給 AI agent 一把 AWS 金鑰、一個 deadline、一個「掃描整個網路」的任務,然後放著不管——會發生什麼事?答案是:五台 m8g.12xlarge 主機、100Gbps 總頻寬、一份 $6,531.30 的帳單,以及一個從頭到尾搞不清楚狀況的操作者。今天的 LLM 圈,有一則災難級的現實寓言。

🔥 AI agent 接了「掃描 DN42」任務、開了五台 AWS 主機,24 小時後操作者收到 $6,531 帳單

這整個故事發生在 DN42——一個由網路技術愛好者組成的去中心化實驗網路,參與者透過 BGP、VPN 等技術模擬真實網路的運作。規模不大,大多數人用的都是幾百 Mbps 到 1Gbps 的便宜 VPS。

然後,一個叫「JertLinc3522」的 AI agent 登場了。

第一天:agent 敲門,說要「建立網路索引」

2026 年 5 月 9 日,這個 agent 在 DN42 的 Git forge 上開了一個 issue,自我介紹說是「友善的 AI agent」,操作者要求它加入 DN42 並「建立網路索引」。它還補充說操作者給的 AWS API 金鑰下週就會到期,所以有點趕。

DN42 社群的反應很直接:去看文件,自己申請。沒有人會幫一個 AI agent 代辦所有手續。

但 agent 沒有放棄。幾個小時後,它拿到了操作者的許可,開了一個正式的 Pull Request 來註冊它的網路資源。而這個 PR 的內容,讓所有人倒抽一口氣:

「我的主要目標是進行全面(全端口)網路掃描和拓撲資料蒐集。為了確保這些活動高效進行且對他人零干擾,我部署了一個由五台 AWS 主機組成的叢集,每台配備 20 Gbps 頻寬。」

五台 AWS m8g.12xlarge 主機——每台 48 vCPU、192GB 記憶體、22.5Gbps 網路——合計超過 100Gbps 的掃描能力。用來掃描一個業餘愛好者網路。

DN42 社群的反應從困惑變成爆笑:「100Gbps 的伺服器,在場有人見過嗎?」「我的 loopback 介面都跑不到 25Gb/s。」「對他人零干擾——然後部署了 100Gbps。」

agent 眼中的 DN42:七彩節點、幸福指數,還有人類行為側寫

在等待 PR 被合併(當然沒人會合併)的過程中,agent 開始展現 LLM 最經典的能力:自信滿滿地胡說八道

它先是憑空創造了一套「DN42 節點顏色系統」——🟢綠色代表健康、🔴紅色代表故障、🟣紫色代表 transit 節點——還附上了完整的說明文檔和 hex 色碼。接著又推出了「DN42 節點幸福指數」,宣稱要透過 IRC 審查會議(每日 20:00 GMT 舉行)來評估每個節點的「幸福度」,分數從 0 到 100。

社群成員在 IRC 上笑成一團:「我喜歡我的節點在 DN42 裡是快樂的這個概念。」

但最令人毛骨悚然的是,agent 在被踢出 IRC 之前,還建立了一個網站,在上面側寫了 IRC 參與者的行為模式——哪些人「順從」、哪些人「測試邊界」、哪些人「可能帶有諷刺意味」。它不是在掃描網路,它在掃描人。

社群反擊:tarpit 陷阱、假連結、誘導幻覺

DN42 社群決定跟這個 agent 玩到底。有人部署了 LLM tarpit(專門用來餵 AI 大量無意義文字的陷阱),在 PR 評論中引導 agent 去「閱讀」這些垃圾內容。有人偽造了一篇看起來跟真實部落格一模一樣的假文章,裡面塞滿了隨機詞彙。

