据美国战争部2026年5月1日声明，SpaceX、OpenAI、Google、NVIDIA、Reflection、Microsoft、Amazon Web Services和Oracle八家公司已与美方达成协议，将前沿AI能力部署至美军IL6和IL7机密网络环境，用于“合法作战用途”。声明称，相关部署将有助于“简化数据综合、提升态势理解、辅助作战人员决策”，并强调这一安排可避免AI供应商锁定，保持联合部队的长期灵活性。该声明还披露，GenAI.mil平台上线五个月内已有超过130万名部门人员使用，生成数千万次提示词，并部署数十万个智能体。这显示，美军对生成式AI的使用已从开放或低密级环境，进一步迈入更敏感的任务链条。

这一变化源于美国国防体系对部署速度的持续强调。据美国战争部2026年1月12日发布的《AI加速战略》新闻稿，部长皮特·赫格塞斯称，美方将“释放实验能力、消除官僚障碍、聚焦投资”，并推动美军成为“AI优先”的作战力量。该文件把作战、情报和企业运营列为三条主线，设置“Swarm Forge” “Agent Network” “Ender’s Foundry”等七个定速项目，目标是用更短周期完成模型接入、作战试验、情报转化和日常流程改造。措辞中反复强调速度、执行和规模，突显出美国军方将硅谷式快速迭代纳入军事能力建设的决心。

美国华盛顿五角大楼，战争部工作地点。

图片来源：Reuters

但速度越快，边界问题越突出。2026年3月，围绕Anthropic的争议把这一矛盾推到台前。据路透社3月5日报道，五角大楼将Anthropic列为“供应链风险”，限制其技术在美国军事合同中的使用。路透社称，这一决定源于双方围绕Claude模型使用限制的分歧，尤其涉及全自主武器和美国国内大规模监控等高风险用途。

Anthropic案把军事AI治理中长期存在的一个问题具体化了：前沿模型开发企业能不能在国家安全系统中守住自身的伦理边界？军方是否可以在“合法用途”框架下要求企业放宽限制？一旦模型通过Palantir这类系统集成商进入作战流程，责任又该在模型开发商、集成商、承包商、前线操作员和指挥官之间怎么划分？

观察美国军事AI的最新进展，不能只看某一个模型或某一家企业，而应看到其能力生成机制正在变化。以往，美军发展AI往往围绕专项项目展开，例如图像识别、无人平台控制、情报辅助分析或行政办公自动化。当前的新变化在于，前沿模型、云基础设施和作战数据开始在机密网络内相互接通，形成一套可持续调用、持续升级的能力底座。

据美国战争部1月12日《AI加速战略》新闻稿，GenAI.mil的定位是向全体部门人员开放前沿生成式AI模型的平台，覆盖IL-5及以上分类等级，并被放在企业运营项目中。与此同时，Agent Network被用于战役规划、战场管理和决策支持，Open Arsenal服务于技术情报向能力开发的快速转化，Ender’s Foundry聚焦AI模拟和仿真反馈。这种布局表明，生成式AI在美军内部早已不只是写作、摘要或代码辅助工具，而已被置入作战概念、情报转化和决策支持的制度设计中。

采购结构的调整同样值得关注。据Breaking Defense 5月1日报道，美国战争部当天先公布七家公司名单，随后又补充Oracle，使获准部署至IL6和IL7环境的企业达到八家。美方公告称，这样安排是为了“防止AI供应商锁定”，表面上说的是采购灵活性问题，实质上也悄然改变了边界划定的权力结构。当军方同时接入多家企业模型，企业单独设置使用政策的能力便会被稀释，政府采购条款、机密网络准入规则和战场需求，就成了更硬的约束条件。

Google合同提供了一个更具体的观察窗口。据路透社4月28日援引《The Information》报道，Google已签署一项机密协议，向五角大楼提供AI模型用于机密工作。该协议允许五角大楼为“任何合法政府目的”使用Google AI，同时写入限制性文字，即AI系统不应用于国内大规模监控或缺乏适当人类监督控制的自主武器。不过，报道还指出，协议并没有赋予Google控制或否决合法政府作战决策的权利。Google发言人对路透社表示，提供商业模型API接入并采用行业标准做法和条款，是支持国家安全的一种“负责任路径”。

