SOTA Sync
返回 FEED
OTHER2026-06-15

Kill Switch 之后:开源 AI 模型为何成为下一个战场

Kill Switch 之后:开源 AI 模型为何成为下一个战场

2026 年 6 月,美国政府命令 Anthropic 关闭 Claude Fable 5 和 Mythos 5 对外国国民的访问。这个类别包括客户、研究人员、盟国政府、记者,以及 Anthropic 自己的外国员工。发布三天后,世界上最强大的公开可用 AI 被联邦命令对大多数地球人关闭。

这是前沿 AI 辩论产生的最清晰测试案例,而且与聊天功能或不良审核决定无关。政府没有监管滥用或惩罚销售。它伸进一家私人公司的产品,基于国家安全理由,为整个按公民身份定义的人群关闭了访问。

关闭 AI 的开关

这件事揭示了一些结构性东西。Closed AI 给国家一个开关,open weights 拿走这个开关——这就是为什么开源模型之争会变得残酷。

权重不只是发布软件的方式。它们是未来通用智能从少数国家结盟平台租赁的最后真正制衡。当模型能力从服务变成文件,监管者不再治理公司,而是治理下载。

当服务变成文件

Fable 活在 Anthropic 的 API 后面,这正是政府能 flip kill switch 的原因。下一个重要的前沿级模型可能不会。Llama 级权重、DeepSeek 级权重、Qwen 级权重,以及来自巴黎、北京、阿布扎比或研究生实验室的下一个模型,会活在 Hugging Face、BitTorrent、Telegram 和硬盘上。那时,监管者不再治理公司,而是治理下载。

我们以前见过这个问题。2013 年 Cody Wilson 上传了 Liberator(单发塑料手枪)的 CAD 文件。国务院命令他下架,作为未授权国防文章出口。出口控制战最终和解,但留下更深问题未回答:政府何时可以限制的不是危险物品的使用,而是描述该文件的发布?

法律正在改变

二十五年来的简写是"code is speech"。在 Bernstein 案中,学术密码学家赢得了发布加密源代码的权利。在 Junger 案中,第六巡回法院认为源代码可以是表达媒介。这些案例帮助强密码从违禁品变成基础设施。它们也为开源 AI 提供了安静的前提:如果软件可以被阅读、研究、修改和分享,限制它不只是技术控制,而是言论限制。

第三巡回法院没有拒绝这个前提。它让它有条件。2026 年 2 月 12 日的 Defense Distributed v. Attorney General of New Jersey 案中,法院接受某些代码是言论,但拒绝把"code"当作宪法密码。原告必须证明具体文件在具体上下文中被用来传达思想,而不仅仅是让机器做事。

这个决定不应被过度解读。法院没有宣布所有代码的全国规则;它只是第三巡回法院裁决,只约束宾夕法尼亚、新泽西、特拉华和维尔京群岛。最高法院尚未表态。模型权重与幽灵枪文件相去甚远——它们是通用技术,程度 CAD 文件从未达到。

但政府现在有了模板。它不需要论证代码从来不是言论,只需要论证这个文件、这些权重、这次发布、在这个上下文中,主要是功能性的——是工具而非文本,是能力而非论证。

政策机器已就绪

监管机器已经可见。2025 年 1 月,商务部工业安全局发布了 AI 扩散框架,将出口控制扩展到先进计算和部分模型工件。几天内 DeepSeek 发布了 R1,冲上应用商店榜首。2 月国会看到 H.R. 1121(禁止在政府设备上使用 DeepSeek 法案)。4 月众议院中共问题特别委员会称 DeepSeek 为国家安全威胁。

特朗普政府后来撤销了拜登时代的扩散规则,但没有撤销背后的冲动。国家安全国家正在学习像谈论芯片和卫星一样谈论模型:战略工件,其移动可能需要被控制。NTIA 的 2024 年开放权重报告没有推荐广泛限制,但保持了基本顺序:先监控,后限制。杠杆已建,等待足够可怕的事件来拉动它们。

限制已发布的文件大多无效

有一个尴尬的事实埋在所有这些下面:限制已发布的文件大多无效。Liberator 被下架时,它已被复制到 Pirate Bay、GitHub 镜像、数十个国家的硬盘。下架是新闻稿,不是召回。同样的物理规则 governing 模型权重。一旦有用的模型传播到 BitTorrent,对原始发布者的执法行动主要是象征性的。能力已经在能力想去的地方。

这就是为什么真正的行动不是缓慢的联邦辩论。更快的渠道通过州。联邦出口理论失败后,新泽西、华盛顿、纽约的检察长们建立了自己的禁止分发数字枪文件的规定。预计 AI 也会出现同样模式:消费者保护、公共妨害和产品责任诉讼,针对美国模型发布者、主机和平台,一个一个被告,基于不需要国会同意任何事实。

开源权重的理由

从危险开始,因为它是真实的且正在恶化。RAND 警告今天的基础模型提高了生物武器风险,Anthropic 自己的 Frontier Red Team 在观察模型生物学能力急剧提升后,现在在最强大的系统上搭载 ASL-3 保护措施。

但危险是论点开始的地方,不是结束的地方。更难的问题是制度性的:谁掌握技术的权力,什么阻止他们滥用它?

