美国首任国家网络安全总监克里斯·英格利斯（Chris Inglis）昨天在《外交事务》杂志发表评论警告：美国的人工智能岌岌可危。他强力建议加强防御。请读他们的评论：

2025年9月，美国人工智能公司Anthropic宣布，中国网络攻击者利用其模型攻击了约30家公司、机构和组织。Anthropic宣称，这是“首例有记录的、无需大量人为干预的大规模网络攻击”。此次针对美国基础设施的攻击创新之处在于使用了美国最先进的人工智能模型。虽然这是首例，但绝非最后一例。

同年，OpenAI报告称，伊朗黑客试图利用大型语言模型来支持网络钓鱼活动、恶意软件开发和影响力行动。自2026年2月华盛顿对伊朗发动空袭以来，德黑兰的行动愈演愈烈。美国网络安全公司Palo Alto Networks已报告称，超过60个与伊朗结盟的网络组织已开始行动，其中许多组织正在利用人工智能工具攻击西方基础设施。随着冲突持续，美国的数据中心、云服务提供商和金融网络很可能成为网络攻击的目标。大型人工智能训练集群和模型权重库蕴含着巨大的经济和战略价值，这使得它们对试图窃取、破坏或复制先进人工智能系统的外国情报机构而言极具吸引力。

目前，美国极易受到此类攻击。美国的网络防御能力不足，而人工智能正迅速融入美国生活的方方面面，包括经济活动和国家安全。因此，北京、莫斯科和德黑兰可能造成的损害正在与日俱增。换句话说，华盛顿陷入了进退两难的境地。一方面，美国公司正在生产推动人工智能革命的技术；另一方面，这场革命的成果正被有能力利用人工智能削弱美国的外国对手窃取。因此，每一项人工智能突破都蕴含着巨大的希望，同时也伴随着日益增长的风险。美国的防御体系薄弱，保护美国人工智能技术的战略也亟待完善。华盛顿必须迅速意识到这一形势，吸取近期国际网络应对的经验教训，并改变策略。

易受攻击的目标

几十年来，西方企业一直在努力保护自身产业免受网络盗窃和间谍活动的侵害，尤其是来自中国的网络攻击。在北京的指示下，美国及其盟国的许多技术最先进的公司都因其知识产权和商业秘密而成为攻击目标。例如，2004年，加拿大当时最大的科技公司北电网络（Nortel Networks）遭到中国黑客攻击，其专利和技术诀窍被窃取。北电于2009年宣布破产，中国电信公司华为填补了其竞争对手倒闭后留下的市场空白。2011年，美国超导公司（American Superconductor）也遭遇了类似的攻击。其风力涡轮机控制软件被中国华锐风能集团窃取，导致这家美国公司损失数亿美元的收入和市值。数百个美国工作岗位被裁撤，而这家中国公司后来又将搭载窃取软件的风力涡轮机卖回了美国。

哈佛大学和加州大学伯克利分校的研究人员记录了1995年至2024年间300多起中国网络间谍活动和知识产权盗窃的严重事件。在每一起事件中，美国都未能保护其资产和关键技术，包括半导体制造计划和航空航天设计。外国对手利用这些攻击加速自身发展，通过窃取而非创新来取得进步。

如今，人工智能系统对这些黑客来说更具吸引力，而由于硅谷一直以来都将速度置于安全之上，尖端系统更容易受到网络攻击和间谍活动的侵害。人工智能的进步和部署依赖于一个分层的基础设施，该基础设施包括硬件、数据、软件和人类专业知识，以及对整个生态系统中各个利益相关者的明确期望、角色和责任分配。计算资源（即计算机处理数据和运行应用程序所需的资源）是人工智能的基石。GPU 和 TPU 等专用芯片与中央处理器和其他加速器协同工作。训练数据是语言模型“智能”的原始素材，涵盖从文本、图像到视频、音频、代码和结构化数据集等各种内容。TensorFlow 和 PyTorch 等软件框架帮助开发者访问和修改人工智能工具，包括广泛使用的文本或图像生成工具。编排工具和操作管道确保数据和模型在其生命周期内顺畅运行。

