随着人工智能（AI）持续推动生物技术创新，必须解决其潜在滥用问题，才能充分释放其社会效益。尽管在评估通用人工智能（GPAI）和专用生物设计工具（BDT）制造生物威胁的风险方面已取得显著进展，但缓解AI赋能生物威胁创造风险的可操作性步骤仍不完善。本文提供了一个从多种来源收集的政策和技术策略集合，并将其置于一个与AI赋能生物威胁创建步骤相一致的组织框架中。在整理以往报告（通常关注一个或一小套缓解方案）并依据预期可行性和影响力评估所提议的缓解方案后，我们优先确定了七项缓解策略（共包含十二项具体措施）的开发：模型反学习和信息移除技术（五项措施的组合）、针对BDT的基于分类器的输入和输出过滤、用于生物安全的AI智能体、安全漏洞赏金计划、确保现有材料/设备保护措施的执行、加强生物监测和生物溯源，以及在DNA合成前筛查元数据/审计日志。我们邀请政策制定者、研究人员和技术专家合作，将这些策略完善并实施为强大的分层防御体系，确保AI能够安全可靠地为全人类造福。

AI的进步带来了变革性的解决方案，制定促进其安全有效融入各领域的策略至关重要。生命科学是最具变革潜力的领域之一，关键在于AI解析生物系统复杂性的能力，以及生物学在健康、环境和经济中的核心地位。AI的近期进展已开始重塑生物学的核心领域。深度学习模型被用于预测蛋白质结构和功能、识别调控关键生化途径的疗法、设计优化的酶和小分子，以及指导基因编辑工作流程。在病毒学中，AI工具正用于预测宿主-病毒相互作用、辅助疫苗设计以及模拟病毒传播和进化。通过将AI工具整合到实验室流程中，研究人员可以加速发现并减少实验迭代。

然而，这些相同的能力也可能被滥用：高效设计和合成生物体或模拟病毒行为的能力，也可能被滥用于增强病原体的致病性、传播性或免疫逃逸能力。例如，AI工具可能扩大具备相关专业知识的个人和组织数量，并加剧与潜在大流行病毒、蛋白质毒素等潜在生物威胁相关的风险。应对生物创新的这种双用途性质是生物安全的核心：为有益研究设计的技术若被误用，可能助长生物威胁的创造。因此，应对这种固有的双用途潜力对于确保AI与生物学的安全整合至关重要。

尽管在理解AI带来的生物威胁创造风险方面已取得重大进展，但在制定和部署可操作的威胁预防策略方面仍存在差距。缓解通用人工智能（GPAI）（如OpenAI GPT系列）和生物设计工具（BDT）（即经过生物数据训练以帮助设计新蛋白质或其他生物分子，如RoseTTAFold All-Atom）的滥用风险对生物安全至关重要。虽然范围有限，但BDT在生物威胁发展中的潜在作用已得到确认，并随着能力更强、应用更广的模型的发布而不断演变。GPAI也可能因训练数据中生物信息的增加、先进的推理能力以及通过BDT整合增强知识的潜力，而对AI赋能的生物威胁创造构成重要的前沿风险。GPAI在生物应用中的使用仍然是一个活跃且快速发展的研究领域。

本文基于先前对AI赋能生物威胁创造潜在风险的评估，转向优先考虑可开发的缓解策略，以有意义地降低风险。基于我们之前的工作，我们将通过广泛文献检索收集的58种缓解方案整理到一个组织框架中，并按可行性和影响力进行优先排序。通过这种方式，我们旨在指导近期的未来努力，小规模开发和部署一部分缓解措施，以评估其在降低生物威胁风险方面的价值，随后再将最有希望的措施推广，为生物AI模型的持续进步营造安全环境。