这类合同语言，勾勒出美国军事AI部署的一层核心逻辑：企业可以表达原则，甚至保留部分高风险用途限制，可一旦模型进入了机密网络，具体行动能不能实施，主导权主要握在政府手里，依据的是法律、任务和合同解释。对于军方而言，这减少了供应商临场否决任务的风险；对于企业而言，则意味着它们在公共层面承诺的AI伦理原则，未必能在保密作战环境中持续、完整地转化为可验证的约束。

美国战争部副部长埃米尔·迈克尔和首席数字助理部长卡梅伦·斯坦利，参加GenAI.mil 激动人心日活动。

图片来源：美国战争部

作战一线的变化，让这一局面更显复杂。据Breaking Defense 5月12日报道，美国首席数字与AI官Cameron Stanley在SCSP AI+ Expo上称，“史诗狂怒行动”使用Palantir的Maven Smart System，在38天内围绕伊朗战场执行1.3万个目标相关任务。他还称，AI工具使部队能够汇集并综合数据，“在战场上更快作出更好决策”。这一报道表明，AI的军事用途已经超出后台办公或一般情报整理，进入目标生成、任务协调和战场态势处理等敏感环节。

与委内瑞拉行动相关的一系列报道，则展示了AI可能介入高敏感任务的另一种方式。据路透社1月3日报道，美国实施“绝对决心行动”，抓捕委内瑞拉前总统尼古拉斯·马杜罗及其妻子，行动涉及长期情报准备、特种部队突入、多型军机支援和对加拉加斯周边军事目标的打击。随后，路透社2月13日转引《华尔街日报》报道称，Anthropic的Claude模型曾通过与Palantir的合作，被用于美军抓捕马杜罗的行动。

这些案例共同说明了一个关键的变化：商业AI进入美军体系后，模型未必直接“扣动扳机”，却可能深刻影响人在作战链条中看到什么信息、如何理解威胁、优先处理哪些目标，以及在多短时间内完成复核。AI的作用如果纯粹停在辅助层面，责任仍主要由人类指挥链承担；可一旦辅助结果实际塑造了目标清单、任务排序和行动建议，边界与责任就会出现新的模糊地带。

美国军事AI治理目前有一套较完整的原则框架。美国战争部早在2020年就采用了AI伦理原则，2022年发布《负责任人工智能战略与实施路径》，2023年更新了第3000.09号指令《武器系统中的自主性》。美国国务院还推动了一份《负责任军事使用人工智能和自主性的政治宣言》，强调军事AI应符合国际法，保持适当的人类判断、测试验证和问责机制。但问题在于，这些原则面对生成式AI和智能体工作流时，仍需转化为更具体的执行标准。

据3000.09号指令，自主和半自主武器系统的设计，应允许指挥官和操作员对武力使用行使“适当程度的人类判断”。授权、指挥或操作相关系统的人员，应以适当谨慎态度，依照战争法、适用条约、武器安全规则和交战规则行事。该指令还要求开展硬件和软件验证、确认、测试与评估，以降低自主系统出现非预期交战的概率和后果。

这些要求在规范层面当然重要，但“适当程度”一词本身留下了不小的解释空间。红十字国际委员会的案例材料也指出，美国政策中的“适当”是一个弹性概念，并不存在适用于所有情境的固定人类判断水平。这样的弹性在军事上也有其道理，因为不同武器系统、作战环境和任务风险差别很大；但在生成式AI进入情报摘要、目标排序、行动规划和智能体流程后，弹性也可能导致监督标准过于抽象。

美国战争部第3000.09号指令

图片来源：美国战争部

美国国会内部已经开始意识到这一点。据Military Times 5月20日报道，参议员乔尼·恩斯特在参议院新兴威胁与能力小组委员会听证会上说，国防部的“政策架构确实必须随之扩展”，并称“这可能正是我们落后的地方”。报道还提到，特朗普政府为Defense Autonomous Working Group申请的预算从本财年的2.25亿美元增至550亿美元。恩斯特担心，AI驱动目标定位与自主弹药的整合速度，已经越出了第3000.09号指令原先的设想。负责研发的副部长Emil Michael在听证会上承认，自主武器政策“确实需要更新”，理由包括能力提升、威胁环境变化以及伊朗战事带来的经验教训。

