作者:曉靜;來源:騰訊科技
6月27日早間,Anthropic宣布:美國政府已批准其最強網路安全模型Mythos 5重新部署至超過100家美國機構,包括大型企業和政府部門。面向公眾的版本Fable 5「恢復在即」。
據外媒獲得的商務部長盧特尼克致Anthropic聯合創始人Tom Brown的信件,盧特尼克通知Anthropic他已「確定適當的安全保障措施已經到位」。
但同一封信中,盧特尼克指出6月12日初始指令的所有其他要求仍然有效,且對Fable 5何時向公眾恢復隻字未提。
幾乎同時,6月27日凌晨,OpenAI正式發布了GPT-5.6系列三款模型:Sol、Terra、Luna。同樣是在白宮的要求下,GPT-5.6只對「經政府逐案審批的合作夥伴」開放API訪問,ChatGPT端尚未上線。
回看整個時間線:6月2日特朗普簽署AI行政令,6月9日Anthropic發布Fable 5和Mythos 5,6月12日商務部下令全面下架,6月26日OpenAI發布GPT-5.6但被限制發行,6月27日Mythos 5獲准有限恢復。
不到一個月,美國政府對前沿AI模型的控制經歷了完整的「叫停—談判—有條件放行」週期。
OpenAI戰略團隊負責人Dean W. Ball(前白宮AI顧問)在6月16日的部落格中總結了這件事對行業的影響:「前沿AI模型開發者現在需要政府明確的『綠燈』才能發布」。
Dean W. Ball在6月26日的長文《What Should Be Done》中評價:「沒有人知道獲得許可的要求到底是什麼。這裡我說『沒有人』,就是字面意義上的意思:似乎連政府部門自己都不知道。」
這是整件事最核心的問題。政府的行動建立在一個隱含前提之上:這些模型的能力已經強到構成不可接受的安全風險。但當事公司自己的官方評估,給出了完全相反的結論。
OpenAI在GPT-5.6發布部落格中披露了完整的安全評估結果,按照OpenAI自己建立並公開發布的準備框架,Sol沒有越過這條線。這個框架的紅線定義是:模型能否在沒有人類協助的情況下,自主發現並利用高價值目標的未知漏洞。
具體測試結果是:Sol在Chromium和Firefox上能識別漏洞和利用原語(exploitation primitives),但「沒有在測試條件下自主生成完整可用的端到端攻擊鏈」。OpenAI自己的判斷是:Sol更擅長幫人找漏洞和打補丁,並不是端到端可靠地執行完整攻擊。
但OpenAI緊接著也寫了一句「很有情商」的話:「benchmark thresholds cannot capture every way a model may be used or combined with other tools.」雖然按我們的標準沒過線,但誰知道真實世界裡會怎麼用呢?故意製造了一個模稜兩可的灰色地帶。
Anthropic就不是那麼「有情商」了。在6月13日的聲明中,Anthropic逐點反駁了政府的理由。政府聲稱發現了Fable 5的越獄方法,Anthropic回應說:第一,這只是一個「窄範圍的非通用越獄」,本質上是讓模型閱讀一段代碼然後指出缺陷;第二,「其他公開可用的模型,包括OpenAI的GPT-5.5,也能做到」;第三,Anthropic投入了數千小時的紅隊測試,「沒有任何測試者找到通用越獄」。
Anthropic CEO Dario Amodei在6月11日發表的長文《Policy on the AI Exponential》中已經預判了這種局面,聲明中明確表態:「政府可以阻止不安全的部署,但流程必須透明、公平、清晰、基於技術事實。這次行動不符合這些原則。」
兩個最激烈的競爭對手,在同一個月裡,用各自獨立的評估體系得出了同一個結論:按照行業自建的安全框架,這些模型並不會構成不可部署的風險。
那麼問題來了,如果模型沒有越過行業紅線,政府憑什麼介入?Dean Ball進一步披露:政府此前聘請了唯一一位有前沿AI經驗的官員來主持AI標準與創新中心(CAISI),此人曾在OpenAI和Anthropic任職,但上任幾天就被高層解雇。剩餘CAISI團隊在整個「後Mythos危機期」處於停工令狀態,甚至不允許與其他政府機構溝通。「我認識的特朗普政府官員中,沒有人有前沿AI經驗」。
Ball的意思是,做出管制決定的人,既沒有定義清晰的安全標準,也沒有評估這些模型的技術能力。
更進一步的自然追問是:Fable 5和GPT-5.6 Sol是否真的跨越了某種「人類威脅奇點」?是否存在一條客觀的能力紅線,越過了就必須管制?
