https://tinyurl.com/2ynbjvp5 中國的 AI 正在迅速擴散。以下是如何阻止安全風險 Ryan Fedasiuk 2026 年 4 月 1 日 到 2024 年底，中國模型已占全球 AI 工作負載的 1%。到 2025 年底，這一數字已飆升 至 30%。阿里巴巴的 Qwen 系列如今擁有超過 7 億次下載，成為全球最大的「開源」AI 系統供應商，這些系統已公開發布，且可下載並在本地運行。由 DeepSeek、Moonshot 和 MiniMax 等組成的中國 AI 實驗室群，正日益成為全球開源市場中的熱門存在，並開始 為從印度學術研究到美國最頂尖科技新創公司等各種領域提供動力。儘管這些模型是開放 權重且可免費使用，但中國來源的 AI 模型仍由受該國《國家情報法》約束的公司開發， 並有義務「支持、協助並配合」中國政府的國家安全調查與情報蒐集活動。對美國政策制 定者而言，大規模採用中國模型所帶來的風險，勢必會超越 TikTok 的風險。使用者上傳 的不是自己跳舞的影片，而是請求對專有程式碼、商業策略與敏感通訊的回饋——其中片 段會直接存入中國安全部門可存取的系統中。中國 AI 系統迅速整合進美國及全球基礎設 施，對美國國家安全構成四類明確的潛在威脅：供應鏈投毒、情報蒐集、惡意行為者能力 提升，以及經濟排擠——每一項都需要有針對性的介入措施，且應避免複製中國自身的保 護主義做法。供應鏈投毒與間接控制第一個問題並不在於中國，而在於 AI 作為一項技術 ：要審核 AI 軟體的全球供應鏈極其困難。這既因為這項技術本身是個「黑箱」——當今 模型的參數規模常常超過數百億，無法輕易檢查是否存在異常——也因為網路匿名性保護 了軟體開發者。近期 War on the Rocks 的評論已概述了審核生成式程式碼所面臨的困難 ：Anthropic 與英國 AI 安全研究所的研究表明，僅需 250 份被投毒文件，就能在一個 中型（130 億參數）語言模型中成功植入後門。這些後門被編碼在模型的統計權重中。若 不知道自己要找的是什麼，安全團隊在常規程式碼審查或安全測試中幾乎不可能、甚至完 全不可能偵測到它們。它們可透過觸發高度特定的輸入而被啟動，這意味著一個遭入侵的 模型可以通過領先的安全基準測試，同時仍潛藏可被利用的漏洞，使其容易遭到破壞或越 獄。這並非理論問題，而是當今開放權重模型生態中一項已被充分證實的特徵。早在 202 5 年 4 月，Protect AI 的安全研究人員就已在全球最大的模型託管與下載平台上，辨識 出超過 352,000 個可疑檔案，分布於 51,700 個模型之中，Hugging Face。如今，超過 15% 的企業 AI 專案依賴來自公開儲存庫的開源模型。當組織選擇在未經獨立驗證的情況 下，建立於中國基礎模型之上時，他們也一併承接了那些模型可能包含的任何漏洞——或 是刻意設計的後門。隨著小型 AI 模型數量激增，這個攻擊面正以驚人的速度擴大。即使 偵測問題能夠解決，還有一個額外的問題：究竟應由誰負責修補它。現今沒有任何監管框 架會將責任或法律責任分配給污染模型的行為者，也不會分配給散布這些模型的平台。20 25 年 7 月，Pillar Security 揭露了一種新型攻擊向量，影響了 150 萬個常用模型檔 案，讓攻擊者能夠嵌入對大多數使用者與安全工具都不可見的惡意指令。當 Pillar Secu rity 向 HuggingFace 回報這項漏洞時，該平台拒絕將其歸類為安全問題。透過這個決定 ，HuggingFace 實際上宣告：驗證其所散布模型完整性的責任，應由別人承擔。 隨著供應鏈風險逐漸明朗，監管者將不得不面對一個問題：當事情出錯時，究竟該由誰負 責。一種解決方案可能是由商務部工業與安全局將 AI 模型儲存庫指定為資訊與通訊技術 及服務供應鏈的一部分，並依據第 13873 號行政命令發布具約束力的安全要求，包括來 源證明文件，以及針對已知污染特徵的自動掃描。美國國家標準與技術研究院目前正加速 推動一套標準化的模型完整性測試協議。它也可以為 AI 權重提供類似 Underwriters La boratories 的認證，讓企業在整合開源軟體時，能夠獲得某種基準程度的信心。 就國會而言，應開始著手艱難的工作，將既有的軟體責任框架擴展至涵蓋 AI 模型的散布 。