喬治亞·亞當森&格雷戈裏·艾倫| “生化武器”悄悄升級：美國一份報告讓人不寒而慄-喬治亞·亞當森、格雷戈裏·艾倫

guancha

2025-10-09

【文/喬治亞·亞當森&格雷戈裏·艾倫，摘譯/李旭】

“在人工智能的幫助下，生物學領域的研究可謂潛力無限……但與此同時，不懷好意之人也能利用這一技術開發新的生化武器。”

——特朗普政府2025年公佈的《美國人工智能行動計劃》

很長一段時間以來，好萊塢都在不斷產出有關瘋狂科學家利用邪惡技術引發全球性災難的影片，而現如今，在人工智能驅動的生物技術時代，這一虛構劇情可能很快就會成為現實。

從歷史角度來看，美國之所以能夠在很長一段時間內保障國家安全，是因為製造大規模殺傷性武器的成本高昂，所需技術又很複雜，例如，研發和部署核彈需要海量的專業知識與資金投入，對普通的犯罪分子而言，這是他們不可能完成的任務。即使是像薩達姆統治時代的伊拉克這樣資源豐富的國家，也沒能成功研發出核武器。

不過，隨着時間的推移，研發某些類型的大規模殺傷性武器，尤其是生化武器的門檻大幅降低。現在，美國官方面臨的挑戰是，如何在維護生物安全的同時，確保人工智能領域生物技術的蓬勃發展。特朗普政府在2025年7月發佈的《人工智能行動計劃》中明確指出，要進一步確保美國的生物安全。儘管其中有關加強核酸合成篩查和開發政府人工智能評估能力的建議目前仍未得到細化，但這仍可以稱得上是建立美國人工智能時代生物防禦體系的一個良好開端。

生化武器的低門檻時代

近一個世紀以來，研發生物武器所需的資金成本和技術要求大幅下降。二戰期間，美國生物武器計劃共僱傭了約4500人，其中相當一部分是技術專家。其預算總額達6000萬美元——接近曼哈頓計劃（譯者注：美國陸軍部於1942年6月開始實施利用核裂變反應來研製原子彈的計劃。該工程集中了當時西方國家最優秀的核科學家，10萬多人蔘與，歷時3年，耗資20億美元）總支出的3%。同樣，二戰時期日本的生物戰計劃僱傭了約3000人，其中包括數百名日本頂尖醫學專家。

20世紀90年代，僅有不到20人的技術人員的日本恐怖組織奧姆真理教，曾多次試圖利用肉毒桿菌和炭疽桿菌發動恐怖襲擊。幸運的是，奧姆真理教並未成功。

2017年，兩名加拿大科學家僅花費10萬美金就成功復活了此前已滅絕的馬痘病毒。而且，這兩位科學家並沒有自行研發這一病毒，而是將大量初始工作外包出去——通過商業合成實驗室定製了相關的DNA片段，這些實驗室在完成之後通過郵寄的方式將病毒DNA寄回給了他們。隨後，科學家在實驗室中將這些片段連接起來，並利用輔助病毒將它們引入細胞，最終制成了馬痘病毒。

儘管該研究的目的在於改善疫苗研製流程以及癌症治療，但此舉仍引發了人們的廣泛擔憂，因為這一事件表明，也許一個沒什麼專業知識的小型科研團隊花上半年時間就能成功復活天花。

AI: 生化武器擴散器?

如今，人工智能的飛速發展意味着只需幾個人就能夠開發生物武器了。2025年3月5日，谷歌前CEO埃裏克·施密特等人聯合發文宣稱，人工智能能夠一步步地指導犯罪分子完成設計致命病原體、獲取材料及優化傳播方法等步驟。人工智能實驗室Anthropic的首席執行官達里奧·阿莫迪（Dario Amodei）對此也表示認同，今年年初，Anthropic就曾指出，其新開發的大模型Claude 3.7 Sonnet在測試中已“展現出輔助開發生物武器的相關能力，這一點十分令人擔憂”。

