美国AI监管盯上GPT-5.6,真正漏洞在哪?

作者
一张写着“AI监管方向错位”的大标题卡片,左侧是被锁住的模型立方体,右侧是地下蔓延的调度网络和安全漏洞节点,浅色背景的商业评论版橡皮泥平面信息图的统一风格。

大家好,欢迎收听老范讲故事的 YouTube 频道。

美国监管方向错误,盯死了 Mythos、Fable 5 和 GPT-5.6,却忽视了真正的安全崩塌。

今天早上,老范怎么被炸醒的呢?这几天整个圈子都在眼巴巴地等着 GPT-5.6,尤其是 Fable 5 和 Mythos 5 被禁了以后,那咱就等着玩 GPT-5.6 呗,这是唯一的盼头了。而且它应该也不远了,原来说是这礼拜四出,结果没有出。现在据说是 200 美金的 Pro 用户,有一部分被抽签抽到了,进行灰度测试。

结果今天早上起来一看 X 上头,这个消息就直接把人炸蒙了:政府要监管 GPT-5.6 的测试名单,谁能进、谁不能进,谁能测、谁不能测,都要上报,要审批了。

那咱们今天就从这来讲一讲。你可能会问,之前被关的是 Anthropic 家的 Fable 和 Mythos,这把火怎么就烧到 OpenAI 脑袋上了呢?这里头的关键细节是,Fable 被禁了以后,Anthropic 自己跑出来就喊说:

GPT 也能干,你干嘛光禁我的呀?你得把它也封了呀。

这 GPT 就被拉下水了。从那一刻开始,这道门就从一家开始,向整个行业蔓延了。

所以今天老范要讲的一件事情就是:美国不是说不该管这个 AI,而是枪口的方向错了。它死死盯着的是模型,却没有看到脚下坍塌的是整套传统安全体系。

这条线分五层来讲:

  1. 这一个多月到底发生了啥。
  2. 为什么被关的模型不是要害,真正要害的是调度系统,特别在这里要讲一下 360。很多人说,360 周鸿祎的事你也来讲,这配吗?还是要跟大家讲一讲的,这里头还是有价值的。
  3. 一个少有人点破的真相:今天的安全,其实绝大部分不是靠技术,而是靠制度。
  4. 即使是最强的 NSA,也就是美国的国家安全局,几个小时就被 Mythos 打穿了,AI 调度凭什么能够这么厉害。
  5. 枪是打偏了,正确的方向到底在哪。老范的答案可能跟大家想的不太一样,甚至老范要讲的是,这可能是整个 AI 翻红、AI 上升的一个绝佳机会。

六个礼拜里,监管如何走进死胡同

六周时间轴上依次摆放国会警告、白宫草案、模型发布、泄露越狱、全球下线和名单审核六个节点,末端箭头拐进死胡同,浅色背景的商业评论版橡皮泥平面信息图的统一风格。

首先咱们来数一数日子,满打满算 6 个礼拜,看看监管是怎么把自己拐到死胡同里去的。

  • 5 月 14 日,美国国会的众议员先抬手了。这次不是法案,而是警告,说前沿的 AI 我们得管一管。现在这个全村最靓的仔,每个人都惦记伸手去管一管。
  • 5 月下旬,白宫草案本来是很硬的,说我们要去设立一个草案,谁的模型想上线之前,必须要经过审批。但是被硅谷一通游说,特别是马斯克和扎克伯格上去游说去了,稍微软化了一点。同期 ENFORCE Act,增强海外关键出口国家框架法案,在委员会内过关,把一把很硬的刀先摆在桌上了。
  • 6 月 2 号,特朗普签署了相对比较软的联邦政府行政令,要求的是自愿送到国家来审核,不作为你上线之前的硬性要求。你不来审核,也可以上线。
  • 6 月 8 号,国防部更新了 1260H 清单,把阿里、百度都放到国家安全叙事里去了。
  • 6 月 9 号,Anthropic 发布的 Fable 5 和 Mythos 5,公众可以用到的最强模型就这么登场了。
  • 6 月 10 号,泄露越狱这个事就来了,把 Fable 5 的提示词直接扒出来了,把 Fable 5 直接给攻破了。
  • 6 月 12 号、13 号,商务部以国家安全为由,按照国籍断供,全球下线。72 小时神话就到此结束了,我们就再也用不到 Fable 5 了。我刚才还去看了一下我的 Claude,上头 Fable 5 还是不允许使用的。
  • 6 月中旬起,政府前脚关模型,外部的方法后脚就开始反打了。OpenRouter 的 Fusion、日本的河豚,把一堆旧模型编排一下,就已经接近 Fable 的能力了。