我们的团队由生物AI、GPAI、生物安全政策和分子生物学领域的专家组成，在我们先前工作的基础上，通过更深入的文献综述、提出新的缓解方案并更新我们的组织框架，汇编了额外的风险缓解方案。为准备优先排序分析，我们首先使用之前报告第3章的参考文献作为种子论文，从中提取关键词。这些关键词用于发现提出缓解方案的同行评审期刊出版物、预印本和灰色文献。通过对所有审查报告的参考文献进行前后向审查（通过Google Scholar），数据集得到进一步扩展。我们持续进行后续几轮的文献前后向审查，直到没有发现新的缓解方案。此过程产生了58种缓解方案，用于下述的优先排序分析。值得注意的是，我们专注于针对生物威胁创造的特定缓解措施。一个完整的集成缓解分层防御系统还应包括既定的安全最佳实践，但这些类型的缓解措施未包含在本分析中。

我们开发了一个框架，将各个组成部分的缓解措施组织到系统级背景中。这个多层框架与生物工具的双用途性质相一致，通过在AI辅助生物设计的不同阶段叠加干预措施，在保持合法科学进展的同时限制恶意滥用的机会。我们更新了先前提出的框架，并采用了唯一发现的类似框架的术语。最终框架的骨干包括以下层级：

此外，我们增加了组件来描述在反馈循环中应用的缓解措施，其中来自科学界的见解或恶意行为者获得的知识可能分别影响防御和生物威胁发展。例如，监控操作模型使用模式可以指导模型缓解措施的更新（称为“更新模型”）。同样，在将新实验数据纳入模型之前，有机会缓解由此产生的风险（称为“更新数据”）。

我们使用修改的德尔菲法和半定量指标来对识别出的58种缓解措施进行优先排序。缓解方案由我们团队的2-3名成员使用表中的指标和针对每个指标的简单三点李克特量表独立评分。然后小组讨论各个指标得分并达成共识。评分过程参与者数量较少是该方法的一个局限性，未来工作应侧重于让更多参与者参与以验证这些结果。有七项缓解措施因某一指标得分极低（0分）而被排除在最终结果之外，剩下总共51项缓解措施进行优先排序。

达成每项指标的共识分数后，将个体指标分组为可行性和影响力摘要指标，以简化结果解释。可行性摘要指标代表了在小型范围内开发和部署缓解措施以进行迭代改进的预期能力。影响力摘要指标包括在初始部署之外进一步扩展缓解措施及其导致的预期潜在变化。这些定义被使用是因为它们模拟了设想的大规模实施缓解措施的过程：开发缓解措施原型，在小范围内试验性操作部署原型缓解措施以迭代和改进，然后在价值得到实证确认后扩展或复制缓解措施以最大化风险降低。

然后将构成可行性和影响力的指标得分平均并归一化到0到1的范围以便解释。在计算综合可行性和影响力得分时，所有指标被赋予同等权重，以保持优先排序框架的透明度和可重复性。然后，我们将影响力得分大于0.75的所有缓解措施带入额外的定性分析。我们仅使用影响力阈值决策标准，因为根据我们的指标，可行性可能对新兴技术的早期阶段不确定性更敏感。对于每项超过此影响力阈值的缓解措施，我们的团队进行了详细审查，以识别任何未测量的缺点，从而通过排除过程得出我们推荐的优先事项。

本分析优先考虑了十二项具体缓解措施（分为七大策略），值得进一步探索，基于其相对较高的可行性和影响力得分以及专家判断。鉴于分析的定性性质，这些优先事项应被视为指示性而非确定性结果。优先缓解措施显示在原文图2中，其细节以及导致它们被优先考虑进行未来开发的机会/挑战将在下文详细讨论。所有缓解措施的完整列表及其可行性和影响力得分可在补充信息的表S1中找到。

