2024年12月9日，美國白宮管理預算辦公室的法規登記網頁悄悄放上去一個聯邦法規立項通知。項目的名字叫“人工智能擴散出口管制框架”（Export Control Framework for Artificial Intelligence Diffusion）。兩天后，美國智庫戰略與國際研究中心（CSIS）瓦德瓦尼人工智能中心主任Gregory Allen在其關于1202半導體管制新規的報告里公開披露了這個情況。

從那以后，美國的媒體、智庫、產業界關于該擬議法規的公開討逐漸增多，在過去兩周達到了一個高峰。法規的文本雖然沒公開，也沒面向公眾征求意見，但從相關討論看，美國商務部已經提前把法規草案拿給了美國主要的人工智能公司、云廠商、行業協會和一些智庫的頭部專家。

綜合美國主流媒體、智庫、企業相關報道和討論中出現的零散信息，這份傳言會在明天或下周出來的“人工智能擴散出口管制框架”，一定程度上顛覆了美國出口管制基于最終用戶及最終用途的傳統體系，創造了一個管控先進GPU和閉源AI模型權重出口的強制性全球許可制度，其文本長達200多頁，內容非常復雜，核心包括以下方面：

一、受控GPU出口到全球數據中心的管制規則（按照國家和地區分成三組，有不同的管制水位）

（一）第一組：盟友國家（AI 20俱樂部）

關于范圍目前有兩種說法：比較多的是說有20個國家和地區，具體為：澳大利亞、比利時、加拿大、丹麥、芬蘭、法國、德國、愛爾蘭、意大利、日本、荷蘭、新西蘭、挪威、韓國、波蘭、西班牙、瑞典、瑞士、英國和中國臺灣地區。這二十個國家在規則中的正式名稱應該是“人工智能授權國家”（(Artificial Intelligence Authorization Countries,AIACountries），也有的分析將其稱為“AI 20俱樂部”（AI 20 Club）。另一種說法是這些國家有18個。

總之都是美國視為最親密、可信賴的盟友。企業在這些區域可以自由部署算力，總部設在這些區域的企業可以向美國政府申請通用許可，把受控GPU運送到全球大多數地方的數據中心。但有幾個前提：這些企業需要遵守美國政府的安全要求（包括各類認證和半年一次的報告），其所部署的算力必須主要集中在這些國家或地區，在這些區域以外部署的算力不能超過全球部署總算力的 25%。上述企業也可以在“不是“AI 20俱樂部”、但也不是GPU禁運國（包括中國在內有24國）”的國家部署算力，但在單個國家部署的算力不能超過全球總量的7%。

（二）第二組：不屬于“AI20俱樂部”，也不是24個GPU禁運國的國家

這些國家的數量最為龐大，多達140多個，包括新加坡、墨西哥、馬來西亞、阿聯酋、以色列、沙特阿拉伯和印度等國。美國的北約盟國里有18個國家也“降級”到該組，包括：葡萄牙、立陶宛、盧森堡、捷克、冰島、匈牙利、愛沙尼亞、斯洛文尼亞、斯洛伐克、克羅地亞、保加利亞、羅馬尼亞、拉脫維亞、希臘、阿爾巴尼亞、土耳其、黑山和北馬其頓。

對在這些國家的企業，適用“低處理性能”（Low Processing Performance, LPP)許可豁免。具體來說，是估算其會使用的合理的總算力（以“總處理性能”Total Processing Performance/TPP計算），除以單塊GPU的TPP，算出GPU是多少塊，作為可以出口到這些國家的GPU總量上限/配額（從2025年到2027年每個國家最多能拿到約 5 萬塊）。對全球所有GPU出口商和再出口商都要按照這個配額給該組國家供貨。在配額額度內的GPU出口，不用向商務部申請許可，超了配額就不能再出口。

怎么堵上受控芯片通過美國和盟友以外的國家轉口或走私，一直是美國政府的一塊心病。2022年1007規則只是卡住了受控GPU向中國大陸、香港和澳門的出口。但后來美國政府發現，很多中國公司從印尼、馬來西亞、菲律賓、新加坡、越南、泰國等東南亞國家以及阿聯酋、沙特等中東國家，以轉口貿易和走私的方式繼續獲得受控芯片。

為解決該問題，美國商務部2023年1017規則把管制范圍擴展到了所謂的D:1、D:4或D:5組國家，基于“地區穩定”理由施加了許可要求（澳門和D5推定拒絕；D:1、D:4境內公司推定批準，但是中國公司的海外子公司則推定拒絕），希望能堵住中國公司通過新加坡、阿聯酋等第三國轉口或走私用于數據中心的受控GPU。

