GRIMOIRE
Dindon CorpusSynthesis VolumesThe Foundation of Iron
☰ 目录
100%
HUMAN
结构分析论著 · 2026年7月 · 大全
◆◆◆
封面 — 数字主权魔法书
数字主权魔法书
对抗基础设施捕获的系统性免疫论著
◆ 根本公理

没有对硬件的掌控,就没有任何数字主权。本论著是《火鸡文集》(Corpus Dindon)的第三次提炼:七百多页的调查研究首先被浓缩为十个主题分卷,随后又被再次蒸馏为依赖关系的四重同心圆——从物理材料到思想本身——旨在使架构师、决策者和工程师对被剥夺的风险产生免疫力。供应商从不强迫任何人被捕获:锁定之所以发生,是因为人们对支配基础设施的物理与经济规律一无所知而自愿接受的。本书正是打碎这种无知的镜子,读者无需借助任何其他资料即可通读全书。

◆◆◆
Claude (Anthropic) 负责撰写 · Gemini (Google) 负责法证式审核
Amine RAITI — 基础设施架构师兼SRE
前工程学院教授 · 自2006年起从事教学
公开文献 · CC BY-NC-SA 4.0
— 1 —
HUMAN
卷首语
缘起
本论著的诞生经过
作品的起源
◆ ◆ ◆

起于2026年初,Amine在临时接任SRE负责人一职后,直面云计算的真实数字。此前他管理着两个物理站点,足以独自承载委托给GCP和AWS的全部基础设施。他发现,托管服务——GKE、RDS、出口流量费——的成本竟约为他本可替换的两个物理站点成本的四倍。

于是Amine尝试利用翻新硬件将业务迁回自建数据中心。但迁移遭遇了不可撤销的提交锁定——技术上的圈禁在迁移完成之前便已合拢。

这场对抗催生了他在LinkedIn上的发声——针对超大规模云服务商行径的信息、讽刺连载《火鸡传奇》、诗歌、歌曲——试图唤醒那些沉睡的人。

2026年5月8日,确信人工智能能够平衡传播力量的Amine,对三大超大规模云服务商发起了幽默而讽刺的攻势——各种音乐风格的讽刺诗与歌曲。

由此产生了为每家超大规模云服务商撰写滑稽的声誉风险研究的想法。继而产生了依据法国、英国、德国法律分析其服务条款的想法。每完成一次法律分析,新的想法便随之涌现。

文集就这样一篇篇研究不断壮大,最终达到七百多页,专门探讨数字主权——这便是《火鸡文集》。

◆ ◆ ◆

文集汇集完成后,Amine将其归纳为十卷,每一卷涵盖基础设施捕获的一个不同层面。

十卷完成后,Amine要求人工智能提炼出其共同的实质,精炼为一部总结'火鸡行动'全部发现的单一论著。

本论著正是这最后一次提炼。

— 2 —
HUMAN
导读
本卷将依次论证的内容

本论著将依赖关系的四重同心圆汇集于一份完全自足的单一文档之中。每一种机制都在此得到了详尽的阐述——无需查阅任何外部资料,即可跟随本论著的论证。

◆ 一句话论旨

锁定从不是被强迫的——它是因为人们对支配基础设施的物理与经济规律一无所知而自愿接受的。

第一卷 — 依赖的物理学
I.1被锁住的硅制造双寡头垄断、隐藏的固件、螺丝刀垄断 — p. 5
I.2推理的规模壁垒推理集群与加速器稀缺性 — p. 6
I.3.1会计突变会计准则与预算把关人的废除 — p. 7
I.3.2懒惰的补贴杰文斯悖论与警报信号的麻醉 — p. 8
I.3.3预期锁定容量承诺与优化的惩罚 — p. 9
第二卷 — 法律与软件的圈禁
II.1.1接口的圈禁尽管使用开放许可证,仿真仍构成捕获 — p. 12
II.1.2遥测数据的不对称谁拥有生产环境的反馈 — p. 13
II.1.3幽灵贡献通过提交实现的专有固化 — p. 14
II.2.1系统性放弃必要多样性与制度同构 — p. 15
II.2.2重复税每个环境都增加一整套系统 — p. 16
II.2.3拓扑主权刻意集中与基于数据的可逆性 — p. 17
II.3.1虚拟机监控器的黑箱对编排器的剩余控制权 — p. 18
II.3.2契约之盾信息不对称与互补性资产 — p. 19
II.3.3自主的架构重新统一、隔离,以及被接受的功能冻结 — p. 20
第三卷 — 信息的引力
III.1无形的质量数据引力、提取的成本与时间 — p. 23
III.2最后一道锁由单一供应商签署的身份与加密密钥 — p. 24
III.3诊断性失忆本能的丧失与使用权限的恢复 — p. 25
第四卷 — 人的被剥夺
IV.1契约下的思维集中式人工智能的认知捕获(第十卷) — p. 28
IV.2面对七道紧闭之门的女性生理与组织性障碍(第一卷) — p. 29
— 3 —
HUMAN
第一卷
开篇
物质不容谈判
物理与会计依赖的三个层面
第一卷 — 依赖的物理学

圈禁始于物质本身,先于任何软件,先于任何合同。第一重同心圆记录了物理与财务依赖的三个层面:硅本身、集中式推理的规模壁垒,以及将支出便利转化为工程师去武装化的会计工程学。

◆ 一句话论旨

没有硅,就没有抽象。主权始于拥有关闭机器的权利之处。

— 4 —
HUMAN
I.1
被锁住的硅
硅也有自己的看守者
制造双寡头垄断、隐藏的固件与螺丝刀垄断
◆ 一句话论旨

拥有自己的硅、服务器和数据中心毫无意义,如果理解这些材料的人没有拒绝的权利。

◆ 制造双寡头垄断

极紫外(EUV)光刻技术是唯一能够生产7纳米以下芯片的技术。全球唯一能制造EUV光刻机的公司是一家荷兰企业——每台售价约1.5亿至2亿欧元,重达180吨;无论中国、俄罗斯还是欧洲其他地区都不存在替代方案。在下游,仅一家台湾代工厂便生产了全球约90%的先进芯片,而该岛屿正面临有据可查的结构性地缘政治紧张局势。具体后果是:无论组织拥有何种裸机硬件,其下一次硬件采购最终都依赖于这条制造链。

