Một sắc lệnh, ba cuộc điện thoại, một câu chuyện mất kiểm soát: 24 giờ đen tối của Anthropic

Ngày 13 tháng 6, hai mô hình tiên tiến nhất của Anthropic đã bị chính phủ Mỹ ra lệnh tạm dừng.

Một là Fable 5, một là Mythos 5. Mô hình trước vừa được công bố rộng rãi, mô hình sau dành cho các khách hàng trong lĩnh vực an ninh mạng bị hạn chế hơn. Lệnh cấm đến từ Bộ Thương mại Mỹ, bao phủ cả khách hàng bên ngoài nước Mỹ và công dân nước ngoài trên lãnh thổ Mỹ. Lựa chọn cuối cùng của Anthropic rất đơn giản: gỡ bỏ toàn bộ.

Sau khi xem xét mọi chi tiết về sự việc, chúng tôi đã tóm lược dòng thời gian 24 giờ này.

Vào thứ Năm, ngày 11 tháng 6, hai ngày sau khi Fable 5 được công bố rộng rãi, Giám đốc điều hành Amazon, Andy Jassy, đã nêu rủi ro với Nhà Trắng. Ông lo ngại rằng các rào cản an toàn của Fable 5 có thể bị vượt qua. Các nhà nghiên cứu của Amazon được cho là đã sử dụng một loạt các câu lệnh (prompts) để khiến Fable 5 đưa ra thông tin lẽ ra phải bị hạn chế, thông tin có thể được sử dụng cho các cuộc tấn công mạng.

Đến sáng thứ Sáu, ngày 12 tháng 6, vấn đề đã được đưa vào cuộc họp cấp cao nhất của Nhà Trắng. Bộ trưởng Tài chính Scott Bessent, Giám đốc An ninh mạng Nhà Trắng Sean Cairncross, Chánh văn phòng Nhà Trắng Susie Wiles và các quan chức cấp cao khác đã tham gia thảo luận. Lúc đó Bessent đang trên đường đến Houston nên đã tham gia cuộc họp từ xa.

Sau đó là ba cuộc điện thoại.

Khi Giám đốc điều hành Anthropic, Dario Amodei, bước vào cuộc gọi, đối diện với ông là khoảng nửa tá quan chức cấp cao. Bên cạnh Bessent và Cairncross còn có Bộ trưởng Thương mại Howard Lutnick. Những người tham gia khác bao gồm Thứ trưởng Bộ Thương mại phụ trách Công nghiệp và An ninh Jeffrey Kessler, Thư ký Nhà Trắng Will Scharf, Phó Chánh văn phòng Nhà Trắng Richard Walters, và Trợ lý Chính sách của Tổng thống Walker Barrett.

Amodei cố gắng giải thích sự việc như một sự hiểu lầm. Ông cho rằng những gì Amazon phát hiện là các phương pháp vượt qua cụ thể, chứ không phải là một cuộc tấn công tổng quát (prompt jailbreak) có thể phá bỏ rộng rãi các rào cản an toàn. Sau đó, Anthropic cũng tuyên bố công khai rằng những người kiểm tra vẫn chưa tìm ra phương pháp có thể vượt qua hệ thống an toàn của mô hình trên diện rộng.

Tuy nhiên, Nhà Trắng không bị thuyết phục.

Phát hiện của CEO Amazon đã được gửi đến Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) để đánh giá, và Nhà Trắng cho rằng mình đã có đủ bằng chứng. Chính phủ yêu cầu Anthropic tự nguyện gỡ bỏ mô hình và cùng khắc phục lỗ hổng. Amodei muốn có thêm thời gian và thông tin, nhưng không cam kết gỡ bỏ mô hình. Bessent nói thẳng trong cuộc gọi rằng ông đã đưa ra một "quyết định sai lầm".

Sau đó, các biện pháp kiểm soát xuất khẩu đã được áp dụng.

Phía Anthropic đưa ra một câu chuyện khác. Họ nói rằng Nhà Trắng chỉ cho họ 90 phút để gỡ bỏ mô hình và không nêu rõ chi tiết về mối đe dọa thực tế. Trong khi đó, Nhà Trắng cho biết các biện pháp kiểm soát xuất khẩu là biện pháp cuối cùng sau nhiều giờ yêu cầu Anthropic hợp tác nhưng không có kết quả.

