关于人工智能的“鹦鹉论”已死，现在的问题是“许可”

六个月前，人们还在讨论人工智能（Artificial Intelligence）究竟是否重要，或者说它有无任何实际用途。而现在，问题已经变成，无论代价如何，谁又能承受得起不使用它的后果。

这是一个强有力的论断，需要深入剖析，因为其影响已远超技术辩论本身，触及公司如何投资、政府如何监管，以及国家如何保护其关键基础设施等层面。

还记得一些严肃人士曾说，人工智能不过是“自动补全”功能。他们将其比作一只“随机鹦鹉”，只会根据概率重排符号，并以十足的自信来愚弄那些容易上当的人。这种论调曾一度盛行，凭借其“无法证伪”的特性存活了一段时间。

当人们指出人工智能的一项能力时，“鹦鹉论”的拥护者会说这是模式匹配；当人们展示一项基准测试结果时，他们会说是数据污染；当人们展示一项创新的输出时，他们则认为模型肯定见过足够相似的内容。

对于某一类评论员而言，这一立场是其观点的支柱。若非如此，他们将不得不更新自己的看法。

几个月前发布的 Claude Code，悄然终结了这场辩论。鹦鹉不会编写可运行的生产代码，不会在代码失败时进行调试，不会按要求重构代码，更不会交付一个可运行的系统。当程序员们自己开始将人工智能生成的代码作为其工作流程的常规部分进行交付时，“鹦鹉论”的立场便退缩到了学术研讨会的象牙塔里。

此后事态的发展速度超出了任何合理的预测。最新发布的前沿模型，通过封闭的合伙业务（Partnership）向合作伙伴开放，能够自主地在人类已审查数十年的、经过广泛审计的代码库中，识别出全新的漏洞。它们找到了无人刻意寻找的错误。

这种网络安全能力并非经由设计，而是涌现出来的。这些模型为了通用代码推理而被进行了洗牙（Scaling），结果却意外地催生出一位专家。

“鹦鹉论”者们说对了什么

人工智能不过是一种统计学排列——这个论点其实非常站得住脚，值得我们大声说出来。它们是方程式，是由梯度下降法训练出来的、在硅基芯片上运行的数字矩阵。其中并无鬼魅。

SEE ALSO

Will the step forward in frontier AI mean a step backward in cybersecurity?

Anthropic risks shooting itself in the foot with Mythos

AI governance: The summit stage is necessary but it isn’t sufficient

OpenAI unveils GPT-5.4-Cyber a week after rival’s announcement of AI model

The argument that never ends

More

这一让步本应是“鹦鹉论”拥护者的王牌，但事实恰恰相反。

方程式拥有一种人类不具备的特性：它们可以被复制。像 Feynman 或 Einstein 这样的人物是不可复制的。如果一个国家拥有 Oppenheimer，另一个国家不可能在下个季度就轻易聘请到一位才智相当的人物。

天才的聚集是缓慢的，而建立在天才之上的战略优势其消逝也同样缓慢。这构成了二十世纪大部分时间里技术竞争的潜在格局。

但方程式并不遵循这一框架。在一个实验室中能够产出前沿模型的训练流程，数月之内就能在其他地方产出功能上等效的能力。这不是一种可能性，而是一条无视实验室边界的扩散曲线。

Einstein 无法被洗牙。但模型可以。

愈加强大，却无特定目的

与大多数产品不同，每一个新的人工智能模型在构建时都旨在比前一个更大或更高效，但即便是其创造者也几乎不知道它可能做到什么。你无法在规划阶段明确定义这些系统的功能，甚至在它们构建完成之后也常常无法做到。

对于大多数工程学而言，设计本身就是解释。而对于人工智能模型，只有在一切完成后观察到的行为才是解释。将参数洗牙（Scale）10%，就会涌现出无人为其训练的能力。

能力曲线并非只是简单地上升。它在每一步都会产生新的能力，而这些步骤并不在任何人的路线图上。

因此，任何锚定于当前能力的防御姿态，在部署之时便已过时。你不是在针对一个已知的威胁进行规划，而是在为一个不断制造出无人训练其产生的威胁的前沿领域做规划。

当模型制造者成为仲裁者

意识到所释放的力量，前沿实验室已开始向一部分精选的合作伙伴提供受限的访问权限，以作准备。这些合作伙伴包括主要银行、云服务提供商和关键基础设施运营商。他们正利用这些工具进行防御，赶在同等能力落入不那么谨慎的人手中之前，修补关键软件。