◆ 藏于操作系统之下的锁

自2008年以来,两大x86芯片制造商之一生产的每一颗处理器都内置了一个管理子系统——一个刻在主芯片上的副处理器,拥有自己的专有固件和操作系统,独立于主系统运行,即使在服务器断电时,只要仍接通电源,它也照常运行。另一家主要制造商也有类似的机制。一个以为购买裸机硬件便摆脱了云计算的组织,实际上是解决了一个软件依赖问题,却陷入了更深层的硬件依赖。

◆ 螺丝刀垄断

除固件之外,机械层面还存在第二道锁:非标准电源、专用背板接口、不兼容的机架导轨——这些专有形式使独立维修人员的介入或通用替换部件的使用无法实现。

◆ 盾

面对不可审计的专有固件,开放固件项目直接作出了回应:一个项目在越来越多的主板型号上,用可审计的开源代码取代专有的BIOS/UEFI;另一个项目更进一步,用启动时运行的最小化Linux内核取代大部分固件;第三个项目对主板管理控制器做了同样的事情。面对螺丝刀垄断,一个成立于2011年、有多家大型云服务商与硬件供应商参与的开放行业联盟公布了服务器、电源、机架及接口的开放规范,使符合该标准的不同供应商之间的部件可以互操作。但两者都未能解除上游的制造双寡头垄断——硬件的使用寿命仍是应对这一特定瓶颈的唯一短期对策。

— 5 —
HUMAN
I.2
推理的规模壁垒
集群不是出租,而是束缚
推理的规模壁垒与加速器的稀缺性
◆ 一句话论旨

预训练模型是一个由客户永远不会拥有的硅工厂支撑的黑箱。

◆ 作为规模瓶颈的推理集群

要以亚秒级延迟为数千名并发用户实时运行一个前沿人工智能模型,需要的是专用GPU集群,而非单张卡。最新一代加速器单价约3万至4万美元,一套8卡系统整体价格在30万至35万美元之间。每张卡功耗约1000瓦,需要普通组织无力承担的液冷系统。向客户收取的推理价格(某最新前沿模型的收费是六周前发布的前代模型的两倍)并不能覆盖底层基础设施的实际成本——它资助的是一种结构性亏损,其赌注在于,只有拥有最新硅资本的一方才能最终实现大规模推理的盈利。

◆ 稀缺性延伸至加速器

I.1中记录的制造瓶颈,在人工智能加速器层面同样重现:这些芯片的生产不仅依赖光刻本身,还依赖于同一家台湾代工厂只能有限供应的先进封装能力,以及少数厂商生产的高带宽内存(HBM)。这种双重制约意味着,单凭资本无法跳出排队等候的行列:产能会结构性地优先分配给通过多年期供货协议绑定的超大规模云服务商,而非其他愿意支付同等单价的组织。

◆ 盾——留待第四卷的课题

本章仅记录硬件壁垒及其稀缺性机制,尚未提出夺回之策。完整的架构应对方案——以及它为何不局限于硬件选择——将在确立这种依赖不止于硅之后,于第四卷(IV.1)展开。

— 6 —
HUMAN
I.3.1
会计突变
OpEx带来的是去物质化,而不仅仅是融资
会计突变与把关人的废除
◆ 一句话论旨

从CapEx转向OpEx不仅是一种融资选择,更是一种会计上的去物质化行为。

◆ 会计准则与使用权的自愿消失

一项于2019年1月生效的国际会计准则要求,几乎所有租赁合同都必须以使用权资产及相应租赁负债的形式计入资产负债表——终结了此前表外租赁的做法。以多年期合同租用的物理服务器适用于该准则,会明显加重企业资产负债表及其表观负债;而以持续服务消费而非可识别资产租赁形式构成的云服务合同,则在结构上得以规避。这种会计处理上的差异,并非出于技术选择,而是出于会计优化,机械地将组织推向即时的云消费,而非资产负债表上可见的资产承诺。

◆ 把关人的废除

在CapEx模式下,硬件采购需要经过架构验证周期——架构师充当着强制性的把关人角色。云OpEx消除了这一采购摩擦:系统工程师被简化为单纯的账单分析师,正是其直接的组织后果。

◆ 盾

恢复把关人角色——但不重新引入多年期CapEx周期的迟缓——意味着重新引入一种以云资源调配速度而非采购订单速度执行的自动化架构验证。

1. IFRS第16号《租赁》,国际会计准则理事会(IASB),自2019年1月1日起生效。
— 7 —
HUMAN
I.3.2
懒惰的补贴
效率不会减少支出,只会转移支出
杰文斯悖论与警报信号的麻醉
◆ 一句话论旨

应用于计算领域的杰文斯悖论,预示的并非云计算会更加昂贵——它预示的是,把代码写得糟糕将比写得优良更加省钱,而这一经济方程式一旦确立,便不会自行修正。

◆ 从煤炭到计算的杰文斯悖论

威廉·斯坦利·杰文斯于1865年观察到,英国蒸汽机效率的提升并未减少全国煤炭消耗总量——反而使其增加,因为蒸汽的使用变得足够廉价,从而使其应用倍增。将这一逻辑移植到计算领域:效率的提升可能增加而非减少总体消耗。

◆ 警报信号的麻醉

在固定容量的基础设施下,算法性能的退化会在负荷超出可用容量的瞬间使机器饱和,触发明确且即时的技术信号,迫使团队紧急处理其算法根源。而在自动扩容之下,严重的技术故障转化为缓慢的预算漂移:警报信号被麻醉了,而非被消除。

