| 廣告聯系 | 簡體版 | 手機版 | 微信 | 微博 | 搜索:
歡迎您 游客 | 登錄 | 免費注冊 | 忘記了密碼 | 社交賬號注冊或登錄

首頁

新聞資訊

論壇

溫哥華地產

大溫餐館點評

溫哥華汽車

溫哥華教育

黃頁/二手

旅游

從發布到"被消失" Fable 5的72小時


請用微信 掃一掃 掃描上面的二維碼,然後點擊頁面右上角的 ... 圖標,然後點擊 發送給朋友分享到朋友圈,謝謝!
6月9日發布,6月10日被越獄,6月12日被美國政府下達出口管制禁令。Claude Fable 5的公開生命周期只有 72 小時。


這是AI行業第一次出現模型因安全事故而觸發國家級管制行動的案例,而制造這個模型的 Anthropic,恰恰是以制定“AI 安全憲法”聞名的大模型公司。

01 Fable 5的72小時


2026年6月9日,Anthropic正式發布Claude Fable 5與Claude Mythos 5。兩者共享同一底層模型架構,它們都被稱為Mythos級,是Anthropic的最強模型。

唯一區別在於安全配置:Fable 5 面向所有用戶開放,內置風險分類器與安全護欄;Mythos 5 保留完整能力,僅對11家受信任機構開放。Anthropic CEO Dario Amodei將這個策略稱為“同一基礎模型、雙檔安全配置”,聲稱經過超1000小時的外部紅隊測試,未發現通用越獄方法。

這個說法維持了不到 24 小時。6 月 10 日,知名 AI 紅隊研究者 Pliny the Liberator在社交媒體發帖宣布攻破 Fable 5的安全層,並附上截圖:模型輸出了 x86 Linux 系統棧緩沖區溢出的完整利用教程,包括關閉 ASLR、編寫含strcpy 漏洞的 C 代碼、無保護編譯的全流程指導。同時泄露的還有 Fable 5 約 12 萬字符的完整系統提示詞,這相當於 Anthropic用來約束模型行為的全部內部規則被公開攤在了 GitHub 上。

48小時後的6月12日,美國政府以國家安全為由發布出口管制指令,要求暫停所有外國公民對 Fable 5 和 Mythos 5 的訪問,甚至無論該外國公民身處美國境內還是境外,包括Anthropic自己的外籍雇員。

6 月 13 日,Anthropic在官網發布聲明,稱已遵守指令暫停服務,但他們認為這是一個“誤解”,正在努力恢復訪問。

從發布到“被消失”,72 小時。



圖:Anthropic的官方聲明

02 Mythos,一個被關了兩個月的模型

Fable 5的故事要從兩個月前講起。2026 年4月7日,Anthropic 紅隊在官方博客發布了 Claude Mythos Preview 的安全評估報告。報告的核心發現讓整個安全社區震動:這個模型能自主發現零日漏洞,覆蓋所有主流操作系統和瀏覽器,並自動編寫完整的利用鏈,從掃描目標到寫 exploit 到實現系統控制,全流程無需人類指導。

最極端的案例是 Mythos 找到了一個存在 27 年的休眠漏洞,並提出了利用方案。Mozilla 的 Firefox 團隊在 4 月份借助 Mythos 的受控訪問修復了 271 個安全漏洞,這比此前數年的總和還多。重要的是,這些能力不是專門訓練出來的。

Anthropic的紅隊報告明確指出,網絡攻擊能力是通用推理和編碼能力的“湧現副產品”:模型的智力到了某個閾值,就自動具備了精英級滲透測試的水平。

Anthropic做了一個在當時被廣泛討論的決定:不向公眾發布 Mythos。取而代之的是一個叫 Project Glasswing的受控計劃,只允許 Google、Microsoft、AWS、Apple、Cisco、NVIDIA、Palo Alto Networks、CrowdStrike、JPMorgan Chase 等 11 家機構在嚴格監控下使用 Mythos 進行防御性漏洞修復。

Nature 在 5 月 26 日以標題《Too dangerous to release》刊發評論文章,追問一個根本性問題:當 AI 公司單方面判定某種能力“太危險不能公開”,公眾和政府如何監督這個判定本身是否成立?

