NHS紧急下架开源代码：AI威胁还是被夸大的恐慌？

英国国家医疗服务体系（NHS England）突然要求所有软件代码从公开平台撤下，理由是AI可能利用这些代码发动攻击。但政府自己的安全机构调查后认为，这种风险被严重高估了。

一场关于"开源安全"与"封闭防御"的争论正在公共部门技术圈蔓延。NHS的转向不仅涉及数十个活跃项目，更触及一个核心问题：当AI能力被过度渲染时，机构该如何理性决策？

事件：5月11日的硬性截止线

NHS England向员工发布的新指导文件显示，所有源代码仓库必须默认为私有状态。公开访问需要"明确且特殊的理由"，并经过正式批准。现有公开代码的整改截止日期是5月11日。

这份文件被《新科学家》杂志获取。NHS此前长期遵循相反原则——用公共资金开发的软件应当开源，列在GitHub上供其他组织复用。这种做法旨在避免重复造轮子，降低公共服务建设成本。

指导文件的措辞相当严厉："公共仓库显著增加了源代码、架构决策、配置细节和上下文信息被意外披露的风险——特别是考虑到AI模型在大规模代码摄取、推理和分析方面的快速进步。"

文件直接点名了Anthropic公司开发的Mythos模型作为触发因素。

触发点：Mythos模型的真实能力

上个月，Mythos被广泛报道能够发现"几乎任何软件"的漏洞，可能让黑客入侵运行这些软件的系统。这一消息在网络安全领域引发震动。

但英国政府支持的AI安全研究所（AISI）对Mythos进行了独立调查。其结论与公众印象存在明显落差：该模型仅能攻击"规模小、防御薄弱、存在漏洞的企业系统"，没有迹象表明真正安全的软件或网络会面临风险。

换句话说，Mythos的威胁被限定在特定场景——那些本就已存在安全缺陷的系统。对于遵循基本安全规范的代码仓库，AI并未构成突破性威胁。

正方：NHS的防御逻辑

NHS England的决策建立在几个可理解的担忧之上。

首先是攻击面的收缩。公开代码确实暴露了系统内部结构，包括依赖关系、配置模式和潜在弱点。传统安全思维认为，"隐蔽即安全"能降低被针对性攻击的概率。

其次是AI能力的不可预测性。NHS在文件中强调"快速进步"这一关键词——即使当前AI威胁有限，模型迭代速度可能迅速改变风险格局。机构需要缓冲期来评估影响。

第三是责任规避。在公共部门，"过度反应"的代价通常低于"反应不足"。若未来真发生AI辅助的大规模入侵，现在未采取预防措施将成为政治责任。

文件中的表述揭示了这种心态："这条红线确立了代码的默认封闭姿态，同时组织评估这些变更的影响，并确保任何公开发布都是经过审慎考虑、审查和正当化的决定。"

反方：安全专家与既有政策的反驳

多位安全专家对NHS的转向提出批评，认为其"不必要且适得其反"。

核心论点在于：开源本身是一种安全机制。当代码公开时，更多眼睛能够审查漏洞，问题更快被发现和修复。封闭代码并非没有漏洞，只是漏洞更难被善意发现者察觉。

NHS自身的服务标准此前明确反对这种封闭倾向：「公共服务由公共资金建设。因此除非有充分理由，否则其基础代码应当供他人复用和扩展。开源代码能帮助团队避免重复劳动，更快建设更好的服务。」

这一原则并非抽象理想。英国邮政系统的Horizon IT丑闻就是反面教材——当关键系统代码不透明时，错误难以被外部识别，最终导致大规模冤案。开源创造信任和透明度，这在公共服务中尤为关键。

更直接的反驳来自AISI的调查结论。若政府自己的安全机构已判定Mythos威胁被夸大，机构层面的恐慌性反应是否基于充分信息？

深层张力：机构决策与真实风险

这场争论折射出技术治理中的经典困境：风险信号如何在组织层级中传递和变形。

Mythos的媒体报道强调"发现任何软件漏洞"的能力，这种表述天然具有传播性。但AISI的技术评估则细化到攻击场景的具体约束——小型、弱防护、已有漏洞的系统。两者之间的信息损耗，可能导致决策层对威胁的过度反应。

NHS的选择也反映了公共部门技术管理的特殊压力。私营公司可以承受"赌一把"的开放策略，公共机构则面临更严格的问责。5月11日的硬性 deadline 暗示决策紧迫性，但"评估影响"的表述又预留了回调空间。

一个值得追问的细节：指导文件要求"正式批准"才能公开代码，但未说明审批标准由谁制定、流程多长。这种模糊性可能实质上将开源变为不可能，也可能只是过渡期的临时安排。

开源生态的实际损失

NHS代码仓库的突然封闭，对英国公共服务技术生态有即时影响。

其他NHS机构、地方政府和慈善组织长期依赖这些开源组件建设自身系统。代码私有化意味着他们需要寻找替代方案，或自行开发功能重复的模块。这与NHS服务标准中"避免重复劳动"的目标直接冲突。

更隐蔽的损失是知识流通的阻断。开源社区的价值不仅在于代码本身，还在于问题讨论、解决方案共享和最佳实践传播。封闭仓库切断了这些协作渠道。

对于国际观察者，NHS的转向可能强化一种印象：即使是以开放著称的公共机构，也在AI威胁叙事下退缩。这种示范效应可能波及其他国家的医疗信息化政策。

我的判断：防御姿态需要校准，而非反转

NHS对AI辅助攻击的警惕有其合理性，但当前措施存在明显的过度反应特征。

关键问题在于：威胁评估与响应强度不匹配。AISI的调查已限定Mythos的能力边界，NHS的"默认封闭"政策却建立在"AI可能发现任何漏洞"的假设上。这种错位导致防御成本（开源生态损失、协作效率下降）可能高于实际风险削减。

更务实的路径或许是分层管理：识别真正敏感的系统（涉及患者数据的核心基础设施）加以封闭保护，同时保持通用工具、框架和文档的开放。指导文件中的"明确且特殊理由"条款，若执行得当，本可支持这种精细策略。但5月11日的统一 deadline 和"默认私有"的强硬措辞，暗示了一刀切倾向。

这件事的重要性在于：它可能是AI威胁叙事影响 institutional decision-making 的早期案例。当媒体渲染某种技术风险时，公共机构如何保持理性评估能力，将决定未来类似决策的质量。NHS的后续调整——是否会基于实际评估放宽限制，或将临时措施永久化——值得持续观察。

对于技术从业者，这一案例提供了即时参考：在组织内部推动AI风险评估时，区分"媒体报道的威胁"与"技术验证的威胁"，建立基于证据的响应机制，比跟随恐慌节奏更能保护长期利益。