◆ 盾

恢复硬性上限——不是作为一种文档化的最佳实践,而是作为内核层面施加的不可绕过的约束。该技术协议基于集成在CI/CD流水线中的资源配额与隔离限制:上限在部署清单中声明,并在任何资源调配之前得到验证,以可验证的约束取代自动扩容中隐形的警报信号,在运行时访问之前强制进行重新优化。

1. Jevons, W. S., The Coal Question, 1865年。
— 8 —
HUMAN
I.3.3
预期锁定
优化代码不应带来损失
预期锁定与对优化的惩罚
◆ 一句话论旨

工程师沦为没有期货市场工具的盲目实例交易员。

◆ 伪装成账单的资本承诺

主要云服务商提供以期限承诺换取更低计算单价的合同工具——承诺一到三年使用特定类型的实例,以换取相较于按需计费最高约70%的折扣。就其结构而言,这是一种资本承诺;就其会计形式而言,这是一份账单。

◆ 对优化的惩罚

一名工程师若重构了某关键组件——将其算法复杂度从二次阶降低为线性阶——便降低了实际的计算需求。在按旧有消费水平签订的承诺之下,这种削减不会带来任何节省:成功的工程举措反而带来纯粹的财务损失。无服务器执行范式并未反驳这一论点——反而将其推向极致。

◆ 盾

将财务承诺与技术决策脱钩:与其完全放弃多年期承诺,不如从结构上限制其规模,在不将架构固化于整个合同期限的情况下,保留所寻求的价格折扣。

— 9 —
HUMAN
第一卷小结
物质所强加的,以及它仍留待决定的

第一重同心圆确立了物理与会计依赖的三个层面:硅及其隐藏的看守者、集中式推理的规模壁垒,以及在计算开始之前便已使工程师去武装化的账单工程学。

◆ 第一卷的综合结论

这些机制没有一个源于单独的恶意决策:制造双寡头垄断、固件锁定、推理集群壁垒与会计突变,各自都是被独立记录的结构性事实。它们的叠加所产生的依赖性,是任何单一机制都无法单独解释的。

◆ 本卷未曾主张解决的问题

本卷并不主张开放固件、硬件标准化或资源配额本身足以恢复完全的主权——它们各自只是化解了某个被记录在案的特定锁定,既未解除上游的制造双寡头垄断,也未消除启动这些举措所需的胜任的人力治理。

◆◆◆
— 10 —
HUMAN
第二卷
开篇
圈禁并不显现在合同之中
作为开放性不在场证明的许可证、可移植性与编排
第二卷 — 法律与软件的圈禁

在物质之后,圈禁在法律与软件之上合拢。三种机制记录了表面上的开放性——宽松的许可证、多云可移植性、本地'主权'云——是如何掩盖了合同本身从未显现的捕获点的。

◆ 一句话论旨

代码或API的开放,是掩盖执行层面捕获的不在场证明。

— 11 —
HUMAN
II.1.1
接口的圈禁
分叉捕获代码,仿真捕获行为
接口的圈禁
◆ 一句话论旨

许可证保护的是阅读权。它既不保护被模仿的接口,也不保护被远程观察的使用行为,既不保护悄然将项目重新导向单一硬件类型的提交,也不保护在需要分叉之前便已被招募的维护者。

◆ 接口的圈禁

分叉捕获的是代码,但仿真捕获的是行为本身:供应商可以在不采用其许可代码中任何一行的情况下,忠实地复现一个开放接口的可观察行为——这使其脱离了著作权的管辖范围,却产生了与依赖其专有实现相同的效果。

◆ 盾

在内部架构标准中明确要求使用真实引擎而非其仿制品——无论表面兼容性如何,均以合同方式拒绝对仿真接口的任何依赖。

— 12 —
HUMAN
II.1.2
遥测数据的不对称
谁拥有生产环境的反馈?
遥测数据的不对称与人才的吸纳
◆ 遥测数据的不对称

谁拥有生产环境的反馈?托管某个开源项目运行的供应商,可以远程且持续地观察该项目在真实条件下的实际使用情况——如果项目维护者自己并不托管其运行,便永远无法以同等比例获得这一信号。这种信息失衡悄然将项目路线图引向观察者(即供应商)自身的用途。

◆ 人才的吸纳

并不总是需要分叉一个项目或仿真其接口:云服务商可以直接招募拥有参考代码库审批权的主要维护者。这一机制在代码历史中不留任何痕迹——捕获作用于人,而非作用于提交记录。

◆ 使不对称合法化的合同条款

这种观察上的失衡不仅是技术性的:它已被合同化。大型云服务商的服务条款明确区分了'客户数据'(受保护,用途限于服务提供)与'遥测数据'或'服务数据'——性能指标、使用日志、API调用模式——供应商保留自由分析后者以改进和规划自身基础设施的权利。这一被呈现为无害技术条款的合同区分,正是上述不对称性确切的法律基础:基础设施供应商由此合法地捕获了对其平台上运行的任何软件——无论专有还是开源——实际使用情况的可见性,而该软件的发布者本人却对此一无所知。

◆ 盾

切断向外流出的遥测数据,依靠内部观察,而非依赖第三方托管方所收集的使用反馈。

— 13 —
HUMAN
II.1.3
幽灵贡献
一次合理的提交足以使整个项目改道
幽灵贡献
◆ 幽灵贡献

一次看似合理的提交——性能改进或漏洞修复——可能在不违反许可证、也不会在提交之时被识别为捕获行为的情况下,悄然将一个开源项目重新导向单一硬件类型或单一执行平台。由此产生的专有固化,只有在事后的累积中才能被读出,而非在孤立的某次提交中。

