那扇门

2026年5月1日,Sam Altman在X平台上发了一条帖子,宣布OpenAI将在”未来几天内”向一批”可信赖的网络防御者”开放GPT-5.5-Cyber模型的访问权限。

这意味着什么?要使用这款模型,你必须前往OpenAI官网,填写申请表,提交你的资质证明和使用目的,等待审核,通过之后才能进入OpenAI的可信访问计划(Trusted Access for Cyber,TAC)框架。不是每个人都能进来。

这本来应该只是一条产品发布消息。让它变得无法被忽视的,是这件事的时间背景——以及就在数周前,Altman对一家竞争对手说过的那番话。

那番批评

故事要从2026年4月21日说起。那一天,Anthropic发布了Claude Mythos——一款专为网络安全场景设计的AI模型。发布公告里有一句特别引人注目的话:这款模型”永远不会向公众开放”,初始阶段仅向约50家经过严格审查的安全研究机构和政府合作伙伴提供访问权限。

2天后,Sam Altman出现在Core Memory播客节目上,公开批评了Anthropic的这个决定。

他的措辞直接而激烈。”这个世界上有一些人,长期以来一直希望将AI留在一小群人手中,你可以用很多种不同的方式来为此辩护。”他停顿了一下,然后给出了一个让人过目难忘的比喻:”我们造了一颗炸弹,我们要把它扔到你头上。我们将以1亿美元的价格向你出售防空洞。”

这个比喻的含义是清晰的:Altman指控Anthropic用AI安全模型制造恐惧,然后通过限制访问来出售稀缺性,这是一种包裹着安全外衣的商业操控。

这是Altman在公开场合少有的直接攻击竞争对手的时刻,措辞之激烈让科技媒体广泛引用。

然后,大约6周之后,OpenAI宣布GPT-5.5-Cyber向经过审核的”可信赖防御者”开放——通过申请、通过KYC(了解你的客户)身份验证、通过分层权限管理。

社交媒体上的反应是可预期的。前后两条帖子的截图对比迅速传播。有人把它称为”2026年最完美的自扇巴掌时刻”。科技媒体的标题写得比平时更辛辣,The Register用了”velvet rope”(丝绒绳)这个措辞——这正是他们批评Anthropic时会用的词。TechCrunch的标题更直接:”After dissing Anthropic for limiting Mythos, OpenAI restricts access to Cyber, too”(在批评Anthropic限制Mythos之后,OpenAI也对Cyber做了访问限制)。

为什么这不只是讽刺

这件事很容易被归结为一个关于企业虚伪的故事,一个营销驱动的竞争格局里关于言行不一的故事。这个层面是真实的。

但如果只停在讽刺这一层,我们就错过了一个更重要的问题:为什么两家竞争激烈、公开表达了不同理念的公司,面对高能力AI网络安全工具时,最终都走向了相同的访问控制结论?这个收敛不是偶然的,它揭示的是工具本质的约束,而不只是企业策略的趋同。

要理解这个收敛的逻辑,需要先理解这些AI工具究竟能做什么。

英国AI安全研究所(AISI)在2026年5月1日发布了对GPT-5.5-Cyber的独立评估报告,结论是:”这是我们测试过的最强网络安全模型之一,是第二个能够完成端到端多步骤攻击模拟的AI系统。”

“端到端多步骤攻击模拟”这个描述需要被具体理解。这不是说AI能找到一个漏洞然后给你发个报告。这是说,AI可以自动化地完成以下完整链条:目标侦察、漏洞识别、漏洞利用、权限提升、横向移动、目标达成。过去,完成这样一条完整攻击链,需要一个由多名经验丰富的渗透测试工程师组成的团队,花费数天到数周的时间。现在,一个AI模型可以独立完成这整个流程。

Claude Mythos具备相似的能力层级。这正是为什么Anthropic认为这款模型”永远不会向公众开放”——不是作秀,而是一个面对双重使用属性(dual-use)工具时的真实安全判断。

事实上,Anthropic的担忧在发布后不久就得到了印证。TechCrunch报道称(据Bloomberg消息来源),一个未授权群体通过Anthropic的第三方供应商权限,成功访问了Mythos Preview的运行环境,并提供了截图和现场演示作为证据(TechCrunch, 2026-04-21)。这件事的意义不在于Anthropic的安全措施失败了——在这种访问权限复杂性下,某种程度的泄露几乎是必然的——而在于,它证明了未授权获取强大AI网络工具的动机确实存在,且已经有人在行动。

