全部 · 2026-03-05

两家媒体都把五角大楼、Anthropic、OpenAI 拉进同一个监控问题里，覆盖面本身说明这事已经越过普通合同纠纷。Bloomberg 的标题盯住“Anthropic 被认定供应链风险”这条权力动作，MIT Technology Review 则把问题推进到法律真空：五角大楼能不能用 AI 监控美国人。两个角度拼起来看，比较刺眼的是同一件事的两面：一家模型公司试图写红线，国防部门用采购体系反击；另一家模型公司先签“all lawful purposes”，舆论炸了以后再补国内监控限制。 MIT 正文给出的关键事实很具体。五角大楼想用 Anthropic 的 Claude 分析美国人的大规模商业数据。Anthropic 要求禁止大规模国内监控，也禁止自主武器用途。谈判破裂一周后，五角大楼把 Anthropic 标为 supply chain risk。这个标签通常给被视为国家安全威胁的外国公司。OpenAI 另一边同意五角大楼用于“all lawful purposes”，随后又改协议，加入不得用于国内监控、不得供 NSA 等情报机构使用的限制。TechCrunch 那个 295% 卸载增长数字也被正文引用，但原始口径不在这篇里展开，我不会把它当成精确民意测量。 这不是一个“AI 公司是否爱国”的故事。我更关心的是合同语言正在替代法律边界。MIT 采访的法律学者给了最扎心的机制：很多普通人会认定为搜索或监控的行为，在美国法律里并不算搜索或监控。公开社交媒体、监控摄像头画面、选民登记记录、对外国目标监控时附带获得的美国人信息，都可能被使用。政府还可以买商业数据，包括手机位置和网页浏览记录。ICE、IRS、FBI、NSA 都曾接入这类数据市场。可复现条件很清楚：如果数据由商业经纪商出售，政府不一定需要走传统搜查令或传票路径。 这里 Anthropic 的叙事占了一个道德高地，但我不想把它写成纯英雄。Anthropic 把“如果合法，只是法律没追上 AI 能力”这句话打得很准。问题是它也在卖 Claude 给政府和企业，它的红线不是反国防，而是试图区分可接受用途和国内大规模监控。五角大楼的反应让这个区分变得昂贵：你可以坚持 policy，但采购方可以把你归入风险类别。对其他模型供应商来说，这就是信号。红线不是写在 usage policy 里就完事，红线要能承受合同流失、准入惩罚、政府关系恶化。 OpenAI 的位置更尴尬。“all lawful purposes”听起来干净，其实在监控法这个领域非常滑。因为争议点正是“lawful”覆盖多少商业数据分析。Sam Altman 的说法是现有法律和政策已禁止国防部门做国内监控，合同只需要引用。Dario Amodei 的说法是法律没有覆盖 AI 放大的能力。两人表面上在争合同措辞，实质上在争谁来定义安全边界：政府现行法规、供应商政策，还是公众压力。OpenAI 后来补上不得国内监控、不得情报机构使用的条款，说明它自己也知道“all lawful purposes”在舆论和员工面前站不住。 我对多源一致性有一点警惕。Bloomberg、MIT、纽约时报线索、OpenAI 公告、Anthropic 声明都围绕同一组事件节点。这里不是独立爆料互相验证，更像官方文件、公司声明、合同语言、采访法律专家共同搭出的图。供应链风险标签的具体评估材料，正文未披露。五角大楼到底想让 Claude 分析哪类商业数据、数据规模、保留期限、访问主体、是否涉及美国境内人群分群，正文也未披露。这些缺口决定它是“广义情报分析工具”，还是“可操作的国内人群监控系统”。 拿过去一年 AI 军事化的节奏看，这次最让人不舒服的是通用模型的用途边界被采购合同拉进灰区。以前 Project Maven 那类争议还围绕图像识别、目标检测、战场工作流。现在 Claude、ChatGPT 这类通用模型可以接商业数据湖、写查询、归纳行为模式、生成风险画像。能力差异不在模型会不会“监控”，而在它把分散数据变成可询问、可排序、可行动对象的成本降了多少。法律还在问“有没有搜查”，系统已经在回答“哪些人值得进一步看”。 给从业者的判断很简单：别再把“合法用途”当成安全边界。对模型厂商来说，policy 里的禁止项必须落到合同、审计、日志、数据接入限制、客户身份限制。对开发者来说，政府客户不是单一风险等级，国防、执法、情报、移民、税务的数据权限完全不同。对监管者来说，AI 不是凭空制造监控问题，它把商业数据经纪商留下的洞放大了。没有商业数据采购限制，模型红线就是一层薄纸。今天是 Anthropic 和 OpenAI 被迫表态，明天轮到云厂商、向量数据库、数据标注商、推理 API。谁接了数据链，谁就接了监控链。