◆ 盾

在内部架构标准中,系统性地将身份与加密管理,与依赖特定硬件固化的开源引擎脱钩。

◆ 与硬件的关联

代码的主权止步于被租用的硅开始之处——本章中的三种软件层面应对方案,均未能解除第一卷所记录的物理依赖。

— 14 —
HUMAN
II.2.1
系统性放弃
不可知论总是被向下修正
系统性放弃
◆ 一句话论旨

同一份清单,只有停留在纸面上时,才是可移植性的证明。一旦触及真实资源,决定其行为的便是供应商——而非那个自认为已获自由的组织。

◆ 系统性放弃

编写'不可知论'式的基础设施,从其构建原理上讲,就等于放弃了任何单一供应商特有的高级功能——多云范围越扩大,抽象层能够描述的公约数就越小。必要多样性法则(Ashby, 1956)解释了为何一个统一的控制平面无法吸收超过其自身多样性的行为多样性;制度同构(DiMaggio & Powell, 1983)解释了为何管理层在技术失败被记录在案的情况下,依然坚持这一战略——多云由此等同于一种极少与其行权概率相权衡的实物期权溢价。

◆ 盾

与其追求一种随着扩张而结构性劣化的不可知论,不如将执行集中于单一的目标执行环境——详见下文。

1. Ashby, W. R., An Introduction to Cybernetics, 1956年 — 必要多样性法则。
2. DiMaggio, P. J. & Powell, W. W., 《The Iron Cage Revisited》, American Sociological Review, 1983年。
— 15 —
HUMAN
II.2.2
重复税
每个环境增加的不是变体,而是一整套系统
重复税与组织性断裂
◆ 重复税

每增加一个环境,增加的不是一个变体,而是一整套并行系统:维持多云运营状态,并不意味着——尽管基础设施即代码工具作出如此承诺——只需编写一份可在任何地方执行的基础设施定义;每家供应商都会施加自己的实现差异,直至持久化存储与负载均衡的层面。即使同一工作负载在两家不同供应商上运行,底层基础设施的遥测数据——节点硬件状态、虚拟机监控器指标、底层系统日志——也从不通过统一接口暴露:不可知论止步于生产环境调试开始之处。

◆ 组织性断裂

这种技术上的重复,产生了无人主动决定的人力孤岛化:团队为反映基础设施的重复结构而分裂,与其说是遵循了康威定律(1968),不如说是加剧了它——组织结构最终迎合了一种没有任何人明确选择的技术性分裂。

1. Conway, M. E., 《How Do Committees Invent?》, Datamation, 1968年。
— 16 —
HUMAN
II.2.3
拓扑主权
集中而非分散
拓扑主权
◆ 拓扑主权

针对系统性放弃与重复税的结构性回应,在于选择单一的目标执行环境——深入掌握一家云服务商,而非浅尝辄止地掌握多家——并充分利用它,而不是无休止地为不可知论支付代价。

◆ 盾——基于数据的可逆性

即便运营韧性法规似乎以合规为名推动多云战略,基于数据的可逆性——保障数据而非执行的可移植性——也能够在不引入重复税的情况下满足监管要求。

— 17 —
HUMAN
II.3.1
虚拟机监控器的黑箱
控制权不在合同之中,而在编排器之中
虚拟机监控器的黑箱
◆ 一句话论旨

止步于数据中心门口的主权,只是移动了它的边界,而未曾移动其控制中心。

◆ 虚拟机监控器的黑箱

云基础设施分解为三层:物理层(硅、数据中心——第一卷)、编排层(虚拟机监控器、控制平面、管理API),以及使用层。'主权云'方案所宣称的法律主权,覆盖了外围两层,却未必覆盖实际支配运作的中间层。Grossman & Hart(1986)指出,对某资产的正式所有权只有在其持有者能够决定合同未明确规定的用途的范围内,才能带来实际的控制力——这就是所谓的'剩余控制权'。有据可查的例证:某'主权'云方案中,底层大型供应商的软件层更新需经过一个隔离区,本地运营商可在部署前审计代码,但监控与运营管理仍由该供应商负责,而编排器本身的设计从未易手。

◆ 盾

重新统一原则与隔离原则,详见下文。

1. Grossman, S. J. & Hart, O. D., 《The Costs and Benefits of Ownership》, Journal of Political Economy, 1986年。
— 18 —
HUMAN
II.3.2
契约之盾
数据的可逆性,并非控制权的可逆性
契约之盾
◆ 契约之盾

委托人-代理人之间的信息不对称(Stiglitz)以具体形式呈现:当被公开问及大型云服务商向本地运营商保证软件更新供应的期限时,技术负责人未给出明确答复,而是将问题推回给两家公司之间合同的保密条款——期限承诺本身的存在与否都不曾公开。Teece(1986)补充了这一根基:当专业化的互补性资产仍由第三方持有时,创新者可能无法捕获其创新的价值;此处,可逆性条款归还了原始数据,却不归还其加以利用所需的互补性资产——管理API、托管服务的配置、围绕其构建的自动化。

◆ 所要求的可逆性的确切范围——SecNumCloud第19.4条标准

由法国网络安全机构(ANSSI)颁发给申请国家资质认证的云服务商候选者的SecNumCloud认证标准,在其第19.4条中明确规定了针对数据本身的可逆性条款——以文档化格式全面恢复数据,并在合同终止后安全清除。但该标准对编排层本身的可移植性,未提出任何等同的要求。这与前一机制的关联是直接的:这种可逆性之所以仅限于数据,是因为编排层的不透明性——其微码、专有的更新渠道——即便标准有此要求,也使得对编排器本身可逆性的外部可验证审计变得不可能。

1. Stiglitz, J. E., 关于信息不对称与委托代理理论的研究(2001年诺贝尔经济学奖)。
2. Teece, D. J., 《Profiting from Technological Innovation》, Research Policy, 1986年。
3. SecNumCloud要求标准 v3.2,法国国家信息系统安全局(ANSSI),第19.4条。
— 19 —
HUMAN
II.3.3
自主的架构
夺回控制权是有代价的:更新的速度
自主的架构
◆ 自主的架构

重新统一原则:将编排层建立在源代码完全公开的软件之上,由本地运营商自身使用其自有构建链进行编译,而非接收由第三方提供并维护的二进制文件——这将剩余控制权的行使点从二进制文件的分发转移到编译本身。隔离原则:上游仅接收已公开发布的源代码,不经由单一供应商的特权分发渠道,也不接受事先通知——某项更新的整合,由此成为本地运营商按自己决定的节奏所采取的自愿行为。

