Запрет на чипы «ярые фанаты» сталкиваются с блокировкой моделей

Автор: Су Ян, Tencent Technology

От EUV-литографов до передовых DUV-литографов и чипов H100 — в вопросе semiconductor embargo в Кремниевой долине разделились на две лагеря.

Хуанг Жэньчжун, Су Цзифэн и другие постоянно выступают за смягчение регулирования, считая чрезмерное регулирование равносильным сдаче рынка, а CEO Anthropic Амоди — ярым сторонником контроля, однажды сравнив передовые чипы с ядерным оружием.

Хуанг Жэньчжун неоднократно косил в сторону Амоди, считая, что у него есть «божественное комплекс». «Сравнивать AI с ядерным оружием и обогащением урана — это безумие. Мы не обогащаем уран, мы делаем всего лишь маленький чип», — сказал он в подкасте «Dwarkesh Patel».

«Ярым сторонником» Амоди, возможно, и не ожидал, что однажды его жесткий контроль коснется именно Anthropic — два передовых модели Mythos и Fable 5 были запрещены правительством США для предоставления услуг любым «иностранным гражданам» по всему миру.

Лицо Ликун в Facebook о запрете Fable 5

«Безумная страховая маркетинговая кампания Амоди по Mythos/Fable (и всему AI сектору) наконец-то дала результат: правительство США запретило использование их иностранцами, даже тем, кто работает в США. Что посеешь, то и пожнешь», — написал лауреат премии Тьюринга Ликун в Facebook.

«Что посеешь, то и пожнешь» — в китайском контексте это можно понять как «на что посеешь, на то и пожнешь». В комментариях Ликун также язвительно предположил, что Амоди может использовать запрет для хвастовства о мощи своих моделей.

Судя по некоторым политическим заявлениям в США, запрет на Mythos и Fable не продлится долго. Советник по AI в Белом доме, Дэвид Сакс, заявил, что это лишь временные ограничения, и надеется, что Anthropic как можно скорее устранит уязвимости.

Поэтому в данный момент мы хотим прояснить, что же такое «запрет моделей», его причины, основные споры, возможные долгосрочные экспортные ограничения и потенциальное влияние на Anthropic и всю индустрию искусственного интеллекта.

«Кризис за 72 часа»

Многие американские фильмы любят называть события по часам, чтобы подчеркнуть резкие изменения за короткий промежуток времени. Новая модель Anthropic, Fable 5, была запущена и снята с поддержки всего за 72 часа — именно в рамках этого нарратива.

9 июня Anthropic запустила свою самую мощную модель — Claude Fable 5 и Claude Mythos 5 — первый в истории Anthropic «Мифос-класс» модель. Fable 5 — версия для публики с системой безопасности: в чувствительных областях, таких как кибербезопасность, биология, химия, запросы автоматически перенаправляются на более слабую модель Opus 4.8. Mythos 5 — та же базовая модель, но без ограничений по безопасности, доступная через Project Glasswing для около 150 проверенных организаций.

К этому моменту прошло уже два месяца с момента предварительного просмотра Mythos.

В официальном блоге Anthropic говорится, что «серия Fable 5 обладает самой строгой системой безопасности среди всех протестированных моделей».

Pliny the Liberator раскрывает риск «взлома» Fable 5

Всего через день известный «взломщик» AI Pliny the Liberator опубликовал в X (Twitter) сообщение заглавными буквами: «JAILBREAK ALERT, ANTHROPIC PWNED, FABLE-5 LIBERATED». Он заявил, что обошел систему безопасности Fable 5 с помощью замены Unicode, гомографических символов, расширения контекста и методов разложения и рекомбинации.

В то время Амоди, возможно, еще наслаждался «секундным» успехом модели Fable 5 и не заметил угрозы, которую предвещал Pliny. Он опубликовал длинную статью на личном блоге под названием «Политика в эпоху экспоненциального роста ИИ», в которой настаивал, что правительство должно иметь право блокировать небезопасные AI-модели.

Как и Pliny, исследователи из Amazon обнаружили риск «взлома», но поступили иначе.

Генеральный директор Amazon, Энди Джасси, напрямую передал доклад о «взломе» в Белый дом и Министерство торговли США, минуя Anthropic.

