區塊鏈

Galaxy：Anthropic終極模型難題

金色財經2026-06-29 10:00

作者Alex Thorn，Galaxy Digital董事總經理兼研究主管；來源：Galaxy Digital；編譯：Shaw，金色財經

6 月 12 日周五美國東部時間下午 5 點 21 分，Anthropic 公司收到美國商務部下發的出口管制指令，要求其面向全球所有外籍人士封禁 Fable 5 與 Mythos 5 兩款大模型，其中也包括公司自身的非美國籍員工。美方稱，有人找到了繞過 Fable 5 安全防護機制、調取底層 Mythos 模型網路安全功能的方法。

這家人工智慧企業無法在政府要求的時限內按國籍劃分用戶權限，因此短短數小時內，就在全球範圍內關停了上述兩款模型。其餘所有 Claude 系列模型則維持正常服務。

兩款業界頂尖的大語言模型就此下線，起因僅僅是政府一紙私密通知，既無法院裁定、無公開備案材料，也未對外披露完整調查結論。就在周三，有 Reddit 用戶發文稱，亞馬遜雲科技 Bedrock 平台的產品目錄中已上線 Fable 5，或許雲端渠道的限制正在解除。但無論如何，此次事件給人工智慧行業、技術創新以及美國資本市場帶來了巨大風險。

‌

越過盧比孔河（開不可逆先例）

美國政府實質上宣告，僅憑一紙行政指令，就能隨意將商用大模型從市場下架。儘管本次管控手段屬於出口管制，但對市場造成的效果等同於產品召回。

聯邦政府在 AI 監管領域已越過紅線：此前僅負責制定行業通行規則，如今卻手握自主裁量否決權，可決定哪些模型能夠面向公眾發布、何時發布。一旦這項權力得到確立，絕不會自行收縮；倘若政府不及時調整政策，後續下發同類管控指令只會比本次更加輕易。

而觸發本次管控的依據本身站不住腳，更是讓這項惡劣先例雪上加霜。唯一看過相關底層研究報告的外部專家、Luta Security 公司的 Katie Moussouris，直白還原了所謂「模型越獄漏洞」的完整經過：亞馬遜研究人員向模型輸入植入已知漏洞的開源代碼，要求模型排查其中安全隱患，兩款模型均予以拒絕；研究人員隨後轉而要求模型修復這段問題代碼，模型便照做執行。

網路安全專家Katie Moussouris

Moussouris 將該指令下的測試場景定性為防禦性提示詞誘導，而非真正繞過安全防護的越獄手段，她稱這項能力恰恰是人工智慧能為網路安全團隊提供的核心價值。據唯一看過完整調查文件的專家描述，僅僅「修復這段代碼」這短短五個字，就讓市面上性能頂尖的網路安全專用大模型被迫下線。

美國商務部並未公開發布發給 Anthropic 的管制指令，也沒有對外披露出台該指令的完整依據。無論是商務部官網、《聯邦公報》，還是其他公開渠道，均查詢不到相關公示文件。這份管制通知僅以商務部工業與安全局的私密信函形式下發，商務部與 Anthropic 雙方均未對外公開信函內容。商務部下達該指令所依據的法定權限也模糊不清。

戰略與國際研究中心（CSIS）推測，商務部或許援引了《2018 年出口管制改革法案》（ECRA）項下所謂「知情告知」權限 —— 由商務部私下告知企業，相關產品自此必須申請出口許可，相關管控細則依託《出口管理條例》（EAR）落地。但《出口管理條例》中並無配套細則支撐該法定權限，這也是此前從未以此為依據出台管制措施的原因，商務部也未出台配套實施法規。

一套永遠無法達標的監管標準

Anthropic 自身發布的申辯內容中，有一句話直接戳破了這項政策的不合理之處。企業表示，目前沒有任何廠商能夠實現完全抵禦模型越獄，終究會有人找到通用的繞過手段。安全研究人員多年來一直持有相同觀點：沒有任何一款已上線商用模型，能被證明可以抵禦刻意針對模型的惡意攻擊者。封閉 API 調用的模型，可通過提示詞層實現越獄；開源權重模型則能被徹底篡改，該操作會直接抹除模型權重內置的拒絕應答邏輯。一旦模型權重發生泄露（歷史上已多次出現泄露案例），閉源模型將會暴露出與開源模型完全一致的安全漏洞。