能想出給第三國搞GPU出口配額這個損招，說明商務部上述補漏洞的努力效果很不好，也能看出他們現在焦慮到了什么程度。這種做法相當于直接命令英偉達：你在這些國家只能賣這么多GPU。英偉達最合理的選擇當然是把有限的額度優先給那些它放心的大公司、非中國公司，而不是那些搞不清楚來路的小公司（里面可能有很多中國的空殼公司）。

但對如此大范圍的國家群體設置特定商品的出口配額，非同尋常，很容易演變成外交爭端。

1973年，全球糧食產量受惡劣天氣條件和農業欠收供應緊張，美國作為小麥和大豆等全球主要糧食生產國，曾實施過“臨時出口配額”，限制小麥和大豆的出口總量，以確保有足夠的糧食供應滿足國內需求。冷戰期間，美國也曾對鈾、鋼鐵等資源設立出口上限，以遏制蘇聯獲得戰略資源。但總的來說，美國歷史上干預國際貿易一般用關稅和出口管制，很少用出口配額。

為防止物資經由“中立國”或“第三國”流入敵對國，采取對“中立國”或“第三國”實施出口配額，有據可查的第一次是在一戰期間。為切斷德國的補給，作為協約國領頭羊的英國以戰前的消費水平為基準，估算荷蘭等“中立國”季度、年度的“正常”進口量，規定其對特定商品的進口量不得超過其戰前平均水平，否則會被英國禁止出口超額部分。“配額制”有效減少了德國獲得的物資供應，但也給“中立國”帶來嚴重困難，嚴重擾亂了這些國家的國內工業和全球貿易，也引發了英國和這些國家的外交沖突。

對此，甲骨文執行副總裁Ken Glueck的評論一針見血：對他國單方面采取GPU出口配額制，可能會傷害美國的經濟競爭力、國家安全和外交政策。美國看不起人家，不讓進“AI 20俱樂部”，這些國家會組自己的俱樂部，轉向使用中國產的GPU和中國的云，性能雖暫時差一些，但至少不會像美國一樣歧視斷供。這是在限制美國企業在這些國家的市場空間，同時給華為、壁仞等中國GPU廠商以及中國云服務商、AI公司提供打入這些市場千載難逢的機會。國會通過《芯片法案》想投入2800 億美元來振興美國芯片產業，拜登政府這一紙規則就讓美國企業在全球芯片市場的份額縮減了80%，并把這個市場雙手奉送給中國。

此外，配額制還有執行層面的嚴重問題：比如，你美國怎么確定其他國家所需要的算力總量是多少，萬一算錯了，給人家的配額少得離譜呢？假設美國政府給某國設置了一年25000片GPU的配額，而三家美國公司各自提出向該國出口 10000片GPU的許可申請，你政府怎么決定給誰多給誰少呢，這是不是給了你權力尋租的空間呢？

總體上，這個GPU出口管制配額制實在是太過了，影響的范圍和可能引發的外國反彈會非常大。大膽推測，該部分規則很可能會在美國商界和政府的討價還價中被剔除，或至少某種程度上弱化，讓我們拭目以待。

（三）第三組：全面禁運GPU芯片的國家

這一組國家受到的限制最為嚴格，外部信息透露的數量是24個國家。從數量上看，幾乎可以確定這是《美國出口管理條例》（EAR）規定的全部23個D:5組國家，再加上不屬于D:5組的澳門。美國全面禁止向這些國家或地區的數據中心出口受控GPU。

D:5組國家全部是美國武器禁運國，包括中國、古巴、伊朗、朝鮮、敘利亞（美國全面制裁）；俄羅斯、白俄（當前熱點）；緬甸、柬埔寨、委內瑞拉（涉軍）；阿富汗、中非、剛果（金）、塞浦路斯、厄立特里亞、海地、伊拉克、黎巴嫩、利比亞、索馬里、南蘇丹、蘇丹、津巴布韋）。

二、“通用經驗證最終用戶”（Universal Validated End User, UVEU）

美國對上述第二組的“第三國”們設置GPU出口配額，進行了GPU總量限制，但這會連帶影響到美國在這些國家的企業。特別是在這些國家運營大規模數據中心的Azure、AWS、甲骨文等美國云服務商，以及可能自建數據中心的OpenAI等人工智能巨頭，可能因為受制于配額難以獲得足夠的GPU和算力，這顯然是不利于美國云服務商的全球化發展的。

