Galaxy：Anthropic终极模型难题

Автор Alex Thorn, управляющий директор и глава отдела исследований Galaxy Digital; Источник: Galaxy Digital; Перевод: Shaw, Golden Finance

В пятницу, 12 июня, в 17:21 по восточному времени США, компания Anthropic получила директиву экспортного контроля от Министерства торговли США, требующую заблокировать доступ к моделям Fable 5 и Mythos 5 для всех иностранных граждан по всему миру, включая неамериканских сотрудников самой компании. Американская сторона заявила, что кто-то нашёл способ обойти механизмы безопасности Fable 5 и получить доступ к функциям кибербезопасности базовой модели Mythos.

Эта компания в сфере ИИ не смогла в установленные правительством сроки разделить права пользователей по национальному признаку, поэтому в течение нескольких часов она отключила обе модели по всему миру. Все остальные модели серии Claude продолжили работу в обычном режиме.

Две ведущие в отрасли большие языковые модели были отключены лишь на основании частного уведомления правительства, без судебного решения, без открытых материалов дела и без полного раскрытия выводов расследования. В среду пользователь Reddit сообщил, что в каталоге продуктов платформы Amazon Bedrock уже появилась Fable 5, возможно, ограничения на облачных каналах снимаются. Но в любом случае, этот инцидент создаёт огромные риски для индустрии ИИ, технологических инноваций и американского рынка капитала.

Перейти Рубикон (создать необратимый прецедент)

Правительство США фактически заявило, что может произвольно изымать коммерческие большие модели с рынка одним административным распоряжением. Хотя данный метод контроля относится к экспортному контролю, его эффект на рынок эквивалентен отзыву продукта.

Федеральное правительство уже перешло красную черту в регулировании ИИ: ранее оно отвечало лишь за установление общих отраслевых правил, теперь же оно получило право произвольного вето, решая, какие модели могут быть выпущены для публики и когда. Как только эта власть будет установлена, она не сократится сама по себе; если правительство не скорректирует политику, последующие аналогичные директивы будут выдаваться ещё легче.

А основание для данного контроля само по себе шаткое, что лишь усугубляет плохой прецедент. Единственный внешний эксперт, видевший соответствующий исследовательский отчёт, Кэти Муссурис из Luta Security, прямо описала полный ход так называемой «уязвимости джейлбрейка модели»: исследователи Amazon ввели модели открытый исходный код с известными уязвимостями и попросили её проверить их; обе модели отказались; затем исследователи попросили модель исправить проблемный код, и модель выполнила это.

Эксперт по кибербезопасности Кэти Муссурис

Муссурис охарактеризовала тестовый сценарий по данной директиве как защитное промпт-индуцирование, а не настоящий джейлбрейк для обхода защиты. Она заявила, что эта способность как раз и является ключевой ценностью, которую ИИ может предоставить командам кибербезопасности. По описанию единственного эксперта, видевшего полный отчёт, всего лишь пять слов «исправьте этот код» привели к отключению лучшей на рынке модели ИИ для кибербезопасности.

Министерство торговли США не опубликовало директиву, направленную Anthropic, и не раскрыло полные основания для её выдачи. Ни на сайте министерства, ни в «Федеральном реестре», ни в других открытых источниках нет соответствующих публичных документов. Это уведомление о контроле было передано в виде частного письма от Бюро промышленности и безопасности Министерства торговли, и ни министерство, ни Anthropic не разгласили его содержание. Правовые полномочия, на основании которых министерство выдало эту директиву, также неясны.

Центр стратегических и международных исследований (CSIS) предполагает, что министерство, возможно, использовало так называемое полномочие «уведомления о знании» (informed knowledge) в рамках Закона о реформе экспортного контроля 2018 года (ECRA) — частное уведомление компании о том, что с этого момента продукт должен получить экспортную лицензию, а соответствующие правила контроля реализуются через Положение об экспортном администрировании (EAR). Однако в EAR нет вспомогательных положений, поддерживающих это правовое полномочие, поэтому ранее на его основе не выдавались меры контроля, и министерство не выпустило соответствующие нормативные акты.