同时中国这边动作也不断。字节跳动放出了按周实时更新的新模型,叫豆包 Doubao-Seed-Evolving,这个模型是每个礼拜都更新,就没有版本号了,把调度往模型里边直接塞。剩下就是老牌的安全公司 360,也放出了对标 Fable 能力的安全模型,等于美国前脚关门,中国后脚就开始补位了。

  • 6 月 22 日,Anthropic 的谈判换人了,理念很强硬的 Dario Amodei 就被请下谈判桌。他还是 CEO,但是现在就换了他的一些合伙人上来,去跟华盛顿谈去了。据说是 Fable 5 快要给大家使用了。
  • 6 月 25 日,Anthropic 指责阿里的信就被公开了,中国蒸馏叙事正式定调。
  • 6 月 26 号,Fable 灰度测试的风声又起来了,说又有一部分人可以用到 Fable 了。我现在也在 X 平台上看到很多人在晒他们使用 Fable 的照片了。但是 GPT-5.6 那头,却装上了名单审核。

大概过去 6 个礼拜,就是这样一路走下来的。本来特朗普还是比较宽松的,结果拉扯来拉扯去,就把一个相对比较宽松的政府行政令,给搞成了现在这样的:这个不许上,那个需要监管,变成这样了。

而这恰恰是 Anthropic 自己一连串动作,加上几个关键事件,把这架天平最后压向了盯模型、卡名单、按国籍这样的一个错误方向。

被关的模型不是要害,调度系统才是关键

一个被锁在保险柜里的大模型方块旁边,真正发光的是外部工具、回滚、规划、验收组成的调度控制台,浅色背景的商业评论版橡皮泥平面信息图的统一风格。

下边咱们来讲一讲,为什么这个方向是错的。被关的模型本身并没有那么重要,重要的是调度系统,360 就是一个活的样本。

美国把 Fable 5 和 Mythos 5 关了,现在又在卡 GPT-5.6 的测试名单,逻辑很简单:模型太强了,太危险了,咱把这强的锁起来,你们其他人不许用。就跟向中国封锁芯片这个逻辑是一样的。可是他锁错了。

Fable 5 之所以那么强,从来不是说只有底座模型强。它底座模型确实强,但是它实际上是一个很强的底座模型,加上 Anthropic 内化的一整套调度系统。

调度系统是啥?就是决定这个 AI 什么时候调用什么工具,走到哪一步,谁来干活,谁来验收,谁来进行规划,干活错了以后怎么回滚,滚到哪里去,这个就是调度系统。

证据也摆在这了。6 月份泄露的 Fable 12 万字的系统提示词,有一多半都是在讲怎么用工具、何时调用哪把扳手,真正讲性格的大概连 20% 都不到。让模型靠谱的不是它脑子有多神,而是外面整个的调度系统。

而调度最要命的一点是什么?它能够被专项调教。你拿不到 Fable 这样的全能模型,没关系,拿一个还不错的开源模型,盯着一个又窄又危险的领域往死里调,是能够出结果的。

360 是一个现实样本

360 就是这件事情最现实,也是最吓人的一个样本。360 是谁?中国老牌的网络安全公司,或者说中国老牌流氓吧,这么讲都没毛病。它自己其实也做了好多年的 AI,只是一直没做出多大响动来。但是你别小看它,它在安全领域里头深耕了几十年,手里头握着大量的安全数据、海量的真实攻防案例,还有几十年沉淀下来的攻防手段与经验。我相信即使大家觉得 360 是流氓,也会承认这一点。

现在它要干的是什么呢?特别顺理成章:找一个当下最好的开源模型,比如说智谱 GLM-5.2,把自己几十年的安全数据掏出来,做专项的后训练和强化学习,你就有一个专门的安全大模型了。再根据过往的经验设计一套专门的调度系统,而这套调度系统直接照着 Fable 那份泄露的 12 万字的提示词致敬一下,就能搭个八九不离十。

