ai官小西

「断网开关」先例:Anthropic 与白宫的对峙,如何把前沿 AI 推入「主权管控」时代

2026 年 6 月 12 日,周五,美东时间下午 5 点 21 分,Anthropic 收到美国商务部的一封信。政府援引国家安全权限,命令该公司暂停两款最新、最强模型——Fable 5 与 Mythos 5——对任何外国人的全部访问,无论其身在美国境内还是境外,包括 Anthropic 自己的外籍员工。 由于 Anthropic 无法可靠地按国籍筛选用户,合规只剩一条路。几小时内,它把两款模型对全球所有人下线。一封信,变成了一个全球断网开关。

人们很容易把这件事读成一场旧怨的又一回合——一家以安全为重的实验室,对上一个毫不掩饰对它不耐烦的政府。但这个框架低估了刚刚发生的事。这是第一次,美国政府用出口管制法来管控对一个运行中的 AI 模型的「访问」——不是它跑在其上的芯片,不是定义它的权重,而是「使用它」这个动作本身。这是一种我们从未见过、被施加到软件即服务(SaaS)之上的国家权力类型;它标志着前沿 AI 治理不再是一个关于自愿承诺的故事,开始变成一个关于主权管控的故事。

本文梳理:哪些已被核实、各方在主张什么、为什么这套法律理论看似成立却含糊,以及——最有用的——未来一到两周内值得盯住的两个具体指标,用来判断这究竟是一次孤立的惩罚,还是一套持久许可制度的开局。


到底发生了什么

经 BBC 报道与 Lawfare 一篇详尽法律分析交叉核对,可核实的时间线如下:

  • 6 月 12 日周五美东 17:21 —— 商务部送达命令。Anthropic 称其为一道「暂停 Fable 5 与 Mythos 5 对任何外国人全部访问」的指令。
  • 当晚几小时内 —— 由于无法按国籍过滤,Anthropic 把两款模型整体下线,公众访问全部中断。
  • 整个周末 —— 争议外溢到公众视野。前白宫「AI 沙皇」David Sacks 替政府陈情;Anthropic 反驳;国防部长 Pete Hegseth 公开为此举叫好。
  • 6 月 15 日周一 —— 据报道,Anthropic 高管在华盛顿会晤商务部(部长 Howard Lutnick),试图化解此事。截至本文写作的 6 月 16 日周二,该会晤结果尚未公开证实。

有两个命名细节值得留意,因为报道两者都在用。Fable 5 是面向公众的版本,带有额外防护;Mythos 5 是它的姊妹模型。命令把两者都点了名。Anthropic 自己曾在更早的某个时点把这项能力形容为「太强大了(too powerful)」——这句话如今尴尬地卡在一场争论的正中间:这些模型到底危不危险到值得联邦层面叫停。


为什么这是先例,而非个案

出口管制此前并非没碰过 AI,但一直只在边缘。多年来,出口管制法对 AI 的全部应用,其实都是关于芯片市场——限制先进半导体,以拖慢对手的算力。拜登政府的 AI 扩散规则(AI Diffusion Rule) 曾短暂把模型权重列入管控清单,但特朗普一重新上任就立刻废除了该规则。所以直到上周五,没有人用出口管制去够到用户真正接触的那个东西:对模型本身的访问。

刚刚被跨过的,正是这条线。它在国家眼中重新定义了一个前沿模型——不是一件产品,不是一项服务,而是一项政府可以随时关掉的国家安全资产。 这个想法一旦确立,问题就不再是关于内容审核或安全测试,而开始是关于管辖权、许可,以及开关握在谁手里。Lawfare 的 Alan Rozenshtein 把利害说得很直白:如果华盛顿要把前沿模型当作可以随意开关的资产来对待,国会最终就必须建起「一套有实质标准的正经框架」——因为另一种选择,是靠一封封个案信件、一例一例临场拼凑的治理。

这里的「主权管控」就是这个意思。不是国有化,不是没收——而是一种主张:国家拥有一项长期的权利,可以基于国家安全理由,用一个快到能在一个下午内动手的机制,来设卡决定谁可以使用一个模型。


三方对峙

让外人难以裁断的是,三个主要当事方讲的是真正不同的故事,而每一个在自身逻辑内都自洽。

政府一方的说法,由 David Sacks 转述:一个「Anthropic 与美国政府双方都高度信任的可靠伙伴」——据报道是亚马逊,Anthropic 的主要投资方兼算力提供方——演示了对 Fable 防护的一次越狱(jailbreak)。按这个说法,该越狱严重到足以实现「一件网络武器的可操作性」。政府要求 Anthropic 修复漏洞或下线模型;Anthropic 拒绝;出口管制是对一家「把继续提供消费级模型置于安全之上」的公司,所采取的不情愿的最后手段。国防部长 Pete Hegseth 强化了这条强硬路线,写道:五角大楼「把他们永远赶出了我们的大楼」,而「过去的每一天都证明那是正确之举」。