人工智能已經可以為開發生物武器的犯罪分子提供實質性幫助。首先，眾多人工智能實驗室都已經發布警告稱，流行的商業大語言模型能夠大幅降低發動生化襲擊的信息壁壘。其次，生化設計工具也能夠協助犯罪分子生產新型病原體。

（一）大語言模型降低生化武器的信息壁壘

2025年2月，OpenAI發佈了旗下產品“Deep Research”的安全評估報告，報告指出： “我們發現，我們的模型已接近幫助新手發動生化武器襲擊的臨界點。”在該評估發佈不到一週後，一項新的研究顯示，OpenAI的o3模型在評估複雜病毒學實驗室協議故障排除能力的專業知識測試中，表現優於94%的專業病毒學家。

OpenAI並非唯一一個在提供生物武器開發關鍵信息方面取得快速進展的實驗室。Anthropic對Claude 3.7 Sonnet的評估也顯示，該模型能夠為發動生化武器襲擊之人提供更為實質性的幫助。來自頂尖人工智能實驗室的此類評估表明，大語言模型正迅速接近甚至超越為用户提供關鍵生化武器開發信息的安全閾值——部分模型已展現出超越專家級知識的能力。

（二）生物設計工具（BDTs）催生新型高風險病原體

2025年2月19日，全球最大的生物人工智能基礎模型Evo2問世。在訓練該模型的過程中，廠家搭建了一個包含超過12.8萬個基因組（這些基因組來自人類、動物、植物、細菌及其他生物，甚至包括某些病毒）的數據集。據稱，該模型能夠識別不同的DNA序列，並設計出全新的生物體基因組。藉助該工具，研究人員可輸入真實或虛擬的生物DNA序列，並模擬該生物在現實世界中的發育過程。

然而，像Evo2這樣的生物設計工具很可能也會產生不良的結果。例如，犯罪分子可能會利用具備生成能力的先進生物設計工具，創造出一種既致命，傳染性又高的禽流感新變種。

有兩家AI實驗室更新了自身的風險評估，指出現有模型已存在重大且即時的生物安全風險。根據非營利研究機構Epoch AI的估測，2017年至2021年間，頂級生物設計工具的訓練計算資源（衡量AI模型性能的常見指標）平均每年增長近21倍，相當於不到三個月就會翻一番（圖1）。模型訓練數據規模（另一項預測未來性能的指標）在2017年至2021年間平均每年增長近10倍（圖2）。儘管這兩項指標的增長速度已放緩至每年2–3倍，但生物設計工具的進步速度依舊飛快，從而引發人們的擔憂。

圖1：生物設計工具的計算訓練圖源：報告原文

圖2：生物設計工具訓練數據集的規模圖源：報告原文

一位生物安全專家指出，許多專家對生物設計工具的未來發展前景預測太過保守。例如，儘管數據可用性仍是一大瓶頸，但這一問題在不久的將來一定會得到解決。企業已着手創建專門用於訓練更強大生物設計工具的生物數據集，以設計新型生物體。這位專家預測，在未來三到五年內，生物設計工具就有望實現顯著進步。

其他學者也認為，雙用途生物設計工具的能力在短期內可能會得到巨大提升。在2024年8月的一篇論文中，研究人員指出，儘管當前模型在生成能力上仍存在侷限性，但“人工智能的快速發展以及投入計算和數據生成資源的不斷增加，表明相關能力很可能會加速提升”。

AI如何激增生化風險

幸運的是，在當前這個階段，開發生化武器仍需要克服許多障礙。首先，世界上存在數十億的病毒和細菌。選擇哪種病原體作為生物武器至關重要：例如，若選擇繁殖速度過慢的細菌，那麼該武器就無法實現快速擴散，從而產生足夠的殺傷力。而如果細菌變異速度過快，那麼在發動襲擊時就有可能表現出與預期不同的特性。實際上，這只是開發生物武器當中的第一步，其簡化流程如圖3所示。