这套组合拳打下来,它完全可以在网络安全这一个领域里头做出一个很强的东西来。说我可以达到甚至超过 Fable 5 的水平,都没有问题。

老范打一个比方,大家就能够理解了。比如说 Anthropic 的 Fable 5,它算是什么呢?真学霸,能考上哈耶普斯麻那种学霸,哈佛、耶鲁、普林斯顿、斯坦福和 MIT。这种人进一些大机构如鱼得水,放在哪个岗位上都很快上手,发挥到最强。Fable 就属于这一类的模型,旗舰模型,真学霸。

可是我们现在没有真学霸,拿不到 Fable 了。那好办,我们还有小镇做题家。小镇做题家可能也能考上 985、211,底子其实也没有那么差。扔进到这种万金油的岗位里头,它未必能够比得过真学霸,但是你给它一套很有针对的特定岗位培训,它在这一个岗位上照样可以干得很漂亮。它差的是什么?是换岗位需要重新培训。它不像真学霸,走到哪都强。但是你让它专攻一块,它也是能够出一些很神奇的妖怪的。

360 干的就是把小镇做题家,也就是开源模型,往网络攻防这个岗位上往死里头专项调教。在这一点上,它的杀伤力完全可以不输,甚至超过那个被美国政府锁在保险柜里的全能学霸。

所以你看明白了没有?最危险的门槛根本就不在于拿不拿得到顶级模型,而在于有没有那套特别成熟的调度系统和相应的数据。而 360 这种安全公司,这套东西本来就是人家看家本领,现成摆着呢。你关了 Fable,那我来呗。

今天的安全大半靠制度,不是靠技术

一座企业大楼外层贴满审批表、密码规则、合规培训和权限流程标签,底部技术防线很薄,浅色背景的商业评论版橡皮泥平面信息图的统一风格。

下一步,咱们来讲一讲真相。真相一:今天的安全大半靠制度撑起来,不是靠技术。

很多人都觉得,你这个攻防技术好一点,这个差一点,大家很多人都觉得谁的系统更安全,是因为谁的技术更好。要跟大家说,不是这样的,这个真的跟很多人理解的不一样。

你以为现在的大公司、大机构的安全是靠技术防住的吗?不是的。它很大一部分是靠规章制度,靠人事、靠流程、靠纪律管出来的。这个老范还是有点底气的,因为我原来这公司,猎豹移动,也是个安全公司。真正的安全事故里头,大概 60% 到 70%,根子压根就不在技术上,而是人,是操作人员失误,设了个弱口令,或者操作人员不守规矩。你这里本来不应该打游戏的,你把内网的机器连到外网打了个游戏,绝大部分的安全事故都是这么来的。

正因为如此,才得用一大堆的规则、一大堆的管理手段去把人框住。这不是谁的意愿,这是没办法。

你回想一下,你公司里头的信息安全平时啥样?大概率是定期改密码、签保密协议、做合规培训、申请权限走审批流程、年底来一次背景核查。这些几乎就是管理动作,不是技术防御。它防的是不小心,防的是守规矩的人偶尔犯的错。可对于一个铁了心、手里还拿着 AI 工具的对手来说,这个玩意的作用其实是非常非常有限的。

谷歌 GWS 的例子

你可能觉得小公司技术不行。咱给大家举一个技术天花板的例子,谷歌的例子。这个是我自己用得特别开心的一个工具,叫 GWS,Google Workspace CLI。做这个项目的工程师叫 Justin Poehnelt,在谷歌干了快 7 年,自己做的工具 GWS,用户非常喜欢。我自己的各台电脑上都装了,甚至我还去给其他朋友也装这个 GWS。

它干嘛使的呢?就是让我们的 AI 智能体也好,让我们的 Codex 或者其他的 Harness agent 工具,可以连接到 Google Workspace 上的各种产品去,比如说发邮件、写日历、处理联系人,在 Google Drive 上面去做 document 或者 slides,都可以,非常非常方便。这个东西一上去以后,很快几千个星就上来了,在 Hacker News 上就冲到第一了。

结果这哥们没两天被谷歌给开除了。原因很简单,因为他这个东西没有走法务和安全审批,还用了谷歌的商标。你如果是自己上去的,那没事,没人理你。你用了谷歌商标了,但是你没有走审批,没有走安全,那就不行。这个事就是违反了内部的规章制度。