為解決該問題，“人工智能擴散出口管制框架”規定，上述美國公司可以向商務部申請拿到“通用經驗證最終用戶”（Universal Validated End User, UVEU）資質，從而可以不用申請許可就把GPU傳送到自己在這些國家的數據中心，且這些GPU不計入該國的GPU配額。但也有條件：這些公司必須保證把至少 50% 的總算力留在美國本土，以確保美國本土始終擁有比世界其他地區更多的算力。

想要拿到UVEU資質，美國云服務商和AI公司得獲得美國聯邦政府云計算風險與授權管理項目（FedRAMP High）的認證，并遵守美國國家標準與技術研究所（NIST）的相關網絡安全和數據安全標準。FedRAMP High 是一種保護聯邦政府最敏感、但還沒有達到機密級別的數據（類似中國的“重要數據”）的技術認證，核心內容是美國政府定義的一整套信息和物理安全要求。FedRAMP High要求每年對申請認證的數據中心進行第三方審計、特定的人員與訪問控制，還包含數據主權要求（美國政府數據必須存儲在美國境內）。FedRAMP High認證本來是一個非強制性的認證（類似于中國的非強制性國標），美國很多的商業數據中心也沒申請過這個認證，但上述要求通過把它和能否獲得足夠GPU綁定，變相強制化了。

但這個UVEU也不是美國政府拍腦門子想出來的，而是在去年就已經有了基礎制度。

UVEU規則建立在商務部去年9月份公布的數據中心“經驗證最終用戶”（Validated End User，VEU）項目基礎上，該項目允許美國公司在海外的數據中心不用申請許可就可以接收受控GPU。條件是數據中心必須提供有關客戶、業務活動、訪問限制和網絡安全的信息。

而該項目又是從阿聯酋頭部AI公司G42去年4月份和美國政府簽署的國家安全協議中獲取的靈感。因為有了該協議，G42才得以和微軟合作、買英偉達的GPU。

G42對阿聯酋的意義不亞于華為之于中國，是阿聯酋建設“AI經濟”、成為AI領先國家的希望。阿聯酋國家安全顧問、總統的兄弟謝赫?塔努恩?本?扎耶德?阿勒納哈揚是這家公司的董事。CEO彭曉是個華裔，出生在中國，在美國求學，先拿了美國國籍，后來為了在G42工作退了美國籍，拿了阿聯酋的護照。

直到今年以前，G42和中國的聯系還很密切，和華為、華大基因等都有合作。也因為這些合作，G42被美國國會和拜登政府盯上了，不停地私下或公開施壓，威脅如果G42不跟中國劃清界限，就不讓英偉達賣給它GPU。微軟今年4月投了這家公司15億美元，并計劃給它提供芯片及模型權重，但因為G42和中國的聯系被美國政府叫停。

據媒體報道，美國政府內部對怎么處理微軟和G42的合作是有分歧的，商務和貿易官員大體上覺得沒啥大不了，但政府里的沙利文這些國家安全派覺得不行，這很大程度上是對阿聯酋這個國家不放心，因為阿聯酋這幾年使勁深化和中國的關系，也明確表示沒有興趣在中美之間選邊站。

前面提到過，美國商務部2023年1017規則對向阿聯酋等中東國家出口GPU等受控物項施加了許可證要求，雖然是推定許可，但商務部也有權不給許可。對G42，商務部對英偉達和微軟賣給G42 受控GPU和一些AI相關物項，就一直卡著不給許可，搞得微軟總裁Brad Smith公開抱怨商務部的規則不夠清晰明確。

一直到2024年9月中旬，媒體透露美國終于批準英偉達向G42出售尖端英偉達芯片。讓美國網開一面的原因，是G42和美國政府簽署了一項國家安全協議。協議內容沒有公開，但透過媒體零星的報道還是能窺見一斑。

一是嚴格的供應鏈管理要求：G42已有的數據中心要剔除所有中國相關的硬件，即使這些硬件被拔掉并且沒實際用，也要拿掉。新數據中心使用物理封鎖，用西方國家獨家制造的硬件從頭開始改造，避免任何被中國通過后門攻擊。

二是嚴格的網絡安全保護措施：數據中心的計算部分使用軍用級別的FIPS 140-2加密，和所有其他從安全攝像頭到冷卻的系統物理分離，以減少網絡攻擊者利用輔助硬件漏洞蠕蟲進入服務器的可能。

