中国的AI窃取行动
中共国靠窃取西方先进科学技术数十年,以便弯道超车达到最后打倒美国而独霸世界的目的,是人所共知的事。据斯坦福大学以贾里德·邓蒙 (Jared Dunnmon)为首的三位专家近日发表在《外交事务》杂志的分析报告--“中国的AI窃取行动”,中共国对美国AI的窃取,正在对美国构成重大威胁:
人工智能领域的美中竞争已经开启了一个新的战线:开放权重、本地运行的人工智能模型。直到最近,能力最强的人工智能模型仍然规模过于庞大、运行成本过于高昂,只能部署在配备昂贵专用芯片的大型数据中心中运行。然而如今,这些系统正在迅速从云端迁移到消费级硬件——包括笔记本电脑和移动设备——之上,在无需将数据发送至远程服务器的情况下,就能够回答问题、编写代码,并代表用户执行各种操作。得益于人工智能模型和芯片两方面的技术进步,越来越多支撑本地人工智能部署的所谓开放权重人工智能模型,已经比其前代产品更加智能、体积更小,而且能够被自由地从互联网下载、修改并部署,而无需依赖集中化服务提供商。
这些快速发展的本地人工智能系统有望实现强大技术的民主化,降低成本,并赋予用户对其日常使用工具更大的控制权。但与此同时,它们也可能固化一种深刻的不对称局面。目前流向本地设备的能力最强开放权重模型中,中国模型占据了不成比例的优势。如果当前状况持续下去,中国将保持这一强大优势。此外,许多最优秀的开放权重模型都是由中国公司开发的,而这些公司通过大规模应用一种名为“蒸馏”的技术,系统性地提取美国前沿模型的能力。“蒸馏”是指训练一个更小、更高效的人工智能模型,使其模仿一个更先进模型的行为。这种做法已经在工业化规模上展开。而美国企业由于受到合同约束和法律规范限制,无法采取同样做法,因为几乎所有主要人工智能服务提供商的服务条款都禁止利用模型输出结果来训练竞争性系统。
鉴于这些发展趋势,人工智能领域的核心竞争已不再局限于开发阶段。竞争范围已经扩大到分发领域——也就是决定究竟是哪个国家的模型、芯片和软件框架将成为数十亿台设备上的默认选择。目前,美国企业设计并销售最先进的芯片和最前沿的人工智能模型。但中国企业正在对这些模型进行蒸馏,将其压缩到能够在廉价硬件上低成本运行的程度,并将成果推向全球市场。事实上,在许多情况下,它们甚至正在将这些成果重新销售回美国。由此形成的中国优势扭曲了市场,并使那些需要在开放权重人工智能基础上继续开发的美国企业和全球用户面临一个令人不快的选择:要么使用中国模型,要么落后于竞争对手。
如今似乎已经出现这样一种可能:美国赢得了人工智能训练之战,却输掉了分发战争——并非因为其技术实力不足,而是因为其未能确保公平竞争环境。幸运的是,仍然存在应对之策。在过去十年中,华盛顿已经逐步形成了一套应对中国反竞争行为的政策工具。现在,它必须调整这些策略,以促进美国在开放权重人工智能领域的发展与领导地位,同时对那些跨越正常研究实践与经济战界限的中国行为实施惩罚。这一战略确实存在风险:如果执行范围过于宽泛,它可能会限制美国成功所需要的人才和模型获取渠道,从而损害美国人工智能领导地位。然而,如果执行得当,这一战略将能够与私营部门打击未经授权蒸馏行为的努力形成互补,并确保美国的人工智能优势延续至下一个十年。
新阶段
直到最近,普通用户仍然很难在本地运行人工智能。日常设备中的芯片——包括笔记本电脑和手机——内存容量太小,无法容纳能力强大的模型,计算能力也不足以使其以实用速度运行。此外,使这些模型能够可靠执行多步骤任务的软件尚未成熟,例如阅读文档、起草回复并将其保存到正确文件夹等任务。
