导语:独立开发者David Ondrej近日在X平台发布一款名为SuperGemma 26B的开源模型——这是谷歌Gemma 4 26B的完全无审查版本,号称”零安全护栏”(zero guardrails),可本地运行,任何问题都能回答,不再有任何拒绝行为。该推文发布后迅速获得6.1万次浏览,引发安全社区激烈讨论。
一、事件概述
2026年7月12日,开发者David Ondrej(@DavidOndrej1)在X平台发布一条关于SuperGemma 26B的推文,声称:”this AI model has zero guardrails. SuperGemma 26B, fully uncensored, running locally on my machine.” 该推文在数小时内突破6.1万浏览量,评论区和转发区形成两极分化——有人欢呼”AI自由终于到来”,也有人担忧”这是网络安全的灾难”。
David Ondrej在推文中附上了完整的本地部署教程,展示了他如何在这台机器上运行这个完全没有任何内容过滤的AI模型。整个过程不需要云端API,不经过任何第三方审核,数据完全留在本地。
SuperGemma 26B并非横空出世。它的底层架构来自谷歌2026年发布的Gemma 4 26B,这是一款基于稀疏混合专家(MoE)设计的大语言模型,总参数量260亿,每次推理只激活约40亿参数,因此即使在消费级GPU上也能跑起来。而SuperGemma的本质,是在这个基础上做了”消融”(abliteration)处理——把谷歌内置的安全对齐机制全部移除。
二、技术背景:Gemma 4 26B的MoE架构
要理解SuperGemma 26B,首先得了解它基于的Gemma 4 26B是什么。
Gemma 4 26B是谷歌深度学习团队(Google DeepMind)发布的新一代开源大语言模型,发布于2026年中期。它采用了稀疏混合专家(Mixture-of-Experts,MoE)架构,总参数量为260亿,但由于稀疏激活设计,每次推理过程中实际参与计算的参数仅约40亿。这意味着:
- 硬件门槛大幅降低:一块拥有16GB显存的中端GPU就能运行该模型
- 推理速度更快:每次只需激活5分之1的参数,响应延迟显著低于同等规模Dense模型
- 上下文窗口达256K tokens:可处理超长文档、代码库乃至整本书籍
该模型还引入了多 token 预测(Multi-Token Prediction,MTP)技术,在使用时能同时预测多个后续token,使推理速度比传统自回归方式提升约35%。这些技术特性让Gemma 4 26B成为目前开源社区最受欢迎的基座模型之一。
然而,谷歌在发布时为Gemma 4加入了严格的安全对齐训练(Safety Alignment),模型会对涉及暴力、仇恨言论、非法活动、敏感政治话题等请求主动拒绝回答——这就是所谓的”护栏”(guardrails)。这些护栏通过RLHF(基于人类反馈的强化学习)实现,训练模型在检测到”有害”提示时触发拒绝行为。
三、”消融”:如何移除AI的安全护栏
SuperGemma 26B的核心工作原理,是通过”消融”(Abliteration)技术移除Gemma 4的安全对齐。
“消融”这个词在AI安全研究圈子里由来已久。2024年,挪威安全研究员Lars Weymann首次系统性地提出了针对RLHF对齐机制的”消融”方法:通过对模型权重进行定向修改,破坏安全训练的”神经回路”,使模型不再学会”拒绝”,而是直接回答任何被问到的问题。
具体来说,SuperGemma 26B基于的基座模型是huihui-ai/Huihui-gemma-4-26B-A4B-it-abliterated,这是一个已经完成安全移除的Gemma 4 26B版本。开发者PrithivMLmods在这个基座上做了进一步优化,包括:
- 重新分片(Re-sharding):优化模型权重的分片结构,提升下载可靠性和推理效率
- Transformers兼容升级:针对最新版Transformers库做了适配,确保与主流推理框架兼容
- 推理稳定性改进:改善了模型在各类硬件环境下的加载一致性
该版本最终以prithivMLmods/gemma-4-26B-A4B-it-Uncensored-MAX的名称托管在Hugging Face上,标注为”研究学习用途”,但其实际能力已无任何内容限制。
四、安全隐患:零护栏意味着什么
SuperGemma 26B的发布之所以引发热议,根本原因在于”零护栏”这三个字。
对攻击者而言,这是一个唾手可得的武器库。传统的AI安全限制——比如模型拒绝提供攻击代码、拒绝生成钓鱼邮件模板、拒绝回答如何制作危险物质——在SuperGemma 26B面前全部失效。攻击者可以在完全离线的本地环境中,让模型生成任何类型的有害内容,不经过任何外部审核,不留任何云端日志。
对社会而言,零护栏的AI模型意味着潜在危害的门槛被大幅降低。以往需要深厚技术背景才能绕过AI安全限制的人,现在只需下载一个开源模型,在本地运行,就能获得一个”有问必答”的服务。这对网络钓鱼、社会工程学攻击、恶意软件开发的民主化都是一个危险的催化剂。
对安全社区而言,SuperGemma 26B的发布也敲响了一记警钟:开源模型的”安全对齐”是否真的安全?仅仅通过权重修改就能完全移除所有护栏,这意味着任何具备基础AI知识的人都能对模型进行”消融”处理。安全社区需要重新思考:在开源大模型时代,内容安全策略是否需要从根本上重新设计?
