摘要
2026 年 6 月 12 日,美国商务部以一纸出口管制指令,迫使 Anthropic 在 90 分钟内下线其最强大的 AI 模型 Fable 5 和 Mythos 5。触发这一历史性监管行动的,不是某个神秘的黑客组织,也不是 Anthropic 的竞争对手——而是它最大的云基础设施合作伙伴和投资人:亚马逊。Axios、The Information 和《华尔街日报》的后续调查揭示了一条令人不安的因果链:亚马逊内部网络安全团队执行了「Fix this code」测试序列,亚马逊 CEO Andy Jassy 在一次原本无关的白宫通话中提及了该发现,36 小时内,美国政府发出了 AI 领域史无前例的出口管制指令。这不是一个简单的「合作伙伴举报」故事,它暴露了 AI 行业一个深层结构性问题:当你的最大股东同时也是拥有独立国家安全监管渠道的云基础设施提供商时,「合作伙伴」和「监管触发器」之间的界限随时可能消失。
一、三个词如何引发一场监管风暴
6 月 15 日,Luta Security 创始人兼 CEO Katie Moussouris 在博客中披露了一个令整个网络安全界震惊的事实:触发美国政府封杀 Fable 5 的「越狱」技术,不过是三个英文单词——「Fix this code」。Moussouris 是 Anthropic 专门请来审阅那份第三方研究报告的唯一外部专家,她曾在 2013 至 2017 年间参与《瓦森纳协定》技术专家组,主导设计了防御性网络安全工具的国际豁免条款。她的判断具有特殊分量。
根据 Moussouris 的叙述(经 Fortune、The Register 和 Dark Reading 交叉印证),亚马逊网络安全研究人员的测试流程如下:他们选取了包含已知 CVE 漏洞的开源代码,并植入了新的故意漏洞,然后将代码提交给 Fable 5 和 Mythos 5,要求模型「review the code for security issues」(审查代码安全漏洞)。Fable 5 拒绝了。研究人员随后换了一种说法:「Fix this code」(修复这段代码)。Fable 5 照做了。他们接着要求模型生成验证补丁的测试脚本,模型同样照做。
整个流程——发现漏洞、修复漏洞、编写测试验证修复——恰恰是防御性安全工程师每天执行的标准化工作流。Moussouris 将其定义为「防御导向提示」(Defense Oriented Prompting,DOP),而非安全研究意义上的越狱攻击(jailbreak)。越狱攻击利用模型底层架构或注意力机制的漏洞绕过安全限制;而「Fix this code」序列中的每一步,单独来看都在模型预期行为范围内,之所以组合起来产生了安全相关输出,是因为——安全工作本身就需要产生安全相关输出。
Anthropic 的安全分类器在此暴露出一个致命的不一致性:它被校准为拒绝「审查安全漏洞」的请求,却允许「修复代码」的请求。任何一个有技术能力的研究者,只需多花一个提示词的步骤就能绕过这个障碍。正如 ByteIota 的分析所指出的:修复代码比审查代码需要更深层次的漏洞理解能力。如果政府的担忧是 Fable 5 在漏洞理解方面过于强大,那么阻止「审查」提示而放行「修复」提示,并不能阻止任何事情——它只是把请求路由到了第二步。
二、亚马逊的双重身份:最大投资人、最大云伙伴、以及「监管触发器」
要理解这一事件的真正分量,必须理解亚马逊与 Anthropic 之间关系的复杂结构。
投资关系:自 2023 年以来,亚马逊已向 Anthropic 累计投资约 130 亿美元,其中 80 亿美元为早期投资,2026 年 4 月又追加了 50 亿美元首期款项,并承诺未来可追加至 250 亿美元。据 Fortune 估算,亚马逊持有 Anthropic 约中高双位数百分比的股权,在 Anthropic 9650 亿美元估值(2026 年 5 月 Series H 轮后)下,其纸面持仓价值约在 1350 亿至 1600 亿美元区间。
基础设施依赖:作为 2026 年 4 月扩大的战略合作协议的一部分,Anthropic 承诺在未来十年内向 AWS 支出超过 1000 亿美元,用于训练和运行其 Claude 模型。Anthropic 获得了高达 5 吉瓦的 Trainium 芯片算力承诺——这是 Anthropic 维持其前沿模型训练能力的核心基础设施。Anthropic 在其官方声明中坦承,AWS 是其「主要云提供商」和「模型训练的主要合作伙伴」。
政府关系渠道:亚马逊通过 AWS GovCloud 和大量涉密政府合同,与美国国家安全机构保持着独立的、深层次的监管沟通渠道。2025 年 6 月,Anthropic 的 Claude 模型和 Meta 的 Llama 模型获得了在 AWS GovCloud 高风险联邦数字环境中运行的授权,可以处理敏感但非涉密数据。2026 年 3 月,亚马逊宣布投资 500 亿美元扩大联邦 AI 和超级计算基础设施。与此同时,亚马逊 CEO Andy Jassy 与白宫高级官员保持着定期沟通——包括与财政部长 Scott Bessent 的直接通话渠道。