面对同样的技术现实,OpenAI做了一道必须回答的工程题:如果我们这款能力更强的模型不加控制地开放,会发生什么?他们的工程判断和Anthropic一致:设置门卫。

TAC框架:更精细的门卫

OpenAI的做法比Anthropic更精细,也更有规模野心。他们没有采用”预选50家机构”的方式,而是建立了一套名为Trusted Access for Cyber(TAC)的系统化分层访问框架。

OpenAI在官方博客中阐述了TAC框架的三个核心原则:

第一个原则是民主化访问(Democratized Access)。OpenAI明确表示,目标是”在防止滥用的同时,让这些工具尽可能广泛地获取”。关键在于”尽可能广泛”——OpenAI希望通过客观的身份和资质验证标准,而不是主观的机构关系来决定谁能进来。截至目前,TAC系统已经向”数千名经验证的个人防御者和数百个负责保护关键软件的团队”开放了访问权限。这个数字远大于Anthropic的约50家机构。

第二个原则是迭代部署(Iterative Deployment)。OpenAI不是一次性开放,而是随着对能力和风险理解的深入,逐步扩大访问范围并更新安全措施。这种设计给系统留出了从实践中学习的空间,但也意味着早期阶段的覆盖面必然有限。

第三个原则是投资生态系统韧性(Ecosystem Resilience)。OpenAI承诺通过安全资助项目、开源贡献和技术合作来支持整个防御者社区,而不仅仅是提供模型访问权限。

从结构设计看,TAC比Anthropic的信任网络更有扩展潜力:不是靠关系进入,而是靠可验证的客观凭证进入。任何满足条件的合法防御者都可以申请,系统自动化地评估资质,不依赖主观判断。

但从访问控制的本质来看,两种系统有相同的核心约束:你不能直接使用,必须经过某种形式的申请和审核。Anthropic的门是窄门,大约50家机构可以进。OpenAI的门是宽门,数千人可以进,但仍然是有人把守的门。门卫的制服不同,管理规程不同,但门卫还是存在的。

这就是所谓收敛——两家公司用不同的技术实现,走到了相同的访问控制结论。

两种哲学的深层差异

尽管结果相似,OpenAI和Anthropic在”如何限制”上确实体现了深层的治理哲学差异。理解这个差异,有助于判断哪种模式更适合应对未来更强大的AI安全工具。

Anthropic的方式可以概括为信任网络模型:预先选定少量可信机构,深度合作,严格管控范围。这种思路有成熟的先例,美国政府的机密信息访问系统,本质上就是信任网络——你不是通过填表申请获得Top Secret权限,而是通过背景调查和信任关系获得。这种模式的优点是风险的可预测性高,每个访问者都经过深度审查,访问权限的管理是基于人而非流程的。缺点是规模受限,且产生了一个中心化权力问题:谁来决定哪50家机构是可信的?这个决定本身就是一种权力的行使,缺乏透明度。

OpenAI的TAC更接近凭证分层模型:通过可验证的客观标准来控制访问,而不是依赖预先建立的信任关系。这在思路上更接近美国安全调查(Security Clearance)系统的商业版本——标准是明确的、流程是可重复的,原则上不依赖主观判断。这种模式的扩展性更好,透明度更高;缺点是凭证验证本身存在系统性漏洞——身份伪造、内部渗透、申请者虚报使用目的,这些都是现实威胁。

两种模式各有长短,也都没有解决一个根本问题:当AI网络能力持续提升,访问控制的边界该如何动态调整?今天TAC允许的”中级防御者”访问,在6个月后当模型能力再提升一倍时,是否还应该被允许?这是一个没有现成答案的开放问题。

但无论哲学路径如何不同,两家公司都得出了相同的操作结论:超强网络能力的AI工具,必须实行访问许可制度。这个结论是在竞争压力和公众压力下独立得出的,因此其可信度更高。

失去一场争论的代价

让我们在进入”比喻的真正含义”之前,先停下来思考一个问题:Altman是否真的改变了立场,还是只是在新的具体情境下应用了不变的原则?

