1. 被忽视的“末日机器”当技术风险不在科幻里每次打开科技新闻铺天盖地的都是关于人工智能的讨论。从自动驾驶的伦理困境到“超级智能”如何毁灭人类再到“回形针最大化”的哲学思辨这些话题几乎成了科技圈的新式社交货币。和朋友喝杯啤酒聊起技术风险话题也总是自然而然地滑向这些遥远、抽象、甚至带着点赛博朋克浪漫色彩的“未来威胁”。这让我想起一个老笑话大家都在担心天边会不会掉下一颗陨石却没人低头看一眼自己脚下正在裂开的地缝。真正能决定人类文明存续的计算机并不在那些光鲜亮丽、堆满了最新款英伟达GPU的数据中心里。它们没有运行着2023年最时髦的Transformer模型或扩散模型。恰恰相反它们可能沉睡在某个布满灰尘的冷战时期地下掩体里或者潜伏在深海之下战略核潜艇的钢铁躯壳中。这些是上世纪六七十年代的IBM老古董运行着用Fortran 77、Ada 83或者某种早已被遗忘的汇编语言编写的程序。它们的任务简单而终极控制着全球数以万计的战略核导弹。这些冰冷的、不会“思考”的机器其“仁慈”或“决定”构成了我们文明得以延续至今的脆弱基石。然而关于如何让这些真正手握“生杀大权”的系统变得更安全、更可靠、更可审计的实质性讨论却在公众视野和科技圈的热议中几乎完全缺席。我们热衷于为想象中的“天网”设计伦理框架却对现实中早已存在的、由代码控制的“末日武器库”视而不见这本身就是一种巨大的认知失调和技术傲慢。2. 技术风险认知的错位为何我们总在担心错误的事情2.1 “未来恐惧症”与“现实盲视症”人类似乎有一种心理倾向即对遥远、抽象、充满不确定性的威胁投入过度的情感和智力资源而对近在眼前、具体、已知的风险却习惯性忽视。这种现象在技术风险领域表现得尤为突出。超级人工智能的威胁因其终极性和哲学性提供了一个完美的叙事框架满足了我们对“宏大议题”的讨论欲。它像一部尚未开拍的好莱坞大片情节可以任意想象结局可以无限争论但无需承担任何立即的、实际的责任。相比之下老旧核指挥控制系统NC3的软件漏洞、硬件老化、通信协议过时等问题则显得“枯燥”、“技术债务深重”且“ politically charged”。讨论它需要深厚的工程功底、对遗产系统Legacy Systems的深刻理解以及直面庞大官僚体系和极端安全要求的勇气。这不是一个能在咖啡馆里轻松聊完的话题它涉及数百万行无人敢动、也无人完全理解的“祖传代码”Spaghetti Code涉及可能因一个“软件更新”而触发的不可预测的连锁反应。因此媒体、公众甚至许多“科技达人”更愿意追逐那个闪亮的、未来的AI幽灵而非审视脚下这个生锈的、现实的核按钮。这是一种认知上的逃避用对未来科幻的担忧替代了对当下工程灾难的严肃审视。2.2 “自行车棚效应”在国家安全领域的极致体现“自行车棚效应”Bikeshedding指的是一个组织倾向于对琐碎、易懂的议题投入大量时间争论而对复杂、专业的核心问题却草草带过。当前关于AI安全的全球讨论在某种程度上正陷入这种效应。自动驾驶的“电车难题”人人都能插上两句嘴因为它基于简单的道德直觉AI生成内容的伦理边界也容易引发热议因为它贴近日常生活。这些是“自行车棚”级别的问题。而评估一个运行了50年的、用晦涩汇编语言编写的导弹目标诸元解算模块中某个浮点数溢出错误在极端电磁脉冲环境下的触发概率及其连锁后果则是一个需要顶尖软件工程、形式化验证、硬件可靠性和核武器效应学知识的“核反应堆”级别问题。前者吸引了“自行车棚设计师”们哲学家、媒体人、泛科技爱好者的无穷精力而后者则因为过高的专业门槛被真正关键的决策者和公众所忽略。