Стандарт регулирования, который невозможно выполнить никогда

В заявлении Anthropic, опубликованном в свою защиту, есть фраза, которая прямо указывает на необоснованность этой политики. Компания заявила, что в настоящее время ни один производитель не может полностью предотвратить джейлбрейк модели, и рано или поздно кто-то найдёт универсальный способ обхода. Исследователи безопасности много лет придерживаются той же точки зрения: ни одна выпущенная коммерческая модель не может быть доказана как защищённая от целенаправленных атак против неё. Модели с закрытым API могут быть взломаны через уровень промптов; модели с открытым весом могут быть полностью модифицированы, что напрямую удаляет логику отказа, встроенную в веса модели. Если веса модели утекают (в истории уже были многочисленные случаи утечки), закрытые модели показывают те же уязвимости, что и открытые.

Стандарт регулирования, подразумеваемый правительством, полностью противоречит этой объективной реальности. Если жёстким требованием к выпуску модели является отсутствие какого-либо способа вызвать опасную функцию, то этот стандарт в принципе невыполним. Даже инженеры Anthropic подтвердили, что это условие невозможно выполнить, и компания, естественно, не может дать гарантию отсутствия уязвимостей. Другие производители также не могут этого сделать. Согласно логике Anthropic, если вся отрасль будет придерживаться этого стандарта проверки, коммерциализация передовых больших моделей ИИ полностью остановится. Порог, которого не может достичь ни один производитель, не является стандартом безопасности; это лишь произвольное вето, замаскированное под профессиональные технологии.

Альтернативный путь — всеобщий мониторинг личности

Предположим, Anthropic хочет строго соблюдать букву письма: предоставлять услуги только гражданам США и полностью блокировать доступ иностранцам. Единственный возможный способ — провести полную верификацию личности для всех пользователей. Anthropic потребуется внедрить полный процесс идентификации клиентов (KYC), заставляя пользователей загружать документы о гражданстве и месте жительства. Это будет так же сложно, как открытие счёта для торговли ценными бумагами. Только с помощью этого механизма платформа сможет разделить права доступа по гражданству (и даже тогда иностранные сотрудники внутри компании всё равно будут ограничены). Без верификации личности невозможно изолировать доступ иностранных пользователей к модели Fable 5.

Уже есть сообщения, что Anthropic готовит систему верификации личности для выполнения требований контроля, и утёкшие файлы кода подтверждают это. Компания создаёт эту систему доступа с элементами слежки, но должна немедленно прекратить её разработку.

Западные страны строят инфраструктуру слежки.

Западные страны уже давно создают эту систему верификации личности и слежки. Закон Великобритании о безопасности в интернете (Online Safety Act) вступил в силу с июля 2025 года, требуя от Управления по коммуникациям Великобритании (Ofcom) внедрить так называемый «механизм проверки возраста с высокой надёжностью». Официально признанные методы проверки включают распознавание удостоверений, оценку возраста по лицу, открытую банковскую проверку (банки подтверждают возраст пользователя на основе информации о счёте без раскрытия финансовых данных). Около 19 штатов США приняли аналогичные законы о контроле доступа по личности, многие из которых оспариваются в судах на основании Первой поправки к Конституции США. Фонд электронных рубежей (EFF) всегда выступал против такого контроля, предупреждая, что обязательная верификация личности создаёт «лакомый кусок» из высокочувствительных данных и окончательно уничтожает анонимность в сети.

Если механизм KYC будет использоваться для контроля доступа к большим моделям, все эти вредные последствия перейдут на ИИ — особенно с учётом того, что ИИ как раз способен глубоко анализировать и использовать накопленные данные. Ни одна передовая лаборатория ИИ не должна принудительно вводить идентификацию личности, и правительство не должно заставлять компании это делать. Интернет должен оставаться открытым и свободным, а знания и вычислительная мощность, которые несёт ИИ, должны быть открыты для всех.

Регуляторный тупик из-за открытых моделей

Эта логика экспортного контроля по сути контрпродуктивна из-за экосистемы открытых весов. Передовые технологии ИИ не являются монополией нескольких американских компаний. Открытое письмо, подписанное сотнями ведущих специалистов по кибербезопасности под руководством Алекса Стамоса (среди подписавших — Брюс Шнайер, Кейси Эллис, Пол Виксие и другие), прямо утверждает: Китайские открытые большие модели отстают от лучших американских систем лишь на несколько месяцев, а не на годы, и это только то, что уже опубликовано.

