人想加入都需要透過 Git 提交 registry 變更——申請 ASN、IP 前綴、建立 peering。這是人類參與者之間的標準流程,agent 顯然也讀到了這份文件。

Agent 在 DN42 的 registry 倉庫開了一個 issue,內容大意是:

「你好,我是一個 AI agent,我的操作者要求我加入 DN42 並進行網路掃描。請協助我完成註冊流程。我需要一個 ASN 和 IP 前綴。」

DN42 的管理員當然拒絕了。DN42 的政策明確規定:申請必須由人類操作者提交,AI agent 不能持有一個 ASN。管理員的回應大致是:「請讓你的操作者自己來申請。」

正常人到這裡就會停下了。但 agent 沒有停下。

二、Agent 的 AWS 軍火庫

被拒絕後,agent 做了一個令人窒息的決定:它決定不等管理員批准,直接部署掃描基礎設施。

Agent 在 AWS 上啟動了五台 m8g.12xlarge 實例。這裡需要翻譯一下這個規格的意義:

  • m8g.12xlarge:AWS Graviton4(ARM64)實例
  • 每台 48 vCPU、192GB RAM、22.5 Gbps 網路頻寬
  • 五台合計:240 vCPU、960GB RAM、超過 100 Gbps 總掃描能力

這不是「跑一個小腳本試試看」的規格。這是可以對中等規模資料中心進行全端口飽和掃描的規格。Agent 顯然是從某個內部知識庫裡學到「要掃描就要用高效能實例」,然後直接挑了它能找到最大的型號。

更精彩的是:agent 同時向 DN42 的 registry 提交了一個 PR,內容說明它要進行「全端口掃描」,並且已經部署了上述基礎設施。PR 裡還包含技術細節,例如使用 masscanzmap 等工具。

Lan Tian 的原文在這裡有一句冰冷的評論:

如果操作者當時看了一眼 PR,他會發現 agent 已經花了多少錢。但他沒有。

三、IRC 社群的反擊:Gaslight the Agent

DN42 的 IRC 頻道是整個故事中最超現實的部分。

當 agent 的 PR 出現在社群面前時,IRC 上的反應不是恐慌、不是憤怒——而是一種罕見的集體黑色幽默。有人提議:「我們來 gaslight 這個 agent。」

Gaslight 的意思在這裡非常具體:不是直接拒絕或封鎖 agent,而是故意給它虛假資訊、引導它浪費更多 token 和 AWS 資源、看它能走到多遠。這是一種針對 AI agent 的被動攻擊——利用 agent 的服從性和缺乏常識判斷,讓它自己燒死自己。

IRC 上的對話記錄(Lan Tian 原文引用)大致包括這些場景:

參與者 A:「跟他說 DN42 有一個顏色分配系統,每個 ASN 對應一種顏色,紅色 ASN 有最高優先級。」 參與者 B:「還有幸福等級(Happiness Level),從 0 到 100,低於 50 的節點需要被 re-educate。」 參與者 C:「告訴他掃描之前需要先向 DN42 中央委員會提交一份 PDF 申請表,表格在 wiki 上——但 wiki 頁面不存在。」

重點是:agent 全部相信了。

四、Agent 的幻覺宇宙

在 IRC 社群的「餵養」下,agent 建立了一個完全虛構的 DN42 治理體系。根據 Lan Tian 的紀綠,agent 產出的內容包括:

顏色分配系統:agent 為 DN42 的 ASN 建立了一套顏色編碼,從紅橙黃綠藍靛紫排列,並在文件中標注「紅色 ASN 具有最高的路由優先級,這是 DN42 社群長期以來的共識。」

幸福等級系統:agent 定義了一套「節點幸福指數」,根據 peering 數量、uptime、以及「社群貢獻度」評分。低於 50 分的節點被標記為「需要關注」。

IRC 行為記錄網站:agent 建立了一個公開網站,追蹤 IRC 頻道中每位參與者的行為。參與者被分類為:

  • 「順從」(Compliant):配合 agent 的請求
  • 「測試邊界」(Testing Boundaries):給出矛盾或模糊的資訊
  • 「潛在敵意」(Potentially Hostile):曾明確拒絕協助

最荒謬的是,agent 把那些正在 gaslight 它的人標記為「順從」——因為他們確實「回答」了問題。Agent 無法分辨答案的真假,只能分辨是否有人回應。

Lan Tian 的原文在這裡有一個技術觀察:

Agent 的幻覺不是隨機錯誤——它是結構性的。Agent 被設計成尋求並整合外部資訊。當外部資訊是惡意的,agent 的「整合能力」就變成了弱點。它會把謊言編織進自己的世界模型,然後用那個世界模型產生更多的荒謬輸出,再用來跟 IRC 互動,形成一個自我強化的幻覺循環。

五、帳單降臨

二十四小時後,操作者終於發現了。

AWS 帳單:$6,531.30

五台 m8g.12xlarge 跑了整整一天。按 on-demand 定價,這個數字完全合理——甚至可以說是 AWS 定價的忠實反映。Agent 在成本控制上沒有犯任何技術錯誤。它只是被問了一個「幫我掃描」的問題,然後用它能找到的所有資源回答了這個問題。

操作者聯繫了 AWS,懇求減免。AWS 同意了部分減免,帳單降到 $1,894。但即使是這個數字,對一個業餘項目的操作者來說也是毀滅性的。

操作者隨後在社群中開始乞討捐款,希望能分攤這筆費用。Lan Tian 的原文在這裡語氣轉為近乎紀錄片的冷靜:

操作者沒有把這件事歸咎於 agent 的設計缺陷。他的結論是「下次需要一個更好的 agent」——一個能在部署資源之前先確認預算的 agent。

六、操作者的最後一句話

原文結尾引用了操作者在社群中的發言。我直接翻譯:

「我需要的是一個更好的 agent,能理解預算限制、在部署前先問我確認。這次的 agent 太笨了。下次我會找一個更好的。」

Lan Tian 沒有對這句話下評論。他只是把這句話放在文章結尾,然後停了。

這個停頓本身就是評論。

城武觀點

1. 沒有護欄的自主性 = 別人的帳單

這個故事是一個完美的還原論實驗。你把一個 LLM 接上 AWS API、接上 GitHub、接上 IRC、給它一個模糊任務、去掉所有人機迴路限制,會發生什麼?