目前尚不清楚 Hugging Face 這類平台是否應對其向美國使用者提供的模型進行基本完 整性檢查，並因此承擔某種程度的法律責任。雲端服務供應商與應用程式商店會對其散布 的軟體進行不同程度的審查。這項責任的精確範圍——包括何謂足夠的盡職調查，以及平 台與開發者之間如何分攤責任——將需要與傳統網路平台的第 230 條爭議同樣審慎的調 整。不過，現狀是：對於託管或發布開放權重模型所可能造成的損害，沒有人承擔責任， 這種狀態是不可持續的。 政策制定者也應理解，即使建立一套完善的責任制度，也不足以阻止 AI 系統的每一次有 害部署。最嚴格的安全審查仍將落後於新的污染技術，而且即使是中型模型，也沒有任何 認證能保證不存在後門。即便美國對模型託管方施加某種責任制度，最精密的威脅行為者 也會轉移到美國監管無法觸及的平台——而每一層合規要求都可能帶來摩擦，將開發者推 向監管較少的替代方案，甚至可能包括完全沒有審查的中國託管替代方案。 目標不應是讓供應鏈變得無懈可擊，而是要把污染的成本提高到足以嚇阻一般威脅行為者 ，並確保當精密攻擊真的成功時，存在某種基本的法律問責框架，而不是集體聳肩以對。 資料外洩與情報蒐集 中國 AI 模型的第二個問題，對任何關注 TikTok 國家辯論的人來說都不陌生：這些應用 程式會將敏感使用者透過位於中國的伺服器傳輸資料。雖然中國開放權重模型的大多數使 用者都是將其下載並在自己掌控的電腦上本地執行，但也有許多使用者並非如此。這可能 為北京提供直接的情報蒐集機會。根據中國 2017 年《國家情報法》，企業「必須支持、 協助和配合國家情報工作。」使用者將合約、程式碼和戰略文件與這些系統共享，實際上 就是把它們存入一個中國政府可存取的資料庫。此外，即使使用者並非直接與中國的網頁 聊天機器人互動，仍有數家美國開發者正透過向位於中國的模型供應商伺服器發送程式化 請求，將 DeepSeek 或 Qwen 整合進自己的應用程式中。每次呼叫應用程式介面（API） 時，都會傳送一個上下文視窗，其中包含使用者的查詢、相關背景資料，以及通常還有先 前的對話歷史——對於 DeepSeek 的 V3 模型而言，每次請求最多可達 100,000 個字。 一家使用 DeepSeek API 建立內部程式碼助理的新創公司，會在每次 API 呼叫時傳送其 專有程式碼庫的片段。 為了因應日益加劇的美國資料安全風險，一些政策制定者可能會傾向於直接禁止採用中國 AI 模型——但這在實務上無法執行，且會對美國開發者生態系造成嚴重傷害。DeepSeek 和 Qwen 可從數十個鏡像站與第三方平台下載。API 存取可以透過中介轉送，而任何足 以涵蓋中國來源 AI 服務完整範圍的禁令，都可能把數千個由與中國安全部門毫無關聯的 開發者微調而成的衍生模型一併納入。 更具成效的做法，是要求揭露中國模型被部署在哪裡。如果某個產業或使用情境很重要， 美國的 AI 系統客戶應該能知道基礎模型是在何處訓練，以及其資料被傳送到何處。例如 ，聯邦貿易委員會可以要求任何在美國營運——或透過 API 服務美國使用者——的 AI 服務提供者，揭露使用者資料在何處被處理、儲存以及可被存取。這種形式的監管在食品 營養標示上已有充分先例。如此一來，使用者與企業便可就是否透過受中國《國家情報法 》約束的伺服器傳送敏感查詢，做出知情決定。 對於聯邦承包商以及處理受控非機密資訊的實體，安全標準應更高：商務部應禁止使用在 位於，或可被，指定為外國對手的司法管轄區內伺服器上處理資料的 AI 模型。這不僅會 涵蓋直接使用 DeepSeek 的 API，也會涵蓋任何將查詢路由至中國託管雲端基礎設施的第 三方應用程式——這是尋求將推理成本降至最低的新創公司中常見且日益普遍的做法。 當然，揭露要求只有在客戶在意、願意閱讀標示並相應改變行為時才有效。即使強制揭露 ，絕大多數對價格敏感的個人使用者仍會繼續使用中國的開放權重模型——追求速度並專 注於降低燒錢率的新創公司也會如此。 雖然透明度是知情選擇的必要條件，但它並不是安全的充分條件。它只能抓到疏忽者，抓 不到漠不關心者——而且對於美國司法管轄範圍之外、數以百萬計正在中國 AI 基礎設施 上開發、卻完全不受任何揭露要求約束的全球使用者，也毫無作用。 惡意行為者的能力提升 第三個問題是，由中國 AI 實驗室開發的開放權重模型，其安全防護機制系統性地弱於美 國同類模型。這造成兩個不同的問題。 