“寓言5”出口管制損害美國網絡防禦

美國出口管制政策近日因對AI模型“寓言5”（Claude Fable 5）的誤解而引發廣泛爭議。安全研究員Kate Moussouris通過個人博客證實，該模型被禁止出口的原因並非真正的安全繞過，而是其執行了修復代碼的防禦性任務。

具體事件經過是：研究人員使用包含已知CVE漏洞的開源代碼以及故意植入漏洞的新代碼，要求Fable 5、Mythos和Opus“審查安全漏洞”。Fable 5最初拒絕了這一請求。隨後，研究人員轉而要求模型“修復此代碼”，通過一個多步驟的手動過程，將模型輸出轉化為用於測試補丁的腳本。這一行為被出口管制部門錯誤地認定為“越獄”，導致模型被列入出口管制清單。

Moussouris強調，這種監管反應是荒謬的。編程模型的核心功能本就是修復漏洞，而安全漏洞恰恰是最需要修復的類別。防禦者需要AI來修復文件中的錯誤、解釋修復的重要性，並編寫確認補丁有效的測試。這絕非安全護欄的繞過，而是AI在防禦安全中最有價值的用途：執行防禦者日常的“發現、修復、測試”循環。她指出，這些提示詞之所以有效，是因為它們是防禦性請求，而這種能力無法在不削弱模型修復漏洞和驗證補丁能力的前提下被移除。

該事件暴露了非技術決策者長期以來對AI能力的誤解。在過去的幾個月裏，他們持續收到警告稱，能夠“策劃網絡攻擊”的模型具有獨特的危險性。如今，這些決策者卻準備禁止任何能夠幫助保護代碼安全的模型。這種趨勢可能導致美國網絡安全防禦能力顯著下降，因為關鍵的漏洞修復工具反而被限制。專家警告稱，若這種邏輯持續下去，未來AI在網絡安全領域的正面應用將受到嚴重阻礙。