免责声明：金色财经所有资讯仅代表作者个人观点，不构成任何投资理财建议。请确保访问网址为（jinse.com.cn）举报

Galaxy：Anthropic终极模型难题

金色财经

刚刚

作者Alex Thorn，Galaxy Digital董事总经理兼研究主管；来源：Galaxy Digital；编译：Shaw，金色财经

6 月 12 日周五美国东部时间下午 5 点 21 分，Anthropic 公司收到美国商务部下发的出口管制指令，要求其面向全球所有外籍人士封禁 Fable 5 与 Mythos 5 两款大模型，其中也包括公司自身的非美国籍员工。美方称，有人找到了绕过 Fable 5 安全防护机制、调取底层 Mythos 模型网络安全功能的方法。

这家人工智能企业无法在政府要求的时限内按国籍划分用户权限，因此短短数小时内，就在全球范围内关停了上述两款模型。其余所有 Claude 系列模型则维持正常服务。

两款业界顶尖的大语言模型就此下线，起因仅仅是政府一纸私密通知，既无法院裁定、无公开备案材料，也未对外披露完整调查结论。就在周三，有 Reddit 用户发文称，亚马逊云科技 Bedrock 平台的产品目录中已上线 Fable 5，或许云端渠道的限制正在解除。但无论如何，此次事件给人工智能行业、技术创新以及美国资本市场带来了巨大风险。

越过卢比孔河（开不可逆先例）

美国政府实质上宣告，仅凭一纸行政指令，就能随意将商用大模型从市场下架。尽管本次管控手段属于出口管制，但对市场造成的效果等同于产品召回。

联邦政府在 AI 监管领域已越过红线：此前仅负责制定行业通行规则，如今却手握自主裁量否决权，可决定哪些模型能够面向公众发布、何时发布。一旦这项权力得到确立，绝不会自行收缩；倘若政府不及时调整政策，后续下发同类管控指令只会比本次更加轻易。

而触发本次管控的依据本身站不住脚，更是让这项恶劣先例雪上加霜。唯一看过相关底层研究报告的外部专家、Luta Security 公司的 Katie Moussouris，直白还原了所谓 “模型越狱漏洞” 的完整经过：亚马逊研究人员向模型输入植入已知漏洞的开源代码，要求模型排查其中安全隐患，两款模型均予以拒绝；研究人员随后转而要求模型修复这段问题代码，模型便照做执行。

网络安全专家Katie Moussouris

Moussouris 将该指令下的测试场景定性为防御性提示词诱导，而非真正绕过安全防护的越狱手段，她称这项能力恰恰是人工智能能为网络安全团队提供的核心价值。据唯一看过完整调查文件的专家描述，仅仅 “修复这段代码” 这短短五个字，就让市面上性能顶尖的网络安全专用大模型被迫下线。

美国商务部并未公开发布发给 Anthropic 的管制指令，也没有对外披露出台该指令的完整依据。无论是商务部官网、《联邦公报》，还是其他公开渠道，均查询不到相关公示文件。这份管制通知仅以商务部工业与安全局的私密信函形式下发，商务部与 Anthropic 双方均未对外公开信函内容。商务部下达该指令所依据的法定权限也模糊不清。

战略与国际研究中心（CSIS）推测，商务部或许援引了《2018 年出口管制改革法案》（ECRA）项下所谓 “知情告知” 权限 —— 由商务部私下告知企业，相关产品自此必须申请出口许可，相关管控细则依托《出口管理条例》（EAR）落地。但《出口管理条例》中并无配套细则支撑该法定权限，这也是此前从未以此为依据出台管制措施的原因，商务部也未出台配套实施法规。

一套永远无法达标的监管标准

Anthropic 自身发布的申辩内容中，有一句话直接戳破了这项政策的不合理之处。企业表示，目前没有任何厂商能够实现完全抵御模型越狱，终究会有人找到通用的绕过手段。安全研究人员多年来一直持有相同观点：没有任何一款已上线商用模型，能被证明可以抵御刻意针对模型的恶意攻击者。封闭 API 调用的模型，可通过提示词层实现越狱；开源权重模型则能被彻底篡改，该操作会直接抹除模型权重内置的拒绝应答逻辑。一旦模型权重发生泄露（历史上已多次出现泄露案例），闭源模型将会暴露出与开源模型完全一致的安全漏洞。

政府隐含的监管标准，与上述客观现实完全相悖。如果上线模型的硬性要求是不存在任何触发危险功能的方法，那这套标准从底层逻辑上就不可能实现。就连 Anthropic 自身工程师都证实该条件无法达成，企业自然无法出具不存在漏洞的担保，其他厂商同样做不到。按照 Anthropic 给出的逻辑，若全行业统一执行这套审查标准，前沿人工智能大模型的商业化落地将全面停滞。所有厂商都无法达标的门槛，根本算不上安全标准，只是披上专业技术外衣的自由裁量否决权。

