标签： AI治理

美国总统特朗普本周二签了一份行政令，要求AI公司在模型正式发布前，可以自愿把模型提交给联邦政府审查。说自愿，是因为企业可以自己决定交不交，但一旦交了，政府会评估模型的高级网络能力，企业这边也能拿到相应的保密保护。

之前说不监管，现在为什么改主意了

特朗普对AI监管的态度转变挺有意思。他之前一直主张不让监管扼杀创新，甚至一度推迟签署AI相关行政令，理由是怕影响美国跟中国的AI竞争。结果这次的行政令写得挺明确：AI的新能力确实伴随安全风险，政府不能装看不见。

触发这次转向的直接原因，很可能是Anthropic在今年4月有限度发布的Mythos模型。Anthropic自己说，这个模型发现了数千个高危漏洞，主流操作系统和网页浏览器全都中招。这话一出，华盛顿那边坐不住了。

Anthropic的Mythos模型在测试中发现：所有主流操作系统和网页浏览器都存在高危漏洞——这话是Anthropic自己说的，不是政府说的。

更有意思的是，Anthropic之前跟五角大楼因为AI用于自主致命武器和大规模监控的问题闹过法律纠纷。这次Mythos一发布，双方关系反而出现了缓和迹象。有时候，一个技术演示比十轮谈判都管用。

行政令到底说了什么

• 企业可以自愿提交模型，提交后最多30天内完成审查
• 审查聚焦模型的高级网络能力，不是全面安全审计
• 提交企业获得保密保护，政府不会随意公开模型细节
• 联邦政府同步强化针对AI攻击的网络防御，重点保护关键基础设施
• 行政令明确：这不是强制许可，也不是发布前审批

这份行政令其实有个前传。去年5月，谷歌、微软、xAI就同意让美国商务部下属的AI标准与创新中心（CAISI）在模型发布前做审查。OpenAI和Anthropic更早，2024年拜登还在任的时候就签了类似协议。所以特朗普这次，某种程度上是把拜登时期的实际做法给正式化了，只是换了个”自愿”的名义。

行业买账吗

出乎意料的是，这份行政令居然获得了AI安全倡导团体的认可。美国负责任创新组织的主席布拉德·卡森发表声明说，”白宫正式接受了Mythos传递的信号”。安全AI联盟的CEO也表示，很高兴看到特朗普政府认真对待模型风险。

但这帮人并不满足于自愿框架。他们还在敦促国会立法，把这些保护措施变成强制要求。自愿这个东西，换了届政府就可能不自愿了，他们心里清楚。

5月底，在英国皇家学会举办的人工智能安全国际对话（IDAIS）第五届会议闭幕式上，图灵奖得主姚期智、Yoshua Bengio，清华大学智能产业研究院院长张亚勤，加州大学伯克利分校教授Stuart Russell等全球顶尖AI科学家，共同签署了一份《IDAIS伦敦宣言》。

技术能力有限的非国家行为体，将在一年内掌握部分国家级网络攻击手段。全球社会目前远未做好应对这一紧迫威胁的准备。

这不是第一次，但这次份量不一样

IDAIS这个会议系列，2023年由姚期智、Yoshua Bengio、张亚勤、Stuart Russell四个人联合发起，已经跑了五届：牛津、北京、威尼斯、上海，这一届到了伦敦。

为什么这份宣言值得认真看？因为签字的人不只是学者，他们本身就是各国AI安全政策的顶层智囊。姚期智主导中国AI治理顶层设计，Yoshua Bengio起草过联合国AI报告，Stuart Russell的著作《Human Compatible》几乎是AI安全领域的必读书。这帮人联合发声，等于给各国政府递了一张时间表。

宣言到底说了什么

整份宣言的核心逻辑很直接：AI能力正在让”国家级攻击能力”向下溢出，从国家行为体流向非国家行为体——恐怖组织、黑客团体，甚至个人。

具体说了两个最紧迫的风险领域：

• 网络攻击：前沿AI已经能在数小时内完成专业团队需要数周的攻击性操作。关停医院、供水系统、电网、金融市场的攻击工具，正在落入远超以往的人群手中。
• 生物滥用：AI在病原体设计相关任务上已经超越博士级专家。能设计比自然界更危险的人造病原体的能力，正在向非专业人员扩散。这不只是理论风险——宣言明确说”可能在未来造成大规模伤亡”。

宣言还提了一个更深层的问题：逐步走向自主化的AI系统，本身就可能失控。这不是科幻，是工程现实。

各国政府现在该做什么

宣言给出了具体措施清单，不是泛泛而谈。针对网络攻击，优先级最高的几件事：

• 保护关键基础设施——电网、医院、供水系统，这些是第一批会被打的目标
• 建立前沿AI系统网络攻击能力评测体系——现在连”多强才算危险”都没有统一标准
• 部署前强制测试——对具备高级网络能力的模型，不能先发布再治理
• 访问控制——不是所有人都能调用最强模型，需要身份验证
• 跨国信息共享——网络威胁指标需要像金融制裁名单一样跨国流通

