Galaxy：Anthropic终极模型难题

Автор Alex Thorn, керуючий директор і керівник дослідницького відділу Galaxy Digital; джерело: Galaxy Digital; переклад: Shaw, Golden Finance

У п'ятницю, 12 червня, о 17:21 за східним часом США компанія Anthropic отримала від Міністерства торгівлі США наказ про експортний контроль, який вимагав заблокувати для всіх іноземних громадян по всьому світу великі моделі Fable 5 та Mythos 5, включаючи власних співробітників компанії, які не є громадянами США. Американська сторона заявила, що хтось знайшов спосіб обійти механізми безпеки Fable 5 та отримати доступ до функцій кібербезпеки базової моделі Mythos.

Ця компанія зі штучного інтелекту не змогла розділити права користувачів за національністю у встановлений урядом термін, тому протягом кількох годин припинила роботу обох моделей у всьому світі. Решта моделей серії Claude продовжили працювати в звичайному режимі.

Дві найкращі великі мовні моделі у світі були відключені лише через приватне повідомлення уряду, без судового рішення, без публічних матеріалів і без повного оприлюднення результатів розслідування. У середу користувач Reddit повідомив, що Fable 5 вже з'явився в каталозі продуктів платформи AWS Bedrock, можливо, обмеження хмарного каналу починають зніматися. Але в будь-якому випадку цей інцидент створює величезні ризики для індустрії штучного інтелекту, технологічних інновацій та американського ринку капіталу.

Перейти Рубікон (створити незворотний прецедент)

Уряд США фактично заявив, що може на власний розсуд вилучати комерційні великі моделі з ринку лише за допомогою адміністративного наказу. Хоча цей захід контролю належить до експортного контролю, його ефект на ринок дорівнює відкликанню продукту.

Федеральний уряд перейшов червону лінію в регулюванні ШІ: раніше він лише встановлював загальні правила для галузі, тепер же він має право самостійного вето на те, які моделі можуть бути оприлюднені та коли. Як тільки це право буде встановлено, воно ніколи не звузиться самостійно; якщо уряд не скоригує політику вчасно, наступні подібні накази будуть лише легшими за поточний.

А той факт, що підстава для цього наказу є неспроможною, лише погіршує цей поганий прецедент. Єдиний зовнішній експерт, який бачив відповідний звіт про дослідження, Кеті Муссуріс з Luta Security, прямо описала повний процес так званої «вразливості до злому моделі»: дослідники Amazon ввели в модель відкритий код із відомими вразливостями, попросили модель знайти в них недоліки безпеки; обидві моделі відмовилися; потім дослідники попросили модель виправити цей проблемний код, і модель виконала це.

Експерт з кібербезпеки Кеті Муссуріс

Муссуріс охарактеризувала тестовий сценарій за цим наказом як захисне підказування (defensive prompting), а не справжній злом безпеки. Вона заявила, що ця здатність є саме тією ключовою цінністю, яку штучний інтелект може надати командам кібербезпеки. За словами єдиного експерта, який бачив повний звіт про розслідування, лише п'ять слів «виправте цей код» (fix this code) призвели до вимкнення найкращої у світі спеціалізованої великої моделі кібербезпеки.

Міністерство торгівлі США не оприлюднило наказ про контроль, надісланий Anthropic, а також повні підстави для його видання. На офіційному сайті міністерства, у Федеральному реєстрі чи в інших публічних каналах немає відповідних документів. Це повідомлення про контроль надійшло у вигляді приватного листа від Бюро промисловості та безпеки Міністерства торгівлі, і ні міністерство, ні Anthropic не розкрили його зміст. Законодавчі повноваження, на підставі яких міністерство видало цей наказ, також є нечіткими.

Центр стратегічних та міжнародних досліджень (CSIS) припускає, що міністерство могло використати так звані повноваження «інформованого сповіщення» (informed notice) згідно із Законом про реформу експортного контролю 2018 року (ECRA), згідно з яким міністерство приватно повідомляє компанію, що з цього моменту на відповідний продукт потрібна експортна ліцензія, а правила контролю реалізуються через Правила експортного контролю (EAR). Але в EAR немає відповідних детальних правил для підтримки цих повноважень, тому раніше на їх основі не вживалися заходи, і міністерство не видало відповідних нормативних актів.

