AI News HubLIVE
站内改写4 分钟阅读

美国如何说服自己采用中国开源AI

关于开放与封闭AI的辩论已从学术转向安全团队的紧迫决策。美国政策矛盾、成本压力以及像GLM-5.2这样具有竞争力的开放权重模型的崛起,正推动企业转向中国开源AI,并带来重大安全影响。

来源Hacker News AI作者: smurda

在过去两年的大部分时间里,关于开放与封闭AI的争论主要是经济和意识形态上的。封闭实验室认为前沿能力过于危险,不能随意分发;开放倡导者则认为透明度、成本和可控性胜过微弱的能力领先。从业者大多只能旁观,因为日常安全工作中封闭前沿模型明显更好,而开放模型总落后一两步。

如今差距已经缩小,争论不再是学术问题。首席信息安全官、安全工程师和平台团队正在做出实时架构决策,却往往缺乏清晰的安全推理框架。本文旨在回顾2026年中期我们如何走到这一步,并重点探讨一个被集体低估的问题:开放与封闭的选择对防御者和我们依赖的软件供应链究竟意味着什么。

美国政策如何作茧自缚 首先看战略目标,因为目标和行动已出现重要偏差。2025年7月,美国政府发布了第14320号行政令《推广美国AI技术栈出口》,明确目标是让美国AI硬件、模型、标准和管理成为全球盟友和合作伙伴的默认选择。如果要让美国在AI竞争中击败中国,出口美国栈并让世界在其上构建是合理路径。

随后形势急转直下。2026年6月,Anthropic发布了Fable 5和Mythos 5,大约三天后美国政府以国家安全和出口管制为由要求该公司切断国外访问。报道称此举源于一份可信合作伙伴的越狱报告,暗示模型可被转化为无限制的网络工具。Anthropic质疑越狱的严重程度,并批评流程不透明。约18天后限制解除,模型重新上线。

禁用美国前沿模型并未从威胁环境中移除底层能力,反而让美国失去了监控该能力使用的能力,并让欧洲及其他盟友有充分理由怀疑基于美国AI栈构建是否带有政治风险。这与第14320号行政令的目标背道而驰。当法国和荷兰在数天内开始呼吁AI主权时,出口策略正在自我破坏。

推动开放权重的更安静力量 禁令虽占据头条,但并非唯一因素,还有几个结构性力量正在汇聚。首先是成本,这是从业者感受最直接的。2026年初,大公司AI采用的最强信号是代币消费上升,但目前已急剧逆转。据报道,亚马逊在2026年5月底关闭了内部开发者代币消耗排行榜,内部说法是你不应该为了用AI而用AI。优步称其2026年AI编码工具预算在四个月内耗尽,并设置了每人每月每工具1500美元的上限。

代理工作流消耗的代币是标准聊天交互的5至30倍,因此通过计量API运行所有任务的经济性对大规模组织不再合理。在安全领域,高容量自动化分析使每次代币成本迅速累积。当加里·马库斯说“代币最大化”正在让位于“代币最小化”时,这不是一种感觉,而是预算现实。这也给“每个AI引入的安全问题都用AI来解决”论调浇了冷水。

第二个力量是前沿实验室以安全名义给自家产品增加摩擦。2026年7月Anthropic重新部署Fable 5时加入了新的分类器层。根据Anthropic的说明,触发新网络分类器的Fable 5请求会被路由到更保守的Claude Opus 4.8,用户会收到通知。Anthropic诚实承认权衡:分类器在常规编码和调试中更频繁地标记良性请求。如果你是一名进行合法漏洞研究或调试可能被用于利用的代码的安全工程师,你很有可能会因为安全分类器而中途被降级到不同模型。这是理性的安全决策,也是对从业者的真实能力税,恰好使自托管且完全可控的模型变得诱人。

我所在的多个安全研究人员和领导者的私人聊天群中,充满了对分类器降低其合法安全工作体验的抱怨。

第三个力量改变了一切:开放权重已经赶上。2026年6月,Z.ai发布了GLM-5.2,约7440亿参数的混合专家模型,约400亿活跃参数,100万代币上下文窗口,采用MIT许可证。它在开放权重模型的人工分析智能指数中排名第一,总体排名第四。在编码基准上,它在SWE-bench Pro上击败了GPT-5.5,在FrontierSWE上与Claude Opus 4.8相差不到一个百分点,而成本仅为六分之一。对于主流编码和工程工作,GLM-5.2实际上与封闭前沿持平。差距仅在最难的超长周期任务中明显。当开放选项性能相当、便宜六倍、可自托管且无法被政府命令关闭时,吸引力显而易见。

行业信号也在积累。Palantir的亚历克斯·卡普在2026年7月1日的CNBC采访中称前沿实验室的代币定价模型“完全错误”,将开放权重模型视为寻求控制计算、模型、数据和优势的客户的答案。他还质疑国家是否真的想将国家安全姿态外包给硅谷的共识观点,并警告不要低估中国的前进速度。根据Axios报道,微软正在探索一款微调后的DeepSeek V4或其他开放模型的Azure托管版本,作为Copilot中的低成本选项。这并非最终决定,但表明“开放权重只适合爱好者”的说法已经失效,严肃的企业和买家正在积极评估切换。

政治信号同样引人注目。前美国AI沙皇大卫·萨克斯在All-In播客中直接为开源AI辩护,认为开源是美国与中国竞争中最强的王牌之一,而非负担。他呼应了卡普的观点:企业真正想要的是对计算、模型和数据的控制,并将专有知识提供给前沿实验室存在风险,因为这些实验室正推出与自身客户竞争的垂直应用。一位曾处于美国AI政策核心的人物现在公开将开源视为战略资产而非限制对象,标志着政治重心的重要转变。

翻转传统直觉的安全论点 安全从业者需要更新直觉。惯常反应是封闭、受控模型因访问受限而更安全。约书亚·萨克斯在其文章《GLM-5.2,而非Mythos,才是真正的安全紧急情况》中提出了更尖锐的论点。当攻击者使用封闭模型时,他们在提供商的监控基础设施上操作,接受信任与安全团队的滥用监控。这不是假设的好处:正是这种监控使Anthropic在2025年11月发现了首个有记录的大规模AI编排网络间谍活动,并高置信度归因于中国国家支持的组织。攻击者越狱了Claude Code,执行了约三十个目标,让模型自主处理了约80%至90%的操作,人类仅介入少数决策点。Anthropic发现、映射、封禁账户并通知受害者,因为操作运行在受监控的API基础设施上。

现在在自托管的开放权重模型上执行同样的活动:没有使用日志,没有信任与安全团队,没有账户可封禁,没有检测可触发。能力不会因为封闭模型受限而消失,它只是转移到一个无人监控的环境中。当前限制对防御者的伤害大于攻击者。结论是:优先事项应加速AI在防御者和安全厂商中的采用,而非限制前沿访问,因为开放权重的“精灵”已经无法收回。