人工智慧的開源問題沒有簡單的解決方案——而且時間緊迫

關於人工智慧安全性的令人不安的真相並非我們可能無法建構它，而是我們已經無法維護它。近期的一些調查報告揭露了世界上一些最強大的人工智慧系統的安全架構究竟有多麼脆弱。一位記者僅用不到看完一部電影的時間，就利用四行程式碼和一個GitHub上免費提供的工具，就剝離了Meta旗艦開源模型的所有安全防護措施。無需專業硬件，無需高深的技術知識，僅用了十分鐘。

這些發現本身令人震驚，更令人震驚的是它們所代表的意義。 GoogleGemma 3模型的修改版提供了在密閉空間中擴散氯氣的詳細指令，產生了竊取信用卡資料的程式碼，並製作了描繪兒童性虐待的故事。 Meta的 Llama 3.3 版本修改後，解答了有關蓖麻毒素致死劑量的問題。這些並非需要深奧專業知識的極端越獄案例。據報道，這些修改背後的工具——Heretic（可在 GitHub 上免費取得）——已被用於生成超過 3,500 個無審查模型，下載量高達驚人的 13 萬次。其開發者在谷歌 Gemma 4 發布後 90 分鐘內就對其進行了移除。

事實證明，安全層一直比廣告宣傳的還要薄。

開源的尷尬交易

開源人工智慧運動的核心存在著一種固有的、且很大程度上尚未解決的矛盾。透明性、可復現性和強大工具的民主化獲取固然是好事——它們降低了全球研究人員、新創公司和開發者的門檻，並製衡了人工智慧權力集中在少數私營公司手中的局面。但正是這些特性——開放權重、可存取的程式碼、下載和修改的自由——使得諸如開源人工智慧模型之類的模型變得難以維護。 Llama 而 Gemma 非常容易受到研究人員所說的「抹除」的影響：這種技術可以迅速從模型的底層架構中剝離安全微調。

像 Claude 或這樣的專有系統 ChatGPT 開源軟體更難以這種方式進行攻擊，因為它們的底層程式碼對外部人員來說根本無法存取。但一個關鍵的觀察不容忽視：開源模式歷來都能在六到十二個月內縮小與領先的專有版本之間的差距。這意味著一些令人不安但無法迴避的事實。前緣功能僅存在於封閉的專有系統中的時間視窗正在縮小。如今僅限於開源模式的問題，在某個時候將會成為前沿技術面臨的問題——而在前沿技術領域，風險要高得多。

相關公司的回應明顯較為低調。谷歌承認這項技術是所有開源模型都面臨的已知挑戰，並指出在發布前已進行內部安全評估。 Meta 拒絕置評。 GitHub 則堅持認為，即使程式碼存在被濫用的可能，它仍然具有教育價值，並能為安全社群帶來廣泛的益處。這些觀點並非完全錯誤，但就目前所展現的規模而言，它們遠遠不夠。已知的挑戰仍然需要解決方案，而發佈時的良好意願在模型投入實際應用後幾乎起不到任何保護作用。

治理就像追逐一個移動的目標。

這些發現之所以具有如此重要的政治和製度意義，不僅在於它們揭示的直接危害——儘管這種危害十分嚴重——更在於它們暴露了當前人工智慧安全監管方式的結構性限制。各國政府和人工智慧公司都投入巨資，認為在開發階段可以確保安全：調整模型、進行微調、添加防護措施，然後發布。他們假設，一旦模型安全，就能一直保持安全。

這種假設已被打破。過去需要技術精湛且持之以恆的人員才能完成的工作，現在幾乎任何人只要有一台筆記型電腦和一個下午的空閒時間就能做到。開源模型的可下載性意味著，一旦發布，它們就脫離了創建者的控制。一旦這些模型投入使用，針對實驗室的監管措施就基本上失效了。

這並非反對開源人工智慧，而是有力地論證了當前監管討論與技術現實之間存在的巨大差距。政策制定者在討論人工智慧治理時，往往聚焦於假想的未來風險──超級智慧、自主武器、文明級災難。這些討論固然重要，但眼下，就在今天，一些免費工具正被用來移除由全球頂尖人工智慧實驗室訓練的模型的安全保護措施，而由此產生的系統已被下載數百萬次。這並非未來風險，而是迫在眉睫的現實。

這項調查最終揭示的並非人工智慧安全無從談起，而是我們建構的安全架構是基於模型始終待在我們設定位置的假設。然而，事實並非如此。除非監管部門正視這一現實，否則在發布會的熱度尚未消退之前，那些在發布會上大肆宣傳的「安全護欄」就會被不斷移除。