人工智能公司在政府合同中拥有什么权利?
这取决于采购路径、合同类型和合同条款。
Anthropic-五角大楼争端引起了公众的广泛关注,也伴随着大量错误信息。在国防部长皮特·赫格塞斯(Pete Hegseth)向 Anthropic 发出最后通牒 ,要求其允许“不受限制地将其人工智能模型用于‘所有合法目的’”而该公司拒绝后,特朗普总统指示联邦机构停止使用 Anthropic 的产品,赫格塞斯指定该公司为“供应链风险”。
数小时后,OpenAI 宣布了其与五角大楼的交易 ,声称该交易包括了 Anthropic 一直在争取的两项限制(禁止大规模国内监控、禁止完全自主武器),同时又接受了 Anthropic 拒绝的“任何合法用途”标准。
公众反应一片混乱,但大多数评论——来自双方——都反映出对政府如何采购人工智能的根本误解。评论者们在争论人工智能公司是否应该能够限制政府使用其技术,仿佛这是一个新问题。但事实并非如此。承包商一直在限制政府对其产品的使用。是否以及在何种程度上能够如此,取决于三件事:采购路径、合同类型以及协商达成的合同条款。
理解这些变量对于评估 Anthropic 事件、评估 OpenAI 的这项交易达成了什么,以及判断这些发展对国防领域人工智能未来意味着什么,都是必不可少的。
政府如何采购人工智能及其重要性
联邦政府并非通过单一、统一的流程采购人工智能。它采用多种采购途径,每一种都会在政府与承包商之间产生不同的权利与杠杆分配。正如我在文章〈Buying Blind: Corruption Risk and the Erosion of Oversight in Federal AI Procurement〉中详述的那样,理解这些途径对理解随之而来的治理风险至关重要。下面,我列出最常见的几种途径(还有其他途径,但我在此不作一一罗列)。
商业采购(FAR 第 12 部分)
联邦采购人工智能的最常见途径是将这些系统视为普通商用软件。《联邦采购条例》(FAR)第 12 部分适用于政府以商业条款从已在商业市场上销售的产品和服务中采购。该条例明确限制政府在市场惯例之外施加额外要求的能力。销售商用人工智能产品的承包商并不需要授予政府比其他客户更广泛的使用权。政府可以提出扩大权利的要求,但承包商必须同意,且通常需要额外的对价。
这意味着,当政府以商业方式购买人工智能时,供应商的标准条款与条件(包括其可接受使用政策)就是默认的起点。对使用的限制并非某些激进人工智能公司的奇异要求,而是政府以商业条款购买商业产品的必然结果。
许可证升级与企业协议
许多机构并非通过单独采购来获取人工智能能力,而是作为现有企业软件协议的附加功能获得,例如 Microsoft Copilot 或 Google Gemini。由于这些人工智能功能作为现有许可证的升级提供,因此适用于基础协议的条款。重新协商针对人工智能的特定条款就意味着要重新谈判整个企业合同,而这通常导致商业默认条款占主导地位。
GSA 多重授予附表
当机构通过 GSA 附表下订单时,它们继承了 GSA 在主协议层面所谈判的任何条款。下游订购机构修改这些基线条款的权限有限。如果主协议包含供应商的可接受使用政策,单个机构通常无法推翻这些限制。
谈判采购(FAR 第 15 部分)
FAR 第 15 部分赋予机构在谈判定制条款方面最广泛的自由度,包括有关使用权、数据权利、透明度和治理的条款。但这一途径伴随高昂的程序成本和更长的时间线。实际上,机构通常避免在快速变化的人工智能采购中采用第 15 部分,因为它更慢且流程繁重,而且国防部领导层强调以商业优先、快速通道为主。
其他交易(OTs)
OT(其他交易权)是基于非 FAR(联邦采购条例)的协议,用于研究、原型开发和某些生产活动。它们比基于 FAR 的合同提供了大得多的灵活性。2025 年,国防部通过该途径向 Anthropic、OpenAI、Google 和 xAI 授予了每项最高达 2 亿美元的协议 。OT 豁免 FAR 的要求,因此条款由当事方协商决定。机构可以利用这种灵活性获得广泛的使用权;承包商则可以利用它加入限制。不论哪种方式,条款是协商的产物,而非监管默认。
这在实践中意味着什么
每种途径产生一组不同的合同权利和义务。认为承包商绝对不能限制政府对其产品的使用,或认为这样做在某种程度上是不合法的,反映出对政府采购法运作方式的根本误解。限制的范围由具体的采购途径和当事方的协商确定。这并非新颖或有争议的问题,而是基本的采购法。
“任何合法用途”是什么意思?
