白宫拟对模型发布做安全审查

审查的阴影降临

白宫正准备将手伸向人工智能模型发布环节，一项强制性的安全审查行政令草案已在各部门间传阅。这意味着你从 GitHub 下载一个权重文件，或者 Meta 在 Hugging Face 上传 Llama 的下一个版本之前，可能都需要先拿到华盛顿的通行证。开源模型“裸奔”的时代，正在权力走廊的轻声细语中被划上句点。

背景：从自愿承诺到许可证幻觉

过去两年，AI 监管的脚本像一部快进的连续剧。先是科技领袖们在白宫椭圆形办公室签字承诺“负责任开发”，然后是拜登政府第 14110 号行政令，要求训练算力超过 10^26 次浮点运算的模型必须向政府报告。每一次，业界都半推半就，每一次，政策制定者都强调国家安全、生物武器和关键基础设施入侵这些惊悚剧本。

现在，这出戏进入了第三幕。据两位不愿具名的商务部官员透露，新的行政令草案不再满足于事后报告，而是要把审查节点前移到发布之前。草案中列举的风险评估要求，覆盖了从网络攻击能力到化学合成指导，整整十七个细化门类；而“发布”的定义宽泛到令人不安——不仅包括 API 调用与权重开源，就连详细技术报告和模型卡都在审查射程之内。

背后的推动力不难理解。当 Llama 3 的微调版本被某东欧勒索软件组织用来生成难以检测的钓鱼邮件，当某个匿名的生物设计模型在暗网流转，情报界和国土安全部的焦虑急剧升温。传统出口管制在数字比特的流动面前如同纸糊的堤坝，于是审查发布本身就成了他们眼中唯一的闸门。开源社区之前所享受的那种“先发布再应对”的自由，现在被定义为制度性漏洞。

深度分析：合规成本转嫁，大厂求之不得

这项政策真正的锋利之处，不在于它要求安全检查，而在于安全检查的标准将由谁书写、成本由谁承担。

草案中关于“安全审查”的具体执行方案，建议由一个跨部门委员会指定的第三方机构进行模型评估，评估内容包括但不限于：对抗性提示的红队测试、危险知识掌握的基准评测、以及模型拒绝有害指令的稳定性。每一轮评估都需要详细记录、专家签字，并保留长达七年的审计追踪。对于 Google 和 Anthropic 而言，这不过是把内部早已进行的流程打个包，多雇几名合规专员而已。但对于一个由三名博士生维护的学术开源项目，或者印度一家初创公司试图发布的本地语言模型，这种要求无异于直接关门——一次正规第三方红队测试的报价，足够烧掉他们一整年的服务器预算。

这就触及编辑观点的核心：合规成本直接转嫁社区。表面上看，大公司和开源小团队适用同一套规则，但规则的代价对不同体量的参与者完全不对称。这种不对称本身就是一种规制性市场壁垒，甚至比专利和资本门槛更隐蔽。因为它可以堂而皇之地宣称自己是为了“公共安全”，把任何反对声音都打成不顾后果的技术自由主义狂人。

更令人警惕的是，大公司正在积极游说细化审查标准。在最近一次美国国家标准与技术研究院的闭门研讨会上，某头部 AI 公司的政策副总裁建议，安全审查应要求模型提交“多层次可溯源的训练数据清单”，并证明“数据来源符合美国版权法”。听起来合理，但细想之下：这等于要求所有开源模型不仅要自证无害，还要自证清白于版权。当 Meta 可以动用一整个法律部门来逐条清理数据，Hugging Face 上的个人开发者又拿什么来应对可能长达数年的版权诉讼风险？审查的大门一旦打开，各种原本与安全无关的议程都会顺着门缝挤进来，最终筑成一堵只有巨头才能翻越的高墙。

