AI滥用预防的挑战：管辖权、开源模型与隐私

防止人工智能被用于恶意目的至关重要。恶意使用意味着有人有意造成伤害，而AI只是他们手中的新工具。理论上，现有法律应适用于造成伤害的行为，但现实中存在诸多挑战。

**管辖权的局限** 现有法律的第一个失效点是管辖权。世界上存在流氓国家、无法国家以及侵略国家，它们要么对有害活动视而不见，要么缺乏执法能力，甚至主动制造伤害。现有法律无法可靠地触及藏身于这些管辖区的行为者。尽管有人努力填补这些漏洞，但进展缓慢，且漏洞可能再次出现。因此，我们不应期望短期内能解决，而必须将其视为现实并加以缓解。

如果我们无法直接打击恶意行为的始作俑者，可以尝试剥夺他们的工具。AI公司在此方面已做出大量努力，但这些努力受到两个背景故事的阻碍：开源模型和隐私。要剥夺恶意使用工具，首先必须检测恶意使用或意图，而开源模型和隐私使这两点都变得困难。

**开源模型的挑战** 开源模型的特点是用户可以任意运行，而闭源模型则作为托管服务提供，管理层次使监控和拒绝服务成为可能。一旦模型公开，监控能力极其有限，控制手段也大多局限于拒绝提供足够的计算资源。

最大的计算资源集中在云提供商手中，但仍有大量计算资源存在于私有数据中心、托管设施、主权国家基础设施乃至分布式消费硬件中。即使对于云资源，提供计算（而非托管服务）的性质本身就掩盖了最有效的监控手段。云提供商在设计上给予客户大量的隐私保护。

尽管开源模型有其合理性，但从防止恶意使用的角度，它们是一个挑战。令人稍感安慰的是，开源模型目前能力低于闭源模型，这减少了恶意用户可获得的工具能力。由于某些方面具有对抗性，闭源模型也为防御者提供了优势，这在网络安全领域尤为明显。

开源模型是否会一直弱于闭源？我们可通过合作辖区的监管来确保这一点，但如果非合作辖区有能力制造更强大的模型，我们将失去控制。中国是最可能同时具备这种能力且独立决策的辖区。

**隐私的两难** 第二个背景故事是隐私。互联网的默认匿名状态是有成本的，隐私倡导者试图维持这种状态。我认为高匿名性作为政策的成本过高。这并非AI特有，但与之相关。

我们绑住了安全团队的手脚，却只提供了理论上的隐私。在隐私最重要的地方（如极权国家），当地现实又削弱了隐私。隐私倡导者在最不需要他们的地方赢得政治辩论，在最需要的地方却失败。这是个艰难的选择，但我觉得我们并未做出正确的决策。

我们应该务实，但我们却过于理想化。在某些情况下，隐私措施加速了恶意数据的积累。当由于技术栈最底层被遮蔽而无法采取对策时，我们既未能实现隐私也未能阻止危害。当正式数据共享被禁止时，非正式系统取而代之，并不可避免地导致有害的泄露。

如果服务提供商始终知道谁在使用他们的服务，他们就能拒绝过去被检测到恶意行为者的访问。但互联网提供了太多匿名性。提供商可以关闭一个账户，但如果没有与实际身份绑定，新账户可以轻易创建。目前AI公司的标准对此过于宽松。我们可以让攻击者维持访问的成本更高。

**结论** 管辖权、开源模型和隐私是我们必须应对的世界特征，但它们也是我们可以影响的政策选择。令人不安的现实是，这三种力量相互叠加。开源模型将强大工具置于法律无法触及的管辖区，而匿名性使得即使法律适用，也难以检测或拒绝恶意行为者。单独处理任何一个问题都会低估问题的严重性。

前进的道路需要接受一些艰难的权衡。有意义的身份验证将让人感觉在隐私上做出了让步——确实如此。对开源模型发布的监管限制将令有正当需求的研究人员和开发者沮丧——因为开放的好处是真实的。跨国协调将缓慢且不完美。这些都不是不作为的理由，但却是诚实评估任何措施所能实现效果的根据。

不可接受的是当前默认状态：推迟艰难抉择，同时将匿名视为无条件的善，将开放访问视为零成本。造成伤害的工具正在改进。塑造其治理方式的窗口是敞开的，但不会永远持续。