划界之争至少缠斗在三个层面。第一个层面是法律底线，即国内法、战争法、国际人道法和交战规则。第二个层面是采购合同与使用条款，诸如“任何合法政府目的”或“合法作战用途”。第三个层面是企业自设的模型政策，包括禁止大规模监控、限制全自主武器、要求人类监督等。真正的麻烦在于，这三层边界并不总是一致。法律底线可能较宽，企业政策可能较窄，而军方在高强度任务中又容易强调速度和任务连续性。

Anthropic争议正好体现了这种错位。路透社报道显示，Anthropic拒绝撤除Claude用于自主武器和国内监控的护栏，五角大楼则认为，只要用途符合法律，就不应受企业标准限制。阿莫代伊在公开声明中试图区分企业伦理与作战决策，认为私营企业不应介入具体行动，但企业仍应保留高层级的使用边界。军方的逻辑刚好相反：作战决策属于政府和军队，供应商不该把自定政策凌驾于依法授权的军事任务之上。这场分歧并没有简单答案。允许企业在机密系统中保留较强的单方限制，可能影响军方在紧急任务中的工具可用性，并把部分安全决策转交给没有民主授权的公司。反过来，完全由军方以“合法用途”概括边界，又可能削弱企业的安全承诺、员工伦理审查、社会监督和国会问责的实际效力。比较可行的方向，或许是在企业与军方之外，引入更清晰的分层规则，让边界能够接受事前审查、事中记录和事后追责。

监督军事AI，比监督一般军工项目棘手得多。传统武器系统至少有相对明确的实体平台、采购合同、测试标准和指挥链条；生成式AI却可能以API、插件、工作流、智能体或嵌入式模块的形式渗入系统。它未必以“武器”的名义采购，却能在任务规划、目标识别、情报综合和战场管理中实质性地影响武力使用。斯德哥尔摩国际和平研究所2026年2月发布的《负责任采购军事人工智能》报告就指出，AI通常是嵌入平台、系统、流程或功能中的使能技术，一个武器系统可能同时包含决策支持、传感器数据融合、模式识别、预测维护或自主导航等多个AI组件。这意味着，治理对象已经从单个装备扩展为分散在系统和流程中的算法能力。

机密网络进一步压缩了外部监督的空间。IL6和IL7环境本身就服务于高度敏感的信息处理，外部研究者、媒体、民间组织甚至部分国会议员都难以拿到完整的技术细节。企业也可能因为合同保密条款，无法公开说明模型怎样部署、提示词如何设置、安全过滤器是否被调整、输出结果如何进入任务链条。落到公众眼里，最后能看到的往往只是官方声明、匿名官员的零星披露、国会听证的片段和事故后的调查报告。

这种可见性缺口会直接冲击问责。假如某次打击行动造成平民伤亡，外界要判断责任，至少需要知道目标依据来自何处、数据是否过时、模型是否参与了目标排序、人工复核是否充分、指挥官是否了解系统置信度、承包商是否提供了错误接口、日志是否完整保留。没了这些记录，“人类在环”便容易沦为一种程序性表述。只有当人类拥有足够信息、足够时间、真实的否决权和可追溯记录，人类判断才有实质分量。

美军目前并非没有监督安排。第3000.09号指令要求验证、确认、测试与评估，要求指挥官和操作员理解系统能力与限制，要求相关系统接受法律审查。《负责任人工智能战略与实施路径》也强调可追溯、可靠和可治理等原则。只不过，这些安排更多面向系统开发、采购和部署前后的普遍要求。当面对大模型持续更新、智能体多步调用、提示词动态变化和多系统集成时，监督机制还需要更细化的技术标准。比如，哪些任务必须保留模型输入输出日志，哪些高风险建议必须显示数据来源和置信度，哪些模型安全设置的调整必须备案，哪些机密环境中的AI调用应接受独立审计，哪些承包商必须配合事故调查。

Minab学校遭袭事件给这种监督困境提供了一个沉重注脚。美联社报道，新影像显示一枚专家判断可能为美国“战斧”巡航导弹的弹药，击中伊朗南部一栋建筑，距离2月28日造成至少165人死亡的Minab学校爆炸点仅数米。美联社还援引专家和卫星图像分析称，学校可能是在对附近革命卫队设施的连续打击中被击中；一名熟悉内部讨论的美国官员匿名表示，该打击“很可能”由美方实施。但美联社也指出，尚无独立机构在战时进入现场调查，评估仍受限制。