结果就是资源关注度、资金、人才被错误地配置到了那些“易于讨论”而非“至关重要”的领域。2.3 遗产系统的“黑箱化”与单点故障隐患这些冷战时期的核指挥控制系统已经演变成了人类历史上最复杂、最危险的“遗产系统”。它们的安全困境是多重且交织的知识断代当年编写和维护这些系统的工程师大多已退休或离世相关的设计文档、注释可能早已丢失或不完整。系统所依赖的硬件如特定的磁芯存储器、定制接口卡可能早已停产维护依赖于全球仅存的几个仓库里的备件或者一些老师傅的“手艺”。这意味着系统逐渐变成了一个无人能完全理解的“黑箱”。测试的极端局限性你无法像测试一个手机App一样对核导弹发射控制系统进行“全链路集成测试”或“混沌工程实验”。绝大多数代码路径可能自部署以来从未被实际执行过其正确性依赖于数十年前的理论推导和极其有限的模拟测试。一些边界条件例如在遭受首次核打击后通信网络严重降级、多个节点失效、系统部分受损的情况下软件的故障恢复逻辑几乎无法进行真实场景验证。安全性与可靠性的悖论为了绝对的安全防止误发射系统设计了复杂的多人、多节点、多要素确认机制。但另一方面在需要其发挥作用的最高戒备状态下系统又必须保持极高的可靠性确保能发射出去。这种“既要又要”的要求在基于几十年前技术理念实现的系统中可能通过极其复杂的、环环相扣的逻辑来实现而复杂性本身就是可靠性的敌人。一个旨在防止误操作的冗余校验可能在极端压力下变成一个导致全面瘫痪的单点故障。外部依赖的脆弱性这些系统并非完全与世隔绝。它们可能依赖GPS进行授时和定位尽管有备份的惯性导航依赖特定的通信卫星或低频/甚低频无线电链路接收指令。这些外部依赖系统本身也由软件控制也可能遭受网络攻击、太空碎片撞击或国家级的反卫星武器打击从而将脆弱性引入核心的核指挥链。3. 直面“房间里的大象”核指挥控制系统的现代化之路何其艰难3.1 为何“重写一遍”不是答案面对一个由陈旧技术和代码构成的关键系统工程师的第一本能反应往往是“这太糟糕了我们应该用现代技术全部重写” 然而对于核指挥控制系统这是一个极其危险且可能天真的想法。无懈可击的验证需求新系统必须被证明在功能上与原系统完全等价甚至更优。但如何证明原系统本身就是一个无法完全测试的“黑箱”。你无法定义一个完整的、可测试的“需求规格说明书”来对照。新系统可能通过了所有你能想到的测试用例但那个你没想到的、原系统在某种极端巧合下才能处理的边缘情况可能就是未来灾难的源头。形式化验证Formal Verification是条出路但将数百万行非形式化、文档缺失的旧逻辑转化为可被形式化验证的模型其工作量与不确定性不亚于重新发明整个系统。“未知的未知”陷阱旧代码中可能包含一些看似无用或奇怪的逻辑它们实际上是针对某些早已被遗忘的硬件怪癖Hardware Quirk、物理效应如宇宙射线引发的软错误缓解或已失效的作战条令的“补丁”。盲目重写可能会移除这些隐性的安全机制或适应性逻辑。切换期的致命窗口从旧系统切换到新系统不可能像部署微服务一样进行蓝绿部署或金丝雀发布。这是一个“二进制”切换要么在用旧系统要么在用新系统。切换过程中的数据迁移、状态同步、人员培训、应急预案的更新每一个环节都容不得半点差错。这个切换期是整个体系最脆弱的时刻。因此更现实的路径不是“革命性”的重写而是“演化式”的现代化。这可能意味着硬件仿真与封装将老旧的专用硬件通过精密的仿真技术运行在更可靠、更易维护的现代商用服务器上。