5

2025年世界人工智能大会上,红队测试被频频提及。例如,《中国人工智能安全承诺框架》提出,在发布、更新人工智能模型之前对其进行红队测试。除了信息网络安全领域,红队也备受西方军队、政府机构和其他私营部门重视。2025年7月23日,特朗普政府发布的《赢得竞赛:美国人工智能行动计划》明确要“确保美国政府在评估前沿模型国家安全风险方面处于领先地位”和“投资生物安全”。红队是什么,为什么需要红队?人工智能和生物科技是21世纪最具颠覆性的两大技术领域,两者都带来全新的安全挑战。对生物安全、特别是未来人工智能融合生物带来的风险和可能管控,红队的价值和局限是什么?本文对红队的基本特征及其在国家生物安全领域的应用进行深度分析。

如何与时俱进加强国家生物安全能力是一个重大课题。21世纪以来,美国积极推动将红队这一战略管理工具纳入国家生物安全能力体系顶层设计并多方向探索应用。在系统性提升国家生物安全能力的同时,也存在进一步模糊进攻性和防御性生物研发界限,扩大敏感技术扩散风险,可能导致国内外“生物安全困境”放大等挑战。随着生物安全攻防体系的科技性、人为性越发突出,如何选择好包括红队在内的战略管理工具组合,值得深入探索。

红队(red team)是特意采用对抗性视角来更好地理解和预测安全威胁的一种理念和战略管理工具,发挥着专业咨询参谋团队的作用。红队的概念最早可以追溯到文艺复兴时期的“魔鬼代言人”概念。当时罗马天主教会设立一个被称为魔鬼代言人的职位,这是一个指定的异议者,负责对被提名成为圣徒的个人进行责问挑战。“红队”概念本身则源于19世纪初普鲁士军队使用兵棋或作战模拟来训练其军官。敌军用红色木块来表示,被称为“红队”,他们的工作是找出主队计划和战略中的弱点。红队的名字随后被沿用下来,并延续到冷战期间美苏对抗。进入21世纪后,政府机构、网络安全领域、私营部门公司也对红队的价值高度重视。从历史沿革和文化背景看,“红队”一词带有一定程度的“情感”色彩,但在汉语语境中,“红队”意义等同于蓝军和假想敌。在实际工作过程中,还衍生出白队、橙队和虎队等概念,但总体上属于红队概念体系。此外,需要注意的是,“红队”(red teaming)有时当作动词使用,表示对某项战略或计划采取红队策略进行质疑和检验的过程。另外,红队、推演(wargame)和演练(drill)、演习(exercise)、“情景分析”(senario analysis)等方法是不同的概念,虽然它们有着各自独特的定义,但其应用紧密联系。例如,红队通常需要推演和演习作为载体,但推演和演习不一定是红队。

推进国家生物安全能力建设是国家安全能力建设的重大任务。事实上,针对生物威胁,西方政府机构、政府部门咨询委员会和社会智库都建议使用或扩大红队方法。在生物安全领域下,红队涵盖各种活动,包括情景编写、论文研究、假设生物攻击的计算机建模,以及为生物安全准备而在实验室开发并测试新型病原体及武器化技术等。美国高度重视并较为广泛采用基于红队理念的模拟演习、漏洞测试,以支撑国家生物安全能力建设。早在2004年,小布什政府《21世纪的生物防御》行政令就明确指出,“将继续开展前瞻性的分析,包括红队及那些可能被敌方用来开发生物武器的新的科学进展,帮助确定情报收集范围”。与此同时,就具体发展策略而言,红队对国家生物安全乃至更广泛的国家安全、国家权力机器运作机制的塑造,以及国家生物安全红队应用的可能边界等,也需要保持清醒。

红队在美国国家生物安全能力建设中的部署应用

按对既定方案或前提挑战质疑的强度和深度,生物安全领域红队分为三种。

一是模拟潜在攻击的演习或推演。通过全面模拟各类“潜在敌手”,捕捉敌手的文化和个人观点,强调全方位对抗,为决策者应对突发情况提供支撑。美国政府与私营机构合作,早在1998年3月就开始防生物恐怖主义的模拟演习,并在墨西哥-得克萨斯州边境进行一次未命名的演习,以调查天花嵌合病毒制剂袭击。随后,美国联邦紧急事务管理局、司法部、国防部、国土安全部和美国国务院进行多次大规模机构间合作的代号“高管”(Top-Off)的演习,其中前三次包括测试联邦和地方对雾化鼠疫攻击的反应。从2009年到2019年,美国政府各机构开展74次机构间演习,包括24次人为故意(生物武器攻击和生物恐怖主义)威胁情景。特别是,《纽约时报》曾披露美国政府于2019年1月至8月组织了代号“深红色传染病”的一系列针对突发大规模疫情的推演。此后,真实暴发的新冠肺炎疫情可以说验证了推演结论,推演结果显示联邦政府机构、各州和地方政府争夺领导权、各自为战等决策和治理体制问题,才是妨害美国应对重大疫情危机的根源。