政府隱含的監管標準，與上述客觀現實完全相悖。如果上線模型的硬性要求是不存在任何觸發危險功能的方法，那這套標準從底層邏輯上就不可能實現。就連 Anthropic 自身工程師都證實該條件無法達成，企業自然無法出具不存在漏洞的擔保，其他廠商同樣做不到。按照 Anthropic 給出的邏輯，若全行業統一執行這套審查標準，前沿人工智慧大模型的商業化落地將全面停滯。所有廠商都無法達標的門檻，根本算不上安全標準，只是披上專業技術外衣的自由裁量否決權。

全民身份監控這條備選路徑

假設 Anthropic 希望嚴格遵守信函字面要求：僅向美國本土用戶提供服務，全面封禁外籍人士使用權限，唯一可行方案是對所有用戶實施完整身份核驗。Anthropic 需要落地全套客戶身份識別（KYC）准入流程，強制用戶上傳國籍、居住證明文件，繁瑣程度等同於開立證券交易帳戶。依靠這套機制，平台才能按國籍劃分訪問權限（即便如此，公司內部外籍員工仍會被限制使用）。若不落地身份核驗，根本無法隔離外籍用戶訪問 Fable 5 模型。

已有報導顯示，Anthropic 正在籌備用戶身份核驗系統以滿足管制要求，泄露的代碼文件也佐證了這一點。企業正在搭建這套帶有監控屬性的准入體系，但理應立刻停止該方案的推進。

西方國家正在建設監控基礎設施。

西方各國早已在搭建這套身份核驗監控體系。英國《在線安全法案》自 2025 年 7 月正式生效，要求英國通信管理局（Ofcom）推行其口中「高可靠年齡核驗機制」。官方認可的核驗手段包括證件照片識別、人臉年齡測算、開放銀行核驗（銀行基於帳戶資訊確認用戶年齡，無需披露底層金融數據）。美國約有 19 個州出台了同類身份准入管控法規，其中多項法案正面臨基於美國第一修正案的司法訴訟。電子前沿基金會（EFF）始終反對此類管控，該機構警示：強制實名認證會形成海量高敏感數據蜜罐，徹底終結網路匿名性。

若將 KYC 身份核驗機制用於大模型訪問權限管控，上述全部危害都會轉嫁至人工智慧 —— 而 AI 恰恰是最有能力深挖、利用所囤積數據的技術。任何前沿 AI 實驗室都不應強制推行實名准入，政府更不應逼迫企業這麼做。網路應當保持開放自由，人工智慧承載的知識與算力紅利，理應對所有人開放。

開源模型帶來的監管死局

這套出口管制思路本質上會適得其反，根源在於開源權重生態。前沿 AI 技術並非少數美國企業獨占。由 Alex Stamos 帶領、上百位網路安全領軍人物聯名發布的公開信（簽名者包含 Bruce Schneier、Casey Ellis、Paul Vixie 等行業大牛）直白點明現狀：中國開源權重大模型與美國頂尖系統的差距僅為數月，而非數年，這還只是已對外公開的項目。

倘若美國政府依靠出口管制否決權，限制頭部美國實驗室發布其最強模型，AI 研發並不會停滯，只會轉移至管制觸手無法觸及的領域：涉密政府項目、海外實驗室、開源權重生態。當下僅落後數月的開源模型，一旦追趕的標杆停止迭代，差距將迅速抹平。若頂尖模型發布長期受限，短短一兩年內，普通個人與企業可本地部署的最強模型，大機率會是美國境外的開源權重項目；這類模型內置的安全防護護欄，還會比美國政府此次強制下架的產品更薄弱。