这样原始的软件二进制码无需改动仍在其“熟悉”的虚拟化环境中运行而底层物理硬件的可靠性得到了提升。渐进式替换与功能剥离将系统中相对独立、边界清晰的非核心功能模块如后勤管理、人员值班日志逐步用现代系统替换。对于最核心的、涉及“发射决策链”的模块则采用“包裹”策略用现代的安全监控和审计层将其包围实时监测其输入、输出和状态但不直接改动其核心逻辑。建立数字孪生与高保真测试环境投入巨资构建一个与实物尽可能一致的、包含所有软硬件的“数字孪生”测试平台。在这个平台上可以安全地进行各种压力测试、故障注入测试和演训从而在不威胁真实系统的前提下加深对系统行为的理解并验证任何渐进式改动的效果。3.2 人才断层谁还能读懂“穿孔卡时代”的遗产这是比技术债务更严峻的挑战人才债务。能够理解这些古老系统架构、编程语言如JOVIAL, CMS-2, 特定版本的汇编和当时设计理念的工程师正在迅速消失。国防承包商和军方面临着两难是花费巨额资金培养一批精通“技术考古学”的专家来维护这些老系统还是冒着巨大风险加速推进现代化一种可行的思路是将系统维护工作视为一种“关键数字文化遗产保护”。需要系统性地开展逆向工程与知识萃取组织跨学科团队包括尚在世的原设计者、软件逆向工程师、硬件工程师、历史学家对现有系统进行彻底的逆向工程不追求修改只追求理解。将晦涩的代码逻辑、数据流、硬件交互转化为现代工程师能看懂的架构图、文档和说明。建立“活态知识库”将挖掘出的知识不仅仅写成静态文档而是构建成交互式的知识图谱和仿真培训系统。新工程师可以通过在这个虚拟环境中“玩耍”直观地理解系统的工作原理和“怪癖”。改变激励结构在国防工业和政府机构内必须让从事这类“遗产系统现代化”的工作获得与从事前沿AI、量子计算等“明星领域”同等的职业声望、薪酬和资源支持。这需要从顶层改变对“创新”的定义——将最棘手、最攸关生死的现有系统的维护与革新视为最高级别的技术创新。3.3 透明度与审计的“不可能三角”核指挥控制系统的核心矛盾在于“安全性”、“可靠性”和“可审计性”之间的紧张关系。绝对的安全和可靠要求系统高度封闭、与互联网物理隔离、代码保密以防被敌对势力渗透或干扰。但这恰恰与公众和独立专家所呼吁的透明度、第三方审计背道而驰。这并非一个无解的死结但需要创新的思维和有限度的开放“白盒”与“黑盒”结合的审计对于最核心的发射控制算法可以采取“白盒”审计即由经过严格审查的、多国或中立国顶尖专家组成的联合小组在绝对安全的隔离环境中查看源代码和设计文档。对于其他辅助系统、通信加密模块等则可以接受更公开的“黑盒”渗透测试和安全评估。形式化验证结果的公开虽然源代码不能公开但可以对核心逻辑进行形式化验证并公开验证报告和数学模型。这就像向公众展示一座大桥的力学计算书虽然不公开每一颗铆钉的冶炼细节但证明了其设计在数学上是稳固的。建立国际技术对话机制核大国之间可以建立关于核指挥控制系统安全性的非政治化、纯技术性的对话渠道。就像冷战时期美苏之间建立的“红色电话”用于危机沟通一样今天需要建立“技术红色电话”让双方的工程师和安全专家能够就共同面临的技术风险如共同的软件漏洞、硬件供应链风险、太空碎片威胁进行沟通甚至合作制定一些最低限度的安全标准。这并非天方夜谭在民航安全、网络安全等领域已有先例。4. 从幻想到行动将技术安全讨论拉回现实地面4.1 重新定义“前沿”与“责任”科技社区尤其是硅谷引领的互联网和AI社区习惯于将“前沿”等同于“最新发布的技术”。