二是主动漏洞探测或脆弱性分析。即通过查找基础设施、安全系统等存在的薄弱环节,识别己方防御系统关键弱点。例如,美国国土安全部运营的“生物威胁表征计划”(BTCP)宣称其使命是通过建立基于科学的综合计划和基础设施,表征现有的生物威胁,预测未来的威胁,并进行全面的风险评估,以预测、预防、响应攻击并从攻击中恢复。这些研究将包括但不限于动物宿主的发病机制,病原体毒性、感染力、稳定性、活力和致死性等。该计划引发国际社会广泛争议。

当前,随着人工智能(AI)技术在生物医学领域的应用日益普及,其潜在的生物安全和生物安保风险引发越来越多的关注。美国生物安全学术界、智库界、产业界通过引入红队测试,对既有或改进的生物安全防护体系进行验证。例如,兰德公司基于红队方法指出“没有发现大型语言模型(LLM)显著改变生物攻击操作风险”。同时,包括OpenAI、Anthropic、谷歌和Meta在内的美国几家领先的前沿公司下属AI实验室已承诺在未来前沿模型发布中围绕生物风险进行内部和外部红队验证。例如,Anthropic公司宣称,已经与顶级生物安全专家进行红队合作,并评估模型输出设计和获取生物武器等有害生物信息的能力。然而也有观点认为,红队不太可能成为评估AI工具生物风险的实用和安全的方法。

三是需要实际或实验室工作的关于潜在漏洞的理论研究。美军和相关智库机构在评估生物武器和新兴的两用技术带来的风险理论研究方面投入大量精力。例如,美国国防大学战略咨询报告《大规模杀伤性武器的未来》分析指出,技术进步造成了更多漏洞,例如对疫情暴发地精确的地理标记导致致命病原体的收集,以及将化学和生物武器组合成更复杂、非致命的心理物理武器。这类脆弱性揭示研究可以更好地预见各种威胁,减少战略突袭事件的发生。2018年,美国科学院开展“合成生物学潜在生物防御漏洞”分析,并在其标志性成果发布后,进一步开展内部研讨会探讨美国国防部其他可探索的战略步骤,如提出“投送”是目前合成生物学功能被滥用的主要瓶颈,但存在与“投送”有关的各种交叉融合技术,最终减少或消除合成生物学技术武器化的使用障碍。人体微生物组调控与生物化学物质的原位合成,目前还不易于高效使用,但未来一旦可以使用就很难识别与归因。

美国国家生物安全体系下红队建设的驱动因素

归纳起来,美国政府和美军主要考虑因素有三个。一是避免战略意外或战略袭击。通常情况下,在对外国机构或决策团队的行为进行预测时会面临“镜像”风险,也就是假设外国决策方具有与己方类似的动机、价值观或对问题的理解。但由于不同的文化、组织或个人经验,外国决策者往往会对事件做出不同的反应。为此,美国针对大规模杀伤性武器情报能力调查的特别委员会强调“鼓励使用分析方法,如红队演练、情景分析和危机模拟,来探索和理解新技术和武器对美国利益的影响,预警技术突袭”。

二是改进重大生物安全事件情报,降低决策面临的不确定性。红队可以更好地了解、预防、检测和应对生物武器、生物恐怖主义乃至大流行传染病,提供促进国家安全所需的工具、信息和情报。而不准确的生物安全威胁评估可能导致错误行动,例如,美国在第二次海湾战争中对伊拉克存在生物武器计划的错误结论。这些失败案例从反面强调使用所有可用工具来分析威胁的重要性。美国中央情报局情报分析中心认为,红队方法“将更好地解释武器技术发展的混乱和偶然,并促成对生物武器威胁进行更全面的评估”。

三是加快生物安全和防御态势的主动塑造。美国生物安全界普遍认为,随着工程生物学、基因编辑技术、AI等技术快速发展,未来20年内,生物制剂武器化的进攻性技术发展将超过防御性技术的进步。而通过红队进行对抗情景塑造,有助于更积极拥抱生物防御态势的转变。例如,美国约翰霍普金斯大学健康安全中心强调“美国国防部应该更频繁地使用红队,以更好地了解哪些生物安全措施是有效的”,防止有关国家和复杂的恐怖主义组织将生物技术滥用于敌对目的。

对美国自身和全球生物安全的影响

一是系统性提升美国国家生物安全能力建设。自2004年小布什政府《21世纪生物防御》发布以来,红队在美国生物安全领域加快应用,促使政府与国会、政府内部各部门的权力再分配,推动美国生物安全战略、高等级生物安全实验室等科技能力和战略科技力量建设,推动医疗卫生物资战略储备、法律法规和政府监管体系的更新迭代,扮演着美国国家生物安全建设导火索、引擎的关键角色,有助于提升美国生物安全总体能力。同时,通过政府宣传、学者研究、媒体引导,在美国国内营造一种生物恐怖威胁、大流行传染病随时可能发生的氛围。