多位AI領域專家表示,技術上並不存在這樣一條線。模型能力是連續增長的曲線。每一代模型發布時都是「史上最強」,但只有這一次觸發了政府的直接干預。
背後有三個隱含條件:
第一,能力變得「可演示」了。Anthropic自己把Mythos 5宣傳為「世界最強網路安全模型」,Stripe一天遷移5000萬行代碼的案例被廣泛傳播。這些故事讓不懂技術的政治家也能想像「如果壞人用會怎樣」。
Meta原首席AI科學家、圖靈獎得主Yann LeCun早在2025年11月就公開指出了這個邏輯:當Anthropic發布首份AI網路攻擊威脅報告時,LeCun直接稱其為「regulatory theater」(監管劇場),指控Anthropic利用AI安全恐懼「manipulate legislators」(操縱立法者)進行「regulatory capture」(監管俘獲)。
LeCun當時的判斷是:閉源公司系統性地誇大AI安全威脅,目的是建立只有大公司才能通過的合規壁壘,排斥開源競爭者。Anthropic沒想到的是,石頭先砸向了自己。
第二,有人遞了一把刀。亞馬遜CEO安迪·賈西向政府提交了Anthropic模型的安全隱患報告。亞馬遜是Anthropic最大投資方,也是其雲端服務合作夥伴,同時還有自研模型(Nova系列)和Anthropic形成競爭。由此,政府獲得了行動的合法性來源。
第三,特朗普本月初剛簽了AI行政令,給政府60天制定前沿模型的「自願提交規則」。行政令需要第一個執法案例來證明它不是廢紙。Fable 5撞到了槍口上。
這就引出一個更深層的問題,如果「太強就要管」,而「多強算太強」由監管部門說了算,且標準不公開、沒有明確閾值、沒有申訴程序,那未來每一次前沿模型發布都將面對同樣的不確定性。企業不知道自己的模型什麼時候會觸發管制。
美國政府試圖用出口管制來遏制所謂的危險技術擴散,能讓人聯想到一個很相似的歷史先例,90年代的「密碼戰爭」(Crypto Wars)。
冷戰結束後,網際網路開始商業化,電腦科學家們在開發保護數據傳輸安全的加密技術。美國政府把強加密算法歸類為「軍需品」(munitions),放在和導彈、坦克同一個出口管制清單上(ITAR/EAR)。邏輯和今天十分相似,如果敵人獲得了強加密,NSA(美國國家安全局)就無法監聽他們的通訊,國家安全受威脅。
這意味著美國軟體公司只能對海外客戶出口40位密鑰的弱加密版本,NSA能輕鬆破解的版本,而國內版本可以使用128位強加密。外國用戶知道他們拿到的是「閹割版」,開始轉向歐洲和以色列的替代產品。
1991年,一個叫Phil Zimmermann的密碼學愛好者寫了PGP(Pretty Good Privacy),一個讓普通人也能用強加密保護郵件的軟體。他把PGP上傳到了網際網路。美國海關隨即對他展開刑事調查——罪名是「非法出口軍需品」。
Zimmermann的反擊極其巧妙:他把PGP的完整源代碼印成了一本書出版。書籍受第一修正案保護,出版自由是憲法權利。你可以管制軟體,但你沒辦法禁止一本書出口。調查持續了三年,最終在1996年關閉,政府沒有提起訴訟。
幾乎同一時間,NSA推出了一個更激進的方案:Clipper晶片。設計思路是所有通訊設備必須安裝這個晶片,晶片負責加密通訊,晶片內置密鑰託管機制,在執法授權下,政府能透過託管密鑰解密通信。用戶之間的通訊對第三方是加密的,但政府隨時可以解密。柯林頓政府強推這個方案。結果學術界發現了晶片的設計缺陷,科技行業集體抵制,公眾強烈反對,1996年徹底死掉。
1995年,數學家Daniel Bernstein想在網上發布自己寫的加密算法源代碼,被政府以出口管制為由禁止。他起訴了司法部。第九巡迴上訴法院做出了一個影響深遠的判決:軟體源代碼是受第一修正案保護的「言論」(speech),政府對加密代碼的出口管制違憲。這個判決直接動搖了整個管制體系的法律基礎。
2000年1月,柯林頓政府大幅放鬆加密出口管制。原因是管不住了。PGP早就傳遍全世界,開源加密算法全球普及,管制只是在阻礙美國公司的競爭力,外國客戶早已轉向其他供應商。
放鬆管制之後,才有了今天Signal和WhatsApp的端到端加密。如果90年代的管制延續至今,這些產品不可能存在。
90年代,被管控的是強加密算法,理由是國家安全,工具是ITAR軍需品出口管制,受傷的是美國軟體公司(被迫出口弱版本),不受影響的是外國開發者(自己寫加密算法)。
2026年,被管控的是前沿AI模型能力,理由還是國家安全,工具是出口管制指令。
這次真正受傷的會是誰?