圖源：報告原文

為了應對人工智能帶來的生物風險，政府有必要在生物武器研製路徑當中的多個階段設置多層防禦措施。例如，有效的AI模型安全控制機制可防止模型回答關於部署、執行生物武器攻擊的諮詢（圖3中的步驟0、1、3、4、5）。同樣，核酸合成篩查機制可在序列合成前識別有害序列（圖3中的步驟2）。此處只列舉了兩種生物安全措施，還有許多其他措施，如物理安全控制和管理程序等，不過這些都不在本文的討論範圍之內。

然而，隨着人工智能的持續進步，部分生物安全措施可能無法有效防範人工智能賦能的生物威脅。以下將重點闡述生物設計工具安全措施及合成篩查機制目前存在的核心問題。

（一）生物設計工具安全保障機制：Evo模型系列中的漏洞

若缺乏適當的安全保障，人工智能就有可能會創建出適合用於生化武器的病毒序列。為應對這一風險，Evo2的開發團隊旨在確保其訓練數據庫中不包含對人類、動物和植物具有傳染性的病原體信息。這意味着Evo2難以預測某些有害病毒的遺傳序列，且無法模擬這些病毒的遺傳密碼。Evo2開發團隊所做的工作大致相當於向學生教授化學知識時，將教材中關於爆炸物的章節直接撕掉。

然而，若未來類似 Evo2的模型確實能生成全新生物的基因序列，那麼開發團隊將無法保證該模型不會用來設計新的致病生物。以化學類比，這就像一個學生在學習過程中逐漸成為化學專家，哪怕他從未學習過如何製造爆炸物，他也很有可能會推斷出爆炸物的基本原理。

還有一種可能，即用户在後續階段將被移除的訓練數據重新添加回模型當中。此種情況在Evo1模型當中就已發生過。2024年，有學者指出，Evo1模型的開發團隊為防止該模型被濫用，選擇將“感染真核宿主的病毒基因組”從模型訓練數據中排除了出去。隨後，他們按照當前學術界的慣例發佈了模型權重。

而就在Evo1發佈數週後，就有科學家利用感染人類的病毒數據對模型權重進行了優化。儘管該案例涉及的病毒屬於無害病毒家族，但此案例依舊能夠説明，對開放模型進行微調要比訓練新的大模型成本更低。

實際上，Evo2模型所採取的生物安全方法與Evo1非常相似，因此這些措施可能會被繞過。至少從目前來看，此類生化武器的製作路徑仍需相當程度的專業知識。然而，正如Evo1的案例所示，專家也可將有害病毒序列重新引入模型當中，從而為技術水平較低之人打開大門。

令人擔憂的是，Evo系列模型是目前僅有的少數幾個具備安全防護措施的生物設計工具之一。Epoch AI在對370個生物模型進行調查後指出，只有不到3%的模型包含風險應對措施。如果Evo系列模型代表了該領域最強大的生物安全措施，但依舊可以被輕易規避，那麼這足以説明生物設計工具在應對生物風險方面存在根本性缺陷。

（二）核酸合成篩查：基於現有清單方法的侷限性

在生化武器開發的過程中，除了生成具有適當傳染性和致命性的病毒序列外，還存在其他障礙。例如，即使像Evo2這樣的生物設計工具能夠設計出傳染性生物體，犯罪分子仍需獲取物質層面的DNA鏈（如圖3所示的步驟2）。

遺憾的是，此類障礙也在逐漸消除。隨着合成生物學技術的進步，現如今的商業公司可“打印”定製的合成核酸（DNA或RNA）序列，同時還能將其快遞到全球任何一個地方。客户可通過互聯網下單，並在兩到四個工作日內以每鹼基對（核酸的基本單位）幾美分的成本獲得合成好的核酸樣本。

美國政府已發佈安全指南，要求DNA合成公司採取相應措施，應對這一行業可能面對的生物安全風險。截至該報告撰寫時，美國衞生與公眾服務部（HHS）和科技政策辦公室（OSTP）已發佈三項主要框架，鼓勵企業對合成訂單進行有害遺傳內容篩查

