“寓言5”出口管制损害美国网络防御

美国出口管制政策近日因对AI模型“寓言5”（Claude Fable 5）的误解而引发广泛争议。安全研究员Kate Moussouris通过个人博客证实，该模型被禁止出口的原因并非真正的安全绕过，而是其执行了修复代码的防御性任务。

具体事件经过是：研究人员使用包含已知CVE漏洞的开源代码以及故意植入漏洞的新代码，要求Fable 5、Mythos和Opus“审查安全漏洞”。Fable 5最初拒绝了这一请求。随后，研究人员转而要求模型“修复此代码”，通过一个多步骤的手动过程，将模型输出转化为用于测试补丁的脚本。这一行为被出口管制部门错误地认定为“越狱”，导致模型被列入出口管制清单。

Moussouris强调，这种监管反应是荒谬的。编程模型的核心功能本就是修复漏洞，而安全漏洞恰恰是最需要修复的类别。防御者需要AI来修复文件中的错误、解释修复的重要性，并编写确认补丁有效的测试。这绝非安全护栏的绕过，而是AI在防御安全中最有价值的用途：执行防御者日常的“发现、修复、测试”循环。她指出，这些提示词之所以有效，是因为它们是防御性请求，而这种能力无法在不削弱模型修复漏洞和验证补丁能力的前提下被移除。

该事件暴露了非技术决策者长期以来对AI能力的误解。在过去的几个月里，他们持续收到警告称，能够“策划网络攻击”的模型具有独特的危险性。如今，这些决策者却准备禁止任何能够帮助保护代码安全的模型。这种趋势可能导致美国网络安全防御能力显著下降，因为关键的漏洞修复工具反而被限制。专家警告称，若这种逻辑持续下去，未来AI在网络安全领域的正面应用将受到严重阻碍。