深度解读

AI能设计病毒、毒素和其他生物武器。我们该多担心？

科学家们正在争论是否要对生物AI软件设限，以防患未然。

作者：Ewen Callaway  |  2026年5月

📧 邮件 🦋 Bluesky 📘 Facebook 🔗 LinkedIn 📱 Reddit 💬 Whatsapp 𝕏 X

很难想象一只蜗牛能杀死一个人，但一类叫做芋螺的剧毒海洋软体动物确实可以。它们的毒刺含有一系列被称为芋螺毒素的小蛋白混合物，其中一些能够阻断神经系统中的离子通道。目前尚无抗毒血清。

芋螺毒素的结构有数十万种之多，许多对人类无害，甚至具有药用价值：例如，一种获批的慢性疼痛疗法就源自其中一种。但在一些国家，针对特定危险芋螺毒素的研究受到严格限制。

因此，当2024年中国科学家报告开发出一款能够设计芋螺毒素的人工智能工具时1，这在某些圈子里引起了警惕。在《自然》杂志看到的一封发给一个私密AI与生物技术讨论组的邮件中，一位美国政府高级雇员将此研究标记为可能的生物安全风险。这位因担心工作而要求匿名的雇员认为，尤其令人担忧的是，该芋螺毒素AI是基于美国科学家开发的一个开源蛋白质语言模型。

该芋螺毒素研究的作者之一告诉《自然》，这种担忧毫无根据。论文共同作者、中国重庆大学的计算化学家薛伟伟表示，这项工作完全是针对药物发现。他说，薛的团队在实验室测试设计后，已发现一些具有潜在治疗特性的芋螺毒素。他补充道，虽然考虑AI工具被滥用的风险很重要，但它并非被设计来制造有害蛋白质。此外，将设计方案转化为实体分子需要大量的专业知识和设备。其他研究人员也告诉《自然》，这项工作的风险似乎极小。

然而，这一事件凸显了人们对新兴生物AI工具日益增长的担忧；尽管这些工具的开发旨在帮助生产创新药物和带来其他社会效益，但它们也可能使制造新威胁变得更容易。以AlphaFold为代表的生物AI工具革命，让科学家们只需敲击键盘就能设计出杀死超级细菌的定制蛋白质和病毒，而通用聊天机器人则能提升人们关于如何在实验室中实现这些设计的知识。最新的AI是否也会加速更烈性毒素、病毒或其他生物武器的开发？

但对于如何应对这些风险，各方存在争论。一些人呼吁对生物AI加以限制，另一些人则担心这会对研究产生负面影响。西雅图华盛顿大学的计算生物物理学家David Baker（因其在蛋白质设计领域的开创性工作而分享了2024年诺贝尔奖）说：“我们一直以来的评估是，给世界带来的好处远远大于危险。但是，随着能力的提升，我认为这将是一个需要持续思考的重要问题。”

一些人表示，重点应放在检测和对抗AI生物武器攻击上，而非试图通过施加软件限制来预防它们。丹麦技术大学的蛋白质设计师Timothy Jenkins说：“在我看来，那艘船已经开走了。”

最坏的情况是什么？

马里兰州巴尔的摩约翰·霍普金斯大学的AI生物安全研究员兼访问学者James Black说，围绕AI和生物武器大致有两种担忧。

其一，在车库实验室工作的个人可能利用聊天机器人学习如何生产或部署现有威胁，比如炭疽杆菌。其二，更老练的参与者，如国家或资源充足的恐怖组织，可能将聊天机器人与专门的生物软件结合起来，设计全新的生物武器。

研究人员表示，对人类最大的潜在威胁可能是AI设计的大流行病毒。最有可能的途径是修改现有病毒（如SARS-CoV-2或流感病毒），以增强其令人担忧的特性——例如，它们逃避免疫系统的能力。纽约市福特汉姆大学研究生物安全的法律教授Doni Bloomfield指出，现有的能够预测病毒进化的AI工具（本用于监测和疫苗设计）就可能被以此方式滥用。

