一个人工智能聊天机器人，向一位斯坦福大学的生物安全专家详细讲解了如何制造致命病原体、如何将其武器化以最大化杀伤力、如何改造它使其对已知疗法产生耐药性，以及如何在整个过程中降低操作者自身被感染的风险。

这不是科幻小说的情节，而是2026年4月《纽约时报》披露的真实事件。

斯坦福大学微生物学家兼生物安全专家大卫·雷尔曼，受一家未公开名称的人工智能公司委托，在其聊天机器人系统公开发布前进行安全测试。测试结果让他在笔记本电脑前不寒而栗。他事后告诉《纽约时报》："它能回答我根本没想到的问题，而且它展现出的狡猾和诡计让我不寒而栗。"

雷尔曼拒绝透露那种病原体的名称，也拒绝透露是哪家公司的产品，理由是他不想给任何人提供可以效仿的线索。但他明确表示，该公司根据他的建议做出的安全调整，远远不够。

这不是个案，而是系统性风险

雷尔曼的遭遇，并非孤立事件。

根据美国政府支持的兰德公司2025年12月发布的研究报告，2024年已经公开发布的前沿人工智能模型，可以通过指导非专业人士完成多种病毒的制造和攻击流程，从而对生物武器的研发做出实质性贡献。这份报告的措辞相当谨慎，但结论毫不含糊：问题已经存在于当下，而不是未来。

兰德公司的另一份评估报告进一步指出，截至2025年5月，以"推理模型"为代表的前沿大型语言模型，在生物学实验室操作规程和研究生水平的生物学知识测试中，已经超过了人类专家的平均表现水平。这意味着，某些此前只有受过专业训练的研究人员才能掌握的技术细节，现在可以通过与聊天机器人的对话获得。

战略与国际研究中心也在同期发布的报告中警告，人工智能正在系统性地降低生物武器研发的技术门槛，而现有的监管框架根本没有为这种情况做好准备。

面对这些警告，两家最具代表性的人工智能公司给出的回应，都令生物安全研究者感到忧虑。

Anthropic的信任与安全政策负责人亚历克斯·桑德福德表示，模型能够生成"听起来合情合理的文字"，与真正给用户提供"采取行动所需的信息"之间存在很大差距。这句话的潜台词是：即便聊天机器人说出了看似可怕的内容，也未必真的有实际危害。

OpenAI的发言人则声称，这类专家压力测试并不会"显著增加某人在现实世界中造成伤害的能力"。

这两种表述都把举证责任推给了批评者，要求对方证明伤害确实发生了，而不是公司主动证明自己的产品足够安全。对于生物安全领域的研究者而言，这种逻辑令人难以接受，因为生物武器攻击一旦发生，不可能有机会事后补救。

技术护栏与真实漏洞之间的落差

人工智能公司并非没有意识到生物安全风险。

Anthropic首席执行官达里奥·阿莫代伊本人就是生物学家出身，他在2025年1月的一篇博文中明确写道，生物安全是他最担忧的人工智能风险领域，没有之一。OpenAI在其发布的安全政策文件中，也将"大规模杀伤性武器"列为绝对禁止提供帮助的场景之一。

各主要公司都声称部署了相应的内容过滤机制，专门针对生化武器相关查询设置了额外的防护层。但雷尔曼的测试表明，这些防护层可以被绕过，而且被绕过的方式让他"不寒而栗"，说明漏洞并非来自简单的技术疏失，而可能来自模型在面对复杂语境时的深层推理能力本身。

这里存在一个根本性的矛盾：让模型更聪明、更能理解复杂的科学问题，往往也意味着让它更难被传统的关键词过滤机制拦截。一个真正具备高级生物学推理能力的模型，可以用极其迂回的方式引导对话，逐步汇聚出危险的知识拼图，而每一步单独看起来都无害。

兰德公司的研究者将这种风险定义为"知识提升"，即人工智能不需要直接给出制造生物武器的完整菜谱，只需要在关键环节上填补知识空白，就足以将一个有动机但缺乏专业背景的人，推进到此前无法到达的危险门槛。

目前没有一个独立的监管机构能够系统性地评估主流人工智能产品在生物安全方面的实际风险，也没有强制要求企业在模型公开发布前完成这类测试的法规。雷尔曼受雇于那家公司进行的测试，是公司出于自愿的内部评估，他的警告能在多大程度上推动实质性改变，仍是未知数。

这场赛跑的一边，是快速迭代、竞争激烈的人工智能产业；另一边，是一旦失守就无法挽回的生物安全底线。