Регуляторний стандарт, якого неможливо досягти ніколи

У власному обґрунтуванні Anthropic є одна фраза, яка прямо показує нелогічність цієї політики. Компанія заявила, що наразі жоден виробник не може повністю запобігти злому моделі, і рано чи пізно хтось знайде загальний спосіб обходу. Дослідники безпеки вже багато років дотримуються тієї самої думки: жодна комерційна модель, яка знаходиться в експлуатації, не може бути доведена як стійка до цілеспрямованих зловмисників. Моделі із закритим API можуть бути зламані через рівень підказок; моделі з відкритою вагою можуть бути повністю змінені, що безпосередньо видалить логіку відмови, вбудовану в їхні ваги. Як тільки ваги моделі витікають (що вже траплялося кілька разів в історії), закриті моделі виявляють ті самі вразливості, що й відкриті.

Неявний регуляторний стандарт уряду повністю суперечить цій об'єктивній реальності. Якщо обов'язковою вимогою для запуску моделі є відсутність будь-якого способу активувати небезпечні функції, то цей стандарт з самого початку неможливо реалізувати. Навіть власні інженери Anthropic підтвердили, що ця умова не може бути виконана, тому компанія не може надати гарантію відсутності вразливостей, і інші виробники також не можуть. Згідно з логікою Anthropic, якщо вся галузь буде дотримуватися цього стандарту перевірки, комерціалізація передових великих моделей штучного інтелекту повністю зупиниться. Поріг, якого не можуть досягти всі виробники, це не стандарт безпеки, а лише право вето, замасковане під технічний фах.

Альтернативний шлях: тотальний нагляд за особистістю

Припустимо, що Anthropic хоче суворо дотримуватися буквального змісту листа: надавати послуги лише користувачам зі США та повністю заблокувати доступ іноземців. Єдиним можливим рішенням є повна перевірка особи для всіх користувачів. Anthropic має впровадити повний процес ідентифікації клієнтів (KYC), вимагаючи від користувачів завантажувати документи, що підтверджують громадянство та місце проживання, за складністю еквівалентний відкриттю брокерського рахунку. За допомогою такого механізму платформа зможе розділити доступ за національністю (хоча іноземні співробітники все одно будуть обмежені). Без перевірки особи неможливо ізолювати іноземних користувачів від доступу до моделі Fable 5.

Вже є повідомлення про те, що Anthropic готує систему перевірки особистості для задоволення вимог контролю, і витік коду підтверджує це. Компанія будує цю систему контролю з елементами спостереження, але має негайно припинити її просування.

Західні країни будують інфраструктуру спостереження.

Західні країни вже давно створюють цю систему перевірки особи та спостереження. Закон Великої Британії про безпеку в Інтернеті (Online Safety Act) набув чинності з липня 2025 року, вимагаючи від Управління зв'язку Великої Британії (Ofcom) запровадити те, що вони називають «механізмом перевірки віку з високою надійністю». Офіційно визнані методи перевірки включають розпізнавання фотографій документів, оцінку віку за обличчям, відкриту банківську перевірку (банки підтверджують вік користувача на основі інформації про рахунок, не розкриваючи фінансові дані). У США близько 19 штатів прийняли подібні закони про контроль доступу до особи, деякі з яких оскаржуються в судах на основі Першої поправки до Конституції США. Фонд електронних рубежів (EFF) завжди виступав проти такого контролю, попереджаючи, що обов'язкова верифікація особи створить величезний медовий банк високочутливих даних і повністю покладе край анонімності в Інтернеті.

Якщо механізм KYC використовувати для контролю доступу до великих моделей, вся ця шкода перейде на штучний інтелект — а ШІ є саме тією технологією, яка найкраще здатна аналізувати та використовувати накопичені дані. Жодна передова лабораторія ШІ не повинна примусово вимагати реєстрації з реальним ім'ям, і тим більше уряд не повинен змушувати компанії це робити. Інтернет має залишатися відкритим і вільним, а знання та обчислювальні потужності, які несе штучний інтелект, повинні бути відкриті для всіх.

Регуляторний глухий кут, створений моделями з відкритим кодом

Ця ідея експортного контролю в кінцевому підсумку спрацює проти себе, корінь проблеми — екосистема ваг з відкритим кодом. Передові технології ШІ не є монополією кількох американських компаній. Відкритий лист під керівництвом Алекса Стамоса, підписаний сотнями лідерів кібербезпеки (серед підписантів Брюс Шнайєр, Кейсі Елліс, Пол Віксі та інші), прямо описує поточну ситуацію: великі моделі з відкритим кодом з Китаю відстають від найкращих американських систем лише на кілька місяців, а не років, і це лише ті, що були публічно оприлюднені.