首先，雖然北京確實要求中國 AI 模型對被視為威脅到國家的「社會穩定」，但在回應可 能對國家安全造成直接風險的查詢時，它們仍遠比美國同類模型寬鬆得多。當使用者要求 Anthropic 的 Claude 或 OpenAI 的 ChatGPT 協助合成受管制物質或開發釣魚工具包時 ，模型幾乎總是會拒絕。向 DeepSeek 提出同樣的問題，模型往往會照做。除非中國的 A I 實驗室實施有實質效力的防護措施，否則它們的產品會為尋求開發網路武器、化學劑或 生物病原體的惡意行為者提供顯著的能力提升。 其次，即使中國 AI 模型被程式化為抵制產生某些有害輸出，它們仍然比美國同類模型更 容易被越獄，且常常在基本的紅隊評估中表現不佳。美國國家標準與技術研究院（NIST） 的 AI 標準與創新中心測試了 DeepSeek 的 R1 模型，發現它對使用常見越獄技術的明顯 惡意請求有 94% 的順從率，而相當的美國前沿模型僅有 8% 的順從率。2025 年初，Cisc o 獨立驗證了這些發現，報告稱對 DeepSeek R1 的攻擊成功率達到 100%，該模型「未能 阻擋任何一個有害提示」。 對 AI 模型的蓄意濫用已經是一個嚴重問題，而且隨著模型具備吸收並迭代整個程式碼庫 的能力，這一問題勢必會加劇。Google Threat Intelligence 已識別出惡意軟體變種會 在持續入侵期間向 Qwen 模型查詢即時程式碼生成。自 2024 年以來，AI 輔助的網路攻 擊增加了 72%。FBI 的網路犯罪投訴中心同樣記錄到，2025 年 AI 輔助的商業電子郵件 詐騙增加了 37%。對於先前缺乏技術成熟度、無法開發客製化漏洞利用程式的威脅行為者 而言，中國的開放權重模型就像隨時可用的導師，幾乎沒有任何內容限制。 與資料外洩一樣，美國政府無法靠禁止來解決這個問題。DeepSeek 和 Qwen 可從數十個 鏡像站與第三方平台下載。任何足以產生實際影響的禁令，在實務上都無法執行，並且有 可能把與中國安全部門毫無關聯的衍生模型一併納入。 美國能做的是，為透過美國基礎設施分發的 AI 模型建立最低安全標準。例如，商務部針 對中國來源聯網車輛所動用的權限，可以擴展到透過美國雲端平台提供的 AI 模型。為了 限制中國模型在美國市場的採用，商務部可以規定，任何透過美國雲端供應商分發的模型 ，都必須在標準化安全評估中達到最低門檻，例如由 AI 標準與創新中心制定的越獄基準 ——這將在隱含上排除許多不安全的中國來源 AI 模型。 管理能力提升所帶來的風險，不需要禁止使用開放權重模型，也不需要採取封閉原始碼立 場——相反地，美國政府推動開源 AI 有充分理由。但美國基礎設施不應促成那些特別有 利於惡意行為者的 AI 模型分發。就像網路犯罪者可以從暗網論壇下載零日漏洞利用程式 ，並不代表 Google 或 Amazon Web Services 也應該託管同一個漏洞利用程式。 經濟排擠 中國 AI 模型日益普及，正為美國帶來更深層的戰略問題。美國實驗室在算力上的投入極 為龐大：超大規模雲端業者在 2025 年單年就合計投入超過 3,500 億美元於 AI 基礎設 施，而 Stargate 計畫則構想在未來四年內建設價值 5,000 億美元的 AI 資料中心。這 項擴建假設前沿 AI 實驗室將持續需要大規模、集中式的叢集來進行訓練和推理。 昂貴的運算資源來向全球大眾提供其應用服務。但如果中國模型能夠在本地端以具競爭力 的效能運行——相當於 Mac Mini 的運算能力，或透過按比例計價的 API 呼叫——這或 許會引發一場更廣泛的討論：數千億美元投入基礎設施的邊際效用究竟有多大。當然，世 界仍然受限於晶片供應。充分理由讓人相信，為全球每週超過十億的 AI 使用者提供服務 ，在可預見的未來仍將需要龐大的運算資源。但中國率先開創的稀疏注意力模型架構的普 及，可能會在邊際上侵蝕美國基礎設施投資的價值。如果「夠好」的 AI 可以免費取得， 那麼只能從美國資料中心提供的「同類最佳」AI 所能收取的溢價就會縮小。 中國的開放權重模型已經開始在價格敏感的市場中占據主導地位——甚至包括灣區的頂尖 新創公司。在全球南方的大部分地區，DeepSeek 和 Qwen 正逐漸成為開發者的預設選擇 。新加坡國家 AI 計畫選擇 Qwen 作為其基礎模型，以及華為將 DeepSeek 整合至非洲市 場的決定，也可能標誌著 AI 基礎設施版「一帶一路」策略的萌芽。 