再看审查的可行性。草案中要求对“恶意用途的潜在可能”做出事前判断，这本身就深陷认识论泥潭。大型语言模型的能力是在用户互动中涌现的，同一个模型可以被用来写十四行诗，也可以被诱骗生成凝固汽油弹的配方。事前评估只可能捕获最愚蠢的提问方式，任何稍有手段的恶意行为者都能通过上下文拆分、语言伪装轻松绕开红线。安全审查最终大概率演化为一场旷日持久的文书表演：开发者提交数千页无害声明，审核机构盖章通过，真正想干坏事的人则在暗网论坛上用俄语和波斯语交换着绕过技术。白宫收获的是程序正义的幻觉，社区承担的是实打实的合规重负。

还有一个少有人点破的权力维度：审查机制赋予了政府对模型行为的实质性否决权。如果某个模型在政治敏感话题上给出了不合华盛顿主流叙事的回答，是否会被标记为“社会风险”？草案中模糊的“国家安全与社会稳定”条款，留下了巨大的解释空间。一旦这个先例确立，技术审查就随时可以滑向内容审查，开源模型的中立性将被彻底侵蚀。

影响研判：开源凛冬降临，创新版图重构

如果这份行政令按目前措辞落地，未来三年内我们将目睹一幅残酷的筛选图景。

首先，个人开发者和中小型实验室将大批退出基础模型赛道。发布一个新架构的边际成本将从目前的几千美元跃升至上百万美元——不是用在算力上，而是用在律师费、审计费和评估费上。开源不再是民主化的力量，而沦为少数科技寡头的公关修辞。

其次，开源生态的驱动模式将被迫异化。预计会出现一类“审查套利”中介机构，专门帮助开发者应付文书流程，从中抽取高额佣金。这本质上是在创造一种新的寻租阶层，安全没提升多少，成本却层层加码。一些激进的开发者可能会选择从欧洲或亚洲的司法管辖区发布模型，以规避美国审查，但这也意味着他们将失去美国市场的合法入口，形成一场数字铁幕。

对全球 AI 安全而言，这个政策很可能适得其反。当最具创新性的开源模型被迫转入地下，安全研究人员将失去研究它们、对抗它们的机会。合法的、可追溯的开源生态被削弱，取而代之的是无法监管的匿名发布，后者才更有可能被恶意行为者利用。这就像禁毒战争将毒品驱赶到黑市一样，安全审查将把危险性最高的模型推向完全没有灯光的地下空间。

最后，中国和欧盟的反应值得密切观察。欧盟本就倾向于更严峻的 AI 监管，可能会仿效设立类似的审查门槛；而中国的开源模型社区则可能将美国的严厉政策作为吸引开发者的反向优势，形成一个不受西方合规约束的平行生态。全球 AI 的巴尔干化，将不再只是芯片禁运的副产品，而直接嵌入到代码和权重的流通管道之中。

结语：安全之名下的权力争夺

安全是必须的，但被寡头定义的安全是致命的。白宫若真心希望管控前沿模型的风险，应该将监管资源集中在实际部署和恶意使用环节，而非在发布关卡上设下消耗战。针对高风险领域的下游应用进行监控和问责，远比在开源社区门口设立安检门更有效，也更尊重创新的底层逻辑。

开源社区需要立即行动起来。在规则尚未敲定的窗口期，联合起来提出可操作的替代方案：比如建立社区自有的轻量级安全评级标准、组建共享的红队测试资源池、推动立法明确小额豁免门槛。不要幻想大公司会为开源说句公道话——它们正在私下的游说酒会上，笑着碰杯，庆祝这个合规成本制造的新护城河。

政治权力正在以前所未有的速度向算法的每一个比特渗透。我们需要的，不是用一份又一份的评估报告填满官僚的档案柜，而是让透明度、问责制和开放科学成为真正守护安全的力量。否则，若干年后回首此刻，我们会发现，杀死开源模型的，不是技术瓶颈，而是一纸打着安全旗号的行政命令。