一份最新安全評估指出,中國北京智譜華章科技有限公司的開源 AI 模型 GLM-5.2 在網路安全測試中表現優異,甚至超越美國部分領先模型。這項發展凸顯美國以禁用商業模型為主的 AI 出口管制措施,在面對可自由下載的開源模型時面臨實質挑戰,恐難有效阻止技術外流或濫用。
近期兩份獨立安全評估報告指出,中國北京智譜華章科技有限公司(Zhipu AI)開發的開源權重模型 GLM-5.2,在網路安全基準測試中的表現已逼近甚至超越美國領先的 AI 模型。此結果揭示美國現行針對商業 AI 模型所採取的出口管制措施面臨嚴峻挑戰。
根據《Tech Times》報導,GLM-5.2 是一款於 6 月 13 日發布的開源權重模型(open-weight model),意指其模型的底層程式碼和訓練參數皆公開可供下載與使用。其發布時機,恰逢美國聯邦政府於 6 月 12 日禁止 Anthropic 公司的 Claude Fable 5 和 Mythos 5 兩款模型在全球範圍內提供服務,理由是這些模型具備的網路安全能力可能引發國安疑慮。
美國商務部於 6 月 12 日美東時間下午 5 時 21 分發布出口管制指令,要求 Anthropic 暫停向所有外籍人士(無論在美國境內或境外)提供 Claude Fable 5 和 Mythos 5 的存取權限。由於 Anthropic 無法即時驗證使用者國籍,最終全面停用了這兩款模型。美國參議院銀行、住房和城市事務委員會(Senate Banking Committee)在 6 月 11 日的一場聽證會上,馬克·沃納(Sen. Mark Warner)參議員引述國家安全局(NSA)和美國網戰司令部(Cyber Command)指揮官約書亞·路德(Gen. Joshua Rudd)的說法,指出 Mythos 5 在一次授權的紅隊演練中,發現了國家安全局幾乎所有機密系統的漏洞。
然而,GLM-5.2 的評測結果顯示其網路安全能力與 Mythos 5 相去不遠。在 Semgrep, Inc. 執行的「不安全直接物件引用(IDOR)偵測」測試中,GLM-5.2 的 F1 分數達 39%,優於 Claude Code 模型(介於 28% 至 37%)。F1 分數是用於評估分類模型精確率和召回率表現的指標。此外,在 Graphistry, Inc. 的 Botsbench 評估中,GLM-5.2 的解決率達到 28/59,與專有模型並駕齊驅,使其成為該基準測試中表現最佳的開源權重模型。Graphistry, Inc. 指出,這是他們首次願意推薦一款開源權重模型用於前沿網路安全任務。
這一發展凸顯美國出口管制條例(Export Administration Regulations)在 AI 領域的局限性。這些條例最初是為晶片、武器零件等有序列號的實體貨物設計,但在面對 GLM-5.2 這類可在 Hugging Face 等平台自由下載的開源權重模型時,卻難以有效執行。一旦 AI 模型權重(指訓練後的參數)被發布並廣泛散布,任何出口禁令都無法阻止全球各地的使用者下載和在本機端運行。例如,GLM-5.2 在 MIT 授權下發布,任何人都可以下載、自行託管、進行微調並用於商業用途,無需獲得北京智譜華章科技有限公司或任何政府的同意。
GLM-5.2 採用了約 7,500 億個模型參數(parameters)的專家混合系統(Mixture-of-Experts system),每次推理(inference)時僅啟用約 400 億個參數,使其單位運算成本遠低於同類模型。儘管全精準度模型需要約 1.5 TB 的 GPU 記憶體,但開源社群發布的量化版本(quantized builds)可將其壓縮至約 239 GB,單靠一台高階工作站即可運行。相較於需要透過 API(應用程式介面)存取並受雲端平台控制的閉源模型,使用者可在私人網路中運行 GLM-5.2,使其不受任何出口管制指令的約束,也無需向供應商或安全團隊揭露使用行為。
網路安全業者 GuidePoint Security, LLC 的管理安全顧問 Jason Baker 向《Axios》表示,GLM-5.2 發布數日內,俄語論壇上已出現討論如何將其用於駭客攻擊的內容。Armadin, Inc. 的技術長 Travis Lanham 則指出,GLM-5.2 可讓攻擊者進行客製化攻擊並找出新的繞過手法,且不像閉源模型可透過可疑活動偵測並禁用帳戶,本機運行 GLM-5.2 的攻擊行為完全不會產生任何可追蹤的供應商可見訊號。
值得注意的是,北京智譜華章科技有限公司(其國際品牌為智譜 Z.ai)作為中國企業,須遵守中國的《國家情報法》(2017)第七條,要求所有中國組織和公民在國家情報工作需要時提供支援和協助。這項法律框架引發了美國國土安全部(US Department of Homeland Security)的警告,認為其可能迫使中國公司應政府要求提供美國個人或企業的數據。然而,自行託管的開源權重模型並無此義務。一旦權重在 MIT 授權下被下載,中國政府、美國聯邦政府或北京智譜華章科技有限公司本身,都無法從法律或技術上存取其推理環境。
針對此一情況,美國商務部 部長霍華德·盧特尼克(Howard Lutnick)已於 6 月 26 日致函 Anthropic 首席運算長 Tom Brown,部分解除 Mythos 5 的限制。根據修訂後的條款,Mythos 5 現在可無需出口許可證,部署至約 100 家經審核的美國關鍵基礎設施組織及其外籍員工。但向全球消費者和開發者開放的 Claude Fable 5 仍處於全球暫停狀態,並未宣布恢復時程。霍華德·盧特尼克稱此次事件為美國聯邦政府「新監管體系的開端」,旨在控制前沿 AI 的發布。然而,GLM-5.2 的基準測試結果明確指出,當存在功能相似的開源替代方案時,僅透過 API 層級的出口管制難以達到預期效果。Anthropic 曾主張,相同的功能也可從 OpenAI 的 GPT-5.5 等公開模型中獲得,且這些模型並未受到同等限制,而 Semgrep, Inc. 和 Graphistry, Inc. 的報告則證實了這一論點。
AI 出口管制政策與技術現實之間出現的這種脫節,對全球各國,包括台灣在內,在規劃 AI 發展及安全策略時,提供了重要啟示。各國政府與產業必須重新思考如何在鼓勵創新與維護國家安全之間取得平衡,特別是面對開源權重模型的廣泛應用,傳統的管制模式已無法全面有效應對其所帶來的潛在風險。