如今,这种情况已经不复存在。硬件已经变得高效得多,本地模型本身也是如此。斯坦福大学研究人员最近的一项研究显示,本地模型能够准确回答的问题比例,已经从2023年的23%上升至2025年的71%。这意味着,用户现在可以直接将开放权重人工智能模型下载到笔记本电脑或智能手机中,并在没有互联网连接的情况下运行,而所有问题都由设备自身芯片完成处理,而无需依赖远程数据中心。
由于多种原因,对本地人工智能系统的需求正在不断增长。开发者希望获得能够自行下载、修改和独立部署的模型。企业希望将敏感数据保留在自己的基础设施之内,而人工智能公司则需要能够基于自身数据进行微调的模型。经济和基础设施因素同样推动着人工智能市场向本地模型转移。访问云端成本高昂,而云端模型依赖于大型数据中心,而这些数据中心正面临严重的电力限制。将人工智能工作负载转移到本地设备,可以将负担分散到数百万台现有设备之上,并绕开数据中心日益增长的物理和政治限制。
让人工智能能力在地理上广泛分布还具有另一项优势。今年3月,亚马逊网络服务公司位于阿拉伯联合酋长国和巴林的数据中心遭到伊朗无人机袭击并受损,这一事件暴露出仅依赖数据中心处理人工智能工作负载所存在的风险。这些袭击导致该地区部分亚马逊网络服务基础设施瘫痪,使银行系统、支付应用程序、网约车服务以及企业软件纷纷中断。随后,伊朗伊斯兰革命卫队威胁要攻击十多家美国科技企业在中东地区的基础设施,其中包括多家领先人工智能公司。随着人工智能系统越来越多地被用于支持军事行动,数据中心实际上正在成为军民两用设施,因此也正在成为军事打击目标。将人工智能能力集中于少数几个大型且暴露的设施之中,是一种战略脆弱性。而在大量设备上本地运行的模型,则是一种更加安全、更具韧性的替代方案。
危险的生意
中国企业清楚地意识到本地模型所带来的优势。因此,它们正在竞相通过蒸馏技术从美国模型中提取能力,而这种做法是在美国企业被禁止在国内复制的条件下进行的。2月,美国人工智能公司 Anthropic 披露,中国人工智能实验室深度求索、月之暗面和稀宇科技通过大约24,000个欺诈账户,与其 Claude 模型进行了超过1,600万次交互,以提取高价值的推理、编程和工具使用能力。Anthropic 将这一行为描述为系统性的蒸馏活动,而非孤立的滥用事件。结果是,Anthropic 耗费数亿美元开发出来的能力,在发布后的数周内便被转移到了中国竞争产品之中。
问题并不在于蒸馏本身作为一种技术。知识转移本来就是人工智能生态系统创新过程中的一部分,而世界各地的开发者也依赖开放权重模型开展合法研究。问题在于,中国企业能够自由地从美国前沿模型中大规模提取能力,而美国企业则受到服务条款和法律规范的约束,而这些规范恰恰被外国竞争对手所忽视。美国前沿实验室投入数百亿美元训练模型,但这些能力却能够以原始成本的一小部分被提取出来并重新发布。这样一来,那些承担前沿研究成本的企业,实际上越来越多地在补贴其竞争对手的产品线,而这些竞争对手随后又试图通过价格优势压制它们。
与蒸馏相关的安全和保障风险同样令人担忧。蒸馏会转移模型在训练过程中获得的能力。但关键的人工智能安全防护措施——例如对齐调优(训练模型遵循人类指令并拒绝有害请求)、红队测试(由专家进行测试以发现并修复模型缺陷)以及安全过滤(用于筛查输入和输出中危险内容的软件)——都是在核心训练过程完成之后才被添加到人工智能模型中的。因此,这些安全防护措施不会在蒸馏过程中被转移,而其后果可能十分严重。2025年初,美国科技公司思科披露,中国开放权重推理模型深度求索-R1 未能阻止标准行业安全测试“HarmBench”中的抽样提示词,该测试涵盖网络犯罪、非法武器和虚假信息传播等类别。网络安全公司 CrowdStrike 进一步发现,当在普通编程提示词中加入政治敏感词汇(例如“西藏”、“法轮功”和“维吾尔人”)时,深度求索-R1 生成存在安全漏洞代码的可能性会提高多达50%。
