6 月 9 日,Anthropic 发布了 Fable 5 和 Mythos 5。两天后,美国政府以国家安全权限发出一份出口管制指令,要求暂停所有外国人对这两个模型的访问。范围包括在美国境内工作的外国人,也包括 Anthropic 自己的外籍员工。Anthropic 直接关闭了两个模型给所有客户使用,以确保合规。
它管的不是芯片出口,不是模型权重下载,而是在线 API 访问。一个网页上的输入框,被政府理解成了某种可以跨境流动的国家安全能力。
这件事在舆论里迅速形成了两种流行叙事:一种是政府越权,一种是 Anthropic 求仁得仁。两套叙事各自抓住了真实的一半,但分开看都不完整。下面先分别展开,再看它们为什么可以同时成立。
Anthropic 在官方声明里写得很清楚:美国政府以国家安全权限发出 export control directive,暂停所有 foreign national 对 Fable 5 和 Mythos 5 的访问,“无论在美国境内还是境外,包括外籍 Anthropic 员工”。Anthropic 说政府信件没有提供具体国家安全担忧的细节,它自己的理解是政府可能掌握了某种 jailbreak Fable 5 的方法,但 Anthropic 认为它看到的 demo 只涉及少量已知的轻微漏洞,其他公开模型也能做到类似事情。
Axios 的报道补充了执行层信息:Commerce Secretary Howard Lutnick 给 Dario Amodei 发信,将 Mythos 5 和 Fable 5 置于出口管制范围,限制包括境外访问、再出口和美国境内向 foreign persons 的转移。
政府没有公开技术证据。Anthropic 说信件没有提供具体细节,它看到的 jailbreak demo 也没有达到需要全面切断 foreign national 访问的程度,国家安全理由在这里变成了一个黑箱判断。管制对象从物理物品扩展到了在线服务,过去出口管制主要围绕芯片、设备和模型权重,现在连 API 调用也被视作能力转移。foreign national 范围打到了公司内部,员工能不能接触自己公司的模型,不再只由公司权限系统决定,还由国籍和出口管制身份决定。
这套叙事抓住了政府动作里的三个真实问题。
最直接的问题是程序。政府用一封不公开的信件,在模型发布 48 小时后做出全面暂停决定,没有给 Anthropic 申诉窗口,没有公开技术论证,没有区分风险等级。这和政府在芯片管制中使用的那套分层、分算力阈值的论证体系形成鲜明反差。2025 年的 AI diffusion rule 按算力划 tiers,按盟友分类别,给民间和学术用途留豁免通道。Fable/Mythos 的指令没有这些,只有结论。
第二个问题是比例。Anthropic 做了数千小时的红队测试,与美国政府、英国 AISI 和第三方合作评估,公开承认不存在完美 jailbreak 防护,采用纵深防御策略和 30 天数据留存来降低风险。政府如果看到了 Anthropic 不知道的危险,没有告诉 Anthropic 是什么。如果只是拿到了一个 Anthropic 已知的 jailbreak,禁令的覆盖范围和理由的严重程度之间有一个明显的缺口。
第三个问题是波及面。foreign national 这个概念在出口管制法律里不是新东西,但把它应用到在线模型访问意味着公司必须有能力实时判断一个 API 请求背后的人是不是 US person、在什么地点、为什么任务调用什么能力。这不只是 Anthropic 的问题,任何在美国运营的前沿 AI 公司都会被问到同一个问题。跨国团队、API reseller、模型路由平台、agent SaaS,这些产品形态在今天的合规假设下运转,明天可能就不够用了。
