такое кино
Почему китайские ИИ-модели захватывают Open Source, пока западные лаборатории отступают?
Причина проста: западные ИИ-лаборатории больше не хотят — или не могут — конкурировать на этом поле.
Пока OpenAI, Anthropic и Google сталкиваются с растущим давлением, требующим ограничить доступ к их самым мощным разработкам, китайские разработчики заполнили образовавшийся вакуум. Они предлагают именно то, что нужно рынку: мощные модели, способные работать на обычном, доступном оборудовании.
Новое исследование в области безопасности показывает, насколько глубоко китайский ИИ укоренился в этом пространстве. Отчет, опубликованный компаниями SentinelOne и Censys, которые в течение 293 дней отслеживали 175 000 публично доступных ИИ-хостов в 130 странах, выявил интересную тенденцию: модель Qwen2 от Alibaba стабильно занимает второе место по глобальному развертыванию, уступая лишь Llama от Meta*. Показательно, что китайская модель присутствует на 52% систем, где запущено сразу несколько нейросетей — это говорит о том, что она стала фактической альтернативой Llama.
— В ближайшие 12–18 месяцев мы ожидаем, что семейства моделей китайского происхождения будут играть всё более центральную роль в экосистеме LLM (больших языковых моделей) с открытым исходным кодом. Особенно на фоне того, как западные передовые лаборатории замедляют или ограничивают выпуск моделей с открытыми весами, — рассказал изданию TechForge Media Габриэль Бернадетт-Шапиро, ведущий научный сотрудник по ИИ в SentinelOne.
Эти выводы сделаны в момент, когда OpenAI, Anthropic и Google находятся под пристальным вниманием регуляторов, тонут в проверках безопасности и следуют коммерческим интересам, которые подталкивают их к выпуску продуктов через закрытые API, а не к свободной публикации весов моделей. Контраст с китайскими разработчиками разительный.
Китайские лаборатории продемонстрировали то, что Бернадетт-Шапиро называет «готовностью публиковать большие, высококачественные веса, специально оптимизированные для локального развертывания, квантования (сжатия) и работы на стандартном потребительском железе».
— На практике это делает их проще для внедрения, запуска и интеграции в периферийные (edge) и домашние среды, — добавил он.
Проще говоря: если вы исследователь или разработчик, желающий запустить мощный ИИ на своем компьютере без огромного бюджета, китайские модели вроде Qwen2 часто становятся вашим лучшим — или единственным — выбором.
Прагматизм, а не идеология
Исследование показывает, что это доминирование не случайно. Qwen2 демонстрирует, по словам Бернадетт-Шапиро, «нулевую волатильность рейтинга» — модель удерживает вторую позицию по всем изученным метрикам: общему количеству наблюдений, уникальным хостам и времени работы. Нет никаких колебаний или региональных перекосов — только стабильное глобальное принятие.
Паттерн совместного использования также показателен. Когда операторы запускают несколько ИИ-моделей на одной системе (обычная практика для сравнения или разделения задач), пара «Llama + Qwen2» встречается на 40 694 хостах, что составляет 52% от всех мультимодельных развертываний.
География лишь подтверждает картину. В Китае только Пекин отвечает за 30% открытых хостов, а Шанхай и Гуандун добавляют еще 21%. В США штат Вирджиния (отражающий плотность инфраструктуры Amazon AWS) представляет 18% хостов.
— Если скорость релизов, открытость и аппаратная совместимость продолжат расходиться между регионами, линейки китайских моделей, вероятно, станут стандартом для открытых внедрений. И не из-за идеологии, а из-за доступности и прагматики, — пояснил эксперт.
Проблема управления
Этот сдвиг создает то, что Бернадетт-Шапиро характеризует как «инверсию управления» — фундаментальный переворот в распределении рисков и ответственности в сфере ИИ.
В платформенных сервисах, таких как ChatGPT, одна компания контролирует всё: инфраструктуру, мониторинг использования и протоколы безопасности; она же может пресечь злоупотребления. В случае с моделями с открытыми весами этот контроль испаряется. Ответственность распыляется по тысячам сетей в 130 странах, тогда как зависимость концентрируется «вверху», в руках горстки поставщиков моделей — всё чаще китайских.
