最强AI一边被限量放行,一边被开源下载,为什么你公司还让员工自己选模型?

最强AI一边被限量放行，一边被开源下载，为什么你公司还让员工自己选模型？

因为AI进业务以后，模型不是工具偏好，而是新的能力供应链。

公司没有觉得自己在冒险。

相反，管理层一开始觉得挺好。AI培训刚做完，员工就主动用起来了——有人拿公司采购的模型写材料，有人用网页上的免费模型翻译合同，有人把开源模型接进了代码工具，还有人装了个浏览器插件，自动总结客户聊天记录。

效率在提升，成本还不高。部门汇报里，”AI赋能业务”的案例越来越多。领导在会上说，要继续鼓励大家探索。

没有人觉得有什么问题。毕竟，这不就是员工在用工具吗？用哪个模型，就像用哪个浏览器一样，是个人偏好的事。

直到有一天，客户资料被丢进了一个不明第三方的免费工具；代码助手用的是员工自己配置的模型，生成的脚本改坏了线上系统；财务拿一个便宜模型做经营分析，却没人知道数据有没有出境。

这时候你才发现：公司以为自己只开放了一个AI工具，实际上员工已经接入了一堆模型来源。

这不是某一家公司的问题。模型来源正在变成所有企业都要面对的新管理问题——只是大多数人还没意识到。

最近几条新闻，把这个变化推到了台面上。

一边，前沿闭源模型正在被政府和供应商共同管控。Anthropic 的 Mythos 5 在被美国政府出口管制令停用后，刚刚获得有限恢复——但只能重新部署给运营和防护关键基础设施的美国组织，Fable 5 仍未恢复一般使用。OpenAI 的 GPT-5.6 也被要求将预览访问限制在一小批可信合作伙伴。想用最强的模型？不是你出不起钱，是你可能根本拿不到。

另一边，开放模型的能力正在快速追上。有媒体报道，智谱 GLM-5.2 在部分网络安全测试中表现接近前沿模型，而且开放权重模型在部署和成本上给了企业更多选择。更重要的是，它是开放权重模型——可以被下载、本地部署和二次改造，这让企业获得更多自主性，也让模型来源管理变得更难。

这些变化听起来像是大厂和政府之间的事，但它正在悄悄改写你公司里每一个用AI的员工的游戏规则。

过去，公司管AI，管的是”谁能用”。

采购一个工具，开通一批账号，设定使用范围。就像管办公软件一样——谁有Excel的许可，谁能在什么电脑上装，谁可以访问共享文档。

但现在，AI模型已经不是办公软件了。

它进入了客服系统，处理客户的投诉和咨询；它进入了财务流程，做经营分析和预算预测；它进入了合同审查，判断条款风险；它进入了代码仓库，生成和修改脚本；它进入了安全运营，识别和响应威胁。

当一个模型开始参与这些业务，它就不再是一个”工具”，而是一个”能力供应商”——它在替你的业务做判断、做生成、做决策。

这时候，真正的问题不是”哪个模型更强”，而是：

这个模型从哪里来？

数据会流到哪里？

谁在更新它？

出了问题谁能停掉它？

员工能不能绕过公司流程私接进业务？

第一件事

来源和流向要一起看

现在企业里常见的模型来源，至少有五种：

（1）公司统一采购的模型服务，走官方API，有合同、有审计、有数据协议。

（2）第三方平台提供的模型接入，比如你的项目管理工具里那个AI摘要功能——模型是谁的、数据怎么处理，藏在服务条款的细节里。

（3）浏览器插件或网页端免费模型，就是员工浏览器右上角那个自动总结按钮——自己装、自己用，公司完全不知道数据被送去了哪里。

（4）开源模型的本地部署，技术人员下载权重文件，在公司服务器或个人电脑上跑，安全限制全靠自觉。

（5）员工自带的AI工具，可能是一个手机App，可能是一个社区分享的脚本，来源不明、版本不明、更新不明。

这五种来源，风险完全不同，但很多公司在管理上把它们统一叫”用AI”。

问题就出在这里。

公司采购的模型，数据协议写清楚了不出境、不训练、可审计——但员工用免费网页模型翻译合同的时候，合同内容去了哪里？没人知道。开源模型本地部署，看起来数据没外流——但谁在维护这个模型？版本更新了没有？安全补丁打了没有？也没人管。浏览器插件更隐蔽，它可能在你不知道的情况下读取页面内容，把客户聊天记录送进一个你从未听说过的模型。

客户信息、合同条款、经营数据、代码仓库、内部纪要——每一类数据对模型来源的容忍度不同。但如果你连”员工在用哪个模型”都不清楚，就谈不上分级管理。

第二件事

控制能力决定能不能兜底

模型出了问题，你能不能停？

这个问题听起来简单，但答案取决于你用的是哪种模型。

闭源模型的好处是，供应商替你兜底——出了漏洞有补丁，出了事故有响应，检测到滥用可以封禁。但闭源模型的问题是，供应商自己可能被管控。Mythos 5 被美国政府出口管制令停用，Anthropic 的客户一夜之间失去了访问权限。如果你的业务流程依赖这个模型，供应商被限的时候，你的业务也跟着停。

开源模型的好处是，你不会被供应商卡住——权重文件在你自己手里，谁也关不掉。但开源模型的问题是，没人替你兜底。模型出了安全漏洞，谁来修？版本更新谁来跟进？出了事故谁来负责？如果是一个技术人员自己下载部署的，他离职了，这个模型就变成了一个没人维护的”影子系统”。

可暂停——模型出问题的时候，你能不能在几分钟内切断它和业务的连接，而不是等供应商处理或者找技术人员翻代码？

可替换——一个模型被限、被停、被涨价的时候，你能不能切换到备选方案，而不是业务停摆？

可审计——你能不能回溯某个输出是哪个模型在什么时间生成的，而不是一笔糊涂账？

如果这三个问题的答案都是”不能”，那不管你用的是最贵的闭源模型还是最灵活的开源方案，你的AI业务都是脆弱的。你公司里可能已经跑着几个没人维护的影子系统，只是你不知道。

第三件事

授权责任必须落到人

员工自己找一个好用的模型，接进工作流，效率提升了，看起来皆大欢喜。

但一旦这个模型的输出影响了客户、影响了合同、影响了代码、影响了财务——这就不是个人试用，而是组织授权。只是没有人签过字。

这是最容易忽视的一道闸，也是出事后最难追责的一道闸。

想想这个场景：一个员工用自己找的免费模型处理客户投诉，模型生成了不准确的回复，客户据此做出了错误决策，造成了损失。谁来负责？员工说”我只是用了个工具”，公司说”我们没批准过这个模型”，供应商说”我们和你们没有合同”。

再想想这个场景：技术人员把开源模型接进了代码工具，模型生成的脚本有安全漏洞，被攻击者利用。代码是谁审核的？模型是谁批准接入的？安全标准是谁定的？如果没有人对”这个模型可以进入代码流程”这件事做出过明确授权，那出了问题就是一笔烂账。

每一个进入业务流程的模型，都必须有人对它的来源、用途、风险负责。这个人不需要懂模型的技术细节，但他必须知道：这个模型在做什么、出了问题找谁、能不能停。

如果没有人站在这条线上，那公司对AI的管理就是一句空话。

昨天的问题是：谁能在什么场景下用AI。

今天的问题更往下一层：你到底允许哪些模型进入业务。

AI治理不是把员工的工具都关掉，而是把模型来源、数据流向、控制权和授权责任说清楚。