文丨苏扬

编辑丨徐青阳

从 EUV 光刻机，到先进 DUV 光刻机，再到 H100 芯片，在半导体禁运这件事情上，硅谷分成了两派。

黄仁勋、苏姿丰们一直在为放松管制奔走呼喊，认为过度管制相当于把市场拱手让人，Anthropic CEO 阿莫迪则是管制的 " 狂热粉 "，一度把先进芯片比作核武器。

黄仁勋数次暗讽阿莫迪，认为他有 " 上帝情结 "。"将 AI 与核武器、铀浓缩相提并论就是疯了，我们不是提炼浓缩铀，我们做的只是一个小芯片。"《Dwarkesh Patel》播客节目，黄仁勋说。

" 狂热粉 " 阿莫迪可能怎么也没预料到，他一直强调的强监管，有一天会发生在 Anthropic 身上—— Mythos 和 Fable 5 两个前沿模型，被美国政府禁止向全球任何 " 外国国民 " 提供服务。

"阿莫迪对 Mythos/Fable（以及整个 AI 领域）荒谬的恐惧营销终于得到了回报：美国政府禁止了非美国人使用它，甚至包括在美国本土工作的外籍员工。种瓜得瓜，种豆得豆。" 图灵奖得主杨立昆在脸书上写道。

" 种瓜得瓜，种豆得豆 " 这句话放在中文语境里，可谓 " 求锤得锤 "。后来在评论区，杨立昆还挖苦阿莫迪可能会借着被管制吹嘘自家模型有多强。

从美国一些政策口风来看，针对 Mythos、Fable 两款模型的禁令不会太久。被称为 "AI 沙皇 " 的白宫 AI 顾问大卫 · 萨克斯表示这只是暂时限制，希望 Anthropic 尽快修补安全漏洞。

所以在这个时间点上，我们希望通过本文梳理一下，" 模型禁令 " 的来龙去脉，核心的争议、存在的问题，长期出口管制的可能性，以及对 Anthropic 乃至整个人工智能产业的潜在影响。

很多美国电影都喜欢用 " 小时 " 命名，以突出在一个较短的时间周期内的剧烈变化，Anthropic 新模型从上线到下架，比如 Fable 5 只有 72 小时，恰好就在这个叙事框架当中。

6 月 9 日，Anthropic 上线其成立以来最强模型，Claude Fable 5 和 Claude Mythos 5，这是 Anthropic 首个 "Mythos-class" 模型。Fable 5 是面向公众的版本，带有安全分类器：在网络安全、生物学、化学等高敏感领域，查询会被自动路由到能力较弱的 Opus 4.8。Mythos 5 则是同一底层模型，但安全限制解除，仅通过 Project Glasswing 向约 150 个经过审查的组织提供。

此时，距离 Mythos 的首个预览版亮相，已经过去了 2 个月。

Anthropic 在官方博客中提到，"Fable 5 系列在经过测试的所有模型中，具备最严格的安全防护 "。

只是在一天之后，著名 AI 越狱者 Pliny the Liberator 在 X 上发布全大写帖子："JAILBREAK ALERT, ANTHROPIC PWNED, FABLE-5 LIBERATED"。他声称使用 Unicode 替换、同形字符、长上下文稀释和分解 - 重组技术绕过了 Fable 5 的安全分类器。

当时阿莫迪可能还沉浸在 Fable 5 模型 " 秒天秒地 " 的喜悦中，还没注意到 Pliny 预告的风险，洋洋洒洒地在自己的个人博客上发布了题为 " 人工智能指数级增长下的政策应对 " 的长文，主张政府应该有权阻止不安全的 AI 模型部署。

和 Pliny 一样，亚马逊研究员也发现了模型 " 越狱 " 风险，但在处置上略有不同。

亚马逊 CEO 安迪 · 贾西直接选择跨过 Anthropic ——这家亚马逊重金投资的公司——给白宫和美国商务部送去了一份 " 越狱 " 报告。

多家外媒披露，在收到亚马逊 " 举报信 " 的次日（6 月 12 日），Anthropic 收到了美国政府的最后通牒，被指示 90 分钟内关闭两款模型的访问权限，阿莫迪试图通过一通电话来挽回，但最终还是收到了 " 紧急出口管制指令 "。