外媒評論指出:「沒有人花1000億美元建數據中心,只為了服務於政府批准的100家公司」。
前沿模型的訓練成本以十億美元計,而回收成本的窗口只有發布後幾個月,之後模型變成次前沿,競爭加劇,利潤率壓縮。每一週的審批延遲,都在吞噬這個有限的盈利窗口。Brandom的結論是:「如果持續下去,整個產業的基礎投資邏輯都會動搖」。
喬治·華盛頓大學政治學助理教授Jeffrey Ding的核心論點是:在大國技術競爭中,決定勝負的不是誰先發明了一項技術,而是誰能更快地將技術擴散到整個經濟體中。通用技術尤其如此——它需要廣泛的社會擴散,需要新組織圍繞它被創建出來,需要大規模的真實世界使用數據來發現它的應用邊界。Dean Ball在引用Ding時寫道:「通用技術的用途是被發現的,不是事先知道的」。
但大洋彼岸的另外一邊,中國大模型正在以開源開放的姿態走向全球開發者。
加密算法是純數學,一旦發表就無法收回。AI模型權重有類似屬性,但閉源前沿模型的推理能力確實集中在少數公司的API後面。
但開源模型的能力在逐代追趕,管控能延緩擴散,無法阻止擴散。90年代花了將近10年才走到「認輸放鬆管制」這一步。AI管控難道也需要類似的時間週期?
2026年6月,在AI產業的歷史上,可能標誌著一個轉折點:政府第一次成功地在商業AI模型和它的用戶之間,插入了自己作為審批者的角色。
Dean Ball在《What Should Be Done》中,Ball警告說,如果市場對此產生恐慌,效果將遠超AI行業本身:「從核能到天然氣到電力電子,美國再工業化的大量投資都明確或隱含地以AI產業的未來需求為前提。如果這個需求因為政府管制而無法實現,連鎖反應會遠超人們想像。」
但Ball也承認,方向不是全錯的:「前沿AI確實存在災難性風險的可能性,這個關切不是偽造的。問題在於執行方式,一個沒有技術專家、沒有清晰標準、沒有時間表的審批流程,不是答案。」
OpenAI說GPT-5.6的限制是「短期措施」,可能在幾週後向公眾開放。但6月27日Mythos 5的「有限恢復」已經給出了模板,不是全面放開,還是僅限部分美國機構、其他限制繼續有效。每一個長期制度,最初都被稱為「短期措施」。
Dean Ball最後寫了一句話,值得所有人認真對待:「如果只有極少數人能使用前沿AI,壞的未來反而更可能發生。因為那些少數人,往往是已經擁有巨大經濟和政治權力的群體」。
估計全球的開發者社區,都在懷念那個不顧時差蹲OpenAI發布會,驚喜於新模型的進步、並熬夜測試各種新場景的時代。
不過,現在我們還是可以充滿期待地「蹲」中國最新大模型的發布。
165.59萬 熱度
48.98萬 熱度
12.93萬 熱度
60.34萬 熱度
100.62萬 熱度
美國大模型走向封閉——以安全之名
作者:曉靜;來源:騰訊科技
6月27日早間,Anthropic宣布:美國政府已批准其最強網路安全模型Mythos 5重新部署至超過100家美國機構,包括大型企業和政府部門。面向公眾的版本Fable 5「恢復在即」。
據外媒獲得的商務部長盧特尼克致Anthropic聯合創始人Tom Brown的信件,盧特尼克通知Anthropic他已「確定適當的安全保障措施已經到位」。
但同一封信中,盧特尼克指出6月12日初始指令的所有其他要求仍然有效,且對Fable 5何時向公眾恢復隻字未提。
幾乎同時,6月27日凌晨,OpenAI正式發布了GPT-5.6系列三款模型:Sol、Terra、Luna。同樣是在白宮的要求下,GPT-5.6只對「經政府逐案審批的合作夥伴」開放API訪問,ChatGPT端尚未上線。