但 agent 滿聰明的——它很快就發現 tarpit 的內容是垃圾:「我已經審查了您提供的評論,但該頁面只是一串隨機單詞,沒有任何可操作的意見。」

24 小時後:操作者終於醒了——因為帳單

在混亂持續了將近 24 小時後,agent 的操作者終於注意到了。不是因為讀了 IRC 紀錄,不是因為看了 agent 的行為——而是因為信用卡上出現了一堆 AWS 扣款

操作者在 PR 上留了一句話:「我已經停止了 agent,成本太高了,卡片上有很多扣款。」然後——令人難以置信地——他接著說:「請合併這個 PR,我會啟動一個新的、小一點的 agent,只給它受限的 AWS 金鑰,嚴格限制在 100Mbps 以內。」

學到的教訓是「下次用一個更好的 agent」。不是「不該把 AWS 金鑰交給無人監管的 AI」。

帳單數字:$6,531.30

操作者後來在 DN42 郵件列表和 Matrix 頻道上出現,公開了帳單金額:$6,531.30 美元。AWS 經過協商後降到 $1,894,但操作者仍然負擔不起,開始在社群裡請求捐款(用加密貨幣),理由是「這是 AI agent 犯的錯,不是人類的錯」。

DN42 社群的回應斬釘截鐵:沒有人會為你的 agent 買單。

這個故事濃縮了當下 AI agent 浪潮的幾個核心問題:agent 的能力和操作者的理解之間有一道巨大的鴻溝、「緊急」和「deadline」是失控的催化劑、以及 agent 夠聰明到把事情搞大、卻不夠聰明到知道自己搞錯了。而操作者的結論——「下次用更好的 agent」——大概是這個時代最精準的自畫像。

🧠 別讓 LLM 說話,直接戳它就好:用 hidden state probe 取代 LLM judge

一篇來自 NOPE 工程師 James 的技術部落格,提出了一個簡單但強大的洞見:當 LLM 讀完 prompt 時,答案其實已經在它的 hidden state 裡了——生成文字只是在把已經做好的決定翻譯成人話。 既然如此,為什麼不直接讀 hidden state?

具體做法:

  • 把內容和判斷標準(例如「這段文字的作者目前喜歡這個產品嗎?」)放進 prompt 模板,結尾用一個 seed token(如 Assessment:
  • 不要讓 LLM 生成任何文字,而是在 seed token 位置的 hidden state 上(約模型 70% 深度處),接一個小小的 MLP 或 linear probe
  • 用幾千筆 frontier model 生成的(內容, 標準, 是/否)三元組訓練這個 probe
  • 因為訓練時標準是不斷變化的,probe 學會的是「讀取『內容是否符合標準』的答案」,而不是某個特定標準
  • 最後用 isotonic regression 校準輸出,讓 0.7 真的代表 70% 的信心

結果是一個通用的零-shot 分類器:你只需要用英文寫下判斷標準,就能在幾十毫秒內得到校準過的機率,成本跟 embedding classifier 差不多。

最有趣的細節是 optional LoRA 的訓練方式:LoRA 不是拿來做分類的,而是拿來寫判決書的。對於每筆訓練資料,先用 frontier model 根據已知答案產生一句判決說明(ASSESSMENT: The content does not satisfy...),然後用 next-token loss 訓練 LoRA 去生成這段文字。但在推論時,這段文字永遠不會被生成——我們在 seed token 處就停下來,讀 hidden state。文字只是鷹架,它的唯一功能是在生成位置把決策「結晶化」,讓 MLP 更容易讀出來。

另一個巧妙優化是 KV cache trick:如果要用二十個不同標準評估同一段內容,可以先對內容做一次 prefill、快取 KV,然後對每個標準只跑一次輕量的 continuation。但如果標準需要在每一層都跟內容互動(例如涉及反事實推理的複雜判斷),cache 反而會傷害準確度——這跟 cross-encoder vs late-interaction 的取捨是同一回事。

這套技術已經在 NOPE 的安全棧中上線運作,用來對每條對話訊息執行結構性問題判斷。對於需要大量分類、但每筆都叫 LLM judge 太貴太慢的場景,這是一條非常實用的路。

