前沿模型不再对所有人敞开大门
OpenAI 正在跟进 Anthropic 的做法——把最强的模型藏起来,只给少数人用。
据知情人士向 Axios 透露,OpenAI 正在完善一款具备高级网络安全能力的新模型,但不打算公开发布,而是计划仅向经过筛选的少数公司开放访问。这一策略与 Anthropic 本周二刚刚对其 Mythos Preview 模型采取的限制性发布如出一辙。
这不是常规的灰度发布或分批上线。这是 AI 公司第一次因为"模型太强、怕被滥用"而主动选择不向公众开放。行业的风向,变了。
Anthropic 开了第一枪
事情要从 Anthropic 说起。当地时间本周二(4月8日),Anthropic 宣布其最新的 Mythos Preview 模型将不会面向公众发布,访问权限仅限于经过精挑细选的科技公司和网络安全企业。
原因很直接:Mythos Preview 在网络攻击方面的能力太强了。
CrowdStrike 对抗行动高级副总裁 Adam Meyers 毫不客气地称 Mythos 的能力是整个行业的"警钟"。这不是公关话术,而是一个在攻防一线摸爬滚打多年的安全老兵发出的真实警告。
Anthropic 的逻辑是:与其把一把上了膛的枪摆在货架上,不如先锁进保险柜,只交给信得过的人。他们同时表示,如果未来能研发出足够强的安全护栏,不排除发布 Mythos 系列的其他模型。
这是 AI 行业历史上第一次有头部公司对新模型采取这种"邀请制"发布策略。但很快,它就不是唯一一家了。
OpenAI 跟进:从试点到常态化
其实 OpenAI 在这件事上并非毫无准备。
早在今年 2 月,OpenAI 就在推出其网络安全能力最强的推理模型 GPT-5.3-Codex 之后,启动了一个名为"网络安全可信访问"(Trusted Access for Cyber)的试点项目。这个项目是受邀制的,参与机构可以获得"具备更强网络安全能力或更高权限的模型,以加速合法的防御工作"。
为了吸引参与者,OpenAI 当时开出的条件相当慷慨——承诺提供总计 1000 万美元的 API 额度。换算成人民币,大约 6800 万元。这不是小数目,说明 OpenAI 对这个项目的重视程度远超一般的开发者计划。
现在看来,那个试点项目更像是一次预演。据知情人士透露,OpenAI 正在完善的这款新模型,将延续并扩大这种受邀制的发布模式。
换句话说,"网络安全可信访问"可能不再只是一个试点,而是即将成为 OpenAI 发布前沿模型的标准流程之一。
到底在怕什么?
要理解这个决策,得先搞清楚这些模型到底能做什么。
过去一年多,前政府官员和顶级安全专家反复发出警告:AI 模型一旦落入不法分子之手,可能自主破坏水务设施、电网或金融系统。这些话在一年前听起来还像是科幻电影的台词,但现在,安全圈的共识是——这些能力已经具备了。
具体来说,当前最强的 AI 模型已经可以:
- 自动扫描大型代码库,发现人类安全研究员可能需要数周才能找到的漏洞
- 针对发现的漏洞编写可用的利用代码(exploit)
- 在几乎不需要人类干预的情况下,完成从侦察到渗透的完整攻击链
- 理解并绕过常见的安全防护机制
这不是理论推演。SANS 研究所首席 AI 官 Rob T. Lee 说得很明白:"你无法阻止模型进行代码枚举或发现旧代码库中的漏洞,这种能力已经存在。"
关键词是"已经存在"。不是"可能会",不是"未来某天",是现在。
限制发布,真的有用吗?