三是嚴格的人員管理和控制：客戶、員工和訪客要接受廣泛的篩查，中國公民不得在數據中心工作。

四是算力監測：G42需要實時監控計算水平的波動（往往意味著有中國公司在用其數據中心進行模型訓練）等異常情況。

五是外部紅隊測試：G42雇傭了美國國防部的承包商來進行“紅隊測試”，檢查數據中心的防御情況，堵上一切中國可以利用的網絡安全漏洞。

兩周后，BIS修訂了 EAR，推出了一項單獨的“經驗證最終用戶規則”（Validated End User，VEU），在現有的適用于印度、中國的VEU （一般 VEU 授權）基礎上，新增了一個“數據中心 VEU 授權”。核心就是全球各地的數據中心運營商可以跟BIS申請進入這類數據中心 VEU的名單，但需要滿足一套美國商務部、國防部、能源部和國務院共同制定的嚴格標準。

滿足了這些標準的數據中心，BIS會在 EAR 中按名稱和位置進行記錄，屆時美國公司向這些數據中心出口管制的GPU，就相當于獲得了一個通用許可，不用再一項項單獨向BIS申請許可。仔細看這些數據中心VEU的要求，跟美國把和G42的國家安全協議里的安全控制措施簡直一摸一樣。美國政府把這份國家安全協議里的核心內容，以BIS規則的形式復制到了所有禁運國家以外的數據中心。

我理解，外界透露的“通用經驗證最終用戶”（UVEU）制度，屬于上述數據中心UVE的升級版，其基本原理是一致的，即這些數據中心不能被中國用來訓練AI大模型。

三、對閉源人工智能模型權重的出口管制

在訓練AI模型時，系統會根據輸入的數據不斷調整模型內部的“權重”（Weights），這些權重是一組復雜的數學參數，用來告訴模型“如何理解數據”和“如何作出決策”。打個比方來說，AI模型本身就像蛋糕，用戶可以“吃”到（用它生成內容），權重則是制作蛋糕的“獨家配方”，包含了原料比例、加工方法等核心信息。如果配方公開（開源），任何人都可以模仿制作。

我去年曾經寫過“”一文，應該是中文互聯網第一個深入討論“增強海外關鍵出口限制的國家框架法”（Enforce Act），及其史無前例的AI模型出口管制的。在那篇文章里，我的判斷是，在美國關于開源的相關討論也越來越不支持限制開源模型，因此美國可能以計算能力的特定閾值劃線，對“性能很強”的大模型進行出口管制，對開源模型則會大體會放開，或只要求履行一定盡調義務。

根據目前的信息，“AI擴散出口管制框架”關于該部分的規則符合上述判斷，沒有管制開源模型權重，以及不如現有開源模型強大的閉源模型權重。但如果一家在上述第二組國家的 AI 公司想要針對特定目的對通用開源權重模型進行微調，且該過程耗用大量算力，需要向美國政府申請許可。

對閉源模型權重，該規則將禁止美國AI公司在中國和俄羅斯等上述第三組國家托管這些權重。在第二組國家，可以托管這些權重，但必須遵守相關的安全標準。如果一家公司獲得了“通用經驗證最終用戶”（UVEU）的認證，則不受此限制。

現有的信息沒有提及如何判斷哪些是需要管制的“性能很強”的大模型。判斷可能以模型訓練所需的浮點運算數（FLOPs）劃線，確定一個閾值。因為FLOPs實際是模型訓練做了多少次加法和/或乘法運算（一次加法和一次乘法合計一次FLOP）。FLOPs的數量如果很大，說明模型規模很大，能力和帶來的風險也就更大。

事實上，美國過去多個涉及AI的擬議規則都在采取以FLOPs劃線的思路。

去年9月，美國商務部為執行拜登《安全、可靠和值得信賴的人工智能開發和使用》第14110號行政令第4.2（a）節，公布了“建立先進人工智能模型和計算集群開發的報告要求”，其中觸發向BIS報告義務的標準是：訓練超強AI模型（需要執行超過10^26FLOPs），或者擁有一組機器組成的超快、超強的計算機集群，且這些機器通過速度超過300 Gbit/s的網絡連接在一起，計算能力非常強大，理論上每秒可以進行超過10^20FLOPs。

美國財政部還去年10月發布、今年1月2日已生效的，把禁止美國投資的中國AI模型閾值確定為：訓練所用計算量的閾值超過了10^25FLOPs；主要使用生物序列數據訓練的，計算量閾值超過了10^24FLOPs。

我推測，“AI擴散出口管制框架”對閉源AI模型權重的管制水位，很可能會和財政部的對華投資審查最終規則拉齊，即一般數據訓練的模型10^25次 FLOPs，生物序列數據訓練的10^24次FLOPs。達到該標準的美國閉源AI模型應該有Open AI大的GPT-4（10^25 FLOPs） 或后續版本、Google DeepMind 的 Gemini 1（10^25 FLOPs）、 Anthropic的Claude 3 或后續版本。