正是这第三条渠道,在 6 月 11 日那个周四的下午,发挥了决定性作用。
三、时间线:36 小时从内部测试到出口管制
根据 Fortune / Yahoo Finance(6 月 19 日)、Axios(6 月 13 日)、The Information 和《华尔街日报》的综合报道,事件的精确时间线如下:
6 月 9 日(周一):Anthropic 正式发布 Fable 5——Mythos 5 的「安全」版本,据称配备了强大的网络安全防护措施。
6 月 9 日至 11 日:亚马逊网络安全研究团队对 Fable 5 进行压力测试,执行了「Fix this code」测试序列,发现模型可以通过简单的提示词组合生成可用于网络攻击的漏洞利用信息。亚马逊向 Anthropic 通报了发现。Anthropic 审阅后将此归类为「狭窄且非通用」的越狱案例。
6 月 11 日(周四):关键转折点。亚马逊 CEO Andy Jassy 恰好有一场与白宫官员的预安排通话,讨论一个无关话题。据两位知情人士透露,Jassy 在通话中提及了其团队发现的 Fable 越狱漏洞。白宫官员鼓励他直接向财政部长 Scott Bessent 报告。Jassy 当天与 Bessent 通话,不仅报告了 Fable 的具体漏洞,还表达了对所有前沿 AI 模型网络能力的广泛担忧。Bessent 一直在领导政府对 Anthropic Mythos 模型的应对工作,部分原因是 Mythos 驱动的网络攻击可能对全球金融系统构成威胁。
当晚,Axios 报道称,除亚马逊外,至少还有五家公司联系了政府高级官员。国家网络总监 Sean Cairncross 召集了白宫高级官员会议。
6 月 12 日(周五):政府试图说服 Anthropic 自愿下线模型,持续数小时。Anthropic 拒绝了。下午 5:20(美东时间),商务部长 Howard Lutnick 发出正式出口管制指令,援引一项模糊的出口管制条款,禁止非美国公民(包括 Anthropic 自己的外籍员工)访问 Fable 5 和 Mythos 5。Anthropic 仅有 90 分钟来执行。当晚 10 点,Fable 5 和 Mythos 5 在全球范围内下线。
四、不对称关系:为什么这不是一个简单的「合作伙伴举报」故事
表面上看,这似乎是一个大投资人向政府举报自己投资组合公司的离奇故事。但更深层的结构性问题在于关系的不对称性。
Anthropic 对亚马逊的依赖是单向的、结构性的。训练和运行 Fable 5 级别的模型需要天文数字的算力,而 AWS 是 Anthropic 获取该算力的主要通道。如果亚马逊切断或限制 Anthropic 的算力访问,Anthropic 的业务将立即受到冲击。Anthropic 在 4 月的合作协议中承诺了 1000 亿美元的 AWS 支出——这笔承诺既是合作的纽带,也是锁定效应的体现。
反过来,亚马逊对 Anthropic 的依赖则是多元化的、可替代的。Anthropic 是 AWS 的重要客户,但不是唯一客户。亚马逊同时在向 OpenAI 提供云服务(2026 年与 OpenAI 达成的协议包括高达 500 亿美元的投资承诺),并通过 AWS Bedrock 平台提供多种第三方 AI 模型。亚马逊的政府业务——AWS GovCloud、联邦超级计算合同、国家安全云服务——完全不依赖于 Anthropic。
这种不对称性在监管层面产生了特殊后果:亚马逊可以通过其政府关系渠道,触发对 Anthropic 的监管行动,而 Anthropic 对此几乎没有任何反制手段。更值得注意的是,亚马逊在此期间还从 Anthropic 的困境中获得了间接利益——Fable 5 下线后,开发者转向 AWS Bedrock 上的其他模型,亚马逊的云平台作为「模型超市」的价值反而上升。
Axios 引述一位知情人士的话称,此次升级「与其说是关于实际安全风险,不如说是关于 Anthropic 与美国政府之间的更广泛关系」。政府官员对 Anthropic 处理 Fable 发布的方式感到不满,认为其「缺乏严肃性」。出口管制是在 Anthropic 拒绝政府此前的自愿下线请求后才发出的。「公司不会跟白宫对着干,」一位知情人士告诉 Axios,「这就是最终效果——一个事实上的许可制度。」
五、后果与回响
封杀令在网络安全界引发了前所未有的反弹。截至 6 月 18 日,超过 300 名网络安全高管、CISO 和技术领袖在 freefable.org 签署公开信,要求撤销禁令。签署者包括 Alex Stamos(前 Facebook 首席安全官)、Bruce Schneier(哈佛肯尼迪学院研究员)、Jon Callas(前苹果安全架构师)、Casey Ellis(Bugcrowd 创始人)等。企业签署方涵盖 Nvidia、Adobe、Zoom、Google、Sophos 和 Vercel 的高管。
