编者按：美国人工智能公司Anthropic于当地时间6月9日发布了其最强模型Fable 5和Mythos 5。仅三天后，美国政府以“国家安全”为由，于6月12日紧急发布出口管制指令，暂停所有外国公民（包括公司内部的外籍员工）对这两款模型的访问。Anthropic随后“头铁”地回应，公司将暂停“所有客户”对这两款模型的访问权限，以确保合规。

如何看待美国政府对Anthropic模型的出口管制？这一指令对中国的AI大模型又会有什么实际影响？观察者网转载公众号“东不压桥研究院”的相关评论文章，供各位读者参考。

【文/南极土著】

美国这次对Anthropic的Fable 5和Mythos 5实施出口管制，目前公开信息没有说明具体法律依据是什么，但从现有情况看，最可能的解释是BIS使用了“告知函”（is-informed letter）机制。除此之外，确实很难找到更合理的法律路径。

拜登时期《AI扩散框架》以及ECCN 4E091对闭源模型权重的管制目前仍存在争议，有人认为相关规则实际上已经失效，也有人认为其法律上仍然有效。但无论如何，Fable 5和Mythos 5本质上是云端提供的闭源模型服务，用户并不会获得模型权重，因此与4E091针对模型权重扩散的逻辑并不一致。

相比之下，告知函是更合理的解释。根据EAR第744.11(c)条，BIS即使在相关物项还没被正式纳入商业管制清单（CCL）的情况下，也可以通过个案通知的方式直接触发许可证要求。这种做法不需要经过漫长的联邦规则制定程序。如果BIS认为某项技术、产品或服务可能涉及军用最终用途、军用最终用户，或者对美国国家安全构成风险，就可以通过内部程序向企业发出通知。

过去几年，美国政府实际上多次采用这种方式作为正式规则出台前的过渡工具。A100、H100、H20、EDA软件以及部分美国产半导体制造设备，都曾先通过告知函受到限制，之后再逐步写入EAR规则体系。由于告知函通常属于保密文件，企业收到后不得公开披露，因此外界很少能看到原文，大多数案例都是通过媒体报道或企业间接披露才进入公众视野。

另一个佐证，是CNBC今天披露这次事件的决策内幕，提到美国政府是上周五美东时间下午1点致电Anthropic，要求停用这俩模型，Anthropic不同意，然后就在当天美东时间下午5点半左右收到了“一封正式信函”，要求其暂停发布这两款模型。

CNBC相关报道截图

但这里也有个明显的问题，美国政府此次究竟在管制什么物项（item）？根据Anthropic自己的说法，政府要求其停止向外国人提供Fable 5和Mythos 5的访问权限，包括美国境内的外国公民，甚至Anthropic内部的外籍员工也受到影响。这说明政府实际限制的并不是模型权重，而是模型访问权和推理服务（inference service）。

然而，这恰恰构成了当前法律框架下最大的疑问。模型访问权和推理服务总体来说属于“服务”。传统EAR主要围绕货物（commodities）、软件（software）和技术（technology）的出口、再出口和境内转移展开，而模型访问权和云端推理服务本质上更接近一种服务（service）。用户既不会获得模型权重，也不会接触底层代码。从严格意义上讲，现行EAR是否能够直接覆盖此类服务，并没有十分明确的答案。正在国会推进的《远程访问安全法》有机会填补这个漏洞，但现在前景还不明朗。

比法律依据本身更重要的问题是，BIS这次通过告知函限制Fable 5和Mythos 5发布，究竟是一次临时补丁，还是未来前沿大模型出口管制的前奏。如果是后者，BIS迟早要修改EAR，建立一套专门针对前沿模型的规则。但在大模型发布场景下，它到底要管制什么？是模型权重、API访问、推理服务，还是某种抽象的“模型能力”？目前这个问题并没有清晰答案。

告知函可以快速出手，但合规成本极高，企业需要法律确定性。但任何对前沿模型搞的出口管制，在美国都是一个高度产业敏感、政治敏感的问题。我不确定美国政府是不是敢这么干，以及是不是已经想好了要怎么干。

过去几年，美国确实尝试过模型出口管制。拜登时代《AI 扩散框架》的思路，是用训练算力和模型是否闭源作为标准，对训练算力超过10^26 FLOP的闭源模型权重进行管制。但随着算法效率、后训练、蒸馏和合成数据技术快速进步，训练算力和模型实际能力之间的对应关系正在变弱。很多研究认为，美国头部开放权重模型，比如Llama 4，可能已经超过10^26 FLOP门槛，此外，训练算力并不能准确捕捉监管真正关心的特定风险能力。Fable 5被限制，核心问题显然不是训练算力本身，而是特定越狱漏洞以及网络攻击相关能力。