同时,前沿模型的 jailbreak、cyber uplift、distillation 和对手国家获取能力,都是真实的政策变量。政府在这个领域有合法安全关切。问题不在于政府有没有担忧的权利,而在于它把担忧转化成强制指令时,证据和程序是否足以支撑这个力度。
政府越权叙事的问题在于,它把 Anthropic 当成一个被监管随机砸中的普通公司。但 Anthropic 不是。
Anthropic 是过去两年里对政府安全介入呼声最高的前沿 AI 公司。它一直主动把前沿 AI 放进国家安全语境里。
2023 年,Anthropic 发布 Responsible Scaling Policy,建立了一套按模型能力分级的安全框架。2024 年,它支持加州的 SB 1047 安全法案。2025 年,Dario Amodei 在政策长文里系统阐述了芯片出口管制的逻辑:民主国家不能把军事 AI 优势拱手让给专制对手,芯片管制是阻止对手获得千万级 GPU 集群的核心工具。同年,Anthropic 第一个把 Claude 部署到美国政府机密网络,第一个为核实验室提供定制模型。2026 年 6 月 5 日,Anthropic 发布博客呼吁全球暂停前沿 AI 开发,四天后发布了自己最强大的公开模型。6 月 11 日,也就是出口管制指令发出的同一天,Dario 发表了新的政策文章,主张政府应有权在第三方评估认定模型存在不可接受风险时阻止部署。
这些动作放到一起看,组合效应很清楚:当政府开始用强制性权力对待前沿 AI 时,不管这种权力是制度化的还是粗糙的,Anthropic 都已经在组织能力、合同关系和运营经验上准备好了。
Anthropic 倡导的是更强的安全制度,不等于它要求政府用一封不透明指令突然关停自己的模型访问。求仁得仁在这里是一个结构描述,不是道德结论:当你持续要求政府进入这个市场,政府进入以后不会只按你的设计图施工。Anthropic 想要的是可预期的安全监管、第三方评估和行业统一门槛,政府给出的却是直接的出口管制指令。倡导者获得了自己要求的方向,但没有获得自己想要的形式。
到这里,两套叙事各自成立,但它们指向同一个更深的问题:如果政府真的开始用出口管制工具对待前沿 AI 的在线访问,这对竞争格局意味着什么?
前沿 AI 的竞争门槛有三层。技术门槛是模型能力和工程速度,资本门槛是算力投入和数据规模。这两层都很高,但它们有一个共同点:只要钱和人才足够,追赶速度可以很快。过去两年里,DeepSeek、Kimi、GLM 都在不同维度上证明了这一点。
合规门槛不同。它由政府反应速度、法律解释、审查流程、审计制度、客户风险偏好和国际关系共同组成,天然更慢。政府不会因为一家公司多招了五百个工程师就加速立法,也不会因为竞争对手发布了更强的模型就简化出口管制审查。
慢市场对先发者有利。原因不是先发者一定更聪明,而是它已经把一部分合规成本变成了沉没成本。安全团队、政策团队、政府合同、审计日志、访问分层、客户身份验证、数据边界、出口管制条款,这些东西一旦建好,就不只是成本,也会变成后来者必须补课的基础设施。Anthropic 的产品目录里已经有 Regional Compliance 页面,Trust Portal 里有完整的安全合规文档,这些不是巧合,而是合规自动化能力的一个侧面。
上市前,公司需要向投资者解释自己的竞争位置为什么可防御。模型能力本身会被追赶,价格会被压低,推理成本会下降。但如果市场进入下一阶段,竞争焦点从谁模型更强转向谁能在美国政府、企业客户和国际合规之间稳定交付能力,Anthropic 的安全和合规投入就不再只是道德姿态,而是商业资产。
短期看,Anthropic 明显付出了代价。产品被迫关闭,客户访问中断,外籍员工被排除,市场信心受影响。但短期损失和长期壁垒可以同时存在。合规事件一开始总是事故,后来可能变成流程。最早经历事故的公司,最早学会流程。
