美国AI大模型为何走向封闭审批？Mythos 5与GPT-5.6限制事件一文看懂

6月27日上午，Anthropic宣布美国政府已批准其最强网络安全模型Mythos 5向100余家美国机构重新部署，涵盖大型企业与政府部门；其公众版本Fable 5则称"即将恢复"。同日凌晨，OpenAI正式发布GPT-5.6系列三款模型Sol、Terra与Luna，但应白宫要求，该系列仅向"经政府逐案审批的合作伙伴"开放API，ChatGPT端尚未上线。

据商务部长Gina Raimondo致Anthropic联合创始人Tom Brown的信件，Raimondo表示已"确定适当的安全保障措施已到位"。但信件同时指出，6月12日初始指令中的所有其他要求仍然有效，且未提及Fable 5面向公众恢复的具体时间。

事件时间线：从叫停到有条件放行

回溯整起事件的时间线：6月2日，特朗普签署AI行政令；6月9日，Anthropic发布Fable 5与Mythos 5；6月12日，美国商务部下令两款模型全面撤回；6月26日，OpenAI在受限状态下发布GPT-5.6；6月27日，Mythos 5获准有限恢复。不到一个月内，美国政府对前沿AI模型的管控经历了"叫停—谈判—有条件放行"的完整周期。

OpenAI战略团队负责人、前白宫AI顾问Dean W. Ball在6月16日的博客文章中总结：“前沿AI模型的开发者现在需要获得政府的明确’绿灯’才能发布。“他在6月26日的长文《What Should Be Done》中进一步指出：“没有人知道获得许可的实际要求是什么。当我说’没有人’时，我是字面意思：似乎连政府部门自己也不知道。”

这些模型真的强到需要政府管制吗？

政府行动基于一个隐含前提：这些模型的能力已强到足以构成不可接受的安全风险。然而，两家公司官方评估得出的结论恰恰相反。

OpenAI在发布GPT-5.6的博客中完整披露了安全评估结果。根据其自建并公开发布的预备框架，红线定义为模型能否在无人类协助下自主发现并利用高价值目标的未知漏洞。测试结果显示，Sol虽能识别Chromium与Firefox的漏洞及利用原语，但"在测试条件下并未自主生成完整可用的端到端攻击链”。OpenAI判断，Sol更擅长帮助人类发现漏洞并修补，而非可靠地执行完整端到端攻击。

不过，OpenAI随后补充了一句留有回旋余地的话：“基准阈值无法捕捉模型可能被使用或与其他工具结合的每一种方式。“言下之意，尽管按其标准未越线，但现实世界的使用方式仍存不确定性。

Anthropic则在6月13日的声明中逐条反驳政府理由。政府声称发现Fable 5存在越狱方法，Anthropic回应称：其一，这仅是"狭窄、非通用的越狱”，本质上是让模型阅读一段代码后指出缺陷；其二，“其他公开可用的模型，包括OpenAI的GPT-5.5，也能做到这一点”；其三，Anthropic已投入数千小时进行红队测试，“没有测试者发现通用越狱”。Anthropic CEO Dario Amodei在6月11日的长文《Policy on the AI Exponential》中已预见此局面，明确表示：“政府可以阻止不安全的部署，但过程必须透明、公正、明确，并基于技术事实。此次行动不符合这些原则。”

两家最激烈的竞争对手，在当月以各自独立的评估体系得出了相同结论：按照行业自建的安防框架，这些模型并不构成不可部署的风险。

那么，如果模型未跨越行业红线，政府介入的依据是什么？Dean Ball披露，政府此前聘请了唯一一位具有前沿AI经验的官员执掌AI标准与创新中心（CAISI），该官员曾在OpenAI与Anthropic任职，但上任几天即被高层解职。在整个"后Mythos危机"期间，剩余的CAISI团队处于停工状态，甚至被禁止与其他政府机构沟通。Ball表示：“我认识的特朗普政府官员中，没有人具备前沿AI经验。“他的核心论点是：制定监管决策的人既未定义明确的安全标准，也未评估这些模型的技术能力。