全民身份监控这条备选路径

假设 Anthropic 希望严格遵守信函字面要求：仅向美国本土用户提供服务，全面封禁外籍人士使用权限，唯一可行方案是对所有用户实施完整身份核验。Anthropic 需要落地全套客户身份识别（KYC）准入流程，强制用户上传国籍、居住证明文件，繁琐程度等同于开立证券交易账户。依靠这套机制，平台才能按国籍划分访问权限（即便如此，公司内部外籍员工仍会被限制使用）。若不落地身份核验，根本无法隔离外籍用户访问 Fable 5 模型。

已有报道显示，Anthropic 正在筹备用户身份核验系统以满足管制要求，泄露的代码文件也佐证了这一点。企业正在搭建这套带有监控属性的准入体系，但理应立刻停止该方案的推进。

西方国家正在建设监控基础设施。

西方各国早已在搭建这套身份核验监控体系。英国《在线安全法案》自 2025 年 7 月正式生效，要求英国通信管理局（Ofcom）推行其口中 “高可靠年龄核验机制”。官方认可的核验手段包括证件照片识别、人脸年龄测算、开放银行核验（银行基于账户信息确认用户年龄，无需披露底层金融数据）。美国约有 19 个州出台了同类身份准入管控法规，其中多项法案正面临基于美国第一修正案的司法诉讼。电子前沿基金会（EFF）始终反对此类管控，该机构警示：强制实名认证会形成海量高敏感数据蜜罐，彻底终结网络匿名性。

若将 KYC 身份核验机制用于大模型访问权限管控，上述全部危害都会转嫁至人工智能 —— 而 AI 恰恰是最有能力深挖、利用所囤积数据的技术。任何前沿 AI 实验室都不应强制推行实名准入，政府更不应逼迫企业这么做。互联网应当保持开放自由，人工智能承载的知识与算力红利，理应对所有人开放。

开源模型带来的监管死局

这套出口管制思路本质上会适得其反，根源在于开源权重生态。前沿 AI 技术并非少数美国企业独占。由 Alex Stamos 牵头、上百位网络安全领军人物联名发布的公开信（签名者包含 Bruce Schneier、Casey Ellis、Paul Vixie 等行业大牛）直白点明现状：中国开源权重大模型与美国顶尖系统的差距仅为数月，而非数年，这还只是已对外公开的项目。

倘若美国政府依靠出口管制否决权，限制头部美国实验室发布其最强模型，AI 研发并不会停滞，只会转移至管制触手无法触及的领域：涉密政府项目、海外实验室、开源权重生态。当下仅落后数月的开源模型，一旦追赶的标杆停止迭代，差距将迅速抹平。若顶尖模型发布长期受限，短短一两年内，普通个人与企业可本地部署的最强模型，大概率会是美国境外的开源权重项目；这类模型内置的安全防护护栏，还会比美国政府此次强制下架的产品更薄弱。

届时美国政府又该如何应对？一款已经在数千块硬盘、上百个文件分享网络中广泛镜像分发的模型，根本无法 “召回”。政府或许会试图禁止开源权重文件公开发布，但这项政策会直接与美国宪法产生冲突。

美国此前就经历过同类监管博弈，且最终落败。上世纪 90 年代，美国政府将高强度加密技术列入《美国军火清单》，依据《国际武器贸易条例》（ITAR）将加密软件视作武器进行管控，加密程序与激光瞄准系统、粒子束武器归为同一监管类别。此后三年间，联邦政府针对 Phil Zimmermann 展开调查，缘由是他开发的 PGP 加密软件（全称“Pretty Good Privacy”）在全球大范围传播，政府认定其将代码上传至互联网等同于出口军火。1996 年，联邦当局撤销全部调查，未对其提起任何指控。

PGP加密技术的创始人Phil Zimmermann

Zimmermann 给出的应对方案成为那个时代的标志性事件。他通过麻省理工学院出版社将 PGP 完整源代码印成精装书籍出版，其核心理由是：印刷成书的代码显然属于受保护言论，即便相同代码以电子文档形式会被认定为受管控军需品。技术维权人士也采用了相同思路，将密码学家（日后比特币参与者）Adam Back 编写的精简 RSA 加密算法印在 T 恤上，同时标注警示文字 —— 这件 T 恤本身属于军需品。

法院认可了这一法理逻辑。在伯恩斯坦案与荣格诉讼中，联邦法官裁定：源代码属于受美国宪法第一修正案保护的言论。1996 年，美国政府将加密技术从军火清单移交商务部监管，大幅放宽相关管控，也为如今互联网产业的蓬勃发展铺平了道路。

Moussouris 后来推动《瓦森纳协定》增设安全防御技术豁免条款，此次她也援引这段历史作出回应：模型权重本质只是一串数字，公开发布权重属于言论表达。若政府大规模封禁开源模型，必将引发一场跨世代的第一修正案司法大战；而政府本身处于天然劣势 —— 美方已承认，同类技术能力在海外广泛流通。

由此可见，这套出口管制方案存在双重失效。其一，无法遏制境外对手：海外机构自有自研大模型，据科技媒体《Semafor》报道，白宫怀疑某中国关联团体早已获取 Mythos 相关能力；其二，美国本土前沿 AI 赛道将拱手让给开源模型与海外竞品，美方没有合法手段对其实施管控。