Một điểm mấu chốt khác của câu chuyện này là vị trế hết sức tế nhị của Amazon trong toàn bộ sự việc.

Cuối năm 2024, Amazon đã đầu tư thêm 4 tỷ USD vào Anthropic, nâng tổng đầu tư lên 8 tỷ USD. Anthropic đồng thời đặt AWS làm đối tác đào tạo chính, các chip AWS sẽ được sử dụng cho việc đào tạo và triển khai mô hình trong tương lai. Claude cũng luôn là một trong những mô hình quan trọng nhất trên Amazon Bedrock.

Liên minh giữa Microsoft và OpenAI đã rõ ràng, việc Amazon đặt cược vào Anthropic vốn là một cách để đi vòng.

Microsoft có OpenAI. Google có Gemini, cũng đầu tư vào Anthropic. Amazon không có một mô hình tiên tiến nội bộ đủ mạnh, chỉ có thể gắn sức mạnh tính toán của AWS, chip Trainium và nền tảng Bedrock vào các công ty mô hình bên ngoài.

Nhưng một năm rưỡi sau, Amazon và OpenAI cũng đã kết nối với nhau.

Năm nay, Amazon đã đàm phán về việc đầu tư tới 50 tỷ USD vào OpenAI. OpenAI khi đó đang tìm kiếm khoản tài trợ mới lên tới 100 tỷ USD. Thỏa thuận tiềm năng có thể bao gồm việc OpenAI mua chip AI của Amazon. Axios cũng đề cập rằng doanh thu hàng năm của OpenAI vào năm 2025 vượt quá 20 tỷ USD, nhưng các cam kết chi tiêu lên tới 1,4 nghìn tỷ USD.

Amazon cần các công ty mô hình tiên tiến để tiêu thụ sức mạnh tính toán của AWS, xác nhận chip tự phát triển, lấp đầy các trung tâm dữ liệu, và cũng cần đặt các mô hình mạnh nhất lên kệ đám mây doanh nghiệp của mình. Đây không còn đơn thuần là đầu tư tài chính.

Vì vậy, nó vừa đầu tư vào Anthropic, vừa tiếp cận OpenAI. Vừa là nhà tài trợ cho các công ty mô hình, vừa là nhà cung cấp của họ. Vừa phải giúp họ bán mô hình, vừa phải giải thích với chính phủ những mô hình này nguy hiểm đến mức nào.

Về kết quả, lần này Amazon đứng về phía đối lập với Anthropic. Trong mắt Anthropic, một đối tác cung cấp tiền, đám mây, chip và kênh phân phối đã đưa cho chính phủ một tín hiệu an ninh đủ mạnh để kích hoạt lệnh cấm. Tất nhiên, Amazon tự nhận rằng, 'Nhà Trắng hỏi tôi, tôi chỉ trả lời câu hỏi của họ'.

Trong hai năm qua, các công ty AI thích tự đóng gói mình như một tài sản cấp quốc gia. Năng lực càng mạnh, định giá càng cao, huy động vốn càng thuận lợi, và việc mua sắm của chính phủ càng có nhiều triển vọng. Anthropic đặc biệt giỏi kể câu chuyện này. Nó phân biệt mình với OpenAI bằng ngôn ngữ an toàn thận trọng hơn, đồng thời sử dụng thuật ngữ 'rủi ro tiên phong' (frontier risk) để chứng minh với các cơ quan quản lý rằng mình xứng đáng được xem xét một cách nghiêm túc.

Giờ đây, chính phủ Mỹ thực sự coi mô hình này như một tài sản an ninh quốc gia.

Sự bối rối của các quan chức Nhà Trắng cũng đến từ đây. Politico đưa tin rằng phía Nhà Trắng đã từng nghe Amodei so sánh sự nguy hiểm của công nghệ Anthropic với bom nguyên tử. Khi ông từ chối gỡ bỏ mô hình vì một lỗ hổng bảo mật đã biết, các quan chức chính phủ không coi đây là bất đồng kỹ thuật, mà là vấn đề thái độ.

