5月8日,美国国会众议院外交事务委员会主席Michael McCaul,美国与中国共产党战略竞争特别委员会主席John Murnar,,民主党首席议员Raj Krishnamoorthi和民主党众议员Susan Wild共同提出了“增强海外关键出口限制的国家框架法案”(Enhancing National Frameworks for Overseas Restriction of Critical Exports Act,ENFORCE法案)。
ENFORCE法案对美国2018年《出口管制改革法》做出了三项修改,授权美国商务部长可以在和国务卿、国防部长和能源部长协商后,对一些“人工智能系统”和“对美国国家安全至关重要的特定新兴和基础技术”进行出口管制,并限制美国人与外国人合作开发此类系统和技术。具体而言:
在该法第1742节的“定义”条款末尾增加了“人工智能”“人工智能系统”“受限人工智能系统”“模型权重”的定义。
在第1753(a)节末尾增加相关内容,授权美国总统在涉及特定受限人工智能系统和对美国国家安全至关重要的新兴及基础技术时,可以管制美国人的活动,无论相关美国人是在美国国内还是国外。
第1754(d)节末尾增加相关内容,规定美国人在出口、再出口或国内转移“受限人工智能系统”和“对美国国家安全至关重要的特定新兴和基础技术”,或者为设计、开发、生产、使用、操作、安装、维护、修理、大修或翻新这些系统和技术,或为与之相关的服务性能从事上述活动时,美国总统可以要求相关美国人向商务部申请许可。
法案对何为“受限人工智能系统”做出了一个“临时定义”:
首先,这种人工智能系统表现出比较高的能力,能够实施严重威胁美国国家安全和外交政策的任务。或者其本身虽然没有这种能力,但在被人为修改后可以具备此种能力。法案就此列举了三个例子:
例一:这种人工智能系统能显著降低专家或非专家设计、合成、获取或使用化学、生物、辐射或核(CBRN)武器或大规模杀伤性武器的门槛;
例二:这种人工智能系统可以通过自动化发现和利用漏洞进行网络攻击,从而能实施攻击性网络行动;
例三:这种人工智能系统能通过欺骗或混淆手段,规避人类控制或监督。
法案最后还设了一个兜底性质的描述:如果可以合理预期相关人工智能系统会表现出上面这些能力,例如技术上具有和上述人工智能系统相似,或者和涌现相关能力的模型具有等效的性能。
最后,法案强调,只要相关人工智能系统满足了上述标准,就要受到限制,就算出口上述系统的公司向最终用户提供了技术保护措施、试图阻止用户利用相关能力,也不能豁免管制。
但上述定义只是临时的,在法案生效365天后,商务部长要在和国务卿、国防部长、能源部长协商,在考虑技术和非技术因素,特别是怎么才能最有效维护美国的国家安全后,对“受限人工智能系统”做出一个最终定义,且这个定义要根据需要及时更新。
从法案对“受限人工智能系统”的“临时定义”看,既包含了专有或闭源模型,也没有排除Llama 3这种开源模型。
同一天,路透社的另一则消息则援引“三位熟悉内情的人士”的话透露:“美国商务部正在考虑出台一项新的监管措施,目的是限制专有或闭源人工智能模型的出口,因为这些模型的软件和训练数据都是保密的。”
消息人士还透露,目前这项工作还在草拟规则阶段。
从这则消息看,商务部正在考虑进行出口管制的似乎是闭源模型。这倒并不奇怪,我一直以来的观点就是,如果你因为国家安全问题要限制甚至禁止“人工智能技术”的出口,那目标应该精准地定位在基于海量数据训练出来的、包含大量参数的模型,而不能是笼统的“人工智能技术”本身,甚至限制“源代码”也没什么意义,因为很多底层源代码具有高度的通用性,更不用说那些再Github这些地方已经开源的代码。这一点,我在《我们需要限制个性化信息推荐算法的“出口”吗》一文中有比较详细的阐述。
