美东时间 6 月 12 日下午 5 点 21 分,一封信送到了 Anthropic 联合创始人兼 CEO Dario Amodei 的案头。信由美国商务部长 Howard Lutnick 签发,措辞是出口管制语言里最重的那一类:以国家安全为由,援引出口管制,要求暂停所有外国公民——无论身在美国境内还是境外,包括 Anthropic 自己的外籍员工——访问公司两款最新模型 Fable 5 与 Mythos 5。[1]

这两款模型 6 月 10 日才发布,共享同一底座,同属 Anthropic 迄今最强的「Mythos 级」。从上线到被全面关停,不到三天。[1] 为了合规,Anthropic 没有办法只筛掉外国用户——它干脆对全体用户关闭了这两款模型的访问。[2]

这件事值得本站「模型深度」系列单独拆一篇,不是因为又一款大模型出了状况,而是因为它改写了一条沿用多年的规则。过去几年,美国对 AI 的出口管制几乎只盯着一样东西:硬件。这一次,管制对象第一次从算力本身,越过了那条线,落到了跑在算力之上的软件——模型本身。读马君认为,这才是这桩事件真正的分量所在。

三天:从「最强模型」到「全员断网」

先把时间线钉死,因为后面所有的分析都建立在它之上。

6 月 10 日,Anthropic 发布 Fable 5 与 Mythos 5。其中 Mythos 5 被公司定位为「全球最强网络安全模型」,在某些领域移除了安全防护,并率先通过 Anthropic 与美国政府合作的 Project Glasswing 项目对外开放。[1] 这个定位很关键——它既是这款模型的卖点,后面我们会看到,也成了它的祸根。

6 月 12 日下午 5 点 21 分,商务部信函送达。理由是国家安全,工具是出口管制。范围是:暂停所有外国公民对这两款模型的访问。[1][2] 注意「所有外国公民」这个口径——它不只是境外用户,还包括人在美国、为 Anthropic 工作的外籍工程师。

由于无法对单一用户群做到精准切割,Anthropic 选择了最干净的合规姿势:对全体用户关闭两款模型。[2] 这里的因果不能说反——不是政府要求关停全体用户,而是政府只禁外国公民,公司为确保不触线,自己把闸拉到了底。其他 Anthropic 模型不受影响,照常运行。[1]

不到三天。一款被公司自己称为同代最强的旗舰模型,从万众瞩目的发布,走到面向所有人熄灯。这个速度本身就说明,触发它的不是一套走完正常流程的规则,而是一次紧急动作。

政府的依据:一个「狭窄」越狱,和一通电话

按照 Anthropic 的说法,政府给出的不是一份详尽的技术报告,而是口头证据,指向一个「潜在的、狭窄的、非通用」的越狱场景:让模型读取特定代码库,并修复其中的软件缺陷。[1]

这句话需要翻译给非技术读者。「越狱」指绕过模型的安全护栏、让它做被设计为拒绝去做的事。「通用越狱」是那种一把钥匙开所有锁、能把模型整体破防的方法;而政府指向的,按 Anthropic 的转述,只是一个「狭窄」「非通用」的具体场景——读代码、找漏洞、补漏洞。[1]

Anthropic 不认同这个判断,理由有两层。其一,公司称审查后发现,这个能力水平在业界并非孤例——它点名 OpenAI 的 GPT-5.5 等同样具备类似能力。[1] 其二,更微妙:让模型读懂一个代码库、找出其中的缺陷并修复,这恰恰是防御方在日常系统安全维护中广泛使用的能力。[1] 换句话说,被政府视为危险武器的那项能力,在 Anthropic 看来,正是无数安全团队每天用来加固自家系统的工具。

那么,是什么把一个「狭窄」场景升级成了一纸出口管制令?据 Axios 的报道,直接的引线来自第三方——另一家公司声称自己能够越狱 Mythos。[1] 报道还提到,政府此前曾试图说服 Anthropic 暂停发布最新模型,未果,最终以这封信收场。[1] 以上为 Axios 所述,本文转引、不代表本站对其准确性背书。

如果这条线索成立,那么这次行动的起点,与其说是一份扎实的风险评估,不如说是一场关于「谁说了算」的较量:政府想踩刹车,公司不肯,于是政府动用了手里最硬的那根杠杆。

为什么「管模型」比「管芯片」是另一回事

要理解这件事的分量,得先看清它替代了什么旧逻辑。

过去几年美国对 AI 的出口管制,对象始终是算力的物理载体。2022 年起,商务部下属的工业与安全局(BIS)就禁止向中国出口英伟达 A100、H100 这类顶级 GPU;2023 年 10 月的规则进一步用「总处理性能」框架,封住了一批最强芯片的出口与再出口。[9][8] 这套打法之所以可执行,是因为芯片是实物——它有海关编号,会装箱、上船、过关,可以在物理世界里被拦下、被查获、被罚没。管的是「物」,物有边界。