进一步的问题是：Fable 5与GPT-5.6 Sol真的跨越了某种"人类威胁奇点"吗？是否存在一条客观的能力红线，一旦跨越就必须监管？多位AI领域专家表示，技术上并不存在这样一条线。模型能力持续增长，每一代发布都是"史上最强”，但唯有这一次触发了政府直接干预。

背后有三个隐含条件：第一，能力变得"可演示”。Anthropic自身将Mythos 5宣传为"全球最强网络安全模型”，Stripe单日迁移5000万行代码的案例广为流传。这些故事让不懂技术的政客得以想象"坏人使用它会怎样”。Meta前首席AI科学家、图灵奖得主Yann LeCun早在2025年11月Anthropic发布首份AI网络攻击威胁报告时就称之为"监管戏剧"，指控Anthropic利用AI安全恐惧"操纵立法者"以实现"监管捕获"——即通过建立只有大公司才能通过的合规壁垒来排挤开源竞争者。Anthropic未料到，这块石头最终砸向了自己。

第二，有人递刀。Amazon CEO Andy Jassy向政府提交了关于Anthropic模型安全风险的报告。Amazon既是Anthropic的最大投资方与云服务伙伴，也有自家模型（Nova系列）与Anthropic竞争。政府由此获得了行动的正当依据。

第三，特朗普月初刚签署AI行政令，要求政府在60天内制定前沿模型的"自愿提交规则"。行政令需要首个执法案例来证明并非一纸空文，Fable 5恰好撞上了枪口。

这引出一个更深层的追问：如果"太强就要管"，而"多强算太强"由监管机构说了算，没有公开标准、没有明确阈值、没有申诉流程，那么未来每一次前沿模型发布都将面临同样的不确定性。企业无从知晓自己的模型何时会触发监管。

历史对照：90年代密码战如何收场

美国政府试图以出口管制遏制所谓危险技术传播，这与90年代的"密码战"（Crypto Wars）高度相似。

冷战结束后互联网开始商业化，计算机科学家着手开发加密技术以保护数据传输安全。美国政府将强加密算法列为"军火"，与导弹、坦克一同纳入ITAR/EAR出口管制清单。逻辑与今日如出一辙：若敌人获得强加密，NSA（国家安全局）便无法监听其通信，从而威胁国家安全。

这意味着美国软件公司只能向海外出口40位密钥的弱加密版本——NSA可轻松破解的版本，而国内版可使用128位强加密。外国用户明知拿到的是"缩水版"，纷纷转向欧洲与以色列的替代方案。

1991年，密码学爱好者Phil Zimmermann编写了PGP（Pretty Good Privacy），让普通人也能用强加密保护邮件。他将PGP上传至互联网，美国海关随即对其展开刑事调查，指控其"非法出口军火"。Zimmermann的反击极为巧妙：他将PGP完整源码出版成书。书籍受第一修正案保护，出版自由是宪法权利——你可以管制软件，但不能禁止出口一本书。调查持续三年，最终于1996年结案，政府未提起任何诉讼。

几乎同时，NSA推出了更激进的计划：Clipper芯片。其设计思路是所有通信设备必须安装该芯片以加密通信，芯片内置密钥托管机制，政府可凭执法授权用托管密钥解密。用户间通信对第三方加密，但政府随时可解密。克林顿政府强力推动该计划，结果学术界发现芯片设计缺陷，科技行业集体抵制，公众强烈反对，该计划于1996年彻底失败。

1995年，数学家Daniel Bernstein希望在网上发布其加密算法源码，却被政府以出口管制为由禁止。他起诉司法部。第九巡回上诉法院作出深远裁决：软件源码作为"言论"受第一修正案保护，政府对加密代码的出口管制违宪。这一裁决直接动摇了整个监管体系的法律基础。

2000年1月，克林顿政府大幅放松加密出口管制。原因是管制已无法维持：PGP早已传遍全球，开源加密算法广泛流传；管制只是在阻碍美国公司竞争力，海外客户早已转向其他供应商。