但真正的技术前沿也应该包括那些支撑现代社会运转的、最深层次、最难以改变的基石系统。关注并致力于提升这些系统的安全性是技术精英更应承担的责任。这要求我们调整技术叙事的重心在谈论“AI对齐”AI Alignment的同时也应该投入同等严肃的精力讨论“核指挥控制系统对齐”NC3 Alignment——即如何确保这些系统的行为始终与人类最高层级的生存意愿保持一致。鼓励“向下钻研”在计算机科学教育中除了教授最新的深度学习框架也应该开设关于实时系统、安全关键系统设计、形式化方法、遗产系统现代化和逆向工程的课程。让学生理解编程不仅仅是创造新事物也包括理解和守护已有的、至关重要的旧事物。跨界合作软件工程师需要主动与国家安全专家、硬件工程师、历史学家、伦理学家和政策制定者对话。理解核威慑的政治逻辑、硬件失效的物理原理、冷战的历史决策背景对于设计更好的安全约束至关重要。4.2 具体可行的第一步从模拟与开源开始完全解决这个问题非一日之功但我们可以从一些具体、可操作的事情起步推动历史系统的非保密部分开源与模拟美国军方曾将一些过时的、已解密的军事系统软件如阿波罗导航计算机代码开源。可以鼓励类似举措将更早期的、已完全退役的核指挥相关系统非核心的代码和设计文档公开。全球的工程师和安全研究人员可以在这些“历史标本”上练习遗产代码分析、重构和形式化验证技术为处理现役系统积累经验和工具链。举办“遗产系统安全”挑战赛类似于现在的网络安全CTF比赛可以设计基于真实遗产系统模拟环境的安全挑战赛。题目可以聚焦于在不能直接修改源码的情况下如何通过外部监控发现其异常行为如何为其设计一个非侵入式的安全加固层如何为其编写高覆盖率的测试用例这既能吸引人才关注该领域也能催生实用的技术方案。资助独立研究基金会、大学和研究机构可以设立专门的研究项目资助对高可靠性系统、形式化验证、数字孪生、以及人机交互在高压决策环境下的影响等课题进行长期研究。这些研究虽然不直接针对核系统但其成果可以为解决核系统的安全问题提供通用工具箱。4.3 一种必要的文化转变拥抱“枯燥”的安全我们热爱技术的“性感”部分惊人的算力、智能的涌现、炫酷的交互。但安全尤其是这种级别的安全往往是“枯燥”的。它关乎代码审查的每一行、关于测试用例的每一个边界条件、关于冗余电源的每一次切换演练、关于操作手册的每一处措辞是否无歧义。要应对真实存在的末日风险我们需要一场文化上的转变从追逐技术热点转向尊重和维护技术基石从恐惧科幻般的奇点转向敬畏工程中的细节从夸夸其谈未来的威胁转向脚踏实地解决昨天的系统在今天留下的隐患。这要求我们具备一种“工程师的谦逊”承认有些问题没有一蹴而就的“颠覆性解决方案”只有耗时费力、步步为营的“演进式修补”承认我们的知识存在断层面对那些沉默运行了半个世纪的代码我们首先应该做的是倾听和理解而非傲慢地推倒重来。最终确保人类文明延续的可能不是我们能否造出比自己更聪明的AI而是我们能否有足够的智慧、耐心和责任感去守护好那些由前辈工程师建造的、已然有些老旧的“护栏”。这些护栏或许不再光鲜但它们目前仍然是阻止我们坠入深渊的最重要保障。谈论AI毁灭人类让我们感觉自己像在思考宇宙哲学的哲学家而检修这些老旧系统则让我们更像一个在核电站里值夜班、仔细检查每一颗螺丝是否紧固的工程师。前者充满想象后者关乎存亡。是时候把更多的目光、资源和聪明才智投向那些布满灰尘的机房和深海之下的控制台了。真正的安全始于对最古老、最沉默风险源的直视与担当。
从AI伦理到核指挥系统:技术风险认知的错位与遗产系统安全挑战
