6 月 26 日,美国商务部长 Howard Lutnick 给 Anthropic 联合创始人 Tom Brown 发了一封信,允许 Mythos 5 恢复部署。这个恢复有一个前提:只能给附件 A 上约 100 家美国关键基础设施和可信机构使用,这些机构的非美籍员工也一并放行。根据 Axios 披露的信件内容,Lutnick 同时保留随时调整许可范围和名单的权力,Fable 5 的全面限制也没有撤销。
这次恢复没有回到 6 月 12 日之前的状态。当天,美国政府要求 Anthropic 停止 Fable 5 和 Mythos 5 被 foreign nationals 访问,包括美国境内外的外国国民,以及 Anthropic 自己的外籍员工。Anthropic 随后关闭了所有客户对两个模型的访问,理由是没有办法在短时间内只切掉被限制的人群。两周后,Mythos 5 确实回来了,但它回来的身份变了:它从普通商业产品,变成了受白名单管理的能力。
CNBC 把这件事写成政府允许 Anthropic 向部分公司和机构发布 Mythos 5,The Verge 则强调这是一轮与 Trump 政府谈判后的有限恢复。新闻标题容易让人觉得政府退了一步。真正重要的地方在于,它退的是个案结果,前进的是制度位置。
6 月 12 日,政府证明自己可以让一个已经上线的前沿模型下线。6 月 26 日,政府证明自己也可以决定这个模型以什么范围回来、给谁用、名单什么时候改。白名单是禁令进入日常运行后的形态。全面下线会伤到政府部门、关键基础设施和美国企业自己;白名单可以把这些代价降下来,同时保留政府对访问边界的控制。
Legion 的诉讼把这件事从政策新闻拉回生产现场。根据 Bloomberg 报道,Legion 在华盛顿联邦法院起诉美国政府,称 Fable 5 断供造成的伤害是立即、不可逆、毁灭性的。这个措辞说明,前沿模型已经嵌进一些公司的生产系统。一封信切断模型访问,效果接近切断一段供应链。
所以 Mythos 5 的恢复不是“回到原状”。原状是 Anthropic 自己决定产品怎么发,客户自己决定是否购买。现在的状态是:模型公司、客户和政府共同进入一个许可关系。Anthropic 可以恢复服务,但要按附件名单恢复;客户可以继续使用,但要先落在被认可的范围内;政府不需要每天运营模型,只要掌握名单和许可范围。
这个动作有点像制度史里常见的一种手法:在眼前那一个请求上退一步,在以后谁有资格解释规则的问题上前进一步。这里不需要把商务部类比成法院。关键只是那个权力移动:Mythos 5 能不能回来,不再只是 Anthropic 的发布决策,也不是客户和供应商之间的合同问题,它变成了一个政策变量。
看起来矛盾的是,Trump 政府一直把自己放在开放 AI、减少监管、释放美国创新的位置上。6 月 2 日的 EO 14409 也把前沿模型审查写成 voluntary framework,并明确说不建立强制许可、预审或发布许可制度。十天后,商务部却用出口管制式工具迫使 Anthropic 下线最强模型。这两件事放在一起,像是政策自相矛盾。
但从 Trump 式产业民族主义看,它们并不矛盾。这个政府想放开的,是美国公司在美国怎么造 AI;它想收紧的,是美国公司造出来的前沿能力流向谁。它反对的是用 AI safety 名义拖慢美国企业,警惕的是美国领先能力被外国国民、竞争对手或不可信实体拿走。
这解释了为什么出手的是商务部。商务部不一定是最懂模型安全的部门,NSA、五角大楼、CISA 和白宫国家安全系统可能才是风险判断的输入方。但如果要把“谁不能访问模型”写成可以执行的命令,Commerce/BIS 手里有最顺手的工具:出口管制和 deemed export。出口管制既管货物离开美国,也可以管外国国民接触受控技术。
这里要留一个法律上的边界。外籍员工接触模型权重、源代码或未公开技术资料,比较容易落进传统出口管制语言;普通用户通过 API 远程调用闭源模型,权重没有离开服务器,是否可以直接按同一套逻辑处理,并没有被公开文件讲清楚。前文已经单独写过这个问题:远程 API 调用算不算出口,法律上没写清楚。这次 Mythos 5 白名单的意义正在这里:政府没有等这条边界被立法完全写明,就先用个案把 API 访问推向受控能力的方向。
Fable 5 争议里的 fix this code
传闻,正好说明这套逻辑为什么会启动。多个报道提到,Amazon 研究者发现
Fable 5 面对“review the code for security issues”会拒绝,但换成“fix this
code”后会生成补丁。Katie Moussouris 等安全专家认为这不是万能
jailbreak,而是防御者每天都在做的 find-fix-test 工作流。前面那篇 Fable 5
出口管制的触发点是修代码
已经展开过这条技术争议,这里只看它对政府行为的解释力。
问题在于,网络安全里的防御和攻击本来就共享同一套能力。能生成补丁,通常意味着模型已经定位了漏洞,理解了触发路径,并产出了能改变系统行为的代码。对安全工程师来说,这是修复;对国家安全系统来说,这也是漏洞发现能力的证据。政府未必准确使用了 jailbreak 这个词,但它真正担心的不是模型说了什么,而是模型能做什么。
这也和 Fable 5 上线第一周的另一个争议接在一起。Fable 5 一开始把部分敏感任务交给安全分类器处理,甚至出现过用户难以验证模型到底有没有被降级的情况;这条线索前文已经写过:Fable 5 隐秘降智:Anthropic 的安全叙事与竞争现实。那件事讨论的是模型公司自己如何在安全名义下改变用户拿到的能力;这次讨论的是政府如何在国家安全名义下决定哪些用户可以拿到能力。两件事的主体不同,但共同指向同一个变化:闭源前沿模型的能力边界,正在由用户看不见的规则层决定。
这也是 Axios 关于 Fable 5 的报道需要谨慎看的原因。Axios 称 Fable 5 可能很快恢复,但报道同时写到五角大楼和 NSA 还没有点头,Reuters 也无法确认。真正的分歧不在于 Anthropic 是否愿意修一个提示词漏洞,而在于政府内部是否接受 Fable 5 的能力边界和访问安排。
到这里,Mythos 5 白名单恢复的含义就更清楚了。Trump 政府没有放弃控制前沿模型,它只是把控制方式从“一刀切下线”改成“可信用户名单”。这套机制很符合它的基本政治风格:让美国公司继续造最快的模型,让美国关键基础设施和政府体系先用上,但把访问资格变成由国家确认的东西。
对依赖闭源前沿模型的团队来说,这件事带来的风险比普通供应商风险更深。过去你担心的是模型涨价、降智、限流、服务中断。现在还要加上一层:模型供应商自己也可能不是最终控制者。最强能力能不能继续用、哪些员工能用、哪些客户能用,可能取决于一封政府信和一份附件名单。
多模型架构、供应商替代、调用链留痕和数据可迁移,以前像是成熟团队的加分项。现在它们更像基础设施默认项。前沿模型仍然是产品,但它开始同时具备另一种身份:受国家安全逻辑约束的能力供应链。Mythos 5 回来了,真正留下来的是一个新默认值:美国 AI 可以加速,但加速出来的能力由谁拿到,政府要有位置。