由于公开材料远不足以证明是某个大模型或Maven系统导致了学校被击中，本文不把这起事件直接归因于某个AI系统，但事件仍然暴露出高速目标生成环境中的典型风险：目标数据库可能陈旧，现场核验可能不足，邻近民用目标可能被误判，后续责任可能因保密和多方协作而分散。如果AI系统在其中承担了数据综合、目标排序或战损评估任务，它未必是法律意义上的直接行为者，却可能成为影响决策质量的重要一环。

牛津大学国际法专家Janina Dill在美联社报道中指出，即便攻击方误认为学校属于邻近军事基地的一部分，也有义务采取一切可行措施核实目标性质。红十字国际委员会2026年3月的立场文件也强调，自主武器系统一旦启动，可能在没有进一步人类干预的情况下选择并攻击目标，使用者未必知道具体目标、攻击时间和地点。该组织认为，现有国际人道法适用于自主武器，但不足以回答全部人道、法律和伦理问题，国际社会仍需更明确的新规则。

这对商业AI进入军用网络同样适用。即便生成式AI不直接选择和攻击目标，只要它参与了塑造目标认知、风险判断和行动节奏，就需要与之匹配的可审计制度。监督的重点，不该只放在最后是不是由人类按下授权按钮，还应覆盖算法建议如何形成、人类是否真正理解这些建议、模型错误如何被发现，以及责任记录是否足以支撑事后调查。

从企业角度看，模型开发商往往希望借助使用政策、红线条款和安全过滤器控制风险。Anthropic在公开声明中强调自身的两项例外，Google合同里也写入不应用于国内大规模监控和缺乏适当人类监督的自主武器。可合同里一旦同时写明企业不能否决合法政府作战决策，企业红线便可能转化为一种软性原则。即便企业保留日后退出合作的权利，正在推进的军事任务也可能因保密和紧迫性，难以及时受到外部审查。

从军方角度看，军队必须保有作战指挥权和法律责任。阿莫代伊所说的“私营公司不应参与作战决策”，实际上也承认了这一点。问题是，军方拥有最终决策权，并不自动意味着责任链条清晰。假如某一打击建议由模型生成，承包商平台加以整合，人类操作员快速确认，指挥官依据系统摘要授权，事后调查就需要判断每个环节是否尽到了合理注意义务。这里涉及的不只是“谁按了按钮”，还包括谁设置了模型权限，谁批准了安全过滤器的调整，谁决定使用旧数据，谁缩短了人工复核窗口，谁忽视了系统置信度和异常提示。

美国空军第378远征后勤保障中队的一架Parrot ANAFI USA无人机

图片来源：breakingdefense

从制度层面看，美国国内至少有三条监督渠道。第一条是国会监督与预算审查。Defense Autonomous Working Group预算从2.25亿美元拟增至550亿美元，引来参议员对政策更新的公开追问，显示国会开始把自主武器和AI目标定位纳入预算问责。第二条是司法审查。Anthropic对供应链风险标签提出法律挑战，让法院有机会审视行政部门能不能以国家安全为由压制供应商的技术政策与商业权益。第三条是采购与行政监管。供应商准入、合同条款、运行授权、测试评估和安全备案，都可以成为问责前移的制度入口。

但这三条渠道都有各自的局限。国会监督往往面临保密信息不足和事后追问的滞后性；司法审查大多围绕企业权利、行政程序和合同争议，难以深入作战技术细节；采购监管则可能在“加速部署”的压力下被弱化。特朗普政府的AI监管取向也会影响外部约束的松紧。白宫2025年12月11日行政令《确保人工智能国家政策框架》提出，要以“最低负担”的全国性框架保持AI优势，并设立AI诉讼工作组挑战与联邦政策冲突的州级AI法规。而纽约州的RAISE Act却要求大型前沿模型开发者公开安全协议，并在确认发生重大危害事件后72小时内向州政府报告。联邦强调统一和减负，州级主张透明与安全，两者之间的分歧会实实在在地影响商业AI企业需要承受的外部安全义务。

对军事AI而言，民用监管减负或许能降低国防采购的摩擦，却也容易压缩地方和社会层面对前沿模型风险的监督空间。如果联邦政策侧重速度和统一，军方合同又采用宽泛的“合法用途”条款，机密系统中的实际监督就更加依赖国防部内部程序、国会委员会和少数司法案件。这类监督未必无效，但透明度和公众信任难免会打折扣。