回看整個時間線:6月2日特朗普簽署AI行政令,6月9日Anthropic發布Fable 5和Mythos 5,6月12日商務部下令全面下架,6月26日OpenAI發布GPT-5.6但被限制發行,6月27日Mythos 5獲准有限恢復。
不到一個月,美國政府對前沿AI模型的控制經歷了完整的「叫停—談判—有條件放行」週期。
OpenAI戰略團隊負責人Dean W. Ball(前白宮AI顧問)在6月16日的部落格中總結了這件事對行業的影響:「前沿AI模型開發者現在需要政府明確的『綠燈』才能發布」。
Dean W. Ball在6月26日的長文《What Should Be Done》中評價:「沒有人知道獲得許可的要求到底是什麼。這裡我說『沒有人』,就是字面意義上的意思:似乎連政府部門自己都不知道。」
01 真的強大到不安全了嗎?
這是整件事最核心的問題。政府的行動建立在一個隱含前提之上:這些模型的能力已經強到構成不可接受的安全風險。但當事公司自己的官方評估,給出了完全相反的結論。
OpenAI在GPT-5.6發布部落格中披露了完整的安全評估結果,按照OpenAI自己建立並公開發布的準備框架,Sol沒有越過這條線。這個框架的紅線定義是:模型能否在沒有人類協助的情況下,自主發現並利用高價值目標的未知漏洞。
具體測試結果是:Sol在Chromium和Firefox上能識別漏洞和利用原語(exploitation primitives),但「沒有在測試條件下自主生成完整可用的端到端攻擊鏈」。OpenAI自己的判斷是:Sol更擅長幫人找漏洞和打補丁,並不是端到端可靠地執行完整攻擊。
但OpenAI緊接著也寫了一句「很有情商」的話:「benchmark thresholds cannot capture every way a model may be used or combined with other tools.」雖然按我們的標準沒過線,但誰知道真實世界裡會怎麼用呢?故意製造了一個模稜兩可的灰色地帶。
Anthropic就不是那麼「有情商」了。在6月13日的聲明中,Anthropic逐點反駁了政府的理由。政府聲稱發現了Fable 5的越獄方法,Anthropic回應說:第一,這只是一個「窄範圍的非通用越獄」,本質上是讓模型閱讀一段代碼然後指出缺陷;第二,「其他公開可用的模型,包括OpenAI的GPT-5.5,也能做到」;第三,Anthropic投入了數千小時的紅隊測試,「沒有任何測試者找到通用越獄」。
Anthropic CEO Dario Amodei在6月11日發表的長文《Policy on the AI Exponential》中已經預判了這種局面,聲明中明確表態:「政府可以阻止不安全的部署,但流程必須透明、公平、清晰、基於技術事實。這次行動不符合這些原則。」
兩個最激烈的競爭對手,在同一個月裡,用各自獨立的評估體系得出了同一個結論:按照行業自建的安全框架,這些模型並不會構成不可部署的風險。
那麼問題來了,如果模型沒有越過行業紅線,政府憑什麼介入?Dean Ball進一步披露:政府此前聘請了唯一一位有前沿AI經驗的官員來主持AI標準與創新中心(CAISI),此人曾在OpenAI和Anthropic任職,但上任幾天就被高層解雇。剩餘CAISI團隊在整個「後Mythos危機期」處於停工令狀態,甚至不允許與其他政府機構溝通。「我認識的特朗普政府官員中,沒有人有前沿AI經驗」。
Ball的意思是,做出管制決定的人,既沒有定義清晰的安全標準,也沒有評估這些模型的技術能力。
更進一步的自然追問是:Fable 5和GPT-5.6 Sol是否真的跨越了某種「人類威脅奇點」?是否存在一條客觀的能力紅線,越過了就必須管制?
