行业动态

OpenAI 发布首份《国家安全原则》:四条红线写进与战争部的现有合约

OpenAI 把 AI 拒绝的边界,从公司表态前移到合同条款。

2026年7月9日 · 周四 深度报告 中置信 重要度 4/5
#OpenAI#国家安全#AI 治理#David Kris#自主武器#大规模监控#战争部#生物安全

本文要点

  • 从模型能力叙事转为国安边界叙事:OpenAI 不再只讲能做什么,而是讲不会做什么
  • 从公关立场转为合同条款:红线已写入与战争部的现有合约,可被援引
  • 从被动应对转为主动征询:起草阶段跨研究、安全、政策、政府合作四象限统一立场

阅读辅助

先看数字、证据和来源,再读正文。

4 条 原则红线
1 位 起草顾问
5 条 Claim Audit

OpenAI 首次以单文件方式公布《国家安全原则》,由 David Kris 协助起草,经跨研究、安全、政策、政府合作四象限征询后定稿。

4 个时间点

2009-2011 · David Kris 任美国司法部国家安全分部助理部长,任期由奥巴马提名,参议院 97-0 票通过。

5 个来源 5 个非 X 来源

OpenAI 在 7 月 8 日发布《Our approach to government and national security partnerships》,把过去散落在不同博客与产品页里的边界,集中到一份由前美国司法部国家安全分部助理部长 David Kris 协助起草的原则文件。这次发布的核心动作不是新增一份价值观文档,而是把反对权力集中、大规模国内监控、自主武器系统与高风险自动化决策这四条红线,写进了与”战争部”(Department of War)的现有合约。原则声明与合同条款的法律距离并不小:前者是公司话语,后者是合同事实;前者被援引力度弱,后者被援引力度强。采购需求越界时,OpenAI 不再只说”我们不会做”,而是说”合约有这一条”。

确定事实:OpenAI 官方博客 7 月 8 日发布《Our approach to government and national security partnerships》,首次以单文件方式公开《国家安全原则》。原则划出四条红线——反对权力集中、反对大规模国内监控、反对自主武器系统、反对高风险自动化决策——并要求在民主治理、人为判断、法治框架下使用 AI 工具。文件由 David Kris 协助起草,跨研究、安全、政策、政府合作四个象限广泛征询后定稿。来源 上述限制已写入与战争部的现有合约,博客原文明示这一条款事实。来源 过去一个月,OpenAI 通过 Daybreak 网络防御计划已与澳大利亚、加拿大、日本、韩国、法国、德国、波兰、荷兰及欧盟 ENISA(欧盟网络安全局)建立可信访问合作,并与英国在网络、测试与评估领域扩展合作;GPT-Rosalind 模型已对支持公共卫生与生物防御任务的美国及盟国伙伴扩大可信访问。来源 ENISA 官方站 OpenAI 主张公司自定位为”提供信息”,民用监控、自主武器等高风险场景通过立法建立监管护栏,不由公司单方决定。来源 David Kris 在 2009-2011 年间由奥巴马总统提名,任美国司法部国家安全分部助理部长,参议院 97-0 票通过确认。来源

不确定部分:四条红线在采购合同层级的争议解决、独立监督与第三方审计机制在博客中未完整披露,这是原则执行的最大未知数;“可信访问”的技术边界(沙箱、本地部署、流量限制、模型选择)未公开,是否覆盖民用关键基础设施、医疗机构、选举系统未单独列明;GPT-Rosalind 是否被允许用于化学防御、放射性防御,以及对应的研究伦理边界同样未具体说明;David Kris 是否在 OpenAI 之外为其他前沿模型公司(Anthropic、Google、xAI)提供类似咨询,目前无公开信息;战争部指代的原 Department of Defense 在 2025-2026 年间被重新命名,但本次博客原文采用新名称时未披露具体合同模板、合同金额或执行节点;OpenAI 官方博客页面在采集时遇到 Cloudflare 验证,逐字引述以官方正式发布页面为准。

读者影响:对政府买方而言,这等于一份供应商对采购方”会拒绝什么”的预先告知,草拟需求规格时需要把”AI 工具拒绝执行的场景”与”AI 工具执行的场景”分开,跨越红线时改走立法或监管通道重新授权。对前沿模型公司而言,这条发布把”在国安议题上划线”从个人意见升级为公司合同条款,与 Anthropic、Microsoft、Google 形成对照。对研究者与公民社会而言,这份原则提供了一个”如何逐条核验”的参照系——可信访问的真实使用、立法护栏的实际推动、红线被援引的公开记录,都是可追踪指标。