在人工智能领域,中美在暗中较劲,中国总体是追赶者状态。不管是担心大模型被用来制造核武、化武或者生物武器,还是单纯只为遏制中国人工智能技术进步,美国不希望OpenAI这些人工智能巨头开发的前沿大模型被中国获取。情报界、智库和学术界近期一再发出警告,建议政府防范美国前沿大模型的上述风险。
出于地缘政治、监管环境等各种考虑,目前美国大模型企业还都没有进入中国市场,OpenAI的服务不给中国境内用户使用,在亚太建设的第一家分部也设在了日本而不是香港。但理论上,如果美国公司想要出售大模型给中国,目前美国的法律框架无法阻止。因为人工智能模型还不是美国出口管制的对象,阻止美国技术被中国获取最常用的管制工具不能发挥作用。但如果能改革美国的出口管制法,把人工智能模型纳入管制范围,就能解决该问题,这也是目前ENFORCE法案采取的路径。
从法案的定义条款来看,是把决定哪些大模型需要进行出口管制的权力交给了商务部。一种可能的方法是以模型训练所需的浮点运算数(FLOPs)划线,确定一个阈值,超过就管制,不超过就放开。因为FLOPs实际是模型训练做了多少次加法和/或乘法运算(一次加法和一次乘法合计一次FLOP)。FLOPs的数量如果很大,说明模型规模很大,能力和带来的风险也就更大。
因此,商务部监管美国基础设施云服务拟议规则征求公众意见稿,也把客户使用美国云服务训练模型使用的浮点运算数作为触发向商务部报告义务的主要标准。
拜登人工智能总统行政令4.2条根据《国防生产法》要求美国公司提交模型红队测试结果等信息,为此设置了相对精准的FLOPs门槛:1)使用超过1026整数或浮点运算的计算能力,或2)主要使用生物序列数据并使用超过1023整数或浮点运算的计算能力;3)任何计算集群,该集群拥有一组物理上共用一个数据中心的机器,通过超过 100 Gbit/s 的数据中心网络进行横向连接,理论上最大计算能力为每秒1020次整数或浮点运算,用于训练人工智能。据了解,市面上似乎暂时还没有任何大模型能达到或超过这些阈值,所以它们针对的是未来会出现的、能力更强的模型。理论上,商务部为执行ENFORCE法案设置的“受限人工智能系统”阈值,可以暂时照搬这个标准,这样也有利于美国人工智能监管不同规则集之间的协调。
但也有一些美国专家持有不同观点。例如,前白宫和司法部官员Jamil Jaffer就认为不应使用计算能力作为门槛,而应选择基于模型能力和预期用途的控制方法,关注国家安全风险本身,而不是技术门槛,因为这样更持久,也更聚焦在威胁而非技术性能。
但无论如何,这些阈值肯定是会随着技术发展和地缘政治形势不断变化的,也可能需要结合数据类型或人工智能模型的潜在用途设置不同的阈值,比如设计可用于制造生物武器的大模型,其阈值肯定要比一般大模型门槛要更低一些,以免控制上的疏漏给人类带来灭顶之灾。
另一个重要问题是,商务部是否也在考虑限制开源模型的出口。这对国内的大模型生态来说可能更加关键。
今年2月份,纽约时报的一篇报道指出,尽管中国正在努力建设人工智能,但中国公司经常使用“西方模型的微调版”,几乎完全依赖于美国的底层系统。
清华大学苏世民书院院长、人工智能国际治理研究院院长薛澜教授在上个月中国数字经济发展和治理2024学术年会上,也再次捅破了这个窗户纸:目前国内很多大模型是在美国开源模型基础上进行“套壳”和“拼装”弄出来的,原创性有限。
对美国开源模型被中国企业获取和使用、经过微调(fine-tuning)后建立自己的大模型并对外提供服务,美国政府显然已经开始密切关注,并正在评估下一步该采取什么行动。
历史上,美国对开源技术一直是自由放任,只管制带有军事情报意义的开源加密软件,和无人机编程这类可明显用在军事系统的软件和技术。同时,因为美国科技界对开源的强大支持,以及开源对技术创新、促进下游市场竞争的作用,美国政府在监管开源模型问题上十分审慎,目前只是在收集信息和加强研究。