OpenClaw 的案例进一步凸显了这些模型所带来的安全和保障风险。OpenClaw 是一个开源人工智能代理软件框架,能够在用户自己的设备上运行。自2025年底发布以来,OpenClaw 已成为开发者平台 GitHub 上增长最快的代码库之一,每月吸引数百万用户。与基于浏览器运行的聊天机器人不同,OpenClaw 通过利用本地硬件,赋予本地代理记忆能力、工具能力以及执行行动的能力。许多用户会将 OpenClaw 与开放权重人工智能模型配合使用。由于 OpenClaw 及类似系统能够自主构建和运行代码,因此底层人工智能模型中的漏洞不会停留在文本层面。相反,它们会被编译、部署并直接在用户设备上执行。OpenClaw 的“技能”市场——一种允许代理执行特定任务(从编写代码到管理文件)的预构建能力体系——很快便充斥了超过340个恶意扩展。此外,思科人工智能威胁与安全研究团队发现,OpenClaw 社区中排名靠前的一项技能实际上具有恶意软件功能,这表明当开放权重人工智能模型不会拒绝明显恶意指令时,其潜在危害可能极其严重。
未经控制地传播那些从美国产品蒸馏而来的中国本地模型,正在形成严重地缘政治依赖的道路上不断推进。开发者最初或许只是打算在本地使用一个中国模型。但如果其应用程序需要云端规模的计算能力,他们自然会转向托管并优化该模型的云服务提供商。因此,阿里云而不是美国的亚马逊网络服务公司将获得青睐。最终,开发者使用的将是华为芯片,而不是英伟达芯片。最初出于成本考虑所做出的选择,最终会演变成一种覆盖整个技术栈、长期持续存在的依赖关系。同样的模式已经在电信、移动支付以及数字基础设施领域出现。这是中国以技术驱动影响力的更广泛战略的一部分。从“一带一路”实体基础设施到华为5G网络,中国一直在系统性地将最初的成本优势转化为长期依赖关系。如果那些从美国模型蒸馏而来的中国模型成为数十亿台设备上的默认智能系统,美国就有可能允许北京对人们每天用于获取信息、进行沟通和开展工作的工具拥有影响力。
关闭闸门,全速前进
华盛顿必须通过减缓北京未经授权的蒸馏活动,并加速美国开放权重生态系统的发展,来应对这种中国优势。美国主要人工智能公司已经在试图削弱未经授权的蒸馏行为。Anthropic 建立了行为指纹识别和响应塑形系统,这些系统能够标记自动化蒸馏所特有的使用模式,并对模型输出进行细微调整,从而降低被竞争对手收集的数据价值。谷歌部署了类似的检测系统,并成功识别出一场针对其 Gemini 模型、涉及超过10万条提示词的攻击活动。OpenAI 也向国会警告称,它同样遭遇了类似工业化规模的蒸馏活动。
这些措施是一个良好的开端,但它们不太可能彻底解决问题,因为有决心的攻击者总能绕过大多数技术防御措施。企业嵌入模型输出中的数字水印可以被编辑删除,它们所依赖的行为指纹可以通过进一步训练被模糊化,而检测机制本身只有在企业能够观察模型使用方式时才会发挥作用。为了协助私营企业的努力,美国政府首先应当将重点放在贸易和监管政策上。蒸馏流程仍然依赖于获取美国芯片进行训练,因此出口管制是限制其大规模运作最有效的政策之一。这些管制措施应当继续维持并进一步收紧,尤其是在某些芯片已知会助长未经授权蒸馏活动的情况下。作为这一努力的一部分,华盛顿应扩大外国直接产品规则的适用范围。根据这一规则,美国可以对使用源自美国技术制造的外国产品施加许可要求。按照这一逻辑,任何系统性吸收了从美国前沿模型中提取能力的中国模型,都应受到许可要求约束。如果许可被拒绝,其结果将是全面禁止这些产品进行商业部署、整合进入企业产品以及出口至第三国。这一举措不会阻止基于蒸馏技术的本地模型被创造出来,但将扰乱其部署和出口过程。