因坦诚而受罚的Anthropic

值得注意的是，Anthropic 全程如实披露信息。公司承认不存在完美无缺的安全防护机制；产品上线前，联合美英政府开展了数千小时红蓝对抗测试；主动披露自身安全体系存在局限性。但这份坦诚，反倒成了政府用来处罚它的依据。倘若一家企业减少测试、对风险闭口不提，反而不会成为监管矛头。当如实披露潜在风险反倒触发监管处罚时，整个行业都会形成扭曲激励：所有厂商都会选择少披露、不披露风险。

网络安全从业者也从另一视角指出这套逻辑的本末倒置。Moussouris 及联名专家表示，强制下架模型只会重创安全从业者 —— 他们正是依靠这类工具，在攻击者发动入侵前挖掘并修复漏洞，而恶意攻击者却不受任何约束。政府忌惮的模型能力，恰恰是安全防御人员赖以生存的工具，二者同源，无法只删除其中一方。

支持管控指令的一方所持论据

客观而言，部分报道确实体现出政府的担忧并非毫无来由。6 月末，弗吉尼亚州民主党参议员 Mark Warner 在参议院听证会上转述美国国家安全局局长 Joshua Rudd 的证词：在一次授权红蓝对抗演练中，Mythos 模型短短数小时内几乎攻破该局全部涉密系统（不过《经济学人》相关报道后续小幅弱化了该说法）。同时 Mythos 也是首款通过英国人工智能安全研究所两套网络安全全量测试的大模型。

该模型确实具备极强的技术能力，这一点客观属实。但这只能说明需要一套严谨规范的监管流程，而非周五晚间一纸无完整调查结论的私密信函。

另外，Mythos 自始至终仅对经过严格背景审查的合作方开放。本次全球下架的 Fable 是面向普通消费者的版本，其安全护栏会将涉及网络安全、生物安全的敏感请求导流至老旧模型 Opus 4.8。一款自带防护机制的民用版本，仅因一段防御性提示词演示就被全球下架；而真正风险更高的专业版从未对外公开。这套处置方式说明，监管流程混淆了 “技术能力” 与 “对外公开部署” 两个概念。

Opus 4.8：现存最后的合规模型？

顺着这套监管逻辑推演，结果不容乐观。如果 Fable 都无法达标，那么未来任何性能更强的模型都不可能通过审核 —— 按照政府当前的评判标准，性能越强，潜在风险越高。不存在 Fable 5.1、Fable 5.2 这类能在 “零越狱漏洞” 这一无法达成的标准下提升抗攻击能力的迭代版本。

商务部指令下达后，仅剩 Claude Opus 4.8 这款最强模型维持正常服务，它成了美国民众可合法使用的性能天花板。前沿新技术的合法落地通道被关闭，而海外、非合规渠道却畅通无阻。

当前局面堪称多方皆输：本土前沿模型发布遭遇冻结；为配合管控搭建起全民身份监控体系；顶尖 AI 赛道拱手让给美国无权监管的开源权重模型与海外竞品。这一切本都可以避免，解决方案正是 Anthropic 自身呼吁的监管机制：政府若要封禁确有重大安全隐患的模型，应当依托法定透明流程，公开完整技术调查结论，企业拥有申诉抗辩渠道。监管门槛应聚焦模型新增的危险能力增量（即相较于现有公开技术新增的高危功能），而非政府幻想的 “零残留风险”。

若确有必要设置准入门槛，管控应针对技术能力本身，而非核验用户身份。一套只能依靠采集所有用户身份指纹才能落地的监管体系，是用最极端的监控手段去解决单一细分风险问题。

资本市场层面，撤销该指令同样具备充分合理性，其影响远不止 Anthropic 一家。美股 “科技七巨头” 目前约占标普 500 指数总市值三分之一，2025 年该指数全部收益中约 42% 来自这七家企业。英伟达市值 2025 年 7 月突破 4 万亿美元，10 月攀上 5 万亿美元，一度占整个指数市值 7% 以上。

四大云厂商披露 2026 年资本开支规模约 7250 亿美元，较去年 4100 亿美元增幅 77%；高盛预测，2030 年前全球云厂商资本开支总额将达 5.3 万亿美元。AI 相关资本投入已经深度影响宏观经济：不同机构测算数值存在差异，高盛估算 AI 资本开支占美国 GDP 比重接近 0.8%，更乐观的测算认为 2026 年初美国经济增长主要由 AI 拉动。

巨额投资与行业增长预期，全部建立在一个核心假设之上：前沿模型持续迭代、持续面向客户落地，产生足以覆盖巨额基建投入的营收。如今这一假设已经岌岌可危。OpenAI 承诺八年投入约 1.4 万亿美元，但其当前营收仅约 130 亿美元（山姆・奥特曼不认可 130 亿这一数据，称实际营收远高于该数值）。企业提前大规模加码基建，但 AI 带来的收益尚未充分体现在宏观经济数据中。投资者押注的是远期终值，押注这类 AI 系统未来能大规模商业化落地。