屆時美國政府又該如何應對？一款已經在數千塊硬盤、上百個文件分享網路中廣泛鏡像分發的模型，根本無法「召回」。政府或許會試圖禁止開源權重文件公開發布，但這項政策會直接與美國憲法產生衝突。

美國此前就經歷過同類監管博弈，且最終落敗。上世紀 90 年代，美國政府將高強度加密技術列入《美國軍火清單》，依據《國際武器貿易條例》（ITAR）將加密軟體視作武器進行管控，加密程序與激光瞄準系統、粒子束武器歸為同一監管類別。此後三年間，聯邦政府針對 Phil Zimmermann 展開調查，緣由是他開發的 PGP 加密軟體（全稱「Pretty Good Privacy」）在全球大範圍傳播，政府認定其將代碼上傳至網路等同於出口軍火。1996 年，聯邦當局撤銷全部調查，未對其提起任何指控。

PGP加密技術的創始人Phil Zimmermann

Zimmermann 給出的應對方案成為那個時代的標誌性事件。他通過麻省理工學院出版社將 PGP 完整源代碼印成精裝書籍出版，其核心理由是：印刷成書的代碼顯然屬於受保護言論，即便相同代碼以電子文檔形式會被認定為受管控軍需品。技術維權人士也採用了相同思路，將密碼學家（日後比特幣參與者）Adam Back 編寫的精簡 RSA 加密算法印在 T 恤上，同時標註警示文字 —— 這件 T 恤本身屬於軍需品。

法院認可了這一法理邏輯。在伯恩斯坦案與榮格訴訟中，聯邦法官裁定：源代碼屬於受美國憲法第一修正案保護的言論。1996 年，美國政府將加密技術從軍火清單移交商務部監管，大幅放寬相關管控，也為如今網路產業的蓬勃發展鋪平了道路。

Moussouris 後來推動《瓦森納協定》增設安全防禦技術豁免條款，此次她也援引這段歷史作出回應：模型權重本質只是一串數字，公開發布權重屬於言論表達。若政府大規模封禁開源模型，必將引發一場跨世代的第一修正案司法大戰；而政府本身處於天然劣勢 —— 美方已承認，同類技術能力在海外廣泛流通。

由此可見，這套出口管制方案存在雙重失效。其一，無法遏制境外對手：海外機構自有自研大模型，據科技媒體《Semafor》報導，白宮懷疑某中國關聯團體早已獲取 Mythos 相關能力；其二，美國本土前沿 AI 賽道將拱手讓給開源模型與海外競品，美方沒有合法手段對其實施管控。

因坦誠而受罰的Anthropic

值得注意的是，Anthropic 全程如實披露資訊。公司承認不存在完美無缺的安全防護機制；產品上線前，聯合美英政府開展了數千小時紅藍對抗測試；主動披露自身安全體系存在侷限性。但這份坦誠，反倒成了政府用來處罰它的依據。倘若一家企業減少測試、對風險閉口不提，反而不會成為監管矛頭。當如實披露潛在風險反倒觸發監管處罰時，整個行業都會形成扭曲激勵：所有廠商都會選擇少披露、不披露風險。

網路安全從業者也從另一視角指出這套邏輯的本末倒置。Moussouris 及聯名專家表示，強制下架模型只會重創安全從業者 —— 他們正是依靠這類工具，在攻擊者發動入侵前挖掘並修復漏洞，而惡意攻擊者卻不受任何約束。政府忌憚的模型能力，恰恰是安全防禦人員賴以生存的工具，二者同源，無法只刪除其中一方。

支持管控指令的一方所持論據

客觀而言，部分報導確實體現出政府的擔憂並非毫無來由。6 月末，弗吉尼亞州民主黨參議員 Mark Warner 在參議院聽證會上轉述美國國家安全局局長 Joshua Rudd 的證詞：在一次授權紅藍對抗演練中，Mythos 模型短短數小時內幾乎攻破該局全部涉密系統（不過《經濟學人》相關報導後續小幅弱化了該說法）。同時 Mythos 也是首款通過英國人工智慧安全研究所兩套網路安全全量測試的大模型。