到了 2025 年 1 月,拜登政府的「人工智能扩散框架」第一次把模型本身写进了管制条文——但管的方式仍然延续物的逻辑。该框架新设了一个出口分类编号 ECCN 4E091,要求闭源(未公开发布)模型权重在出口前申请许可证,门槛是训练算力超过 10^26 次运算;BIS 当时指出,全球符合该门槛的模型「不到五个」。[6] 关键在于两点:第一,它只管闭源权重,明确把开放权重模型排除在外;第二,它是前瞻性的——管的是未来这些权重作为一项物项「跨境出口」到非盟友国家的行为,给企业留出了到 2025 年 5 月的合规缓冲期。[6][7]

把这条历史摆出来,Anthropic 事件的质变就清楚了。它不是「未来某款权重出口前要不要许可」的前瞻性管理,而是对一款已经面向数亿用户部署、正在运行的商业产品,要求即刻切断特定人群的访问。[1] 它动用的法律钩子,是出口管制里一个叫「视同出口」(deemed export)的概念——向身处美国境内的外国公民释放受控软件或技术,本身就被视作一次向其母国的「出口」。[3] 正是这个机制,让一纸命令能够伸进 Anthropic 的办公室,要求连公司自己的外籍员工也不得访问。这就解释了那个刺眼的「所有外国公民,含境内」口径。

读马君想强调的是执行层面的根本困难。芯片被拦,是因为它没复制品、过不了关就到不了对方手里。模型不是。模型是软件,是一组权重和一套接口;它可以被复制、可以跨境传输、可以在任意一块满足条件的算力上重新跑起来。物理世界里拦芯片的那套办法,在模型这里大半失效——你没法把一串已经存在的数字「拦在海关」。这也是为什么 AI 治理领域早有共识:开放权重一旦发布就不可撤回,护栏在发布后可以被轻易移除,且事后极难监控其使用。[11][10]

Anthropic 这两款是闭源模型,理论上比开放权重更可控——访问走 API,公司能掐断入口,这次它也确实掐断了。但这恰恰暴露了新逻辑的内在张力:政府能管住闭源模型,靠的不是物理拦截,而是捏住了提供商这个咽喉。对闭源厂商,这是一根随时可以拉的闸;而对那些选择开放权重的玩家,这根闸根本不存在。管制的有效性,于是与「模型是否闭源、提供商是否在美国司法管辖内」死死绑定——这是一条与芯片时代完全不同的执行逻辑。

Anthropic 的反驳,与「它是否无辜」的争议

Anthropic 的自辩可以归到几条事实主张上,本文逐条转述,是非由读者判断。

公司称,两款模型发布前的数周里,它已与美国政府、英国的 AI 安全机构 AISI 以及多个第三方合作,投入了数千小时的红队测试,安全措施优于以往任何已部署模型,且截至当时尚无人找到通用越狱法。[1] 这里补一个背景:AISI 并非虚设——它是英国政府 2023 年成立的前沿 AI 安全评估机构,对各家前沿模型做独立红队测试,是这一领域少有的、有政府背书的第三方评估方。[12] 有这样一个独立机构参与测试,Anthropic「仍没发现通用越狱」的说法,分量与此前厂商自说自话的安全声明确实不同。

它最锋利的一句反驳,是关于标准的:仅仅因为一个范围有限的越狱漏洞,就召回一款已经面向数亿用户部署的商业产品,如果这个标准在全行业推行,将实质上叫停所有前沿模型提供商的新模型部署[1] 这句话的杀伤力在于它把问题从「Anthropic 这款模型该不该停」抬高到了「整个行业还能不能发新模型」——因为没有任何一款前沿模型,能保证零越狱。Anthropic 把这次事件定性为一场「误会」,正争取尽快恢复访问。[1]

但「Anthropic 是不是纯粹的受害者」,业界并没有一边倒。

一派网友认为政府的干预霸道,担心这种做法等于把美国的技术优势拱手让人——你把自家最强模型按住,对手却不会跟着按。[1] 另一派的声音更扎心。YouTuber Matthew Berman 等人指出,是 Anthropic 自己大肆宣扬 Mythos 有多危险、把它包装成「全球最强网络安全模型」、还高调宣布在某些领域移除了安全防护,[1] 才招来了这一纸命令——一家公司既要靠「我的模型危险到改变游戏规则」来营销,又要在监管找上门时辩称「它其实没那么危险」,这两套话术很难同时成立。[1] 以上均为相关人士的公开观点,本文转引、不代表本站立场。

