美東時間 6 月 12 日下午 5 點 21 分,一封信送到了 Anthropic 聯合創始人兼 CEO Dario Amodei 的案頭。信由美國商務部長 Howard Lutnick 簽發,措辭是出口管制語言裡最重的那一類:以國家安全為由,援引出口管制,要求暫停所有外國公民——無論身在美國境內還是境外,包括 Anthropic 自己的外籍員工——訪問公司兩款最新模型 Fable 5 與 Mythos 5。[1]

這兩款模型 6 月 10 日才發佈,共享同一底座,同屬 Anthropic 迄今最強的「Mythos 級」。從上線到被全面關停,不到三天。[1] 為了合規,Anthropic 沒有辦法只篩掉外國用戶——它乾脆對全體用戶關閉了這兩款模型的訪問。[2]

這件事值得本站「模型深度」系列單獨拆一篇,不是因為又一款大模型出了狀況,而是因為它改寫了一條沿用多年的規則。過去幾年,美國對 AI 的出口管制幾乎只盯著一樣東西:硬件。這一次,管制對象第一次從算力本身,越過了那條線,落到了跑在算力之上的軟件——模型本身。讀馬君認為,這才是這樁事件真正的分量所在。

三天:從「最強模型」到「全員斷網」

先把時間線釘死,因為後面所有的分析都建立在它之上。

6 月 10 日,Anthropic 發佈 Fable 5 與 Mythos 5。其中 Mythos 5 被公司定位為「全球最強網絡安全模型」,在某些領域移除了安全防護,並率先通過 Anthropic 與美國政府合作的 Project Glasswing 項目對外開放。[1] 這個定位很關鍵——它既是這款模型的賣點,後面我們會看到,也成了它的禍根。

6 月 12 日下午 5 點 21 分,商務部信函送達。理由是國家安全,工具是出口管制。範圍是:暫停所有外國公民對這兩款模型的訪問。[1][2] 注意「所有外國公民」這個口徑——它不只是境外用戶,還包括人在美國、為 Anthropic 工作的外籍工程師。

由於無法對單一用戶群做到精準切割,Anthropic 選擇了最乾淨的合規姿勢:對全體用戶關閉兩款模型。[2] 這裡的因果不能說反——不是政府要求關停全體用戶,而是政府只禁外國公民,公司為確保不觸線,自己把閘拉到了底。其他 Anthropic 模型不受影響,照常運行。[1]

不到三天。一款被公司自己稱為同代最強的旗艦模型,從萬眾矚目的發佈,走到面向所有人熄燈。這個速度本身就說明,觸發它的不是一套走完正常流程的規則,而是一次緊急動作。

政府的依據:一個「狹窄」越獄,和一通電話

按照 Anthropic 的說法,政府給出的不是一份詳盡的技術報告,而是口頭證據,指向一個「潛在的、狹窄的、非通用」的越獄場景:讓模型讀取特定代碼庫,並修復其中的軟件缺陷。[1]

這句話需要翻譯給非技術讀者。「越獄」指繞過模型的安全護欄、讓它做被設計為拒絕去做的事。「通用越獄」是那種一把鑰匙開所有鎖、能把模型整體破防的方法;而政府指向的,按 Anthropic 的轉述,只是一個「狹窄」「非通用」的具體場景——讀代碼、找漏洞、補漏洞。[1]

Anthropic 不認同這個判斷,理由有兩層。其一,公司稱審查後發現,這個能力水平在業界並非孤例——它點名 OpenAI 的 GPT-5.5 等同樣具備類似能力。[1] 其二,更微妙:讓模型讀懂一個代碼庫、找出其中的缺陷並修復,這恰恰是防禦方在日常系統安全維護中廣泛使用的能力。[1] 換句話說,被政府視為危險武器的那項能力,在 Anthropic 看來,正是無數安全團隊每天用來加固自家系統的工具。

那麼,是什麼把一個「狹窄」場景升級成了一紙出口管制令?據 Axios 的報道,直接的引線來自第三方——另一家公司聲稱自己能夠越獄 Mythos。[1] 報道還提到,政府此前曾試圖說服 Anthropic 暫停發佈最新模型,未果,最終以這封信收場。[1] 以上為 Axios 所述,本文轉引、不代表本站對其準確性背書。

如果這條線索成立,那麼這次行動的起點,與其說是一份紮實的風險評估,不如說是一場關於「誰說了算」的較量:政府想踩剎車,公司不肯,於是政府動用了手裡最硬的那根槓桿。

為什麼「管模型」比「管芯片」是另一回事

要理解這件事的分量,得先看清它替代了什麼舊邏輯。

過去幾年美國對 AI 的出口管制,對象始終是算力的物理載體。2022 年起,商務部下屬的工業與安全局(BIS)就禁止向中國出口英偉達 A100、H100 這類頂級 GPU;2023 年 10 月的規則進一步用「總處理性能」框架,封住了一批最強芯片的出口與再出口。[9][8] 這套打法之所以可執行,是因為芯片是實物——它有海關編號,會裝箱、上船、過關,可以在物理世界裡被攔下、被查獲、被罰沒。管的是「物」,物有邊界。