（三）2023年美國衞生與公眾服務部合成核酸篩查框架指南

2023年，該部門更新了2010年發佈的指導文件，為合成供應鏈中的各方提出了相應的安全監管建議：

供應商應篩查所有核酸序列（即單鏈和雙鏈DNA及RNA）與受聯邦監管的病原體是否匹配，此外，“在合成時”，他們還應篩查已知會增強病毒毒性的非受監管序列。

供應商和客户應驗證、跟蹤並記錄相關序列的最終用户。

供應商和設備製造商應加強網絡和信息安全保障措施，以保護自身的知識產權和客户信息。

設備製造商應對客户進行篩查，並採取安全措施確保未授權實體無法使用相關設備。

圖4：2023年美國衞生與公眾服務部核酸合成服務提供商篩查框架的簡化分步示意圖圖源：報告原文

隨着人工智能與生物技術的日益融合，這些措施很快就會過時。也許在不久的將來，我們就會遇到這樣一種情況：一家DNA合成公司接到客户請求，要求其合成一段序列。按照最新的政府指南，公司員工認真將序列與公司的數據庫（包括受聯邦監管的物質和毒素）進行比對，並未發現異常。然而，這段序列可能是客户用人工智能新開發出來的。面對此種情況，員工應如何處理？

2024年12月，多家生物技術公司和生物安全組織代表發表研究指出，現有的AI蛋白質模型“已經能夠生成……與已知最接近的天然蛋白質相差數百個突變的蛋白質”。為驗證這些AI生成的蛋白質是否能繞過合成公司的篩選工具，研究人員生成了數萬個與已知序列功能等同但排列不同的有害序列。隨後，他們在安全、保密的環境下將這些序列輸入商業生物安全篩選軟件進行測試。

研究人員報告稱，多家公司的軟件（包括主要供應商所使用的篩選方法）“無法可靠地檢測出此類由人工智能重新設計出的毒素和病毒蛋白”，其中“甚至有某些蛋白質的變體沒有被任何一個軟件檢測出來”。通過調整篩查軟件，研究人員最終將檢測成功率提升至97%。然而，該研究仍然認為：“從長遠來看，我們不應僅依賴基於序列篩查的生物安全策略，因為用不了多久，人工智能就能生成自然界中從未出現過的序列。”

事實上，上述研究凸顯了當前美國政府篩查指南所包含的三大關鍵侷限性。

1.當前列出的63種受監管的病原體清單很可能無法覆蓋到未來生物設計工具設計出的新型病原體。2025年4月，美國國會委託國家新興生物技術安全委員會發布的報告指出，當前美國生物安全措施（如受控病原體清單）過於“粗放且被動”。就連2023年衞生與公眾服務部的框架也承認了這一不足，其中指出生物技術的進步可能幫助用户“設計出具有完全新型序列的致病或有毒蛋白質”。

2.擴大合成篩查覆蓋範圍的努力尚處於初期階段，且很有可能跟不上技術的發展。近年來美國政府合成篩查指南的最大更新之一，就是鼓勵服務商擴大篩查範圍，納入更多有害的、未受監管的遺傳序列。儘管這一舉措在理論上有利於提升生物安全，但在實踐中面臨三大關鍵挑戰：

目前，行業和政府利益相關方對哪些序列需受監管尚無共識。

除聯邦監管清單外，目前尚無標準化的監管數據庫。

未來人工智能生物學模型的生成能力可能導致數據庫持續落後。

3.當前政府框架鼓勵供應商及其他相關方自行制定安全規範，而這可能會導致生物安全體系碎片化，而且那些忽視安全措施的企業可能會因成本或研發速度優勢在競爭中佔據優勢地位。此外，有企業表示，遵守當前政府篩查指南的成本十分高昂，而且這些成本很可能會成為企業運營的主要成本。因此，高篩查成本可能會促使企業為降低成本而忽視安全規範，客户也可能會利用當前缺乏國際合成安全標準的漏洞，選擇不採用安全措施的外國供應商，在境外生產危險序列。