6 月 26 日这一天,值得记进 AI 治理的年表。同一天里,美国两家头部实验室各自最强的模型,都先过了「国家安全」这道闸,才轮到客户。OpenAI 发布下一代旗舰 GPT-5.6 Sol,但它不是面向所有人开闸,而是先通过 API 和 Codex 向少数受信任伙伴限量预览,并就模型能力向美国政府预先通报、配合一项 cyber 行政命令框架——《华盛顿邮报》直接把标题写成「政府将决定谁能用」(报道引发 1172 条评论),《The Verge》则称 OpenAI 是应特朗普政府要求延期全量发布。几乎同步,Anthropic 公布了另一条平行剧情的结局:它最强的网络安全模型 Mythos 5 自 6 月 12 日被政府指令暂停后,终于在 6 月 26 日由商务部长签字放行,获准向100 多家运营关键基础设施的「受信任」美国机构恢复访问。两条线指向同一个结论:前沿模型的访问权,正从厂商手里,转移进国家安全框架。
发生了什么
把两条线拆开看。
OpenAI 这条线——6 月 26 日,OpenAI 启动 GPT-5.6 系列「限量预览」,一口气推出三款模型:旗舰 Sol、面向日常工作的均衡款 Terra、快速低价款 Luna。这是一套新命名体系:数字(5.6)代表「代际」,Sol/Terra/Luna 代表可各自迭代的「能力档位」(智能 / 速度 / 成本)。关键不在命名,而在发布方式:官方明确写道,预览期先通过 API 和 Codex 向少数受信任伙伴开放,已就模型能力向美国政府预先通报,配合 cyber 行政命令框架,未来数周才扩大到 ChatGPT / Codex / API。OpenAI 给 Sol 的定位是「迄今最强的网络安全模型」,但同时强调它未跨越 Preparedness Framework 的 Cyber Critical 阈值:在 Chromium 与 Firefox 的测试中,Sol 能找到 bug 和漏洞利用原语,却未能在测试条件下自主产出完整可用的全链 exploit,更擅长帮人「发现并修复」而非端到端攻击。配套是一整套分层安全栈,自动化红队投入超 70 万 A100 等效 GPU 小时专攻「通用越狱」。换句话说:能力够强到要向政府报备,但官方论证它「还没强到失控」。
Anthropic 这条线——时间要往前倒两周。据 Anthropic 官方声明,6 月 12 日 17:21(美东时间),美国政府下达一道出口管制指令,暂停 Fable 5 和 Mythos 5 被「任何外国人(无论在美国境内或境外)」访问,其余 Anthropic 模型不受影响。政府援引国家安全权限但未给细节;Anthropic 的理解是,官员获悉了一种「越狱」Fable 5 的方法,而它审阅的演示只展示了「少数此前已知的、轻微的漏洞」,其它公开模型同样能发现。Anthropic 公开表达了不同意——「我们不认为发现一个狭窄的潜在越狱,就构成召回一个已部署给数亿人的商用模型的理由」——但仍照令移除了访问。Semafor 补充了触发链条:暂停发生在亚马逊等公司就潜在安全漏洞发出警告之后。
转机在 6 月 26 日(周五)。据 Semafor,商务部长 Howard Lutnick 致信 Anthropic 首席算力官 Tom Brown,解除了对 Mythos 5 的出口管制,允许其释放给 100 多家美国机构(信中以「附件 A 所列实体」指代,未公开名单)。Lutnick 写道:「我已认定已具备适当保障措施,可允许某些受信任伙伴访问 Claude Mythos 5 模型」,并称谈判取得「重大进展」。Anthropic 随即确认:政府已通知其最强网络安全模型 Mythos 5 可重新部署给一批运营和防护关键基础设施的美国机构,公司将快速恢复这些机构访问,并继续推动扩大 Mythos 5 访问、让 Fable 5 重新通用开放。Fable 5 的命运仍悬而未决,只有「正在讨论、无明确时间表」。
两件事叠在一起,主题清晰:这一天起,谁能用前沿模型,第一道决策权不在实验室,而在政府。
关键时间线 / 数据
把散落的事实拉成一条线,才看得出这不是孤立事件,而是一套正在成形的机制。
| 时间(2026) | 事件 | 来源 |
|---|---|---|
| 6 月 12 日 17:21 ET | 美国政府指令暂停 Fable 5 / Mythos 5 对任何外国人的访问;触发点为 Fable 5 疑似越狱演示(Anthropic 称仅轻微已知漏洞);亚马逊等曾预警 | Anthropic 声明 / Semafor |
| 6 月 12–26 日 | 出口禁令持续约两周,Mythos 5 / Fable 5 全面停摆 | Anthropic / TechCrunch |
