最后的模型问题

研究 • 2026年6月26日 • 13分钟

在与 Anthropic 的冲突中，华盛顿实际上已经获得了对美国人民可使用哪些 AI 模型的否决权。Galaxy Research 认为这是一个错误的决定，它无法持续下去，政府应该改变方向。

6 月 12 日（周五）东部时间下午 5 点 21 分，Anthropic 收到了商务部的一项出口管制指令，要求其切断所有外国公民（包括其非美国籍员工）对 Fable 5 和 Mythos 5 的访问。政府声称有人找到了一种方法，可以绕过 Fable 5 的安全防护并访问底层 Mythos 模型的网络安全能力。这家 AI 公司无法在政府要求的时间线内按国籍划分用户，因此在数小时内为全球所有用户禁用了这两个模型。其他 Claude 模型仍保持在线。但两款有史以来最强大的大型语言模型，仅凭政府的一封私人信件（没有法院命令、公开备案或披露的调查结果）就消失了。就在本周三，Reddit 用户发帖称 Fable 5 已被添加到 AWS Bedrock 的目录中，或许乌云正在散去。但无论如何，这一事件给 AI、创新和美国市场带来了巨大风险。

跨越卢比孔河

美国政府实际上已经宣称，它可以通过行政行动随意将商业模型撤出市场。虽然机制是出口管制，但市场效果是一次召回。联邦政府在 AI 问题上已经跨越了卢比孔河——从制定规则转向对哪些模型可以何时面向公众行使自由裁量的否决权。一旦这种权力确立，它往往不会自行收缩：如果政府不改变方向，下一道指令可能比这一道更容易发布。

更糟糕的是，触发这一先例的理由非常薄弱。唯一阅读了相关研究的独立专家——Luta Security 的 Katie Moussouris，直白地描述了所谓的越狱过程：亚马逊的研究人员向模型输入了已知和人为植入漏洞的开源代码，并要求它们进行安全审查。模型拒绝了。随后研究人员要求它们修复代码，模型照做了。

网络安全专家 Katie Moussouris（图片来源：Kristina D.C. Hoeppner/Wikimedia Commons）

Moussouris 将此请求定性为防御性提示而非绕过，并称其为 AI 能为安全团队做的最有价值的事情。据唯一阅读过该文件的人描述，导致市场上最强大的网络防御模型下线的三个字是：“修复这段代码”。

商务部没有公布其给 Anthropic 的指令或背后的理由。商务部网站上、《联邦公报》中，或任何其他我们可找到的地方，都没有发布任何内容。该指令以商务部工业与安全局的一封私人信函形式出现，该部门及 Anthropic 均未公开此信函。商务部发布该指令所依据的权限也尚不完全清楚。战略与国际研究中心（CSIS）暗示该部门可能依赖于《2018 年出口管制改革法案》（ECRA），使用所谓的“知情”权力，即商务部私下告知一家公司现在需要许可证。此类要求通过《出口管理条例》（EAR）实施。但 EAR 中没有针对这一法定权力的监管框架，这也是它从未被用作发布管制依据的原因，商务部也尚未制定实施该权力的法规。

无法达到的标准

Anthropic 自身的辩护中包含了一句谴责该政策的话。该公司表示，对于任何供应商来说，完美的越狱抵抗力“目前不可能实现”，而且普遍的绕过方式最终很可能会被发现。安全研究人员多年来一直这么说：没有哪个已部署的模型能够被证明可以安全地对抗坚定的对手。封闭的 API 模型可以在提示层被越狱。开放权重模型可以被消融，这一过程可以剥离权重本身的拒绝行为。如果权重泄露（它们确实泄露过 也泄露过），那么封闭模型将与开放模型具有相同的漏洞。

政府隐含的标准无法应对这一现实。如果部署要求不存在任何诱发危险能力的方法，那么这个标准从设计上就是无法达到的。Anthropic 无法证明其自身工程师表示是错误的否定事实，其他任何人也不能。根据 Anthropic 自己的推理，在整个行业中应用这一测试将完全停止前沿 AI 模型的部署。没有任何供应商能够跨越的门槛不是安全阈值，而是一个穿着实验室外套的自由裁量否决权。

监控选项

假设 Anthropic 希望满足指令的字面要求，在服务美国人的同时将外国国民排除在外。只有对每个用户进行完全的身份验证才能实现这一点。Anthropic 可以实施完整的“了解你的客户”（KYC）流程，要求提供公民身份和居住文件，这与开设经纪账户时的繁琐程度相同。通过这种方式，Anthropic 可以按国籍限制访问（尽管其自身员工仍可能被锁定）。但如果没有这些措施，阻止“外国”人访问 Fable 5 是不可能的。已有报道表明 Anthropic 正在准备用户身份验证以合规，泄露的代码似乎证实了这一点。它正在构建监控选项，但这应该停止。

