AI 可以教会几乎任何人做几乎任何事,并且做得非常专业。危险不在于信息本身——合成路径写在教科书里,漏洞利用方法在安全课程中,而这些信息几十年前就泄露了。危险在于能力,即行动的能力,被交到了以前无法行动的人手中。一本书对每个人说的都是同样的话,它看不到你在哪里卡住。一个模型观察你失败的过程,修复你错过的那一步,而当它作为 Agent 运行时,它不再描述任务,而是直接执行任务。曾经稀有、昂贵、并且可以拒绝你的导师,现在变得免费、不知疲倦、且一视同仁。
必须有人来决定这个导师可以教什么,以及教给谁。在关键的规模上,这个人是主权者,拥有设定限制并使之生效权力的主体。实验室可以制定内部规则。只有国家才能制定具有约束力的规则,而在 2026 年 6 月,一个国家做到了。
要设定好限制,你需要知道某个特定能力的危险程度。但你做不到。关键的数字是“提升”——模型为原本缺乏这种能力的人增加了什么,对照这个人仅凭搜索引擎和自身训练已经能做到的事情来衡量。如果真正的障碍从来不是知识,那么知识测试的高分就不是提升。而最让我们恐惧的那些案例,即罕见的灾难性情况,几乎没有任何数据。决策所需的这个数字,恰恰是没人能得到的数字。
当你无法衡量某件事时,最响亮的解读就会胜出。美国命令 Anthropic 撤回其最强大的两个模型,该公司在几小时内就在全球范围内关闭了它们。其依据是一次展示出的越狱攻击,以及一份追溯到单一来源、且该来源存在竞争利益关系的报告。该模型已经通过了数千小时的红队测试和公司自身的安全阈值。一个竞争者的电话和监管机构的命令在五天内就让它下架。你可以称之为谨慎。但这是在谨慎面具下的影响力。
这背后的根本错误贯穿了该领域的大部分实践。人们把危险的大小当作相信危险真实存在的理由。这两者是不同的。如果某件事是真的,后果有多严重,并不能说明它是否是真的。灾难性的负面后果是要求更多证据再行动的理由,而不是更少。严重性提高了门槛,而不是清除了门槛。《Fable》命令把可怕的负面后果当作在薄弱证据上采取行动的许可,而这种做法被当作负责任,这就是为什么你要警惕它。
一个想要做得比“影响力”更好的主权者有两种工具,它们各有不同的用途。
第一个工具衡量信念,因为风险本身无法被衡量。你要构建最有力的论证,说明该能力确实会导致实际伤害,同时也要构建最有力的反证,然后根据胜出的论证采取行动。当证据薄弱时,你的信念保持薄弱,并且你要明说。当证据确凿时,你以赢得的信心行动。负面后果的大小决定了你在行动前需要看到多少证据。它永远不能替代看到证据本身。
第二个工具通过限制因素来约束风险。大多数安全框架按领域对风险进行分类:化学归一类,网络归另一类,生物归第三类,而威胁会从缝隙中溜走。这就是为什么一个网络问题能够绕过为化学和生物武器设计的框架。相反,应该根据制约每个能力的因素来定位:知识、动手技能、材料,或者谁控制着访问权。一个仅被知识制约的能力是松散的,模型会解除这个制动,因此它现在处于活跃状态。一个被材料和实验室技能制约的能力仍然受到约束,无论它属于哪个领域。设定限制来匹配制约威胁的因素,这样就不会有东西从缝隙中漏掉。
这两种工具也告诉主权者把限制设在哪里。当某人有正当理由持有该能力时(大多数情况下都是如此),把能力保留在模型中,并在使用点上加以限制,因为让攻击者找到漏洞的能力,也正是让防御者修复漏洞的能力。只有当主权者决定任何人都永远不应该持有该能力时,才从模型中删除它,因为删除会连同攻击者的工具一起拿走防御者的工具。第一种做法让“对谁开放”的问题保持开放。第二种做法以“对无人开放”来回答这个问题。
这些都不能让一个不受限制的能力变得安全。能力存在于权重中,不带走模型就无法离开,因此限制条件控制了访问权限、权衡了信念、限定了空间范围,而每一个限制条件都会有漏洞。这种方法并不能买到安全。它买到的是一个基于证据和结构而非基于房间里谁声音最大来做的决策,当问题变得紧迫时。
能力是自由的。那部分已经确定。悬而未决的问题是:谁来决定它教什么、教给谁,以及他们是靠权衡自己有权相信的东西来做决策,还是靠抓取最近的杠杆。指明主权者。让主权者遵循一套方法论。