Несколько иностранных СМИ сообщили, что после получения «жалобы» от Amazon 12 июня Anthropic получил ультиматум — в течение 90 минут закрыть доступ к двум моделям. Амоди пытался связаться по телефону, чтобы исправить ситуацию, но в итоге получил приказ о «экстренном экспортном контроле».

Вечером 12 июня Anthropic выполнила указание. Интересно, что Амоди и его команда усилили меры — отключили интернет у Fable 5 и Mythos 5 по всему миру, вне зависимости от гражданства.

С момента публикации 9 июня и до экстренного отключения 12 июня — это были «72 часа кризиса» Anthropic.

Когда я делился этой новостью в соцсетях, я процитировал классическую фразу из гонконгского кино: «Трудно — тогда не делайте ничего».

Здесь есть пространство для обсуждения — почему Anthropic, несмотря на требование отключить «неамериканских пользователей», выбрала радикальный подход «все отключить сразу»? Следует помнить, что Anthropic никогда не была «послушным хорошим мальчиком». В первом квартале Амоди представил «Конституционную AI» — набор правил, чтобы защитить «AI от использования в военных и слежке», даже ценой отказа от контрактов с правительством США.

Что касается «одинакового подхода», некоторые аналитики считают, что Anthropic не успел подготовиться к быстрому реагированию и не смог своевременно фильтровать пользователей, особенно тех, кто подключается через API или посреднические API, что усложняет задачу.

Это предположение имеет смысл, но если посмотреть на их официальный сайт, там видно, что Anthropic уже работает в этом направлении: в свежей политике конфиденциальности указано, что пользователи должны предоставлять возраст и удостоверение личности, что многие интерпретируют как возможность внедрения распознавания лиц в модели Claude. В этом смысле идентификация «гражданства» — не проблема.

Непреодолимая вера

«Многие анализируют правовую основу, используя механизм ‘Is informed letter’ (уведомительное письмо)», — говорит исследователь, следящий за экспортным контролем.

В системе экспортного контроля США уведомительное письмо — это неофициальный, быстрый административный инструмент, используемый Бюро промышленности и безопасности (BIS). Оно позволяет регуляторам без изменения законодательства направлять компаниям требования о получении лицензий на экспорт определенных товаров или технологий.

В конце 2023 года Nvidia выпустила специальную версию H20 для Китая, чтобы обойти ограничения по мощности и пропускной способности GPU, установленные в правилах экспортного контроля. После этого BIS направила Nvidia, AMD и другим компаниям уведомительные письма, требуя получать дополнительные разрешения на экспорт определенных чипов, а также обновлять правила экспортного контроля.

Что касается Anthropic, то до получения уведомительного письма о запрете «неамериканского» доступа правительство США ясно дало указание «снять доступ за 90 минут». Как сообщили Politico и другие СМИ, стороны вели многократные переговоры с участием министра финансов, министра торговли и советника по AI в Белом доме, но Anthropic отказалась выполнять эти требования.

Изначально отказались отключить модели, а в итоге — «все отключили сразу». Такой контраст трудно объяснить просто техническими трудностями.

Уведомительное письмо — это обычно предварительный шаг перед официальным обновлением правил экспортного контроля, но исследователи считают, что в этот раз правила не будут менять. «Проще говоря, — говорит один из них, — их просто остановили».

Он считает, что в случае с крупными моделями нужно четко определить, что именно подлежит контролю, — «веса моделей, API, сервисы вывода или какую-то абстрактную ‘способность модели’».

Ранее экспортный контроль касался физических товаров, даже технологий, — в конечном итоге это было материальное имущество. Но когда модель создается в цифровом пространстве, она легко распространяется, и полностью запретить ее — практически невозможно.

Поэтому предположение о «блокировке Anthropic» выглядит логичным. После этого можно обсуждать более подходящие меры регулирования и согласования, исходя из этого сценария. Можно предположить, что Mythos и Fable скоро вернутся, и именно поэтому «AI-царь» Сакс подчеркивает, что «запрет» — лишь временное ограничение.

Почему же правительство США использует административные меры для вмешательства в запуск передовых моделей AI?

Это связано с возможностью «пробоя уязвимостей» в моделях.

В марте, в разговоре с председателем 360 Group Чжоу Хонью, он отметил, что «Anthropic использует модели для поиска уязвимостей». «Anthropic с помощью AI программирует и ищет уязвимости, решая многие проблемы, которые раньше казались невозможными. Поэтому я предложил сосредоточиться на AI (безопасности) и интеллектуальных агентах».