該模型確實具備極強的技術能力，這一點客觀屬實。但這只能說明需要一套嚴謹規範的監管流程，而非周五晚間一紙無完整調查結論的私密信函。

另外，Mythos 自始至終僅對經過嚴格背景審查的合作方開放。本次全球下架的 Fable 是面向普通消費者的版本，其安全護欄會將涉及網路安全、生物安全的敏感請求導流至老舊模型 Opus 4.8。一款自帶防護機制的民用版本，僅因一段防禦性提示詞演示就被全球下架；而真正風險更高的專業版從未對外公開。這套處置方式說明，監管流程混淆了「技術能力」與「對外公開部署」兩個概念。

Opus 4.8：現存最後的合規模型？

順着這套監管邏輯推演，結果不容樂觀。如果 Fable 都無法達標，那麼未來任何性能更強的模型都不可能通過審核 —— 按照政府當前的評判標準，性能越強，潛在風險越高。不存在 Fable 5.1、Fable 5.2 這類能在「零越獄漏洞」這一無法達成的標準下提升抗攻擊能力的迭代版本。

商務部指令下達後，僅剩 Claude Opus 4.8 這款最強模型維持正常服務，它成了美國民眾可合法使用的性能天花板。前沿新技術的合法落地通道被關閉，而海外、非合規渠道卻暢通無阻。

當前局面堪稱多方皆輸：本土前沿模型發布遭遇凍結；為配合管控搭建起全民身份監控體系；頂尖 AI 賽道拱手讓給美國無權監管的開源權重模型與海外競品。這一切本都可以避免，解決方案正是 Anthropic 自身呼籲的監管機制：政府若要封禁確有重大安全隱患的模型，應當依託法定透明流程，公開完整技術調查結論，企業擁有申訴抗辯渠道。監管門檻應聚焦模型新增的危險能力增量（即相較於現有公開技術新增的高危功能），而非政府幻想的「零殘留風險」。

若確有必要設置准入門檻，管控應針對技術能力本身，而非核驗用戶身份。一套只能依靠採集所有用戶身份指紋才能落地的監管體系，是用最極端的監控手段去解決單一細分風險問題。

資本市場層面，撤銷該指令同樣具備充分合理性，其影響遠不止 Anthropic 一家。美股「科技七巨頭」目前約占標普 500 指數總市值三分之一，2025 年該指數全部收益中約 42% 來自這七家企業。英偉達市值 2025 年 7 月突破 4 兆美元，10 月攀上 5 兆美元，一度占整個指數市值 7% 以上。

四大雲廠商披露 2026 年資本開支規模約 7250 億美元，較去年 4100 億美元增幅 77%；高盛預測，2030 年前全球雲廠商資本開支總額將達 5.3 兆美元。AI 相關資本投入已經深度影響宏觀經濟：不同機構測算數值存在差異，高盛估算 AI 資本開支占美國 GDP 比重接近 0.8%，更樂觀的測算認為 2026 年初美國經濟增長主要由 AI 拉動。

巨額投資與行業增長預期，全部建立在一個核心假設之上：前沿模型持續迭代、持續面向客戶落地，產生足以覆蓋巨額基建投入的營收。如今這一假設已經岌岌可危。OpenAI 承諾八年投入約 1.4 兆美元，但其當前營收僅約 130 億美元（山姆・奧特曼不認可 130 億這一數據，稱實際營收遠高於該數值）。企業提前大規模加碼基建，但 AI 帶來的收益尚未充分體現在宏觀經濟數據中。投資者押注的是遠期終值，押注這類 AI 系統未來能大規模商業化落地。

美股高度綁定 AI 增長敘事，一旦前沿模型迭代落地節奏放緩（甚至停滯），全球各類投資組合都將遭受衝擊。

Fable 下架指令為整個行業新增巨大不確定性：美國政府今後是否會常態化限制大模型對外發布。前文邏輯足以說明，常態化下架管控極有可能落地。一旦成真，支撐 7250 億美元年度資本開支的增長邏輯將徹底崩塌，上下游整條產業鏈都會受到連鎖衝擊：