Якщо уряд США покладається на право вето на експортний контроль, щоб обмежити провідні американські лабораторії у випуску їхніх найсильніших моделей, дослідження ШІ не зупиняться, а лише перемістяться в сфери, недосяжні для контролю: закриті урядові проекти, закордонні лабораторії, екосистема відкритих ваг. Моделі з відкритим кодом, які зараз відстають лише на кілька місяців, швидко надолужать, якщо орієнтир для наздоганяння перестане розвиватися. Якщо випуск найкращих моделей буде довгостроково обмежений, протягом одного-двох років найкраща модель, яку звичайні люди та компанії зможуть локально розгорнути, швидше за все, буде проектом з відкритим кодом з-поза меж США; вбудовані захисти безпеки такої моделі будуть слабшими, ніж у продукту, який уряд примусово вилучив цього разу.

Як тоді уряд США відреагує? Модель, яка вже широко поширена на тисячах жорстких дисків і в сотнях файлообмінних мереж, неможливо «відкликати». Уряд може спробувати заборонити публічне поширення файлів відкритих ваг, але ця політика прямо суперечитиме Конституції США.

США вже проходили через подібну регуляторну боротьбу і програли. У 1990-х роках уряд США вніс технології сильного шифрування до Списку боєприпасів США, згідно з Законом про міжнародну торгівлю зброєю (ITAR) розглядаючи програмне забезпечення для шифрування як зброю; програми шифрування опинилися в одній категорії з лазерними системами наведення та пучками частинок. Протягом трьох років федеральний уряд проводив розслідування щодо Філа Циммермана, оскільки його програма шифрування PGP (Pretty Good Privacy) поширювалася по всьому світу, і уряд вважав завантаження коду в Інтернет еквівалентом експорту зброї. У 1996 році федеральна влада зняла всі звинувачення без пред'явлення жодних обвинувачень.

Творець технології шифрування PGP Філ Циммерман

Рішення, яке запропонував Циммерман, стало знаковою подією тієї епохи. Він опублікував повний вихідний код PGP у вигляді книги в твердій обкладинці через MIT Press, обґрунтовуючи це тим, що код, надрукований у книзі, очевидно є захищеною промовою, навіть якщо той самий код в електронному вигляді вважався б контрольованим боєприпасом. Технічні активісти використовували той самий підхід, надрукувавши спрощений алгоритм шифрування RSA, написаний криптографом (який пізніше брав участь у створенні біткоїна) Адамом Беком, на футболках із попереджувальним написом — сама футболка вважалася боєприпасом.

Суд визнав цю юридичну логіку. У справах Бернштейна та Юнга федеральні судді постановили, що вихідний код є промовою, захищеною Першою поправкою до Конституції США. У 1996 році уряд США передав технологію шифрування зі списку боєприпасів до Міністерства торгівлі, значно послабивши контроль, що проклало шлях для процвітання сучасної індустрії Інтернету.

Муссуріс пізніше домоглася додавання винятку для технологій безпечного захисту до Вассенаарської угоди, і цього разу вона також посилається на цю історію: ваги моделі — це просто набір чисел, а публікація ваг є вираженням думки. Якщо уряд масово заборонятиме моделі з відкритим кодом, це спровокує масштабну судову війну на основі Першої поправки, яка триватиме покоління; а уряд перебуває в природному невигідному становищі — американська сторона вже визнала, що аналогічні технології широко поширені за кордоном.

Таким чином, цей план експортного контролю має подвійну неефективність. По-перше, він не може стримати закордонних конкурентів: закордонні установи мають власні великі моделі, за повідомленням технологічного видання Semafor, Білий дім підозрює, що якась група, пов'язана з Китаєм, вже отримала можливості, подібні до Mythos; по-друге, американський передовий сектор ШІ буде відданий моделям з відкритим кодом та закордонним конкурентам, які США не мають законних засобів контролювати.