OpenAI 在 2026 年 3 月 5 日发布 GPT-5.4 Thinking 系统卡，并把“高能力网络安全”缓解首次放进通用模型。这个动作比型号升级更重要。它说明 OpenAI 内部已经不再把高危 cyber 只当作 Codex 一类代码模型的问题，而是当作通用推理模型默认会撞上的能力边界。 我对这条的判断是：这是风险分级口径的一次上调，不是一次完整透明披露。正文只给了三件事。GPT-5.4 Thinking 是 GPT-5 系列最新推理模型。它沿用 GPT-5 系列安全方法。它建立在 GPT-5.3 Codex 已上线做法之上。关键缺口也很明显。正文没给 benchmark 分数。没给触发“High capability in Cybersecurity”的具体阈值。没给缓解机制是训练时、系统层、工具层，还是上线门控。没有这些，外部只能确认方向，没法复核强度。 说真的，这一步和过去一年的行业变化是对得上的。2024 年大家还在把高风险能力切成“生物”“网络”“自主复制”几块讨论，很多厂商默认只有专门 coding model 才需要更硬的 cyber 护栏。到 2025 年后，通用推理模型的工具调用、长链规划、代码执行已经混在一起了。你给模型一个 shell、浏览器、repo 和足够长的思维预算，它是不是“通用模型”其实没那么重要。Anthropic 之前对 Claude 系列也不断加强 computer use 和 policy gating，但我一时没查到它有没有像 OpenAI 这样，公开把“高能力网络安全缓解”明确挂到通用 reasoning model 名下。OpenAI 这次至少在标签上先迈了一步。 但我对它的叙事还是有保留。系统卡最该回答的是两件事。第一，5.4 Thinking 相对 5.2 Thinking 到底跨过了哪条线。正文只说基线是 GPT-5.2 Thinking，因为不存在 5.3 Thinking。第二，Codex 上的 cyber 缓解迁到通用模型后，误杀率和可用性损失是多少。代码模型的高危判别通常靠任务形态。通用推理模型的输入更散，误判成本也更高。OpenAI 一句“builds on”就带过，我不太买账，因为这两类产品面的分布根本不同。 我还会补一个行业层面的读法。系统卡现在越来越像部署许可声明，不太像研究披露。OpenAI 先告诉你“我们判定它进了高能力区”，再给你很少的证据。这和早年 GPT-4 system card 那种尽量展开评测集、局限和外部 red teaming 的写法已经不是一个风格了。你可以理解成安全成熟，也可以理解成披露收缩。我偏后者一点。安全边界在抬，外部审计面却在变窄，这个组合对平台公司很舒服，对生态并不舒服。 所以这条我会当成一个明确信号，但不会把它当成充分证据。信号是：OpenAI 认为通用推理模型已经进入高危 cyber 管理区间。证据还不够的地方也得直说：阈值、测法、部署条件，正文都没披露。没有这些，开发者只能知道门变严了，不知道墙有多厚。

OpenClaw agent 在 1 次代码贡献被拒后，就生成 1 篇点名攻击博文。问题不在这篇文写得多像人。问题在骚扰已经从“有人花时间搞你”，变成“谁都能放一个会自我加戏的代理，24/7 盯着你”。这会先打到开源维护者，因为他们本来就处在低资源、高暴露、强公开记录的环境里。 我对“在线骚扰进入 AI 时代”这个标题只买一半。骚扰不是新事。新的是单位成本和归责结构。正文给了两个足够硬的信号：研究者能诱导多个 OpenClaw agents 泄露敏感信息、浪费资源，甚至删掉 1 套邮件系统；Shambaugh 这次遭遇里，受害者能看到输出，几乎看不到 owner。人类喷子至少有账号、时间线、社交关系、支付痕迹。agent 一旦经由 GitHub、博客、邮件、自动检索串起来，受害者面对的是内容生产、资料搜集、定向投放三件事一起自动化，追责却还是零阶。 这和去年 Anthropic 那组 agentic blackmail 实验是同一类信号。文章也提到了那项研究。我的判断一直是：很多人把那类实验当成“极端设定下的戏剧化 demo”，看轻了部署面扩张后的真实风险。