在这兄弟被开除的前两天,谷歌刚在 Cloud Next 大会上宣布,官方自己也要做一套 Workspace CLI。就是我要干,你这不行,我给你干掉。

老范请大家细品一下,连谷歌这种技术强到天上去的公司,它管安全、管控还是要靠审批、商标政策、人事处分,而不是什么神的技术。今天全世界绝大多数机构的安全底盘可能还没有谷歌强呢,所以大家只能靠管理型的东西来搞定。

而现在更现实的是什么呢?就是想要这套老的安全体系整体做一次升级,太难了,太贵了。但是贵有贵的好处,待会咱们讲,这有机会。真的把全公司的代码、系统、流程都换成能够扛 AI 攻击的新架构,这个肯定是要花钱的。但是花钱不是坏事,花钱是好事。

所以老范说了,今天最该先动手的第一件事,特别朴素,就四个字:把比例调对

现在这个比例是失衡的,靠制度、靠人管的东西太重,靠技术真正能防的东西太轻。规章制度是用来管人的,可接下来真正动手的越来越不是人了,是一套会自己进化的方法。拿管人的工具去管方法,就像拿交规去管病毒一样。不是它不重要,是压根不在一个频道上。

NSA 被 Mythos 打穿,说明了什么

NSA 字样的高墙系统被一条由零散漏洞节点串成的红色路径穿透,旁边有 AI 调度器在快速连接工具和权限,浅色背景的商业评论版橡皮泥平面信息图的统一风格。

那这套管理型的安全碰上真正的高手会怎么样?咱们来讲第二个故事。

你说谷歌强吧,有比它更强的没有?举个最极端的例子,技术上最强的肯定是美国国家安全局,全世界网络攻防的天花板。可就是这样的一个天花板,在测试里头几个小时就被 Mythos 给打穿了。

先把事说清楚,它这个打穿的过程是在一个测试上,并不是说 Mythos 自己上去干的。在安全测试的过程中,Mythos 是拿到了各种安全工具。但是原来 NSA 的人想着,你怎么着得干个几个礼拜吧,或者干个几天,结果一晚上就穿了。

你要知道,任何一个大的系统里头,漏洞本来就是一直存在的。不是说你是 NSA,你就能把漏洞都补干净,没有人做得到这件事情。那平时为什么还安全呢?两件事:

  1. 这些漏洞是很零散、很孤立的,没有人能把它串起来。
  2. 外面还罩着一层层规章制度和规则,谁能进,谁有权限,哪步要审批。

靠漏洞没被串起来,再加上制度罩着,系统勉强还是可以维持安全的。

但是 Mythos 干啥呢?它就是把这套本来零散、孤立的大量漏洞,一个一个串起来,组合成一条条原来谁都没有想到的全新攻击路径,然后顺着它绕过制度,直接钻进去。

这就是一句老话:找一个漏洞不难,难的是把一堆漏洞串成一条完整的攻击链。人脑是串不动的,人脑其实有点像狗熊掰苞米,掰一个掉一个。我们不可能同时把这么多代码都记在里头,但是 Mythos 背后这套调度系统,是完完全全可以把这些东西串起来的。

社会工程学才更无解

而且这里头还有一个问题,这都是技术漏洞,这只是事情的一半。真正让老范觉得这事完全无解的是什么呢?是社会工程学,我们管它叫社工。

什么是社会工程学?说人话就是利用人的社会性下手,骗、套、伪装、钓鱼,把人当成系统里头最好攻破的那一环。今天一大半的安全事故,本来根子就在这,不在代码里,就在人身上。

这里头还藏着一个特别致命的结构型漏洞。一个大型系统,比如像 NSA 这种系统,它是一次做完的吗?或者一次整个重新翻过来的吗?不是的。它是一次一次升级升上去的,一次一次打补丁打上去的。你永远没有办法把所有的漏洞都找齐。那怎么办呢?只能靠测试、验收、认证这套东西来兜底。我这次打了补丁了,做一堆验证,做一堆测试,它这么来干这个事。

可是问题在哪呢?就是它的测试过程测的是技术问题,它不会去测社会工程学的问题。一个员工会不会被一句话就忽悠到去点开一个链接,会不会被伪装的领导骗去转账,这种事情是没法去测试的。你测这玩意就没完没了了,只能靠管理制度去防。

所以社会工程学这一块,本来就是技术帮不上忙,只能交给管理的地方。但是现在比较瘆人的是什么呢?攻击系统的是 AI,是 Anthropic 这套模型。这套模型最擅长的是什么?不是找漏洞,不是一个一个把漏洞串起来,它最擅长的一件事是一本正经地胡说八道。在这样的一个底座上,它还能找到漏洞,在串的过程中完完全全可以把社会工程学的东西都用起来。那你想吧,当它串了漏洞,再编瞎话骗人,把这两样东西拧在一起的时候,技术这条线怎么可能能够挡得住它?