到了 2025 年 1 月,拜登政府的「人工智能擴散框架」第一次把模型本身寫進了管制條文——但管的方式仍然延續物的邏輯。該框架新設了一個出口分類編號 ECCN 4E091,要求閉源(未公開發布)模型權重在出口前申請許可證,門檻是訓練算力超過 10^26 次運算;BIS 當時指出,全球符合該門檻的模型「不到五個」。[6] 關鍵在於兩點:第一,它只管閉源權重,明確把開放權重模型排除在外;第二,它是前瞻性的——管的是未來這些權重作為一項物項「跨境出口」到非盟友國家的行為,給企業留出了到 2025 年 5 月的合規緩衝期。[6][7]

把這條歷史擺出來,Anthropic 事件的質變就清楚了。它不是「未來某款權重出口前要不要許可」的前瞻性管理,而是對一款已經面向數億用戶部署、正在運行的商業產品,要求即刻切斷特定人群的訪問。[1] 它動用的法律鉤子,是出口管制裡一個叫「視同出口」(deemed export)的概念——向身處美國境內的外國公民釋放受控軟件或技術,本身就被視作一次向其母國的「出口」。[3] 正是這個機制,讓一紙命令能夠伸進 Anthropic 的辦公室,要求連公司自己的外籍員工也不得訪問。這就解釋了那個刺眼的「所有外國公民,含境內」口徑。

讀馬君想強調的是執行層面的根本困難。芯片被攔,是因為它沒複製品、過不了關就到不了對方手裡。模型不是。模型是軟件,是一組權重和一套接口;它可以被複制、可以跨境傳輸、可以在任意一塊滿足條件的算力上重新跑起來。物理世界裡攔芯片的那套辦法,在模型這裡大半失效——你沒法把一串已經存在的數字「攔在海關」。這也是為什麼 AI 治理領域早有共識:開放權重一旦發佈就不可撤回,護欄在發佈後可以被輕易移除,且事後極難監控其使用。[11][10]

Anthropic 這兩款是閉源模型,理論上比開放權重更可控——訪問走 API,公司能掐斷入口,這次它也確實掐斷了。但這恰恰暴露了新邏輯的內在張力:政府能管住閉源模型,靠的不是物理攔截,而是捏住了提供商這個咽喉。對閉源廠商,這是一根隨時可以拉的閘;而對那些選擇開放權重的玩家,這根閘根本不存在。管制的有效性,於是與「模型是否閉源、提供商是否在美國司法管轄內」死死綁定——這是一條與芯片時代完全不同的執行邏輯。

Anthropic 的反駁,與「它是否無辜」的爭議

Anthropic 的自辯可以歸到幾條事實主張上,本文逐條轉述,是非由讀者判斷。

公司稱,兩款模型發佈前的數週裡,它已與美國政府、英國的 AI 安全機構 AISI 以及多個第三方合作,投入了數千小時的紅隊測試,安全措施優於以往任何已部署模型,且截至當時尚無人找到通用越獄法。[1] 這裡補一個背景:AISI 並非虛設——它是英國政府 2023 年成立的前沿 AI 安全評估機構,對各家前沿模型做獨立紅隊測試,是這一領域少有的、有政府背書的第三方評估方。[12] 有這樣一個獨立機構參與測試,Anthropic「仍沒發現通用越獄」的說法,分量與此前廠商自說自話的安全聲明確實不同。

它最鋒利的一句反駁,是關於標準的:僅僅因為一個範圍有限的越獄漏洞,就召回一款已經面向數億用戶部署的商業產品,如果這個標準在全行業推行,將實質上叫停所有前沿模型提供商的新模型部署[1] 這句話的殺傷力在於它把問題從「Anthropic 這款模型該不該停」抬高到了「整個行業還能不能發新模型」——因為沒有任何一款前沿模型,能保證零越獄。Anthropic 把這次事件定性為一場「誤會」,正爭取儘快恢復訪問。[1]

但「Anthropic 是不是純粹的受害者」,業界並沒有一邊倒。

一派網友認為政府的干預霸道,擔心這種做法等於把美國的技術優勢拱手讓人——你把自家最強模型按住,對手卻不會跟著按。[1] 另一派的聲音更扎心。YouTuber Matthew Berman 等人指出,是 Anthropic 自己大肆宣揚 Mythos 有多危險、把它包裝成「全球最強網絡安全模型」、還高調宣佈在某些領域移除了安全防護,[1] 才招來了這一紙命令——一家公司既要靠「我的模型危險到改變遊戲規則」來營銷,又要在監管找上門時辯稱「它其實沒那麼危險」,這兩套話術很難同時成立。[1] 以上均為相關人士的公開觀點,本文轉引、不代表本站立場。

