前言

2026年3月底，AI行业遭遇了一场令人震惊的安全事件——Anthropic（Claude大模型背后的公司）因CMS配置失误，导致3000份内部文件意外泄露到互联网上。这场事件不仅暴露了这家以"安全第一"为核心理念的公司的基础设施漏洞，更揭示了一个更深层次的问题：在资本压力和竞争白热化的背景下，AI安全承诺正在从硬性约束变为软性公关语言。

如果只是简单的配置失误，这或许只是又一个科技公司的安全事故。但结合此前一个月Anthropic修改《负责任扩展政策》（RSP 3.0）删除硬性约束条款的事件，以及与美国国防部的博弈，这场泄露折射出的，是整个AI行业面临的深层次困境。

一、事件概述

（一）泄露经过

2026年3月底，网络安全公司和剑桥大学研究人员发现，Anthropic用于发布官博的内容管理系统（CMS）存在致命配置失误——所有上传的文件默认公开可访问。

这场泄露涉及近3000份内部文件，包括：

• 博客草稿和文章
• 员工个人信息（包括育儿假记录）
• CEO闭门峰会细节
• 内部安全评估报告
• 尚未发布的模型相关信息

剑桥大学研究人员证实了泄露材料的真实性，指出这些文件"完全暴露在互联网上，没有任何访问限制"。

（二）事件核心

1
2
3
4

泄露源：Anthropic官方CMS配置失误
发现者：LayerX Security + 剑桥大学
泄露文件：约3000份
关键时间：2026年3月底

二、从硬刹车到软着陆：RSP 3.0的变化

（一）RSP 1.0-2.0：硬性约束时代

2023年，Anthropic推出《负责任扩展政策》（Responsible Scaling Policy, RSP），整个AI行业为之侧目。这是第一次，有AI公司公开承诺：

“如果模型太危险，我们就不做了。”

当时的逻辑非常清晰：

• 设定明确的危险阈值：比如可能助长生物武器研发的模型
• 一旦触及，立刻暂停训练：硬性约束，没有商量的余地
• 安全优先级最高：高于商业进度、融资节奏，甚至IPO窗口

这种"做不到就不许动"的态度，让Anthropic在当时成为AI安全的标杆企业。

（二）RSP 3.0：从硬刹车到软着陆

2026年2月，Anthropic发布了RSP 3.0，改变了这一策略。那条核心的"硬性约束"条款消失了。

取而代之的是：

1
2
3

- 前沿安全路线图
- 风险报告机制
- 外部审查流程

官方解释是：“技术边界模糊，无法预设红线，所以转向透明披露。”

首席科学家Jared Kaplan在一次采访中直接道出了背后的逻辑：

“如果竞争对手飞速前进，我们单方面承诺暂停训练没有意义。”

这不是技术判断，是生存判断。对于一家估值3800亿美元、正被OpenAI、Google、xAI围剿的公司，继续自我设限在商业上意味着掉队。

三、军事博弈：当安全红线遭遇国家意志

如果说RSP 3.0的调整是主动妥协，那么军事领域的博弈，则是一场真正的底线考验。

（一）安全承诺与军事限制

Anthropic曾公开承诺："拒绝参与全自主武器和国内大规模监控。"这一承诺一度被视为AI企业道德立场的典范。

（二）国防部最后通牒

2026年2月24日，美国国防部长皮特·赫格塞斯当面向Anthropic CEO达里奥·阿莫迪下达最后通牒：

1
2
3

要求：解除Claude模型的所有军事用途限制（包括进攻性网络行动）
截止时间：2026年2月27日
后果：要么被强制接管，要么被列为供应链风险企业

供应链风险企业这个标签通常只用于敌对国家的公司，一旦贴上，Anthropic将失去所有国防承包商的商业联系，这在商业上是致命打击。

（三）法律博弈

2月27日，最后期限刚过14分钟，谈判破裂，Anthropic被正式列为供应链风险。特朗普随后下令联邦机构停止使用Anthropic技术。

但故事没有就此结束：

• 3月9日：Anthropic向加州联邦法院提起诉讼
• 3月26日：加州联邦法院法官批准初步禁制令，叫停国防部封杀令
• 关键证据：Anthropic证明模型在军方封闭环境中无法远程控制，戳穿了安全风险指控

Anthropic在这一回合守住了底线，但问题依然存在：这条线能守多久？法院的裁定只是初步禁制令，国防部可以换一种方式再来。更重要的是，Anthropic的客户名单里依然有国防部的名字——那些作战规划和情报分析的合作，依然在继续。

四、内部管理的灯下黑

（一）CMS配置的低级错误

一个最令人尴尬的事实：这场泄露源于最基础的权限设置问题，类似于AWS S3存储桶忘记关权限。这不是复杂的技术漏洞，而是基础架构管理的失职。

一家以"安全第一"为核心理念的公司，却在最基础的权限管理上栽了跟斗。这种"灯下黑"的现象在科技史上并不罕见：

• 苹果与FBI的数据保护之争
• 微软的安全补丁漏洞
• Google内部数据泄露

但Anthropic的特殊性在于：它的核心价值主张就是安全。当一家以安全第一立身的公司，连自己的内部文件都保护不好，这本身就构成了一个值得深思的问题。

（二）泄露文件中的重要警示

在泄露的文件中，有一句值得注意的话：

“Mythos预示着即将到来的一波模型浪潮，届时模型将以远超防御者努力的速度来利用漏洞。”