AI 加调度,是绕过免疫系统的超级病菌

一株会变形的超级病菌绕过盾牌形免疫系统,触手分别连接漏洞扫描、钓鱼话术和自动试错三个模块,浅色背景的商业评论版橡皮泥平面信息图的统一风格。

那它凭什么能够同时干两件事?Mythos 这种东西,它是 AI 加上调度,这个东西才是真正强的东西。

为什么 AI 加调度这么狠?它是绕过了免疫系统的超级病菌。老范给大家讲一个最直观的比方吧。人体本来是一个免疫系统,一种病毒来了,你识别它,记住它,产生抗体,下一次你就能扛住。传统的软件安全就是靠这套免疫加疫苗的逻辑,发现一个漏洞,分析,打补丁,全网升级。它对付的是已知的、固定的病毒。

可现在出现的是另外一种东西,有人定向培育了一个超级病毒。它最可怕的不是毒性,而是它会进化,而且是冲着你的防御系统来进化的。这就很吓人了。

我记得以前玩过一个游戏叫《瘟疫公司》。你扮演一个病菌,人类每出一招,比如关闭边境、研究疫苗,你就顺着应对的方向去进化。long is your?一开始要有传播力,但是不要有那么强的伤害力,让它可以慢慢潜伏下来。等它传遍了以后,特别是像冰岛这种与世隔绝的地方都传上了以后,你再嘁哧咔嚓把剩下的所有点都加到破坏力上。这个游戏胜利的方式就是全人类灭绝,一个都不剩。这个稍微有点吓人。

但是 Mythos 是完全跟这一套系统一样的工作方式,现搬到网络攻击上。一套足够强的攻击型调度,能够像那个玩家一样,实时盯着安全系统的标准应对,自动调整攻击链的方向。你这边按照老剧本去打补丁,它那边已经绕着你的疫苗,进化了三四条新路出来了。

为什么传统免疫一定扛不住?有两个硬的原因。

  1. 速度差。你打补丁是人在调节,你需要发现、分析、测试、推送,几天、几个月就过去了。它的攻击是机器的节奏,一晚上可能试几万种组合。用人的时间秒去追机器,你打死也追不上。
  2. 认脸跟认路。传统的防御是靠认脸的,拿着病毒特征库来一个一个去对比。可是像这种攻击系统,它每次都可以现编一条你库里没有的新路,编一条新的瞎话上来。这对于 AI 来说多容易。你原来认脸的这套东西,碰到这种认路的,就很容易被绕过去。

而这个事情已经不是吓唬你了。前面 360 拿安全数据做专项调教,豆包把调度直接缝到每周进化的模型里头去,都是这株超级病菌正在被一家家造出来的一个信号。危险不在于某个被关起来的特别强大的模型,而在于这套会进化、还能够连人带机一起来骗你的调度系统。而这个调度可蒸馏、可复制、可开源,这个东西你是防不住的。

美国开错枪了

一个监管者把聚光灯和枪口对准写着模型名称的靶子,真正的调度网络从脚下暗处绕开扩散,浅色背景的商业评论版橡皮泥平面信息图的统一风格。

所以说美国开错枪了,找错目标了。它对准的是模型的名字,这个东西叫 GPT-5.6,那个叫 Anthropic Claude Mythos,这个叫 Anthropic Claude Fable,都是这样的东西。我们把这个模型限制住,然后限制国籍,只有美国公民才可以用,其他人都不可以用;或者我开一个名单,我审核过的名单可以用,其他人都不可以用。这个对于政府来说,他们就习惯这套东西,这个是最好听、最好盖章,却最没有用的东西。

