文｜晓静

编辑｜徐青阳

6 月 27 日早间，Anthropic 宣布：美国政府已批准其最强网络安全模型 Mythos 5 重新部署至超过 100 家美国机构，包括大型企业和政府部门。面向公众的版本 Fable 5" 恢复在即 "。据 WIRED 获得的商务部长卢特尼克致 Anthropic 联合创始人 Tom Brown 的信件，卢特尼克通知 Anthropic 他已 " 确定适当的安全保障措施已经到位 "。但同一封信中，卢特尼克指出 6 月 12 日初始指令的所有其他要求仍然有效，且对 Fable 5 何时向公众恢复只字未提。

几乎同时，6 月 27 日凌晨，OpenAI 正式发布了 GPT-5.6 系列三款模型：Sol、Terra、Luna。同样是在白宫的要求下，GPT-5.6 只对 " 经政府逐案审批的合作伙伴 " 开放 API 访问，ChatGPT 端尚未上线。

回看整个时间线拉完整：6 月 2 日特朗普签署 AI 行政令，6 月 9 日 Anthropic 发布 Fable 5 和 Mythos 5，6 月 12 日商务部下令全面下架，6 月 26 日 OpenAI 发布 GPT-5.6 但被限制发行，6 月 27 日 Mythos 5 获准有限恢复。不到一个月，美国政府对前沿 AI 模型的控制经历了完整的 " 叫停—谈判—有条件放行 " 周期。

OpenAI 战略团队负责人 Dean Ball（前白宫 AI 顾问）在 6 月 16 日的博客中总结了这件事对行业的影响：" 前沿 AI 模型开发者现在需要政府明确的‘绿灯’才能发布 "。

Dean Ball 在 6 月 26 日的长文《What Should Be Done》中评价："Nobody knows what the requirements are to get licensed. When I say 'nobody' I mean it literally: the administration itself does not seem to know. 没有人知道获得许可的要求到底是什么。这里我说 " 没有人 "，是字面意义上的：似乎连政府部门自己都不知道。"

这是整件事最核心的问题。政府的行动建立在一个隐含前提之上：这些模型的能力已经强到构成不可接受的安全风险。但当事公司自己的官方评估，给出了完全相反的结论。

OpenAI 在 GPT-5.6 发布博客中披露了完整的安全评估结果，按照 OpenAI 自己建立并公开发布的准备框架，Sol 没有越过这条线。这个框架的红线定义是：模型能否在没有人类协助的情况下，自主发现并利用高价值目标的未知漏洞。

具体测试结果是：Sol 在 Chromium 和 Firefox 上能识别漏洞和利用原语（exploitation primitives），但 " 没有在测试条件下自主生成完整可用的端到端攻击链 "。OpenAI 自己的判断是：Sol 更擅长帮人找漏洞和打补丁，并不是端到端可靠地执行完整攻击。

但 OpenAI 紧接着也写了一句 " 很有情商 " 的话："benchmark thresholds cannot capture every way a model may be used or combined with other tools." 虽然按我们的标准没过线，但谁知道真实世界里会怎么用呢？故意制造了一个模棱两可的灰色地带。

Anthropic 就不是那么 " 有情商 " 了。在 6 月 13 日的声明中，Anthropic 逐点反驳了政府的理由。政府声称发现了 Fable 5 的越狱方法，Anthropic 回应说：第一，这只是一个 " 窄范围的非通用越狱 "，本质上是让模型阅读一段代码然后指出缺陷；第二，" 其他公开可用的模型，包括 OpenAI 的 GPT-5.5，也能做到 "；第三，Anthropic 投入了数千小时的红队测试，" 没有任何测试者找到通用越狱 "。

Anthropic CEO Dario Amodei 在 6 月 11 日发表的长文《Policy on the AI Exponential》中已经预判了这种局面，声明中明确表态："We believe the government should have the ability to block unsafe deployments, as part of a statutory process that is transparent, fair, clear, and grounded in technical facts. This action does not adhere to those principles." （政府可以阻止不安全的部署，但流程必须透明、公平、清晰、基于技术事实。这次行动不符合这些原则）。