这正是读马君觉得这件事耐人寻味的地方:把模型的危险性当卖点,和把模型的危险性当辩护,是同一枚硬币的两面。当营销话术撞上监管话术,Anthropic 发现自己被自己的措辞夹住了。

这套机制能罚多重、要锁多久

抛开口水仗,出口管制是有牙齿的,这部分必须讲清。

按 EAR(出口管理条例)的框架,出口、再出口或境内转让受控物项都需要许可证,不遵守将面临经济和民事处罚。[4][1] 民事罚则的上限并不小:每项违规最高可达 25 万美元,或涉案物项价值的两倍,取其高者;BIS 在执法上并非纸面老虎——仅 2024 财年,它就开出了超过 15 亿美元的出口违规罚单。[5] 对一家把模型生意做到数亿用户规模的公司,合规不是可选项。

至于要锁多久,据 Axios 报道,在国家安全相关机制加固到位之前,这两款模型须保持封锁,时间可能以数周计。[1] 这意味着,即便 Anthropic 把这次定性为「误会」,恢复访问也不是一封澄清信就能解决的——它要等政府认为风险被「机制化」地兜住,而不是被「口头」说服。再次说明,封锁时长为 Axios 所述,本文转引。

对关注 AI 产业的投资者,这意味着什么

写到这里,落到读马君真正关心的问题上:这件事在投资框架里,应该被放在哪个位置。声明在前——本文不提供任何买卖建议或目标价,下面只做事件链与风险结构的拆解。

第一个变化,是政策风险第一次成为评估前沿模型公司的独立变量。在芯片时代,出口管制是芯片厂商和它们的客户要操心的事;模型公司更多是「算力是否买得到」的间接承受方。Anthropic 事件把这条风险直接接到了模型公司的资产负债表上——你最强的那款产品,可能在发布后不到三天被政府按住数周,而触发它的不必是确凿的危害证明,可能只是另一家公司的一句「我能越狱它」加上一通监管层的电话。这种风险很难提前定价,因为它不走可预期的流程。

第二个变化,是「最强」与「最危险」之间的营销张力,从公关问题升级成了合规问题。一家公司越是把自己的模型描述成能改变网络安全格局的利器,就越是在给监管递刀子。如何在「展示能力」和「不招致管制」之间走钢丝,会成为前沿模型公司一项实打实的经营能力——而不再只是市场部的措辞偏好。

第三个变化,关乎开源与闭源的天平。这次被按住的是闭源模型,靠的正是闭源「提供商可掐断」的特性。这会不会让一部分开发者更倾向开放权重路线(一旦发布即不可撤回、监管的闸无处可拉)?还是反过来,促使监管把注意力进一步转向更难管的开放权重,从而连开源路线也收紧?两个方向都说得通,本文不下断言,但这道天平的摆动值得长期盯。

未来 30 到 90 天,本文建议关注以下几个可核查的观察点,它们会告诉我们这究竟是一次性的「误会」,还是一种新常态的开端:

  • Fable 5 与 Mythos 5 的恢复时间与条件:是简单恢复,还是附带了某种长期的访问限制或机制化承诺?恢复用了几周、对应 Axios 所说的「数周」是否准确,本身就是一个信号。
  • 是否出现成文规则:这次依据的是一封信和口头证据。如果商务部把「已部署模型的紧急叫停」写成可援引的条文或指南,那它就从个案变成了机制——这是质变是否固化的最硬指标。
  • 同行的连带反应:被点名具备类似能力的 OpenAI 等是否被波及,或是否主动调整新模型的发布节奏与安全披露口径。若头部厂商集体放慢「秀肌肉」,说明 Anthropic 那句「将叫停全行业新模型部署」的警告正在被市场当真。
  • 「视同出口」口径的延伸:政府要求连境内外籍员工也断访问,这个口径若被沿用,将直接影响前沿模型公司的研发用工与跨国团队部署——一支高度国际化的工程团队,可能在某些产品上突然无法触碰自家代码。

读马君的判断是:这桩事件单看是孤例,放到管制逻辑的演进里看,则是一道清晰的分水岭。管制对象从能被海关拦下的实物芯片,延伸到了无法被物理拦截、却能被「掐住提供商」拿捏的软件模型——这是工具与对象的双重质变。对一个把前沿模型公司当作投资标的的人来说,从今往后,评估它们手里的算力和模型能力之外,恐怕还得在表格里新加一栏:当它发布下一款最强模型时,那封信会不会再来。