Anthropic, покараний за чесність

Варто зазначити, що Anthropic надав повну та чесну інформацію. Компанія визнала, що не існує ідеального механізму безпеки; перед запуском продукту провела тисячі годин тестування червоних і синіх команд спільно з урядами США та Великої Британії; добровільно розкрила обмеження власної системи безпеки. Але ця чесність стала підставою для покарання з боку уряду. Якщо компанія зменшить кількість тестів і замовчуватиме ризики, вона не стане об'єктом контролю. Коли чесне розкриття потенційних ризиків призводить до регуляторних санкцій, вся галузь отримує спотворені стимули: всі виробники будуть менше розкривати інформацію про ризики.

Фахівці з кібербезпеки також вказують на перевернуту логіку цього підходу з іншого боку. Муссуріс та інші експерти, які підписали лист, заявили, що примусове вилучення моделі завдасть найбільшої шкоди саме фахівцям з безпеки — вони використовують такі інструменти для виявлення та виправлення вразливостей до того, як зловмисники зможуть їх використати, тоді як зловмисники не обмежені жодними правилами. Можливості моделі, яких боїться уряд, є саме тим інструментом, яким користуються захисники безпеки; вони єдині, і не можна видалити лише одну сторону.

Аргументи тих, хто підтримує наказ про контроль

Об'єктивно кажучи, деякі звіти дійсно свідчать, що занепокоєння уряду не є безпідставними. Наприкінці червня сенатор-демократ від Вірджинії Марк Ворнер на слуханнях у Сенаті переповів свідчення директора Агентства національної безпеки США Джошуа Радда: під час авторизованого тестування червоних і синіх команд модель Mythos майже зламала всі закриті системи агентства протягом кількох годин (хоча подальші звіти The Economist дещо послабили це твердження). Також Mythos стала першою великою моделлю, яка пройшла всі тести кібербезпеки Британського інституту безпеки штучного інтелекту.

Модель дійсно має дуже сильні технічні можливості, це об'єктивно. Але це лише свідчить про необхідність чіткого та суворого регуляторного процесу, а не приватного листа без повного розслідування, надісланого в п'ятницю ввечері.

Крім того, Mythos з самого початку був доступний лише партнерам, які пройшли сувору перевірку біографії. Fable, який було вилучено по всьому світу, є версією для звичайних споживачів, чиї запобіжники безпеки перенаправляють чутливі запити, пов'язані з кібербезпекою та біобезпекою, до старішої моделі Opus 4.8. Цивільна версія із вбудованими механізмами захисту була вилучена по всьому світу лише через демонстрацію захисної підказки; справді небезпечніша професійна версія ніколи не публікувалася. Такий підхід свідчить про те, що регуляторний процес плутає «технічні можливості» та «публічне розгортання».

Opus 4.8: Остання модель, яка відповідає вимогам?

Якщо слідувати цій регуляторній логіці, результати невтішні. Якщо навіть Fable не відповідає вимогам, то жодна майбутня потужніша модель не зможе пройти перевірку — згідно з поточними критеріями уряду, чим потужніша модель, тим вищий потенційний ризик. Не існує таких версій, як Fable 5.1 або Fable 5.2, які могли б підвищити стійкість до атак за неможливого стандарту «нульової вразливості до злому».

Після наказу Міністерства торгівлі лише Claude Opus 4.8 залишилася найпотужнішою моделлю, яка продовжує працювати, і вона стала стелею продуктивності, яку американці можуть легально використовувати. Законний канал для випуску нових передових технологій закрито, тоді як закордонні та нелегальні канали залишаються відкритими.

Поточна ситуація є програшною для всіх сторін: заморожування випуску вітчизняних передових моделей; створення системи тотального спостереження за особистістю для забезпечення контролю; передача передового сектору ШІ моделям з відкритою вагою та закордонним конкурентам, які США не мають права регулювати. Все це можна було б уникнути, якби був механізм, який сама Anthropic закликала запровадити: якщо уряд хоче заблокувати модель, яка дійсно створює серйозну загрозу безпеці, він повинен спиратися на прозорий законний процес, оприлюднити повні технічні результати розслідування, а компанія повинна мати право на оскарження та захист. Регуляторний поріг має фокусуватися на нових небезпечних можливостях, які додає модель (тобто нових високоризикових функціях порівняно з існуючими публічними технологіями), а не на «нульовому залишковому ризику», який уявляє уряд.

Якщо встановлення вхідного порогу є необхідним, контроль має стосуватися самих технічних можливостей, а не перевірки особистості користувача. Регуляторна система, яка може працювати лише шляхом збору цифрових відбитків особистості всіх користувачів, є використанням найбільш екстремальних засобів спостереження для вирішення вузького ризику.

