作者：晓静

编辑：徐青阳

6月27日早间，Anthropic宣布：美国政府已批准其最强网络安全模型Mythos 5重新部署至超过100家美国机构，包括大型企业和政府部门。面向公众的版本Fable 5“恢复在即”。

据外媒获得的商务部长卢特尼克致Anthropic联合创始人Tom Brown的信件，卢特尼克通知Anthropic他已“确定适当的安全保障措施已经到位”。

但同一封信中，卢特尼克指出6月12日初始指令的所有其他要求仍然有效，且对Fable 5何时向公众恢复只字未提。

几乎同时，6月27日凌晨，OpenAI正式发布了GPT-5.6系列三款模型：Sol、Terra、Luna。同样是在白宫的要求下，GPT-5.6只对“经政府逐案审批的合作伙伴”开放API访问，ChatGPT端尚未上线。

回看整个时间线：6月2日特朗普签署AI行政令，6月9日Anthropic发布Fable 5和Mythos 5，6月12日商务部下令全面下架，6月26日OpenAI发布GPT-5.6但被限制发行，6月27日Mythos 5获准有限恢复。

不到一个月，美国政府对前沿AI模型的控制经历了完整的“叫停—谈判—有条件放行”周期。

OpenAI战略团队负责人Dean W. Ball（前白宫AI顾问）在6月16日的博客中总结了这件事对行业的影响：“前沿AI模型开发者现在需要政府明确的‘绿灯’才能发布”。

Dean W. Ball在6月26日的长文《What Should Be Done》中评价：“没有人知道获得许可的要求到底是什么。这里我说‘没有人’，就是字面意义上的意思：似乎连政府部门自己都不知道。”

图：Dean W. Ball 的长文 What Should Be Done

01 真的强大到不安全了吗？

这是整件事最核心的问题。政府的行动建立在一个隐含前提之上：这些模型的能力已经强到构成不可接受的安全风险。但当事公司自己的官方评估，给出了完全相反的结论。

OpenAI在GPT-5.6发布博客中披露了完整的安全评估结果，按照OpenAI自己建立并公开发布的准备框架，Sol没有越过这条线。这个框架的红线定义是：模型能否在没有人类协助的情况下，自主发现并利用高价值目标的未知漏洞。

具体测试结果是：Sol在Chromium和Firefox上能识别漏洞和利用原语（exploitation primitives），但“没有在测试条件下自主生成完整可用的端到端攻击链”。OpenAI自己的判断是：Sol更擅长帮人找漏洞和打补丁，并不是端到端可靠地执行完整攻击。

但OpenAI紧接着也写了一句“很有情商”的话：“benchmark thresholds cannot capture every way a model may be used or combined with other tools.”虽然按我们的标准没过线，但谁知道真实世界里会怎么用呢？故意制造了一个模棱两可的灰色地带。

Anthropic就不是那么“有情商”了。在6月13日的声明中，Anthropic逐点反驳了政府的理由。政府声称发现了Fable 5的越狱方法，Anthropic回应说：第一，这只是一个“窄范围的非通用越狱”，本质上是让模型阅读一段代码然后指出缺陷；第二，“其他公开可用的模型，包括OpenAI的GPT-5.5，也能做到”；第三，Anthropic投入了数千小时的红队测试，“没有任何测试者找到通用越狱”。

Anthropic CEO Dario Amodei在6月11日发表的长文《Policy on the AI Exponential》中已经预判了这种局面，声明中明确表态：“政府可以阻止不安全的部署，但流程必须透明、公平、清晰、基于技术事实。这次行动不符合这些原则）。”

两个最激烈的竞争对手，在同一个月里，用各自独立的评估体系得出了同一个结论：按照行业自建的安全框架，这些模型并不会构成不可部署的风险。

那么问题来了，如果模型没有越过行业红线，政府凭什么介入？Dean Ball进一步披露：政府此前聘请了唯一一位有前沿AI经验的官员来主持AI标准与创新中心（CAISI），此人曾在OpenAI和Anthropic任职，但上任几天就被高层解雇。剩余CAISI团队在整个“后Mythos危机期”处于停工令状态，甚至不被允许与其他政府机构沟通。“我认识的特朗普政府官员中，没有人有前沿AI经验”。