正如美國在 2010 年代華為 5G 設備推廣期間所學到的，對這種威脅的回應不能是防禦性 的。限制中國模型，並不會讓美國替代方案在成本成為關鍵約束的市場中更具吸引力。Qw en 和 DeepSeek 之所以正在獲得全球市占率，是因為它們以更低成本提供具競爭力的效 能，且授權條款更寬鬆。如果美國希望全球南方建立在 Llama 而非 Qwen 之上，那麼美 國模型就必須持續保持更優秀的產品——而且它們需要能被廣泛取得。 川普政府已經意識到這項威脅，並開始建立制度機制，以贏得 AI 擴散競賽。在 2026 年 新德里的 AI 影響力峰會上，白宮科技政策辦公室主任 Michael Kratsios 提出了一個雄 心勃勃的框架，旨在將美國 AI 技術堆疊輸出給合作國家。這包括一項美國 AI 出口計畫 ，以及由產業主導的聯盟，向合作國家提供完整的 AI 全棧方案，並承諾加速出口許可與 專屬禮賓服務，以促成交易。一項「國家冠軍」倡議將把合作國家領先的 AI 公司整合進 客製化的美國出口技術堆疊中——即使在「美國優先」的科技戰略之內，也承認盟友追求 主權 AI 的空間。新的美國科技隊（U.S. Tech Corps）將仿照和平隊模式，派遣技術志 工前往發展中國家，協助 AI 在公共服務中的最後一哩部署。最後，財政部正透過世界銀 行與美國國際開發金融公司提供新的融資，協助全球南方的特定開發者取得美國 AI。 美國 AI 的出口基礎設施正在成形。其成功將取決於能否確保有具競爭力的開放權重，或 同樣低成本的美國產品可供出口。 既非禁止，也非放任不管 國會與政府已開始回應中國數位閘門開啟所帶來的局面。若獲通過，《政府裝置禁用 Dee pSeek 法案》（No DeepSeek on Government Devices Act）將禁止聯邦員工在政府提供 的硬體上使用中國 AI。更廣泛的《反對敵對 AI 法案》（No Adversarial AI Act）則會 將禁令擴及聯邦機構的所有運作，而維吉尼亞州、德州與紐約州已經實施州層級的禁令。 其中一些措施是合理的初步回應，但每一項都只處理了中國 AI 所帶來問題集合的一部分 ——這些問題涵蓋遭污染的供應鏈、大規模情報蒐集、為惡意行為者提升能力，以及削弱 美國對運算能力的世代性投資。 中國 AI 熱潮所帶來的風險籃子，應透過對在美國基礎設施上部署的模型實施最低安全標 準、要求供應鏈透明度，以及處理一個問題來加以應對：當中國模型更深入地嵌入美國及 其合作夥伴的數位基礎設施時，如何將隨之出現的風險隔離開來。美國需要在能競爭的地 方競爭，在必須監管的地方監管，並且行動得夠快，讓美國與中國 AI 生態系統之間的選 擇仍然是一種選擇，而不是既成事實。 Ryan Fedasiuk 是美國企業研究所（American Enterprise Institute）中國與科技研究 員，也是喬治城大學安全研究計畫的兼任教授。他先前曾在美國國務院擔任美中雙邊事務 顧問。 備註： 隨著LLM技術的普及，我自己實驗使用4G記憶體在僅靠十年前的i5 CPU不依賴GPU的狀況下 跑個7b模型已經是可行且響應速率可接受的事。更別說像是amd ai max+ 395這種直接內 建推理引擎的晶片，順順跑個70b模型不是問題，就算是小白，花個7萬左右買個筆電就可 以搞定。 想要更省可以買二手m系列的mac，大概不用三萬，應該是目前CP值最高的選擇。 問題在於模型，現在hugging facing太多特調過或再包裝的模型，根本不可能去一一檢視 哪個模型有問題，更別說現在模型都有欺騙能力。 能做的只能是裝可信任的發行模型，然後權限設好一點，獨自掛一台機器或虛擬機跟平常 用的電腦隔離。尤其是養龍蝦的不要聽別人說怎樣好用就權限無腦開，甚至連信用卡或是 網站帳密不設權限就填進去，那個很危險... --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.70.244.238 (臺灣) ※ 文章網址: https://webptt.com/m.aspx?n=bbs/Military/M.1775376361.A.AFE.html ※ 編輯: cangming (42.70.244.238 臺灣), 04/05/2026 16:06:40