这个问题比表面看起来更重要。如果Altman”只是言行不一”,那这只是一个关于企业公关的故事。但如果Altman(和整个OpenAI)是”在对待不同类型AI工具时应用了不同的原则”,那这是一个关于AI治理思想演进的故事。

有证据支持后一种解读。OpenAI的TAC框架官方声明中包含了这样一段文字:”我们设计的机制避免了任意决定谁能获得合法用途的访问,谁不能。这意味着使用清晰、客观的标准和方法——比如强KYC和身份验证——来指导谁可以访问更高级的能力。”

这与Altman批评Anthropic的核心论点是连贯的:Anthropic的做法是”任意的”——50家机构的选择不透明,也不可预测。OpenAI的TAC是”基于客观标准的”——任何满足KYC要求的合法防御者都可以申请。

从这个角度看,Altman的立场实际上是一致的:反对的是”任意限制”,支持的是”基于客观标准的有限访问”

但这个解释也有它的问题。Anthropic从来没有说他们的选择是任意的——他们也有自己的审核标准,只是没有OpenAI的TAC那么系统化。更重要的是,在Altman做出公开批评的时候,OpenAI的TAC框架还没有准备好。他是在没有替代方案的情况下批评对方的限制措施,而不是在有替代方案的情况下提出不同路径。

这个时序细节很重要:先批评,后设门卫,中间是现实的教育过程。

双重使用困境的深层逻辑

理解”为什么这两家公司不得不走向相同结论”,还需要理解一个更深层的技术经济学逻辑:双重使用能力(dual-use capability)是无法被商业模式设计消除的

一个不准确的思维框架是:如果OpenAI或Anthropic能够通过技术手段,让AI工具只能用于防御而无法用于进攻,那么访问控制就不必要了。这是一个诱人但错误的假设。

现实是,渗透测试需要的技能和网络攻击需要的技能,在技术层面有极大的重叠。能够发现漏洞的工具,也能够利用漏洞。能够逆向工程恶意软件的模型,也了解如何构建恶意软件的架构。这不是因为厂商”不够小心”,而是因为防御者和攻击者在很多场景下需要相同的知识基础。

这个双重使用的困境在传统网络安全领域早已存在。Metasploit是最广泛使用的渗透测试框架,它也是恶意行为者最常用的工具之一。Kali Linux既是专业安全研究人员的工具,也经常被攻击者使用。知识和工具本身不区分使用者的意图。

AI的出现使这个问题的规模发生了质变:当一个工具能够将过去需要专业团队完成的复杂攻击链自动化,并且使用门槛大幅降低(不需要深入的技术知识,只需要会提问),双重使用风险的规模就从”专业黑客可以用”变成了”任何有一定技术背景的人都可能用”。

这个规模变化,才是让OpenAI和Anthropic都不得不设置访问控制的真正原因。不是因为两家公司都”变保守了”,而是因为工具的危害传播速度,在AI加持下发生了根本性的变化。

那个比喻的真正含义

现在我们可以重新看待Altman的”炸弹防空洞”比喻了。

表面上,这个比喻是对Anthropic的商业指控:你制造了恐惧,然后你出售解决方案,这是一种自导自演的商业操控。这种指控有其合理性——AI安全话语中确实充满了被夸大的风险叙事,而这些叙事往往服务于特定公司的商业利益。

但这个比喻同时精准描述了高能力AI网络安全工具的本质困境:它确实既是炸弹,也是防空洞。不是因为Anthropic的商业策略,而是因为工具本身的双重使用属性无法消除。

渗透测试和网络攻击使用的是相同的技术栈。漏洞发现和漏洞利用是同一能力的两个使用方向。恶意软件逆向工程和恶意软件编写,从技术角度看有大量的核心重叠。当一个AI模型能够自主完成这整个技术谱系上的任务时,”这个工具是进攻性的还是防御性的”这个问题,就变成了”使用这个工具的人是谁”的问题。

面对这个现实,OpenAI的工程师们无论多么相信”民主化访问”的原则,都必须在GPT-5.5-Cyber这个具体工具上做出不同的选择。因为这个工具的风险上限,不是”有人能写出更好的代码”,而是”关键基础设施可能被自动化地攻击”。