Ball的意思是，做出管制决定的人，既没有定义清晰的安全标准，也没有评估这些模型的技术能力。

更进一步的自然追问是：Fable 5和GPT-5.6 Sol是否真的跨越了某种“人类威胁奇点”？是否存在一条客观的能力红线，越过了就必须管制？

多位AI领域专家表示，技术上并不存在这样一条线。模型能力是连续增长的曲线。每一代模型发布时都是“史上最强”，但只有这一次触发了政府的直接干预。

背后有三个隐含条件：

第一，能力变得“可演示”了。Anthropic自己把Mythos 5宣传为“世界最强网络安全模型”，Stripe一天迁移5000万行代码的案例被广泛传播。这些故事让不懂技术的政治家也能想象“如果坏人用会怎样”。

Meta原首席AI科学家、图灵奖得主Yann LeCun早在2025年11月就公开指出了这个逻辑：当Anthropic发布首份AI网络攻击威胁报告时，LeCun直接称其为“regulatory theater”（监管剧场），指控Anthropic利用AI安全恐惧“manipulate legislators”（操纵立法者）进行“regulatory capture”（监管俘获）。

LeCun当时的判断是：闭源公司系统性地夸大AI安全威胁，目的是建立只有大公司才能通过的合规壁垒，排斥开源竞争者。Antropic没想到的是，石头先砸向了自己。

第二，有人递了一把刀。亚马逊CEO安迪·贾西向政府提交了Anthropic模型的安全隐患报告。亚马逊是Anthropic最大投资方，也是其云服务合作伙伴，同时还有自研模型（Nova系列）和Anthropic形成竞争。由此，政府获得了行动的合法性来源。

第三，特朗普本月初刚签了AI行政令，给政府60天制定前沿模型的“自愿提交规则”。行政令需要第一个执法案例来证明它不是废纸。Fable 5撞到了枪口上。

这就引出一个更深层的问题，如果“太强就要管”，而“多强算太强”由监管部门说了算，且标准不公开、没有明确阈值、没有申诉程序，那未来每一次前沿模型发布都将面对同样的不确定性。企业不知道自己的模型什么时候会触发管制。

图片由 AI 生成

02 历史镜鉴，30 年前的密码战争

美国政府试图用出口管制来遏制所谓的危险技术扩散，能让人联想到一个很相似的历史先例，90年代的“密码战争”（Crypto Wars）。

冷战结束后，互联网开始商业化，计算机科学家们在开发保护数据传输安全的加密技术。美国政府把强加密算法归类为“军需品”（munitions），放在和导弹、坦克同一个出口管制清单上（ITAR/EAR）。逻辑和今天十分相似，如果敌人获得了强加密，NSA（美国国家安全局）就无法监听他们的通讯，国家安全受威胁。

这意味着美国软件公司只能对海外客户出口40位密钥的弱加密版本，NSA能轻松破解的版本，而国内版本可以使用128位强加密。外国用户知道他们拿到的是“阉割版”，开始转向欧洲和以色列的替代产品。

1991年，一个叫Phil Zimmermann的密码学爱好者写了PGP（Pretty Good Privacy），一个让普通人也能用强加密保护邮件的软件。他把PGP上传到了互联网。美国海关随即对他展开刑事调查——罪名是“非法出口军需品”。

Zimmermann的反击极其巧妙：他把PGP的完整源代码印成了一本书出版。书籍受第一修正案保护，出版自由是宪法权利。你可以管制软件，但你没办法禁止一本书出口。调查持续了三年，最终在1996年关闭，政府没有提起诉讼。

几乎同一时间，NSA推出了一个更激进的方案：Clipper芯片。设计思路是所有通讯设备必须安装这个芯片，芯片负责加密通讯，芯片内置密钥托管机制，在执法授权下，政府能通过托管密钥解密通信。用户之间的通讯对第三方是加密的，但政府随时可以解密。克林顿政府强推这个方案。结果学术界发现了芯片的设计缺陷，科技行业集体抵制，公众强烈反对，1996年彻底死掉。