这是负责任的做法，但同时也催生了下一个问题。

自然法则并未规定下一个实验室也会同样谨慎。几乎可以肯定的是，Anthropic 模型能做到的事，很快也会有许多其他模型能够做到。下一个实验室可能位于不同的司法管辖区，由一个希望将这种能力用于攻击的政府所拥有。遏制策略只有在普适的情况下才有效，但它不会是普适的。

每一种遏制策略都因其排除的对象而暴露自身的弱点。每一个不在合作伙伴名单上的银行、每一个医院网络、每一个公用事业公司、每一个运行着老旧系统的中型企业，都处于这样一种境地：它们的漏洞为圈内的防御者所知，却不为圈外人所知。这是一个由安全决策所造成的不公平竞争环境。

自然法则并未规定下一个实验室也会同样谨慎。几乎可以肯定的是，Anthropic 模型能做到的事，很快也会有许多其他模型能够做到。下一个实验室可能位于不同的司法管辖区，由一个希望将这种能力用于攻击的政府所拥有。遏制策略只有在普适的情况下才有效，但它不会是普适的。

每一种遏制策略都因其排除的对象而暴露自身的弱点。每一个不在合作伙伴名单上的银行、每一个医院网络、每一个公用事业公司、每一个运行着老旧系统的中型企业，都处于这样一种境地：它们的漏洞为圈内的防御者所知，却不为圈外人所知。这是一个由安全决策所造成的不公平竞争环境。

在地缘政治层面，这个问题则更为宏大。

访问权限实际上由少数几家在美国法律下运营的美国公司决定。一个发现自己被排斥在外的政府，无论是欧洲的某个部门、亚洲的某家央行，还是拉美的某个监管机构，都面临着尴尬的选项：它可以等待，可以游说，或者可以委托自己的实验室，在国家财政允许的速度下，建立起同等的能力。

无论如何，中国的实验室都会进行洗牙（scale）。欧洲的实验室现在可能会因为布鲁塞尔未被纳入封闭的合伙业务（Partnership）而进行洗牙。印度的实验室也可能因为德里未被包括在内而进行洗牙。从圈内看是负责任的遏制措施，从圈外看，却成了加倍速构建这种能力的理由。

各国政府不会将这一决定权留给实验室太久。关于出口管制，乃至国有化的初步讨论，或许已为时不远。

以铁克铁

印度有句古老的谚语：lohe ko kat-ta loha。意思是“以铁克铁”。这恰好抓住了结构性的要点。

一旦前沿模型能够生成人类团队无法匹敌的规模的攻击，唯一能抵御人工智能原生攻击的，便是人工智能原生防御。架构依然重要，零信任网络也依然重要。但是，面对一个能够自主在身份验证库中发现零日漏洞的模型，这些都无法单独幸存。

当对抗人工智能驱动的攻击需要部署处于同样前沿水平的人工智能防御时，人工智能已经从一种竞争优势转变为一种生存必需品。仅仅是维持均势本身，也已变得代价高昂。

一家中型银行的首席财务官需要人工智能，不是为了击败竞争对手，而是为了确保18个月后，在所有客户信息不被泄露的情况下，银行仍在运营。一个医院网络的IT主管需要人工智能，不是为了赢得采购奖项，而是为了确保病患记录不被加密并被勒索赎金。

这种从“想要”到“需要”的转变是被迫的，而非自愿选择。采用人工智能并不能保证安全，但不采用则必然会暴露于风险之中。

注意义务标准正在被改写

企业注意义务的标准正在被悄然改写。2026年的“严重疏忽”，看起来与2024年的“审慎管理”毫无二致。

当一家金融机构（Financial Institution）因一次本可被前沿防御模型捕获的自动化攻击而遭受重创时，随之而来的诉讼将不会争论IT预算问题，而是会争论在一个防御性人工智能已成为强制性配置的世界里，董事会是否履行了其注意义务。

对许多决策者而言，他们对人工智能能力的看法将不再重要。他们不再需要为潜在的成就或利益制定计划。在未来几个月做出决策时，他们将更少关注那些声称人工智能是炒作的调查报告。

那些依赖“鹦鹉论”、“洗牙（scaling）法则”或“南海泡沫”类比来理解人工智能不会做什么的人，他们争论的从来不是人工智能本身，而是关于“许可”：一种不去更新、不去重新分配资源、不去仔细思考未来的“许可”。

那份许可已被撤销。现在的问题不再是是否要更新，而是更新是主动选择，还是被动承受后果。

本文改编自发表于 https://www.geninnov.ai/blog 的一篇文章