| 6 月 24–27 日 | 亚洲初创趁空档推出 Mythos-like 模型:Sakana AI 发 Fugu、中国 360 发 Tulongfeng 与防御向 Yitianzhen | TechCrunch |
| 6 月 26 日(周五) | 商务部长 Lutnick 致信 Tom Brown,放行 Mythos 5 给 100+ 家「附件 A」美国机构;Fable 5 仍待定 | Semafor |
| 6 月 26 日 | OpenAI 限量预览 GPT-5.6 Sol/Terra/Luna,向少数受信任伙伴开放,就能力向美国政府预先通报;WaPo 称「政府将决定谁能用」,The Verge 称应特朗普政府要求延期 | OpenAI / WaPo / The Verge |
| 6 月 26–27 日 | Anthropic 公开确认恢复部署,继续推动扩大访问 | Anthropic 推文 |
GPT-5.6 三款模型的能力与定价(每百万 token),是理解「为什么是这些模型被盯上」的另一面——它们既是商品,也是受管制的两用技术:
| 模型 | 输入 $/1M | 输出 $/1M | 定位 | 安全相关表现 |
|---|---|---|---|---|
| Sol | $5 | $30 | 旗舰,最长深度推理 + ultra mode 子智能体 | ExploitBench 与 Mythos Preview 持平,但仅用约 1/3 输出 token;未跨 Cyber Critical 阈值 |
| Terra | $2.50 | $15 | 均衡款,性能对标上一代 GPT-5.5,价格便宜一半 | 随推理量增加在 ExploitGym 上显著提升 |
| Luna | $1 | $6 | 高速低价,高并发场景 | 同上 |
注意最后一列:OpenAI 用来对标自己 Sol 的基准对象,正是 Anthropic 的 Mythos。两家实验室在网络安全能力上贴身缠斗,而政府这一刀,恰好砍在双方的「最强 cyber 模型」上——这不是巧合,是机制设计的靶心。
GPT-5.6 安全栈与能力细节(展开)
- 新推理能力:max reasoning effort(让 Sol 获得最长深度推理时间)+ ultra mode(调用 subagents 子智能体,突破单一 agent 上限)。
- 编程:在 Terminal-Bench 2.1(命令行工作流,考验规划 / 迭代 / 工具协调)刷新 SOTA。
- 生物:在 GeneBench v1(长程基因组学与定量生物分析)超越 GPT-5.5,且消耗更少 token。
- 网络安全:ExploitBench 与 Mythos Preview 持平但省约 2/3 输出 token;ExploitGym(UC Berkeley 与 OpenAI 等联合创建)上随推理量上升而显著提升。
- 分层安全栈:模型内训练拒答 + 实时 cyber/biology 滥用分类器 + 账户级审查 + 差异化访问(differentiated access) + 监控执行。实时分类器检测到潜在违规会暂停生成、交更大推理模型复核。
- 红队投入:超 70 万 A100 等效 GPU 小时自动化红队,专攻可跨多 prompt/场景的「通用越狱」,叠加第三方人工专家红队。
- 算力背景:7 月将在 Cerebras 上线 GPT-5.6 Sol,速度最高 750 tokens/秒(初期限部分客户);同期 OpenAI 还公布了与 Broadcom 合作的自研推理芯片 Jalapeño。
注意「差异化访问」被明确写进安全栈——访问分级不是事后补丁,而是产品的内建能力。
为何重要
这件事的分量,不在某一款模型有多强,而在前沿 AI 的发布逻辑被改写了。
第一,从「发给所有人」到「政府先点头」。 过去前沿模型的默认路径是:实验室训练完、做安全评估、发布、全球客户自助接入。现在多了一道前置闸门:OpenAI 要在发布前向政府通报能力、按 cyber 行政命令框架走流程,并把「差异化访问」做进安全栈;Anthropic 则直接经历了「政府一纸指令即可暂停一个服务数亿人的商用模型,再由商务部长签字逐步放行」的全过程。两家路径不同,但落点一致——访问权的第一决策人,从厂商变成了国家。这在互联网软件史上是罕见的:一个 SaaS 产品的「谁能注册」由商务部决定。
