Mô hình lớn của Mỹ đi vào khép kín, nhân danh an ninh

Tác giả: Tiểu Tĩnh

Biên tập: Từ Thanh Dương

Sáng ngày 27 tháng 6, Anthropic thông báo: Chính phủ Mỹ đã phê duyệt việc triển khai lại mô hình an ninh mạng mạnh nhất của họ, Mythos 5, tới hơn 100 cơ quan Mỹ, bao gồm các doanh nghiệp lớn và cơ quan chính phủ. Phiên bản dành cho công chúng Fable 5 sắp được "khôi phục".

Theo thư của Bộ trưởng Thương mại Lutnick gửi cho đồng sáng lập Anthropic Tom Brown mà truyền thông nước ngoài có được, Lutnick thông báo cho Anthropic rằng ông đã "xác định các biện pháp bảo vệ an ninh phù hợp đã được thực hiện".

Tuy nhiên, trong cùng bức thư, Lutnick chỉ ra rằng tất cả các yêu cầu khác của chỉ thị ban đầu ngày 12/6 vẫn có hiệu lực, và không hề đề cập đến thời điểm Fable 5 sẽ được khôi phục cho công chúng.

Gần như đồng thời, vào rạng sáng ngày 27/6, OpenAI chính thức phát hành ba mô hình thuộc dòng GPT-5.6: Sol, Terra, Luna. Cũng theo yêu cầu của Nhà Trắng, GPT-5.6 chỉ mở API cho các "đối tác được chính phủ phê duyệt từng trường hợp", và chưa khả dụng trên ChatGPT.

Nhìn lại dòng thời gian: Ngày 2/6, Trump ký sắc lệnh hành pháp về AI; Ngày 9/6, Anthropic phát hành Fable 5 và Mythos 5; Ngày 12/6, Bộ Thương mại ra lệnh gỡ bỏ toàn diện; Ngày 26/6, OpenAI phát hành GPT-5.6 nhưng bị hạn chế phân phối; Ngày 27/6, Mythos 5 được phê duyệt khôi phục hạn chế.

Chưa đầy một tháng, việc kiểm soát mô hình AI tiên phong của chính phủ Mỹ đã trải qua một chu kỳ hoàn chỉnh "tạm dừng - đàm phán - cho phép có điều kiện".

Trưởng nhóm chiến lược OpenAI Dean W. Ball (cựu cố vấn AI Nhà Trắng) đã tóm tắt tác động của sự việc này đối với ngành trong blog ngày 16/6: "Các nhà phát triển mô hình AI tiên phong giờ đây cần có 'đèn xanh' rõ ràng từ chính phủ mới được phát hành".

Dean W. Ball trong bài viết dài ngày 26/6 "What Should Be Done" nhận xét: "Không ai biết các yêu cầu để được cấp phép thực sự là gì. Ở đây khi tôi nói 'không ai', tôi muốn nói theo nghĩa đen: dường như ngay cả các cơ quan chính phủ cũng không biết".

Hình ảnh: Bài viết dài What Should Be Done của Dean W. Ball

01 Thực sự mạnh đến mức không an toàn?

Đây là vấn đề cốt lõi nhất của toàn bộ sự việc. Hành động của chính phủ dựa trên một tiền đề ngầm: khả năng của các mô hình này đã mạnh đến mức tạo thành rủi ro an ninh không thể chấp nhận được. Nhưng đánh giá chính thức của chính các công ty liên quan lại đưa ra kết luận hoàn toàn trái ngược.

Trong bài đăng phát hành GPT-5.6, OpenAI đã tiết lộ kết quả đánh giá an toàn đầy đủ. Theo khung sẵn sàng do chính OpenAI thiết lập và công bố công khai, Sol không vượt qua ranh giới này. Đường đỏ trong khung này được định nghĩa là: liệu mô hình có thể tự mình phát hiện và khai thác các lỗ hổng chưa biết của mục tiêu có giá trị cao mà không cần sự hỗ trợ của con người hay không.

Kết quả kiểm tra cụ thể là: Sol có thể nhận diện lỗ hổng và các yếu tố khai thác (exploitation primitives) trên Chromium và Firefox, nhưng "không tự tạo ra được chuỗi tấn công đầu-cuối hoàn chỉnh, sử dụng được trong điều kiện thử nghiệm". Phán đoán của chính OpenAI là: Sol giỏi hơn trong việc giúp con người tìm lỗ hổng và vá lỗi, chứ không phải thực hiện một cuộc tấn công hoàn chỉnh một cách đáng tin cậy đầu-cuối.