这就把我们带到公众讨论中的核心混淆: “‘任何合法用途’”标准实际上意味着什么?
OpenAI 已经公布了其与五角大楼合同中的相关条款 。其中部分内容写道:
战争部可以在符合适用法律、作战需求以及成熟的安全与监督规程的前提下,将该人工智能系统用于一切合法目的。
该合同涉及自主武器、监控和国内执法。在 OpenAI 公布的条款中,关键措辞主要参照现行法律权威,包括国防部指令 3000.09、第四修正案、外国情报监视法、总统行政命令 12333 以及《民兵法案》(Posse Comitatus Act)。该系统“不得用于与这些权威不符的对美国人士私人信息的无限制监控。”国内执法的使用仅在“《民兵法案》及其他适用法律允许的范围内”被允许。
从表面上看,已公布的摘录并未赋予 OpenAI 类似 Anthropic 那种独立的、可禁止政府进行本可合法使用的权利。实际适用的标准是“所有合法用途”,并受适用法律及相关政府要求和协议的约束。
这并不意味着这些条款毫无意义。对限制范围与可执行性之间存在重要区分。合同中重复列明法律要求可能不会改变法律本身的要求,但如果政府的使用违反了合同承诺,可能会改变救济方式。OpenAI 通常不会是代表第三方主张第四修正案权利的适当原告,但它可以将不合规行为表述为对其自身协议的违约,且 OpenAI 表示如果政府违反合同条款,它可以终止合同。
与此形成对比的是 Anthropic 所寻求的:对“合法使用”提出明确例外,哪怕政府认为某些使用是合法的,也会禁止这些使用。Anthropic 将僵局归结于两项所请求的例外:针对美国人的大规模国内监控和完全自主武器。从政府角度来看,这种做法实际上会把私人承包商置于决定哪些原本合法的使用不得为之的地位。
安全层级:真正的杠杆可能存在之处
合同条款并不是全部。在随其声明发布的一篇详细博客文章中,OpenAI 描述了一个超出协议四角之外的多层次执行方法。从采购法的角度看,这就是分析变得更有趣的地方。
OpenAI 声称有三种额外的杠杆来源:
仅云端部署并保持架构控制。 OpenAI 表示这是仅云端部署——模型不会提供到边缘设备(在那些设备上可能被用于自主致命武器)。OpenAI 保留其所称的对其安全堆栈的“完全裁量权”,包括运行和更新用于监控使用情况的分类器的能力。公司称这种部署架构使其能够“独立验证”其红线未被突破。
经过许可的 OpenAI 人员参与其中。 公司表示其经过安全许可的员工将参与部署,其安全和对齐研究人员将“参与其中并随着时间推移帮助改进系统”。
终止权。 OpenAI 表示,与任何合同一样,如果政府违反条款,公司可终止该协议(尽管任何终止权的范围取决于具体协议,包括未披露的通知、补救和争议解决条款)。
此外,OpenAI 对合同法律引用的时间范围提出了一个值得注意的主张。公司称,合同“明确引用了当前存在的监视和自主武器相关法律与政策,因此即便这些法律或政策未来发生变化,我们系统的使用仍必须与协议中反映的现行标准保持一致。”如果完整合同条款支持这一主张,这将构成超越重申现行法律的真实合同性限制。即便国会修改了 FISA 或国防部修订了第 3000.09 号指令以允许更广泛的使用,合同仍可能将政府约束于先前的标准。
已公布的摘录对该解读仅提供了有限支持。DoDD 3000.09 引用带有版本标注(“dtd 25 January 2023”),表明该合同可能与该指令的特定版本相关联,但在未见到并入条款的情况下,这并不足以得出结论。因此,协议是否“锁定”当时的标准取决于 OpenAI 未公布的合同措辞。例如,合同是将这些授权以“在特定日期生效的状态”并入,还是随时间追踪其后续修订,二者结果不同。