另一种可能路径，是从“算力门槛”转向“能力门槛”。也就是说，不再问模型训练用了多少FLOP，而是问模型能不能辅助高级网络攻击、能不能帮助合成大规模杀伤性武器相关材料、能不能进行高度自主欺骗或操控、能不能显著加速前沿模型研发。如果模型在某些危险能力基准上超过特定阈值，那么向特定国家或主体提供权重、访问权限或服务就需要许可证。

但这种能力管制也有明显缺陷。首先，模型能力如何评估，目前没有国际共识，美国内部不同机构如METR、AISI采用的测试方法也并不一致。其次，同一个模型经过微调、后训练或系统提示调整后，能力表现可能大幅变化，评估结果并不稳定。再次，BIS本身并不是AI安全评测机构，而且在大幅裁员背景下，它是否具备独立完成复杂模型能力评估的技术能力，存在很大疑问。最终很可能仍要依赖企业自报、第三方测试或AI安全机构评估。

当然，BIS也可以尝试设计一套“算力门槛+能力评估”的混合机制：以训练算力作为初步触发条件，再通过能力评测决定是否豁免、升级或施加额外限制。但双重标准只会让规则更加复杂，也更难执行。值得注意的是，特朗普政府最新行政令已经要求财政部和网络基础设施安全局等部门研究建立“受保护前沿模型（protected frontier models）”评测体系。如果美国最终决定对大模型实施系统性出口管制，未来规则很可能会与这一评测框架挂钩。

不过总体而言，我对“大模型出口管制”这个概念本身仍持相当怀疑态度。传统出口管制体系，无论是EAR还是ITAR，其底层逻辑都建立在对货物、软件和技术文件跨境流动的控制之上。但AI模型天然是数字化、无形化的产物，物理边界极弱。今天的前沿模型并不是存放在某台电脑或某个可以上锁的数据中心里，而是分布在庞大的全球云基础设施和算力集群之中。

更重要的是，模型权重一旦生成，理论上可以无限复制，不经过海关、不需要运输，也不存在传统意义上的“走私”。即便能够限制闭源模型权重出口，也无法阻止蒸馏、微调、再训练以及开放权重模型的快速追赶。这会产生典型的“漏桶效应”：限制越严格，市场越有动力寻找替代路径，而管制本身的边际效果则会不断递减。

对这次事件，伯恩斯坦最近发了一份题为《永远不要打断正在犯错的对手：中国AI迎来战略窗口》的报告，大意是说美国这么随便靠行政指令封禁模型，严重破坏全球对美国技术栈的信任，以后可能没有国家敢放心地依赖美国的模型，因为搞不好哪天就被美国一下子切断了访问。这也会迫使更多国家考虑构建自己的主权大模型，和更多转向中国的开源模型。伯恩斯坦甚至因为这个开始重估整个中美科技巨头的价值，直接给阿里定下了180美元的目标价。

乍一听，还是比较激动的，也觉得似乎很有道理，但后来认真想了下，觉得这个事要拆解开来条分缕析一下。

美国政府在Mythos模型问题上为什么如此谨慎，内部进行了这么多讨论和监管动作，是他们在故弄玄虚，还是美国模型的能力确实强到了这个程度？这是个事实问题，也是很关键的问题。

正常逻辑下，如果模型不具备战略价值，政府没有必要付出如此高的政治和行政成本去干预一家公司的产品发布。从目前公开披露的信息看，Mythos所涉及的并不是泛泛意义上的聊天机器人能力，而是高度具体的漏洞发现、攻击路径分析和进攻性网络能力。如果这种能力确实接近网络武器级别，那么美国政府采取最高等级的风险控制措施，并非完全无法理解。

如果这个事实前提成立，美国政府基于长期的对华偏见，一定会认为，如果中国研究机构能够自由访问Fable 5或Mythos 5，就有可能利用这些模型进行漏洞发现、攻击技术研究，甚至用于支持未来的进攻性网络行动。即使模型权重没有泄露，仅仅开放API访问，也足以让研究人员长期、大规模测试模型能力边界，理解其推理模式和能力结构。如果再考虑到在美工作的外国籍员工能够接触模型开发、评估和训练流程，那么相关知识完全可能通过人才流动、合作研究、开源复现等方式扩散出去。这或许也可以解释，为什么这次美国限制的对象是所有外国人，而不只是中国籍人员。

我从这件事里得到的最大启示，和伯恩斯坦不太一样，不是美国在犯错、中国会受益，而是：最强的模型是否掌握在中国的手中，未来是一个国家安全的问题，也是一个产业竞争的问题。