這正是讀馬君覺得這件事耐人尋味的地方:把模型的危險性當賣點,和把模型的危險性當辯護,是同一枚硬幣的兩面。當營銷話術撞上監管話術,Anthropic 發現自己被自己的措辭夾住了。

這套機制能罰多重、要鎖多久

拋開口水仗,出口管制是有牙齒的,這部分必須講清。

按 EAR(出口管理條例)的框架,出口、再出口或境內轉讓受控物項都需要許可證,不遵守將面臨經濟和民事處罰。[4][1] 民事罰則的上限並不小:每項違規最高可達 25 萬美元,或涉案物項價值的兩倍,取其高者;BIS 在執法上並非紙面老虎——僅 2024 財年,它就開出了超過 15 億美元的出口違規罰單。[5] 對一家把模型生意做到數億用戶規模的公司,合規不是可選項。

至於要鎖多久,據 Axios 報道,在國家安全相關機制加固到位之前,這兩款模型須保持封鎖,時間可能以數週計。[1] 這意味著,即便 Anthropic 把這次定性為「誤會」,恢復訪問也不是一封澄清信就能解決的——它要等政府認為風險被「機制化」地兜住,而不是被「口頭」說服。再次說明,封鎖時長為 Axios 所述,本文轉引。

對關注 AI 產業的投資者,這意味著什麼

寫到這裡,落到讀馬君真正關心的問題上:這件事在投資框架裡,應該被放在哪個位置。聲明在前——本文不提供任何買賣建議或目標價,下面只做事件鏈與風險結構的拆解。

第一個變化,是政策風險第一次成為評估前沿模型公司的獨立變量。在芯片時代,出口管制是芯片廠商和它們的客戶要操心的事;模型公司更多是「算力是否買得到」的間接承受方。Anthropic 事件把這條風險直接接到了模型公司的資產負債表上——你最強的那款產品,可能在發佈後不到三天被政府按住數週,而觸發它的不必是確鑿的危害證明,可能只是另一家公司的一句「我能越獄它」加上一通監管層的電話。這種風險很難提前定價,因為它不走可預期的流程。

第二個變化,是「最強」與「最危險」之間的營銷張力,從公關問題升級成了合規問題。一家公司越是把自己的模型描述成能改變網絡安全格局的利器,就越是在給監管遞刀子。如何在「展示能力」和「不招致管制」之間走鋼絲,會成為前沿模型公司一項實打實的經營能力——而不再只是市場部的措辭偏好。

第三個變化,關乎開源與閉源的天平。這次被按住的是閉源模型,靠的正是閉源「提供商可掐斷」的特性。這會不會讓一部分開發者更傾向開放權重路線(一旦發佈即不可撤回、監管的閘無處可拉)?還是反過來,促使監管把注意力進一步轉向更難管的開放權重,從而連開源路線也收緊?兩個方向都說得通,本文不下斷言,但這道天平的擺動值得長期盯。

未來 30 到 90 天,本文建議關注以下幾個可核查的觀察點,它們會告訴我們這究竟是一次性的「誤會」,還是一種新常態的開端:

  • Fable 5 與 Mythos 5 的恢復時間與條件:是簡單恢復,還是附帶了某種長期的訪問限制或機制化承諾?恢復用了幾周、對應 Axios 所說的「數週」是否準確,本身就是一個信號。
  • 是否出現成文規則:這次依據的是一封信和口頭證據。如果商務部把「已部署模型的緊急叫停」寫成可援引的條文或指南,那它就從個案變成了機制——這是質變是否固化的最硬指標。
  • 同行的連帶反應:被點名具備類似能力的 OpenAI 等是否被波及,或是否主動調整新模型的發佈節奏與安全披露口徑。若頭部廠商集體放慢「秀肌肉」,說明 Anthropic 那句「將叫停全行業新模型部署」的警告正在被市場當真。
  • 「視同出口」口徑的延伸:政府要求連境內外籍員工也斷訪問,這個口徑若被沿用,將直接影響前沿模型公司的研發用工與跨國團隊部署——一支高度國際化的工程團隊,可能在某些產品上突然無法觸碰自家代碼。

讀馬君的判斷是:這樁事件單看是孤例,放到管制邏輯的演進裡看,則是一道清晰的分水嶺。管制對象從能被海關攔下的實物芯片,延伸到了無法被物理攔截、卻能被「掐住提供商」拿捏的軟件模型——這是工具與對象的雙重質變。對一個把前沿模型公司當作投資標的的人來說,從今往後,評估它們手裡的算力和模型能力之外,恐怕還得在表格裡新加一欄:當它發佈下一款最強模型時,那封信會不會再來。