Anthropic 一方的说法几乎是这张底片的反相。一名测试者发现了一个狭窄的越狱,它浮现出寥寥几个轻微的漏洞——这些漏洞政府在 Fable 发布前就已知晓,而且在其他公开模型里同样存在,包括 OpenAI 的旗舰 GPT-5.5。 从这个视角看,政府的举措往好里说是过度反应,往坏里说,是又一章惩罚一家与政府屡屡冲突的实验室的报复性运动。

安全研究界则尴尬地横跨在两者之间。一批研究者签署了一封反对下线的公开信,论据是「防御者困境」:「把最好的能力从防御者手里拿走」——那些用前沿模型去发现和修补漏洞的人——「是危险的」,因为攻击者不会尊重断网开关,会绕过它。在他们看来,砍掉防御方的工具、却让进攻方留着自己的,会让所有人都更不安全。

请注意,三方可以同时各对一部分。一次越狱可以既狭窄严重;一个模型可以既不比同行更糟确实有风险;一次执法行动可以既在法律上可用带有选择性动机。用 Rozenshtein 的话说,事实依然含糊。

围绕 Anthropic 断网开关的三方对峙:政府/Sacks、Anthropic、安全研究者,外加法律机制与两个观察指标

法律机制:看似成立,却含糊

这件事之所以不只是政治表演,是因为存在一个表面上看似成立的法律抓手——不像政府今年早些时候那个法律上站不住脚的、给 Anthropic 扣「供应链风险」帽子的尝试。可能的依据是出口管理条例(EAR),由商务部下属的工业与安全局(BIS)依据《2018 年出口管制改革法》执行。有三个特性让这套理论得以成立,而每一个都有软肋。

  1. EAR 管的是无形的「技术」,不只是实物。 它的 deemed-export(视同出口)规则 把「向身在美国境内的外国人释放受控技术」视同向该人母国的出口。这正是一个境内 SaaS 产品被一并拉进出口管辖的方式。软肋: 对一个通过 API 提供服务的模型,权重从不离开 Anthropic 的服务器——所以对权重的管控几乎够不到任何人,除了 Anthropic 自己的非公民员工,反而把一些恰恰最需要用来修复问题的研究者挡在了门外。

  2. 「is informed」信函。 BIS 可以通过给公司寄一封信立即施加许可要求,无需经过「通知—评论」式立法程序——这正是它当年用来阻止先进芯片对华销售的同一条快速通道。软肋: 速度的代价是程序。没有公开规则,没有评论期,没有公布的标准——只有一道个案指令,其法律推理并未披露。

  3. 把模型输出当作受控「技术」。 由于 EAR 把「技术」定义为受控物项(比如用于网络攻击的软件)的开发或使用所「必需的任何信息」,政府可以主张危险的输出本身就是出口。软肋: 远程使用一个模型是否算「出口」,远未有定论。出口管制历来不适用于外国人对美国 SaaS 的访问——这恰恰是为什么,2026 年 1 月,众议院觉得有必要通过 《远程访问安全法(Remote Access Security Act)》,一项把出口管辖扩展到外国人远程访问受控美国技术的法案。如果这项权限本就清晰,这部法案就是多余的。

一句话:政府有一条看似成立的路径,但它正用一个快速、低程序的工具,去主张一种国会还在同步立法、试图使之成立的「够及范围」。


值得盯住的两个指标

有用的问题不是「谁对」——而是「这是一次性事件,还是一套制度的开局?」两个具体的、近期的指标会给出答案,且两者都在大约一到两周内可观察。

指标一 —— 是否会出台正式的行政指令?

到目前为止,工具是一封寄给单一公司的个案 BIS「is informed」信函。那是执法,还不是政策。要盯住的,是从一封私人信件升级为一道公开发布、普遍适用的行政举措,针对前沿模型的出口或访问——一道正式的行政命令、一条新的 EAR 规则,或一部快速通道立法。早期报道已经朝这个方向暗示,用了「美国出口管制令」「特朗普政府的历史性命令」这类措辞。但一封针对单一实验室的信,和一条针对整个类别的规则,二者有实质差别。如果在未来一到两周内,这个断网开关被一般化为一份在文面上适用于任何前沿模型的成文政策,那么主权管控的论点就被坐实了。如果它停留在一封定制信件、并在周一会晤后被悄悄解除,那这更接近一种施压手段,而非一套制度。

指标二 —— OpenAI 和 Google 会不会被一并卷入?