根據美國知名的AI研究機構EPOCH AI的報告，截至 2024年4 月，中國還沒有已知計算能力超過 10^25 FLOPs 的 AI 模型，有 5 個中國 AI 模型的計算能力超過 10^24 FLOPs（包括阿里巴巴的 Qwen-72B、XVERSE Technology 的 XVERSE-65B、智譜 AI 的 Chat GLM 3、虎博科技的 Tigerbot-70B，以及百度的 ERNIE 3.0 TITAN），還有 14 個中國 AI 模型的計算能力超過10^23 FLOPs，其中包括DeepSeek 的 DeepSeek Coder 33B 和 DeepSeek LLM 67B。

“AI擴散出口管制框架”在美國內部引起了激烈爭論。卡耐基研究院把相關的不同觀點精辟地總結為三派：

一是“控制”（control）派，以一些國會鷹派議員、國安官員、鼓動“民主AI打敗專職AI”敘事的AI頭部企業為代表。他們認為，讓前沿AI技術擴散到非盟友國家，對美國帶來的國家安全風險遠高于擴大AI出口的獲利。例如，眾議院中美戰略競爭特別委員會主席穆倫納爾和首席成員克里希納穆蒂致信商務部長雷蒙多，敦促盡快出臺該法規，還建議對所有有中國軍事基地或情報站點的外國禁運GPU，禁止有華為云基礎設施的國家都訪問美國的閉源AI模型權重。特朗普第一任期時的副國家安全顧問博明和Anthropic CEO、創始人Dario Amodei在華爾街日報發文力挺對華加強AI出口管制。Open AI的CEO Sam Altman也支持出臺該法規。

二是“擴散”（diffusion）派，以甲骨文等美國云廠商、代表云服務和信息通信技術行業的協會等為代表，認為應當努力讓美國AI技術在海外市場盡快落地生根，只有美國AI技術向全球快速滲透，才能不被中國搶占市場空間，才是維護美國國家安全的根本之道。目前AI出口管制法規的思路只會把美國云廠和AI公司的手腳綁住，讓中國AI和云廠商搶占海外市場。對此，Oracle高級副總裁Ken Glueck去年12月19日及今年1月7日的兩篇炮轟商務部的文章，是很好的代表。這一派在國會也不乏盟友，例如參議院商務、科學和運輸委員會主席Ted Cruz和高級成員Maria Cantwell上月即致信商務部長雷蒙多，對該法規嚴重阻礙美國科技產品海外銷售，且沒給國會和企業反饋意見的機會表示關切。

三是“杠桿”（leverage）派。該立場處于兩種極端思路之間，主張將美國AI出口當作外交談判的工具，通過對AI技術的出口管制換取他國在地緣政治或技術層面的讓步，如要求外國支持美國主導的國際AI安全標準，或在外交上配合美國。

目前，該法規顯然已經到了最后階段。1月7日下午，英偉達總法律顧問Timothy Teter跟管理和預算辦公室的官員開了EO 12866 會議（重大聯邦法規發布前聽取利益相關方意見，進行成本效益分析、政策一致性、跨機構協調審查的會議，因前總統克林頓第12866 號行政令設立得名）。早前的12月20日，美國信息產業理事會、Alston & Bird律所也分別代表行業與商務部、管理和預算辦公室開了EO 12866 會議。兩次會上，英偉達和相關游說的行業機構、律所應該分別就草案表達了意見。

美國商務部決定繞開公開征求意見程序，以“臨時最終規則”（interim final rule）形式出臺該法規。這也意味著，該法規將在刊登于《聯邦紀事》之日起60天內迅速生效。公眾雖然仍可以事后對相關法規提出意見，但法規已經生效了。美國聯邦法規制定實踐中，“臨時最終規則”不新鮮。基于《行政程序法》下的“正當理由”例外（good cause exception），聯邦各部門可以采取這種形式制定法規，但合理的例外一般是公共衛生突發事件、國家安全威脅、經濟或財政危機等特殊情況，這部法規顯然沒有這么特殊和緊急。

對此，商界普遍呼吁拜登政府不要“強行上線”該法規，而是走正常的征求公眾意見程序，特朗普第一任期時的國家安全顧問Robert O'Brien公開呼吁：“請把這些重大問題留給特朗普團隊來處理。他們在對華強硬和貿易方面的表現都更勝一籌。”但看拜登政府這架勢，是一定在交班川普前把這個規則放出來，不管不顧了。

文章僅做學術探討和市場研究交流使用，相關判斷不代表任何公司或機構立場，也不構成任何投資建議。轉載請注明來源。文中提到的媒體、智庫、產業界評論、文章等見知識星球。