多位AI領域專家表示,技術上並不存在這樣一條線。模型能力是連續增長的曲線。每一代模型發布時都是「史上最強」,但只有這一次觸發了政府的直接干預。
背後有三個隱含條件:
第一,能力變得「可演示」了。Anthropic自己把Mythos 5宣傳為「世界最強網路安全模型」,Stripe一天遷移5000萬行代碼的案例被廣泛傳播。這些故事讓不懂技術的政治家也能想像「如果壞人用會怎樣」。
Meta原首席AI科學家、圖靈獎得主Yann LeCun早在2025年11月就公開指出了這個邏輯:當Anthropic發布首份AI網路攻擊威脅報告時,LeCun直接稱其為「regulatory theater」(監管劇場),指控Anthropic利用AI安全恐懼「manipulate legislators」(操縱立法者)進行「regulatory capture」(監管俘獲)。
LeCun當時的判斷是:閉源公司系統性地誇大AI安全威脅,目的是建立只有大公司才能通過的合規壁壘,排斥開源競爭者。Anthropic沒想到的是,石頭先砸向了自己。
第二,有人遞了一把刀。亞馬遜CEO安迪·賈西向政府提交了Anthropic模型的安全隱患報告。亞馬遜是Anthropic最大投資方,也是其雲端服務合作夥伴,同時還有自研模型(Nova系列)和Anthropic形成競爭。由此,政府獲得了行動的合法性來源。
第三,特朗普本月初剛簽了AI行政令,給政府60天制定前沿模型的「自願提交規則」。行政令需要第一個執法案例來證明它不是廢紙。Fable 5撞到了槍口上。
這就引出一個更深層的問題,如果「太強就要管」,而「多強算太強」由監管部門說了算,且標準不公開、沒有明確閾值、沒有申訴程序,那未來每一次前沿模型發布都將面對同樣的不確定性。企業不知道自己的模型什麼時候會觸發管制。
02 歷史鏡鑑,30年前的密碼戰爭
美國政府試圖用出口管制來遏制所謂的危險技術擴散,能讓人聯想到一個很相似的歷史先例,90年代的「密碼戰爭」(Crypto Wars)。
冷戰結束後,網際網路開始商業化,電腦科學家們在開發保護數據傳輸安全的加密技術。美國政府把強加密算法歸類為「軍需品」(munitions),放在和導彈、坦克同一個出口管制清單上(ITAR/EAR)。邏輯和今天十分相似,如果敵人獲得了強加密,NSA(美國國家安全局)就無法監聽他們的通訊,國家安全受威脅。
這意味著美國軟體公司只能對海外客戶出口40位密鑰的弱加密版本,NSA能輕鬆破解的版本,而國內版本可以使用128位強加密。外國用戶知道他們拿到的是「閹割版」,開始轉向歐洲和以色列的替代產品。
1991年,一個叫Phil Zimmermann的密碼學愛好者寫了PGP(Pretty Good Privacy),一個讓普通人也能用強加密保護郵件的軟體。他把PGP上傳到了網際網路。美國海關隨即對他展開刑事調查——罪名是「非法出口軍需品」。
Zimmermann的反擊極其巧妙:他把PGP的完整源代碼印成了一本書出版。書籍受第一修正案保護,出版自由是憲法權利。你可以管制軟體,但你沒辦法禁止一本書出口。調查持續了三年,最終在1996年關閉,政府沒有提起訴訟。
幾乎同一時間,NSA推出了一個更激進的方案:Clipper晶片。設計思路是所有通訊設備必須安裝這個晶片,晶片負責加密通訊,晶片內置密鑰託管機制,在執法授權下,政府能透過託管密鑰解密通信。用戶之間的通訊對第三方是加密的,但政府隨時可以解密。柯林頓政府強推這個方案。結果學術界發現了晶片的設計缺陷,科技行業集體抵制,公眾強烈反對,1996年徹底死掉。
