从“蒸馏”到污名化：白宫NSTM-4备忘录的概念陷阱与政策误区

今天和大家分享公号君的一篇观察和感想。

2026年4月23日，美国白宫科技政策办公室发布 NSTM-4 备忘录，题为《美国人工智能模型的对抗性蒸馏》。【一个很好的分析见：G2围绕“模型蒸馏”的交锋】这份文件声称，外国实体，尤其是位于中国的实体，正在以“蓄意、工业规模”的方式蒸馏美国前沿 AI 系统，并通过数以万计的代理账户、越狱技术和规避检测手段，系统性抽取美国 AI 模型能力。备忘录进一步要求美国政府与私营部门共享信息、协调防御、制定最佳实践，并探索追责措施。表面上看，这是一份针对模型安全和平台滥用的政策文件；但实质上，它试图把一个原本中性的机器学习方法，重新包装为国家安全威胁，并将其纳入美国对华技术遏制的政策体系。

公号君想就其中的政治叙事——政治叙事，即把“模型输出使用”上升为“工业规模盗取能力”，又把“蒸馏”这一普遍技术实践转化为“对抗性蒸馏”这一带有敌我划分色彩的政策标签，发表一点自己的看法

一、白宫偷换了“蒸馏”的技术含义

“蒸馏”本来不是一个天然带有违法性或敌意的概念。机器学习中的知识蒸馏，最初是指用强模型引导弱模型学习，从而获得更小、更便宜、更高效的模型。今天业界口语中的“蒸馏”范围更宽，很多时候只是指使用强模型输出生成合成数据，再用这些数据改进另一个模型。Nathan Lambert在相关博客中指出，当前围绕大模型的所谓“蒸馏”，更准确地说往往是“合成数据生成”；而严格意义上Hinton等人提出的知识蒸馏，需要匹配教师模型的概率分布，这在普通 API 模型场景下通常并不可行，因为 API 并不向用户暴露这类信息。

这一区分非常重要。白宫备忘录故意保留“distillation”一词的模糊性，使非技术读者误以为调用 API 输出并训练模型，等同于复制美国前沿模型的内部机制、权重或完整能力。事实上，通过 API 获得的是输出结果，而不是权重、训练数据、系统提示、内部激活、概率分布或安全策略的完整结构。用输出训练模型，可能提高某些任务表现，但这与“偷走模型本身”不是一回事。备忘录把“从输出中学习”描述成“抽取美国创新”，在技术上过度简化，在政策上刻意放大。

更进一步，合成数据已经是全球 AI 研发的常规方法。美国前沿实验室自己也大量使用内部模型、外部模型和自动化评测管线生成训练数据、偏好数据、奖励模型数据和推理任务数据。Anthropic 在自己的公开说明中也承认，蒸馏是一种“广泛使用且合法”的训练方法，前沿 AI 实验室会用它把更强模型压缩为更小、更便宜的模型。 既然美国企业自己把蒸馏作为降低成本、提升效率和扩大产品线的常规工具，就不能在中国企业使用类似技术路线时，直接把技术行为本身污名化为“窃取”。

二、“对抗性蒸馏”不是技术概念，而是政治标签

白宫备忘录最严重的问题，是使用了“对抗性蒸馏”这个概念。机器学习中的“adversarial”原本有明确技术含义，例如对抗样本、对抗训练、生成对抗网络、防御性蒸馏等，通常指输入扰动、最小最大博弈、鲁棒性优化或攻防机制。但 NSTM-4 中的“adversarial”并非技术含义。它不是指蒸馏方法本身具有某种对抗训练结构，也不是指模型训练过程采用了某种adversarial objective，而是指“由美国认定的对手实施的蒸馏”。换言之，这里的“对抗性”不是行为属性，而是行为者身份标签。

这就造成一个根本性悖论：同样是使用强模型输出训练弱模型，美国实验室内部使用就是合法的模型压缩、产品优化和成本降低；开源社区使用就是技术扩散和研究创新；但一旦被认定为中国主体使用，就被重新命名为“对抗性蒸馏”。这种论证结构并不是先证明行为违法，再判断行为者责任，而是先确定行为者属于“对手”，再反推行为具有对抗性。它把结论伪装成前提，把国家身份替代为违法性依据。