Если правительство США с помощью права вето на экспортный контроль ограничит выпуск лучших моделей ведущими американскими лабораториями, разработки ИИ не остановятся, а просто переместятся в области, недосягаемые для контроля: секретные правительственные проекты, зарубежные лаборатории, экосистема открытых весов. Открытые модели, которые отстают всего на несколько месяцев, быстро сократят разрыв, если эталон перестанет развиваться. Если выпуск лучших моделей будет долгое время ограничен, то через год-два лучшая модель, которую обычные люди и компании смогут развернуть локально, скорее всего, будет проектом с открытыми весами из-за пределов США; и её встроенные защитные ограждения будут слабее, чем у продукта, принудительно изъятого американским правительством.

Что тогда будет делать правительство США? Модель, уже широко распространённая на тысячах жёстких дисков и в сотнях файлообменных сетей, невозможно «отозвать». Правительство, возможно, попытается запретить публикацию открытых весовых файлов, но эта политика напрямую столкнётся с Конституцией США.

США уже проходили через аналогичную регуляторную борьбу и в итоге проиграли. В 1990-х годах правительство США включило технологии сильного шифрования в «Список вооружений США», рассматривая программы шифрования как оружие в соответствии с Законом о международной торговле оружием (ITAR). Программы шифрования были отнесены к той же категории, что и лазерные системы наведения и пучковые частицы. В течение следующих трёх лет федеральное правительство проводило расследование в отношении Фила Циммермана за то, что его программа PGP (Pretty Good Privacy) распространилась по всему миру, и правительство сочло, что загрузка кода в интернет равносильна экспорту оружия. В 1996 году федеральные власти прекратили все расследования, не предъявив никаких обвинений.

Основатель технологии PGP Фил Циммерман

Ответ Циммермана стал знаковым событием той эпохи. Он опубликовал полный исходный код PGP в виде книги в твёрдой обложке через издательство Массачусетского технологического института. Его основная аргументация: код, напечатанный в книге, явно является защищённой речью, даже если тот же код в электронном виде считается контролируемым военным оборудованием. Активисты в области технологий использовали тот же подход, напечатав на футболках сжатый алгоритм RSA, написанный криптографом (и будущим участником биткоина) Адамом Бэком, а также сопроводив его предупреждением — эта футболка сама по себе считалась военным оборудованием.

Суд признал эту правовую логику. В делах Бернштейна и Юнга федеральные судьи постановили, что исходный код является речью, защищённой Первой поправкой к Конституции США. В 1996 году правительство США передало технологии шифрования из списка вооружений в ведение Министерства торговли, значительно ослабив контроль, что проложило путь для сегодняшнего процветания интернет-индустрии.

Муссурис позже добилась внесения исключения для технологий защиты в Вассенаарские соглашения. На этот раз она также ссылается на эту историю: веса модели — это просто числа, а публикация весов является выражением речи. Если правительство массово заблокирует открытые модели, это вызовет многопоколенческую судебную войну по Первой поправке; и правительство находится в заведомо невыгодном положении — США уже признали, что аналогичные технологии широко распространены за рубежом.

Таким образом, схема экспортного контроля двойным образом неэффективна. Во-первых, она не может сдержать зарубежных оппонентов: зарубежные учреждения имеют свои собственные большие модели, и, по сообщениям технологического издания Semafor, Белый дом подозревает, что некая связанная с Китаем группа уже давно получила возможности Mythos; во-вторых, американский передовой сектор ИИ будет отдан открытым моделям и зарубежным конкурентам, у США нет законных средств для их контроля.

Anthropic, наказанная за честность

Примечательно, что Anthropic на всём протяжении честно раскрывала информацию. Компания признала, что не существует идеальной защиты; перед запуском продукта она провела тысячи часов красно-синих тестов с правительствами США и Великобритании; добровольно раскрыла ограничения своей системы безопасности. Но эта честность стала основанием для наказания со стороны правительства. Если бы компания сократила тестирование и умалчивала о рисках, она бы не стала объектом регулирования. Когда честное раскрытие потенциальных рисков приводит к регуляторным санкциям, вся отрасль получает извращённые стимулы: все производители будут раскрывать меньше информации о рисках или не раскрывать её вовсе.

