美国AI政策正在换挡。
白宫科技政策办公室主任 Michael Kratsios 在一份备忘录中称,美国政府掌握的信息显示,主要位于中国的外国实体正在对美国前沿AI系统进行“工业规模”的模型蒸馏,并使用数万代理账户、越狱手段规避检测。
中方驻美使馆发言人刘鹏宇回应称,相关指控“纯属污蔑”,中国重视知识产权保护和健康竞争。
到目前为止,这还不是司法定论。它更像三件事叠在一起:政府备忘录、企业指称、政策酝酿。真正该盯的,是美国是否要把“访问模型”也变成一条受管制的技术边境。
美国指控的是规模化提取,不是普通调用
模型蒸馏本身不是新技术。
简单说,就是用一个强模型的输出,训练一个更小、更便宜的模型。它可以用于合法压缩和优化,也可能被拿来绕过服务条款,批量提取能力。
争议点不在“蒸馏”两个字,而在规模、身份伪装和用途。
OpenAI、Google、Anthropic 都曾指称模型蒸馏或克隆攻击。Google 称,有商业动机的攻击者曾对 Gemini 发起超过 10 万次提示尝试。Anthropic 称,DeepSeek、Moonshot、MiniMax 等中国公司通过约 2.4 万个欺诈账户,与 Claude 产生超过 1600 万次交互。OpenAI 也曾表示,其观察到的多数攻击来自中国。
这些说法仍是企业和政府层面的指称。不能直接写成法院已经认定的“盗窃”。DeepSeek 是否使用 OpenAI 输出训练,也不能写成已被证实结论。
更准确的分层应该是这样:
| 层级 | 现在能说什么 | 现实后果 |
|---|---|---|
| 技术方法 | 蒸馏可合法,也可被滥用 | 不能一概等同违法盗窃 |
| 平台规则 | 批量抓取输出可能违反服务条款 | 企业可封号、限流、索赔 |
| 计算机欺诈 | 使用欺诈账户、规避检测可能触法 | 司法部可能介入调查或起诉 |
| 经济间谍 | 若被认定为窃取商业秘密 | 罚则和政治后果会急剧升高 |
| 出口管制 | 对抗性蒸馏可能被列为受控技术转移 | API访问可能被纳入合规审查 |
美国众议院中国问题特别委员会已经建议,要求商务部工业与安全局和司法部把模型提取视为工业间谍来处理,并评估《经济间谍法》《计算机欺诈与滥用法》。委员会还建议,将对抗性蒸馏列为受控技术转移。
话说得很重。但边界还没画完。
蒸馏什么时候只是违反服务条款?什么时候构成计算机欺诈?什么时候又能上升到经济间谍?这里需要证据链。账号、支付、调用日志、提示词、训练用途,都得对得上。
美国现在像是在把网撒出去。能不能收紧,还要看司法和商务部怎么落笔。
AI竞赛开始争入口,开放API成了新边境
过去一年,AI行业的主线是算力、参数、训练数据。现在多了一条更硬的线:访问控制。
模型能力藏在云端,看似安全。但只要API开放,能力就会以输出形式流动。模型公司卖的正是这种流动。
“天下熙熙,皆为利来。”这句话放在这里很准。前沿模型公司要靠API赚钱,就必须承担被反向学习的风险。门票卖得越多,入口越难管。
这和半导体出口管制不完全一样。
芯片是看得见的货。许可证、海关、销售合同都能卡。模型API更像电报时代的通信网络,边界不在仓库门口,而在账号、调用频次、支付身份、提示词行为和日志审计里。
历史上,电报、铁路、石油管道都曾从商业基础设施变成战略资产。AI API也在走类似路径。区别是,铁路卡的是线路,石油卡的是阀门,模型卡的是每一次调用。
这也解释了美国为什么把蒸馏和芯片放到同一张桌上。
特朗普此前在英伟达对华芯片销售问题上出现摇摆,甚至有过美国从相关销售中抽成 25% 的安排。安全叙事说要封锁,商业动作又想分成。这会削弱美国AI安全叙事的一致性。
你不能一边说前沿AI是国家安全核心,一边把门票按比例卖出去。
这不是口号矛盾,而是政策执行矛盾。企业要收入,政府要控制,盟友要确定性,客户要稳定供应。四股力往不同方向拉,最后最先变贵的不是模型本身,而是合规成本。
最先付账的是开发者和企业采购
普通用户短期感受到的,可能只是更严格的风控、更频繁的人机验证、更容易被误封。
真正麻烦的是两类人:跨境开发者和企业采购方。
跨境创业团队会先调整工具链。过去几小时能接入的模型服务,可能变成法务、合规、安全团队一起审批。账号主体、付款来源、服务器地区、调用用途,都可能被重新检查。
企业CIO会更谨慎。不是因为情绪,而是因为供应链风险。今天是API封禁,明天可能是地域限制,后天可能是客户数据审计。便宜仍重要,但可控会排到更前面。
最现实的动作会有三类:
| 对象 | 可能动作 | 成本 |
|---|---|---|
| 跨境AI创业团队 | 减少单一美国模型依赖,准备备用模型 | 开发适配成本上升 |
| 企业采购方 | 延后采购,要求供应商说明合规和地域风险 | 决策周期变长 |
| 模型服务商 | 加强KYC、限流、异常调用检测 | 误伤正常客户,销售摩擦增加 |
这件事也会刺激非美国模型的需求。
很多企业不是因为“站队”才换模型,而是因为不想把核心流程押在一个随时可能被政策切断的接口上。模型能力越接近业务底座,客户越怕断供。
但也别把替代说得太轻松。迁移模型不是换一个按钮。提示词要重写,评测要重跑,安全策略要重配,业务指标还要重新验收。
这就是AI供应链的硬现实:模型越强,切换成本越高;政策越不稳,备份需求越强。
接下来只看三件事。
一是美国是否正式制裁具体公司。没有名单,就还是政策威慑。
二是司法部是否真的用《经济间谍法》或《计算机欺诈与滥用法》推进案件。没有起诉,法律边界仍不清。
三是特朗普与习近平会晤后,芯片出口和模型访问管制会不会互相打架。若一边喊安全,一边继续按商业利益开口子,那就是纸上筑墙。
我的判断很简单:AI竞赛正在从“谁的模型更强”,转向“谁能控制入口”。开放API不会消失,但它会变得更像海关,而不是水龙头。