2023年10月30日,拜登总统发布一项关于 "安全、可靠和值得信赖地开发和使用人工智能 "的行政命令,指示商务部长与国务卿协商,就开源的“两用基础模型”的潜在风险、益处、影响以及适当的政策和监管方法,征求公众意见并发布一份报告。
为执行该行政命令,美国商务部下属的国家电信和信息管理局 (NTIA) 发布了一份“两用基础模型”的征求意见稿。收到的答复将用于向总统提交一份报告,说明“可广泛获得模型权重”的两用基础模型的潜在好处、风险和影响,以及与这些模型有关的政策和监管建议。
NTIA在征求意见稿中强调:虽然开放式基础模型可能带来巨大的利益,但也可能带来风险。开源基础模型的权重可以被轻易获取,微调所需的计算量也不断减少,导致其可能危害安全、公平、公民权利,或由于被滥用、缺乏有效监督或问责机制造成其他危害。由于用于训练模型的数据集具有相似性,这些开放的基础模型也可能极易被坏人拿来开发针对专有模型的攻击,或造成虚假信息、隐私侵犯等风险。
从NTIA列出的问题看,他们一方面特别关注开源基础模型会带来哪些风险,以及与微调、预训练或部署模型相关的训练数据或源代码同时开放时,这些风险会产生的变化,但同时也很关心开源基础模型对人工智能市场和其他经济领域的竞争和创新有什么好处。能够明显感觉到他们小心翼翼,希望获得公众的反馈,了解和权衡其中的利弊。从这也能看出,国会要对开源模型进行出口管制可能会有很大阻力,但是如果商务部真想管制,还确实需要一部国会立法给它授权。
但实际上,中国公司获得美国开源模型的权重及架构细节,并没有让它们接触到美国公司任何“商业秘密”或“核心技术”。开源是计算机科学的常态。所有现代大语言模型都是由相同的算法模块构建而成。Llama 2和2017年最初的Transformer之间的架构差异不是Meta创造的产物,而且也都是公开的。基于开源代码构建的大模型,后来表现呈现差异的主要原因是训练数据不一样。从这个意义上说,管制开源模型的目的如果是为了遏制中国的人工智能企业冠军,没有多大意义。
更何况,就算美国不管,中国监管部门是否鼓励中国公司使用美国的开源模型,至少目前还存有疑问。Hugging Face在中国已无法访问。已经成为国内生成式人工智能合规重要参考的TC260技术文件“生成式人工智能服务安全基本要求”,在“模型安全要求”部分明确规定:如需基于第三方基础模型提供服务,应使用已经主管部门备案的基础模型。但问题是使用国外开源基础模型的国内开发者很难提供备案所需的那些基本信息。事实上,个人认为如果不鼓励,也符合预期,抛开网络安全、数据安全等考虑,从ENFORCE法案法案和商务部考虑对基础模型进行出口管制来看,中国大模型应该吸取半导体被卡脖子的教训,立足于自身,避免过度依赖美国技术,确保技术和产业安全。
近期和一些美欧专家在学术会议等场合偶有交流,也会提到这个问题。大家普遍的观点是:美国可能会限制闭源人工智能模型对外提供,但不太可能限制开源人工智能模型,欧盟已经放松了对开源模型的监管,在美国关于开源的相关讨论也越来越不支持限制开源模型。因此,我设想未来可能是:闭源模型以计算能力的特定阈值划线,对性能很强的大模型进行出口管制;对开源模型,有可能借鉴金融业或前期征求意见的“基础设施即服务”拟议规则,要求提供开源模型的美国企业“了解你的客户”(KYC),并向美国政府报告中国企业使用美国开源模型的情况。但开源的本质在于允许任何人自由下载和使用模型,不需要注册或提供使用者的详细信息。除非使用者自愿报告使用情况,否则将模型开源了的美国公司一般很难了解和追踪谁在使用其模型。商务部在就开源基础模型征求意见后能否获得什么其他的灵感,可以观察。
欢迎加入“东不压桥研究院”知识星球”,获取“增强海外关键出口限制的国家框架法案”中文翻译版、美国商务部对两用基础模型征求意见稿中文翻译版。