说到这里,有一种读法会自然浮现:Anthropic 是不是在下一盘大棋,用安全监管消灭竞争对手?这个读法不需要阴谋论来解释。
安全派公司相信前沿 AI 风险真实存在,于是推动更强监管。更强监管提高行业合规成本。高合规成本天然有利于已有团队、已有政府关系、已有合规基础设施的大公司。这些大公司因此更愿意继续支持制度化监管。这个循环不需要坏人,它只需要每个参与者按自己的局部理性行动。Anthropic 的安全信念可能是真诚的,商业利益也可能同时存在。公司不需要在会议室里决定用安全监管建立护城河,也可以自然走向同一个结果。
Dario 在政策文章里提出的具体方案可以说明这一点。他建议的强制测试触发阈值是 10^25 FLOPs 的训练计算量,或 5 亿美元年收入、10 亿美元研发投入。这个阈值精确地豁免了小型玩家,但卡住了任何想达到前沿能力的公司。他同时提出了监管市场方案,由私人组织经政府授权来评估模型。这个方案的核心问题是:谁定义评估标准?如果评估标准由现有参与者参与制定,认证过程本身就变成了竞争壁垒。
Nathan Lambert 在 Interconnects 里的判断直接指向了这个结构:这是透明且合理的安全政策与悄悄推出的市场巩固策略的混合体。这句话的精确之处在于,它没有说 Anthropic 在骗人,它说两件事可以同时为真。
把镜头从 Anthropic 拉远,Fable/Mythos 事件改变的不只是一家公司的处境。
过去评价一个模型,主要看四个维度:intelligence、cost、latency、context window。现在要加上第五个:access surface。哪些人能用,哪些国家能用,公司内部哪些员工能接触,客户调用是否触发出口管制,模型路由平台是否能识别最终用户身份,这些都会进入产品设计。
对开发者和企业客户来说,选模型的标准在变。过去主要问能力、价格、延迟、上下文窗口。以后还要问:这个模型在我的团队成员所在国家能不能用?我的客户如果是 foreign national 会不会触发限制?供应商遇到政府指令时是直接关停,还是有替代模型、申诉流程和客户迁移方案?
对 AI 公司来说,政府关系从外部事务变成产品基础设施的一部分。不是每家公司都想成为政府承包商,但每家前沿模型公司都可能被迫成为出口管制执行节点。每次 API 调用都可能同时是产品使用、能力转移、合规事件和外交风险。
政府反应速度和模型发布速度之间的落差来自制度本身的运作方式,不会消失。Anthropic 进行了数千小时的红队测试,与政府合作评估,然后发布。48 小时内政府发现了一个它认为足够严重的问题。即使有最充分的事前合作,模型评估的能力分布仍然是偏斜的:厂商知道最多,政府知道一部分,民间安全社区知道另一部分。出口管制指令是政府在信息不完全时的最高力度工具,每次使用都是一次赌博,赌的不只是这次决策对不对,还有工具本身的威慑力会不会因为滥用而被稀释。
回到开头那两套叙事。政府越权叙事指向一个事实:国家安全黑箱一旦进入产品访问层,商业可预期性会被迅速削弱。一家公司发布产品后 48 小时被政府叫停,这件事本身就会改变所有 AI 公司的风险计算。求仁得仁叙事指向另一个事实:AI 公司把国家安全逻辑引入行业之后,不能假设这套逻辑只会约束别人,也不能假设它会按公司偏好的方式运行。Anthropic 在这件事里的位置,恰好是一个从受害者到幸存者再到潜在受益者的迁移路径。它公开抗议,私下谈判,坚持底线同时也遵守指令。
前沿 AI 的市场正在从快市场变成慢市场。快市场里,优势来自模型发布速度、工程迭代和算力扩张。慢市场里,优势来自合规能力、政策预判、政府关系和跨境访问控制。Fable/Mythos 事件的长期意义在这里:它不是简单证明政府会管 AI,而是证明访问权本身已经成为前沿模型能力的一部分。以后模型能力的真实边界,会由算法、算力、价格和访问制度共同决定。