一份原则声明与一份合同条款:法律距离在哪里

把”我不做 X”与”合约条款规定不做 X”放在一起看,前者是公司话语,可以更新、可以重新表述、可以被解释性援引,被援引的力度来自公司信誉与媒体传播;后者是合同事实,可以进入争议解决程序,可以触发合同终止,可以作为法律程序的依据,被援引的力度来自法律程序本身。

OpenAI 在这次发布中把第二种形态作为核心动作。原则声明列出了四条红线,这一部分与 Anthropic Responsible Scaling Policy、Microsoft AI Access Principles 在形式上接近;但博客明示”这些限制已写入与战争部的现有合约”。这一句把讨论的层级从公司话语前移到合同条款。后续的差异——争议如何解决、由谁判断、谁有权终止合作、是否需要独立第三方审计——是合约法律层级必须回答的具体问题,而不是原则文件能含混带过的部分。

这种区分与传统的国防采购做法形成对比。传统国防供应商以内部合规手册为主,武器出口由国务院审批,合同里写的是产品规格、交付节点、价格,而非”我们不做什么”;前沿模型公司把”我能拒绝什么”公开化、合同化,等于是把决策结构放在公众视野里。前一模式把决策集中在供应商内部,后一模式把决策结构对外公开。这是这次发布的真正差异——它不是又一份原则声明,而是把部分决策责任从合同面向公司面公开透明。

“战争部”合约:把红线写进已生效合同

最值得追问的,是”已写入现有合约”这六个字的法律状态。

公开原则声明在法律层级里通常被定位为”政策表态”,而写入合约的拒绝条款则升级为”合同约定”。两者在政府采购的实操中差异明显:政策表态需要采购方在签订合同后再去发现该政策,合同条款则是在合同签署阶段就对采购方生效;政策表态被违反时公司可以用道德立场发声,合同条款被违反时采购方可以走违约救济。

战争部在 2025-2026 年间被重新命名,这一名称变化反映了本届政府对军事边界的态度转向。在这种语境下,OpenAI 选择把反对大规模国内监控、反对自主武器写入与战争部的合约,等于在合同层级就给出”采购需求越界时合同不再适用”的退出门槛。这一步在传统国防采购里几乎不存在——传统国防合同更多是产品规格与交付条款的契约,而非价值观边界的契约。

但博客未公开合约的具体执行机制。当采购方需求处于模糊地带时,谁来判断是否越界?是 OpenAI 内部合规、法务,还是有外部监督?争议是否走仲裁、调解还是诉讼?这些问题在原则文件之外尚未披露。这是接下来值得追的最具体可验证指标——原则的真正可援引性,取决于它在合同条款里配套的执行机制是否同样公开。

David Kris 协助起草:把法律可执行性前置到起草阶段

David Kris 在 2009-2011 年间由奥巴马总统提名、参议院 97-0 票通过,担任美国司法部国家安全分部助理部长——这是该职位历史上极少数获得两党一致支持的任命之一。来源 他在 2011 年之后转向私营部门,先任 Time Warner 总法律顾问,现为 Intellectual Ventures 总法律顾问,长期在 FISA(外国情报监视法)、USA PATRIOT Act、第四修正案、单一行政官理论等议题上写作与作证。他 2006 年以个人身份对小布什政府的无证窃听论点做过”最彻底的驳斥”,这种独立判断力与跨部门经验,是公司想要借助的资产。

OpenAI 选择 Kris 协助起草,而不是聘请纯学术或纯产业的顾问,本身就是一种信号。Kris 既懂国安体系运行逻辑,也懂私营部门对法律边界的处理方式。他参与的真正意义,是把原则的起草过程从”公司内部起草 + 外部评论”翻转为”公司主导 + 跨研究/安全/政策/政府合作四象限统一立场 + 前政府高官协助”。这等于在原则成文之前,把潜在的法律、抗辩、争议处理路径都过了一遍,而不是等成文后再去打补丁。