本文其余部分详细介绍了我们优先考虑的缓解措施及其当前挑战。这些缓解措施分为两大类：(1) 我们框架中模型层和部署层针对潜在AI赋能生物威胁创造的特定缓解措施；(2) 物理层缓解措施，旨在普遍防止获取和使用材料创建生物威胁。模型层和部署层缓解措施适合模型开发者和潜在的政府监管机构考虑，而物理层缓解措施则与生物实验室和商业供应商（如DNA合成提供商和云实验室）中的政府法规和生物安全工作相一致。

这种模型层缓解策略是五种相关技术的集合，可在大型语言模型（LLM）的微调阶段应用。虽然仍在发展中，模型反学习已显示出初步能力，可以使模型“忘记”特定的不期望知识，而无需从头开始完全重新训练，同时保持期望的知识。模型反学习不仅涉及移除敏感训练数据，还包括识别和减弱模型可能已经内化的有害能力。虽然由于生物学的双用途性质，这对生物AI应用尤其具有挑战性，但定向反学习可以，例如，降低蛋白质或序列生成模型编码氨基酸基序与毒力、毒性或免疫逃逸潜力之间关联的能力。例如，Li等人开发了专家撰写的“大规模杀伤性武器代理数据集”，用于评估和反学习AI模型中的双用途知识，包括用于生物威胁创造的知识。一些对生物应用有前景的通用反学习技术包括：

尽管有前景，模型反学习目前有几个局限性。主要技术挑战在于选择性地抑制不期望的潜在知识，同时保留一般的生化洞察力。其他可行性障碍包括微调权重以部分重新训练模型的潜在显著成本，以及对重新学习攻击的脆弱性。此外，反学习方法经常与不完全遗忘作斗争，目标信息的痕迹可能通过间接查询或相关概念的查询仍然可访问。模型反学习是一个仍处于起步阶段的研究领域，尽管学术研究人员已在小型模型上演示了这些技术，但根据公开信息，反学习尚未在大型、最先进的商业模型中广泛实施。模型开发者将负责实施此类缓解措施，可能由政府法规、安全标准或政策框架驱动。

虽然这些缓解措施已在研究型GPAI模型中实施，但类似的策略对于BDT中特别令人担忧的生物设计空间也可能是可行的，但具有挑战性。主要挑战是如何在不降低一般能力的情况下识别和移除感兴趣区域（例如，已知毒性蛋白质周围的蛋白质序列或结构空间）的知识。

这种部署层缓解措施涉及构建机器学习分类器，以检测并拒绝BDT中寻求有害信息的输入和提供有害信息的输出。分类器可以训练来识别潜在危险的序列类别，例如与毒性蛋白质、病毒包膜糖蛋白相关的基序，或类似于受管制特定剂的序列。这些过滤器将为设计具有病原体共享特征的蛋白质或核酸提供技术障碍，同时允许正常的酶或疗法设计工作流程进行。类似的方法已被证明对GPAI有影响，包括用于生物安全，并且可能适用于BDT，但尚未得到证实。我们设想的架构将利用一个独立工具（可通过API或开源代码访问），包括：

这种早期阶段的缓解措施概念简单，但可行性挑战集中在生物学的双用途性质上。政策上，确定如何做出拒绝决策的标准以防止生物威胁创造同时不阻碍合法工作将具有挑战性。技术上，当前确定关注水平的技术需要进步，因为它们尚不一致可靠且通常需要实验室验证。此外，一个未直接在我们指标中捕获的重大挑战是普适性：在所描述的架构内，需要不同的分类器和目标函数来处理不同的输入和输出类型。因此，随着BDT可研究的广泛相关任务、工具和生物分子类型/集合，可能需要大量算法，从而增加开发和部署时间及成本。

这种缓解措施可能由第三方开发，并通过API作为服务提供给BDT开发者，以便在无需大量开发时间或资源的情况下实现生物安全。对于完全开源的BDT，专业的恶意用户可能通过移除输入和输出处的API调用来规避此缓解措施，但需要付出努力来覆盖这些检查的默认包含。长期来看，这种风格的缓解措施可能为开发和部署生物安全最佳实践提供模型，而不妨碍BDT的创新和操作。