监控基础设施正在西方各地建设。（图片来源：Blue Ākāśha/Wikimedia Commons）

监控选项所需的基础设施已经在西方各地建设。英国的《在线安全法案》（自 2025 年 7 月起生效）要求实施政府通信办公室（Ofcom）所称的高效年龄保证。可接受的方法包括照片身份证、面部年龄估计和开放银行检查（银行通过账户数据确认用户年龄，但不共享底层财务细节）。大约 19 个美国州已通过了类似的身份验证门槛，其中几项正在面临第一修正案的诉讼。反对这一切的电子前沿基金会警告说，强制验证会建立最敏感数据的蜜罐，并终结在线匿名性。

为模型访问实施 KYC 将把所有这些危害带入到最能利用其所囤积数据的技术中。没有哪个前沿实验室应该要求这样做，政府也不应该成为这样做的理由。互联网应保持开放和自由，AI 带来的知识和力量应该让所有人都能获取。

开源问题

出口管制方法也是自相矛盾的，原因在于开放权重生态系统。前沿并不掌握在少数几家美国公司手中。由 Alex Stamos 组织、包括 Bruce Schneier、Casey Ellis 和 Paul Vixie 等一百多位安全领袖签署的公开信直截了当地指出：中国的开放权重模型落后于最好的美国系统几个月，而不是几年，而且这些只是公众已知的那些。

如果出口管制否决权阻止领先的美国实验室推出其最佳成果，发展不会停止，只会转移到否决权无法触及的地方：获批的政府项目、外国实验室和开放权重生态系统。目前落后几个月的开放模型，一旦它们追赶的目标停止前进，就会缩小差距。在持续冻结的一两年内，普通人或公司能够运行的最强大模型可能是一个来自美国境外的开放权重系统，运行在笔记本电脑上，其护栏比华盛顿刚刚实际上召回的模型还要薄弱。

届时政府将做什么？它无法召回一个已经镜像到数千个硬盘和数百个文件共享网络上的模型。它可以尝试禁止发布权重，但这将导致政策与宪法发生碰撞。

美国以前打过这场仗，并且输了。20 世纪 90 年代，美国政府将强加密列入美国军火清单，并根据 ITAR 将其作为武器进行管制，将密码软件与激光瞄准系统和粒子束武器并列。随后，政府花费三年时间调查Phil Zimmermann（因其 PGP 加密软件在全球传播），理由是向互联网发布代码使其成为武器出口商。联邦调查局于 1996 年撤销了此案，未提起指控。

PGP 加密软件的创建者 Phil Zimmermann（图片来源：Matt Crypto/Wikimedia Commons）

Zimmermann 的回应成为了那个时代的里程碑。他通过 MIT 出版社将PGP 的完整源代码作为精装书出版，其逻辑是：即使同一代码以电子形式被视为受控军火，印刷书籍也显然是受保护的言论。活动人士将同样的观点印在 T 恤上，印制了密码学家（后来的比特币爱好者）Adam Back 的紧凑 RSA 密码，并附上警告说这件衬衫本身就是军火。法院同意这一原则。在 Bernstein 和 Junger 诉讼中，联邦法官裁定源代码是受第一修正案保护的言论。并且在 1996 年，政府将加密从军火清单移至商务部，拆除了这些管制（为我们今天所拥有的互联网发展铺平了道路）。后来帮助在瓦森纳安排中赢得防御性安全豁免的 Moussouris，在她的回应中也引用了同样的历史：模型权重是数字；发布它们是表达。试图大规模压制开放模型将是一场代际性的第一修正案斗争，而政府将以弱势地位进入，因为它已经承认这种能力在其他地方广泛可用。

因此，出口管制方法双重失败。它无法阻止对手——他们有自己的系统，而且根据新闻网站 Semafor 的报道（白宫怀疑一个与中国有关的团体已获得访问权限），可能已经拥有了这个模型。而且，它会把公共前沿拱手让给华盛顿无法合法控制的开放和外国模型。

Anthropic 因坦诚而受罚

值得指出的是，Anthropic 说了实话。它承认不存在完美的安全防护，在发布前与美国和英国政府进行了数千小时的红队测试，并披露了自身防御的局限性。这种坦诚反而成了用来对付它的证据。一个测试更少、什么都不承认的实验室，反而会成为更小的目标。当对残余风险的诚实成为执法的触发因素时，系统会训练每个供应商少说一点——这是一种反常的激励。

防御者们从另一面看到了同样的颠倒。Moussouris 及其联署者认为，这次召回打击了那些在攻击者之前使用这些工具发现和修复漏洞的人，同时却让攻击者毫发无损。政府担心的能力与防御者依赖的能力是同一能力。你不可能去掉一个而不去掉另一个。