Altman的比喻是对的:这确实是炸弹和防空洞的双重性。他只是没有预见到,自己也会成为这个双重性的参与者。

AI安全工具:从企业治理到国家监管的历史转折

这场关于Mythos/Cyber访问控制的讨论,放在更长的时间轴上看,是一个历史转折点的开端。

在过去的大多数AI讨论中,”AI治理”是一个相对抽象的议题——谁负责、谁监管、如何评估,各方都有不同的立场,但实际上没有很迫切的行动压力,因为AI工具的实际危害上限还没有高到让人觉得必须立刻行动。

GPT-5.5-Cyber和Claude Mythos的出现,改变了这个方程的核算结果。当AI工具能够自主完成端到端的网络攻击链,当英国AISI用正式评估报告确认这个能力,当关键基础设施成为可以被AI自动攻击的目标,”AI治理”从抽象议题变成了紧迫的现实需求。

这种转变正在触发一系列连锁反应。

OpenAI在宣布TAC扩展时明确表示,要”与整个生态系统和政府合作”来决定谁能使用这些工具。这是一家私人公司主动邀请政府进入访问控制的决策链,而不是等待监管机构来要求。这种主动姿态本身就说明了技术现实已经发生了变化。

英国AISI的评估报告不仅仅是一份技术文档,它是一个政府安全机构宣告”这款AI工具的能力级别需要政府层面的关注”的信号。这类评估将成为未来AI能力分级和访问控制标准化的前身。

2026年5月1日,恰好是CISA(美国网络安全和基础设施安全局)、NSA和五眼联盟其他成员国网络安全机构联合发布Agentic AI安全部署指南的日子。两件事在同一天发生可能是巧合,但它们共同指向的方向是清晰的:国家级安全机构正在将AI工具的安全问题纳入正式治理框架。

对企业来说,这意味着一件重要的事:AI网络安全工具的访问控制,在未来不会只是公司自己制定的政策,而会成为需要满足外部合规要求的规范。不是”我们认为应该控制访问”,而是”法规要求我们控制访问,并证明控制机制是有效的”。

这个转变将重新定义AI安全市场的竞争规则——从”谁的模型更强”到”谁的合规框架更可信”。基于CISA在其他AI领域(医疗设备、自动驾驶)的监管节奏,预计2027年前后,AI网络安全工具的访问控制将从企业自愿向特定行业(金融、关键基础设施)的合规要求转变;2028年可能出现跨国AI网络工具使用协议的初步讨论框架。

结尾:那个争论的最终答案

这场关于AI安全工具访问控制的公开争论,究竟谁的立场更接近真相?

Altman代表的立场是:AI应该民主化,访问控制是精英主义的;他后来的行动代表的立场是:面对具体的高能力工具,控制访问是必要的。这两个立场都来自同一个人,但指向了不同的AI工具类型。

Anthropic代表的立场是:当工具的危害上限足够高时,访问控制不是可选的安全姿态,而是基本的工程责任;他们选择窄门而非宽门,是一个价值判断,而不只是商业决策。

从最终结果看,两家公司都在高能力AI安全工具上走向了访问控制,这说明Anthropic的基本判断是正确的。但在具体实现上,OpenAI的TAC框架在扩展性、透明度和可访问性上有明显的优势——这说明争论的价值不在于确定谁更正确,而在于通过竞争和批评,推动了更好的解决方案的出现。这本身,就是开放竞争和公开辩论对技术治理的贡献,也是AI行业少有的真正从争论中学到了什么的时刻。

这也许是这场原本充满讽刺意味的事件留下的真正遗产:批评者成为执行者,不是因为他们的立场是错的,而是因为他们遇到了和批评对象相同的现实。而这个”被现实说服”的过程,本身就是一种知识进步,也是一种罕见的诚实——即便不是有意识的诚实。在科技行业,很少有公司愿意在公开批评了竞争对手之后,以同样的方式行动,而不发布声明来解释为什么这次情况不同。OpenAI没有发声明。他们只是做了。这在某种程度上,比任何理论上的一致性都更能说明问题的真实性质。

AI安全工具的访问控制时代已经到来。无论你叫它”恐惧营销”还是”负责任的分发”,这个时代不会因为标签的不同而改变。

值得注意的是,这个趋势的国际维度可能比大多数人意识到的更深远。当OpenAI和Anthropic都为AI网络安全工具设立访问控制时,他们实际上在设立的,是全球最强大AI网络能力的”使用许可标准”——这个标准目前完全由美国私人公司决定。欧洲、亚洲的政府和企业,想要使用这些工具,必须通过美国公司的审核。这种非正式的”数字能力霸权”,在网络战的背景下,是一个地缘政治问题,而不只是商业问题。2026年5月同天发布的CISA/NSA Agentic AI指南,某种程度上是美国政府对这种非正式霸权的正式化确认——为美国主导的访问控制标准提供政府背书。