这不是严肃的技术治理，也不是稳健的法律论证。在刑法、民法、商业秘密法或计算机滥用法中，违法性通常必须建立在可观察的行为要件之上，例如是否未经授权访问、是否规避技术访问控制、是否以虚假陈述取得服务、是否获取了可保护商业秘密、是否违反保密义务、是否造成实际损害。行为者身份可以影响国家安全风险评估，也可以影响出口管制许可审查，但不能单独把一个中性技术行为转化为违法行为。白宫备忘录恰恰混淆了这两件事。

三、“工业规模”不是违法构成，规模本身也不是罪错

备忘录的第二个核心概念是“工业规模蒸馏”。这个说法听起来比“对抗性蒸馏”更客观，因为它似乎指向数量、组织化和持续性。但它同样存在严重缺陷：备忘录没有给出任何可操作阈值。多少次查询算工业规模？十万次、百万次、千万次，还是十亿次？持续一天、一个月还是一年？单一账户高频调用与多账户分布式调用是否等价？任务覆盖广度、输出 token 数、提示词模板数量、目标能力类型是否应计入？备忘录都没有说明。

Anthropic公布的案例中，DeepSeek被称为进行了超过15万次exchanges，Moonshot为超过340万次，MiniMax为超过1300万次，总量超过1600万次，并涉及约2.4万个欺诈账户。这些数字在平台安全语境中当然值得重视，但在大模型训练语境中，数量本身并不自动说明“复制了前沿模型能力”。Lambert的博客指出，15万级样本对于训练语言模型而言只是实质性实验的起点，对大型模型后训练的决定性影响非常有限；即使 Moonshot和MiniMax的调用规模更大，若按每次响应1万至2.5万 token 估算，可能形成千亿级token，但把这些输出有效整合进训练管线并不简单，错误的数据混合甚至可能让学生模型表现变差。

这说明，规模不是唯一关键，甚至不是最关键的因素。真正需要判断的是：访问是否违规，是否存在规避检测，是否绕过地域或身份限制，是否提取了非公开信息，是否用于竞争性训练，是否造成安全机制剥离，是否进入军事、情报或网络攻击等高风险场景。白宫备忘录用“工业规模”把这些维度打包，给公众制造一种印象：只要规模大，就必然是盗取；只要是中国主体大规模调用，就必然是国家安全威胁。这种表述具有政治动员效率，却缺乏概念精度。

四、白宫夸大了蒸馏对中国模型能力提升的决定性作用

备忘录的叙事还有一个隐含前提：中国 AI 模型的进步，很大程度上来自对美国模型的蒸馏。这一前提服务于美国政策需要：如果中国模型进步主要来自“偷”，那么美国就可以同时维护两个叙事，一是美国仍然拥有不可替代的技术领先，二是中国进步不是自主创新，而是对美国创新的寄生式复制。

但从技术上看，这个前提过于便利，也过于简单。Lambert 的博客指出，蒸馏的收益高度不均匀。对某些特定能力，尤其是教师模型具有明显差异化优势、学生模型缺乏成熟训练管线的能力，蒸馏可能带来明显提升；但对整体模型能力而言，影响很难量化，也很难直接转换为“缩短多少中美模型差距”的结论。更重要的是，当前最前沿模型能力越来越依赖大规模强化学习、在线生成、评测环境、数据筛选、奖励建模和系统工程，而这些环节不能简单由另一个模型的离线输出替代。

换言之，蒸馏可以是捷径，但不是魔法。它可以帮助模型在某些任务上更快接近教师模型的回答风格或局部能力，但无法自动复制教师模型的完整训练基础设施、推理优化、评测体系、安全管线和持续迭代能力。更不用说，使用教师模型输出训练学生模型本身就是研究问题，数据质量、任务覆盖、过滤策略、训练比例和目标函数都会影响结果。把中国模型进步归因于“蒸馏攻击”，既低估了中国 AI 企业在工程效率、数据处理、开源协作和强化学习基础设施上的真实能力，也高估了 API 输出对前沿模型能力迁移的决定性作用。