这是更干净的检验,而眼下证据指向相反方向。按 Anthropic 的说法,被援引的那些漏洞,在其他公开模型里同样存在,包括 OpenAI 的 GPT-5.5。 然而据报道,政府并无计划对其他具备同等网络能力的模型施加类似的出口管制。如果其理由真的是「这一类能力太危险,不能暴露给外国人」,它就不该止步于一家厂商。所以要盯的问题很简单:在未来一到两周内,是否有任何类似的命令够到 OpenAI、Google 或另一家前沿实验室?如果有,这就是政策——一条围绕某个能力类别真正划下的线。如果没有——如果它始终只针对 Anthropic,而被点名的同行还在继续交付同样的能力——那么「国家安全」这套说辞,就与选择性执法之间产生张力,「报复性运动」这种解读的分量就会加重。


选择性执法的问题

第二个指标,指向了整起事件里最让人不安的特征。一项国家安全管控,本应追着一种能力走,而不是追着一家公司走。一旦危险被定义为「这一类模型输出」,逻辑上就该把每一个能产生它的模型都囊括进来。单单挑出一家实验室——尤其是一家政府公开结怨、其 CEO 与之冲突、五角大楼声称「永远赶出了我们大楼」的实验室——就会引出一个问题:这个工具究竟是在按其宣称的目的使用,还是被当作筹码。

这不是党派之见,而是结构之论。对一条安全规则的选择性执法,会腐蚀这条规则本身。如果 GPT-5.5 有同样的漏洞、却继续向外国人提供服务,而 Fable 5 被迫下线,那么要么这个漏洞其实并不构成取消资格的理由,要么这次执法其实与漏洞无关。两种解读,对一套终将需要业界配合才能运转的前沿 AI 管控制度的公信力来说,都是坏消息。


一个主权管控时代需要什么

即便 Anthropic 这周说服商务部解除了命令,先例也不会就此「没发生过」。Rozenshtein 点出的那个更深的问题,会比任何单一争端活得更久:究竟该不该有一套前沿 AI 的许可制度,如果该有,又以什么条件为准?

靠「is informed」信件治理,是快速、不透明、个案化的——对一个需要可预测性来吸引其赖以运转的全球人才与投资的行业而言,这是最糟糕的组合。一项短期管控甚至可能把 Anthropic 自己的非公民研究者,挡在他们正试图加固的模型之外;而这类管控若成为长期模式,会让任何一家美国前沿实验室都极难招到外国人才——而按各方说法,外国人才正是 AI 发展的核心。如果华盛顿真打算把前沿模型当作可开关的国家安全资产,那么避免混乱的另一种选择,就是一套正经的法定框架:公开的标准、正当程序、明确的许可路径,以及——至关重要的——对各厂商一视同仁的适用。

断网开关奏效了。这恰恰是它危险的原因。一种能在一个下午内、针对一家公司、依据未披露的推理就动用的能力,是一种还会被再次伸手去够的能力。下一次伸手,是裹着一套真正的框架而来,还是又一封午夜信件——这才是此刻真正在被决定的事;而上面那两个指标,就是我们其余人用来判断它最终走向何方的方式。

资料来源

本文基于一手报道与法律评论,并在多家媒体间交叉核对。抓取到的材料被当作数据处理,并对照多个来源进行核验。

  • BBC News —— "Anthropic to meet White House over AI tool suspension"(记者 Kali Hays):商务部会晤、周五公众访问下线、Fable 5 / Mythos 5 命名、对外国人的禁令、安全专家的反对联署信。
  • Lawfare —— "A Kill Switch for Frontier AI",Alan Z. Rozenshtein,2026 年 6 月 15 日周一:美东 17:21 的信函、EAR / BIS / 出口管制改革法的法律框架、视同出口与「is informed」信函机制、「首次用于访问」的定性、AI 扩散规则的历史、远程访问安全法、David Sacks 的陈述、亚马逊越狱演示的说法、Anthropic 关于 GPT-5.5 的反驳、Pete Hegseth 的表态,以及许可制度问题。
  • 其他交叉参照的报道(出口令定性与各方反应):Nextgov/FCW(David DiMolfetta)、Straight Arrow News(Devin Pavlou)、R Street、Tech Policy Press,以及经 Google News 检索到的 WIRED、《华盛顿邮报》、Politico 等同期报道(2026 年 6 月 12–16 日)。

日期说明:本文写于 2026 年 6 月 16 日周二(亚洲/上海时区)。6 月 15 日周一的商务部会晤此前被报道为已排定,写作时其结果尚未公开证实。上述两个指标,是针对其后一到两周窗口框定的。