支持禁令的理由

明确地说，一些报道表明政府有理由担心。6 月下旬参议院听证会上（由参议员 Mark Warner 传达，并归因于NSA 局长 Joshua Rudd 将军）描述的证词称，在授权红队测试中，Mythos 在数小时内攻破了该机构几乎所有的机密系统（尽管发表该报道的《经济学人》记者后来略微收回了这一说法）。Mythos 是第一个通过英国 AI 安全研究所两个网络测试场的模型。这是一个严重的能力和重要的数据点。它要求的是一个严肃的程序，而不是一封周五晚上、没有附带任何调查结果的信函。

此外，Mythos 始终仅限于经过审查的合作伙伴使用。为整个地球禁用的模型是面向消费者的 Fable，其护栏会将敏感的网络和生物请求路由到较旧的 Opus 4.8。因一次防御性提示演示而在全球召回受到防护的产品，而真正危险的版本一开始就从未公开过，这是一个混淆了能力与部署的程序的反应。

Opus 4.8：最后一个模型？

沿着这个逻辑推到结论，前景并不乐观。如果 Fable 无法达到这个门槛，那么更强大的模型也将无法达到，因为按照政府使用的确切标准，每个未来的模型都会更强大，因此也更危险。没有任何 Fable 5.1 或 Fable 5.2 能够在一个无法满足的标准面前更不容易被越狱。Claude Opus 4.8，商务部的指令未触及的最强大模型，已成为美国公共前沿访问的最高水位线。部署新技术的合法路径关闭了，而非法和国外的路径却大开。

这同时是所有世界中最糟糕的情况：国内冻结、为实施冻结而建立的监控机器，以及将前沿拱手让给美国无法触及、不受美国安全标准约束的开放权重和外国模型。这一切都是可以避免的，解决方案正是 Anthropic 自己要求的流程：政府应该能够通过一个透明的、基于公开的技术调查结果、并且可以提出质疑的法定机制来阻止真正不安全的部署。门槛应与已公开的模型相比可证明的模型特定能力提升（即危险能力的增强）Hook，而不是政府所要求的零残余风险的幻想。在确实需要设置关卡的地方，应该针对能力而非身份，因为一个只能通过对每个用户进行指纹识别来执行其规则的制度，是在用最危险的工具来解决一个狭隘的问题。

还有一个市场理由要求撤销这项指令，而且这个理由远不止于 Anthropic。美股“七巨头”目前约占标普 500 指数的三分之一，该指数 2025 年全部总回报中约 42% 来自这七家公司。仅英伟达一家就在 2025 年 7 月突破 4 万亿美元，10 月突破 5 万亿美元，一度占整个指数的 7% 以上。四大超大规模云服务商预计 2026 年资本支出约 7250 亿美元，较上一年的 4100 亿美元增长 77%，高盛现在预测到 2030 年超大规模云服务商资本支出总额将达到 5.3 万亿美元。这种支出实际上已成为宏观经济因素：估计值差异很大，从高盛认为AI 资本支出接近 GDP 的 0.8%，到更激进的解读将其归因于 2026 年初美国产出增长的大部分。

所有这些投资和增长前景都基于一个假设：前沿模型不断改进并持续触达客户，产生最终证明建设合理性的收入。这个假设似乎已经有些牵强。OpenAI 已承诺在八年内支出约 1.4 万亿美元，而目前营收约为130 亿美元（Sam Altman 否认130 亿美元的数字，称 OpenAI 的营收“远不止于此”）。资本支出是在尚未在宏观数据中体现的 AI 收入之前就被拉动的。投资者是在为终值买单，为这些系统被大规模部署的未来买单。

由于股市高度集中于 AI 主题，前沿的任何放缓（更不用说逆转）都可能损害全球投资组合。

Fable 指令引入了一个重要变量：华盛顿是否会允许模型发货。如果部署否决权成为常态，并且上述逻辑表明它可能成为常态，那么支撑每年 7250 亿美元资本支出的增长将失去锚定，建立在其上的一切也可能随之动摇：一个内存超级周期（已售罄至 2026 年的高带宽内存，并在一个季度内将 DRAM 价格推高超过 50%，使 SK 海力士市值突破 1 万亿美元）；一个规模大到超大规模云服务商签订专用核能合同来支撑的电力建设；以及一个将英伟达、OpenAI、Oracle、CoreWeave 和微软相互捆绑的循环融资网络。你无法从一个为服务政府不允许你部署的模型而建造的 2000 亿美元数据中心中获利。而鉴于股市高度集中于 AI 主题，前沿的任何放缓（更不用说逆转）都可能损害全球投资组合。

该国 100 多位顶尖网络防御者已签署联名信，要求华盛顿改变方向。Anthropic 本月以约9650 亿美元估值秘密提交了上市申请，而现在它成了一家旗舰产品可以被一个机构在一晚上、以它无法质疑的调查结果就关停的公司。这种 AI 监管方法应该在它固化成为美国 AI 治理方式之前被废止。如果这种 AI 监管方法成为美国 AI 治理的持久框架，Anthropic、AI 发展整体以及美国的技术领导地位将受到重大影响。

• 原文链接： galaxy.com/insights/rese...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～