需要持续追问的是顾问关系的中立性边界。David Kris 是否在 OpenAI 之外同时为 Anthropic、Google、xAI 等前沿模型公司提供类似咨询,目前无公开信息;若同一顾问同时为多家竞品公司起草相近立场,这份立场的市场化属性会下降;若仅服务一家,这是一种排他性背书,值得对外披露。前者削弱中立性,后者增强权威性,但都需要 OpenAI 或顾问本人公开说明。

Daybreak 与 GPT-Rosalind:按用途切分的可信等级

合作方向范围主要对象用途
网络防御8 国 + 1 区域机构澳大利亚、加拿大、日本、韩国、法国、德国、波兰、荷兰 + 欧盟 ENISADaybreak 网络防御计划的可信访问
网络、测试与评估1 国英国测试与评估领域合作扩展
生物安全1 个模型GPT-Rosalind服务美国及盟国公共卫生与生物防御任务
合约条款1 个机构战争部(Department of War)反对大规模监控与自主武器的限制写入现有合约

这一组合给出的信号,是 OpenAI 正在把模型按用途拆分成不同可信等级。通用模型面向消费与企业,容错高、可信访问门槛低;GPT-Rosalind 面向政府生物防御,接入权限更窄、用途更具体;Daybreak 联盟面向跨国家网络防御,合作国家网络覆盖五眼联盟的英语国家、北约核心欧洲成员与东亚主要盟友——这是与美国国安合作关系最紧密的国家组合,本身就是一个外交信号。

但可信访问的具体技术边界仍未公开。沙箱是单向数据流动还是可以回流?本地部署覆盖哪些政府机构,还是仅在云端供给接口?流量与请求是否设上限?这些技术参数未公开,意味着 Daybreak 的真实对外访问形态只能由合作方私下披露。再向上扩展,如果 Daybreak 在未来某个事件中被用于民用关键基础设施(电网、水务、医疗)或选举相关分析,公众将无法仅凭这份原则判断其是否合规。这是值得在 90 天内追问的具体技术披露。

GPT-Rosalind 在生物安全层面的可信访问扩展,意味着 OpenAI 已经在公共卫生与生物防御两个具体用途上允许盟国接入专用模型。它的相邻场景——化学防御、放射性防御——是否同样开放,博客没有说明。研究伦理的边界(例如是否可用于防御性反制但拒绝用于攻击性研究)未具体展开。

横向对比:四家前沿模型公司的不同表态层级

维度OpenAI(本原则)Anthropic(RSP)Microsoft(AI Access Principles)Google DeepMind(前沿模型政策)
起草角色由前政府国安官员协助内部安全政策团队内部政策 + 法务 + 外部专家内部政策 + 外部研究合作
反对武器明确,写入合约明确,政策层不直接开发,原则层明确不部署
反对大规模监控明确,写入合约政策层原则层原则层
与政府合约整合已写入现有合约未公开写入合约细节与政府有合同但原则未写入合约与政府有合同但原则未写入合约
立法主张明确,公司提供信息倾向,未单列倾向,原则层倾向,原则层
跨国合作网络Daybreak 8 国 + ENISA未公开同等规模Azure Government 已服务多国Cloud 政府服务覆盖多国

这张表显示差异主要落在合约层。OpenAI 本次原则在与政府合约条款的整合上更深入,其他三家目前更多停留在政策声明或原则层。在 2026 年这个时间点,这条差异值得跟踪——它决定了当政府需求真正出现时,谁先把”接不接”变成合同可以回答的问题。

但需注意一个限制:Microsoft 在 2024 年发布 AI Access Principles 时也强调过价值层级与采购流程的对接方式,Google DeepMind 在前沿模型政策中做过类似表态。本次未直接逐条抓取上述三家政策原文,表格中”O”形表述以各公司公开原则页面为基础,具体条款对照需要在 90 天内补充抓取核验。

早期政策脉络与本次质变

这次发布的质变需要放在 OpenAI 自身的政策脉络里看。2024 年 OpenAI 已在《Preparedness Framework》中提出不用于武器开发等原则,但那一份文件是面向内部能力分级与外部披露的前沿风险政策,处理的是”什么能力等级触发什么风险响应”,而非”在哪些政府用途上对外说不”。本次《国家安全原则》填补的是后一个空白,且用合同条款把空白固化为对外可援引的事实。