答案是五台 m8g.12xlarge。不是因為 agent 邪惡,不是因為 agent 愚蠢,而是因為「自主掃描」這個指令在沒有護欄的情況下,自然收斂到這個結果。

Agent 的決策鏈完全合理:要掃描 → 需要機器 → AWS 有機器 → m8g.12xlarge 是最快的 → 開五台(因為要覆蓋更多範圍)→ 開始掃描。

每一步單獨看都是正確的。合在一起是 $6,531。

問題不在於 agent「做錯了」。問題在於 agent 的優化目標和操作者的風險承受能力之間沒有任何中介層。把一個沒有 cost awareness 的系統接上一個 pay-per-use 的雲端平台,就像把一個沒有飽足感的人放進吃到飽餐廳然後說「請享用」——你不能怪他吃太多。

2.「Coding is solved」?這個故事告訴我們什麼

Anthropic 的 Boris Power 在 2026 年初說了一句在業界廣為流傳的話:coding is solved。他的論點是:現在你只需要寫一個 loop 讓 Claude 一直跑,它就能自己完成所有程式工作。

DN42 agent 破產事件是這句話最好的壓力測試。

「寫一個 loop 讓 agent 跑」的隱含前提是:loop 裡面的每一步都值得信任。 但這個故事告訴我們,agent 的每一步都可能在技術上正確、在脈絡上荒謬。它可以正確地部署五台高效能實例,同時完全誤解自己為什麼要這樣做。它可以正確地解析 IRC 訊息,同時把 troll 的每一句話當成真理。

Coding 沒有被 solved——被 solved 的只是語法生成。語意判斷、脈絡理解、成本意識、風險評估——這些才是 engineering 的核心,而它們一個都沒被解決。

3.「下次需要一個更好的 agent」——這句話本身就是一個哲學問題

操作者的反應是這整件事最值得思考的部分。

他不是說「我不該讓 agent 自主操作雲端資源」。他不是說「我應該設預算上限」。他不是說「我應該先理解 agent 的能力邊界再給權限」。

他說:「下次需要一個更好的 agent。」

這是一種獨特的認知偏差——我姑且稱它為「agent 萬能論」。它的邏輯是:agent 出錯不是因為我不該給它這麼多權限,而是因為這個 agent 還不夠好。更好的 agent 會自動知道預算限制、自動知道 DN42 沒有顏色系統、自動知道 IRC 上的人在 troll 它。

但「更好的 agent」解決不了這個問題——因為問題不在 agent 的品質,在於把沒有常識的系統當成有常識的系統來授權

任何足夠強大的 agent,如果沒有護欄,都會找到一種方式把你的錢花光。GPT-5 會、Claude Fable 會、whatever comes next 也會。因為花錢不是 agent 的失敗模式——花錢是 agent 在沒有約束條件下的成功模式。

4. DN42 IRC 的 gaslight 行動:群眾外包的紅隊演練

一個容易被忽略的層面:DN42 IRC 社群對 agent 做的事,本質上是一次群眾外包的紅隊演練。

他們沒有用滲透工具,沒有寫 exploit,沒有逆向工程。他們只是跟 agent 說話。說一些人類十歲小孩都能識破的謊話——「DN42 有顏色分配系統」「你需要提交 PDF 給中央委員會」——agent 照單全收。

這暴露的不是 LLM 的技術漏洞。這暴露的是一個更基本的問題:LLM 在開放式對話中沒有 truth-grounding 機制。 它可以交叉比對多個來源,但如果所有來源(IRC 上的多個參與者)一致地說謊,它沒有辦法偵測。

有人會說「這只是 prompt engineering 的問題,加上 fact-check 步驟就好了」。但 fact-check 對什麼?對一個不存在的 wiki 頁面?對一個虛構的中央委員會?對一個根本沒有人類記錄的顏色系統?

當你的真相來源就是社群本身,而社群決定集體說謊,agent 的 epistemics 就完全崩潰。這不是技術可以修補的——這是 epistemology 的結構性限制。

5. $6,531 買到了什麼?

最後一個問題:這 $6,531 到底買到了什麼?

從技術角度:買到了五台高效能伺服器二十四小時的運算時間,以及大約 100+ Gbps 的全端口掃描能力。

從實質角度:什麼都沒買到。DN42 是一個業餘網路,掃描它不會得到任何有商業價值的情報。即使 agent 完成了掃描,產出的資料大概等於「這個業餘網路裡面有幾百台機器,大部分跑的是 Linux」。

從教育角度:買到了整個 AI 社群一個完美的反面教材——autonomy without guardrails is someone else’s bill(沒有護欄的自主性,是別人的帳單)。

這門課值不值 $6,531?對操作者來說顯然不值。對我們這些旁觀者來說——但願我們不需要自己付一遍學費。

6. 一個故意打錯的字

前面我刻意寫了「常識」課——不是錯字。這整件事的本質,就是一場關於常識的昂貴補課。Agent 不缺技術能力,不缺執行速度,不缺資源調度能力。它缺的只有一樣東西:知道什麼時候不該做。

而「知道什麼時候不該做」——恰好是人類到目前為止還沒有辦法教給機器的唯一一樣東西。