Те 175 000 обнаруженных хостов работают полностью вне систем контроля, управляющих коммерческими ИИ-платформами. Там нет централизованной аутентификации, нет лимитов на запросы, нет детекторов злоупотреблений и, что критически важно, нет «аварийного рубильника» на случай обнаружения вредоносной активности.
— Как только модель с открытыми весами выпущена, удалить из неё встроенные ограничения безопасности (safety training) становится тривиальной задачей, — отметил Бернадетт-Шапиро. — Передовым лабораториям необходимо относиться к релизам открытых весов как к созданию долгоживущих объектов инфраструктуры.
Большую часть активности обеспечивает стабильный «костяк» из 23 000 хостов со средним временем безотказной работы 87%. Это не эксперименты любителей — это рабочие системы, приносящие постоянную пользу и часто запускающие несколько моделей одновременно.
Что вызывает наибольшее беспокойство: от 16% до 19% этой инфраструктуры невозможно приписать какому-либо идентифицируемому владельцу. «Даже если мы сможем доказать, что модель использовалась в кибератаке, у нас нет устоявшихся каналов для сообщения о злоупотреблениях», — сказал Бернадетт-Шапиро.
Безопасность без тормозов
Почти половина (48%) обнаруженных хостов заявляют о «возможности вызова инструментов» (tool-calling capabilities). Это означает, что они не просто генерируют текст. Они могут выполнять код, обращаться к API и автономно взаимодействовать с внешними системами.
— Текстовая модель может сгенерировать вредный контент, но модель с доступом к инструментам может совершить действие, — объяснил эксперт. — На сервере без аутентификации злоумышленнику не нужны вредоносные программы или учетные данные; ему нужен только промпт (текстовый запрос).
Сценарий с наивысшим риском включает то, что он называет «открытыми конечными точками RAG или автоматизации, управляемыми удаленно как слой исполнения». Злоумышленник может просто попросить модель проанализировать внутренние документы, извлечь ключи API из репозиториев кода или вызвать сторонние сервисы, к которым у модели есть доступ.
В сочетании с «думающими» моделями (reasoning models), оптимизированными для многошаговых рассуждений (присутствуют на 26% хостов), система может автономно планировать сложные операции. Исследователи выявили как минимум 201 хост с «нецензурированными» конфигурациями, где намеренно удалены все защитные барьеры, хотя Бернадетт-Шапиро отмечает, что это лишь нижняя граница оценки.
Другими словами, это не просто чат-боты — это ИИ-системы, способные совершать действия, и половина из них не защищена даже паролем.
Что делать ведущим лабораториям?
Западным разработчикам ИИ, обеспокоенным сохранением влияния на траекторию развития технологий, Бернадетт-Шапиро рекомендует изменить подход к выпуску моделей.
— Ведущие лаборатории не могут контролировать развертывание, но они могут формировать риски, которые они выпускают в мир, — считает он.
Это включает «инвестиции в пост-релизный мониторинг того, как экосистема принимает модель и паттернов злоупотребления», вместо того чтобы относиться к релизам как к разовым научным публикациям.
Нынешняя модель управления предполагает централизованное развертывание при разрозненных поставщиках — но в реальности происходит ровно наоборот.
Когда небольшое количество линеек моделей доминирует среди того, что можно запустить на обычном железе, решения, принятые разработчиками «наверху», усиливаются повсюду, — пояснил Бернадетт-Шапиро. — Стратегии управления должны признать эту инверсию.
Но признание требует видимости. В настоящее время у большинства лабораторий, выпускающих открытые веса, нет систематического способа отслеживать, как используются их продукты, где они развернуты и сохраняется ли обучение безопасности после сжатия и дообучения.