第二,闸门的钥匙是「网络安全能力」。 被管制的不是聊天能力、不是写代码本身,而是自主发现并利用漏洞这一类两用能力。OpenAI 反复论证 Sol「能找漏洞原语但拼不出全链 exploit」「更擅长修而非攻」,正是因为 Preparedness Framework 的 Cyber Critical 阈值已成为发布与否的硬约束;Anthropic 的 Mythos 5 被定义为「最强网络安全模型」,因此只放给「运营和防护关键基础设施」的机构。换句话说,cyber 能力成了前沿模型的「核料」,达到某个当量就要进监管目录。这条逻辑一旦确立,生物、化学等其它高危领域的同款机制几乎是时间问题。
第三,出口管制立刻造出了一个真空,而真空被人填上了。 禁令落地不到两周,亚洲就有人接盘:Sakana AI 的 Fugu 自称「与 Fable 5、Mythos Preview 并肩」,主打「无出口管制风险的前沿能力」;中国 360 推出对标 Mythos 的 Tulongfeng,创始人周鸿祎把「找漏洞的 AI」称为国家战略资产,并批评 AI 访问上的「单向透明」。这是出口管制的经典副作用——短期堵住外流,长期催熟对手、让出区域市场。Anthropic 5 月的年化收入跑到了 470 亿美元,而 TechCrunch 直言:被本地语言优化、已在填补空缺的亚洲竞品,可能永久性损害美国模型在该区域的恢复。护城河和市场份额,这一刀切下去,两头都见血。
我们的判断:6 月 26 日是前沿 AI「从产品时代进入审批时代」的一个清晰刻度。过去一年大家争论的是参数、benchmark、价格,而真正改变行业结构的,是这条几乎没人预测到的暗线——访问权的国有化。当 GPT-5.6 的「谁能用」要政府点名、当 Mythos 5 的开关握在商务部长的签字笔上,模型能力的强弱已经不是唯一变量,「被允许使用」本身成了稀缺资源。对头部实验室,这是一把双刃剑:政府背书等于给自己竖起一道别人翻不过的监管壁垒(新玩家拿不到「受信任」名分),但代价是丧失对自家产品分发的最终控制权,以及实打实的海外收入——Anthropic 在亚洲的市场,可能就在这两周里被 Sakana 和 360 撬走了一块。
但我们要给这套叙事泼一盆冷水:这道闸门的「技术正当性」是存疑的。Anthropic 自己都公开反对——触发暂停的所谓 Fable 5 越狱,据其描述只是「少数已知的、轻微的漏洞」,其它公开模型也能发现;政府援引国家安全权限却不给细节,放行名单藏在不公开的「附件 A」里。这意味着,决定一个数亿用户产品生死的,可能不是一套透明、可预期的技术阈值,而是带有政治裁量、缺乏程序公开的行政判断。对一个本应靠规则运转的行业,「商务部长一封信决定模型上下架」是危险的先例:它今天保护的是网络安全,明天可能就被用来奖惩听话与否的公司。可预期性,才是企业敢于投入的前提;而眼下这套机制,可预期性恰恰最稀缺。
还有一个被乐观叙事盖住的反面:管制能不能管得住,本身没有定论。 Ethan Mollick 提醒过,美国政府确有能力「有效封禁」一类模型——不是阻止你下载运行,而是确保没有美国公司会托管、提供或使用它。这套逻辑对闭源 API 尤其有效(OpenAI/Anthropic 的访问开关本就在自己手里)。但它对已经流向海外、或由海外团队从零训练的同类模型完全无能为力——Fugu 和 Tulongfeng 就是证明。于是真实结果很可能是:管得住美国公司的客户名单,管不住全球的能力扩散。最强的 cyber 模型该不该公开,是个真问题;但如果管制的净效果只是「把美国客户挡在门外、把市场让给境外对手」,那它保护的究竟是国家安全,还是仅仅是「美国实验室不卖给外国人」这件事本身,值得追问。
接下来看什么
- Fable 5 是否、何时「重新通用开放」。Mythos 5 已对受信任机构恢复,但 Fable 5 仍待定——它的放行节奏,是观察这套审批机制「默认收紧还是默认放开」的风向标。
- 「受信任伙伴 / 附件 A」会不会公开化、标准化。现在是不透明的行政裁量;若演化出公开的资格标准与申诉通道,说明它在向「可预期的监管」靠拢,反之则是政治化的开关。
- cyber 行政命令框架的正式文本与适用范围。OpenAI 配合的「cyber 行政命令」具体约束什么、是否扩展到生物/化学,决定这是一次性事件还是常态制度。
- 亚洲与中国替代品的真实能力与渗透速度。Fugu、Tulongfeng 是否真能「并肩」前沿,以及它们在亚洲市场吃下多少份额——这是衡量出口管制净损益的硬指标。
- Anthropic 海外收入的受损程度。470 亿美元年化收入里有多少依赖被禁的外国访问,下季度财务与市场声音会给出答案。
- OpenAI 全量发布的时间与口径。「未来数周」扩大到 ChatGPT/API 时,是否仍保留政府预先通报与差异化访问——若保留,说明审批已被制度化进发布流程,而非临时措施。