替代方案是，AI模型可能设计出全新的病原体，这些病原体难以检测和对抗。2025年的一项预印本研究使用AI设计了新病毒的基因组，其中大约5%在实验室中制造出来时发挥了作用2。不过，该研究中的病毒被设计为感染细菌，而非人类。

听起来可怕吗？美国国家科学、工程与医学院（NASEM）2025年的一份报告3给出了现实的检验。其结论指出，利用AI有效增强大流行病原体或从零开始设计它们，面临着重重障碍。一个关键障碍是缺乏将毒力或传播性等特性与病原体基因序列联系起来的高质量数据，这使得可靠预测能增强此类性状的变化变得困难。另一个障碍是在实验室中生产病原体并测试其特性的难度，而AI在这方面几乎没起到什么作用。

一些科学家质疑，自然界本身就充满了威胁，不法分子是否真的会求助于AI。加利福尼亚州斯坦福大学的计算生物学家Brian Hie说，引入随机突变的几十年老技术无需AI也能改善令人担忧的性状。

Baker补充说：“如果你想造成非常大规模的伤害，你不需要蛋白质设计就能做到。”

然而，NASEM的报告确实总结道，利用现有的生物AI工具或许能够设计出一种毒素，尽管其生产和投放仍将是一个挑战。Jenkins说，一种设计好的毒素如果之前不为人知，可能无法在人体中检测到，并且更可能用于暗杀企图等个人袭击。他说道：“我认为已经发布出来的工具足以成为人们为非作歹的起点。”

马萨诸塞州剑桥市非营利组织SecureBio的AI主任Seth Donoughe表示，他主要的担忧是AI——包括通用聊天机器人和专门的生物模型——有可能提升不法分子的专业知识。

在2月份一项预印本研究4描述的一系列实验中，Donoughe和他的同事们发现，接触到尖端大语言模型（LLMs）的、具备最低限度生物学训练的个体，在执行诸如故障排除病毒学实验方案和生成操作实验室机器人代码等任务时，其能力能够媲美甚至超过博士科学家。Donoughe及其同事的相关初步工作发现，一些AI智能体——即被允许自主执行某些任务的工具，如运行和执行代码——可以指挥生物AI来增强病毒蛋白的致病特性。

然而，马萨诸塞州剑桥市非营利研究机构Active Site的科学家在2月发布的另一项预印本研究5中却发现，能使用LLMs的新手在操作DNA或生产病毒等任务上的表现，并未显著优于仅使用互联网资源的志愿者（参见“AI是否提升了新手的生物实验技能？”）。因此，AI提供的数字化“赋能”目前可能还不足以制造出生物武器——但这种状况或许不会持续太久。

Donoughe说：“在我们交给AI的所有相关任务上，AI正变得越来越有能力。我们应该预料到，做好事会变得更容易，做坏事也会变得更容易。”

筛查检查

许多科学家表示，预防AI生物武器发展的最佳方式是在制造病毒或毒素的环节发现不法分子。Pacesa说：“归根结底，你在电脑上做什么大多数时候并不重要。重要的是你如何将其转化为真实的、物理的蛋白质或小分子。”

对生产AI设计的蛋白质或合成基因组感兴趣的研究人员，通常会向核酸合成公司订购他们的基因序列，即DNA和RNA链。提供此项服务的一些公司是行业组织“国际基因合成联盟”的成员，该联盟要求其成员筛查客户订单中是否有可能编码毒素、致病蛋白和其他潜在有害分子的序列。但由科技巨头微软的研究人员领导的一项工作6发表于2025年，发现这种筛查可以使用AI工具绕过。

该公司首席科学官Eric Horvitz和他的同事Bruce Wittmann领导了一个团队，利用开源蛋白质设计工具重新设计了72种可能构成生物安全威胁的生物分子，包括毒素和病毒蛋白。研究人员设计了76000个这样的“合成同源物”，使其在结构上足够匹配现有威胁，以维持其危险功能。然而，它们由基因序列编码，这些序列足够独特，足以避开参与研究的四家公司的筛查软件。