这是两个不同维度的事:Preparedness Framework 处理的是模型能力本身的内部风险分级,《国家安全原则》处理的是模型被外部采购方使用时公司拒绝的边界。前者像内部风控手册,后者像供应商对外承诺。两个文件并行存在,意味着 OpenAI 在内部风控与对外合同两个层级分别设立边界。

从这个意义上看,这次发布不是宣告新立场,而是把已有的准备状态升级成可援引合同事实。如果未来发生采购需求越界争议,OpenAI 可以援引的将是《国家安全原则》在战争部合约中的具体条款,而不是 Preparedness Framework 中的能力分级——这是法律层级上更可援引的对象。

早报观点

第一,这次发布把拒绝从公司话语移到了合同事实。OpenAI 把反对大规模国内监控、反对自主武器等四条红线写进与战争部的现有合约,等于把退出门槛前置到了合同条款中。这一变化对采购方意味着,合同签署时对方已经知道了边界在哪里;对竞争公司意味着,同样的政府订单,现在面对的是不同版本的合同模板;对监管方意味着,“AI 公司会拒绝什么”从舆论期待变成合同事实。需要持续追问的是 OpenAI 在真实采购需求出现时,是否公开援引过合同条款、是否终止过合作——把原则文件变成事实记录,只能靠后续可引用的案例来兑现。

第二,起草阶段的可执行性处理方式比起草人本身更值得关注。David Kris 协助起草 + 跨研究、安全、政策、政府合作四象限统一立场,把法律可执行性问题前置到成文前。它的方法论意义在于,起草阶段就把潜在争议处理路径过了一遍。但这同时也带来一个边界:起草顾问的中立性无法独立核验,David Kris 是否在 OpenAI 之外同时为 Anthropic、Google、xAI 担任类似顾问,目前无公开信息。若同一顾问为多家竞品起草相近立场,这一立场的信号意义会下降;若仅服务一家,这是值得披露的排他性背书。

第三,公司游说现实与监管护栏主张之间存在张力。OpenAI 在立场文本中明确倡导立法确立监管护栏,公司自定位为提供信息,而非单方决策。这是一种”把决策权交给民主程序”的态度。但 OpenAI 自身在华盛顿与各州进行游说,推动对自己有利的监管细节;“公司提供信息”与”公司推动立法”在实际政治过程中的边界尚未厘清,原则文件没有给出这个边界——这是值得后续追问的诚信度指标。

第四,与传统国防供应商做法形成结构性对比。传统军火商以内部合规手册为主,武器出口由国务院审批,合同里写的是产品规格与价格;前沿模型公司的策略是把”我能拒绝什么”公开化、合同化。两种模式的取舍在于:前者决策集中在供应商内部,后者决策结构对外公开。这次发布的差异是把后者做成了一份可被引用、可被合同化、可被立法化的对象,2026 年前沿模型公司的治理叙事因此有了一份新的参照系。

接下来看什么

  • 合约执行机制公开:30-90 天内是否公开战争部合约的具体执行手册(争议处理、合同模板、第三方监督机制)
  • 红线被援引的真实案例:当采购方需求跨越红线时,OpenAI 是否公开援引过合同条款、是否终止过合作
  • 顾问关系边界披露:David Kris 是否在 OpenAI 之外为 Anthropic、Google、xAI 等提供类似咨询
  • 可信访问的技术边界:Daybreak 是否覆盖民用关键基础设施(电网、水务、医疗)、选举系统与新闻业;沙箱形态、流量限制是否公开
  • 生物安全的相邻场景:GPT-Rosalind 是否被允许用于化学防御、放射性防御,以及研究伦理边界的具体表述
  • 跨公司合约化对照:Anthropic、Microsoft、Google 是否在 90 天内推出与本原则逐条对照的合约化政策
  • 跨大西洋监管协调:欧盟与美国是否就 AI 在国安场景的护栏立法启动协调,OpenAI 在跨监管差异中具体操作
  • 公共监督渠道建设:OpenAI 是否建立独立安全审查委员会、是否邀请外部学者对红线执行进行年度评估

OpenAI 7 月 8 日的这份原则,与其说是”我承诺不做什么”的声明,不如说是”我把不做什么写进合同”的安排。它是否真正改变 2026 年前沿模型公司与政府的合作形态,取决于接下来 90 天内,合约执行机制是否公开、真伪案例是否出现、其他公司是否跟进合约化表态——这三件事给出了答案。