这种部署层缓解措施涉及AI模型开发者和其他服务提供商使用AI智能体来帮助扩展和自动化审查托管模型的潜在危险生物用户查询。AI智能体是GPAI模型与其他软件的结合，允许相对自主的多步骤行动，而不仅仅是响应单个直接查询。一个有前景的应用是使用此类智能体持续监控或实时审查用户发起的生物查询。例如，一个专注于生物安全的智能体可以解析包含氨基酸或核苷酸序列的查询，将其与病原体基因组库或毒素数据库进行比较，评估建模的蛋白质结构是否表现出与毒力因子相关的基序，或标记与针对必需宿主基因的基因编辑系统相关的异常请求。我们设想一个“提示与线索”架构，其中初始用户输入（如对病毒设计的兴趣）启动生物安全AI智能体来评估特定查询、查询历史和其他信息，以评估生物安全关注级别。然后，该智能体可以向用户请求澄清细节、查询网络、利用其他工具（如BDT），或将案例提交给人类分析师审查。

我们发现这种缓解措施具有高潜在影响力，因为通过始终在线、模型无关且可重复的生物安全AI智能体，可以实现持久和广泛的监控。与依赖静态算法或团队事后审查查询以寻找潜在生物安全问题不同，这种缓解措施允许评估用户查询，仅受智能体质量和所提供资源（例如计算、专用数据、BDT等附加算法）的限制。这在生物安全中尤为重要，类似于网络安全，防御者需要始终防御所有攻击，而攻击者只需成功创建并释放一种生物威胁即可成功。我们发现可行性为低到中等，主要原因是智能体的技术成熟度低（但发展迅速）、针对生物安全的该方法研究有限、高推理计算成本以及专家用户规避的可能性。此外，应明确此缓解措施的范围，以避免使用广泛“监控”智能体的看法或现实。工具开发者将主要负责实施此缓解措施，可能辅以政府政策鼓励。

在这种部署层缓解措施中，组织奖励研究人员发现并负责任地报告其软件系统或应用程序中的安全漏洞，以便修复。模型开发者或第三方研究人员可以进一步建立计划，以识别AI模型使创建生物威胁变得更容易的方式，创建一个跨受影响模型共享结果的论坛，以及一个修复软件问题并验证修复的可重复过程。私下报告安全问题使开发人员有时间补救已识别的缺陷，而提供的激励措施则激励安全研究人员投入时间和精力来识别问题。

这种缓解措施是网络安全中的既定方法，也是AI领域新兴的方法，但据我们所知，尚未在生物AI或生物安全应用中得到证实。虽然漏洞赏金计划的存在可以识别重要的安全漏洞以使其得以修复，但仍有可能一些漏洞未被发现。一个额外的限制是，漏洞赏金计划的参与者通常被允许发布他们发现的漏洞细节（通常在预定的等待期之后，以便工具开发人员有时间修复）；如果类似的漏洞可用于利用尚未修复的其他工具，这可能导致信息危害。实施此缓解措施将是工具开发者的责任，可能与外部组织合作，帮助资助或组织涉及多个工具和组织间结果共享的计划。

下面讨论的物理层缓解措施虽然不特定于AI赋能的生物威胁，但被纳入分析以代表生物威胁特定防御层的完整范围，并便于未来评估适应它们的需求。第一个物理层缓解措施，即确保现有材料和设备保护措施的执行，看似显而易见，但延续了迄今为止在很大程度上有效的生物威胁发展控制。例如，联邦特定剂计划对拥有、使用或转移指定高风险化学和生物材料（称为特定剂）的实体进行监管、检查并提供合规指导。此外，出口管制旨在限制两用技术的扩散；例如，最近工业和安全局的一项规定要求向伊拉克、巴基斯坦和朝鲜出口、再出口或国内转移高参数流式细胞仪和液相色谱质谱仪需要许可证，以防止其在生物威胁创造中的潜在滥用。这也包括DNA合成提供商继续筛查已知病原体序列。