Nhưng OpenAI ngay sau đó cũng viết một câu "rất khéo léo": "benchmark thresholds cannot capture every way a model may be used or combined with other tools." (Ngưỡng điểm chuẩn không thể nắm bắt mọi cách thức một mô hình có thể được sử dụng hoặc kết hợp với các công cụ khác). Dù theo tiêu chuẩn của chúng tôi thì chưa vượt ngưỡng, nhưng ai biết trong thế giới thực nó sẽ được sử dụng ra sao? Họ đã cố ý tạo ra một vùng xám mơ hồ.

Anthropic thì không "khéo léo" như vậy. Trong tuyên bố ngày 13/6, Anthropic đã phản bác từng điểm lý lẽ của chính phủ. Chính phủ tuyên bố đã tìm ra phương pháp vượt rào (jailbreak) Fable 5, Anthropic trả lời: Thứ nhất, đây chỉ là một phương pháp vượt rào "hẹp, không phổ quát", về bản chất là khiến mô hình đọc một đoạn mã và chỉ ra khuyết điểm; Thứ hai, "các mô hình công khai khác có sẵn, bao gồm GPT-5.5 của OpenAI, cũng có thể làm được"; Thứ ba, Anthropic đã đầu tư hàng nghìn giờ kiểm thử đội đỏ (red team testing), và "không có bất kỳ người kiểm thử nào tìm ra được cách vượt rào phổ quát".

Giám đốc điều hành Anthropic Dario Amodei trong bài viết dài ngày 11/6 "Policy on the AI Exponential" đã dự đoán trước tình huống này, tuyên bố rõ ràng: "Chính phủ có thể ngăn chặn việc triển khai không an toàn, nhưng quy trình phải minh bạch, công bằng, rõ ràng, dựa trên sự thật kỹ thuật. Hành động lần này không tuân thủ các nguyên tắc này."

Hai đối thủ cạnh tranh gay gắt nhất, trong cùng một tháng, sử dụng các hệ thống đánh giá độc lập của riêng họ đã đi đến cùng một kết luận: Theo khung an toàn tự xây dựng của ngành, những mô hình này sẽ không tạo thành rủi ro không thể triển khai.

Vậy câu hỏi đặt ra là, nếu mô hình không vượt qua đường đỏ của ngành, chính phủ can thiệp dựa trên cơ sở nào? Dean Ball tiết lộ thêm: Chính phủ trước đó đã thuê một quan chức duy nhất có kinh nghiệm về AI tiên phong để chủ trì Trung tâm Tiêu chuẩn và Đổi mới AI (CAISI), người này từng làm việc tại OpenAI và Anthropic, nhưng chỉ vài ngày sau khi nhậm chức đã bị cấp trên sa thải. Phần còn lại của đội CAISI trong suốt thời kỳ "khủng hoảng hậu Mythos" ở trong tình trạng lệnh ngừng hoạt động, thậm chí không được phép liên lạc với các cơ quan chính phủ khác. "Trong số các quan chức chính phủ Trump mà tôi quen biết, không ai có kinh nghiệm về AI tiên phong".

Ball muốn nói rằng, những người đưa ra quyết định kiểm soát, không có tiêu chuẩn an toàn rõ ràng, cũng không đánh giá được năng lực kỹ thuật của các mô hình này.

Câu hỏi tự nhiên sâu hơn nữa là: Liệu Fable 5 và GPT-5.6 Sol có thực sự vượt qua một "điểm kỳ dị đe dọa con người" nào đó? Có tồn tại một đường đỏ khách quan về năng lực, vượt qua thì bắt buộc phải kiểm soát?

Nhiều chuyên gia trong lĩnh vực AI cho biết, về mặt kỹ thuật không tồn tại một đường ranh như vậy. Năng lực của mô hình là một đường cong tăng trưởng liên tục. Mỗi thế hệ mô hình khi phát hành đều là "mạnh nhất trong lịch sử", nhưng chỉ có lần này kích hoạt sự can thiệp trực tiếp của chính phủ.

Ẩn sau đó là ba điều kiện ngầm:

Thứ nhất, năng lực trở nên "có thể chứng minh". Chính Anthropic quảng bá Mythos 5 là "mô hình an ninh mạng mạnh nhất thế giới", trường hợp Stripe di chuyển 50 triệu dòng mã trong một ngày được lan truyền rộng rãi. Những câu chuyện này khiến các chính trị gia không biết kỹ thuật cũng có thể tưởng tượng "nếu kẻ xấu dùng thì sẽ thế nào".