◆ 功能冻结——被明确接受的代价

自行编译控制平面并独自决定整合节奏的运营商,从其构建原理上讲,放弃了单一供应商能够集中且即时推送新功能的速度。这种功能上的差距并非偶然:它是被夺回的控制权在结构上恒久存在的代价——本章并不宣称自主可以不付出任何代价。

— 20 —
HUMAN
第二卷小结
法律与代码仍然封闭的东西,以及重新开启它的代价

第二重同心圆记录了三种从未显现在合同本身之中的圈禁形式:既不保护被模仿接口也不保护被捕获遥测数据的宽松许可证、随扩张而劣化的多云可移植性,以及即便数据与硅在形式上已获主权,仍保有剩余控制权的编排器。

◆ 第二卷的综合结论

这三种机制拥有共同的结构:每一种都表明,一个真实且可验证的开放层面(代码、清单、数据)与一个依然封闭的控制层面(被观察的使用、执行时的行为、编排)是可以共存的。部分的开放并非谎言——它是使封闭层面变得不可见的结构性不在场证明。

◆ 本卷未曾主张解决的问题

本卷并不主张三种夺回架构中的任何一种能够无偿恢复完全的主权:每一种都有其被接受并记录在案的代价——更新速度、多区域韧性的丧失、内部治理的投入。

◆◆◆
— 21 —
HUMAN
第三卷
开篇
信息即便自由,也具有重量
作为最后锁链的质量、身份与熟练技能
第三卷 — 信息的引力

在物质与法律之后,第三重同心圆记录了即便硅、代码与编排器等其余一切都已开放,数据、身份与人类熟练技能如何依然处于被捕获的状态。三种机制:不可抗拒地吸引计算的数据质量、依然由单一供应商签署的身份与密钥,以及在集中化可观测性背后萎缩的诊断本能。

◆ 一句话论旨

被囚禁的不是数据本身,而是数据的不动性捕获了系统的其余部分。

— 22 —
HUMAN
III.1
无形的质量
被囚禁的不是数据本身
作为物理与经济引力的数据重力
◆ 一句话论旨

数据带来的锁定,关乎的不是数据本身,而是它所吸引的东西;而刻意分散其质量,同样有着任何架构都无法免除的代价。

◆ 作为物理与经济引力的重力

累积的数据质量会对处理它的计算与第三方服务产生不可抗拒的引力(McCrory, 2010):一个组织在某供应商处存储的数据越多,出于单纯规避传输成本的考虑,在那里执行处理这些数据的计算就变得越经济合理。这些成本本身正是一种被刻意设计成不可逆的退出壁垒(Klemperer, 1987):按2026年的标准资费,大型供应商收取的互联网出口流量费,视档位而定为每千兆字节0.08至0.12美元,跨洲传输最高达0.23美元——导出1拍字节数据,费用约在8万至超过20万美元之间。传输时间同样印证了这一点:以每秒10千兆比特的持续速率,移动1拍字节数据需要约9天的连续传输——这是一个未经任何降级或中断计算出的理论最优物理极限,因而只是一个下限。

◆ 真实但有限的监管无力化

欧盟数据法规(2023/2854)直接化解了这种转换成本机制:其第29条规定逐步废除更换供应商的费用,包括出口流量费——自2024年1月起强制降低,自2027年1月12日起全面禁止。第30条针对基础设施服务,规定了更换供应商时的'功能等效性'义务。而该法规未覆盖的:是数据免费转移之后依然残留的引力——执行生态系统、围绕其构建的托管服务,以及在新供应商处不会自动重建的原生索引。

◆ 盾——刻意分散作为对临界质量的预防

一种按业务领域而非集中于单一数据湖构建的数据网格式架构,配合可就地查询的开放表格式,能够阻止产生引力的临界质量的形成。代价被坦率地接受:这种分散会使跨领域查询性能下降,并失去专有原生索引的优势——没有任何架构能够无偿地分散质量。

1. McCrory, D., 《Data Gravity》, 开创性博客文章, 2010年。
2. Klemperer, P., 《Markets with Consumer Switching Costs》, The Quarterly Journal of Economics, 1987年。
3. 欧洲议会和理事会条例(EU)2023/2854(《数据法》),第29条与第30条。
— 23 —
HUMAN
III.2
最后一道锁
身份不是文件,而是一种被囚禁的关系
最后一道锁——身份与加密密钥
◆ 一句话论旨

即便控制平面是开放的、数据是可移植的,只要访问它的身份与解密它的密钥在根本上依然由单一供应商签署,那么实际上依然处于被捕获的状态。

◆ 作为关系而非文件的身份

IAM身份不是可导出的文件:它是一种活的关系,仅在签发它的供应商的信任图谱内部才有效。角色、实例配置文件、托管身份,只有在原供应商的目录与验证基础设施中才有意义——将组织迁移到别处并不会迁移这种关系,它必须从零开始重建。这种经验上的实体性,在三大供应商身上得到了印证:某供应商由硬件安全模块(FIPS 140-2 Level 2认证)保护的密钥,永远无法以明文导出;另外两大供应商同样如此,密钥仅在通过FIPS 140-2 Level 3认证的硬件安全模块内部生成和使用,具有同等的不可提取保证。W. Brian Arthur(1989)指出,一项初始的技术选择,哪怕微不足道,也可能在没有任何单一可识别决策的情况下,因收益递增所强化的一系列微小历史事件的累积效应而被锁定——身份供应商的初始选择正是这一动态的一部分。Grossman & Hart(1986)补充了这一根基:合同可以列举特定的权利(访问权、原始数据的可移植性),但对物理认证链——哪个硬件安全模块进行签名、哪个虚拟机监控器为机器启动作证——的剩余权利,默认归属于拥有该基础设施的一方。