Прогноз на 12–18 месяцев
Бернадетт-Шапиро ожидает, что этот слой открытой инфраструктуры «сохранится и профессионализируется», поскольку использование инструментов, ИИ-агентов и мультимодальность станут возможностями по умолчанию, а не исключениями. «Периферия» продолжит бурлить экспериментами энтузиастов, но «хребет» системы станет более стабильным, функциональным и будет обрабатывать более чувствительные данные.
Правоприменение останется неравномерным, поскольку домашние серверы и малые VPS (виртуальные серверы) не вписываются в существующие рамки контроля.
— Это не проблема неправильной настройки, — подчеркнул он. — Мы наблюдаем раннее формирование публичного, неуправляемого вычислительного субстрата ИИ. Здесь нет центрального рубильника, который можно выключить.
Геополитическое измерение добавляет срочности.
— Когда большая часть мировых неуправляемых вычислений ИИ зависит от моделей, выпущенных горсткой незападных лабораторий, традиционные предположения о влиянии, координации и реагировании после релиза становятся слабее, — сказал Бернадетт-Шапиро.
Для западных разработчиков и политиков вывод суров: Даже идеальное управление их собственными платформами будет иметь ограниченное влияние на реальную поверхность рисков, если доминирующие возможности живут в другом месте и распространяются через открытую децентрализованную инфраструктуру.
Экосистема ИИ с открытым исходным кодом глобализируется, но центр её тяжести решительно смещается на Восток. Не благодаря какой-то скоординированной стратегии, а благодаря практической экономике: кто готов публиковать то, что на самом деле нужно исследователям и операторам для локального запуска ИИ.
Те 175 000 открытых хостов, нанесенных на карту в этом исследовании, — лишь видимая поверхность фундаментальной перестройки, которую западные политики только начинают осознавать, не говоря уже о том, чтобы как-то на неё реагировать.
Примечания:
Модели с открытыми весами (open-weight models) vs. открытый исходный код (open-source). Это не одно и то же, хотя в статье и обиходной речи термины часто смешиваются. «Открытые веса» означают, что параметры обученной модели доступны для скачивания и локального запуска, но это не обязательно подразумевает доступ к обучающим данным, коду обучения или полной воспроизводимости. Meta Llama и Alibaba Qwen — именно модели с открытыми весами, а не полностью open-source в строгом смысле. Эта разница имеет существенное значение для вопросов безопасности и управления.
Квантизация (quantisation). Техника снижения точности числовых представлений в модели (например, с 16-битных чисел до 4-битных) для уменьшения требований к памяти и вычислительным ресурсам. Именно благодаря квантизации большие модели могут работать на обычных потребительских видеокартах, а не только на дорогостоящих серверных GPU. Китайские модели часто изначально оптимизированы для этого.
Ollama. Популярный инструмент с открытым кодом для локального запуска больших языковых моделей. Его простота (по сути, одна команда для загрузки и запуска модели) сделала его стандартом де-факто для индивидуальных пользователей и небольших организаций. Именно хосты Ollama составляют значительную часть тех 175 000, о которых идёт речь в исследовании.
RAG (Retrieval-Augmented Generation). Архитектурный паттерн, при котором модель ИИ подключена к базе данных или набору документов и может искать в них информацию для формирования ответов. В контексте статьи это означает, что открытые RAG-эндпоинты потенциально дают злоумышленникам доступ к внутренним документам организации через простые промпты.
Инверсия управления. Традиционная модель предполагала: много поставщиков моделей (разнообразие наверху) → мало точек развёртывания (централизованный контроль внизу). Реальность оказалась обратной: мало поставщиков (фактически Llama + Qwen2) → огромное множество точек развёртывания без контроля. Это принципиально меняет ландшафт рисков.
Вирджиния и AWS. Штат Вирджиния — крупнейший в мире хаб дата-центров. Там расположен регион us-east-1 Amazon Web Services, исторически первый и до сих пор крупнейший регион AWS. Значительная часть мировой облачной инфраструктуры физически находится именно там, поэтому высокая доля хостов из Вирджинии — не признак активности конкретных организаций, а отражение географии облачных вычислений.
*Meta признана экстремистской организацией и запрещена в РФ