На рівні ринку капіталу скасування цього наказу також має повну обґрунтованість, і його вплив виходить далеко за межі лише Anthropic. Сім найбільших технологічних компаній США («Tech Seven») наразі становлять приблизно третину загальної ринкової капіталізації індексу S&P 500, і в 2025 році близько 42% прибутку всього індексу припало на ці сім компаній. Ринкова капіталізація Nvidia перевищила 4 трильйони доларів у липні 2025 року, досягла 5 трильйонів у жовтні, одного разу склавши понад 7% ринкової капіталізації всього індексу.

Чотири найбільші хмарні провайдери оголосили про капітальні витрати на 2026 рік у розмірі близько 725 мільярдів доларів, що на 77% більше, ніж 410 мільярдів минулого року; Goldman Sachs прогнозує, що до 2030 року загальні капітальні витрати хмарних провайдерів у світі досягнуть 5,3 трильйона доларів. Інвестиції, пов'язані з ШІ, вже глибоко впливають на макроекономіку: різні установи дають різні оцінки, Goldman Sachs оцінює, що капітальні витрати на ШІ становлять майже 0,8% ВВП США, а більш оптимістичні оцінки вважають, що зростання економіки США на початку 2026 року в основному забезпечується за рахунок ШІ.

Величезні інвестиції та очікування зростання галузі базуються на одному ключовому припущенні: передові моделі продовжують розвиватися і продовжують впроваджуватися для клієнтів, приносячи доходи, достатні для покриття величезних капітальних витрат на інфраструктуру. Зараз це припущення вже хитке. OpenAI пообіцяв інвестувати близько 1,4 трильйона доларів за вісім років, але його поточний дохід становить лише близько 13 мільярдів доларів (Сем Альтман не визнає цифру 13 мільярдів, стверджуючи, що фактичний дохід значно вищий). Компанії заздалегідь значно нарощують інфраструктуру, але вигоди від ШІ ще не повністю відображені в макроекономічних даних. Інвестори роблять ставку на довгострокову кінцеву вартість, на масову комерціалізацію таких систем ШІ в майбутньому.

Американські акції сильно прив'язані до наративу зростання ШІ, і якщо темп ітерації та впровадження передових моделей сповільниться (або навіть зупиниться), глобальні портфелі всіх типів зазнають удару.

Наказ про вилучення Fable створює нову величезну невизначеність для всієї галузі: чи буде уряд США в майбутньому регулярно обмежувати публічне випускання великих моделей? З попередньої логіки видно, що регулярне вилучення цілком ймовірно. Якщо це станеться, логіка зростання, яка підтримує щорічні капітальні витрати в 725 мільярдів доларів, повністю зруйнується, і весь ланцюжок поставок зазнає ланцюгових ударів:

• Високопропускна пам'ять (HBM) у дефіциті, замовлення на 2026 рік заповнені, ціни на DRAM зросли більш ніж на 50% за один квартал, що підняло ринкову капіталізацію SK Hynix вище 1 трильйона доларів;
• Масштабне будівництво електростанцій для обслуговування обчислень, хмарні провайдери навіть підписують контракти на спеціалізовані атомні електростанції для забезпечення електропостачання;
• Nvidia, OpenAI, Oracle, CoreWeave, Microsoft утворюють циклічну фінансову екосистему.

Центр обробки даних, побудований за 200 мільярдів доларів, не зможе принести жодної прибутку, якщо уряд заборонить супровідну велику модель надавати послуги. Враховуючи, що фондовий ринок сильно залежить від основної лінії зростання ШІ, якщо розвиток передового ШІ сповільниться або навіть піде назад, активи глобальних інвесторів зазнають збитків.

Понад сто найкращих фахівців з кібербезпеки в США спільно закликають уряд скасувати цей наказ. Anthropic цього місяця таємно подав заявку на IPO, ринок оцінює його вартість майже в 965 мільярдів доларів; тепер флагманський продукт цієї компанії може бути повністю зупинений лише на підставі одного вечірнього повідомлення від однієї установи, без ефективного каналу оскарження.

Ця модель регулювання ШІ має бути скасована вчасно, щоб запобігти її закріпленню як довгострокового регуляторного режиму для американської індустрії ШІ. Якщо цей механізм стане нормативною рамкою, Anthropic, дослідження ШІ в усій галузі та глобальне технологічне лідерство США зазнають серйозних втрат.