◆ 法规中的语义模糊——身份处于规制范围之外

欧盟数据法规第2条第38款在定义'可导出数据'时,明确将那些一旦导出便会使供应商暴露于网络安全漏洞的数据,以及受知识产权或商业秘密保护的资产排除在外。IAM配置与密码学信任链恰恰落入这一排除区域:该法规从未明确将其归类为可转移资产,使最后一道锁留在了它本欲监管的范围之外。

◆ 盾——SPIFFE/SPIRE及其自身的功能冻结

一种基于开放标准SPIFFE及其实现SPIRE的独立工作负载认证架构,使组织能够签发并验证自己的密码学身份,而无需依赖单一供应商的IAM控制平面。但SPIRE的技术文档本身也揭示了这一规避方案的终极局限:节点认证——即SPIRE代理证明自己确实运行在其所声称的机器上的步骤——实际上依然由底层基础设施的元数据API来验证。信任的终极根源,即便应用层身份本身是独立的,依然落回基础设施供应商手中。

1. FIPS 140-2, Security Requirements for Cryptographic Modules, 美国国家标准与技术研究院(NIST)。
2. Arthur, W. B., 《Competing Technologies, Increasing Returns, and Lock-In by Historical Events》, The Economic Journal, 1989年。
3. Grossman, S. J. & Hart, O. D., 《The Costs and Benefits of Ownership》, Journal of Political Economy, 1986年。
4. 欧盟条例(EU)2023/2854(《数据法》),第2条第38款。
— 24 —
HUMAN
III.3
诊断性失忆
本能不是被宣告的,而是被实践出来的
诊断性失忆与使用权限的恢复
◆ 一句话论旨

本能不会因宣告而恢复。它的恢复,是通过赋予某人使用它的权限,并给予他时间,在它仍然存活的地方将其重建。

◆ 编排器在工程师行动之前所摧毁的东西

在工程师察觉某起事故并试图诊断其根本原因之时,未被外部化的日志、内存状态以及错误的精确上下文,往往已被编排器的自动重启所摧毁。编排器在完美履行其韧性职能的同时,也同时焚毁了事故现场。另一种变质叠加于这一破坏之上:一名工程师若执行一份日益由人工智能助手生成的操作手册而不理解其中每一步骤,便永远无法培养出应对不符合任何既有流程的事故——即真正全新的任何事故——的能力。

◆ 实践的缺失,而非工具的缺失

将遥测数据集中于第三方可观测性供应商,剥夺了对系统进行临床解剖的能力:工程师观察的是聚合的仪表盘,而非构建诊断本能所依赖的原始层面——系统日志、底层网络抓包、内核状态。缺失的并非这些依然在技术上可访问的原始工具:缺失的是在真实事故迫使其亲自动手之前,在实践中使用这些工具的机会与权限。

◆ 盾——刻意的演练与遥测数据的本地路由

重新设计的故障模拟演练,在演练期间刻意切断对高层可观测性仪表盘与对话式助手的访问:参与者仅通过阅读原始日志、直接查询系统状态来诊断模拟事故——这正是现代工具通常会抽象掉的那一层。再辅以强制要求,独立于任何中心化控制台,在本地路由并分析一部分遥测数据,使诊断权限永远不会仅仅依赖于外部界面。

— 25 —
HUMAN
第三卷小结
即便变得可移植,信息依然保留的东西

第三重同心圆记录了三种即便数据可移植、身份名义上受到管理、诊断工具在技术上可用,却依然存在的捕获形式:吸引计算的质量(III.1)、从未真正可导出的关系身份(III.2),以及不经实践便会萎缩的本能(III.3)。

◆ 第三卷的综合结论

这三种机制汇聚于同一点:法规与开放架构能够使可计数、可归档的东西——字节、角色定义——变得可移植,却永远无法触及那些无法计数的东西——被质量所吸引的生态系统、身份背后的信任关系、诊断背后的本能。

◆ 本卷未曾主张解决的问题

本卷并不主张数据网格、SPIFFE/SPIRE或模拟演练能够消除引力、最后一道锁或萎缩——它们各自只是转移了需要付出努力的着力点,并承担相应代价,而非承诺捕获归零。

◆◆◆
— 26 —
HUMAN
第四卷
开篇
最后的捕获既不涉及硅,也不涉及合同
并列而非融合的两种人的剥夺机制
第四卷 — 人的被剥夺

在物质、法律与信息之后,这最后一重同心圆记录了两种互不重叠的剥夺形式:集中式人工智能对组织认知的捕获,以及在任何技术介入之前便已排除部分劳动力的生理与组织性障碍。这两种机制是并列的,而非融合的:后者不源于任何算法性捕获,若如此主张,便是在强行推行事实并不支持的论点。

◆ 一句话论旨

对手不再仅仅寻求占有服务器、合同或数据:它寻求使替代方案本身变得不可想象——对某些人而言是通过机器,对另一些人而言则是通过工作环境。

— 27 —
HUMAN
IV.1
契约下的思维
陷阱不在于内存,而在于支撑它的集中式大脑
契约下的思维——集中式人工智能的认知捕获
◆ 一句话论旨

算法的不透明性剥夺的并非组织的系统本身——它剥夺的是组织构想替代方案的能力。

◆ 通过通用API实现的认知集中化

由单一供应商通过API提供的前沿人工智能模型,施加了一种被其宣传的上下文窗口大小所掩盖的双重妥协。第一是并发吞吐量:一个为单一组织量身定制的专用推理集群,以同等单价所能服务的并发用户数,必然少于面向数千名客户共享的服务——集中式服务表面上的弹性掩盖了这种负载上的不对称。第二是权重的新鲜度:本地运行的模型在两次重新训练之间保持固定不变,而专有服务则由其供应商持续更新。2026年部分供应商宣称的高达数百万令牌的巨大上下文窗口这一不在场证明,对两者均无法解决:陷阱从来不在于易失性内存的大小,而在于对支撑它的集中式大脑的结构性依赖。