生物领域同理，但多了一层：核酸合成筛查。也就是说，以后买合成DNA，供应商要筛查序列是否与危险病原体匹配。这已经在部分国家推进，但远未形成全球标准。

中国和美国被点名了

宣言有一句话很克制但很明确：”主要人工智能司法管辖区在协调方面负有特殊责任。这尤其包括美国和中国。”

这是一个现实判断，不是政治表态。全球最强的大模型公司和最强的算力都在这两个国家手里，没有中美协同，任何AI安全协议都是空话。但中美同时在AI领域激烈竞争，协同治理怎么落地，这是下一个大问题。

宣言也提到了一个历史类比：切尔诺贝利事故之后，全球民用核能发展被阴影笼罩了数十年。AI如果出一次大规模安全事故，公众信任崩塌的后果，可能比任何技术监管都更致命。

AI 安全，这次是顶尖科学家自己站出来了

四月十七日到十九日，四个图灵奖得主凑在一起，在英国皇家学会开了三天会。这件事本身就不太寻常——Yoshua Bengio、姚期智、Stuart Russell、张亚勤，这四个名字任何一个单拎出来都够开一场主旨演讲，现在他们坐同一张桌子旁边，讨论的是同一件事：人工智能驱动的攻击行为，社会有没有准备好。

这场活动是”人工智能安全国际对话”（IDAIS）的第五场。这个机制是 2023 年成立的，之前走过了牛津、北京、威尼斯、上海，这一站放在伦敦，本身就有信号意义——英国在 AI 安全治理上一直想当”中间人”角色，既不完全跟美国走，也不站中国这边。

按照当前的技术演进速度，资源极为有限的非国家行为体——从有组织团体到独狼式个人——有望在一年内掌握部分国家级网络攻击手段。

声明里写了什么，为什么现在发

这份在伦敦签署的共识声明，核心警告可以浓缩成两句话：AI 正在让”搞破坏”的门槛降得比以前低太多，而全球社会还没准备好应对这个变化。

声明具体点了两大风险领域。第一个是 AI 赋能的网络攻击。前沿 AI 系统现在已经能在数小时内完成专家团队需要耗费数周才能完成的编程工作，包括发现并利用主流操作系统和浏览器的漏洞。曾经只有资源充足的国家行为体才能搞定的复杂攻击，现在正在以远超以往的速度落入远为广泛的人群手中。

第二个风险领域是生物滥用。前沿 AI 系统在与病原体设计相关的任务上已经超越博士级专家，使得较低层级的生物能力逐步进入非专业人士的可及范围。声明特别提到：能规划并协调多步骤实验室任务、还能协助构建新型专用生物 AI 模型的智能体，会进一步放大这个风险。

两大风险领域，声明给出了哪些应对方向

针对网络攻击风险，声明提出了几个优先事项：保护关键基础设施、建设对前沿 AI 系统网络攻击能力的评测能力、要求开展部署前测试并在必要时延迟更广泛的开放、对具备高级网络能力的前沿 AI 系统实施访问控制、建立信息共享与漏洞披露机制。

针对生物滥用风险，声明同样给出了优先事项：强化 AI 防护措施以应对高危生物滥用、对前沿闭源模型采取拒答训练和可信访问控制、对前沿开放权重模型开展预训练数据过滤、建设对前沿 AI 系统生物能力提升的评测能力、在核酸合成筛查方面开展国际协调。

这些措施听起来都很”应该”，但声明本身也坦承：目前的防护手段”远远不够”，基础性的技术与社会防御体系”仍处于萌芽阶段”，且在各司法管辖区之间部署极不均衡。

中国和美国，都被点名了

声明有一段话值得单独拎出来说：”主要人工智能司法管辖在协调方面负有特殊责任。这尤其包括美国和中国，以及其他在人工智能开发、部署和评估方面具有重要能力的司法管辖区。”

这是一份国际科学声明直接点名中美两国在 AI 安全治理上的特殊责任。过去类似声明往往泛泛而谈”国际社会应当……”，这次写得相当具体。

Yoshua Bengio 一直是 AI 安全领域最敢说的顶尖科学家之一。他牵头起草的《国际 AI 安全报告》在 2025 年发布，当时就有不少政府官员觉得”写得过于直白了”。这次 IDAIS 伦敦宣言的措辞同样相当直接，没有太多外交辞令。

声明最后还有一段类比，值得所有 AI 从业者认真读一读：”一场严重的人工智能赋能灾难不仅会造成巨大的直接危害，更会摧毁公众对人工智能系统的信任，并使人工智能本可带来的重大社会效益付诸东流。切尔诺贝利事故重创了全球核工业，至今仍让民用核能蒙上阴影，尽管现代反应堆设计已安全得多。”

把 AI 安全风险和切尔诺贝利相提并论——这份声明的分量，可能比很多人第一眼看到的要重得多。