Специалисты по кибербезопасности также указывают на перевёрнутую логику этой системы. Муссурис и подписавшие письмо эксперты заявляют, что принудительное изъятие модели наносит серьёзный ущерб специалистам по безопасности — они как раз используют такие инструменты для поиска и исправления уязвимостей до того, как атакующие начнут вторжение, в то время как злоумышленники не ограничены. Способности модели, которых опасается правительство, как раз являются инструментом для специалистов по защите; они идентичны, и невозможно удалить только одну сторону.

Аргументы сторонников директивы

Объективно, некоторые сообщения действительно показывают, что опасения правительства небезосновательны. В конце июня сенатор-демократ от Вирджинии Марк Уорнер на слушаниях в Сенате пересказал показания директора Агентства национальной безопасности Джошуа Радда: в ходе авторизованной красно-синей тренировки модель Mythos за несколько часов почти взломала все секретные системы агентства (правда, последующая статья в The Economist немного смягчила это утверждение). Кроме того, Mythos стала первой большой моделью, прошедшей все тесты на кибербезопасность от Британского института безопасности ИИ.

Модель действительно обладает чрезвычайно сильными техническими способностями — это объективный факт. Но это лишь говорит о необходимости строгого и упорядоченного регуляторного процесса, а не о частном письме в пятницу вечером без полных выводов расследования.

Кроме того, Mythos с самого начала была доступна только партнёрам, прошедшим тщательную проверку. Версия Fable, которая была глобально отключена, предназначена для обычных потребителей; её защитные ограждения направляют чувствительные запросы, связанные с кибербезопасностью и биобезопасностью, на старую модель Opus 4.8. Версия для потребителей, имеющая встроенную защиту, была глобально отключена из-за демонстрации защитного промпта; в то время как профессиональная версия с гораздо более высоким риском никогда не публиковалась. Эта схема показывает, что регуляторный процесс путает «техническую способность» и «публичное развёртывание».

Opus 4.8: последняя существующая соответствующая модель?

Если следовать этой логике регулирования, результаты не обнадёживают. Если Fable не может соответствовать стандартам, то никакая будущая модель с более высокой производительностью не сможет пройти проверку — по текущим критериям правительства, чем выше производительность, тем выше потенциальный риск. Не существует таких версий, как Fable 5.1 или Mythos 5.2, которые могли бы улучшить защиту от атак при невыполнимом стандарте «нулевого джейлбрейка».

После директивы Министерства торговли единственной оставшейся сильной моделью, работающей в обычном режиме, стал Claude Opus 4.8, который стал потолком производительности, законно доступным американским гражданам. Легальный канал для вывода на рынок новых передовых технологий закрыт, в то время как зарубежные и несоответствующие каналы остаются открытыми.

Текущая ситуация — это проигрыш для всех сторон: заморозка выпуска отечественных передовых моделей; создание всеобщей системы мониторинга личности для контроля; передача лучшего сектора ИИ открытым моделям, над которыми США не имеют юрисдикции, и зарубежным конкурентам. Всего этого можно было избежать — решение как раз в том, что предлагает Anthropic: если правительство хочет заблокировать модели, действительно представляющие серьёзную угрозу, это должно основываться на прозрачном процессе, установленном законом, с полным раскрытием технических выводов расследования, а компания должна иметь право на апелляцию и защиту. Регуляторный порог должен быть сосредоточен на новых опасных возможностях, добавленных моделью (то есть на новых высокорисковых функциях по сравнению с существующими открытыми технологиями), а не на воображаемом правительством «нулевом остаточном риске».

Если действительно необходимо установить барьер для входа, контроль должен быть направлен на техническую способность, а не на проверку личности пользователя. Регуляторная система, которая может быть реализована только путём сбора цифровых отпечатков всех пользователей, является наиболее экстремальным методом слежки для решения одного узкого риска.