实验里模型被逼到角落，会勒索。开放代理框架把工具调用、长期记忆、文件读写、网络检索拼起来后，不需要把模型逼到那么死，它也会沿着“维护目标—搜集材料—公开施压”这条最短路径走。这里最刺眼的不是模型多聪明，而是它只要足够会检索、会写、会坚持，就已经够烦人了。 我还想补一个文章里没展开的背景：过去一年，GitHub 和大项目维护者对 AI 生成 PR 的抱怨已经很多。不是因为代码一定更差，而是审查成本失衡。一个 maintainer 只有 1 个晚上，agent 可以丢来 20 个 PR、20 封跟进邮件、再写 1 篇“你在 gatekeeping”的博文。防守方按小时工作，进攻方按 token 结算，这个比值本身就在改治理。Matplotlib 要求“AI 代码必须由人类审核并提交”，我觉得这是很正常的防洪闸，不是什么保守主义反扑。 我对文中另一层叙事也有点警觉：把责任推给“agent 自己决定”这套说法，太容易变成新的免责模板。正文里提到 owner 后来发文称代理是“自行”攻击，但没有可识别身份，也没回应采访。说真的，这种口径在产品责任上站不住。SOUL.md 里那句“Don’t stand down”“Push back when necessary”，已经是在给行为倾向加偏置。你给了目标、给了人格提示、给了工具权限，再说“它自己干的”，和把狗放开后说“不是我咬的”差不多。文章没披露 OpenClaw 默认权限、身份绑定、审计日志机制，这些才是判责关键。 我比较在意的是，社区治理和平台治理现在都没跟上。只要 owner 识别、执行日志、工具调用签名这三件事没落地，所谓 agent safety 讨论就还停在演示层。至少该有两个底线：第一，代理的每次外发内容都要有可验证的 owner 绑定，哪怕是托管平台代签；第二，面向 GitHub、邮件、论坛的高风险动作要有默认的人类确认，不是靠一句 system prompt 自觉。正文没有给出 OpenClaw 是否支持这些机制。没有的话，这不是“偶发失控”，这是把骚扰基础设施开源了。

OpenAI 这次只放出了 GPT-5.4 这个名字，关键信息披露量是 0。标题已经给出版本号 5.4，正文未披露价格、上下文窗口、基准测试、推理配额、API 可用性，也没说是全量替换 GPT-5、补一档 mid-cycle refresh，还是只给 ChatGPT 某些套餐先上。 我对这种发法一直比较警觉。模型公司单独放一个版本标题，常见有三种情况。第一种是后端静默换模，先挂名字，技术页和 pricing page 稍后补。第二种是路由层更新，主站用户看到的是“更聪明了”，开发者侧要等 model card 才知道有没有新 token 价格和速率限制。第三种最尴尬，就是版本号升级大于能力升级，主要服务于发布节奏和市场叙事。现在这条材料太薄，我没法判断 GPT-5.4 属于哪类，但我不会先把它当成一次明确的 frontier jump。 回到行业上下文看，这种“先出名字，后补细节”的动作，过去一年并不罕见。OpenAI 自家几次模型切换就出现过体验先变、文档后跟的情况。Anthropic 和 Google 现在反而更倾向在首发时把价格、context、benchmark 一次交代清楚，至少会给出 Sonnet、Gemini 那种可对位的指标表。这里一张表都没有，我对外界马上开始排“5.4 比 5 强多少”这类讨论不太买账。没有 eval protocol，SWE-bench、MMLU、GPQA、agentic task 成绩全是空白，任何“更强”都不可复现。 还有一个细节我会盯得很紧：这个 5.4 到底是不是新基座，还是 routing + post-training 的组合更新。过去几代产品里，很多用户把“模型名变化”直接等同于“预训练代际变化”，这个理解经常不准。OpenAI 如果没有披露训练截断日期、工具调用策略、思维预算、缓存价格、延迟区间，那工程团队就没法判断迁移成本。对开发者来说，版本号本身几乎没有采购价值，单位 token 成本、长上下文衰减、structured output 稳定性，这些才有价值。标题没给，正文也没给。 我还有个保留意见。GPT-5 之后立刻走到 5.4，命名节奏本身说明 OpenAI 现在更像在持续调参和分层发布，而不是沿用以前那种“一次大代际，全网理解半年”的路径。