Đây không phải là xung đột đầu tiên giữa hai bên. Vào ngày 3 tháng 3, Lầu Năm Góc đã liệt Anthropic vào danh sách rủi ro chuỗi cung ứng, vì Anthropic từ chối cho phép các công cụ AI của mình được sử dụng cho các hoạt động giám sát nội địa quy mô lớn và vũ khí tự động.

Anthropic và các quan chức Mỹ đã có mâu thuẫn từ trước.

Lần này, Anthropic cho biết chỉ thị của chính phủ không nêu rõ mối lo ngại cụ thể về an ninh quốc gia và chỉ trích hành động này thiếu tính minh bạch, rõ ràng và quy trình hợp pháp dựa trên các sự kiện kỹ thuật. Anthropic cho rằng vấn đề lần này giống như một phương pháp vượt qua phạm vi hẹp hơn, không đủ để biện minh cho một lệnh cấm rộng rãi như vậy.

Nhưng dưới góc nhìn của chính phủ, an toàn mô hình không còn là quy trình nội bộ của công ty: tự viết sách trắng, tự thực hiện kiểm tra đội đỏ (red teaming), tự công bố thẻ hệ thống (system cards). Ai có thể truy cập mô hình, ai có thể đào tạo mô hình, liệu nhân viên nước ngoài có thể xem trọng số mô hình hay không, tất cả đều sẽ bị kéo vào ngôn ngữ của kiểm soát xuất khẩu.

Khi Anthropic thông báo vào tháng 4 rằng Mythos sẽ chỉ mở cho các công ty công nghệ và an ninh mạng có giới hạn, họ đã có nhiều cuộc họp với Nhà Trắng. Trước khi Fable 5 ra mắt, nó cũng đã được chính phủ Mỹ và Viện An toàn AI của Anh xem xét. Phía Anthropic cho rằng chính phủ đã không phản đối trước khi mô hình được công bố.

Điều này càng làm cho cuộc xung đột trở nên tồi tệ hơn.

Trước khi mô hình ra mắt, đó là hợp tác an toàn. Sau khi mô hình ra mắt, đó là an ninh quốc gia.

OpenAI đang đứng nhìn sự cố này.

Việc Anthropic buộc phải gỡ bỏ mô hình mạnh nhất khiến vị thế tương đối của OpenAI trở nên thoải mái hơn. Anthropic càng bị vướng vào các vấn đề quản lý, OpenAI càng dễ trở thành lựa chọn 'có thể hợp tác'. Nếu Amazon thực sự tiếp tục tiến gần hơn đến OpenAI, đó cũng sẽ là một lớp phòng hộ.

Tất nhiên, không có bằng chứng công khai nào cho thấy Amazon làm vậy để giúp OpenAI đánh bại Anthropic.

Sự thật sắc bén hơn là, khi các mô hình tiên phong bước vào chu kỳ chi tiêu vốn nghìn tỷ đô la, các quan hệ đối tác vốn dĩ không còn trong sạch. Các công ty đám mây đầu tư vào các công ty mô hình, các công ty mô hình mua sức mạnh tính toán đám mây, chính phủ hỏi các công ty đám mây về rủi ro an ninh, và các đối thủ cạnh tranh tự kiểm tra (red team) lẫn nhau trong cùng một trường quản lý.

Nhà tài trợ, nhà cung cấp, nhà phân phối và người xem xét bắt đầu được đóng bởi cùng một nhóm công ty.

Điều này quan trọng hơn bất kỳ cuộc tấn công bằng câu lệnh (prompt jailbreak) nào.

Vào cái đêm Fable 5 và Mythos 5 bị tắt, Anthropic mất đi không chỉ quyền truy cập vào hai mô hình. Họ mất đi một phần khả năng kiểm soát câu chuyện của chính mình.

Bàn tay của Amazon vẫn còn trên bảng điều khiển AWS. Bàn gọi vốn của OpenAI chưa tan. Và chính phủ Mỹ đã ngồi vào hàng ghế đầu của buổi ra mắt mô hình.