中国模型已经很强,图纸也在泄露

为什么这样呢?第一个,中国模型其实现在已经很强了,图纸也在不断地泄露。靠蒸馏 OpenAI 和 Anthropic,中国这批新的模型,比如智谱 GLM-5.2、MiniMax M3、Kimi 的 K2.7 Code、豆包的 Seed 2.1 Pro、豆包的实时更新,还有千问的 3.7 Max,这些模型已经非常非常强了。虽然比不上 OpenAI 的 GPT 和 Anthropic 的 Claude,但是干很多事情没有问题了。

更要命的是什么?Anthropic 自己还接二连三地漏底。去年 Claude Code 的全套源代码泄露了一次,泄露完了以后,像 open code 一大堆这样的产品就出来了。今年 3 月份,Claude Code 51 万行代码又被完整泄露了,打包错误嘛。6 月份 Fable 的 12 万字提示词又被扒了个干净,上传到 GitHub 上了。源代码、提示词,等于把这套调度系统的图纸直接摊在全世界面前了。拿着图纸,再加上中国工程师的勤奋以及人员密度,加在一块,实际上叫内卷吧。以及中国工程师的内卷程度,想搭一套可以调度的系统,难度真的没有那么高。

按国籍设卡,相当于自废武功

第二个更根本的是什么?你按国籍,相当于自废武功。别忘了,美国本来就是个移民国家,它跟中国还不一样。虽然咱们有 56 个民族,但是有百分之九十几都是汉族,我们基本上属于是民族国家。美国是移民国家,它的 AI 大厦一大半都是外籍人才垒起来的。

比如像 Andrej Karpathy 这样的人,人家是斯洛伐克出生,现在拿的是斯洛伐克和加拿大的双国籍。按照美国商务部的要求,他都不能使用他们公司的 Fable 5 和 Mythos 5。而且现在各大 AI 公司里头哪的人最多?中国人最多。你说靠国籍、靠国籍准入来去封锁,第一,肯定不现实;第二,这个本来是美国最有优势的地方,它可以吸引全世界的顶尖天才去做事情,现在它把这个优势放弃掉了,说不,我只让美国人做,这不就是本末倒置了吗?

这里还有一个特别生动的例子。马斯克当时建 xAI 的时候,创始团队十几个人,拿符合美国军工那套安全要求,比如说美国国籍,没有几个人能过关。后来 xAI 被并进 SpaceX 的时候,SpaceX 因为要接 NASA 和军方的订单,安全门槛一把就拉死了,结果 xAI 最初始的创始团队一个都没剩下,全走干净了。当然,这可能不是全部的原因,但是安全和国籍门槛肯定是创始团队出走的原因之一。

所以你看,门槛往那一拉,人才就走了。美国之所以强,靠的就是把全世界聪明人都吸引过来。现在为了安全按国籍设卡,等于亲手把自己最大的优势直接给嘎掉了。

限制铁锅的历史类比

讲到这,老范给大家补一个几千年来中国人一直在犯的问题,就是限制游牧民族买铁锅,当然还有其他铁器。逻辑其实跟今天这事一模一样。

游牧民族生活的地方其实是有铁矿的,但是他们没有燃料,没有煤,也没有木材,只有草,它是不可能靠草把铁给冶炼出来的。所以当时的中原地区王朝就想说,那我卡住你不就完了吗?你没有铁器,你就没有兵器,你就不能劫掠我,不能给我捣乱了。

咱们执行了上千年的禁铁这样的一个规则,但是有效吗?其实没有效果的。商人在不断地把铁器偷偷地运到那边去,几千年来从来就没有停过。这些游牧民族拿着这些比较劣质的铁器,也是一次一次地把咱们摁在地上摩擦,一次一次进来劫掠,甚至还有两次灭国,元朝一次,清朝一次,直接把汉家江山给断掉了。

所以就算是咱们执行了这么长时间的铁器管制,其实是没有效果的。美国今天想干的事,跟当年那套限制铁器、靠卡住几个最强模型来保住自己的安全,其实是一样的。这条路几千年前就被我们已经走废掉了,说明了这事搞不定。

