马上知道 / 2026年4月4日 / 阅读时间约5分钟
AI & 一级市场
Anthropic因npm打包错误泄露Claude Code全部源代码
Anthropic于3月31日因npm包发布流程中的人为配置失误,意外将Claude Code编程助手的完整源代码(约51.2万行TypeScript)暴露在公共注册表中。泄露源头是版本2.1.88中未被排除的JavaScript source map文件,被安全研究员数小时内发现并在社交平台传播,随后该代码在GitHub上被fork超过4.15万次。Anthropic确认事件性质为「发布打包问题,非安全入侵」,未涉及客户数据。但安全机构同步发现,3月31日UTC 00:21至03:29期间通过npm安装Claude Code的用户可能拉取到被供应链攻击植入远程木马的axios依赖版本,构成独立安全威胁。(据企业官方公告、综合公开信息整理)
【投黑马点评】 AI基础设施的供应链安全暴露面正在扩大——npm生态一个配置字段即可导致核心代码全量泄露。对一级市场的信号:AI DevSecOps与软件供应链安全审计赛道正从「可选」升级为「刚需」,早期标的的企业客户获取速度将显著加快。
OpenAI年内已完成6起收购,Promptfoo交易加固Agent安全生态
OpenAI于3月9日宣布收购AI安全初创公司Promptfoo,后者专注于LLM漏洞检测与红队测试,产品已被超过25%的财富500强企业采用。Promptfoo成立于2024年,上轮估值8600万美元,团队仅23人。此次收购是OpenAI 2026年第六起并购,前五起包括开源开发工具Astral、代码安全平台Windsurf等,收购频率已接近2025年全年总量。Promptfoo技术将整合进OpenAI企业级AI Agent平台Frontier,开源版本将继续维护。(据企业官方公告、据行业研究机构Crunchbase)
【投黑马点评】 OpenAI密集并购释放的核心信号:AI Agent规模化部署的瓶颈不在能力,而在安全与可控性。当头部平台以并购而非自研填补安全缺口,意味着该环节技术壁垒真实存在——AI红队测试、Agent行为审计方向的早期公司估值窗口正在被头部收购定价锚定。
天龙三号民营商业火箭首飞失利,天兵科技启动归零排查
4月3日12时17分,中国商业航天首款大型液体运载火箭「天龙三号」在酒泉卫星发射中心升空后飞行异常,首飞任务宣告失利。天龙三号由北京天兵科技自主研制,全箭长约72米,箭体直径3.8米,起飞质量约600吨,起飞推力约855吨,采用液氧煤油推进剂与二级构型设计。此次首飞原定4月2日执行,因天气原因推迟一天。天兵科技已联合专家团队启动归零程序与整改工作,具体失利原因正在分析排查中。(据企业官方公告、综合公开信息整理)
【投黑马点评】 大型液体火箭首飞失败率在全球范围内约40%-50%,属于技术验证的正常代价。关键观察点在于天兵科技后续归零效率与资金续航能力——商业航天赛道正进入「烧钱换验证」的深水区,具备二次试射资金储备与供应链纵深的公司将加速淘汰纯融资驱动型对手。
特朗普对专利药品加征100%关税,已撬动4000亿美元在美建厂承诺
美国总统特朗普于4月2日签署行政令,依据《贸易扩展法》第232条对进口专利药品及原料药征收100%关税。大型药企须在120天内、中小药企须在180天内完成合规调整。同时设置多条豁免路径:与HHS签订最惠国定价协议并承诺在美建厂的企业可享0%税率至2029年;欧盟、日本、韩国、瑞士来源药品适用15%优惠税率;孤儿药与动物用药可申请豁免。白宫声明称,该关税政策已促成约4000亿美元的药企在美投资承诺。(据监管机构公告)
【投黑马点评】 100%药品关税的实质是以关税为杠杆倒逼全球药企制造回流美国,而非单纯加税。对一级市场的影响路径:CDMO/CRO赛道将出现结构性分化——在美有产能或能快速建线的企业获得订单红利,纯中国产能出口型公司面临客户转移风险,生物医药供应链的「去中心化」布局正在加速。