Nhà khoa học AI chính nguyên là của Meta, người đoạt giải Turing Yann LeCun đã chỉ ra logic này từ tháng 11/2025: Khi Anthropic phát hành báo cáo đầu tiên về mối đe dọa tấn công mạng bằng AI, LeCun đã gọi trực tiếp đó là "regulatory theater" (sân khấu quản lý), cáo buộc Anthropic lợi dụng nỗi sợ an ninh AI để "manipulate legislators" (thao túng các nhà lập pháp) thực hiện "regulatory capture" (chiếm lĩnh quản lý).

Phán đoán của LeCun lúc đó là: Các công ty nguồn đóng đã phóng đại một cách có hệ thống mối đe dọa an ninh AI, mục đích là thiết lập các rào cản tuân thủ mà chỉ các công ty lớn mới vượt qua được, loại bỏ các đối thủ cạnh tranh nguồn mở. Anthropic không ngờ rằng, hòn đá lại ném trúng chính mình trước.

Thứ hai, có người trao một con dao. CEO Amazon Andy Jassy đã gửi cho chính phủ báo cáo về lỗ hổng an ninh của mô hình Anthropic. Amazon là nhà đầu tư lớn nhất của Anthropic, cũng là đối tác dịch vụ đám mây của họ, đồng thời cũng có mô hình tự phát triển (dòng Nova) cạnh tranh với Anthropic. Từ đó, chính phủ có được nguồn hợp pháp cho hành động.

Thứ ba, Trump vừa ký sắc lệnh hành pháp về AI vào đầu tháng này, cho chính phủ 60 ngày để xây dựng "quy tắc nộp tự nguyện" cho các mô hình tiên phong. Sắc lệnh hành pháp cần một vụ án thực thi đầu tiên để chứng minh nó không phải là tờ giấy lộn. Fable 5 đã đúng hướng ngòi súng.

Điều này dẫn đến một vấn đề sâu hơn: Nếu "quá mạnh thì phải quản lý", mà "mạnh bao nhiêu là quá mạnh" do cơ quan quản lý quyết định, và tiêu chuẩn không công khai, không có ngưỡng rõ ràng, không có thủ tục khiếu nại, thì mỗi lần phát hành mô hình tiên phong trong tương lai sẽ đối mặt với cùng một sự bất định. Doanh nghiệp không biết khi nào mô hình của mình sẽ kích hoạt sự kiểm soát.

Hình ảnh được tạo bởi AI

02 Bài học lịch sử: Cuộc chiến Mật mã 30 năm trước

Nỗ lực của chính phủ Mỹ sử dụng kiểm soát xuất khẩu để ngăn chặn sự lan tỏa của công nghệ được cho là nguy hiểm, khiến người ta liên tưởng đến một tiền lệ lịch sử rất tương đồng: "Cuộc chiến Mật mã" (Crypto Wars) những năm 90.

Sau Chiến tranh Lạnh, Internet bắt đầu thương mại hóa, các nhà khoa học máy tính đang phát triển công nghệ mã hóa để bảo vệ an toàn truyền dữ liệu. Chính phủ Mỹ phân loại thuật toán mã hóa mạnh là "vật tư quân sự" (munitions), đặt chung vào danh sách kiểm soát xuất khẩu với tên lửa, xe tăng (ITAR/EAR). Logic giống hệt ngày nay: nếu kẻ thù có được mã hóa mạnh, NSA (Cơ quan An ninh Quốc gia Mỹ) sẽ không thể nghe lén thông tin liên lạc của họ, an ninh quốc gia bị đe dọa.

Điều này có nghĩa là các công ty phần mềm Mỹ chỉ có thể xuất khẩu cho khách hàng nước ngoài phiên bản mã hóa yếu với khóa 40-bit, phiên bản mà NSA có thể dễ dàng phá vỡ, còn phiên bản trong nước có thể sử dụng mã hóa mạnh 128-bit. Người dùng nước ngoài biết họ nhận được phiên bản "bị thiến", bắt đầu chuyển sang các sản phẩm thay thế từ châu Âu và Israel.

Năm 1991, một người yêu thích mật mã tên Phil Zimmermann viết PGP (Pretty Good Privacy), một phần mềm cho phép người bình thường cũng có thể dùng mã hóa mạnh để bảo vệ thư. Anh ta tải PGP lên internet. Hải quan Mỹ ngay lập tức mở cuộc điều tra hình sự đối với anh ta - tội danh là "xuất khẩu bất hợp pháp vật tư quân sự".

