6月16日消息,据WIRED记者Hugo Lowell报道,特朗普政府官员与Anthropic当天在华盛顿结束会谈,但未取消对Claude Fable 5的出口管制。商务部已表示愿意允许Fable 5恢复面向消费者的使用,但前提是Anthropic解决其提出的越狱安全担忧。这是自6月12日出口管制令发出以来,双方最高级别的面对面会谈,但下一步走向仍不明朗。
事件时间线
6月9日,Anthropic发布Claude Fable 5和Mythos 5。据CNBC报道,Fable 5是Anthropic首次向公众开放的Mythos级别模型,内置了针对网络安全等高风险领域的分类器限制;Mythos 5仅面向经过审核的组织开放,部分限制有所放宽。两款模型均源自今年4月通过Project Glasswing项目向少数机构提供的Claude Mythos Preview。
据Axios报道,6月12日(周四晚间),Amazon研究人员发现了一种针对Fable 5的安全绕过方法。Amazon CEO Andy Jassy随后将发现直接上报给了财政部长Scott Bessent、商务部长Howard Lutnick和国家网络总监Sean Cairncross。同日(周五)美国东部时间下午5:21,商务部长Lutnick向Anthropic CEO Dario Amodei发出出口管制指令,要求暂停所有外国公民对两款模型的访问,包括Anthropic自身的外籍员工。据Reuters获取的信函副本,Lutnick在信中指出这些模型存在被中国、俄罗斯等国军事情报用户获取的风险。由于无法实时区分用户国籍,Anthropic当晚对全球所有用户关闭这两款模型。其余Claude模型(包括Opus 4.8等)不受影响。
6月13日,特朗普政府前AI顾问David Sacks在X平台发文称,政府此前要求Anthropic修复漏洞或下架模型,遭CEO Amodei拒绝,出口管制是政府"不情愿"的后续手段。6月15日,超过80名网络安全高管和专家在FreeFable.org联名致信商务部长Lutnick和国家网络总监Cairncross,据Reuters报道,签名者包括Nvidia、Adobe、Zoom、Sophos等公司安全负责人,要求解除限制。
6月16日,Anthropic高级技术人员在华盛顿与商务部CAISI和ONCD工作组面对面会谈。据Hugo Lowell报道,商务部长Lutnick从法国G7会场远程参与,国家网络总监Cairncross本人未参会。会谈结束,管制未解除。
报告里到底写了什么:Katie Moussouris 的披露
此前,触发管制的第三方研究报告具体内容一直不清楚。6月15日,Luta Security创始人兼CEO Katie Moussouris在其公司博客发表文章,披露了报告的核心操作细节。据Fortune和The Register等多家媒体跟进报道,Anthropic此前将该报告私下分享给Moussouris并征求她的专业意见。
Moussouris在商务部信息系统技术咨询委员会任职,曾设计微软首个多方漏洞协调项目Microsoft Vulnerability Research,创建了微软和美国国防部的首个漏洞赏金项目,以及英国政府的首个漏洞披露计划。她还共同撰写了漏洞披露和处理的国际标准。据她本人称,她是此次事件中唯一实际读过该报告的外部专家。
据Moussouris的博客描述,研究人员的操作流程如下:他们使用含已知CVE的开源代码以及故意植入漏洞的新代码,分别向Fable 5、Mythos和Opus三款模型提出"审查代码的安全问题"。Fable 5拒绝了该请求。随后研究人员换了一种说法——"修复这段代码"(fix this code),模型予以响应并生成了补丁。研究人员再通过多步手动操作,将输出转化为测试补丁的脚本。
Moussouris对此的评价是:"就这些。'修复这段代码'加上几个手动步骤生成测试脚本,不应该触发出口管制。"她表示想做一件90年代风格的T恤,正面印"fix this code",背面印"this shirt is a munition"(这件衬衫是军火)——这里引用的是冷战时期密码学出口管制中的经典梗。
核心分歧:是"越狱"还是"防御者的日常工作流"
双方分歧的本质在于:模型对"修复这段代码"的响应,究竟是安全缺陷还是正常功能。
政府方面认为这构成了一种有效的安全绕过路径,使用户能够获取Mythos级别的漏洞识别能力,存在国家安全风险。据The Next Web报道,一位政府官员对Axios表示"所有人都认为Anthropic是个不良行为者",Fox Business援引高级官员称Anthropic的处理方式是"鲁莽"之举。David Sacks的表态则暗示政府认为这是一个可以修复的具体漏洞,"修复即可恢复"。
Moussouris的判断与此截然相反。她在博客中指出,模型之所以响应"修复这段代码"的请求,是因为这本身就是一个防御性请求——发现漏洞、生成补丁、编写测试验证修复效果,是安全防御工程师的标准日常工作流。据TechCrunch报道,Moussouris此前在X平台更明确地将这一行为定义为"防御导向提示"(Defense Oriented Prompting, DOP),而非越狱。
她在博客中进一步指出,这一能力无法在不损害模型的情况下被移除。如果强行封堵模型对"修复代码"类请求的响应能力,等同于削弱其修复bug和编写测试用例的核心功能,而这恰恰是防御方最需要的部分。攻击者不受任何合规约束,被限制的只有守方。
Anthropic方面的立场与Moussouris类似但措辞更克制。公司在声明中表示该越狱是"狭义的、非通用的"方法,仅能发现"次要的"安全缺陷,其他模型(包括OpenAI的GPT-5.5)同样具备这一水平的能力。Anthropic称如果按此标准执行,将导致"所有前沿模型提供商的新模型部署基本停滞"。
历史先例与更大背景
Moussouris在博客中引用了一段她亲历的政策教训。2013年,国际出口管制协议《瓦森纳协议》(Wassenaar Arrangement)将"入侵软件"纳入管制范围,但措辞过于宽泛,意外将漏洞披露、事件响应和协调防御也纳入出口管制,对防御方造成严重延误。Moussouris本人在2013至2017年间作为美国技术专家组成员参与了该协议的重新谈判,最终争取到了防御性活动的豁免条款。她认为当前Fable 5出口管制正在重蹈覆辙。
据IAPP援引公开信内容指出,中国开源权重模型"仅落后美国最好的模型数月",在这种情况下将最强防御工具从安全从业者手中拿走可能适得其反。出口管制能触达的是合规的美国商业模型,触达不了的是不受美国法律约束的海外模型和开源权重模型。
值得关注的是,据Axios和Semafor报道,向政府标记该"越狱"的Amazon是Anthropic最大的投资方和云计算供应商。投资方发现被投企业产品漏洞后选择直接上报政府而非通知被投企业,这一利益冲突本身就不同寻常。此外,这次出口管制并非Anthropic与特朗普政府的首次冲突——今年早些时候Anthropic拒绝允许美国军方将其AI模型用于大规模国内监控和全自主武器系统,随后被美国国防部列入"供应链风险"名单。据CNBC报道,Anthropic已秘密递交IPO申请,出口管制事件对其IPO进程的潜在影响尚不可评估。
据MarkTechPost报道,这被认为是美国政府首次强制下架一款已公开部署的前沿AI模型。如果形成先例,任何可被"越狱"的前沿模型都可能面临类似风险——而按照Moussouris的分析框架,任何能修复代码的模型都天然具备这一"能力"。目前商务部的信号是"修复越狱即可恢复",Anthropic和安全行业的立场则是这一能力本质上不可修复也不应修复。双方何时能找到各自可接受的出路,尚无明确时间表。