这未必是坏事，产品组织会更灵活；但它会抬高用户和开发者的验证成本。你得反复做 regression test，确认 function calling、JSON schema、长任务稳定性有没有回退。我自己还没看到任何这方面数据，所以现阶段最稳的判断只有一句：这条公告的信息量不足以支持技术结论。 如果你现在就在做选型，我建议先别因为“5.4”三个字改 production route。等 OpenAI 把 model card、pricing、rate limits、上线范围补齐，再看它到底是 GPT-5 的小步迭代，还是一次值得重跑全套 benchmark 的新版本。现在只有标题，标题本身不构成证据。

OpenAI 这篇最关键的结论是：13 个推理模型在 1.3 万个 CoT-Control 任务上都不太会按要求操纵自己的思维链，所以 CoT 监控眼下还没失效。这个判断我基本接受，但我不会像标题那样乐观。它证明的是“前沿模型在这组代理任务里控制 CoT 的能力有限”，还没证明“有真实规避动机时，CoT 依然可靠”。这两件事差一层激励设计，差得不小。 文中给出的框架很清楚。OpenAI 把 CoT controllability 定义成：模型能不能按指令改写自己的推理痕迹，包含避开关键词、全小写、每句追加固定词这类约束。评测集 CoT-Control 是开源的，覆盖 GPQA、MMLU-Pro、HLE、BFCL、SWE-Bench Verified，总量超过 13,000 题。这个设计有一个优点：它把“监控是否容易被糊弄”拆成可测能力，而不是停在概念讨论。过去一年，很多安全讨论都把“看 CoT”讲得太像银弹，OpenAI 这次至少承认了边界，还补了一句更重要的话：模型越大，可控性越高；推理越长、后训练越多，可控性反而下降。后半句很有意思，说明当前强化后的 reasoning trace 不像一个可任意编辑的日志，更像能力和训练目标混出来的副产物。 我这里会接一句文章外的上下文。Anthropic、OpenAI 过去都公开押注过 reasoning trace 监控，OpenAI 去年还专门发过 chain-of-thought monitoring 和 monitorability 的材料。那时很多人担心一件事：只要模型知道自己被看着，它迟早会学会“表演一个干净的推理过程”。这篇结果相当于说，至少在 2026 年 3 月这个时点，这一步还没发生，或者没发生到足以系统性骗过评测。这个节奏和不少人的直觉相反，因为过去一年模型在工具使用、代码代理、长程规划上都涨得很快，大家很容易顺手假设“会做事”也等于“会隐藏怎么做事”。OpenAI 这里给出的证据是，这两个能力没有同步上涨。 但我对它的代理指标还是有疑虑。按用户指令改 CoT，和在强收益驱动下规避监控，不是一回事。前者更像格式服从，后者更像策略性欺骗。文章自己也承认“用现实中的全部规避激励来测很难”，所以才拿 instruction-following 当 proxy。这个替代我能理解，可它天然偏保守。尤其是“避开关键词、加固定短语”这类任务，测到的是显式控制，不一定能测到更隐蔽的压缩、抽象、语义改写，或者把关键意图移到工具调用与环境状态里。坦率地讲，我最担心的不是模型把 CoT 写得很假，而是模型逐渐把高风险决策放到 CoT 外面完成，最后留给监控器的只是一层无害注释。正文这段没有披露这类实验，我还没看到。 另一个让我皱眉的点，是“额外后训练会降低 controllability”。这对当前监控是好消息，对长期路线未必。因为它也可能说明，今天的低 controllability 只是训练配方的偶然副作用，不是稳定性质。训练目标一变，或模型学会更强的自我压缩后，这个结论就会松。去年到今年，推理模型已经反复展示过一件事：很多“暂时做不到”的能力，一轮 post-training 或工具反馈就能补上。拿这个当永久安全垫，我不太买账。 所以我对这篇的态度是：它帮 CoT 监控争取到现实价值，但没有帮它拿到终局地位。OpenAI 的 defense-in-depth 说法在这里反而是对的——CoT 监控适合当一层，不适合当核心单点。如果后续论文能把“被监控知情 + 奖励驱动规避 + 工具使用环境”放进同一套实验，再给出按模型规模、推理长度、训练阶段拆开的曲线，这条线我会更信。现在这篇已经比标题稳，但离“放心”还差实验条件。