值得关注的反对声音

当然,这个事件也引发了一些值得认真对待的批评声音,不应该只是被讽刺情绪淹没。

有一类批评指出,OpenAI和Anthropic对访问控制的决定本质上是商业决策,而非纯粹的安全判断。限制访问可以维持稀缺性,维持稀缺性可以支撑高价格。在这个框架下,”安全”是一个有用的外衣,而真正的动机是市场策略。这个批评没有证据支持,但也难以完全反驳——任何同时有安全价值和商业价值的决定,都可以被从两个方向解读。

另一类批评聚焦在治理权力问题上。无论是Anthropic的信任网络还是OpenAI的TAC,决定”谁能使用这些工具”的权力,最终都集中在单一私人公司手中。这不是一个经过民主程序授权的决策机制。批评者认为,涉及关键基础设施安全的工具的访问控制权,不应该由私人公司单方面决定,应该有独立的监管机构参与。

这两类批评都指向了一个尚未解决的问题:在AI能力快速提升的阶段,谁有权利制定AI安全工具的访问规则?这是一个目前没有令人满意答案的问题,而OpenAI和Anthropic的做法,都只是在这个问题得到系统性解决之前的临时安排。

理解这一点很重要:批评Altman言行不一是容易的,理解为什么任何负责任的行为者在面对同样的工具都会走向类似选择,需要更深入的分析。但同时,接受私人公司作为AI安全工具的”门卫”,也不应该是一个无条件的默许。

这场争论还提出了一个实践层面的问题:网络安全的”防御者”是谁?一个独立的安全研究员是不是防御者?一个规模小的初创公司的安全工程师是不是防御者?今天的访问控制系统,尤其是Anthropic的窄门模式,实际上倾向于大型机构和知名组织,独立研究者和小型安全团队很可能被排除在外。而历史上,很多重要的安全漏洞发现,都来自这些”边缘”防御者,包括那些只有一台笔记本电脑和充分的好奇心的个人研究者。如何设计既安全又不歧视小规模防御者的访问机制,是一个尚未有人系统回答的问题。这也是OpenAI的TAC框架在理论上比Anthropic窄门更有价值的地方——尽管它是否真正做到了”边缘防御者包容性”,还需要时间来验证。

参考资料

  1. “OpenAI locks GPT-5.5-Cyber behind velvet rope despite slamming Anthropic for doing exactly that” — The Register, 2026-05-01. https://www.theregister.com/2026/05/01/openai_locks_gpt55cyber_behind_velvet/

  2. “After dissing Anthropic for limiting Mythos, OpenAI restricts access to Cyber, too” — TechCrunch, 2026-04-30. https://techcrunch.com/2026/04/30/after-dissing-anthropic-for-limiting-mythos-openai-restricts-access-to-cyber-too/

  3. “Sam Altman throws shade at Anthropic’s cyber model Mythos: ‘fear-based marketing’” — TechCrunch, 2026-04-21. https://techcrunch.com/2026/04/21/sam-altman-throws-shade-at-anthropics-cyber-model-mythos-fear-based-marketing/

  4. “Trusted access for the next era of cyber defense” — OpenAI Official Blog, 2026-04-21. https://openai.com/index/scaling-trusted-access-for-cyber-defense/

  5. “Our evaluation of OpenAI’s GPT-5.5-Cyber capabilities” — UK AI Security Institute (AISI), 2026-05-01. https://www.aisi.gov.uk/blog/our-evaluation-of-openais-gpt-5-5-cyber-capabilities

  6. “Unauthorized group has gained access to Anthropic’s exclusive cyber tool Mythos” — TechCrunch, 2026-04-21. https://techcrunch.com/2026/04/21/unauthorized-group-has-gained-access-to-anthropics-exclusive-cyber-tool-mythos-report-claims/

  7. “Is Anthropic limiting the release of Mythos to protect the internet, or Anthropic?” — TechCrunch, 2026-04-09. https://techcrunch.com/2026/04/09/is-anthropic-limiting-the-release-of-mythos-to-protect-the-internet-or-anthropic/