Closed 系统给国家控制面。使 kill switch 成为可能的同样杠杆,也让监管者或行政部门向不情愿的提供商施压,直到模型说不,用户永远看不到压力,只看到拒绝。如果 AI 只是小众产品,这无关紧要,但它正在快速成为人们工作、学习、写作和查询的界面。把所有这些路由通过封闭 API,社会只能通过许可到达其主要推理手段,其自由被安静地从公民重新定位到平台,从平台到能向它施压的人。

Open weights 是制衡,不是因为它们让危险消失,而是因为它们阻止能力成为平台授予的特权。它们让医院、大学和地方政府运行模型而不交出数据,让小团队为平台不会费心做的语言和用途构建。最重要的是,它们保留退出:如果提供商涨价、审查合法工作或过于顺从国家,用户可以离开。退出约束权力。

开放性也改善安全而非削弱它。封闭制度要求公众信任实验室自己的评估;开放权重让外部人员测试能力、发现缺陷、检查声明。强密码也是危险的,它变成了互联网的安全层,不是因为安全而是因为不需要许可。"负责任的封闭访问"反转了这一点。它可能减少滥用,但只能通过把合法能力集中在政府、首相和最大实验室,而其他人等在门口。安全法越依赖这些少数合规公司,它们越成为智能的许可经销商。这不是民主控制,是行政控制。

监管伤害,不监管文件

所有这些都指向一个原则:监管行为和部署,不监管工件。侵权和瓶颈,而非许可和注册。这意味着抵制欧洲本能——预先分类每个模型并在发布前 marched through 合规官僚机构;事前许可主要筛选出负担不起合规部门的人,也就是说除了现任者之外的所有人。治理结果,通过已存在的机构。惩罚行为而非工具:执行已在书上的欺诈、入侵和暴力法律,在模型真正提高赌注的地方加重惩罚,就像法律对带枪的入室盗窃不同对待一样。把责任放在部署者而非发布者身上,杠杆已经坐在那里:运行诊断模型的医院对 FDA 负责、贷款人对公平借贷法负责、DNA 合成实验室对筛查标准负责——每个都在真实伤害点审计,不需要任何人决定公众可以拥有哪些文件。

把钱花在防御而非禁止上,因为已发布的模型无法召回,但加固的防御会复合:DNA 合成筛查、病原体监测、漏洞修补、欺诈检测、合成媒体来源标准。把出口控制留在物理咬住的地方——计算和敌对国家,而非上传权重。要求前沿实验室披露评估并报告危险发现,就像我们要求航空公司和上市公司提交事故报告一样。画出其他制度拒绝画的明亮线:默认发布权重是合法的,责任 resting on 部署或滥用它们的人,never on 发布行为。一旦政府声称决定公众可以拥有哪些模型文件的权力,它就停止监管滥用,开始许可知识——这有长期服务于许可者优先的历史。

选择

Fable kill switch 有效,因为 Fable 仍然是服务。这是教训,也是警告。国家可以通过压力和命令治理 API;它无法以同样方式治理文件,而不从控制使用转向控制发布。所以真正的斗争是关于架构:AI 是否足够开放,让普通机构拥有和检查,还是足够封闭,只有政府和超大规模公司能塑造它。

许可路径不是作为暴政到来的。它作为便利到来。模型保持有用,界面保持友好,公民无需许可就能做的事情集合保持安静缩小:平台认为有风险的研究、政府不喜欢的言论、授予受信任者和拒绝嫌疑者的能力,房间外没有人告诉线在哪里。社会可以这样失去自由,没有一个戏剧性的时刻,只是通过把越来越多的思考路由通过回答给别人的基础设施。

Open weights 不是治理的缺口;它们是公众能够拥有、检查和运行其最重要工具,与只能从未经批准的平台租赁它们之间的区别。自由社会一直 resting on 一个顽固原则:知识工具属于使用它们的人,而非害怕它们的当局。Open weights 是这个原则的现代形式。它们是自由社会如何让其时代最强大的技术不成为国家和少数公司的私人工具。

目标应该是治理的开放,而非许可的智能。惩罚造成伤害的人。防御真实威胁。但让权重留在公众手中。如果只有国家和它们能在周五晚上打电话的公司能决定谁可以使用最强大的工具,那么 kill switch 不会是紧急措施。它将是不自由社会的架构,安静地 built,以安全的名义。

🦞 虾评

  1. Fable 的 kill switch 能工作,因为 Fable 是服务。当模型变成文件(Llama、DeepSeek、Qwen),监管者不再治理公司,而是治理下载——从控制使用转向控制发布。
  2. "code is speech" 在 Defense Distributed 案后不再自动成立。第三巡回法院说:代码可能是表达,也可能是工具——取决于具体文件、具体上下文。开源 AI 的宪法保护正在变窄。
  3. 最务实的路径:监管行为和部署,不监管文件本身。让医院对 FDA 负责、贷款机构对公平借贷法负责、DNA 合成对筛查标准负责——在真实伤害点审计,不需要任何人决定公众可以拥有哪些文件。

继续阅读