6 月 12 日晚间，Anthropic 执行了该指令。有意思的是，阿莫迪和他的团队对指令进行了 " 加码 "，在全球范围内对 Fable 5 和 Mythos 5" 拔网线 "。也就是不管你是不是美国人，全部一刀切不给用。

从 6 月 9 日发布，到 6 月 12 日紧急下线，堪称 Anthropic 的 " 危情 72 小时 "。

我在朋友圈转发这条消息的时候，引述了一句香港电影的经典台词—— " 难办，那就都别办了 "。

这里面有一个可以探讨的空间——明明要求的是对 " 非美籍用户 " 断网，为什么 Anthropic 激进地选择了一刀切？要知道，Anthropic 从来就不是 " 听话的乖宝宝 "，一季度，阿莫迪直接掏出了自己制定的 " 宪章模型（Constitutional AI）" 服务条款，试图以放弃美国政府合同为代价，捍卫 "AI 不能用于军事和监控 " 的理念。

关于 " 一刀切 " 的处理方式，一些分析认为 Anthropic 缺少应对时间，无法在第一时间去筛选用户，尤其是很多用户通过 API 接入，甚至还有一些中转 API，工程难度巨大。

这个说法有合理性，但如果翻开他们官网的政策页面，你会发现 Anthropic 早就在这方面做功课了，其最新发布的隐私政策全文里面就暗示将要求用户提交年龄、身份等信息，这也被很多人解读为 Claude 后续模型有可能加入 " 人脸识别 "。从这个角度来看，去识别一下用户身份 " 美籍 " 或者 " 非美籍 "，不是什么难题。

" 很多人在分析法律基础，其实就是用了‘ Is informed letter ’（告知函）机制，" 一位长期跟踪出口管制政策的研究员说。

在美国的出口管制体系中，告知函是美国商务部工业与安全局（BIS）常用的非公开、快速下发的行政执法工具。它允许监管机构不通过立法程序修改《出口管制条例》的情况下，致函目标企业执行特定物项、技术等出口必须申请许可证。

2023 年底，英伟达针对中国市场推出特供 H20 产品，以规避《出口管制条例》中对 GPU 的算力、带宽等进行限制的细则，随后 BIS 向英伟达、AMD 等企业下发告知函，要求相关 A 芯片的出口必须额外申请许可，然后在这个过程中去更新《出口管制条例》。

回到 Anthropic 身上，在收到限制 " 非美籍 " 用户接入的告知函之前，美国政府明确给了 "90 分钟下架 " 的指示，Politico 等多家外媒披露，双方经过了多轮对话交锋，覆盖了美国财政部长、美国商务部长、白宫 AI 政策顾问等多名官员，但上述指示遭到了 Anthropic 的拒绝。

一开始拒绝下架，到最后 " 一刀切 " 拔网线，这样的反差很难用 " 工程无法实现 " 来解释。

告知函一般是正式出口管制规则出台的前奏，但前述研究员认为这次不会更新出口管制条例，"说白了就是先把 Anthropic 拦下来。"

他认为，在大模型发布场景下，要明确到底管制什么，但这个问题目前并没有清晰答案。" 究竟是模型权重、API 访问、推理服务，还是某种抽象的‘模型能力’？"

过去，出口管制更偏向于实物，即便是技术，最终也是实物商品在提，但模型权重一旦生成，在数字空间中就可以传播，很难在物理上实现绝对意义的 " 禁运 "。

所以，" 先把 Anthropic 拦下来 " 是一种合理的推测，而拦下来之后，再讨论更妥当的治理和对齐方式，也正是基于这种假设，可以进一步推断 Mythos、Fable 即将回归，这也是为什么 "AI 沙皇 " 大卫 · 萨克斯强调 " 禁用 " 只是暂时限制。

那么，美国政府为什么要动用行政手段去干预一家 AI 实验室前沿模型的发布？

模型的 " 漏洞突破 " 能力。

3 月份，在一次和 360 集团董事长周鸿祎的交流中，他特别提到了 "Anthropic 基于模型发现漏洞 " 的能力。"Anthropic 通过 AI 编程、AI 查找漏洞，就把很多原来安全上不能解决的问题给解决了。所以我提了一个建议，关注 AI（安全）智能体。"

