规模化AI:支撑美人工智能雄心的安全基石正现裂痕
“人工智能的广泛普及正对支撑美国网络安全体系的各项基本假设进行着一场“压力测试”。审视并加固这些安全基石,绝非为了防范人工智能的规模化发展,而是确保这一进程能够稳健、自信地推进的先决条件。” 美国对外关系委员会(CFR)专家、人工智能高级研究员阮荣Vinh Nguyen今日 (5月18日) 在《外交关系委员会》杂志发表评论时强调:
六个月内,两道闪电击中了网络安全领域。2025年11月,Anthropic披露,中国国家支持的行为者利用其Claude模型发动了一场高度自动化的网络间谍活动;该人工智能在大约三十个目标中完成了80%至90%的工作。2026年4月,同一家公司又透露,其Mythos模型自主发现了所有主要操作系统和浏览器中数千个此前未知的漏洞——这一能力被公司认为意义重大,以至于决定不向公众全面发布。
在两次闪电之间,持续不断的细雨已经开始降下。这场雨就是人工智能本身——弥散、持续,渗透进每一个机构。它的大部分滋养着科学、软件和国防。但同样的雨也落在已经松动的土地上。CrowdStrike记录到,人工智能驱动的对手行动同比增长了89%。Mozilla将Mythos应用于Firefox时,在一次评估中就发现了271个漏洞,而这些漏洞本来需要顶级研究人员花费数年时间才能发现。
各国政府和企业董事会正在修补、监控并加固系统。但更困难的问题是,美国是否能够扩大其计划构建的体系规模,并有信心认为其下方的地基足以承受重量。人工智能领域的领导地位,不会由谁训练出最大的模型来决定,而是由谁能将其最深入地部署进那些产生优势的系统中来决定,而这一点则取决于这些基础能否承受如今被赋予的负荷。
建立在假设之上
三十年来,网络安全建立在三个根深蒂固、却从未被正式写下的假设之上:复杂攻击将始终代价高昂;为人类设计的身份系统能够扩展到未来的一切对象;以及在人类作出重大决策的过程中,人类判断始终会保留在决策链条之中。这些假设不仅支撑着安全预算,也支撑着美国在那些产生经济与军事优势的机构中部署人工智能的能力。而今天,这些假设正在崩裂。
第一道裂缝是攻击成本的急剧下降。过去只有情报机构才能做到的事情,如今一个拥有前沿模型的普通人便可复制。CrowdStrike观察到,2025年与中国有关的网络入侵增加了38%——若没有人工智能辅助,这种节奏根本无法实现。防御者也在取得进展;Mythos级别的能力正在以人类团队无法实现的速度加固关键软件。但攻击者只需要找到一条路径,而防御者则必须堵住所有路径。补丁流程和采购周期原本是为人类节奏而设计的。防御者能否跟上以机器速度到来的能力,仍有待观察。
第二道裂缝是身份问题。每一种凭证和访问控制系统,都是建立在一个未被明说的前提之上——一个身份属于某个人。如今,非人类身份已经远远多于人类身份,但身份层从未被设计成能够验证一个代理的行为是否符合派遣它的人类意图。2026年3月,Meta的一名人工智能代理在未经操作员批准的情况下,在内部论坛发布了错误指导。第二名员工根据这一指导采取行动,并发布了敏感数据,这些数据暴露了将近两个小时。问题并不在技术层面,而在于机构如何分配、界定并验证信任的结构性方式;而随着越来越多代理获得原本为人类设计的凭证,这种裂缝正在不断扩大。针对非人类身份的治理框架虽然已经写在纸面上,但部署速度已经超越了它们。
最后一道裂缝,也是最微妙的一道裂缝,是人类判断本身。当身份层已经无法再验证究竟是谁、或者什么东西在行动时,剩下的最后一道检查机制,就是个人——那个在发现异常时停下来思考的分析员,或者那个注意到系统行为异常并追问原因的工程师。这从来都不是一种经过设计的控制机制。损害之所以扩散,只是因为人们只能以自身反应速度来应对。而如今,这道检查机制已经成为最后一道防线,同时它也正被系统性地移除。各组织正有意识地自动化审查、批准和职责分离,以便以机器速度运行——而大多数组织是在默认情况下作出这种权衡,而非经过深思熟虑之后。
这些假设之所以失效,并不是因为有人作出了糟糕决定,而是因为从来没有人被指定去重新审视它们。
真正重要的审计
技术强制令和新的监管机构,并不能解决那些未经审视的前提问题。当下真正需要的,不是更响亮的警报,而是对假设本身进行审计。威胁模型在哪些地方仍然假定能力是稀缺的?身份系统在哪些地方仍然默认另一端是人类?人类曾在哪些地方充当了无人设计进去的非正式结构支撑,而随着这些支撑被自动化取代,又将由什么来替代它们?
这项工作并不是从新的控制措施开始,而是从一个更大的问题开始:我们曾经假设了什么,而这些假设如今是否依然成立?其成果将是一份书面记录,记录那些曾被视为理所当然的前提,并由最接近系统的人提供信息。一家企业可能会发现,其变更审批流程早在两年前就已经被自动化,而董事会从未作出治理决策;一个联邦机构可能会发现,在持续授权试点之下,其运行授权原本所假设的安全审查,如今已经变成了一个没人被要求查看的仪表板。
在私营部门,进行这种审计的场所已经存在:董事会的风险委员会,因为结构性承诺的责任正归属于那里。交付成果应当是具体的:一份书面的安全假设登记册,记录当前人工智能部署所依赖的安全前提,并每年审查一次;一旦发现任何假设失效,就立即更新。那些已经进行过后量子时代准备评估的公司,已经拥有可供借鉴的模板。这项工作本质相同,只不过适用范围更广。
在政府层面,国家网络主任办公室应当承担这一任务。国家网络主任办公室的法定职责,是协调联邦网络安全——而这正是能够看见那些已经失效假设、并超越单个机构局限的视角。一个合理的首批成果是:国家网络主任办公室与网络安全和基础设施安全局以及各行业风险管理机构合作,在六个月内编制一份支撑联邦民用系统和关键基础设施系统的安全假设清单。这不是一种新的框架,而是对旧框架的盘点。这份清单,是在决定哪些领域能够有信心部署人工智能、以及哪些领域必须首先重新审视其底层假设之前的前提条件。
有一种竞争逻辑要求人们以审慎方式来完成这一工作。中国正在将人工智能嵌入其安全与治理体系之中——从自动化审查制度到人工智能推荐刑事量刑——而且推进速度并不会因为进行假设审计而暂停。它已经开始将这一基础设施出口给海外愿意接受的买家。美国的优势,并不在于其基础更牢固,而在于其制度能够选择去审视自身。开放体系能够以封闭体系在结构上无法做到的方式审计自身,而这种能力本身就是一种战略资产——前提是要在下一次失败迫使人们面对问题之前,而不是之后,真正运用它。
这些是治理问题,而不是合规问题。美国确实拥有真正优势——在模型能力方面、在盟友协调方面、在其防御者社区深度方面——而这一切都建立在当初合理、但此后从未被重新审视的假设之上。人们的本能,将会把这种审视视为一种额外负担:又一次挡在领导力与真正部署工作之间的审查。
但检查地基,是以信心扩大人工智能规模部署的前提。你不会等到暴风雨来临时才去寻找裂缝——你必须先找到它们。这才是真正的工作。