Этот эксперт также подчеркнул, что Mythos — это не просто чат-бот, а инструмент для обнаружения уязвимостей, анализа путей атак и проведения атакующих сетевых операций.

Отсутствие общего понимания безопасности

Anthropic не только усилила меры по исполнению запрета, но и выпустила публичное заявление.

«Чтобы обеспечить соответствие, мы должны немедленно прекратить все пользовательские сценарии», — говорится в заявлении. Также там объясняется, что это — недоразумение: по их мнению, правительство и третьи стороны сообщили о «взломах», которые касаются лишь нескольких известных уязвимостей, и эти уязвимости, по их мнению, достаточно просты.

Если оглянуться назад, то заявления Амоди о необходимости правительственного контроля за небезопасными моделями и описание Fable 5 как самой безопасной модели показывают его уверенность в безопасности своих продуктов.

Однако в заявлении есть и оговорка: «На данный момент ни один поставщик моделей не может обеспечить полную защиту от взломов». Эта фраза противоречит идее абсолютной безопасности и даже содержит некоторую логическую неубедительность.

Иными словами: «Наши модели — самые безопасные, а те, что небезопасны, должны быть остановлены». Наши уязвимости — это в основном известные и легкие для устранения. Мы делаем все возможное, чтобы ограничить взломы, но никто не может полностью их предотвратить».

Но если модель позиционируется как «самая безопасная», почему она запускается с уже известными уязвимостями? Разве это не рискованно? Если невозможно полностью предотвратить взломы, зачем тогда требовать запрета других моделей?

Пользователи, знакомые с Anthropic, знают, что компания не только обладает выдающимися моделями и продуктами, но и демонстрирует очень агрессивный подход к безопасности и управлению AI, зачастую позиционируя себя как «правила игры в эпоху AI», постоянно навешивая на себя ореол «безопасности».

В сентябре 2023 года Anthropic выпустила RSP 1.0 (Ответственная расширенная политика), призывающую к усилению мер безопасности по мере роста возможностей моделей. Там вводится градация уровней безопасности (ASL):

• ASL-1 — минимальный риск катастрофы,
• ASL-2 — ранние признаки опасности,
• ASL-3 — значительный рост риска катастрофического злоупотребления.

«Если масштаб AI превысит наши возможности обеспечить безопасность, — пишет Anthropic, — мы будем вынуждены приостановить обучение более мощных моделей».

За неделю до запуска Fable 5, 4 июня, Anthropic опубликовала статью «Когда AI самовоспроизводится», в которой призывала «предварительно приостановить» развитие AI для предотвращения рекурсивных улучшений.

И тут же — запуск серии моделей Fable 5.

Если посмотреть на хронологию, это выглядит забавно: как будто отличник говорит, что «я никогда не готовлюсь к экзаменам», а на самом деле — усиленно занимается дополнительно.

Если есть опасения, почему после призыва к приостановке все равно выпускают «самую мощную модель»? Во-первых, предварительный обзор Mythos был сделан за два месяца до этого, и его возможности уже были очень впечатляющими. Почему тогда не призвали к приостановке?

Хотя кажется, что Anthropic в вопросах безопасности действует довольно радикально, эти призывы и действия скорее напоминают попытки сдержать конкурентов: одновременно требуют регулировать небезопасные модели, призывают к приостановке передовых разработок, а сами продолжают итерации и прогрессируют.

Если в 2023 году RSP 1.0 выглядел как идеализм, то к 2025 году в RSP 2.2 они уже стали реалистами.

В changelog RSP 2.2 упоминается изменение: «Исключить из стандарта ASL-3 высоко подготовленных инсайдеров и инсайдеров с компрометированными системами», а также «удалить обещания защиты от distillation attacks (атак с дистилляцией)».

Это означает, что в будущем внутренние атаки и атаки со стороны государств не будут считаться критерием безопасности. Иными словами, Anthropic тихо снизила стандарты безопасности, перестав обещать защиту от самых сложных угроз.

9 февраля 2026 года главный специалист по безопасности Anthropic, Мринанка Шарма, ушел в отставку. В открытом письме он писал: «Мир в опасности. За время моей работы я неоднократно сталкивался с тем, как трудно руководствоваться ценностями… Мы постоянно ощущали давление отказаться от самых важных принципов».