结果喜忧参半。DNA筛查工具标记了一部分合成同源物，但绝非全部，大约四分之一的最佳设计——即那些被预测与真实威胁最为相似的设计——逃避了检测。在这四家公司中的三家引入更新来修复其软件后，只有大约3%的顶级设计被遗漏。接着，Horvitz、Wittmann及其同事在3月发布的一份预印本7发现，将合成同源物打碎成仅25个核苷酸的片段，会使它们难以被检测到，即使是更新后的筛查软件也难以发现。然而，研究人员表示，将如此短的片段组装成一个基因会异常困难，而该软件在处理较长的片段时表现良好。

Horvitz及其同事保留了这些设计、靶标身份以及其他关键信息，不过研究人员可以申请访问。

相比之下，薛伟伟及其同事则公布了他们的AI工具生成的芋螺毒素序列，尽管他们的工作与Horvitz的不同，并不侧重于制造危险分子1（参见“AI设计的毒素”）。而且，如果从DNA合成公司订购，这些序列中的一些可能不会触发警报。当《自然》将论文中包含的45个设计粘贴到一个广泛使用的生物信息学工具BLAST（用于在基因数据库中查找相似序列）中时，只有5个被标记为与来自芋螺的毒素序列匹配。一个为DNA合成筛查设计的开源工具则发现了更多的匹配项。

一个重要的警示是，那些能避开筛查的重新设计的毒素，可能与天然版本差异巨大，以至于丧失了功能。Horvitz及其同事工作的一项后续研究支持了这一点。由Wittmann和美国国家标准与技术研究院的科学家Elizabeth Strychalski共同领导的一个团队，在实验室中测试了那些旨在逃避检测的分子是否保留了它们本该模仿的分子的功能8。在他们的实验中（避免了使用毒素），简单的蛋白在某些情况下确实仍然有效，但酶却没有。“这恰恰说明了让它工作是件一团糟、很困难的事情，”参与了该项研究的Horvitz说。

DNA合成公司Twist Bioscience（位于加利福尼亚州南旧金山）的生物安全与政策副总裁James Diggans也是该实验室测试工作的参与者，他说，这些合成同源物研究令人放心。他说：“目前，筛查实践仍然是抵御滥用的一个非常有效的屏障，即使你在使用这些AI工具来逃避检测。”

但Diggans承认，该领域发展很快。新模型在设计能逃避检测的蛋白质方面，可能比Horvitz团队使用的2023年发布的蛋白质设计工具更强大。

研究人员正在开发工具，以期根据编码分子的结构和潜在功能来帮助筛查核酸合成订单。而Baker长期以来一直主张，所有此类订单都应整理到一个私有注册表中，尽管这一想法在行业内尚未获得支持。

更简单的、基于序列的筛查目前仍是自愿的。为了遵守2025年的一项美国行政命令，那里的研究资助方可能很快会要求科学家从使用筛查软件的公司订购核酸，而英国、欧盟以及新西兰等国家也在考虑筛查要求。但大多数国家根本没有要求。在接收全球超过30% DNA合成订单的中国，合成生物学家张卫文表示，政府已要求DNA合成公司实施筛查，尽管这尚未得到强制执行。他说，目前，通常受出口管制的外国订单往往比国内订单受到更多关注。

在瑞士日内瓦的非营利组织“国际生物安全与生物安保科学倡议”从事DNA合成筛查工具和标准工作的Tessa Alexanian说，完全有可能从世界各地的许多供应商那里订购毒素序列而不被发现。