该基础设施的每一层都必须可靠运行，兑现其承诺的功能，在各种使用场景下按预期运行，并具备合理的安全性。在每一层，人工操作人员和技术防御系统都必须能够预测、抵御并迅速遏制外部攻击。现代人工智能系统由于其不透明性、敏感性和不可预测性，在所有这些方面都面临挑战。同时，这些系统日益增长的复杂性使得如果没有美国政府的刻意干预，它们几乎不可能得到安全保障。

最大的目标

针对人工智能基础设施的攻击者有三个主要目标。首先，他们旨在窃取或破坏知识产权（例如训练数据或模型权重），以增强自身产业实力，或勒索赎金或削弱受害者的能力。其次，他们试图破坏使用人工智能系统的工具，从而扰乱包括欺诈检测、物流和健康诊断在内的服务。第三，他们希望破坏用户对所攻击系统的信任。攻击者尤其希望国家领导人得出结论：这些系统在突发事件和危机期间无法按预期运行。

人工智能模型权重尤其令人担忧。这些权重是模型智能的体现，是巨额投资、长时间训练和来之不易的专业知识的结晶。窃取这些权重将使外国行为者能够复制模型的智能。篡改这些权重将损害系统性能和用户信任。权重可能通过云端配置错误、内部人员窃取、侧信道泄露、API（应用程序编程接口）提取或供应链入侵等方式被窃取。一些攻击场景假设可以通过精心设计的模型查询或API调用进行系统性探测，从而窃取模型权重——API调用是软件程序通信和数据交换的标准方式。此类攻击难度较大，但完全在北京网络力量已展现出的能力范围之内。

事实上，网络防御中已发现多个危险漏洞。2025年，云安全公司Wiz的安全研究人员对英伟达（Nvidia）——这家设计全球应用最广泛的人工智能芯片的美国公司——进行了调查，发现了一个漏洞，攻击者可以利用该漏洞直接在其服务器上执行恶意软件。如果这些漏洞被利用，攻击者可以在补丁发布前窃取模型权重、篡改输出、泄露敏感数据或建立更深层次的网络立足点。同年，多伦多大学的研究人员演示了一种针对英伟达人工智能芯片的硬件攻击，该攻击会扭曲用于训练人工智能模型的计算。如果这种攻击被利用，将导致模型不准确且不可预测。此外，广泛使用的开源软件中的漏洞使得美国网络安全公司Horizon3.ai的研究人员能够在运行人工智能模型的系统上执行恶意软件。如果这些漏洞被攻击者利用，则可能被用来窃取运行这些模型的组织的凭证。目前没有证据表明这些漏洞在研究人员发现之前已被利用，但它们凸显了当今人工智能基础设施的脆弱性。

可以免费访问和使用的软件尤其容易受到黑客攻击，因为无需任何渗透即可访问它们。开源软件库支撑着现代数字基础设施的很大一部分，并为研究人员提供了构建自身系统所需的代码。因此，网络攻击可以感染数百万开发者使用的热门软件——而且这种情况确实发生过。历史上一些影响范围最广的网络攻击就是以这种方式进行的。一个流行的开源库中的一个漏洞就可能使全球所有依赖它的系统、开发者和组织机构都面临风险。

除了复杂的网络攻击之外，人工智能实验室和供应商也是更传统形式的胁迫的主要目标。包括《泰晤士报》在内的多家媒体近期报道称，中国和俄罗斯的情报机构正在勒索科技从业人员，甚至进行“蜜罐”行动——或者通过与他们发展关系来窃取信息。这些计划通常始于LinkedIn上的信息或在会议上的“偶遇”。由此建立的关系有时甚至会发展到婚姻和子女，而情报人员则悄悄地将商业机密传递回他们的祖国。商业机密也容易受到传统的内部窃取。 2024年，谷歌软件工程师丁林伟被控窃取超过2000页人工智能商业机密，其中包括谷歌专有芯片和基础设施的详细信息，并将其泄露给中国科技公司。

加强防御

美国决策者必须预料到，对手会像对待其他战略产业一样，以同样的强度和成功率来探测人工智能系统。如果不能加强防御、制定明确的威慑政策，并在人工智能实验室、供应链和政府机构中建立可执行的问责机制，华盛顿就有可能将耗资数万亿美元研发的技术竞争优势拱手让给北京。美国正开始朝着正确的方向迈出一些步伐。川普政府刚刚发布了一项新的网络战略，重点在于威慑、加强公私合作以及协调联邦机构间的政策。如果这项计划能够持续推进，将显著增强美国的网络安全韧性。但这目前仍主要停留在蓝图阶段，其影响将取决于具体的实施和执行情况。

