AI 幾乎可以教任何人做任何事,而且還能做得像專家一樣。真正的危險不在於資訊本身。合成路徑寫在教科書裡,漏洞利用藏在安全課程裡,而那些資訊早在幾十年前就外洩了。危險在於能力——行動的能力——被交到一個原本無法行動的人手中。一本書對你講的跟對所有人講的都一樣,它看不出你在哪卡住了。一個模型看著你失敗,修補你漏掉的那一步,而當它以 Agent 的形態運作時,它不再描述任務,而是直接執行。那個曾經稀有、昂貴、且可以自由拒絕你的導師,如今免費、不知疲倦、而且一視同仁。
誰必須決定這個導師能教什麼、教給誰。在有意義的規模上,那個「誰」就是一個主權者——一個有權設定界限並讓它生效的決策者。實驗室可以訂內部規則。只有國家能訂出有約束力的規則,而在 2026 年 6 月,有一個國家確實這麼做了。
要設定好界限,你得知道某項能力的危險程度。但你做不到。真正關鍵的數字是「提升度」(uplift)——模型為一個原本缺乏該能力的人增加了什麼,對比這個人原本靠搜尋引擎和自己的訓練就能做到的事。如果真正的障礙從來不是知識,那麼在知識測驗上拿高分並不代表提升。而最讓我們害怕的那些案例——罕見的災難性案例——幾乎沒有任何數據支撐。決策需要的數字,正是沒有人能得到的數字。
當你無法衡量一件事時,對它的最大聲解讀就會勝出。美國要求 Anthropic 撤回其最強的兩個模型,該公司在幾小時內就讓它們在全球下架。依據是一項已展示的破解(jailbreak)以及一份追溯至單一來源(且該來源有競爭利益)的報告。這些模型已經通過一千小時的紅隊測試,也超越了公司內部的安全門檻。一通來自競爭對手的電話,加上監管機構的命令,在五天內就把它們拉下線。你可以稱之為謹慎。但那其實是披著謹慎外衣的影響力。
底層的錯誤貫穿了這個領域的大部分。人們把危險的規模當成相信危險真實存在的理由。兩者不一樣。如果某件事是真的,它會有多糟,並不能告訴你它是不是真的。一個災難性的後果,是要求你在行動前需要更多證據的理由,而不是更少。嚴重性提高了門檻,而不是直接清空門檻。Fable 命令把可怕的後果解讀為允許以薄弱證據行動,而這種做法居然被當成負責任,所以你才要留意。
一個想做得比「影響力」更好的決策者有兩項工具,它們各有不同的作用。
第一項衡量信念,因為風險無法被衡量。你建構出最強有力的論證來說明該能力會導致真實危害,也建構出最強有力的論證來說明它不會,然後你根據在兩者辯論後存活下來的立場行動。當證據薄弱時,你的信念就薄弱,而且你明說。當證據堅實時,你以你已贏得的信心行動。後果的嚴重性決定你在行動前需要看到多少證據,它永遠不能取代「看到證據」。
第二項的限制手段是「什麼東西在束縛它」。大多數安全框架按領域分類風險——化學一類、網路安全一類、生物一類——而威脅就從縫隙中溜過。這就是為什麼一個網路安全問題能繞過為化學和生物武器設計的框架。相反地,把每項能力放在它的限制條件下來定位:知識、動手技能、材料、或者誰掌握控制權。一項只被知識限制住的能力是寬鬆的,模型會把那個剎車拆掉,所以它現在是活的。一項被材料和實驗室技能限制住的能力則仍然被約束,不管它在哪個領域。讓界限對應到真正束縛威脅的東西,就沒有東西能從縫隙中溜走。
這兩項工具也告訴決策者該把界限設在哪裡。保留模型中的能力,並在使用者擁有正當理由時在使用的關卡設閘——多數時候都是如此,因為讓攻擊者能找出缺陷的能力,同時也讓防禦者能修復它。只有當決策者決定任何人都永遠不該擁有這項能力時,才從模型中刪除它,因為刪除會同時帶走防禦者和攻擊者的工具。前者保留了「給誰」的問題。後者則用「沒有人」來回答。
這一切都不會讓一個自由的能力變得安全。能力活在權重中,無法不帶著模型一起離開,所以界限只能限制存取、衡量信念、約束空間,而它們每一個都會洩漏。這種方法買不到安全。它買到的是一個基於證據和結構而非基於房間裡誰最大聲(當問題變緊急時)所做的決定。
能力是自由的,這點已經確定。留下的開放問題是:誰來決定它教什麼、教給誰,以及他們是靠權衡自己有資格相信的證據來決定,還是伸手去抓最近的槓桿。說出決策者的名字,並要求決策者遵守一套方法。