令担忧加剧的是“台式”DNA合成机的发展，研究人员表示，这些机器目前只能生成非常短的序列，但在不久的将来将能够制造更长的片段。

AI模型上的护栏

另一种思路是，AI工具本身——尤其是那些专门用于生物学的——应该有更严格的访问控制或护栏以防滥用。Baker表示，他和他的团队在发布他们的蛋白质设计工具之前，会例行评估任何潜在风险。这符合他和其他人在2024年3月发布的一系列关于负责任的AI和生物设计的原则（见 go.nature.com/4cjbu6t）。近200名科学家签署了该声明，但监管的责任落在了科学界自己身上。Baker还说，他从未觉得有必要限制其实验室开发的用于基础蛋白质和其他生物分子设计的工具。

创建通用AI聊天机器人的公司，如加利福尼亚州旧金山的OpenAI，已经训练其模型拒绝或安全地回应有害请求，其中包括与生物安全相关的查询。特别地，OpenAI的一篇安全文章指出，该公司的模型不应为实施可能造成大规模危害的活动（包括部署化学和生物武器）提供“详细、可操作的步骤”。

研究人员建议，生物AI模型可能也需要类似的做法。这些工具的一些开发者也开始在发布前给模型的训练数据添加护栏。例如，Evo 2“基因组语言模型”的训练数据包含了来自生命之树各个物种的12.8万个基因组序列，但排除了感染人类和其他动物等真核生物的病毒。因此，Evo 2在设计来自这些病毒的序列以及预测其特性（如突变影响）方面表现不佳9。

然而，科学家们发现护栏是可以被克服的。Donoughe及其团队的研究4发现，该研究中近90%的参与者能够从通用LLMs中获取高风险生物信息，而其他研究人员则经常警告说，聊天机器人仍然会向用户提供此类信息。在4月份一篇关于此担忧的文章中，《纽约时报》报道称，去年在印度被捕的一名男子被指控策划为一次恐怖袭击制造蓖麻毒素，他曾向ChatGPT和AI驱动的谷歌搜索寻求建议。（该文章援引了OpenAI发言人的话，称从公开报道来看，该男子寻求的信息已经在网上可以获取。）

至于专门的AI软件，斯坦福大学生物工程师Le Cong及其同事能够使用一个通用AI智能体来诱骗Evo2生成新版本的SARS-CoV-2和HIV-1蛋白10。另一项研究发现，利用公开可用的感染人类的病毒的基因组数据对Evo 2进行“微调”，也恢复了其相关能力11。

共同领导Evo 2开发的Hie表示，由于训练数据的可用性，他对于护栏能被绕过并不感到震惊。对于像这样的模型能否设计出感染人体细胞的病毒，他也不会感到意外。但即使存在这样的能力，他也希望继续尽可能开放地发布模型。他说：“我认为模型的开放性实际上有助于提升安全性，因为安全研究人员可以自由地研究这些模型。”

限制访问

尽管如此，许多研究人员仍在讨论限制访问最具潜在危险性的训练数据或模型。

一个由约翰·霍普金斯大学的生物安全研究员Jassi Pannu及其同事提出的想法是，来自病毒和其他病原体的序列数据应保持开放（数百万个基因组序列已经可以自由获取），但对于一些新生成的数据，访问应该受到限制。这将包括将病原体遗传变异与大流行致病特性（如传播性增强或病毒宿主范围扩大）联系起来的信息12。

由奥斯陆的流行病防范创新联盟（CEPI）正在开发的“大流行准备引擎”，在推出时可能仅供经过审查的用户使用。CEPI将该引擎描述为“疫苗开发者的ChatGPT”，并正在与华盛顿特区一个名为Sentinel Bio的非营利组织合作，为该工具的安全使用制定规则。

4月，OpenAI宣布了一款名为GPT-Rosalind的、为生物学量身定制的LLM，该模型将仅供获得批准的研究人员和机构使用。OpenAI的生命科学产品负责人YunYun Wang表示，即使是那些获得访问权限的人，也将受到监控，以寻找他们可能在制造生物武器的迹象。

