作者: 晓静
编辑:徐青阳
6月27日早间,Anthropic宣布:美国政府已批准其最强网络安全模型Mythos 5重新部署至超过100家美国机构,包括大型企业和政府部门。面向公众的版本Fable 5“恢复在即”。
据外媒获得的商务部长卢特尼克致Anthropic联合创始人Tom Brown的信件,卢特尼克通知Anthropic他已“确定适当的安全保障措施已经到位”。
但同一封信中,卢特尼克指出6月12日初始指令的所有其他要求仍然有效, 且对Fable 5何时向公众恢复只字未提。
几乎同时,6月27日凌晨,OpenAI正式发布了GPT-5.6系列三款模型:Sol、Terra、Luna。同样是在白宫的要求下,GPT-5.6只对“经政府逐案审批的合作伙伴”开放API访问,ChatGPT端尚未上线。
回看整个时间线:6月2日特朗普签署AI行政令,6月9日Anthropic发布Fable 5和Mythos 5,6月12日商务部下令全面下架,6月26日OpenAI发布GPT-5.6但被限制发行,6月27日Mythos 5获准有限恢复。
不到一个月,美国政府对前沿AI模型的控制经历了完整的“叫停—谈判—有条件放行”周期。
OpenAI战略团队负责人Dean W. Ball(前白宫AI顾问)在6月16日的博客中总结了这件事对行业的影响:“ 前沿AI模型开发者现在需要政府明确的‘绿灯’才能发布”。
Dean W. Ball在6月26日的长文《What Should Be Done》中评价:“没有人知道获得许可的要求到底是什么。这里我说‘没有人’,就是字面意义上的意思: 似乎连政府部门自己都不知道 。”
图: Dean W. Ball 的 长文 What Should Be Done
这是整件事最核心的问题。政府的行动建立在一个隐含前提之上:这些模型的能力已经强到构成不可接受的安全风险。但当事公司自己的官方评估,给出了完全相反的结论。
OpenAI在GPT-5.6发布博客中披露了完整的安全评估结果,按照OpenAI自己建立并公开发布的准备框架,Sol没有越过这条线。这个框架的红线定义是:模型能否在没有人类协助的情况下,自主发现并利用高价值目标的未知漏洞。
具体测试结果是:Sol在Chromium和Firefox上能识别漏洞和利用原语(exploitation primitives),但“没有在测试条件下自主生成完整可用的端到端攻击链”。OpenAI自己的判断是:Sol更擅长帮人找漏洞和打补丁,并不是端到端可靠地执行完整攻击。
但OpenAI紧接着也写了一句“ 很有情商 ”的话:“benchmark thresholds cannot capture every way a model may be used or combined with other tools.”虽然按我们的标准没过线,但谁知道真实世界里会怎么用呢?故意制造了一个模棱两可的灰色地带。
Anthropic就不是那么“有情商”了。在6月13日的声明中,Anthropic逐点反驳了政府的理由。政府声称发现了Fable 5的越狱方法,Anthropic回应说:第一,这只是一个“窄范围的非通用越狱”,本质上是让模型阅读一段代码然后指出缺陷;第二,“其他公开可用的模型,包括OpenAI的GPT-5.5,也能做到”;第三,Anthropic投入了数千小时的 红队测试 ,“没有任何测试者找到通用越狱”。
Anthropic CEO Dario Amodei在6月11日发表的长文《Policy on the AI Exponential》中已经预判了这种局面,声明中明确表态:“政府可以阻止不安全的部署,但流程必须透明、公平、清晰、基于技术事实。这次行动不符合这些原则)。”
两个最激烈的竞争对手,在同一个月里,用各自独立的评估体系得出了同一个结论:按照行业自建的安全框架,这些模型并不会构成不可部署的风险。
那么问题来了,如果模型没有越过行业红线,政府凭什么介入?Dean Ball进一步披露:政府此前聘请了唯一一位有前沿AI经验的官员来主持AI标准与创新中心(CAISI),此人曾在OpenAI和Anthropic任职,但上任几天就被高层解雇。剩余CAISI团队在整个“后Mythos危机期”处于停工令状态,甚至不被允许与其他政府机构沟通。 “我认识的特朗普政府官员中,没有人有前沿AI经验”。
Ball的意思是,做出管制决定的人,既没有定义清晰的安全标准,也没有评估这些模型的技术能力。
更进一步的自然追问是:Fable 5和GPT-5.6 Sol是否真的跨越了某种“人类威胁奇点”?是否存在一条客观的能力红线,越过了就必须管制?