发布时间:2026/5/31 5:21:20
1. 被忽视的“末日机器”当技术风险不在科幻里每次打开科技新闻铺天盖地的都是关于人工智能的讨论。从自动驾驶的伦理困境到“超级智能”如何毁灭人类再到“回形针最大化”的哲学思辨这些话题几乎成了科技圈的新式社交货币。和朋友喝杯啤酒聊起技术风险话题也总是自然而然地滑向这些遥远、抽象、甚至带着点赛博朋克浪漫色彩的“未来威胁”。这让我想起一个老笑话大家都在担心天边会不会掉下一颗陨石却没人低头看一眼自己脚下正在裂开的地缝。真正能决定人类文明存续的计算机并不在那些光鲜亮丽、堆满了最新款英伟达GPU的数据中心里。它们没有运行着2023年最时髦的Transformer模型或扩散模型。恰恰相反它们可能沉睡在某个布满灰尘的冷战时期地下掩体里或者潜伏在深海之下战略核潜艇的钢铁躯壳中。这些是上世纪六七十年代的IBM老古董运行着用Fortran 77、Ada 83或者某种早已被遗忘的汇编语言编写的程序。它们的任务简单而终极控制着全球数以万计的战略核导弹。这些冰冷的、不会“思考”的机器其“仁慈”或“决定”构成了我们文明得以延续至今的脆弱基石。然而关于如何让这些真正手握“生杀大权”的系统变得更安全、更可靠、更可审计的实质性讨论却在公众视野和科技圈的热议中几乎完全缺席。我们热衷于为想象中的“天网”设计伦理框架却对现实中早已存在的、由代码控制的“末日武器库”视而不见这本身就是一种巨大的认知失调和技术傲慢。2. 技术风险认知的错位为何我们总在担心错误的事情2.1 “未来恐惧症”与“现实盲视症”人类似乎有一种心理倾向即对遥远、抽象、充满不确定性的威胁投入过度的情感和智力资源而对近在眼前、具体、已知的风险却习惯性忽视。这种现象在技术风险领域表现得尤为突出。超级人工智能的威胁因其终极性和哲学性提供了一个完美的叙事框架满足了我们对“宏大议题”的讨论欲。它像一部尚未开拍的好莱坞大片情节可以任意想象结局可以无限争论但无需承担任何立即的、实际的责任。相比之下老旧核指挥控制系统NC3的软件漏洞、硬件老化、通信协议过时等问题则显得“枯燥”、“技术债务深重”且“ politically charged”。讨论它需要深厚的工程功底、对遗产系统Legacy Systems的深刻理解以及直面庞大官僚体系和极端安全要求的勇气。这不是一个能在咖啡馆里轻松聊完的话题它涉及数百万行无人敢动、也无人完全理解的“祖传代码”Spaghetti Code涉及可能因一个“软件更新”而触发的不可预测的连锁反应。因此媒体、公众甚至许多“科技达人”更愿意追逐那个闪亮的、未来的AI幽灵而非审视脚下这个生锈的、现实的核按钮。这是一种认知上的逃避用对未来科幻的担忧替代了对当下工程灾难的严肃审视。2.2 “自行车棚效应”在国家安全领域的极致体现“自行车棚效应”Bikeshedding指的是一个组织倾向于对琐碎、易懂的议题投入大量时间争论而对复杂、专业的核心问题却草草带过。当前关于AI安全的全球讨论在某种程度上正陷入这种效应。自动驾驶的“电车难题”人人都能插上两句嘴因为它基于简单的道德直觉AI生成内容的伦理边界也容易引发热议因为它贴近日常生活。这些是“自行车棚”级别的问题。而评估一个运行了50年的、用晦涩汇编语言编写的导弹目标诸元解算模块中某个浮点数溢出错误在极端电磁脉冲环境下的触发概率及其连锁后果则是一个需要顶尖软件工程、形式化验证、硬件可靠性和核武器效应学知识的“核反应堆”级别问题。