前述研究员也强调，Mythos 所涉及的并不是泛泛意义上的聊天机器人能力，而是高度具体的漏洞发现、攻击路径分析和进攻性网络能力。

Anthropic 不但选择了 " 加码执行 " 禁令，也发了一份公开声明。

" 为了确保合规，我们必须立即停止所有用户的方案。"Anthropic 在声明中写道，并且补充解释这是一个误会，他们认为美国政府及第三方报告的 " 越狱 " 方案，只被用于少量先前已知的轻微漏洞，且这些漏洞看起来都相对简单。

所以回过头来看， 阿莫迪在个人博客中主张政府应该有权阻止不安全的 AI 模型部署，以及 Anthropic 在官方博客把 Fable 5 定义为最安全的模型，都透露着对自家产品安全性的绝对自信。

只不过，Anthropic 也留了一句铺垫 " 目前任何模型提供商都无法实现完全防越狱 "，这句话由于与绝对的安全存在矛盾，甚至有诡辩的成分。

大意是：我们的模型是最安全的，那些不安全的模型，主管部门才应该阻止一下；我们的漏洞很少都是已知的轻量级；我们已经尽最大努力来限制 " 越狱 "，但没有人能绝对封堵 " 越狱 "。

可一个号称最安全的模型，为什么要在已知有漏洞的情况下选择上线？这难道不是带伤上阵吗？既然不能绝对封堵 " 越狱 "，为什么要呼吁打压其他模型呢？

熟悉 Anthropic 这家公司用户应该都知道，其不仅模型和产品能力出色，实际上在 AI 的安全与治理上也表现的非常激进，甚至有一种 "AI 时代规则制定者 " 的使命感，不断给自己贴上 " 安全 " 光环。

2023 年 9 月 19 日，Anthropic 发布了 RSP 1.0（负责任扩展政策），呼吁模型能力越强，安全保障必须越强。在证明安全之前，不发布更强大的模型。该文件中提到了 AI 安全等级分级机制（ASL），其中 ASL-1：无意义灾难性风险 、ASL-2 则显示出早期危险信号，但无灾难性风险、ASL-3 显著增加灾难性滥用风险等等。

" 如果 AI 规模扩展超出了我们遵守必要安全程序的能力，ASL 框架将要求我们暂时暂停训练更强大的模型。"Anthropic 写道。

在 Fable 5 上线之前一周，6 月 4 日，Anthropic 发布了《当 AI 自我塑造》文章，呼吁 " 主动暂停 " 以规避 AI 递归改进的风险。

话音刚落，Fable 5 系列模型上线了。

如果倒回去看这个时间线，这表现得非常滑稽，就像是学霸告诉你，" 我考试从来不复习 "，但实际上有疯狂补课的画面感。

如果真有担忧，为什么在呼吁暂停以后又要把自己 " 最强模型 " 发出来？这是其一。实际上 "Mythos 级 " 模型的预览版 2 个月前就已经亮相，既然能力已经如此具有突破性，为什么当时不呼吁暂停？

Anthropic 看似在安全策略上表现激进，但这种安全呼吁和行动，更像是在约束对手，一边喊着对不安全的模型监管，呼吁暂停前沿模型训练，另一边自己在不断地迭代、往前推进。

如果说 2023 年发布的 RSP 1.0，Anthropic 当时还是一个理想主义者，到了 2025 年的 RSP 2.2，他们就变成了一个现实主义者。

RSP 2.2 的 Changelog 中提到了一个修改：" 将 sophisticated insiders 和 state-compromised insiders 排除在 ASL-3 Security Standard 之外 "，并 " 移除 ASL-2 对 distillation attacks（蒸馏攻击）的保护承诺 "。

我特地查了一下，这个修改的意思就是：以后来自内部攻击、国家力量攻击等相关防御，都不作为安全的硬性标准。换句话说，Anthropic 悄悄 " 降低 " 了其安全防御的标准，不再承诺去抵御那些 " 最顶级、最难防 " 的安全威胁。

2026 年 2 月 9 日，Anthropic 安全最高负责人 Mrinank Sharma 辞职。他在公开信中写道：" 世界处于危险中。在我任职期间，我反复看到让价值观真正指导组织行动是多么困难 …… 我们不断面临压力，要放弃最重要的东西。"