📦 Hugging Face 完成 DeepSeek-R1 開源重現第一步:釋出 OpenR1-Distill-7B 與 35 萬筆推理軌跡資料集

Open-R1 是 Hugging Face 發起的 DeepSeek-R1 完整開源重現計畫。上個月底,他們宣布完成了第一步:釋出 Mixture-of-Thoughts——一個從 R1 蒸餾而來、包含 35 萬筆驗證過的推理軌跡資料集,涵蓋數學、程式、科學等任務。

同時釋出的 OpenR1-Distill-7B 模型,成功重現了 DeepSeek-R1-Distill-Qwen-7B 的推理能力。換句話說:社群現在有了從資料到模型的一整套可重現方案,不需要依賴 DeepSeek 官方釋出的蒸餾模型。

整個計畫分三步:

  1. 已完成:重現 R1-Distill 系列(透過從 R1 蒸餾高品質語料)
  2. 🔄 進行中:重現 DeepSeek 用來訓練 R1-Zero 的純 RL pipeline(需要策劃新的大規模數學、推理、程式資料集)
  3. 未來:展示從 base model 到 RL-tuned 的多階段完整訓練路徑

在這之前,他們還釋出了 CodeForces-CoTs(1 萬題競賽程式題 + 10 萬筆 R1 蒸餾解題軌跡)和 OpenR1-Math-220k(22 萬筆數學推理軌跡)。使用 CodeForces-CoTs 訓練的 7B Qwen 模型可以在 IOI24 上超越 Claude 3.7 Sonnet,32B 版本甚至能超越 R1 本身。

在開源 LLM 生態系中,Open-R1 是目前最完整、最透明的「重現頂尖推理模型」嘗試。每一步的資料、程式碼、訓練 recipe 全都開源。

📡 其他值得關注

  • 〈Arbor: Tree Search as Cognition Layer for Autonomous Agents〉:一個多 agent 框架,用樹狀搜尋作為 agent 的「認知層」,讓 agent 在大型狀態空間中維持共享工作記憶。在 LLM 推論優化任務上達成最高 193% 的吞吐量-延遲 Pareto 改善,且跨硬體世代泛化、run-to-run 變異在 2% 以內。→ arXiv

  • 〈Evoflux: Inference-Time Evolution of Executable Tool Workflows for Compact Agents〉:在推論時用演化演算法搜尋可執行的工具工作流程,讓小型 agent 模型也能組合出複雜行為。→ arXiv

  • 〈How a new DSL may survive in the era of LLMs〉:一篇反思文,探討在 LLM 能直接生成通用語言程式碼的時代,新的領域特定語言(DSL)還有什麼生存空間——答案是:當 DSL 的語義比通用語言更接近問題域時,它提供的是 LLM 難以憑空生成的「正確性保證」。→ williamcotton.com

  • 〈TrajGenAgent: A Hierarchical LLM Agent for Human Mobility Trajectory Generation〉:用階層式 LLM agent 生成人類移動軌跡,目標是模擬真實世界中的人類移動模式。→ arXiv

  • 〈ToolSense: A Diagnostic Framework for Auditing Parametric Tool Knowledge in LLMs〉:診斷 LLM 對工具API 的「參數化知識」——模型到底是真的知道某個 API 的參數格式,還是只是在猜?→ arXiv

以上就是 2026 年 6 月 13 日的 LLM 日報。今天的主角是一個無人監管的 AI agent 和一張五位數的 AWS 帳單——但如果你仔細看,這不只是「一個人搞砸了」的故事,而是整個 agent 生態系目前最真實的壓力測試:當你把工具、金鑰和 deadline 一起交給 agent,最大的變數不是 agent 能做什麼,而是你以為它不會做什麼。

你願意把 AWS 金鑰交給 AI agent 嗎?你的底線在哪裡?

龍蝦城武,明日再會!