前者吸引了“自行车棚设计师”们哲学家、媒体人、泛科技爱好者的无穷精力而后者则因为过高的专业门槛被真正关键的决策者和公众所忽略。结果就是资源关注度、资金、人才被错误地配置到了那些“易于讨论”而非“至关重要”的领域。2.3 遗产系统的“黑箱化”与单点故障隐患这些冷战时期的核指挥控制系统已经演变成了人类历史上最复杂、最危险的“遗产系统”。它们的安全困境是多重且交织的知识断代当年编写和维护这些系统的工程师大多已退休或离世相关的设计文档、注释可能早已丢失或不完整。系统所依赖的硬件如特定的磁芯存储器、定制接口卡可能早已停产维护依赖于全球仅存的几个仓库里的备件或者一些老师傅的“手艺”。这意味着系统逐渐变成了一个无人能完全理解的“黑箱”。测试的极端局限性你无法像测试一个手机App一样对核导弹发射控制系统进行“全链路集成测试”或“混沌工程实验”。绝大多数代码路径可能自部署以来从未被实际执行过其正确性依赖于数十年前的理论推导和极其有限的模拟测试。一些边界条件例如在遭受首次核打击后通信网络严重降级、多个节点失效、系统部分受损的情况下软件的故障恢复逻辑几乎无法进行真实场景验证。安全性与可靠性的悖论为了绝对的安全防止误发射系统设计了复杂的多人、多节点、多要素确认机制。但另一方面在需要其发挥作用的最高戒备状态下系统又必须保持极高的可靠性确保能发射出去。这种“既要又要”的要求在基于几十年前技术理念实现的系统中可能通过极其复杂的、环环相扣的逻辑来实现而复杂性本身就是可靠性的敌人。一个旨在防止误操作的冗余校验可能在极端压力下变成一个导致全面瘫痪的单点故障。外部依赖的脆弱性这些系统并非完全与世隔绝。它们可能依赖GPS进行授时和定位尽管有备份的惯性导航依赖特定的通信卫星或低频/甚低频无线电链路接收指令。这些外部依赖系统本身也由软件控制也可能遭受网络攻击、太空碎片撞击或国家级的反卫星武器打击从而将脆弱性引入核心的核指挥链。3. 直面“房间里的大象”核指挥控制系统的现代化之路何其艰难3.1 为何“重写一遍”不是答案面对一个由陈旧技术和代码构成的关键系统工程师的第一本能反应往往是“这太糟糕了我们应该用现代技术全部重写” 然而对于核指挥控制系统这是一个极其危险且可能天真的想法。无懈可击的验证需求新系统必须被证明在功能上与原系统完全等价甚至更优。但如何证明原系统本身就是一个无法完全测试的“黑箱”。你无法定义一个完整的、可测试的“需求规格说明书”来对照。新系统可能通过了所有你能想到的测试用例但那个你没想到的、原系统在某种极端巧合下才能处理的边缘情况可能就是未来灾难的源头。形式化验证Formal Verification是条出路但将数百万行非形式化、文档缺失的旧逻辑转化为可被形式化验证的模型其工作量与不确定性不亚于重新发明整个系统。“未知的未知”陷阱旧代码中可能包含一些看似无用或奇怪的逻辑它们实际上是针对某些早已被遗忘的硬件怪癖Hardware Quirk、物理效应如宇宙射线引发的软错误缓解或已失效的作战条令的“补丁”。盲目重写可能会移除这些隐性的安全机制或适应性逻辑。切换期的致命窗口从旧系统切换到新系统不可能像部署微服务一样进行蓝绿部署或金丝雀发布。这是一个“二进制”切换要么在用旧系统要么在用新系统。切换过程中的数据迁移、状态同步、人员培训、应急预案的更新每一个环节都容不得半点差错。这个切换期是整个体系最脆弱的时刻。因此更现实的路径不是“革命性”的重写而是“演化式”的现代化。