这种措辞之重，不像市场部写的宣传语，更像一份内部预警。这句话反映了一个残酷的现实：AI能力的发展速度正在超越安全防御能力。

五、AI安全的囚徒困境

RSP 3.0的变化、国防部的最后通牒、CMS的低级失误——这三件事拼在一起，勾勒出一个更深层次的困境：AI行业正在经历一场安全叙事的重构。

（一）囚徒困境的形成

1
2
3

监管真空：政府没有建立统一的红线
竞争压力：任何一家的道德洁癖都可能成为竞争劣势
叙事演化：安全从工程约束变为公关语言

首席科学家Jared Kaplan的那句话，值得被反复讨论：

“如果竞争对手飞速前进，我们单方面承诺暂停训练没有意义。”

翻译过来就是：除非所有人一起踩刹车，否则谁先停，谁先死。这就是AI安全的最大悖论。在监管真空、竞争白热化的今天，没有一家公司敢做唯一的好人。

（二）安全承诺的价值重估

当安全承诺可以被修改时，它还是承诺吗？当人类在回路中成为免责声明时，安全还有意义吗？

这些问题的答案，正在重新定义AI行业的价值体系。每个修改都有合理的解释：

• 技术边界确实在模糊
• 监管环境确实在变化
• 商业竞争确实在加速

但问题在于：当安全承诺从刚性约束变为弹性调节时，它的可信度正在被侵蚀。

六、对中国AI公司的启示

Anthropic的困境，不是硅谷的孤例。中国AI公司同样面临"安全vs商业"的悖论。

（一）监管环境的差异

中国的监管环境相对明确。网信办等部门的AI管理规定，为企业划定了相对清晰的红线。但红线清晰不代表没有压力。当字节跳动、阿里、百度等巨头加速迭代，创业公司同样面临"别人都在跑，我不能站着"的囚徒困境。

（二）三点核心启示

从Anthropic的教训中，中国AI公司可以带走三点启示：

第一，安全承诺需要可执行，不只是可传播

RSP 3.0的调整说明，安全一旦变成公关语言，就会失去可信度。承诺的价值不在于说得多漂亮，而在于能不能兑现。

第二，组织流程是安全的最后一道防线

CMS失误不是技术问题，是流程问题。再强的模型能力，也弥补不了最基础的权限管理漏洞。当公司全力追求模型能力的指数级增长时，基础架构的稳健性往往被忽视。

第三，底线需要提前划定，而不是临场博弈

Anthropic守住了拒绝全自主武器的底线，但作战规划的合作依然存在。这条线划得清楚吗？如果提前划定，就不会被逼到墙角。对于中国AI公司来说，在监管框架内明确自己的安全底线，比在压力面前临时决策更主动。

七、行业影响与未来展望

（一）对AI安全行业的影响

这场泄露事件对AI安全行业产生了深远影响：

1
2
3
4
5
6
7
8
9

短期影响：
- 安全股集体下跌
- 行业对AI安全能力产生重新评估
- 企业加强内部安全管理

长期影响：
- 安全承诺机制需要重构
- 透明度与安全平衡需要重新思考
- 行业标准可能面临调整

（二）对整个AI行业的警示

Anthropic的案例表明，当模型能力逼近现实系统边界时，AI公司需要面对的已经不只是"能不能做出来"，而是"能不能安全地发布"。

这不仅是一个技术问题，更是一个治理问题、一个商业问题、一个伦理问题。

八、结语

Anthropic的泄露事件，最终会被修复。CMS权限会被重新设置，泄露的文件会从互联网上消失，RSP 3.0会继续执行。

但那个根本问题会一直存在：当一家以安全第一立身的公司，在资本压力和国家意志面前，一次次被逼到墙角，它还能守住多少底线？

Anthropic用被制裁、被列为供应链风险的代价，守住了拒绝全自主武器这条线。但这条线能守多久？五角大楼会换一种方式再来吗？

答案从来不是模型更强、算力更大。答案是：把最基本的流程做好，把最基础的承诺守住。

这是Anthropic给整个AI行业上的一课。也是最难的一课——因为在这一课里，Anthropic自己，既是那个抗争的学生，也是那个需要反思的学生。

（一）关键事实总结

（二）未来展望

这场事件可能成为AI安全发展史上的一个转折点。它提醒我们：

1. 安全需要可执行性，不只是可传播性
2. 技术再先进，也需要基础架构的支撑
3. 底线需要提前划定，不能临时博弈
4. 安全承诺是企业价值的核心，不应被轻易妥协

📌 本文基于公开新闻报道和官方信息整理，部分细节可能随官方回应而更新。

整理时间：2026-03-29