1995年,數學家Daniel Bernstein想在網上發布自己寫的加密算法源代碼,被政府以出口管制為由禁止。他起訴了司法部。第九巡迴上訴法院做出了一個影響深遠的判決:軟體源代碼是受第一修正案保護的「言論」(speech),政府對加密代碼的出口管制違憲。這個判決直接動搖了整個管制體系的法律基礎。
2000年1月,柯林頓政府大幅放鬆加密出口管制。原因是管不住了。PGP早就傳遍全世界,開源加密算法全球普及,管制只是在阻礙美國公司的競爭力,外國客戶早已轉向其他供應商。
放鬆管制之後,才有了今天Signal和WhatsApp的端到端加密。如果90年代的管制延續至今,這些產品不可能存在。
90年代,被管控的是強加密算法,理由是國家安全,工具是ITAR軍需品出口管制,受傷的是美國軟體公司(被迫出口弱版本),不受影響的是外國開發者(自己寫加密算法)。
2026年,被管控的是前沿AI模型能力,理由還是國家安全,工具是出口管制指令。
這次真正受傷的會是誰?
外媒評論指出:「沒有人花1000億美元建數據中心,只為了服務於政府批准的100家公司」。
前沿模型的訓練成本以十億美元計,而回收成本的窗口只有發布後幾個月,之後模型變成次前沿,競爭加劇,利潤率壓縮。每一週的審批延遲,都在吞噬這個有限的盈利窗口。Brandom的結論是:「如果持續下去,整個產業的基礎投資邏輯都會動搖」。
喬治·華盛頓大學政治學助理教授Jeffrey Ding的核心論點是:在大國技術競爭中,決定勝負的不是誰先發明了一項技術,而是誰能更快地將技術擴散到整個經濟體中。通用技術尤其如此——它需要廣泛的社會擴散,需要新組織圍繞它被創建出來,需要大規模的真實世界使用數據來發現它的應用邊界。Dean Ball在引用Ding時寫道:「通用技術的用途是被發現的,不是事先知道的」。
但大洋彼岸的另外一邊,中國大模型正在以開源開放的姿態走向全球開發者。
加密算法是純數學,一旦發表就無法收回。AI模型權重有類似屬性,但閉源前沿模型的推理能力確實集中在少數公司的API後面。
但開源模型的能力在逐代追趕,管控能延緩擴散,無法阻止擴散。90年代花了將近10年才走到「認輸放鬆管制」這一步。AI管控難道也需要類似的時間週期?
03 美國大模型進入審查時代?
2026年6月,在AI產業的歷史上,可能標誌著一個轉折點:政府第一次成功地在商業AI模型和它的用戶之間,插入了自己作為審批者的角色。
Dean Ball在《What Should Be Done》中,Ball警告說,如果市場對此產生恐慌,效果將遠超AI行業本身:「從核能到天然氣到電力電子,美國再工業化的大量投資都明確或隱含地以AI產業的未來需求為前提。如果這個需求因為政府管制而無法實現,連鎖反應會遠超人們想像。」
但Ball也承認,方向不是全錯的:「前沿AI確實存在災難性風險的可能性,這個關切不是偽造的。問題在於執行方式,一個沒有技術專家、沒有清晰標準、沒有時間表的審批流程,不是答案。」
OpenAI說GPT-5.6的限制是「短期措施」,可能在幾週後向公眾開放。但6月27日Mythos 5的「有限恢復」已經給出了模板,不是全面放開,還是僅限部分美國機構、其他限制繼續有效。每一個長期制度,最初都被稱為「短期措施」。
Dean Ball最後寫了一句話,值得所有人認真對待:「如果只有極少數人能使用前沿AI,壞的未來反而更可能發生。因為那些少數人,往往是已經擁有巨大經濟和政治權力的群體」。
估計全球的開發者社區,都在懷念那個不顧時差蹲OpenAI發布會,驚喜於新模型的進步、並熬夜測試各種新場景的時代。
不過,現在我們還是可以充滿期待地「蹲」中國最新大模型的發布。