这是所有人都在问的问题。坦率地说,答案是复杂的。
安全公司 Aisle 的 CEO Stanislav Fort 提供了一个有价值的区分:如果企业担忧的是模型编写新漏洞利用代码的能力——而非最初发现漏洞的能力——那么限制前沿模型的发布就"更有意义"。
这个区分很重要。发现漏洞(bug hunting)和编写利用代码(exploit writing)是两个不同层级的能力。前者很多开源模型已经能做到不错的程度,限制一两个闭源模型的发布并不能阻止这种能力的扩散。但后者——自动编写高质量、可直接利用的攻击代码——目前仍然是前沿模型的"专利"。在这个窗口期内,限制发布确实能争取到一些时间。
但 Palo Alto Networks 首席安全情报官 Wendi Whitmore 在本周旧金山 HumanX 大会上给出了一个冷静的判断:只需数周或数月,就会有具备类似能力的新模型出现在公开领域。
这意味着限制发布本质上是一种"拖延战术"。它不能解决根本问题,但可以为防御方争取宝贵的准备时间。就像你知道洪水一定会来,堤坝不可能永远挡住,但多挡一天就多一天的疏散时间。
对开发者意味着什么
对于普通开发者来说,这个趋势带来的最直接影响是:你可能无法第一时间用上最新最强的模型了。
过去几年,AI 模型的发布节奏基本是"发布即可用"——OpenAI 发了新模型,开发者当天就能通过 API 调用。但如果"邀请制"成为常态,未来的发布流程可能变成:
- 模型完成训练和内部评估
- 仅向受邀的安全/科技公司开放(可能持续数周到数月)
- 在确认安全护栏有效后,逐步扩大访问范围
- 最终面向所有开发者开放(也可能永远不会)
这对依赖最新模型能力的开发者和企业来说,是一个需要认真考虑的变量。你的产品路线图可能需要为"模型访问延迟"留出缓冲。
不过好消息是,目前主流的通用模型(GPT-5、Claude Sonnet 4、Gemini 2.5 等)并不受影响。受限的主要是那些在网络安全领域具备特殊能力的前沿模型。对于大多数应用场景,现有的模型 API 依然可以正常使用。
如果你在用 OpenAI Hub 这类 API 聚合平台,好处是可以在多个模型之间灵活切换。当某个模型受限时,可以快速切到其他可用的模型,不至于被单一供应商卡脖子。比如一个简单的调用示例:
import openai
client = openai.OpenAI(
api_key="your-openai-hub-key",
base_url="https://api.openai-hub.com/v1"
)
# 当某个前沿模型受限时,可以灵活切换到其他可用模型
response = client.chat.completions.create(
model="gpt-5", # 或 claude-sonnet-4、gemini-2.5-pro 等
messages=[
{"role": "system", "content": "你是一个安全代码审计助手。"},
{"role": "user", "content": "请检查以下代码片段是否存在SQL注入风险..."}
]
)
print(response.choices[0].message.content)
更大的图景:AI 安全的"诺贝尔困境"
IT之家在报道中用了一个很贴切的类比:诺贝尔发明炸药的初衷是和平利用,后来却被用于战争。
AI 模型正面临同样的困境。GPT-5.3-Codex 被设计出来是为了帮助安全团队更快地发现和修复漏洞,但同样的能力反过来也可以被用于攻击。模型本身不分善恶,关键在于谁在用、怎么用。
但与炸药不同的是,AI 模型的复制成本几乎为零。一旦模型权重泄露或被逆向工程,就不可能再收回来。这也是为什么 AI 公司选择在源头上控制访问,而不是依赖下游的使用限制。
从行业格局来看,这种"限量发布"模式可能会加速几个趋势:
- AI 安全公司的价值将大幅提升,因为它们是最有可能获得前沿模型访问权的群体
- 开源模型与闭源模型的能力差距可能在安全领域进一步拉大
- 政府监管机构将面临更大的压力,需要建立 AI 模型分级发布的制度框架
- 企业在选择 AI 供应商时,"能否获得最新模型的访问权"将成为一个新的考量维度
没有回头路
所有接受采访的安全专家都传达了同一个信息:已经没有回头路了。
AI 在网络安全领域的能力已经越过了临界点。即使 OpenAI 和 Anthropic 把最强的模型锁起来,开源社区的追赶速度也远超预期。限制发布能争取时间,但不能改变方向。
真正的问题不是"要不要限制",而是"限制之后怎么办"。防御方需要利用这个窗口期,尽快建立起 AI 驱动的自动化防御体系。攻防双方都在用 AI,这场军备竞赛的胜负取决于谁跑得更快。
对于开发者社区来说,这也是一个信号:AI 的"蛮荒时代"正在结束。模型不再是越强越好、越开放越好。在能力达到一定阈值之后,负责任的发布策略将成为行业标配。
这不是坏事。只是游戏规则变了。
参考来源
- IT之家:只对受邀企业开放:OpenAI 拟效仿 Anthropic 限制前沿模型发布 —— 本文核心信息来源,详细报道了 OpenAI 和 Anthropic 的限制发布策略
- Linux.do:出于网络安全风险考量,OpenAI 拟效仿 Anthropic 对新模型采取分批次发布模式 —— 社区讨论帖,包含 Axios 原始报道的关键细节和安全专家观点