多位AI领域专家表示,技术上并不存在这样一条线。模型能力是连续增长的曲线。每一代模型发布时都是“史上最强”,但只有这一次触发了政府的直接干预。
背后有三个隐含条件:
第一,能力变得“可演示”了。Anthropic自己把Mythos 5宣传为“世界最强网络安全模型”,Stripe一天迁移5000万行代码的案例被广泛传播。这些故事让不懂技术的政治家也能想象“如果坏人用会怎样”。
Meta原首席AI科学家、图灵奖得主 Yann LeCun 早在2025年11月就公开指出了这个逻辑:当Anthropic发布首份AI网络攻击威胁报告时,LeCun直接称其为“regulatory theater”(监管剧场),指控Anthropic利用AI安全恐惧“manipulate legislators”(操纵立法者)进行“regulatory capture”(监管俘获)。
LeCun当时的判断是: 闭源公司系统性地夸大AI安全威胁,目的是建立只有大公司才能通过的合规壁垒,排斥开源竞争者。Antropic没想到的是,石头先砸向了自己。
第二,有人递了一把刀。亚马逊CEO安迪·贾西向政府提交了Anthropic模型的安全隐患报告。亚马逊是Anthropic最大投资方,也是其云服务合作伙伴,同时还有自研模型(Nova系列)和Anthropic形成竞争。由此,政府获得了行动的合法性来源。
第三,特朗普本月初刚签了AI行政令,给政府60天制定前沿模型的“自愿提交规则”。行政令需要第一个执法案例来证明它不是废纸。Fable 5撞到了枪口上。
这就引出一个更深层的问题,如果“太强就要管”,而“多强算太强”由监管部门说了算,且标准不公开、没有明确阈值、没有申诉程序,那未来每一次前沿模型发布都将面对同样的不确定性。企业不知道自己的模型什么时候会触发管制。
图片由 AI 生成
美国政府试图用出口管制来遏制所谓的危险技术扩散,能让人联想到一个很相似的历史先例,90年代的“密码战争”(Crypto Wars)。
冷战结束后,互联网开始商业化,计算机科学家们在开发保护数据传输安全的加密技术。美国政府把 强加密算法 归类为“军需品”(munitions),放在和导弹、坦克同一个出口管制清单上(ITAR/EAR)。逻辑和今天十分相似,如果敌人获得了强加密, NSA (美国国家安全局)就无法监听他们的通讯,国家安全受威胁。
这意味着美国软件公司只能对海外客户出口40位密钥的弱加密版本,NSA能轻松破解的版本,而国内版本可以使用128位强加密。外国用户知道他们拿到的是“阉割版”,开始转向欧洲和以色列的替代产品。
1991年,一个叫Phil Zimmermann的密码学爱好者写了PGP(Pretty Good Privacy),一个让普通人也能用强加密保护邮件的软件。他把PGP上传到了互联网。美国海关随即对他展开刑事调查——罪名是“非法出口军需品”。
Zimmermann的反击极其巧妙:他把PGP的完整源代码印成了一本书出版。书籍受第一修正案保护,出版自由是宪法权利。你可以管制软件,但你没办法禁止一本书出口。调查持续了三年,最终在1996年关闭,政府没有提起诉讼。
几乎同一时间,NSA推出了一个更激进的方案:Clipper芯片。设计思路是所有通讯设备必须安装这个芯片,芯片负责加密通讯,芯片内置密钥托管机制,在执法授权下,政府能通过托管密钥解密通信。用户之间的通讯对第三方是加密的,但政府随时可以解密。克林顿政府强推这个方案。结果学术界发现了芯片的设计缺陷,科技行业集体抵制,公众强烈反对,1996年彻底死掉。