五、美国的真正目标是把模型输出纳入对华能力控制

NSTM-4的政策意义，不在于它发现了一个全新的技术风险，而在于它试图把“模型输出”纳入美国对华技术控制体系。过去，美国主要控制芯片、设备、EDA、高带宽存储器、云算力和先进制造服务；现在，它进一步把前沿模型的 API 输出、推理轨迹、合成数据和能力表现，也视为可能外流的战略资源。这与美国近期围绕芯片出口、云访问、设备服务、壳公司和模型抽取的一系列政策讨论是一致的：美国对华 AI 政策正在从“产品出口管制”转向“能力获得控制”。

Anthropic的公开文章也清楚体现了这种逻辑。它不仅指控中国实验室使用欺诈账户和代理服务，还直接把蒸馏攻击与出口管制相连，称这类行为削弱了出口管制维持美国领先优势的目的，并认为限制先进芯片访问可以同时限制直接训练和大规模蒸馏。 这就说明，“蒸馏攻击”叙事不是孤立的平台安全争议，而是正在被嵌入美国对华硬件管制、云算力管制和模型能力管制的整体框架中。

这一点尤其值得警惕。美国将模型输出纳入国家安全叙事后，可能进一步推动 API 访问许可化、云服务客户穿透审查、模型输出用途限制、跨境合成数据监管，甚至把正常评测、研究复现、模型比较和开源训练活动纳入高风险行为范围。若这一逻辑无限扩张，AI 领域的开放研究、互操作评测和国际技术交流都会被政治化。

六、白宫叙事存在明显双重标准

白宫备忘录强调美国AI创新应受到保护，批评外国主体“系统性抽取和复制”美国行业创新。但这套叙事回避了一个基本事实：美国前沿模型本身也是建立在大规模数据吸收、开放互联网语料、开源软件、学术论文、全球用户交互和跨国人才流动之上的。美国AI企业长期从全球知识公共品中获益，却在自身形成商业优势后，试图把模型输出重新封闭为“美国创新资产”。这种转向并非纯粹的知识产权保护，而是技术领先者对后发者设置二次门槛。

更大的问题是，美国企业使用他人文本、代码、图像、论文、开源模型和用户内容训练自己的模型时，往往主张合理使用、技术创新和产业必要性；但当其他国家企业使用美国模型输出训练自身模型时，美国却倾向于使用“盗窃”“攻击”“对抗性”“工业规模”等词汇。这种双重标准会削弱美国政策的说服力。真正一致的原则应当是：凡是未经授权、欺诈访问、规避技术控制、获取非公开信息的行为，都应被追责；凡是合法访问、合理使用、独立开发、开放研究和正常合成数据生成，则不应因行为者国籍不同而被重新定性。

结语

NSTM-4不是安全治理的成熟方案，而是技术遏制的叙事工具。白宫 NSTM-4备忘录的核心问题，不在于它关注模型抽取风险，而在于它以错误的方式定义这一风险。它把“蒸馏”这一中性技术污名化，把“对抗性”建立在行为者身份上，把“工业规模”当作违法性的替代证明，又把复杂的模型能力提升简化为对美国模型的复制。这种叙事对于政治动员有效，却不足以支撑严肃的立法、监管或司法规则。蒸馏不是原罪，规模不是罪证，国籍也不应成为技术行为违法性的替代标准。NSTM-4的真正危险，正在于它把一个需要精细治理的问题，压缩成了一个敌我分明的政治标签。对这种叙事必须予以反驳，因为一旦“对抗性蒸馏”成为政策共识，下一步被限制的就不只是个别平台滥用行为，而可能是 AI 研究、模型评测、合成数据、开源训练和跨境技术交流本身。

声明：本文来自网安寻路人，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。