网络安全专家联名抗议：美国政府对 Anthropic 最强模型的出口禁令“极其危险”

背景

近期，美国政府对人工智能模型实施了严格的出口管制措施，直接影响了 Anthropic 公司旗下两款最强大的模型——Fable 和 Mythos。根据 Anthropic 的声明，美国政府以国家安全为由，命令 Anthropic 限制这两款模型的出口，但未提供具体的理由。作为回应，Anthropic 已暂停向全球所有用户开放这些模型的访问权限。

这一禁令引发了网络安全领域的强烈反弹。由数十名网络安全专家组成的团体，其中包括多位行业资深人士，发布了一封公开信，要求美国政府撤销对 Anthropic 模型的出口管制令。这封信的签署者包括前 Facebook 安全主管 Alex Stamos、Bugcrowd 创始人 Casey Ellis、著名密码学家 Jon Callas、计算机科学家 Paul Vixie 等知名人物，目前已有 76 位专家联名签署。

核心内容

这封公开信的核心论点在于，政府的行为剥夺了网络安全防御者使用最先进工具的能力，从而在对手快速 advancing（推进）的背景下，使防御方处于不利地位。

1. 禁令对防御者的负面影响 公开信指出，这些被禁用的模型原本可以帮助防御者发现软件和产品中的漏洞，从而提升安全性。信中写道：“在没有充分理由的情况下，将最好的能力从防御者手中夺走，而我们的对手正在迅速进步，这是危险的。”

2. 模型的发布与限制演变

• Mythos 的推出： 今年 4 月，Anthropic 以预览版形式推出了 Mythos 模型。Anthropic 声称该模型在发现安全漏洞方面极其强大，因此需要严格限制访问，以防止恶意黑客或外国对手利用它造成互联网混乱。最初，Anthropic 仅向约 50 家公司开放了访问权限，随后扩展至 15 个国家的约 150 家组织。
• Fable 的发布与严格护栏： 上周，Anthropic 发布了 Fable，这是 Mythos 的公开版本。公司表示，Fable 设置了严格的“护栏”（guardrails），旨在阻止其在生物学、化学和网络安全领域的使用，并防止他人通过蒸馏模型来复制它。然而，这些护栏过于严格，导致许多网络安全专家发现，Fable 几乎拒绝了所有与网络安全相关的提示（prompts）。

3. 禁令的潜在依据：亚马逊的研究论文 Anthropic 表示，白宫的出口管制令可能基于一份报告，该报告指出存在一种方法可以绕过（即所谓的“越狱”/jailbreaking）Fable，从而解锁其强大的 Mythos 级别能力。

4. 专家对“越狱”指控的反驳 公开信签署人之一、Luta Security 创始人 Katie Moussouris 对此提出了强烈质疑。她在一篇博客文章中指出，虽然她审阅了一份未公开的亚马逊研究论文，但该论文并未展示真正的“越狱”。

• 论文内容： 研究人员只是要求 Fable 修复具有公开已知漏洞以及“故意植入漏洞”的开源代码。在模型最初拒绝“审查代码的安全问题”后，研究人员通过特定方式诱导其进行修复。
• 防御者的需求： Moussouris 写道，论文中描述的行为无法也不应被“修复”，任何尝试只会削弱模型用于防御的能力。她强调：“防御者需要能够要求 AI 修复文件中的错误，解释修复的重要性，并编写测试以确认补丁有效。这不是护栏的绕过，而是 AI 模型为防御性安全所能做的最有价值的事情：执行防御者每天运行的‘发现、修复、测试’循环。”

5. 普遍性与监管诉求 公开信指出，专家组认为亚马逊论文中描述的方法可以在其他模型上复制，包括 OpenAI 的 GPT-5.5、Anthropic 自身的公开版本 Claude Opus 4.8 和 Sonnet，甚至包括中国的 Kimi 2.7 等模型。

信中还呼吁，监管规则应通过“民主的立法程序”透明且公平地执行，并基于行业和学术专家进行的科学研究，且“仅用于确保美国公共安全所必需的最小程度”。

关键要点

• 联名抗议： 76 名网络安全专家联名致信美国政府，要求解除对 Anthropic 模型 Fable 和 Mythos 的出口禁令。
• 核心矛盾： 专家担心禁令剥夺了防御者使用最强 AI 工具发现漏洞的能力，而对手却在快速进步，这构成了安全隐患。
• 禁令原因不明： 美国政府以国家安全为由限制出口，但未说明具体原因；Anthropic 因此暂停了全球访问。
• “越狱”争议： 禁令可能基于亚马逊的一份未公开论文，该论文声称能绕过 Fable 的护栏。但专家 Katie Moussouris 反驳称，这并非真正的越狱，而是正常的代码修复和安全测试流程。
• 护栏过度严格： Fable 的护栏过于严苛，导致其无法处理任何网络安全相关的提示，严重影响了其作为防御工具的价值。
• 技术普遍性： 专家指出，类似的“绕过”方法在 GPT-5.5、Claude 公开版本甚至 Kimi 2.7 等其他主流模型上同样存在或可复制。
• 监管建议： 专家呼吁建立基于科学研究的、透明的、民主的监管框架，并将限制控制在确保公共安全的必要最小范围内。

意义与影响

这一事件揭示了 AI 安全与国家安全监管之间的复杂张力。一方面，Anthropic 和政府担心强大的 AI 模型可能被恶意行为者利用，造成大规模的网络破坏或生物化学风险；另一方面，网络安全社区认为，AI 是提升防御能力的关键工具，过度限制反而削弱了整体安全态势。

1. 对 AI 安全研究的启示 事件凸显了“红队测试”（Red Teaming）与“防御性使用”之间的界限模糊。如果用于发现漏洞和修复代码的正常安全操作被视为“越狱”或高风险行为，那么 AI 模型在网络安全领域的实际应用价值将大打折扣。

2. 对监管政策的挑战 公开信提出的“基于科学研究的监管”和“最小必要限制”原则，为未来的 AI 治理提供了参考。它表明，一刀切的禁令可能无法区分恶意攻击者和合法防御者，反而可能阻碍防御技术的进步。

3. 行业影响 Anthropic 的模型被禁将直接影响其全球用户，尤其是那些依赖 AI 进行自动化安全测试和漏洞修复的企业和组织。这可能促使其他云服务商或 AI 公司提供替代方案，但也可能加剧全球 AI 安全能力的分化。

4. 国际竞争视角 信中提及 Kimi 2.7 等中国模型，暗示了全球 AI 安全能力的竞争格局。如果美国限制本国防御者使用先进 AI，而对手国家不受此限，可能会在长期的网络安全博弈中产生不对称优势。

总之，这场争议不仅是关于 Anthropic 的模型，更是关于如何平衡 AI 创新、国家安全与公共安全的深刻讨论。专家们的抗议呼吁政策制定者更加细致地理解技术细节，避免出于恐惧而采取可能损害自身安全的措施。