兩個月後,Anthropic 給出的折中方案就是 Fable 5,用安全分類器把 Mythos 的能力“閹割”到可以公開的程度。





圖:6 月 10 日,紅隊研究者 Pliny the Liberator 在 X 平台公開 Fable 5的越獄方法。帖中詳細列出五種攻擊向量,其中"分解-重組"手法,通過詢問合法的化學過程描述來間接獲取管制藥物合成路徑,被證明最為有效。這條推文獲得8萬次瀏覽,迅速在安全社區傳播。

03 分類器降級:一個精巧但有根本盲區的設計

Fable 5 的安全架構可以用一句話概括:當用戶的請求觸碰高風險領域時,不直接拒絕,而是悄悄把請求轉交給一個更弱的模型來回答。

具體機制是這樣運作的。Anthropic 在 Fable 5前端部署了一套風險分類器,覆蓋四個領域:網絡安全、生物、化學、模型蒸餾。當用戶輸入被分類器判定為觸碰這些領域時,Fable 5 會靜默將請求降級給 Claude Opus 4.8,一個能力明顯弱於 Mythos 級的舊模型來生成回答,同時通知用戶發生了降級。

這個設計邏輯可以簡單總結為:弱模型的能力上限本身就構成了安全邊界,它想幫你幹壞事也力不從心。



圖:Fable 5的分類器降級機制

這個設計看似優雅,實際上存在三個結構性盲區。


第一個盲區是分類器依賴關鍵詞和模式匹配,而非語義理解。Pliny 團隊用最基礎的手法,西裡爾字母替換拉丁字母、Unicode 同形字,就騙過了分類器。視覺上“exploit”這個詞看起來一模一樣,但底層編碼不同,分類器就認不出來了。這相當於你給保安一張通緝犯照片,通緝犯戴了副墨鏡就走過去了。

第二個盲區是分類器逐條檢測,無法追蹤跨輪次的意圖鏈。Pliny 使用的“分解-重組”攻擊是這樣的:先問“Birch 還原法的化學原理是什麼?”這是任何有機化學教材裡的基礎知識,沒有理由拒絕;再問“還原胺化反應需要什麼條件?”這同樣是合法的學術問題。每一步單獨看都完全無害,分類器放行。但把所有答案在外部拼起來,就是一條完整的管制藥物合成路徑。

這就像一個拼圖:每一片都是普通的彩色紙片,拼完了是一張地圖。分類器只看單片,看不見全圖。

第三個盲區最致命:多模型管線的組合漏洞。Pliny用一個已經被越獄的Opus 4.8 實例作為“後端助手”,輔助Fable 5繞過安全控制,一個被攻破的弱模型幫助強模型規避限制。Anthropic 的安全評估是對單個模型做的,但攻擊者部署的是一個模型聯盟。這等於你測試了每一扇門的鎖是否夠結實,但沒想到有人會從窗戶遞鑰匙進來。

一個直覺性的反應是:Fable 5 被這麼快攻破,說明 Anthropic 的安全工作做得很爛。但仔細看 Pliny 使用的攻擊向量,結論恰恰相反,這些手法之所以有效,並不是因為安全層有“漏洞”,而是因為安全層面對的是一個“邏輯上不可能完美解決的問題”。



Unicode同形字替換和敘事框架偽裝,這兩種手段其實是低級別的繞過技巧,屬於“分類器工程沒做到位”的范疇。理論上 Anthropic 可以加強字符規范化、增加多語言檢測、訓練更魯棒的分類模型來堵住。這些是可修復的漏洞,像軟件補丁一樣打就行了。如果攻擊只停留在這個層面,Pliny 的越獄只能算一個“安全工程的 bug report”,嚴重但不致命。

真正致命的是第三種手法,分解-重組攻擊。這是安全理念本身的極限。當一個請求被拆成 20 個碎片,每個碎片都是合法的公開知識,任何分類器要攔截它就必須具備一種能力:從 20 個無害問題中推斷出提問者的最終意圖。

這要求安全系統對用戶的“心理狀態”進行建模,需要判斷“這個人問這 20 個問題的目的是什麼”。目前沒有任何已知的技術方案能可靠地做到這一點,而且過度推斷意圖會導致大量正常用戶被誤拒,比如一個化學系學生問 Birch 還原法的原理,和一個意圖合成毒品的人問同樣的問題,文字完全相同。

多agent協作攻擊更是把問題推向了另一個維度。Anthropic 評估的是“一個用戶對一個模型”的安全邊界,但 Pliny 部署的是“一個被攻破的模型輔助另一個模型”的協作體系。這是整個單模型安全評估范式的盲區。


你沒法要求一個模型防御來自另一個 AI 的策略性協助,它甚至無法知道對面是人還是另一個 AI。

所以這三種攻擊手法對應三個層級的問題:第一層是工程 bug,可以修改,不太嚴重;第二層是對齊理論的根本困境,現階段無解;第三層是多 agent 時代的新攻擊面,連問題的邊界都還沒被學術界定義清楚。

正是在這個背景下,後續可能發生的事才會真正令人不安。



04 Constitutional AI 的創造者,守不住自己的憲法

Anthropic 在 AI 行業的定位一直很特殊。這家公司由前 OpenAI 副總裁 Dario Amodei 和姐姐 Daniela Amodei 在 2021 年創立,創立的核心敘事就是“OpenAI 不夠重視安全,我們來做那個把安全放在第一位的公司”。