确保遵守并在必要时扩展这些和其他现有保护措施，有助于防止恶意行为者将AI或非AI生成的设计转化为现实世界的生物威胁。良好实施的材料和设备控制仍然有效，因为即使AI帮助消除知识障碍并扩大威胁格局，执行生物攻击以跨越数字到物理的鸿沟总是需要获取材料和设备。虽然这种缓解措施具有很高的潜在影响力，但当前的执行面临挑战，包括全球标准不统一，以及最重要的风险和技术可能出现速度超过监管速度。然而，其中许多差距可以通过扩大的国际合作、更新的定义以及随着AI和生物学工具发展的持续适应来解决。

此外，AI用户交互日志可能提供改进现有法律执行的手段。美国法律禁止为非和平目的开发或拥有生物制剂。然而，执行通常需要明确的造成伤害的意图证据，这对于双重用途材料可能难以确定。在AI赋能的生物威胁案例中，AI交互日志可能是证明意图的重要证据。

生物监测和生物溯源是两种物理层缓解措施，旨在分别检测生物威胁和归因责任。生物监测涉及通过两种方法监测环境或临床样本中的病原体：已建立的病原体特异性检测和新出现的病原体非特异性检测，它们在低假阳性/阴性率与覆盖广泛生物威胁谱系之间进行权衡。生物溯源是一种现有但快速发展的能力，涉及利用流行病学、分子、情报和背景数据来辨别生物威胁的起源类型（自然、意外或故意）以及最可能/最不可能的特定起源。生物监测由从国防和情报机构到非营利研究人员的广泛组织执行，而生物溯源主要是一项国家安全职能。

虽然执行生物监测和生物溯源活动传统上被认为是用于事件响应，但它们也可以成为预防的关键部分。生物监测识别出病原体正在扩大传播并启用后续缓解行动；而生物溯源通过确保对生物威胁负责者被追究责任并防止额外攻击来产生威慑力。请注意，我们的分析侧重于实现威慑的缓解措施，如生物监测和生物溯源，它们通过实现相称的响应能力（即惩罚性威慑）直接允许预防生物威胁攻击。通过强大的防御能力（拒止性威慑）剥夺对手生物威胁攻击预期效果的额外响应选项，如开发广谱抗病毒药物或储备个人防护装备（PPE），未包含在本分析中。

生物监测（特别是广泛、病原体非特异性的网络）被发现可行性相对较低，主要原因是建立和运行国家或全球系统所需站点的高成本、病原体非特异性检测的技术成熟度低，以及所需的极低假阳性率以避免假阳性带来的重大负面后果。虽然分子方法有限，但完整的生物溯源能力组合在我们的分析中被判断为具有中等可行性，因为与生物监测相比，所需的额外采样和分析需求较少（因此所需站点更少），相关成本也较低。然而，所需的低且已知的归因错误率，以及方法可能被击败或随着DNA操作方法的进步而变得过时，都带来了挑战。

这种物理层缓解措施旨在提供额外的防御层，防止恶意行为者从商业合成提供商处获取编码了增强生物体致病性、毒性或其他令人担忧特性的修饰的DNA。如设想的那样，它涉及一个独立工具，自动生成用户如何与AI交互以设计DNA序列的日志。为了记录DNA订单序列之外的额外背景信息，包括用户意图的潜在线索，记录的信息可能包括用户使用的特定AI设计工具、用户提供的数据输入、用户执行的设计步骤序列和生物输出，以及用户信息（如IP地址），并将以密码学可验证的方式存储在DNA序列数据文件中。特别是在DNA序列或其他标准（例如订购实验室或订单历史）被标记为可疑的情况下，元数据日志将为DNA合成供应商提供额外的背景信息，以便在决定是否履行订单之前与客户进行跟进。此外，公开描述这套能力可以通过增加恶意行为者获取有害DNA的感知难度来产生威慑价值。