科技商业
比亚迪3月销量首破30万辆,海外月销近12万创新高
比亚迪公布2026年3月销售数据:当月总销量达300,222辆,首次突破30万辆大关。其中乘用车及皮卡海外销量达119,591辆,刷新单月海外销售纪录。新能源汽车累计销售已超1,580万辆。3月初比亚迪举办「闪充中国 改变世界」技术发布会,发布第二代刀片电池,常温下10%至70%充电仅需5分钟,能量密度提升5%,续航超1,000公里。发布后单周订单量飙升至47,200辆。(据企业官方公告)
【投黑马点评】 月销30万+海外12万的组合意味着比亚迪已进入「规模化出海」阶段,供应链本地化将成为下一阶段核心投入方向。一级市场应追踪:比亚迪海外建厂辐射圈内的零部件本地化供应商机会,尤其是电池材料、电驱系统在东南亚与中东的产能缺口。
小米新一代SU7上市34分钟锁单1.5万辆,2026产能锚定30万
小米汽车新一代SU7于3月19日正式上市,起售价21.99万元,全系标配激光雷达与800V高压平台,搭载澎湃智驾2.0系统。上市34分钟锁单突破1.5万辆,24小时锁单超3万台,3月23日启动交付后9天累计交付超7,000辆,日均交付近800台。小米汽车3月整体交付量超2万台,2026年交付目标为55万辆,产能规划提升至30万辆/年。(据企业官方公告)
【投黑马点评】 小米以「发布即交付」模式验证了智能电动车赛道的互联网打法——前端流量转化与后端产能爬坡同步推进。左侧投资者应关注小米供应链中的增量需求:激光雷达、800V SiC功率模块、智驾域控芯片等核心零部件的二级供应商,订单确定性正在快速上升。
蔚来3月交付35486辆同比增136%,三品牌战略全面起势
蔚来汽车公布3月交付数据:当月交付新车35,486辆,同比增长136.0%,环比增长70.6%。其中蔚来品牌交付22,490辆(同比+120.1%),乐道品牌交付6,877辆(同比+42.7%,环比+130.7%),萤火虫品牌交付6,119辆(环比+130.3%)。三品牌矩阵覆盖从10万至50万价格段,实现全面放量。(据企业官方公告)
【投黑马点评】 蔚来三品牌同步放量标志着其从「高端小众」向「全价格段覆盖」的战略转型初步兑现。一级市场的追踪焦点:乐道与萤火虫的快速爬坡将拉动蔚来换电网络的利用率和单站经济模型——换电基础设施及配套的电池资产管理赛道,正在从「烧钱基建」进入「规模回报」拐点。
特朗普维持50%金属关税并简化规则,「解放日」一周年贸易格局重塑
特朗普政府于4月2日宣布维持钢铁、铝和铜进口50%关税税率不变,同时简化衍生品征税规则:几乎全由上述金属构成的产品按全值征收50%,混合含量衍生品降至25%,新规则于4月6日生效。同日,美国最高法院今年2月裁定部分「解放日」关税援引紧急权力违宪的后续影响持续发酵,已有超900家美国企业向国际贸易法院提起诉讼,索要退款总额超1,300亿美元。过去一年,美国小型进口企业关税支出增加两倍,户均增税约1,500美元。(据监管机构公告、综合公开信息整理)
【投黑马点评】 金属关税稳定化+药品关税新增,叠加1,300亿退款诉讼的不确定性,美国供应链成本结构正在进入长期高位震荡期。对中国出海企业和一级市场投资者,关键判断在于:哪些赛道的「关税成本」能被终端需求吸收?新能源、军工、医疗器械——这三个方向的本土替代标的正获得结构性估值抬升。
今日左侧信号
信号:AI安全基础设施从「可选配件」升级为「准入门槛」
追踪方向:Anthropic源代码泄露暴露npm生态脆弱面,OpenAI以并购填补Agent安全缺口,加州以政府采购推动AI合规强制化——三条线索共同指向AI安全基础设施的需求拐点。左侧投资者应重点关注:1)AI红队测试与漏洞扫描工具(Promptfoo类标的国内尚属空白);2)软件供应链安全审计平台(npm/PyPI生态治理);3)AI内容水印与溯源技术。这些环节正从开发者「自选项」转变为企业客户的采购必选项,早期标的定价窗口尚未关闭。
── 投黑马研究团队