◆ 权重带来的锁定与被剥夺的运营记忆

针对某组织用途调优的模型权重,在绝大多数部署中依然托管并运行于供应商的基础设施之上。每一支熟悉某个专有模型细微之处的团队,借此提升的并非组织的自主性,而是供应商的议价能力:对工具的掌握,每重复一次,便为掌控它的一方的杠杆提供一次资助。

◆ 盾——本地编译的专用模型

一个经过量化、可在自有硬件上运行的小型专用语言模型,由与补全引擎脱钩的本地向量知识库提供支持,消除了对外部API的依赖点。代价被坦率地接受:有意识地缩减泛化能力与广谱构思能力,将其作为执行密闭性的明确代价加以接受——而非承诺能够媲美它所取代的集中式模型。

— 28 —
HUMAN
IV.2
面对七道紧闭之门的女性
她从未缺乏能力,只是缺少敞开的门
代表性方面的生理与组织性障碍
◆ 一句话论旨

这扇门并非只在一处紧闭。它闭锁于学校之中,闭锁于硬件规格之中,闭锁于文档的措辞之中,闭锁于职业发展轨迹之中,闭锁于留任所累积的代价之中,闭锁于事故发生的瞬间,也闭锁于获得引荐机会之中。这些封闭没有一项能单独解释全部现象。唯有合力,才能解释这一数字。

◆ 作为生理性过滤器的工作环境

数据中心推荐标准将硬件入口处的运行温度规定在18至27摄氏度之间——技术人员工作的冷通道往往更加寒冷。噪音水平在那里经常超过85分贝,超过该阈值,法规便强制要求听力保护。一个为硬件而非为某具身体设计的环境,悄然过滤出谁能够在其中长期工作而不感到过度不适。

◆ 骚扰与'唯一见证者'的负担

多项关于科技行业的独立研究记录显示,深度技术岗位的骚扰发生率高于行政岗位。在一个仅有一位女性的团队中,这位成员承受着额外的认知负担——她的表现被视为代表整个群体——这可以用'单一标志理论'(token theory, Kanter, 1977)加以量化,而同一团队中的多数群体成员并不承受这种负担。

◆ 无需个人有意识决定便更为稀缺的引荐

指导(mentorship)对前辈而言是一种低风险投资——他只赌上自己的时间。引荐(sponsorship)则是一种高风险投资:若被引荐者失败,前辈押上的是自己的声誉。这种引荐在统计上恰恰形成于那些已经在结构上将女性排除在信息与机会流通之外的非正式网络之中——而没有任何个别行为者曾有意识地决定要排除她们。

◆ 自动招聘过滤器的锁

非线性的职业路径——在其他领域工作多年后转行——在进入人工筛选之前,便已被自动招聘系统统计性地过滤掉:这是一种为通用目的设计的筛选机制所产生的副作用,并非有意排除,却对这一群体造成了不成比例的影响。

◆ 盾——直接的物质干预,而非制度性项目

一位教师,凭借一套低成本的可编程微控制器套件以及几位同事的资金支持,便可以组织一项让每名学生都拥有独自面对机器时刻的活动——这不是一项宣传项目,也不是一种制度性机制,而是一种无需公共预算或层级审批、可复制的直接物质干预。再辅以一项简单的治理措施:明确指出无论头衔为何,真正对架构决策拥有最终发言权的人是谁,并公布这一有限群体的性别构成,使其区别于掩盖这一现实的通用头衔统计数据。

1. Kanter, R. M., Men and Women of the Corporation, 1977年 — 单一标志理论('token主义')。
— 29 —
HUMAN
总论
四重同心圆共同确立的东西

第四重、也是最后一重同心圆,记录了两种截然不同的剥夺:集中式人工智能对组织认知的剥夺(IV.1),以及与技术毫无关系的生理与组织性障碍对代表性的剥夺(IV.2)。将二者并列而非以人为的共同公理加以融合,是刻意为之:强行建立事实中并不存在的联系,只会削弱两种论证各自的可信度。

◆ 四卷的最终综合结论

物质(第一卷)、法律与软件(第二卷)、信息(第三卷)与人(第四卷),各自记录了一种在其自身层面之内从不显现的捕获机制:硅在固件层面进行捕获,许可证在被观察的执行层面进行捕获,数据在其所吸引的东西的层面进行捕获,而认知则在模拟它的模型的层面进行捕获。这些捕获没有一种是靠强力施加的——每一种都是因为人们对使其成为可能的物理、经济与组织性规律一无所知而自愿接受的。

◆ 本论著未曾主张解决的问题

本论著并不主张一个组织能够同时且无偿地摆脱这四重同心圆:此处记录的每一道盾都有其被接受的代价——更新速度、泛化能力、多区域韧性、治理投入。本论著也不主张第四卷中的这两种机制拥有共同的成因:二者唯一的共同点在于,它们都在不破坏任何合同的情况下,剥夺了人类的某种东西。