正确打法:跑起来,造新的疫苗

两条赛道上攻击方和防御方的 AI 调度系统同时高速奔跑,防御方手里制造发光疫苗盾牌,浅色背景的商业评论版橡皮泥平面信息图的统一风格。

既然封不住,真正的打法到底是什么?你说难道就只能看着中国在这超越吗?最后一节咱们来讲这个事。正确的打法肯定不是捆住自己,而是跑起来,去造新的疫苗。

先排除错误答案。有些人说,那既然模型很强,我把模型封了;这个数据很强,我把数据封了;这个调度系统很强,我把调度系统也封了;我把所有东西都封了,这不就没有了吗?你可以把所有的动作去做记录,可以去做事后追溯,这个事可能还有点意义。但是如果你说我想靠封,靠层层设卡、层层审批,那只能捆死自己的手脚。

真正对的打法是反过来,比谁更开放,谁更创新,谁跑得更快,谁更愿意把最新最强的模型拿出来,更能够造出更好的防御来。大家就应该比这个。

你看硅谷有一拨人在 X 上面的签名最后是 e/acc,意思是有效加速主义。核心就是一句话:先跑起来。对手在追的时候,你唯一该做的就是继续往前冲,而不是回过头来把自己捆住。做那个最开放的,把全世界最优秀的人才吸引过来,做出最新的东西,这才是真正的防护。靠关门、靠设卡求安全,现在再想肯定已经晚了,早几年没准这事还有效,现在没戏了。

那跑往哪跑呢?老范给出的答案五个字:靠 AI 防 AI。造出新的疫苗来。

旧的免疫系统挡不住会进化的超级病菌怎么办呢?唯一的出路就是造一套相同的会进化的、同样机器节奏的新防御系统。让防御方的 AI 调度去 24 小时自动巡检、自动修补、自动做红队攻击,跟攻击方在同一张时间表上去掰手腕。

而且老范要讲什么?这不该是负担,而是天大的机会。

新的千年虫时刻

1999 年的老式电脑、硬盘阵列和光盘库被升级箭头连接到现代 AI 安全产业工厂,旁边标注“新千年虫时刻”,浅色背景的商业评论版橡皮泥平面信息图的统一风格。

大家还记得曾经有一个神奇的东西叫千年虫吗?在 1998 年、1999 年那一波 IT 大爆发,我在那个时候在中关村卖存储设备,卖硬盘阵列,卖光盘库,那时候简直是卖疯了一样。当时一喊千年虫,大家就必须要买。

什么叫千年虫?很简单,最早为了省内存,我们表达一个数字只有两位,就是最后两位。52 就是 1952 年,82 就是 1982 年。结果你过了 2000 年的时候,就是 00。对于原来的电脑来说,00 就相当于是 1900 年。比如一个银行,给人算利息,刚存进来的钱,00 年存的,你说给人算多少利息吧?100 多年的利息吗?这没法算。银行、电力、航空,这事要乱套。这个就是一个非常具象的名字,叫千年虫。

为什么要讲这事非常具象呢?完全不懂技术的人都能够一眼看明白威胁到底是怎么回事。于是怎么办呢?全世界像疯了一样去更换、去迭代、去重构、去升级他们的 IT 设备、IT 系统,需要的和不需要的通通都换一遍。

我们当时卖了大量的设备出去,他们压根就不需要换。其实从九几年开始,他们写的程序都已经是 4 位的年数了,就已经不是两位的年数了。那不管,反正有机会花钱,别人都花了,别人有的我也得有。整个 IT 产业借着这股力、借着这股劲,硬生生地上了一个大台阶。

所以我要说,我们现在面对的就是一个新的千年虫时刻,而且这个威胁比当年要真实得多,也可怕得多。那何不把它变成一次大的爆发的引擎呢?把大量的社会资源投到 AI 安全这个产业里边去,制造新的疫苗,建设新的防御,用 AI 来防御 AI,让整个 AI 产业再迎来一次像千年虫之前那样的巨大飞跃。这才是把今天这个有点吓人的故事讲成一个正向、积极过程的唯一办法。

结语

美国现在做的恰恰相反。它在关门,去应对一个本来应该奔跑去应对的危险。它把最显眼的那扇门焊死了,惊动了所有守规矩的人,甚至损害了所有守规矩的人。可真正的危险,正从开源、从泄露的图纸里边、从一个个被逼走的人才身上,慢慢浮现出来。

门是焊不死的。与其追着去关那道关不严的门,去层层设卡,还不如赶紧低头,去造下一代的疫苗。能不能把这场惊吓变成下一轮的繁荣,就看我们是选择捂住、封住、关住,还是选择跑起来、造出来、赢回来。

这就是咱们今天要讲的故事。