外国直接产品规则的有效性已经通过其在网络设备和半导体制造工具领域的应用得到证明。将其扩展至人工智能领域可能更加重要,因为一个蒸馏模型在发布后数小时内就能够被部署并整合进商业产品,因此对下游商业使用链条实施控制至关重要。基于外国直接产品规则的做法还具有一个实际优势,即其针对的是特定模型,而不是广泛惩罚整个企业或实体。因此,它既可以单独使用,也可以与其他措施配合使用,例如实体清单指定制度。后者将正式切断那些实施未经授权蒸馏活动的中国实验室获取美国技术和零部件的渠道。依据《国际紧急经济权力法》,美国还可以冻结这些实验室位于美国境内的资产,禁止美国个人和企业与其开展业务,并为继续向其供货或与其合作的外国企业制造次级风险。
人工智能领域的核心竞争已经不再局限于开发阶段。如今,它还包括分发环节。
然而,仅靠这些保护性措施,即使范围广泛,也远远不够。华盛顿必须紧急鼓励具有竞争力的美国开放权重替代方案的发展。目前,经济激励机制实际上正在对美国开放权重开发者形成不利影响。前沿实验室不愿意发布那些会蚕食其现有成功产品市场的模型,而独立的美国开发者则无法在不违反服务条款的情况下利用前沿模型进行蒸馏,因为这些服务条款规定了他们获取模型的条件。华盛顿应当通过与前沿人工智能企业合作,在其服务条款中允许美国及其盟友企业进行有限、可追责的蒸馏活动来解决这一问题。这种蒸馏活动可以受到限制并接受安全审查,这与某些中国实验室所进行的无限制、匿名化数据收集形成鲜明对比。同时,应当利用公共资源和研究资金,鼓励美国实体发布并持续维护具有竞争力的开放权重模型,从而为全球开发者、企业和政府提供充分理由选择美国方案。谷歌近期发布的 Gemma 4——一系列基于与 Gemini 相同研究成果开发的开放权重模型——证明,只要拥有足够动力,美国企业完全能够生产具有竞争力的开放权重模型。如果美国替代中国模型的方案能够广泛获得,那么采用那些建立在提取能力基础之上的、不受治理约束的替代方案的动力将大幅下降。
如果这些措施能够与盟友协调推进,其效果将最为显著。华盛顿应当与亚洲、欧洲及其他地区的伙伴合作,协调政策路径,并建立一个规模足够庞大的联盟,以制定关于蒸馏活动、模型许可和出口管制的共同标准。如果缺乏这种协调,仅由华盛顿单独实施的管制措施很容易被规避:一家被禁止获得美国芯片的中国实验室可以通过其他市场进行采购,而一个被禁止进入美国市场的开放权重模型则仍然可以在欧洲或日本找到用户。协调将会十分困难,但那些生产全球最先进芯片、最前沿模型以及最大软件市场的民主国家,仍然控制着绝大多数关键瓶颈。它们有能力采取行动。在私营部门,美国企业应当共享其已经开发出来的蒸馏检测工具,并围绕模型安全建立合作规范。
去年,我们中的一位——贾里德·邓蒙(Jared Dunnmon)——曾在本刊撰文警告称,如果中国通过蒸馏技术使其开放权重模型领先于美国,那么这将从根本上削弱美国在人工智能领域的领先地位。如今,这一警告已经成为现实。能力提取正在以工业化规模进行,而本地设备计算能力也已经跨越关键拐点;包括 OpenClaw 在内的系统已经证明,全球用户希望使用运行在自己设备上的模型,而海湾地区数据中心遭到打击则表明,集中式计算资源在物理层面是脆弱的。随着前沿人工智能系统越来越接近 Anthropic 首席执行官 达里奥·阿莫代伊(Dario Amodei)所称的“数据中心里的天才国度”,开放权重人工智能已经在全球设备上驱动着一个真正由虚拟助手组成的世界,帮助普通人在工作和生活中实现更高的效率和更好的效果。美中人工智能竞争的下一阶段,在很大程度上将取决于究竟是哪一方的模型成为全球本地设备上的默认选择。除非华盛顿作出必要调整,否则这一地位将属于中国。