两个最激烈的竞争对手，在同一个月里，用各自独立的评估体系得出了同一个结论：按照行业自建的安全框架，这些模型并不会构成不可部署的风险。

那么问题来了，如果模型没有越过行业红线，政府凭什么介入？Dean Ball 进一步披露：政府此前聘请了唯一一位有前沿 AI 经验的官员来主持 AI 标准与创新中心（CAISI），此人曾在 OpenAI 和 Anthropic 任职，但上任几天就被高层解雇。剩余 CAISI 团队在整个 " 后 Mythos 危机期 " 处于停工令状态，甚至不被允许与其他政府机构沟通。" 我认识的特朗普政府官员中，没有人有前沿 AI 经验 "。

Ball 的意思是，做出管制决定的人，既没有定义清晰的安全标准，也没有评估这些模型的技术能力。

更进一步的自然追问是：Fable 5 和 GPT-5.6 Sol 是否真的跨越了某种 " 人类威胁奇点 "？是否存在一条客观的能力红线，越过了就必须管制？

多位 AI 领域专家表示，技术上并不存在这样一条线。模型能力是连续增长的曲线。每一代模型发布时都是 " 史上最强 "，但只有这一次触发了政府的直接干预。

背后有三个隐含条件：

第一，能力变得 " 可演示 " 了。Anthropic 自己把 Mythos 5 宣传为 " 世界最强网络安全模型 "，Stripe 一天迁移 5000 万行代码的案例被广泛传播。这些故事让不懂技术的政治家也能想象 " 如果坏人用会怎样 "。

Meta 原首席 AI 科学家、图灵奖得主 Yann LeCun 早在 2025 年 11 月就公开指出了这个逻辑：当 Anthropic 发布首份 AI 网络攻击威胁报告时，LeCun 直接称其为 "regulatory theater"（监管剧场），指控 Anthropic 利用 AI 安全恐惧 "manipulate legislators"（操纵立法者）进行 "regulatory capture"（监管俘获）。

LeCun 当时的判断是：闭源公司系统性地夸大 AI 安全威胁，目的是建立只有大公司才能通过的合规壁垒，排斥开源竞争者。Antropic 没想到的是，石头先砸向了自己。

第二，有人递了一把刀。亚马逊 CEO 安迪 · 贾西向政府提交了 Anthropic 模型的安全隐患报告。亚马逊是 Anthropic 最大投资方，也是其云服务合作伙伴，同时还有自研模型（Nova 系列）和 Anthropic 形成竞争。由此，政府获得了行动的合法性来源。

第三，特朗普本月初刚签了 AI 行政令，给政府 60 天制定前沿模型的 " 自愿提交规则 "。行政令需要第一个执法案例来证明它不是废纸。Fable 5 撞到了枪口上。

这就引出一个更深层的问题，如果 " 太强就要管 "，而 " 多强算太强 " 由监管部门说了算，且标准不公开、没有明确阈值、没有申诉程序，那未来每一次前沿模型发布都将面对同样的不确定性。企业不知道自己的模型什么时候会触发管制。

图片由 AI 生成

美国政府试图用出口管制来遏制所谓的危险技术扩散，能让人联想到一个很相似的历史先例，90 年代的 " 密码战争 "（Crypto Wars）。

冷战结束后，互联网开始商业化，计算机科学家们在开发保护数据传输安全的加密技术。美国政府把强加密算法归类为 " 军需品 "（munitions），放在和导弹、坦克同一个出口管制清单上（ITAR/EAR）。逻辑和今天十分相似，如果敌人获得了强加密，NSA（美国国家安全局）就无法监听他们的通讯，国家安全受威胁。

这意味着美国软件公司只能对海外客户出口 40 位密钥的弱加密版本，NSA 能轻松破解的版本，而国内版本可以使用 128 位强加密。外国用户知道他们拿到的是 " 阉割版 "，开始转向欧洲和以色列的替代产品。

1991 年，一个叫 Phil Zimmermann 的密码学爱好者写了 PGP（Pretty Good Privacy），一个让普通人也能用强加密保护邮件的软件。他把 PGP 上传到了互联网。美国海关随即对他展开刑事调查——罪名是 " 非法出口军需品 "。

Zimmermann 的反击极其巧妙：他把 PGP 的完整源代码印成了一本书出版。书籍受第一修正案保护，出版自由是宪法权利。你可以管制软件，但你没办法禁止一本书出口。调查持续了三年，最终在 1996 年关闭，政府没有提起诉讼。