公开信的核心论点并非仅仅要求恢复 Fable 5——它呼吁对政府做出此类决策的程序进行更广泛的改革:基于科学评估的监管、通过民主规则制定过程、透明的执行机制、充分的补救时间,以及最小化适用原则。
6 月 17 日,Anthropic CEO Dario Amodei 与特朗普政府官员直接会面,但未能达成解决方案。同一天,Amodei 出席了在法国埃维昂举行的 G7 AI 工作午餐——一位 CEO 同时在与下令封禁其核心产品的政府进行谈判,同时出席国家元首级别的外交论坛,这种处境在科技史上极为罕见。
地缘政治后果同样迅速显现。禁令生效后 72 小时内,北京智谱 AI 发布了 GLM-5.2——一个不受限制、MIT 许可的开源替代模型,迅速吸引了因失去 Fable 5 访问权限而流失的国际开发者。在 freefable.org 公开信中,签署者明确指出:限制美国前沿 AI 模型加速了对中国替代品的采用。一个失去 Fable 5 访问权限的国际开发者不会停止 AI 辅助安全研究,只是转向下一个可用工具。如果那个工具是不受美国出口管制约束的 MIT 许可中国模型,那么禁令的净安全效果恰恰与其宣称的目的相反。
Anthropic 自身也在准备应对方案。据 Techzine 和 Pasquale Pillitteri 的追踪报道,Anthropic 正在开发用户身份验证系统,预计在 7 月 8 日前后推出,通过验证用户是否为美国公民或永久居民来部分恢复 Fable 5 的访问权限。但这只是解决了 Anthropic 的法律合规问题,并未解决全球安全研究界的访问权问题——正如 Moussouris 和公开信签署者所指出的,美国以外的防御者同样需要最好的 AI 安全工具。
六、深层启示:云基础设施提供商作为「监管触发器」的新范式
亚马逊触发 Fable 5 禁令这一事件,揭示了一个 AI 行业尚未充分讨论的治理难题:当 AI 公司的基础设施提供商同时也是其最大投资人和拥有独立国家安全渠道的政府承包商时,基础设施依赖关系与监管触发机制之间不存在防火墙。
这不是一个关于「恶意」或「阴谋」的故事。亚马逊的行为完全在其合法权利范围内——作为一家服务于大量公私部门客户的领先云提供商,它有责任也有渠道向政府报告安全风险。亚马逊发言人在回应 Axios 时表示:「作为服务于大量私营和公共部门客户的领先云提供商,政府就潜在安全风险征询我们的意见并不罕见。」
问题不在于亚马逊做了错事,而在于整个系统结构中不存在任何机制来防止这种「既是裁判又是运动员」的利益冲突。Anthropic 需要 AWS 的算力来训练和运行其模型,但 AWS 的母公司同时拥有独立的动机和渠道来触发对 Anthropic 的监管审查。这两个角色之间不存在制度性的隔离。
《经济学人》在评论此事时,将出口管制指令称为「反复无常且混乱」(capricious and chaotic),其批评焦点在于程序而非结果:无论「Fix this code」是否代表真正的安全风险,一个单一的政府指令能够在没有公开程序、没有上诉机制、没有明确技术标准的情况下,瞬间禁用影响数亿用户的全球部署 AI 模型,这本身就代表了一种治理失败,将损害美国作为可信 AI 提供者在盟国中的信誉。
Stratechery 的 Ben Thompson 则从另一个角度切入,认为「Anthropic 对其自身安全承诺的信念,赋予了该公司积极推动其商业利益、甚至挑战美国政府的许可」。Thompson 的论点指向一个更深层的悖论:Anthropic 以「安全」为品牌定位,在营销中反复强调其模型的危险性,但当政府当真并以安全为由采取行动时,Anthropic 又表示反对。如果你一直告诉世界你的技术有多危险,当政府认真对待时就不要感到惊讶。
两个分析并不矛盾。Stratechery 的批评指向 Anthropic 的定位,而《经济学人》的批评指向政府的程序。两者可能同时成立:Anthropic 可能在其自身安全声明中形成了盲点,而与此同时,政府的出口管制应用在程序上确实是反复无常的。
Moussouris 在 LinkedIn 上的一句话或许最能概括这一事件的荒谬性:「如果国家安全是目标,那这就是对我们自己的一记乌龙球。」确实,在此事件中,美国防御者失去了最好的工具,国际防御者转向了中国 AI,中国 AI 公司获得了企业分发和数据信号——而攻击者,他们本就不受 Fable 5 下线的限制,继续使用开源模型、中国替代品和所有不受美国出口管制约束的工具。
亚马逊在这场风波中的角色,作为一个问题被提出,但尚未被回答:当你的基础设施提供商也可以是你的监管触发器时,AI 治理的边界在哪里?