Cách phản công của Zimmermann vô cùng khéo léo: Anh in toàn bộ mã nguồn PGP thành một cuốn sách và xuất bản. Sách được bảo vệ bởi Tu chính án Thứ nhất, tự do xuất bản là quyền hiến định. Bạn có thể quản lý phần mềm, nhưng bạn không thể cấm một cuốn sách xuất khẩu. Cuộc điều tra kéo dài ba năm, cuối cùng đóng cửa vào năm 1996, chính phủ không khởi tố.

Gần như cùng thời điểm, NSA đưa ra một giải pháp triệt để hơn: Chip Clipper. Ý tưởng thiết kế là tất cả thiết bị liên lạc phải lắp chip này, chip chịu trách nhiệm mã hóa thông tin liên lạc, chip có cơ chế ủy thác khóa (key escrow), dưới sự ủy quyền của cơ quan thực thi pháp luật, chính phủ có thể giải mã thông tin liên lạc thông qua khóa được ủy thác. Thông tin liên lạc giữa người dùng được mã hóa đối với bên thứ ba, nhưng chính phủ có thể giải mã bất cứ lúc nào. Chính phủ Clinton mạnh tay thúc đẩy giải pháp này. Kết quả là giới học thuật phát hiện ra thiết kế có lỗ hổng của chip, ngành công nghệ tập thể tẩy chay, công chúng phản đối kịch liệt, năm 1996 nó chết hẳn.

Năm 1995, nhà toán học Daniel Bernstein muốn đăng mã nguồn thuật toán mã hóa do mình viết lên mạng, bị chính phủ cấm với lý do kiểm soát xuất khẩu. Anh kiện Bộ Tư pháp. Tòa phúc thẩm Vòng 9 đã đưa ra một phán quyết có ảnh hưởng sâu rộng: Mã nguồn phần mềm là "ngôn luận" (speech) được bảo vệ bởi Tu chính án Thứ nhất, việc kiểm soát xuất khẩu mã mã hóa của chính phủ là vi hiến. Phán quyết này trực tiếp lung lay cơ sở pháp lý của toàn bộ hệ thống kiểm soát.

Tháng 1 năm 2000, chính phủ Clinton nới lỏng đáng kể kiểm soát xuất khẩu mã hóa. Nguyên nhân là không quản được nữa. PGP đã lan truyền khắp thế giới, thuật toán mã hóa nguồn mở phổ biến toàn cầu, kiểm soát chỉ cản trở sức cạnh tranh của công ty Mỹ, khách hàng nước ngoài đã chuyển sang nhà cung cấp khác từ lâu.

Sau khi nới lỏng kiểm soát, mới có mã hóa đầu-cuối của Signal và WhatsApp ngày nay. Nếu việc kiểm soát những năm 90 kéo dài đến nay, những sản phẩm này không thể tồn tại.

Những năm 90, đối tượng bị kiểm soát là thuật toán mã hóa mạnh, lý do là an ninh quốc gia, công cụ là kiểm soát xuất khẩu vật tư quân sự ITAR, bị tổn thương là các công ty phần mềm Mỹ (buộc phải xuất phiên bản yếu), không bị ảnh hưởng là các nhà phát triển nước ngoài (tự viết thuật toán mã hóa).

Năm 2026, đối tượng bị kiểm soát là năng lực mô hình AI tiên phong, lý do vẫn là an ninh quốc gia, công cụ là chỉ thị kiểm soát xuất khẩu.

Lần này, ai sẽ thực sự bị tổn thương?

Truyền thông nước ngoài nhận xét: "Không ai bỏ ra 100 tỷ đô la xây dựng trung tâm dữ liệu chỉ để phục vụ 100 công ty được chính phủ phê duyệt".

Chi phí huấn luyện mô hình tiên phong tính bằng hàng chục tỷ đô la, trong khi cửa sổ thu hồi vốn chỉ vài tháng sau khi phát hành, sau đó mô hình trở thành thứ tiên phong, cạnh tranh gia tăng, tỷ suất lợi nhuận bị nén. Mỗi tuần chậm trễ phê duyệt đều đang ăn mòn cửa sổ lợi nhuận hạn hẹp này. Kết luận của Brandon là: "Nếu tiếp tục như vậy, toàn bộ logic đầu tư cơ sở của ngành công nghiệp sẽ bị lung lay".