管制放松后，我们看到了Signal、WhatsApp等产品实现端到端加密。若90年代的管制延续至今，这些产品不会存在。

90年代管制的是强加密算法，理由是国家安全，工具是ITAR军火出口管制，受伤的是美国软件公司（被迫出口弱版），外国开发者（自行编写加密算法）不受影响。2026年管制的是前沿AI模型能力，理由仍是国家安全，工具仍是出口管制指令。这次谁将真正受损？

外媒评论指出：“没人花1000亿美元建数据中心，只为服务政府批准的100家公司。“前沿模型的训练成本以十亿美元计，而收回成本的窗口仅在发布后数月；此后模型沦为二线，竞争加剧，利润空间压缩。每一周的审批延迟都在侵蚀这个有限的盈利窗口。评论结论称：“若持续下去，整个行业的基础投资逻辑都将动摇。”

乔治华盛顿大学政治学助理教授Jeffrey Ding认为，在大国技术竞争中，决定性因素并非谁先发明技术，而是谁能更快将技术扩散至整个经济。这对通用技术尤其成立——它们需要广泛的社会扩散、围绕技术建立新组织，以及大规模真实世界使用数据来发现应用边界。Dean Ball援引Ding的观点写道：“通用技术的用途是事后发现的，而非预先知晓。”

但在大洋另一端，中国的大模型正以开源姿态走向全球开发者。加密算法是纯数学，一旦发布便无法收回。AI模型权重虽有类似属性，但闭源前沿模型的推理能力确实集中在少数公司的API之后。不过，开源模型的能力正在逐代追赶；监管可以延缓扩散，却无法阻止。90年代用了近十年才走到"认输并放松管制”，AI监管是否也需要类似的时间周期？

美国大模型是否进入审查时代？

2026年6月，AI产业史的一个潜在转折点可能已被标记：政府首次成功将自己作为审批者，插入商业AI模型与其用户之间。

Dean Ball在《What Should Be Done》中警告，若市场因此恐慌，其影响将远超AI行业本身：“美国再工业化的巨额投资，从核能到天然气再到电力电子，都明确或隐性地以AI行业的未来需求为前提。若这一需求因政府管制无法实现，连锁反应将超出人们的想象。”

但Ball也承认方向并非全错：“前沿AI确实存在灾难性风险的可能，这种担忧并非捏造。问题在于执行方式——没有技术专家、没有明确标准、没有时间表的审批过程，不是答案。”

OpenAI表示，GPT-5.6的限制属于"短期措施”，可能数周内向公众开放。然而，6月27日Mythos 5的"有限恢复"已提供了一种模板——不是全面发布，仍限于特定美国机构，其他限制依旧生效。每一个长期制度，最初都被称为"短期措施"。

Dean Ball的结语值得所有人认真对待：“如果只有极少数人能使用前沿AI，坏未来更可能发生。因为那少数人往往是已经拥有巨大经济和政治权力的群体。”

全球开发者社区或许正在怀念那些翘首等待OpenAI发布会、为新模型进步兴奋不已、熬夜测试各种新场景的日子。而眼下，人们仍可期待中国最新大模型的发布。

风险关注点：审批模糊性如何侵蚀投资与创新

前沿大模型的训练成本已达数十亿美元级别，而盈利黄金窗口通常只有发布后的短短数月。审批流程若缺乏明确标准与时间表，每一次延迟都会直接压缩模型的商业回报周期。从核能、天然气到电力电子，美国再工业化的诸多投资都隐性地建立在AI需求持续扩张的预期之上。一旦管制常态化导致前沿模型无法触达足够市场，相关基础设施投资逻辑也将受到连锁冲击。

后续观察指标：从"短期限制"到长期制度的关键信号

短期内可关注四个信号：一是Fable 5面向公众的恢复时间是否被进一步推迟；二是OpenAI将GPT-5.6限制定义为"短期措施"后，实际开放范围与时长；三是美国AI标准与创新中心（CAISI）能否恢复运作并发布可量化的技术审批标准；四是中国及全球开源模型能力迭代对闭源管制效果的稀释速度。这些信号将决定6月事件是孤立的执法个案，还是美国AI产业进入常态化审批时代的开端。