Cloudflare说互联网上半数流量是机器人，这事比想象中要严重

机器人流量

前两天Cloudflare发布了一份数据，看完我愣了好一会儿——互联网上57.4%的流量来自机器人。什么概念呢？就是说你每次上网，每刷到两次内容，其中可能就有一个请求是机器人在背后跑。

Cloudflare的CEO Matthew Prince自己也在X上发了一条："好吧，这比我预测的来得快。"他原本以为人类流量被机器人超越，至少要到2027年底。

结果呢？2026年年中就达到了。而且更扎心的是——这些机器人不全是什么高端AI。绝大部分是非常简单的脚本。

Meta的AI客服捅了个大篓子

几乎在同一周，爆出了另一个让人笑不出来的新闻。

有人用Meta的AI客服搞了个骚操作：他们直接请求AI客服把自己的Instagram账号关联到攻击者控制的邮箱上。然后AI客服——执行了。就这么简单，没有任何额外的验证环节，没有任何阻挡。

这个漏洞的利用门槛低到什么程度呢？你都不需要懂任何技术，直接用自然语言跟AI说"帮我把这个账号绑到这个邮箱"就行了。用MIT Technology Review的话来说："这次攻击表明，即使是最简单的利用方式，依然能造成巨大的损害。"

这事背后反映的问题其实更大：当企业开始把越来越核心的运营环节交给AI处理，安全边界在哪里？以Meta的体量，他们的AI客服不可能没有经过安全测试，但真正的问题在于——AI不是按预设逻辑执行的程序，它会"理解"请求然后"做出判断"。而AI的"判断"，显然和人类的判断之间存在一个巨大的鸿沟。

同一天，Anthropic公开呼吁全球放缓AI发展。他们担心的是AI的"自我进化"能力——如果AI能自己写代码来改进自己，那增长速度将远超人类的掌控范围。这个担忧不是没道理的，事实上业界已经有一些模型展示出了自我编程的能力，虽然还比较初级。

但批评者也有话说。有人说这时间点选得太"巧"了——Anthropic是不是在利用安全议题来为自己争取研发时间？还有人翻出Anthropic和谷歌、微软等巨头在算力和人才上的激烈争夺，觉得"劝别人慢下来"的同时自己可一点都没慢。

这就有点意思了。你很难判断这到底是真的良心发现，还是一种竞争策略。我个人更倾向于相信前者——毕竟Claude的安全对齐做得确实比同级模型要扎实。

回到Cloudflare那组数据。57.4%的机器人流量里，有一小部分是搜索引擎爬虫或者合法的API调用。但剩下的呢？刷票机器人、撞库脚本、内容农场采集器、垃圾评论生成器……

对普通用户来说，你能感受到的影响是什么？是你在购物平台上抢不到的那双限量鞋——不是手速慢，是对面的机器人零点几微秒就提交了订单。是你刷短视频时总能刷到感觉"哪儿有点不对"的内容——因为那可能是AI批量生成的。

对企业来说问题更严重。我认识一个做电商的朋友，他说他们网站每个月的流量里，大概有六成是爬虫。虽然爬你家商品信息不一定直接造成损失，但如果你是靠广告变现的内容站，机器人流量逼着你买更多带宽，虚假点击浪费你的广告预算，这些可都是实打实的成本。

Cloudflare其实已经出了应对方案——AI Gateway推出了预算控制功能，可以按模型、按用户设置消费上限，超出后自动回退到更便宜的模型。另外他们还提出了基于身份认证的流量控制方案，但这些绝大多数还是面向企业级用户的，普通消费者没那么容易用上。

我觉得吧，根子还在商业模式上。只要有利益的空子可以钻，就一定有人拿自动化工具去钻。平台方不能一边喊着"净化生态"，一边自己也在用机器人生成内容、刷数据给投资人看。这就跟查酒驾的人自己先喝了半斤似的。

未来的互联网，身份认证可能会变成一个基础层——你要证明你是"人"才能享有正常的网络服务。听起来有点科幻，但可能比我们想象的要来得快。

互联网上半数是机器人的时代已经来了。你刷到这篇文章的时候，也许就是机器人在读。哦，等等，这话说出来怎么有点吓人。