1995年,数学家Daniel Bernstein想在网上发布自己写的加密算法源代码,被政府以出口管制为由禁止。他起诉了司法部。第九巡回上诉法院做出了一个影响深远的判决:软件源代码是受第一修正案保护的“言论”(speech),政府对加密代码的出口管制违宪。这个判决直接动摇了整个管制体系的法律基础。
2000年1月,克林顿政府大幅放松加密出口管制。原因是管不住了。PGP早就传遍全世界,开源加密算法全球普及,管制只是在阻碍美国公司的竞争力,外国客户早已转向其他供应商。
放松管制之后,才有了今天Signal和WhatsApp的端到端加密。如果90年代的管制延续至今,这些产品不可能存在。
90年代,被管控的是强加密算法,理由是国家安全,工具是ITAR军需品出口管制,受伤的是美国软件公司(被迫出口弱版本),不受影响的是外国开发者(自己写加密算法)。
2026年,被管控的是前沿AI模型能力,理由还是国家安全,工具是出口管制指令。
这次真正受伤的会是谁?
外媒评论指出:“ 没有人花1000亿美元建数据中心,只为了服务于政府批准的100家公司”。
前沿模型的训练成本以十亿美元计,而回收成本的窗口只有发布后几个月,之后模型变成次前沿,竞争加剧,利润率压缩。每一周的审批延迟,都在吞噬这个有限的盈利窗口。Brandom的结论是: “如果持续下去,整个产业的基础投资逻辑都会动摇”。
乔治·华盛顿大学政治学助理教授Jeffrey Ding的核心论点是:在大国技术竞争中,决定胜负的不是谁先发明了一项技术,而是谁能更快地将技术扩散到整个经济体中。通用技术尤其如此——它需要广泛的社会扩散,需要新组织围绕它被创建出来,需要大规模的真实世界使用数据来发现它的应用边界。Dean Ball在引用Ding时写道:“通用技术的用途是被发现的,不是事先知道的”。
但大洋彼岸的另外一边,中国大模型正在以开源开放的姿态走向全球开发者。
加密算法是纯数学,一旦发表就无法收回。AI模型权重有类似属性,但闭源前沿模型的推理能力确实集中在少数公司的API后面。
但开源模型的能力在逐代追赶,管控能延缓扩散,无法阻止扩散。90年代花了将近10年才走到“认输放松管制”这一步。AI管控难道也需要类似的时间周期?
2026年6月,在AI产业的历史上,可能标志着一个转折点:政府第一次成功地在商业AI模型和它的用户之间,插入了自己作为审批者的角色。
Dean Ball在《What Should Be Done》中,Ball警告说,如果市场对此产生恐慌,效果将远超AI行业本身:“从核能到天然气到电力电子,美国再工业化的大量投资都明确或隐含地以AI产业的未来需求为前提。 如果这个需求因为政府管制而无法实现,连锁反应会远超人们想象。”
但Ball也承认,方向不是全错的:“前沿AI确实存在灾难性风险的可能性,这个关切不是伪造的。问题在于执行方式, 一个没有技术专家、没有清晰标准、没有时间表的审批流程,不是答案。”
OpenAI说GPT-5.6的限制是“短期措施”,可能在几周后向公众开放。但6月27日Mythos 5的“有限恢复”已经给出了模板,不是全面放开,还是仅限部分美国机构、其他限制继续有效。每一个长期制度,最初都被称为“短期措施”。
Dean Ball最后写了一句话,值得所有人认真对待:“如果只有极少数人能使用前沿AI,坏的未来反而更可能发生。因为那些少数人,往往是已经拥有巨大经济和政治权力的群体”。
估计全球的开发者社区,都在怀念那个不顾时差蹲OpenAI发布会,惊喜于新模型的进步、并熬夜测试各种新场景的时代。
不过,现在我们还是可以充满期待地“蹲”中国最新大模型的发布。