这可能意味着硬件仿真与封装将老旧的专用硬件通过精密的仿真技术运行在更可靠、更易维护的现代商用服务器上。这样原始的软件二进制码无需改动仍在其“熟悉”的虚拟化环境中运行而底层物理硬件的可靠性得到了提升。渐进式替换与功能剥离将系统中相对独立、边界清晰的非核心功能模块如后勤管理、人员值班日志逐步用现代系统替换。对于最核心的、涉及“发射决策链”的模块则采用“包裹”策略用现代的安全监控和审计层将其包围实时监测其输入、输出和状态但不直接改动其核心逻辑。建立数字孪生与高保真测试环境投入巨资构建一个与实物尽可能一致的、包含所有软硬件的“数字孪生”测试平台。在这个平台上可以安全地进行各种压力测试、故障注入测试和演训从而在不威胁真实系统的前提下加深对系统行为的理解并验证任何渐进式改动的效果。3.2 人才断层谁还能读懂“穿孔卡时代”的遗产这是比技术债务更严峻的挑战人才债务。能够理解这些古老系统架构、编程语言如JOVIAL, CMS-2, 特定版本的汇编和当时设计理念的工程师正在迅速消失。国防承包商和军方面临着两难是花费巨额资金培养一批精通“技术考古学”的专家来维护这些老系统还是冒着巨大风险加速推进现代化一种可行的思路是将系统维护工作视为一种“关键数字文化遗产保护”。需要系统性地开展逆向工程与知识萃取组织跨学科团队包括尚在世的原设计者、软件逆向工程师、硬件工程师、历史学家对现有系统进行彻底的逆向工程不追求修改只追求理解。将晦涩的代码逻辑、数据流、硬件交互转化为现代工程师能看懂的架构图、文档和说明。建立“活态知识库”将挖掘出的知识不仅仅写成静态文档而是构建成交互式的知识图谱和仿真培训系统。新工程师可以通过在这个虚拟环境中“玩耍”直观地理解系统的工作原理和“怪癖”。改变激励结构在国防工业和政府机构内必须让从事这类“遗产系统现代化”的工作获得与从事前沿AI、量子计算等“明星领域”同等的职业声望、薪酬和资源支持。这需要从顶层改变对“创新”的定义——将最棘手、最攸关生死的现有系统的维护与革新视为最高级别的技术创新。3.3 透明度与审计的“不可能三角”核指挥控制系统的核心矛盾在于“安全性”、“可靠性”和“可审计性”之间的紧张关系。绝对的安全和可靠要求系统高度封闭、与互联网物理隔离、代码保密以防被敌对势力渗透或干扰。但这恰恰与公众和独立专家所呼吁的透明度、第三方审计背道而驰。这并非一个无解的死结但需要创新的思维和有限度的开放“白盒”与“黑盒”结合的审计对于最核心的发射控制算法可以采取“白盒”审计即由经过严格审查的、多国或中立国顶尖专家组成的联合小组在绝对安全的隔离环境中查看源代码和设计文档。对于其他辅助系统、通信加密模块等则可以接受更公开的“黑盒”渗透测试和安全评估。形式化验证结果的公开虽然源代码不能公开但可以对核心逻辑进行形式化验证并公开验证报告和数学模型。这就像向公众展示一座大桥的力学计算书虽然不公开每一颗铆钉的冶炼细节但证明了其设计在数学上是稳固的。建立国际技术对话机制核大国之间可以建立关于核指挥控制系统安全性的非政治化、纯技术性的对话渠道。就像冷战时期美苏之间建立的“红色电话”用于危机沟通一样今天需要建立“技术红色电话”让双方的工程师和安全专家能够就共同面临的技术风险如共同的软件漏洞、硬件供应链风险、太空碎片威胁进行沟通甚至合作制定一些最低限度的安全标准。这并非天方夜谭在民航安全、网络安全等领域已有先例。4. 从幻想到行动将技术安全讨论拉回现实地面4.1 重新定义“前沿”与“责任”科技社区尤其是硅谷引领的互联网和AI社区习惯于将“前沿”等同于“最新发布的技术”。