保障人工智能基础设施的安全需要采取协调一致的行动，重点关注三个主要环节：芯片、线路和人员。在芯片层面，制造商和云服务提供商必须能够可靠地追踪受出口管制的硬件及其所驱动的安全关键系统，确保受限计算始终处于授权控制之下。包括英伟达在内的多家公司已经在试验位置验证方案，以确保GPU和其他受监管硬件受到监控并始终处于授权控制之下。这些系统使监管机构和运营商能够识别、隔离并关闭在约定边界之外运行的硬件。美国政策制定者必须继续鼓励此类方案，探索芯片追踪强制令和出口管制执法措施。经过验证的芯片应与数据中心层面的出站安全措施相结合，确保敏感模型数据不会通过未经授权的渠道或伪装流量泄露。

在网络层面，模型运营商必须监控和监管数据流，以防止模型权重、训练数据和敏感输出被窃取或篡改。哈佛大学和斯坦福大学的研究为防止人工智能模型权重被窃取提供了有前景的方法，即通过更全面、更高效地监控出站数据。现代人工智能模型以大规模运行，每天处理数百万个请求，几乎没有安全检查的空间。但防御者可以通过在可信的隔离系统上重新运行模型交互，并将结果与预期行为进行比较，来审计模型交互的一小部分。当模型的响应偏离正常值时，应将其标记出来以供进一步审查。这样，就能以相对较低的成本检测到细微的操纵行为。

在人为层面，机构必须假定内部人员会因胁迫、妥协和错误而成为攻击目标。为了防范攻击，组织应要求对敏感数据进行严格的多方验证。任何个人都不应能够访问或删除关键的模型权重。例如，据报道，Anthropic 要求多名获得授权的员工（每位员工持有单独的密钥或凭证）共同批准访问其最敏感的模型权重。这种多方控制系统的实施和维护成本很高，但它确保了任何内部人员都无法单独行动。政策制定者应通过将这些方案作为联邦合同和出口管制特权的条件，并向实施这些方案的公司提供降低监管责任的优惠来激励这些方案的实施。这将抵消强制实施这些方案的成本和运营挑战。

集结力量

为了加强美国的网络安全防御，国会应将人工智能系统及其供应链指定为正式的关键基础设施部门。这将使网络安全和基础设施安全局能够制定并执行基线安全要求。它还将赋予该机构协调事件响应、接收人工智能实验室提交的强制性网络安全事件报告以及优先获取联邦资源的权力。但仅仅获得认定还不够。要将法律地位转化为真正的韧性，需要借鉴外国政府在保护自身资产方面已经吸取的经验教训（这些经验往往来之不易）。这包括明确责任划分、行业与政府如何合作，以及如何在不扼杀创新的前提下执行安全目标。

贝尔弗中心2025年的一项关于国家网络战略历史的研究表明，有效的治理没有放之四海而皆准的蓝图。成功的方法必须根据每个国家独特的威胁组合、资源限制和政治动态进行量身定制。但该研究确实重点介绍了不同政府采取的三种方法，每一种都与华盛顿息息相关，因为美国官员正在考虑保护人工智能基础设施的最有效手段。

首先，一些国家已成功将行业人士纳入政府规划和应对机制，创建了包含私营专家的公共项目。例如，英国的“工业100”计划就让经验丰富的商业人士就网络安全问题向英国政府提供建议。美国也需要类似的计划，将私营领域的专业能力转化为公共部门在人工智能治理方面的能力，尤其是在人工智能持续发展的情况下。仅仅将人工智能实验室的前雇员和部分政策发言人引入华盛顿是不够的。目前在人工智能实验室工作的技术人员与美国政府机构之间必须保持持续的信息交流。在适当情况下，华盛顿甚至应该为私营企业雇员提供安全许可。它应该成立一个由人工智能模型实验室、云服务提供商、芯片制造商和其他关键领域的专家组成的联合小组。这将有助于建立必要的关系、信息渠道和机构记忆，从而制定和实施适当的安全措施，既能在事件发生时控制局面，理想情况下还能从根本上预防事件的发生。