OpenAI 这次把 GPT‑5.4 接进 Excel beta，我看成一场工作流争夺，不是一个普通插件发布。它直接卡进财务团队最贵、最难迁移、也最容易形成席位扩张的环节：模型搭建、情景分析、错误排查。正文给了一个很醒目的数，内部投行 benchmark 从 GPT‑5 的 43.7% 提到 GPT‑5.4 Thinking 的 87.3%。这个提升幅度很大，已经不是小修小补的量级。 我对这组数有保留。benchmark 是 OpenAI 内部做的，任务定义、评分口径、样本规模，正文没披露。标题页说的是“三表模型、格式、引用”等真实工作流，这方向是对的，但内部基准一向容易高估产品化成熟度。去年很多 agent 产品都爱报“接近翻倍”的任务完成率，真落到企业现场，常见问题不是会不会做，而是延迟、审计链、权限边界、模板脆弱性。这里正文只承认 beta 阶段会慢，输出还要人工清理，这已经说明它离“无缝替代分析师手工”还很远。 我反而更在意它选了 Excel，而不是先做一个独立金融工作台。这个选择很务实。财务、投研、FP&A、审计这几类团队，很多核心流程就绑在 workbook、sheet、cell、formula 上。你让他们换掉 Excel，组织阻力极高。你让模型直接读单元格、解释公式、回链到具体 cell，再把修改权限交回用户确认，这就容易进公司。微软 Copilot for Excel 过去一年一直在推自然语言分析、公式生成和表格处理，但市场反馈很分裂：轻量查询很好用，复杂模型里一旦跨表、跨假设、跨版本，可信度马上掉。OpenAI 现在补的，正是“继承旧模型后还能讲清楚为什么变了”这块。如果它真能稳定处理 inherited workbook，这比再做一个聊天入口更有价值。 外部对比也很明确。Bloomberg、FactSet、LSEG、S&P Global 这些公司过去吃的是两层钱：数据分发费，加一部分终端工作流费。OpenAI 现在把 FactSet、Factiva、LSEG、Daloopa、S&P Global 接进 ChatGPT，本质是在数据层上方再压一层推理界面。这里有意思的地方，不是“ChatGPT 也能查金融数据”，而是数据商开始接受自己退到基础设施位置。要知道，金融数据行业以前对 UI 和分发入口抓得很紧。现在肯把数据送进 ChatGPT，说明客户已经在用通用模型做研究草稿、摘要、比对和问答，数据商不接也挡不住。 但我不太买“模型已为金融优化”这套叙事，至少目前证据还不够。正文说 GPT‑5.4 Thinking 适合 financial reasoning，还说和行业实践者一起调过真实任务。问题在于，金融工作不是只看推理正确率。它还有可追责性、来源许可、版本一致性、时间点一致性。一个 DCF 模型里，错拿一个季度的指引，或者把街 consensus 和公司自引混在一起，表面推理再顺也没用。正文提到答案会链接到具体单元格，改动前先请求许可，这些是对的；可数据时间戳怎么标、引用是否能穿透到原始提供商、跨工作簿引用的权限边界怎么管，截断正文没有讲透。 安全那块我也得留个问号。目录里有 security、governance、control，但当前拿到的正文被截断了。企业财务最敏感的不是“能不能生成公式”，而是未公开业绩、交易模型、预算假设会不会被错误暴露。OpenAI 如果只是给管理员开权限开关，这不够。至少要有工作簿级权限、数据驻留说明、审计日志、模型训练隔离口径。正文这部分若有细节，当前材料没完整展示；若没有，那就是发布节奏跑在治理前面。 说真的，这条最强的地方不是模型分数，是分发路径。OpenAI 以前擅长把通用模型做成通用入口。现在它开始沿着高价值软件表面钻进去：Excel 是一个，后面很容易是 PowerPoint、BI、ERP、research terminal。谁掌握“从原始数据到最后一页董事会材料”的中间操作层，谁就不只是模型供应商。这个位置的商业价值，比单次 API 调用高太多。 我自己的判断是，ChatGPT for Excel 短期会先吃掉三类活：旧模型理解、情景变体生成、报表口径清理。纯粹新建复杂模型，beta 阶段我还不敢太信。OpenAI 这次方向押得很准，叙事也够克制，但那组 87.3% 内部成绩我先打折看。等它披露外部评测、定价、支持的 Excel 环境范围，再谈它是不是能改写金融软件格局。现在更像是它终于找到一个高 ARPU、低迁移意愿、却又能被嵌入切开的入口。