二是模糊进攻性和防御性生物研发界限,曲解《禁止生物武器公约》制度,放大国际“生物安全困境”,加剧国际社会的忧虑。美国通过对手模拟练习或漏洞探测,对生物武器或生物恐怖主义防御进行脆弱性调查,通常超越“纸面”或桌面推演,涉及实际病原体或模拟物,必然会产生可能难以处理和控制的军民两用信息和产品。在“9 · 11”和炭疽邮件袭击事件之后,随着美国国防部引入严格的“生物保证”规则、强化物理安全和访问控制,美国生物防御计划的透明度急剧降低。生物防御和生物防御研发之间存在的固有歧义,使得很难确定此类工作背后的意图。无论美国推动生物安全红队的实际动机如何,都可能引起对美国意图持谨慎态度的国家的担忧,后者进而会通过加强自己的生物防御或进攻计划,来应对美国强化生物安全能力的举措。因此,对假定的生物威胁的定性有可能成为一个“自我实现的预言”,破坏自身国家安全。

三是营造美国政府体制内保密、对立氛围,加剧科研人员精神紧张,加大敏感生物技术、生物材料的扩散风险。美国两党与国会的政治现实及权力之争,决定其高度保密、缺乏有效外部监督的军事生物防御项目的发展,孕育了来自美国内部的军事生物技术扩散风险。美国政府于2004年成立的国家生物安全科学咨询委员会(NSABB)旨在为“双重用途”生物研究制定安全审查的指导方针,但其权力和范围受到限制。该委员会没有监管机构,其任务明确排除对美国政府发起的、用联邦资金在联邦设施中进行的机密生物防御研究的监督。而由中央情报局和国防情报局发起的红队类特殊项目,不受同行评审或科研伦理道德的约束。在这种情况下,特殊项目很可能会吸引类似冒险家或狂热者的生物科学研究人员。美国化学和生物武器问题专家乔纳森 · 塔克(Jonathan B. Tucker)曾指出,虽然美国绝大多数生物安全主动漏洞探测或脆弱性分析,是在防范外部渗透、配备最高生物安全等级的实验室和最先进的安全措施环境下开展的,但鉴于检测“内部人员”威胁的难度,如果在实验室中创造新的工程病原体以达到威胁的目的,将增加受信任的科研人员将这些制剂样本装在小瓶甚至衣物中偷窃走私出去的风险。或许,美国炭疽邮件事件中重要嫌犯美国陆军传染病研究所高级研究员布鲁斯 · 艾文斯(Bruce Ivins)也是这种体制机制的牺牲品。

结论和启示

红队作为一种战略管理工具,有限适用于国家生物安全领域。红队本质上遵循的是一种对抗性而非调和性思维。红队始终以打赢为目标,以智力较量、积极对抗为手段。而重大生物事件演化过程具有开放性、复杂性、高维性、不确定性及涌现性的整体特性,亟须进行战略管理。进行红队分析可以避免新兴科学技术引发的战略意外,验证当前的生物安全战略对策,并确定生物安全领域发展改革举措的优先顺序。虽然红队要求内在批判性思维,要求从对手的观点和思维角度让自己置身于他人的位置上,重建对手的观点和推理过程,从异于自己的前提、假设和观点出发进行理性论证,以便真正地理解对手是如何思考、计划、决策、行动的。但这种理解是一种工具性的理解,一种激化矛盾而非寻求调和矛盾的理解,是西方“二分法”思维的又一种体现。

红队方法和思维具有典型“双刃剑”效应。从实际效果看,红队对确认国家层面的生物安全政策、战略、法规、跨部门协调,验证政府和机构层面的生物安全情报能力、现场处置能力、物资储备、装备技术、人员训练和准备就绪程度,检验国家和公众生物安全意识等,均发挥重要作用。这种杠杆作用有助于预防生物安全领域“黑天鹅”事件,识别生物防御短板弱项,以及加快生物防御体系从被动防御到主动塑造的转型。但由于潜在生物攻击发起主体、生物威胁和风险来源以及攻击渠道的多样性,很难真实模拟潜在的威胁情景。在缺乏此类实证数据的情况下,美国实操的红队很可能高估敏感生物技术扩散或生物恐怖分子发动大规模袭击的容易度,进而可能导致国家资源的错配。更重要的是,红队方法营造的紧张氛围、对立情绪,导致特定情形下可能会比以往更不安全。

当前,国际生物安全威胁形态层出不穷,生物安全攻防体系越来越复杂,人为因素、科技因素越来越突出。进一步开展红队、情景分析方法等战略管理工具与国家生物安全能力建设关系辩证分析,对于进一步研判大国和国际生物安全体制机制演变,推动国际生物安全形势向积极缓和转变,也具有积极意义。

———————

本文作者王小理是中国科学院上海免疫与感染研究所生物安全政策研究中心主任、研究员