但真正的技术前沿也应该包括那些支撑现代社会运转的、最深层次、最难以改变的基石系统。关注并致力于提升这些系统的安全性是技术精英更应承担的责任。这要求我们调整技术叙事的重心在谈论“AI对齐”AI Alignment的同时也应该投入同等严肃的精力讨论“核指挥控制系统对齐”NC3 Alignment——即如何确保这些系统的行为始终与人类最高层级的生存意愿保持一致。鼓励“向下钻研”在计算机科学教育中除了教授最新的深度学习框架也应该开设关于实时系统、安全关键系统设计、形式化方法、遗产系统现代化和逆向工程的课程。让学生理解编程不仅仅是创造新事物也包括理解和守护已有的、至关重要的旧事物。跨界合作软件工程师需要主动与国家安全专家、硬件工程师、历史学家、伦理学家和政策制定者对话。理解核威慑的政治逻辑、硬件失效的物理原理、冷战的历史决策背景对于设计更好的安全约束至关重要。4.2 具体可行的第一步从模拟与开源开始完全解决这个问题非一日之功但我们可以从一些具体、可操作的事情起步推动历史系统的非保密部分开源与模拟美国军方曾将一些过时的、已解密的军事系统软件如阿波罗导航计算机代码开源。可以鼓励类似举措将更早期的、已完全退役的核指挥相关系统非核心的代码和设计文档公开。全球的工程师和安全研究人员可以在这些“历史标本”上练习遗产代码分析、重构和形式化验证技术为处理现役系统积累经验和工具链。举办“遗产系统安全”挑战赛类似于现在的网络安全CTF比赛可以设计基于真实遗产系统模拟环境的安全挑战赛。题目可以聚焦于在不能直接修改源码的情况下如何通过外部监控发现其异常行为如何为其设计一个非侵入式的安全加固层如何为其编写高覆盖率的测试用例这既能吸引人才关注该领域也能催生实用的技术方案。资助独立研究基金会、大学和研究机构可以设立专门的研究项目资助对高可靠性系统、形式化验证、数字孪生、以及人机交互在高压决策环境下的影响等课题进行长期研究。这些研究虽然不直接针对核系统但其成果可以为解决核系统的安全问题提供通用工具箱。4.3 一种必要的文化转变拥抱“枯燥”的安全我们热爱技术的“性感”部分惊人的算力、智能的涌现、炫酷的交互。但安全尤其是这种级别的安全往往是“枯燥”的。它关乎代码审查的每一行、关于测试用例的每一个边界条件、关于冗余电源的每一次切换演练、关于操作手册的每一处措辞是否无歧义。要应对真实存在的末日风险我们需要一场文化上的转变从追逐技术热点转向尊重和维护技术基石从恐惧科幻般的奇点转向敬畏工程中的细节从夸夸其谈未来的威胁转向脚踏实地解决昨天的系统在今天留下的隐患。这要求我们具备一种“工程师的谦逊”承认有些问题没有一蹴而就的“颠覆性解决方案”只有耗时费力、步步为营的“演进式修补”承认我们的知识存在断层面对那些沉默运行了半个世纪的代码我们首先应该做的是倾听和理解而非傲慢地推倒重来。最终确保人类文明延续的可能不是我们能否造出比自己更聪明的AI而是我们能否有足够的智慧、耐心和责任感去守护好那些由前辈工程师建造的、已然有些老旧的“护栏”。这些护栏或许不再光鲜但它们目前仍然是阻止我们坠入深渊的最重要保障。谈论AI毁灭人类让我们感觉自己像在思考宇宙哲学的哲学家而检修这些老旧系统则让我们更像一个在核电站里值夜班、仔细检查每一颗螺丝是否紧固的工程师。前者充满想象后者关乎存亡。是时候把更多的目光、资源和聪明才智投向那些布满灰尘的机房和深海之下的控制台了。真正的安全始于对最古老、最沉默风险源的直视与担当。
)
