56 国 5 万人开始用的 AI，和刚被全球封禁的 AI，是同一家公司做的

同一种分子，在地下实验室里合成出来，是一管管制毒品；送进药厂、过完审批、贴上说明书和剂量，它就成了医院药房里的处方药。分子从头到尾没变，变的是它外面那层审批和监管。决定它该被查封还是能救命，从来不取决于分子本身有多强，而取决于它有没有走完那层壳。

这两年，AI 圈正一字不差地重演这件事。6 月 12 日，Anthropic 同一天上了两条方向相反的头条：一条是美国政府以国家安全为由，勒令它关停 Fable 5 和 Mythos 5 的全球访问，所有客户一刀全断；另一条是它自己官宣，和印度 IT 巨头 TCS 签约，把 Claude 铺给对方 56 个国家、5 万名员工，直插金融、医疗、公共部门。

一半天上、一半地下，看着像同一家公司同一天撞上了两种运气。可放回药那套逻辑里，这其实是同一件事：AI 的竞争，正从“谁的模型更强”，换成“谁的模型能被监管接住”。

被封的和被买的，本来是同一种能力

先看 Fable 5 是怎么被摁下停止键的。导火索是一次 jailbreak 演示：有人诱导它读一个代码库、找出里面的漏洞、再写出能直接用的利用代码。

可“读代码、找漏洞、给修复”这套动作，恰恰是 Claude Code 每天帮工程师干的正经活。同一套能力，裸着放出去、落到攻击者手里，是“国家安全威胁”；套上权限、审计、责任追溯这层壳，交到开发者手里，就是“核心生产力工具”。差别从不在能力本身，而在它外面那层壳——就像那个分子，区别只在有没有走完审批那道关。

企业掏钱买的，是“能过审”的那个模型

顺着这条线看 TCS 这一单，就明白它要的根本不是 Anthropic 最前沿、跑分最高的模型。

在企业市场，“哪个模型更聪明”几乎排在最后。一笔进了金融、医疗的 AI 采购，工程团队点头只是第一关，后面还排着三拨更难缠的人：法务要问数据存在哪、归哪国管；安全要问谁有权限调、团队之间怎么隔开；合规要问 AI 每给一次判断，事后能不能被第三方审计翻出来复查。

这三拨人对 benchmark 没半点兴趣，他们认的是白皮书、合规认证、审计报告。这也是为什么那么多公司的 AI 项目喊得震天响、落地慢得要命——技术早够了，卡在过不了法务、安全、合规这三关。

真正在生产的，是“让 AI 过审”的那层壳

TCS 的打法，业内叫 customer zero——自己先当第一个小白鼠。

它先把 Claude 铺进自家 5 万人的工程、财务、法务、营销，全线跑一遍，把坑踩干净，再打包卖给银行和保险公司。这一步常被当成“内部试点”，其实分量重得多：工程团队踩的是权限隔离的坑，财务踩的是数据留痕的坑，法务测的是可解释性的边界。每填平一个，就多出一页能递给受监管客户的合规材料。

模型是 Anthropic 给的，但让它在金融、医疗里真能落地的那层合规外壳，是 TCS 自己一脚一脚踩出来的——这层壳，才是它向客户收钱时真正卖的东西。Anthropic 那头也一样，把 Claude Enterprise、Claude Security 拆成单独的产品线，等于给“监管外壳”明码标了价。

药厂的壁垒从来不在分子，在批文，和那条可追溯、可审计的生产线。AI 走到企业级，拼的也是这条线。

以后看谁“用了 AI”，先看它过没过审

判断一家公司是不是真把 AI 用起来了，不看它把模型吹得多神，看三件实在的：数据存在哪、出不出境；谁调用了模型、事后查不查得到；部门与部门之间，模型的权限隔没隔开。

这三件答不上来，台上“AI 转型”喊得再响，大概率还停在“分子”阶段，离能进药房的那味“药”，还差着整条生产线。

模型之间的差距正在飞快收敛，剩下的护城河，越来越只在外面那层壳上。所以与其问哪个模型最强，不如换个更实在的问法：它走完那层壳了吗。