1995年，数学家Daniel Bernstein想在网上发布自己写的加密算法源代码，被政府以出口管制为由禁止。他起诉了司法部。第九巡回上诉法院做出了一个影响深远的判决：软件源代码是受第一修正案保护的“言论”（speech），政府对加密代码的出口管制违宪。这个判决直接动摇了整个管制体系的法律基础。

2000年1月，克林顿政府大幅放松加密出口管制。原因是管不住了。PGP早就传遍全世界，开源加密算法全球普及，管制只是在阻碍美国公司的竞争力，外国客户早已转向其他供应商。

放松管制之后，才有了今天Signal和WhatsApp的端到端加密。如果90年代的管制延续至今，这些产品不可能存在。

90年代，被管控的是强加密算法，理由是国家安全，工具是ITAR军需品出口管制，受伤的是美国软件公司（被迫出口弱版本），不受影响的是外国开发者（自己写加密算法）。

2026年，被管控的是前沿AI模型能力，理由还是国家安全，工具是出口管制指令。

这次真正受伤的会是谁？

外媒评论指出：“没有人花1000亿美元建数据中心，只为了服务于政府批准的100家公司”。

前沿模型的训练成本以十亿美元计，而回收成本的窗口只有发布后几个月，之后模型变成次前沿，竞争加剧，利润率压缩。每一周的审批延迟，都在吞噬这个有限的盈利窗口。Brandom的结论是：“如果持续下去，整个产业的基础投资逻辑都会动摇”。

乔治·华盛顿大学政治学助理教授Jeffrey Ding的核心论点是：在大国技术竞争中，决定胜负的不是谁先发明了一项技术，而是谁能更快地将技术扩散到整个经济体中。通用技术尤其如此——它需要广泛的社会扩散，需要新组织围绕它被创建出来，需要大规模的真实世界使用数据来发现它的应用边界。Dean Ball在引用Ding时写道：“通用技术的用途是被发现的，不是事先知道的”。

但大洋彼岸的另外一边，中国大模型正在以开源开放的姿态走向全球开发者。

加密算法是纯数学，一旦发表就无法收回。AI模型权重有类似属性，但闭源前沿模型的推理能力确实集中在少数公司的API后面。

但开源模型的能力在逐代追赶，管控能延缓扩散，无法阻止扩散。90年代花了将近10年才走到“认输放松管制”这一步。AI管控难道也需要类似的时间周期？

03 美国大模型进入审查时代？

2026年6月，在AI产业的历史上，可能标志着一个转折点：政府第一次成功地在商业AI模型和它的用户之间，插入了自己作为审批者的角色。

Dean Ball在《What Should Be Done》中，Ball警告说，如果市场对此产生恐慌，效果将远超AI行业本身：“从核能到天然气到电力电子，美国再工业化的大量投资都明确或隐含地以AI产业的未来需求为前提。如果这个需求因为政府管制而无法实现，连锁反应会远超人们想象。”

但Ball也承认，方向不是全错的：“前沿AI确实存在灾难性风险的可能性，这个关切不是伪造的。问题在于执行方式，一个没有技术专家、没有清晰标准、没有时间表的审批流程，不是答案。”

OpenAI说GPT-5.6的限制是“短期措施”，可能在几周后向公众开放。但6月27日Mythos 5的“有限恢复”已经给出了模板，不是全面放开，还是仅限部分美国机构、其他限制继续有效。每一个长期制度，最初都被称为“短期措施”。

Dean Ball最后写了一句话，值得所有人认真对待：“如果只有极少数人能使用前沿AI，坏的未来反而更可能发生。因为那些少数人，往往是已经拥有巨大经济和政治权力的群体”。

估计全球的开发者社区，都在怀念那个不顾时差蹲OpenAI发布会，惊喜于新模型的进步、并熬夜测试各种新场景的时代。

不过，现在我们还是可以充满期待地“蹲”中国最新大模型的发布。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。