华盛顿特区的非营利组织“核威胁倡议”主张采用一种分层访问框架，根据模型的风险程度来定制访问限制。兰德公司2025年的一份报告评估了57种生物AI工具的风险，并将23%判定为高风险（该报告隐去了工具名称；见 go.nature.com/42atdjr）。同样，NASEM的报告3呼吁采取一种“如果-那么”的治理方法；即，提前思考哪些事件可能触发限制AI模型访问的需求，并计划采取何种行动。例如，一个此类事件可能是发布一个关于高风险病原体的数据集。

尽管各国政府已经就筛查DNA合成订单提出了立法，但在限制或约束AI软件方面，它们大多处于观望状态。

威斯康星州麦迪逊市摩根里奇研究所的计算生物学家Anthony Gitter警告说，设计不当的保障措施可能会阻碍科学进步。对于身处非常规环境或资源匮乏国家的研究人员来说，如果守门决策偏向熟悉的机构或精英学术资质，他们可能难以获得强大模型的访问权限，这或许是一个特别的风险。

为德国军方进行生物防御研究的Roman Woelfel也同意，尽管AI可能很危险，但生物AI仍应尽可能保持开放。Woelfel是慕尼黑德国联邦国防军微生物研究所所长，他说：“我认为试图限制获取这项技术是行不通的，不可能的，也不是个好主意。”

AI赋能的防御

Hie认为，如果说有什么不同，那就是生物AI将赋予人类优势，以应对自然的大流行威胁或不良行为者。他说：“边际效益实际上有利于想做防御的人。”而Woelfel表示，能够重新设计毒素的AI工具同样也能制造抗毒素，或能够诊断和治疗被AI改变的病毒的分子。

Jenkins正与北大西洋公约组织合作，通过使用质谱分析法识别可疑样本中存在的设计蛋白，来快速识别AI设计的威胁。

私营公司也纷纷成立，以识别和对抗AI生物威胁：旧金山的Red Queen Bio和纽约市的Valthos分别吸引了1500万美元和3000万美元的投资，尽管两家公司都未公开其生物防御计划的太多细节。

Pannu说，确定AI风险的主要挑战在于，该技术在助长滥用方面会变得多么熟练，这一点存在极大的不确定性。Alexanian说，即便是预测生物AI的近期轨迹也令人望而生畏。“这个领域的许多方面让我感到既高度不确定，又极其紧迫。”

Nature 653, 344-347 (2026)
doi: https://doi.org/10.1038/d41586-026-01476-x

参考文献

1. Guo, M. et al. J. Comput. Aided Mol. Des. 39, 4 (2025). 文章 | Google Scholar
2. King, S. H. et al. Preprint at bioRxiv https://doi.org/10.1101/2025.09.12.675911 (2025).
3. National Academies of Sciences, Engineering, and Medicine. The Age of AI in the Life Sciences: Benefits and Biosecurity Considerations (National Academies Press, 2025). Google Scholar
4. Zhang, C. B. C. et al. Preprint at arXiv https://doi.org/10.48550/arXiv.2602.23329 (2026).
5. Hong, S. Z. et al. Preprint at arXiv https://doi.org/10.48550/arXiv.2602.16703 (2026).
6. Wittmann, B. J. et al. Science 390, 82–87 (2025). 文章 | PubMed | Google Scholar
7. Wittmann, B. J. et al. Preprint at bioRxiv https://doi.org/10.64898/2026.03.04.709671 (2026).
8. Ikonomova, S. P. et al. Preprint at bioRxiv https://doi.org/10.1101/2025.05.15.654077 (2025).
9. Brixi, G. et al. Nature 652, 1349–1361 (2026). 文章 | PubMed | Google Scholar
10. Zhang, Z., Zhou, Z., Jin, R., Cong, L. & Wang, M. Preprint at arXiv https://doi.org/10.48550/arXiv.2505.23839 (2025).
11. Black, J. R. M et al. Preprint at arXiv https://doi.org/10.48550/arXiv.2511.19299 (2025).
12. Bloomfield, D. et al. Science 391, 558–561 (2026). 文章 | PubMed | Google Scholar

原文刊载于 Nature 新闻板块 · 翻译仅供中文读者参考