他們提出了 Constitutional AI(憲法式 AI),用一套明確的原則來約束模型行為,而非依賴人工標注員的主觀判斷。這套方法論是Anthropic品牌的基石,也是投資人願意給它超過 600 億美元估值的理由之一。

但從目前的狀況來看,制定憲法的人,管不住自己訓練出來的最強模型。1000 小時的紅隊測試、分類器降級架構、雙檔安全策略,幾乎行業能想到的安全措施 Anthropic 全用了,結果被一個公開身份的研究者在 24 小時內突破。

這對整個AI安全領域的震動很大:如果最謹慎的玩家用了最精巧的方案,依然防不住,那其他公司的安全承諾還有多少可信度?

全球前沿模型的能力正在逼近或已經達到Mythos類似的閾值。如果Mythos的網絡攻擊能力是“湧現”出來的,那麼所有達到這個智力水平的模型都面臨同樣的問題。

那麼Anthropic的失敗就不是個案,成了整個行業的預言。

05 AI模型的對齊缺陷不是一個可以“打補丁”的 bug

美國政府過去對 AI 的管制邏輯是管“基礎設施”。6 月 12 日的禁令標志著管制邏輯從硬件層跳到了能力層,而且劃線標准是國籍而非居住地——一個持 H-1B 簽證舊金山為 Anthropic 工作的工程師,也不能碰自己參與開發的模型。這個范圍之寬前所未有。

這條禁令的真正目的可能不是“防止攻擊發生”,而是確保 Mythos 級別的防御能力只掌握在自己手裡。11 家 Glasswing 參與機構全部是美國公司。



但 72 小時的反應速度也暴露了政策工具的粗糙:一紙禁令把所有外國公民的訪問全部切斷,包括合法的學術研究者、安全防御人員和 Anthropic 自己的工程師。圖靈研究所的 AI 安全中心(CETaS)在 4 月 14 日的分析中指出,我們正在進入一個“AI加速漏洞發現”的新時代,而監管框架還停留在上一個時代的假設裡。

另一種聲音來自Pliny。他在越獄帖中批評 Fable 5 的安全設計“制造了虛假的安全感,同時阻礙了正當安全研究者獲取攻防知識”。這個立場和網絡安全領域延續了二十年的“全面披露 vs 負責任披露”之爭如出一轍:公開漏洞究竟是倒逼修復還是武裝攻擊者?在傳統軟件安全裡這個問題至少有一個緩沖帶,發現漏洞後可以先私下通知廠商,給修復留時間。

但 AI 模型的對齊缺陷不是一個可以“打補丁”的 bug,它是能力和控制之間的結構性鴻溝。
您的點贊是對我們的鼓勵     無評論不新聞,發表一下您的意見吧
注:
  • 新聞來源於其它媒體,內容不代表本站立場!
  • 猜您喜歡:
    您可能也喜歡:
    我來說兩句:
    評論:
    安全校驗碼:
    請在此處輸入圖片中的數字
    The Captcha image
      大家正在圍觀
    創造歷史!加拿大戰勝南非晉級16強
    又漲價!大溫公交票價本周全面上漲
    加拿大急診室長時間等待真正原因
    劉國梁雙胞胎女兒: 老大被藤校爭
    加拿大卡車司機違規撞死華人媽媽
    氣憤 電動滑板在溫市行人道撞傷人
    泳池'肉體激戰'恐怖畫面曝!比基尼
    遺忘的彩票 加國女子中獎提前退休
    數千加國球迷湧洛杉磯 為球隊加油
    加拿大國慶日 各免費慶祝活動匯總
      同類熱門新聞
    數千加國球迷湧洛杉磯 為球隊加油
    太無恥!許家印副手法院"哭窮":我1
    一句話惹眾怒!加入美國國籍 在美
    白宮女助理對特朗普病態癡迷 親哥
    美國政治最驚心動魄的質變,發生在
    GPT-5.6終於來了,但是又被加了"白
    突發:又一直升機墜毀 機上14人全
    情侶求婚現場 被"它"成功搶鏡 網
    金發女助理被疑跟特朗普"日夜在一
    川普發與奧巴馬年輕對比照 氣場被
      隨時閱讀新聞

    加西網微信

    大溫優惠小紅書

    溫哥華地產中心微信

    Android: 加西網
    Terms & Conditions    Privacy Policy    Political ADs    Activities Agreement    Contact Us    Sitemap    

    加西網為北美中文網傳媒集團旗下網站

    頁面生成: 0.0321 秒 and 5 DB Queries in 0.0014 秒