五、本地部署:任何人都能运行
SuperGemma 26B的另一个特点是”完全本地运行”。
用户可以在自己的GPU机器上通过Ollama、llama.cpp或Transformers库直接加载模型,全程不需要联网,不需要调用任何云端API,数据完全留存在本地。这意味着:
- 没有云端日志记录
- 没有对话内容被收集
- 没有任何外部审计机制
David Ondrej在推文中演示的部署流程极为简单:下载模型权重 → 配置本地推理环境 → 启动服务。全程不需要任何特殊硬件,一块消费级GPU即可支撑中等并发。
这种”全本地、无审计”的特性,正是SuperGemma 26B与常规AI助手最大的区别——它本质上是一个”永不拒绝的本地AI”,而不是一个”有道德约束的云端服务”。
下载地址
- 完全体版(推荐):prithivMLmods/gemma-4-26B-A4B-it-Uncensored-MAX(Hugging Face,优化分片,兼容新版Transformers)
- 基础消融版:huihui-ai/Huihui-gemma-4-26B-A4B-it-abliterated(Hugging Face,原始消融版本)
- Ollama快速运行:
ollama run gemma4:26b(一行命令直接加载) - 原版Gemma 4 26B:google/gemma-4-26B-A4B-it(Hugging Face,带完整安全护栏)
六、社区反应:欢呼与担忧并存
SuperGemma 26B的发布在社交媒体和技术社区引发了激烈争论。
支持者认为:
- 开发者有权完全控制自己运行的AI系统
- 安全护栏阻碍了某些合法的研究和教育用途
- 开源模型的本质就是开放,不应被厂商的安全政策绑架
- 本地运行的AI天然不存在数据泄露给第三方的风险
反对者则指出:
- 零护栏的模型可被恶意用于生成虚假信息、钓鱼内容和攻击代码
- “研究用途”的免责声明形同虚设,无法阻止实际滥用
- 本地运行 + 零审计的组合,使得任何恶意行为都无法被追踪
- 降低有害内容的生成门槛,会加剧网络空间的安全风险
值得注意的是,这并非开源AI社区第一次面临此类争议。此前,Meta的LLaMA系列、Qwen系列都曾出现过被”消融”的无审查版本,每次发布都会引发类似的争论。但SuperGemma 26B的特殊之处在于:它是目前参数量最大、基于最新Gemma 4架构、且完全针对”零护栏”特性优化的版本之一。
七、总结
SuperGemma 26B的发布,是开源大模型社区在”AI自由”与”AI安全”之间又一次激烈的碰撞。
从技术角度看,它展示了现代大模型安全对齐的脆弱性——通过简单的权重修改,任何人都能让一个原本有道德约束的AI变成一个”有问必答”的工具。这对整个行业的安全策略提出了新的挑战:如何在保证模型开放性的同时,防止其被恶意使用?
从攻击者视角看,SuperGemma 26B降低了某些攻击场景的门槛,尤其是在社会工程学钓鱼、恶意内容生成等领域。但同样需要强调的是,安全研究的价值在于防御,而非攻击——理解这类模型的原理,才能更好地设计防范措施。
版权声明:本文由华盟网原创发布,保留所有权利。配图由华盟网授权使用。














暂无评论内容