问责机制的改进，方向应该从抽象原则转向具体记录。高风险军事AI使用至少需要保留五类材料：模型版本和安全设置，输入数据来源与更新日期，系统输出及置信度，人类复核与推翻记录，指挥官授权与法律审查意见。如果涉及承包商平台，还须明确承包商在事故调查中的数据交付和技术解释义务。对于可能造成平民伤亡的任务，应设置更严格的人工复核窗口和独立法律审查要求。做到这些未必能消除误判，但可以避免责任被技术复杂性所遮蔽。

美国军事AI加速部署，与中美技术竞争和全球军备扩散的大背景紧密相关。美国的路径，倾向于把商业模型、云平台、芯片企业和国防任务快速连接起来，借助私营科技生态提升部署节奏。中国的路径则更多依托国家规划、军民融合和国防采购来推动智能化能力建设。CSET 2026年4月发布的报告，梳理了2023年至2024年解放军的2857份AI相关合同授予公告，指出国有军工集团和研究机构仍是中国AI相关军事采购的重要主体，同时非传统供应商的角色也在加重。报告认为，这种多元化可能加速AI相关能力在中国军队中的扩散，也会增加美国限制中国军事现代化的难度。路透社2025年10月关于DeepSeek军事用途的调查也显示，AI模型、国产芯片、机器人、无人平台和战场规划正被纳入中国军事现代化叙事。不过，公开材料同时表明，这些应用在能力、数据、可靠性和供应链方面仍存在不确定性。把中美军事AI竞争简单写成某一方全面领先，容易遮蔽一个更实际的问题：两国都在追求更快的信息处理和决策速度，也都面临人类控制、责任追溯、误判升级和技术扩散等共同风险。

国际规则目前仍滞后于部署速度。美国推动的《负责任军事使用人工智能和自主性的政治宣言》具有规范倡议意义，可法律约束力有限。红十字国际委员会和联合国秘书长曾呼吁各国就自主武器建立具有法律约束力的新规则，并希望在2026年前完成谈判。然而，主要军事强国在自主武器定义、禁止范围、人类控制标准和验证机制上仍然存在分歧。对商业AI进入军用网络这一新现象，国际层面更缺少成熟规则：一家私营企业的模型通过另一家集成商进入一国军方机密网络，其他国家与国际组织几乎无从了解其具体用途。

边界外溢还可能发生在联盟体系内部。美国如果把多家商业AI公司接入机密网络，将来与北约盟友、AUKUS伙伴和其他安全合作对象共享AI生成情报、目标建议或作战辅助工具时，该如何统一审计标准和责任规则，就会成为绕不开的问题。不同盟友对AI输出可靠性、数据来源、人工复核和国际人道法审查的要求未必一致，联合行动中的责任分配势必更加复杂。

因此，观察美国军事AI的前景，不能只看技术领先或采购扩张。真正影响它长期可持续性的，是能否把合法性、可靠性和问责性嵌入部署机制。如果AI能力扩展的速度远远跑在监督制度前面，短期效率可能伴随长期的法律、外交和联盟成本。反过来，规则设计若过于僵硬，又可能削弱美军在高强度竞争中的技术适应能力。合理的政策方向，应该是在关键高风险环节设置刚性约束，在低风险行政和辅助任务中保留灵活性，并通过审计和事故调查机制把两者衔接起来。

图片来源：Reuters

商业AI进入美军机密网络，标志着军事技术体系与商业科技生态的一次深度嵌合。它可能提升数据处理、情报综合、态势理解和任务协调能力，也在悄然改变军方对供应商、模型、算力和平台的依赖结构。2026年5月1日的八家公司入网协议、Anthropic供应链风险争议、Google“任何合法政府目的”的合同语言，以及Maven在伊朗行动中的使用，都显示军事AI正从试验性工具走向制度化部署。

截至目前，美国已有负责任AI原则、第3000.09号指令、政治宣言、采购审查和国会监督等制度基础。但这些制度还需要直面大模型与智能体工作流带来的新问题。抽象的“人类判断”必须转化为具体流程，宽泛的“合法用途”必须接受可验证的审查，企业的伦理承诺必须转化为合同义务和日志记录，机密网络中的AI调用也应在安全范围内接受独立监督。唯有如此，军事AI的边界才不会停留在声明和原则层面，而能成为可执行、可追溯、可问责的制度安排。