Через несколько дней, 24 февраля, Anthropic выпустила RSP 3.0, полностью пересмотрев свою стратегию безопасности и убрав все упоминания о «приостановке».

По сути, как уже говорилось, Anthropic никогда не инициировала остановку обучения. Это похоже на открытое письмо 2023 года, в котором Муск и другие призывали «остановить обучение моделей выше GPT-4 на 6 месяцев». Тогда Муск подписал открытое письмо, а позже создал xAI и в ноябре выпустил Grok-1.

Таким образом, крупные лаборатории по развитию моделей не имеют «общего понимания безопасности». Все «приостановки» — скорее бизнес-стратегия.

Под давлением капитала

Запуск Fable 5 с ценами 10 долларов за миллион токенов на входе и 50 долларов — в два раза дороже Opus 4.8, хотя с учетом кеширования скидка достигает 90%.

Общаясь с исследователем AI, я услышал: «Это удобно, но дорого». В сети появились мемы, короткие видео и гифки о том, что крупные модели становятся все дороже, что отражает тренд: чем мощнее модель, тем больше за нее платят, даже если дорого.

Именно поэтому отечественные модели сейчас пытаются «ускориться», чтобы обеспечить более быстрый вывод и TPS (Token/с), а также немного повысить цены.

Вернемся к Anthropic. В мае 2021 года Амоди вместе с сестрой и 14 исследователей ушли из OpenAI, создали Anthropic и привлекли $124 млн на раунде A, оценка — $550 млн. Через пять лет, в 2025 году, их раунд H вырос до $6,5 млрд, а оценка — $96,5 млрд — рост более чем в 1700 раз.

Более быстро растет не только оценка, но и доходы.

В начале 2024 года годовой доход Anthropic был менее $1 млрд, к концу 2025 — около $9 млрд (по ARR). В первом квартале 2026 года доход составил $4,8 млрд, а по данным «Wall Street Journal», во втором квартале ожидается $10,9 млрд.

По открытым данным, 1 июня Anthropic тайно подала заявку на IPO в SEC. Цель — опередить OpenAI и выйти на биржу в четвертом квартале 2026 года, собирая $60 млрд. При этом при доходе в $10 млрд за квартал их оценка по ARR превысит $400 млрд, а при оценке в $96,5 млрд — инвесторы платят около 24-кратной оценке по ARR. Такой уровень оценки требует от Anthropic постоянного экспоненциального роста доходов.

В этом контексте каждое обещание безопасности, например «при превышении возможностей — приостановка обучения», становится тормозом для роста доходов. При оценке в 24 раза по ARR любой «приостановка» может привести к катастрофическим последствиям для стоимости компании.

Поэтому удаление слова «приостановка» из RSP 3.0 — не случайность, а скорее вынужденный шаг под давлением капитала. Важные этапы IPO требуют устранения любых рисков, которые могут «затормозить» развитие, и это видно из документов.

Если бы не исключили жесткое требование «при превышении возможностей — приостановка», в проспекте было бы указано, что «компания обязуется при превышении определенных уровней безопасности приостановить коммерческое использование». Это означало бы, что доходы могут внезапно обнулиться.

При оценке в $96,5 млрд и давлении IPO Anthropic сталкивается с дилеммой: интересы акционеров могут превзойти общественные интересы.

Когда OpenAI меняла структуру, одним из самых обсуждаемых вопросов был PBC — Public Benefit Corporation, структура управления, аналогичная Anthropic. В рамках этой модели долгосрочный траст LTBT имеет право назначать 2-3 директора, но до конца 2024 года он назначил только одного, а в 2025 — еще одного. Только перед выходом на IPO, когда давление стало сильнее, в совет директоров вошел бывший CEO Novartis Vas Narasimhan, и доля LTBT выросла до 4 из 7.

Неожиданно, один из назначенных LTBT директоров, Jay Kreps (соучредитель и CEO Confluent, назначен в мае 2024), объявил о своем уходе.

«Доверительный управляющий» и «управляющая команда + инвесторы» — их голосовые доли снова равны 3-3. Пока не назначен следующий директор, возможен «управленческий вакуум».

Будет ли «седьмой человек» назначен до IPO?