其次，一些政府已将事件响应团队在机构上与执法部门区分开来，以激励尽早并频繁地报告事件。企业往往不愿披露安全漏洞，担心引发刑事调查或监管处罚。但这种不愿披露的做法会削弱集体防御和信息共享，因此美国必须找到方法来消除企业的这种担忧。为此，美国可以借鉴新加坡的做法。新加坡将应急响应团队设立在数字发展与信息部，而非安全部或国防部。这使得这些团队能够专注于预防和应对，而无需面临监管压力。澳大利亚也采取了同样的做法，不赋予其信号局任何法律执法权，并实施了“全灾害事件响应”协议，该协议禁止关键基础设施公司在应对事件时因消费者疏忽而承担责任。这降低了披露信息的法律和声誉风险，鼓励企业报告并开展合作，而不是为了逃避责任而悄悄地控制攻击。美国政策制定者应采用同样的方法来激励人工智能公司报告风险，同时避免因害怕遭到报复而阻碍沟通。

最后，华盛顿应该更多地利用其权力，在危机期间进行协调、设定基准并调动资源。目前，西方技术基础设施的特点是去中心化和由此带来的匿名性，而许多亚洲国家则强调集中所有权和完全可追溯的数据。这使得后者能够迅速果断地应对攻击。例如，在2018年新加坡保健集团（SingHealth）数据泄露事件发生后，新加坡网络安全局协调了跨政府的集中应对措施，并向整个医疗保健行业调动了大量技术资源，以防止未来再次发生攻击。美国可能不想像亚洲各国政府那样走得那么远；西方模式以人为本且具有创新性。但将两种方法结合起来才是最佳方案。

华盛顿伸出援手

对于美国而言，软性合作模式或许最为合适。在这种模式下，政府官员将被派驻到主要的人工智能实验室，建立共享的事件报告系统，并协调处理非敏感的威胁数据。这种模式既能使美国保持民主的权力分散，又能获得连贯的监督和可追溯性带来的安全效益。一个独立、有权力且能力出众的人工智能援助办公室可以巩固这种平衡，确保合作能够增强韧性，而不会演变成强制。白宫最近在一项行政命令中建议设立一个人工智能诉讼工作组，该工作组将通过促使联邦机构在人工智能安全执法、责任追究和事件响应方面开展合作，而不是各自为政，来强化这一架构。重点应放在建立半自治机构之间的和谐互动，同时避免集中化带来的种种弊端，以及集中化带来的效率和效力的虚假承诺。

然而，美国应为私营部门的前沿人工智能实验室制定一套统一且具有约束力的最低安全控制措施，涵盖模型权重存储、训练流程和内部人员访问，如同核安全和核心金融市场基础设施的监管方式一样。联邦采购和网络保险框架应奖励那些展现出卓越韧性的人工智能架构，并培育一个强大的人工智能安全初创企业生态系统，使其创新速度更快，专业知识更深入，超越公共部门的开发能力。最后，华盛顿必须通过立法和正式的行政政策声明明确指出，大规模人工智能知识产权盗窃构成战略攻击，将引发经济制裁、出口管制升级、刑事诉讼，并在必要时采取网络反制措施，包括破坏敌方基础设施。

人工智能基础设施已成为美国最新的关键基础设施领域，其建设速度远超其保护速度。快速实验有利于创新，创新应继续成为人工智能实验室和政策制定者的优先事项，但必须与其它安全关键领域所要求的纪律、标准和问责制相结合。正如迈克尔·贝克利在《外交事务》杂志上所观察到的，权力的本质已经改变。现代经济体不再将财富储存在港口、工厂或油田等可以被掠夺的实物资产中。发达经济体近90%的企业资产都是无形资产，例如软件、专利和数据。因此，现代征服的战利品大多是数字化的。掠夺行为也随之转移到线上，并在那里愈演愈烈。

美国有限的应对措施和失败的网络威慑助长了进一步的侵略，使外国竞争对手得以在窃取的资源基础上建立起自己的产业。这种失败削弱了美国的关键基础设施，并损害了其长期竞争力。在人工智能竞赛的最终赢家诞生之前，美国还有最后一次机会来纠正这一错误。如果想要成功，华盛顿必须迅速采取行动，为芯片、线路和人类建立可靠的防御体系。否则，中国将凭借美国自身的发明创造而最终获胜。