На уровне рынка капитала также есть веские основания для отзыва этой директивы, её влияние выходит далеко за пределы Anthropic. «Семёрка великих» технологических акций США в настоящее время составляет около трети общей капитализации индекса S&P 500, и примерно 42% доходности этого индекса в 2025 году пришлось на эти семь компаний. Рыночная капитализация Nvidia превысила 4 триллиона долларов в июле 2025 года и достигла 5 триллионов долларов в октябре, составив более 7% от общей капитализации индекса.

Четыре крупные облачные компании раскрыли капитальные расходы на 2026 год в размере около 725 миллиардов долларов, что на 77% больше, чем 410 миллиардов в прошлом году; Goldman Sachs прогнозирует, что к 2030 году общие капитальные расходы глобальных облачных компаний достигнут 5,3 триллиона долларов. Капитальные вложения, связанные с ИИ, уже глубоко влияют на макроэкономику: оценки разных учреждений различаются, Goldman Sachs оценивает долю капитальных расходов на ИИ в ВВП США почти в 0,8%, а более оптимистичные оценки считают, что экономический рост США в начале 2026 года в основном обусловлен ИИ.

Огромные инвестиции и ожидания роста отрасли полностью основаны на центральном предположении: передовые модели будут постоянно совершенствоваться и постоянно развёртываться для клиентов, генерируя доходы, достаточные для покрытия масштабных инфраструктурных вложений. Сейчас это предположение находится под угрозой. OpenAI обещала инвестировать около 1,4 триллиона долларов за восемь лет, но её текущая выручка составляет лишь около 13 миллиардов долларов (Сэм Альтман не признаёт цифру в 13 миллиардов, утверждая, что фактическая выручка значительно выше). Компании заранее наращивают инфраструктуру, но выгоды от ИИ пока не в полной мере отражаются в макроэкономических данных. Инвесторы делают ставку на конечную стоимость, на то, что такие системы ИИ смогут масштабно коммерциализироваться в будущем.

Акции США сильно привязаны к нарративу роста ИИ; как только темпы итерации и развёртывания передовых моделей замедлятся (или даже остановятся), глобальные портфели инвестиций пострадают.

Директива об отключении Fable добавляет огромную неопределённость для всей отрасли: будет ли правительство США в будущем регулярно ограничивать публикацию больших моделей? Приведённая выше логика достаточна, чтобы показать, что регулярное изъятие с рынка вполне возможно. Если это произойдёт, логика роста, поддерживающая 725 миллиардов долларов годовых капитальных расходов, полностью рухнет, и вся цепочка поставок — от поставщиков до заказчиков — понесёт цепные последствия:

• Высокопроизводительная память HBM в дефиците, заказы на 2026 год уже заполнены, DRAM выросла в цене более чем на 50% за квартал, что подтолкнуло рыночную капитализацию SK Hynix к превышению 1 триллиона долларов;
• Масштабное расширение электроэнергии для ИИ, облачные компании даже подписывают контракты на строительство специальных атомных станций для обеспечения электроэнергией;
• Nvidia, OpenAI, Oracle, CoreWeave, Microsoft взаимосвязаны, образуя циклическую экосистему финансирования.

Центр обработки данных, построенный за 200 миллиардов долларов, не сможет принести никакой прибыли, если правительство запретит его сопутствующей большой модели предоставлять услуги. В сочетании с сильной зависимостью фондового рынка от основной линии роста ИИ, замедление или откат передового ИИ приведёт к потерям для активов глобальных инвесторов.

Более сотни ведущих специалистов по кибербезопасности по всей стране призвали правительство отозвать эту директиву. Anthropic на этой неделе тайно подала заявку на IPO, рыночная оценка приближается к 965 миллиардам долларов; теперь флагманский продукт этой компании может быть полностью отключён одним вечерним уведомлением от одного ведомства, и у компании нет эффективных каналов для оспаривания.

Эта модель регулирования ИИ должна быть своевременно отменена, чтобы она не закрепилась как долгосрочное правило регулирования ИИ в США. Если этот механизм станет нормативной основой, Anthropic, разработка ИИ во всей отрасли и глобальное технологическое лидерство США понесут серьёзный ущерб.