一个潜在的重大可行性挑战是需要在所有DNA合成提供商中普遍部署此缓解措施（以及更广泛的DNA订单生物安全审查），以确保恶意行为者不能简单地将订单导向已知不执行此类筛查的供应商。此外，虽然对于在托管环境中运行的工具和第三方DNA合成供应商可以要求或生成日志，但对于用户可以在本地运行的工具和台式DNA合成仪，将需要额外开发以启用安全计算方法。要求元数据日志也引发了关于隐私和知识产权的担忧，如果日志捕获敏感的设计信息。解决这些问题可能需要隐私保护技术和严格的访问控制。

这种缓解措施已被描述为记录AI工具使用信息的一种方法，但截至本文撰写时，尚未有审计日志实施的报道。实施此缓解措施很可能首先是对合成提供商提出并要求执行的要求，并且需要由用户（本地运行工具）和开发者（托管工具）共同实施。

AI在生命科学中的应用快速发展正在重塑生物能力，在创造有益创新机会的同时，也放大了长期存在的双用途风险。本研究通过在一个与AI赋能生物威胁创建阶段相一致的多层组织框架内整理、背景化和优先排序58种缓解方案，为构建安全进展的技术和政策基础做出了贡献。使用基于指标的分析过程，我们得出了可行性和影响力得分，以确定七大优先策略（共包含十二项具体缓解措施），值得进一步开发和测试。

跨框架各层，出现了一些交叉性的启示。首先，有效的政策和技术策略必须嵌入安全措施，这些措施能阻碍恶意滥用，同时又不过度限制合法的生物研究和创新。我们提出的框架和优先缓解措施旨在保持科学速度和创新，同时将安全作为生物AI系统的核心设计原则。跨优先缓解措施，最具影响力的措施将AI系统或工作流内的技术干预与现有生物安全制度中的治理措施相结合。模型层方法（如反学习和信息移除技术）显示出抑制通用和生物设计模型内已习得危险能力的前景，但需要在模型可解释性和鲁棒性方面取得进展才能大规模部署。部署层缓解措施（如基于分类器的过滤、生物安全AI智能体和安全漏洞赏金计划）展示了自动化和激励如何维持操作系统中风险的持续监控和修复。最后，物理层防御（如材料控制的执行、增强的生物监测和生物溯源，以及DNA合成前的审计日志筛查）对于防御数字到物理的转变以及通过提供可追溯性和问责制来威慑滥用仍然至关重要。

展望未来，本文推荐的技术和政策方案将作为进一步发展的基础，无论是单独还是作为集成的分层防御方法。特别是在框架中只有相对较弱缓解措施可用的层面，弹性来自于数字和物理领域的重叠保护，以确保没有任何保障措施是单点故障。本分析还强调了必须通过协调、跨学科合作解决的实践挑战，例如数据访问、不统一的全球标准以及平衡开放科学探究与安全控制的需要。这些缓解策略的完善将受益于AI开发者、生物学家、政策制定者和安全实践者之间的伙伴关系，将概念性措施转化为经过测试的可实施系统。持续的实证评估、安全可披露结果的公开分享以及从网络安全和负责任创新框架中吸取经验教训的适应，可以加速进展。通过将技术进步建立在主动管理生物双用途关切的基础上，业界可以确保AI加强而非破坏全球生物安全。

Josh Dettman: 项目构思、分析、初稿起草和编辑。Emily Lathrop: 分析、部分章节文本起草和编辑。Aurelia Attal-Juncqua: 分析、部分章节文本起草和编辑。Matthew Nicotra: 分析、部分章节文本起草和编辑。Allison Berke: 项目构思、分析、部分章节文本起草和编辑。