几乎同一时间，NSA 推出了一个更激进的方案：Clipper 芯片。设计思路是所有通讯设备必须安装这个芯片，芯片负责加密通讯，芯片内置密钥托管机制，在执法授权下，政府能通过托管密钥解密通信。用户之间的通讯对第三方是加密的，但政府随时可以解密。克林顿政府强推这个方案。结果学术界发现了芯片的设计缺陷，科技行业集体抵制，公众强烈反对，1996 年彻底死掉。

1995 年，数学家 Daniel Bernstein 想在网上发布自己写的加密算法源代码，被政府以出口管制为由禁止。他起诉了司法部。第九巡回上诉法院做出了一个影响深远的判决：软件源代码是受第一修正案保护的 " 言论 "（speech），政府对加密代码的出口管制违宪。这个判决直接动摇了整个管制体系的法律基础。

2000 年 1 月，克林顿政府大幅放松加密出口管制。原因是管不住了。PGP 早就传遍全世界，开源加密算法全球普及，管制只是在阻碍美国公司的竞争力，外国客户早已转向其他供应商。

放松管制之后，才有了今天 Signal 和 WhatsApp 的端到端加密。如果 90 年代的管制延续至今，这些产品不可能存在。

90 年代，被管控的是强加密算法，理由是国家安全，工具是 ITAR 军需品出口管制，受伤的是美国软件公司（被迫出口弱版本），不受影响的是外国开发者（自己写加密算法）。

2026 年，被管控的是前沿 AI 模型能力，理由还是国家安全，工具是出口管制指令。

这次真正受伤的会是谁？

外媒评论指出：" 没有人花 1000 亿美元建数据中心，只为了服务于政府批准的 100 家公司 "。

前沿模型的训练成本以十亿美元计，而回收成本的窗口只有发布后几个月，之后模型变成次前沿，竞争加剧，利润率压缩。每一周的审批延迟，都在吞噬这个有限的盈利窗口。Brandom 的结论是：" 如果持续下去，整个产业的基础投资逻辑都会动摇 "。

乔治 · 华盛顿大学政治学助理教授 Jeffrey Ding 的核心论点是：在大国技术竞争中，决定胜负的不是谁先发明了一项技术，而是谁能更快地将技术扩散到整个经济体中。通用技术（general-purpose technologies）尤其如此——它需要广泛的社会扩散，需要新组织围绕它被创建出来，需要大规模的真实世界使用数据来发现它的应用边界。Dean Ball 在引用 Ding 时写道：" 通用技术的用途是被发现的，不是事先知道的 "。

但大洋彼岸的另外一边，中国大模型正在以开源开放的姿态走向全球开发者。

加密算法是纯数学，一旦发表就无法收回。AI 模型权重有类似属性，但闭源前沿模型的推理能力确实集中在少数公司的 API 后面。

但开源模型的能力在逐代追赶，管控能延缓扩散，无法阻止扩散。90 年代花了将近 10 年才走到 " 认输放松管制 " 这一步。AI 管控难道也需要类似的时间周期？

2026 年 6 月，在 AI 产业的历史上，可能标志着一个转折点：政府第一次成功地在商业 AI 模型和它的用户之间，插入了自己作为审批者的角色。

Dean Ball 在《What Should Be Done》中，Ball 警告说，如果市场对此产生恐慌，效果将远超 AI 行业本身：" 从核能到天然气到电力电子，美国再工业化的大量投资都明确或隐含地以 AI 产业的未来需求为前提。如果这个需求因为政府管制而无法实现，连锁反应会远超人们想象。"

但 Ball 也承认，方向不是全错的：" 前沿 AI 确实存在灾难性风险的可能性，这个关切不是伪造的。问题在于执行方式，一个没有技术专家、没有清晰标准、没有时间表的审批流程，不是答案。"

OpenAI 说 GPT-5.6 的限制是 " 短期措施 "，可能在几周后向公众开放。但 6 月 27 日 Mythos 5 的 " 有限恢复 " 已经给出了模板，不是全面放开，还是仅限部分美国机构、其他限制继续有效。每一个长期制度，最初都被称为 " 短期措施 "。

Dean Ball 最后写了一句话，值得所有人认真对待：" 如果只有极少数人能使用前沿 AI，坏的未来反而更可能发生。因为那些少数人，往往是已经拥有巨大经济和政治权力的群体 "。

估计全球的开发者社区，都在怀念那个不顾时差蹲 OpenAI 发布会，惊喜于新模型的进步、并熬夜测试各种新场景的时代。

不过，现在我们可以充满期待地 " 蹲 " 中国最新大模型的发布。