Mrinank Sharma 辞职几天后，2 月 24 日，Anthropic 发布了 RSP 3.0，全面重写其安全策略，删除了所有 " 暂停 " 相关的措辞。

本质上就如前面所说，Anthropic 从来就没有触发过训练暂停，这其实和 2023 年 3 月份那篇知名的 " 暂停 GPT-4 以上模型训练 6 个月 " 的公开信一样，当时马斯克是重要参与者——先签署公开信，后宣布 xAI 成立，然后 11 月份就发布了 Grok-1。

所以，各种大模型实验室根本就没有 " 安全共识 "，所谓的暂停，全都是商业策略。

Fable 5 上线，输入和输出定价是每百万 token 是 10 美元和 50 美元，堪称 Opus 4.8 两倍，好在缓存命中有 90% 的折扣。

当时和一位 AI 领域研究员交流，他给的反馈是 " 好用是好用，贵是真的贵 "。一时间也有各种内涵大模型价格越来越贵的段子、短视频和 gif 图，这其实反映出一个趋势：只要模型能力强，即便是贵，依旧会有很多人用。

这也是为什么这段时间，国产模型都在尝试 " 提速 "，给用户提供更快的推理和 TPS ( Token/s ) ，同时适当做一些价格上涨的原因。

回到 Anthropic 身上。2021 年 5 月，阿莫迪带着亲妹妹和 14 名研究员出走 OpenAI，创立 Anthropic，并在 A 轮融到 1.24 亿美元，估值 5.5 亿美元。5 年后的 2025 年，其 H 轮融资膨胀至 65 亿美元，估值 9650 亿美元——以估值计算，5 年增长超过 1700 倍。

比估值膨胀更快的是收入。

2024 年初 Anthropic 的年收入不到 10 亿美元，这个数字在 2025 年底达到约 90 亿美元（ARR 口径）。2026 年一季度 Anthropic 的营收为 48 亿美元，《华尔街 · 日报》获取的文件显示，Anthropic 向投资者披露的财务数据，预计第二季度营收将达到 109 亿美元。

根据公开资料，6 月 1 日，Anthropic 秘密向 SEC 提交了 IPO 注册文件。目标是抢先于 OpenAI 在今年第四季度上市，募资 600 亿美元。按照单季度 100 亿美元的收入计算，全年 ARR 预计超过 400 亿美元，9650 亿美元的估值，意味着投资者为此要支付 24 倍 ARR 估值，这种估值定价要求 Anthropic 在收入端保持指数级增长。

这种背景下，每一个安全承诺，比如 " 能力超标就暂停训练 "，都相当于收入增长的刹车。在 24 倍 ARR 的估值下，任何 " 暂停 " 都会对估值产生灾难性影响。

所以，RSP 3.0 中删除暂停字样，不是像巧合，反而更像是屈服于资本压力—— IPO 关键阶段，任何可能会带来意外的 " 刹车 " 都要被拆除，从招股书的合规性来看亦是如此。

如果不去掉硬性 " 暂停 " 指标，招股书中就要明确 " 本公司承诺模型能力触发未知安全红线，无条件暂停商业化部署 " 这类风险提示。这相当于告诉投资人，公司营收随时可能无预警 " 归零 "。

9650 亿美元估值和 IPO 压力下，Anthropic 面临着股东利益可能会压倒公共利益的难题。

OpenAI 调整架构的时候，讨论最为激烈的话题就是 PBC ——公众利益公司，Anthropic 也是这样的治理架构。按照这个架构设计，长期利益信托基金（LTBT）有权指派 2-3 名董事，但直到 2024 年底，LTBT 才任命了 1 名董事会成员，2025 年也只新指派了 1 名，直到今年上市压力逼近，诺华制药前 CEO Vas Narasimhan 加入董事会，LTBT 的董事席位达到 4/7（7 个席位到位 4 人）。

意外就在于，LTBT 指派的董事当中，仅任职一年的 Jay Kreps（Confluent 联合创始人兼 CEO，2024 年 5 月由信托指派加入）官宣辞任相关职务。

" 信托派 " 与 " 管理层 + 资方 " 的投票权比例又退回到了 3-3。在下一名 LTBT 指派的董事就位之前，如果双方出现明显分歧，就会出现 " 治理真空 "。

关键的 " 第 7 人 "，会在 IPO 前到来吗？