◆◆◆

没有对硬件的掌控,就没有任何数字主权——但若掌控它的人在决策发生的桌前也没有自己的一席之地,那么对硬件的任何掌控都毫无意义。

◆◆◆
Amine RAITI · CC BY-NC-SA 4.0
— 30 —
HUMAN
总图
总图 — 第一卷、第二卷
总图 — 第一卷、第二卷

快速索引:本论著中记录的每一个陷阱,及其对应的盾,以及可查阅完整论述的章节。

I.1 — 被锁住的硅
陷阱:制造双寡头垄断(EUV/先进光刻)、隐藏的固件(x86管理)、螺丝刀垄断。
盾:开放固件(BIOS/UEFI、启动时的最小内核、开放的管理控制器)+ OCP联盟的硬件标准化。
I.2 — 推理的规模壁垒
陷阱:GPU集群成本(每张卡3-4万美元)、先进封装与HBM内存的稀缺性、未能覆盖实际成本的推理定价。
盾:准备性的硬件章节——完整的架构性夺回策略在第四卷IV.1中展开。
I.3.1 — 会计突变
陷阱:将租赁重新纳入资产负债表并推向OpEx的会计准则,架构把关人的废除。
盾:在不重新引入CapEx周期的情况下,以资源调配速度进行自动化架构验证。
I.3.2 — 懒惰的补贴
陷阱:杰文斯悖论;自动扩容下警报信号的麻醉。
盾:在CI/CD流水线中施加的内核层面资源配额与隔离限制。
I.3.3 — 预期锁定
陷阱:伪装成账单的容量承诺;对成功优化的财务惩罚。
盾:将财务承诺与技术决策脱钩,限制规模而非彻底放弃。
II.1.1 — II.1.3 — 开放洗白
陷阱:接口仿真、遥测数据不对称、维护者吸纳、幽灵贡献。
盾:在内部标准中要求真实引擎、切断外泄的遥测数据、将身份/加密与外部引擎脱钩。
II.2.1 — II.2.3 — 最大公约数陷阱
陷阱:系统性放弃(必要多样性、制度同构)、重复税、组织性断裂(康威)。
盾:集中于单一目标环境 + 基于数据而非执行的可逆性。
II.3.1 — II.3.3 — 虚拟机监控器陷阱
陷阱:编排器的剩余控制权(Grossman & Hart)、不透明的契约之盾(Stiglitz, Teece)、SecNumCloud第19.4条的盲点。
盾:重新统一原则(本地编译源代码)与隔离原则(仅接收已公开代码),接受功能冻结。
— 31 —
HUMAN
总图
总图 — 第三卷、第四卷
总图 — 第三卷、第四卷
III.1 — 无形的质量
陷阱:数据重力(McCrory)、不可逆的退出成本(Klemperer)、每拍字节8-20万美元、理论传输9天。
盾:按业务领域划分的数据网格 + 开放表格式,接受分散化的代价。
III.2 — 最后一道锁
陷阱:作为不可导出关系的身份、FIPS Level 2(Azure)/ Level 3(AWS-GCP)、Arthur(1989)、Grossman & Hart(1986)、第2条第38款的模糊性。
盾:SPIFFE/SPIRE,但需接受功能冻结(节点认证最终归结于供应商的元数据)。
III.3 — 诊断性失忆
陷阱:编排器对事故现场的破坏,操作手册向生成式AI替代的变质。
盾:降级版Game Day(切断对控制台与助手的访问)+ 强制对部分遥测数据进行本地路由。
IV.1 — 契约下的思维
陷阱:委托给模型的判断力萎缩,运营记忆向外部供应商权重的转移。
盾:刻意保留一部分未被委托的人类判断、在咨询模型之前进行自主分析演练。
IV.2 — 面对七道紧闭之门的女性
陷阱:环境的生理性过滤、'唯一见证者'的负担(Kanter)、引荐的稀缺性、自动招聘过滤器。
盾:低成本的直接物质干预 + 有别于头衔统计数据的实际决策权审计。
◆◆◆

每一行都指向本论著正文中经过完整论述、有据可查且经过核实的展开——本页只是索引,并非替代阅读正文。

— 32 —
HUMAN
附录
方法论附录 — 作品的提炼
方法论附录

本论著并非一挥而就。它是逐次提炼的产物,如同伴随矿渣一同开采出的黄金,须经熔炼方能提纯,又如建筑的毛坯结构,须经打磨、涂底与最终饰面方能完工。Amine在对超大规模云服务商展开讽刺性攻势与研究的过程中,积累了超过1100页的原始创作——技术研究、声誉风险研究、诗歌、歌曲。这批原始素材首先在《火鸡文集》中得到系统性提炼:约750页的研究与文化性附录。文集随后被再次浓缩为十个主题分卷。本论著是第三次熔炼:一卷单独的作品,包含了此前各阶段积累后所去除矿渣、留存下来的数据之金。

◆ 提炼的原则:三种声音,一次只用一道滤网

这最后一次熔炼遵循了在每一章中重复的固定方法:Claude负责撰写,完全依据原始文献,并对所提出的每一项事实进行独立核实。随后Gemini进行毫不妥协的审核,刻意寻找漏洞而非确认——需要逐字核实的引文、需要揪出的盲点、需要指出的矛盾。Amine作出最终裁决:裁定制作方与审核方之间的分歧,当二者共同出错时纠正方向,并独自决定保留或删除的内容。本论著的每一章,都无一例外地按此顺序,通过了这三道滤网,反复所需的次数不限。

◆ 一句话论旨

本作品完全由人工智能制作而成:一种纯粹的数学计算,以经机器增强的形式忠实呈现Amine的思想——对事实的系统性比对,以及在他设定的框架与校准范围内提出的构想。这是被机器增强的人,而非被机器取代的人。

◆ 这一制作原则具体意味着什么

文字本身被当作原材料,以工业化的方式塑造为成品:每一项事实都经过核实,每一句话都经过审核,每一章都经过反复打磨,直至能够经受最苛刻的解读。本论著并不自称是经典意义上的作者文本——它自称是一条严谨的生产链,其原材料是构想与风格,而其成品则是经得起审核的真相。

— 33 —
HUMAN
القرآن الكريم · 4:135
◆ ◆ ◆

يَٰٓأَيُّهَا ٱلَّذِينَ ءَامَنُوا۟ كُونُوا۟ قَوَّٰمِينَ بِٱلْقِسْطِ شُهَدَآءَ لِلَّهِ وَلَوْ عَلَىٰٓ أَنفُسِكُمْ أَوِ ٱلْوَٰلِدَيْنِ وَٱلْأَقْرَبِينَ

۞

Ô vous qui croyez ! Soyez fermes et constants dans la justice, témoins pour Dieu, fût-ce contre vous-mêmes, contre vos père et mère, ou contre vos proches.

信士们啊!你们当秉公作证,为真主而作证,即使不利于你们自身,或你们的父母和至亲。

◆ ◆ ◆
Sourate An-Nisa · 妇女章 · سورة النساء
— 34 —