这些主张值得仔细审视,因为它们揭示了关于人工智能采购中真正合同杠杆所在的重要信息,而这可能并非大多数人预期的方向。
如果 OpenAI 对其安全堆栈保留全部裁量权并且仅在其自身云基础设施上部署,那么政府使用的实际限制是架构性的,而不仅仅是合同性的。政府可以出于“任何合法目的”使用该系统,但仅在 OpenAI 的分类器和安全系统允许的范围内。如果某个分类器屏蔽了特定用途,问题在于政府是否有合同权利要求将其移除。OpenAI 声称对这些系统保留“全部裁量权”。
这在协议核心产生了张力。合同允许在“所有合法目的”下使用,但须遵守“运营要求”和“公认的安全与监督协议”。OpenAI 表示,在仅云部署的情况下对其运行的安全堆栈保留全部裁量权。如果安全堆栈阻止了某项合法使用,哪一项条款生效?答案取决于规范宽松使用标准与部署框架之间关系的具体合同措辞——这些措辞尚未公开。
同样值得注意的是其中的讽刺意味。五角大楼对 Anthropic 的反对,核心在于一个私人公司不应能够限制军方对人工智能技术的使用。然而,OpenAI 的安排似乎通过基础设施、人员和 OpenAI 可单方面更新的分类器,赋予该公司对技术实际运行方式的重大操作控制权。是否构成五角大楼希望通过反对 Anthropic 而避免的那种限制,完全取决于规范 OpenAI 裁量权的条款,以及政府是否保留任何合同权利以在合法用途上推翻该安全体系。
为何采购路径决定后续走向
公众讨论几乎完全集中在人工智能公司是否应有权对军方施加伦理限制。这是一个合理的政策问题,但用这一框架来理解此事是错误的,它还掩盖了将影响未来人工智能治理的采购现实。
正如我在 Buying Blind 中所论,政府通过一些体系性地限制其谈判保护性条款能力的途径来采购人工智能技术,这种限制不仅保护了公司,也同时限制了政府自身的保护。那些使得 Anthropic 等公司难以执行使用限制的商业采购方式,同样也使政府难以获得充分的透明度要求、审计权、数据保护和防止承包商锁定的保障。对开始和商业条款的强调是一把双刃剑:它限制了双方在商业默认条款之外提出条款的能力。
围绕 Anthropic 的争议将注意力集中在这一动态的一个方向:公司对政府的限制。但更具后果的治理失灵却是相反的方向:政府在通过并非为如此复杂且影响深远的技术设计的商业途径采购人工智能时,无法获得它所需要的保护。
政府对 Anthropic 的惩罚性反应加剧了这一问题。如果与政府强硬谈判的后果是被认定为供应链风险——一种通常用于针对外国对手威胁的机制——那么公司就有强烈动机去被动接受政府提出的任何条款。OpenAI 本人曾表示,不认为供应链风险的认定应该适用于 Anthropic。这样的做法可能会加快采购进程,但会带来更差的治理结果。害怕谈判的公司,在政府提出的条款对任何一方都不充分时,就不会提出反对。
公众讨论应当提出的问题不是人工智能公司是否有权指示五角大楼如何行事。它们确实有权(在其所谈判合同的限制范围内),但这取决于采购途径、合同类型以及双方同意的条款。真正的问题是,政府目前的人工智能采购方式是否能签订出充分保护公众利益的合同。根据现有证据,答案是否定的。尽管 Anthropic 与五角大楼的争端受到了大量关注,但那只是这一更深层问题的一个症状,而非根本原因。