Luận điểm cốt lõi của Jeffrey Ding, trợ lý giáo sư khoa học chính trị tại Đại học George Washington là: Trong cuộc cạnh tranh công nghệ giữa các cường quốc, điều quyết định thắng bại không phải ai phát minh ra một công nghệ trước, mà là ai có thể nhanh hơn trong việc phổ biến công nghệ đó ra toàn bộ nền kinh tế. Công nghệ phổ dụng đặc biệt như vậy - nó cần được phổ biến rộng rãi trong xã hội, cần các tổ chức mới được tạo ra xung quanh nó, cần dữ liệu sử dụng thế giới thực quy mô lớn để khám phá ranh giới ứng dụng của nó. Dean Ball khi trích dẫn Ding đã viết: "Công dụng của công nghệ phổ dụng là được khám phá, không phải được biết trước".

Nhưng ở phía bên kia đại dương, mô hình lớn của Trung Quốc đang với tư thế nguồn mở, cởi mở tiến tới các nhà phát triển toàn cầu.

Thuật toán mã hóa là toán học thuần túy, một khi được công bố thì không thể thu hồi. Trọng số mô hình AI có thuộc tính tương tự, nhưng năng lực suy luận của mô hình tiên phong nguồn đóng thực sự tập trung sau API của một số ít công ty.

Nhưng năng lực của mô hình nguồn mở đang đuổi theo từng thế hệ, kiểm soát có thể làm chậm sự phổ biến, nhưng không thể ngăn chặn sự phổ biến. Những năm 90 mất gần 10 năm mới đi đến bước "chịu thua, nới lỏng kiểm soát". Chẳng lẽ kiểm soát AI cũng cần một chu kỳ thời gian tương tự?

03 Mô hình lớn Mỹ bước vào thời đại kiểm duyệt?

Tháng 6 năm 2026, trong lịch sử ngành công nghiệp AI, có thể đánh dấu một bước ngoặt: Lần đầu tiên chính phủ thành công trong việc đặt mình vào vai trò người phê duyệt giữa mô hình AI thương mại và người dùng của nó.

Trong "What Should Be Done", Ball cảnh báo rằng, nếu thị trường hoảng sợ về điều này, hiệu ứng sẽ vượt xa bản thân ngành AI: "Từ năng lượng hạt nhân đến khí đốt đến điện tử điện lực, rất nhiều khoản đầu tư tái công nghiệp hóa của Mỹ đều dựa trên tiền đề nhu cầu tương lai của ngành AI, dù rõ ràng hay ngầm hiểu. Nếu nhu cầu này không thể thực hiện được do kiểm soát của chính phủ, phản ứng dây chuyền sẽ vượt xa tưởng tượng của mọi người."

Nhưng Ball cũng thừa nhận, hướng đi không hoàn toàn sai: "AI tiên phong thực sự tồn tại khả năng rủi ro thảm khốc, mối quan ngại này không phải giả tạo. Vấn đề nằm ở cách thức thực hiện, một quy trình phê duyệt không có chuyên gia kỹ thuật, không có tiêu chuẩn rõ ràng, không có lộ trình thời gian, không phải là câu trả lời."

OpenAI nói các hạn chế với GPT-5.6 là "biện pháp ngắn hạn", có thể mở cửa cho công chúng sau vài tuần. Nhưng việc "khôi phục hạn chế" Mythos 5 ngày 27/6 đã cho thấy khuôn mẫu: không phải mở cửa toàn diện, mà vẫn chỉ giới hạn cho một số cơ quan Mỹ, các hạn chế khác vẫn có hiệu lực. Mọi chế độ dài hạn, ban đầu đều được gọi là "biện pháp ngắn hạn".

Dean Ball cuối cùng viết một câu, đáng để mọi người nghiêm túc suy ngẫm: "Nếu chỉ có một số rất ít người có thể sử dụng AI tiên phong, tương lai xấu thậm chí còn có nhiều khả năng xảy ra hơn. Bởi vì những người thiểu số đó, thường là những nhóm đã có quyền lực kinh tế và chính trị khổng lồ".

Có lẽ cộng đồng nhà phát triển toàn cầu đang nhớ về thời đại đó, khi không kể giờ giấc chờ đợi sự kiện ra mắt của OpenAI, ngạc nhiên trước sự tiến bộ của mô hình mới, và thức đêm để kiểm tra các kịch bản mới.

Tuy nhiên, bây giờ chúng ta vẫn có thể "chờ đợi" đầy kỳ vọng sự phát hành của mô hình lớn mới nhất của Trung Quốc.