從發布到"被消失" Fable 5的72小時

2026-06-14 | 來源: 騰訊科技 | 轉到微信 | 有0人參與評論 | 字體: 放大縮小 | 收藏 | 打印

6月9日發布，6月10日被越獄，6月12日被美國政府下達出口管制禁令。Claude Fable 5的公開生命周期只有 72 小時。

這是AI行業第一次出現模型因安全事故而觸發國家級管制行動的案例，而制造這個模型的 Anthropic，恰恰是以制定“AI 安全憲法”聞名的大模型公司。

01 Fable 5的72小時

2026年6月9日，Anthropic正式發布Claude Fable 5與Claude Mythos 5。兩者共享同一底層模型架構，它們都被稱為Mythos級，是Anthropic的最強模型。

唯一區別在於安全配置：Fable 5 面向所有用戶開放，內置風險分類器與安全護欄；Mythos 5 保留完整能力，僅對11家受信任機構開放。Anthropic CEO Dario Amodei將這個策略稱為“同一基礎模型、雙檔安全配置”，聲稱經過超1000小時的外部紅隊測試，未發現通用越獄方法。

這個說法維持了不到 24 小時。6 月 10 日，知名 AI 紅隊研究者 Pliny the Liberator在社交媒體發帖宣布攻破 Fable 5的安全層，並附上截圖：模型輸出了 x86 Linux 系統棧緩沖區溢出的完整利用教程，包括關閉 ASLR、編寫含strcpy 漏洞的 C 代碼、無保護編譯的全流程指導。同時泄露的還有 Fable 5 約 12 萬字符的完整系統提示詞，這相當於 Anthropic用來約束模型行為的全部內部規則被公開攤在了 GitHub 上。

48小時後的6月12日，美國政府以國家安全為由發布出口管制指令，要求暫停所有外國公民對 Fable 5 和 Mythos 5 的訪問，甚至無論該外國公民身處美國境內還是境外，包括Anthropic自己的外籍雇員。

6 月 13 日，Anthropic在官網發布聲明，稱已遵守指令暫停服務，但他們認為這是一個“誤解”，正在努力恢復訪問。

從發布到“被消失”，72 小時。

圖：Anthropic的官方聲明

02 Mythos，一個被關了兩個月的模型

Fable 5的故事要從兩個月前講起。2026 年4月7日，Anthropic 紅隊在官方博客發布了 Claude Mythos Preview 的安全評估報告。報告的核心發現讓整個安全社區震動：這個模型能自主發現零日漏洞，覆蓋所有主流操作系統和瀏覽器，並自動編寫完整的利用鏈，從掃描目標到寫 exploit 到實現系統控制，全流程無需人類指導。

最極端的案例是 Mythos 找到了一個存在 27 年的休眠漏洞，並提出了利用方案。Mozilla 的 Firefox 團隊在 4 月份借助 Mythos 的受控訪問修復了 271 個安全漏洞，這比此前數年的總和還多。重要的是，這些能力不是專門訓練出來的。

Anthropic的紅隊報告明確指出，網絡攻擊能力是通用推理和編碼能力的“湧現副產品”：模型的智力到了某個閾值，就自動具備了精英級滲透測試的水平。

Anthropic做了一個在當時被廣泛討論的決定：不向公眾發布 Mythos。取而代之的是一個叫 Project Glasswing的受控計劃，只允許 Google、Microsoft、AWS、Apple、Cisco、NVIDIA、Palo Alto Networks、CrowdStrike、JPMorgan Chase 等 11 家機構在嚴格監控下使用 Mythos 進行防御性漏洞修復。

Nature 在 5 月 26 日以標題《Too dangerous to release》刊發評論文章，追問一個根本性問題：當 AI 公司單方面判定某種能力“太危險不能公開”，公眾和政府如何監督這個判定本身是否成立？

兩個月後，Anthropic 給出的折中方案就是 Fable 5，用安全分類器把 Mythos 的能力“閹割”到可以公開的程度。

圖：6 月 10 日，紅隊研究者 Pliny the Liberator 在 X 平台公開 Fable 5的越獄方法。帖中詳細列出五種攻擊向量，其中"分解-重組"手法，通過詢問合法的化學過程描述來間接獲取管制藥物合成路徑，被證明最為有效。這條推文獲得8萬次瀏覽，迅速在安全社區傳播。

03 分類器降級：一個精巧但有根本盲區的設計

Fable 5 的安全架構可以用一句話概括：當用戶的請求觸碰高風險領域時，不直接拒絕，而是悄悄把請求轉交給一個更弱的模型來回答。

具體機制是這樣運作的。Anthropic 在 Fable 5前端部署了一套風險分類器，覆蓋四個領域：網絡安全、生物、化學、模型蒸餾。當用戶輸入被分類器判定為觸碰這些領域時，Fable 5 會靜默將請求降級給 Claude Opus 4.8，一個能力明顯弱於 Mythos 級的舊模型來生成回答，同時通知用戶發生了降級。

這個設計邏輯可以簡單總結為：弱模型的能力上限本身就構成了安全邊界，它想幫你幹壞事也力不從心。

圖：Fable 5的分類器降級機制

這個設計看似優雅，實際上存在三個結構性盲區。

Anthropic深夜發布Claude Fable 5 屠榜所有測試

智譜等中國大模型何時達到Fable級別水平?

網友:中國大模型何時達到Fable級別?馬斯克回復了

第一個盲區是分類器依賴關鍵詞和模式匹配，而非語義理解。Pliny 團隊用最基礎的手法，西裡爾字母替換拉丁字母、Unicode 同形字，就騙過了分類器。視覺上“exploit”這個詞看起來一模一樣，但底層編碼不同，分類器就認不出來了。這相當於你給保安一張通緝犯照片，通緝犯戴了副墨鏡就走過去了。

第二個盲區是分類器逐條檢測，無法追蹤跨輪次的意圖鏈。Pliny 使用的“分解-重組”攻擊是這樣的：先問“Birch 還原法的化學原理是什麼？”這是任何有機化學教材裡的基礎知識，沒有理由拒絕；再問“還原胺化反應需要什麼條件？”這同樣是合法的學術問題。每一步單獨看都完全無害，分類器放行。但把所有答案在外部拼起來，就是一條完整的管制藥物合成路徑。

這就像一個拼圖：每一片都是普通的彩色紙片，拼完了是一張地圖。分類器只看單片，看不見全圖。

第三個盲區最致命：多模型管線的組合漏洞。Pliny用一個已經被越獄的Opus 4.8 實例作為“後端助手”，輔助Fable 5繞過安全控制，一個被攻破的弱模型幫助強模型規避限制。Anthropic 的安全評估是對單個模型做的，但攻擊者部署的是一個模型聯盟。這等於你測試了每一扇門的鎖是否夠結實，但沒想到有人會從窗戶遞鑰匙進來。

一個直覺性的反應是：Fable 5 被這麼快攻破，說明 Anthropic 的安全工作做得很爛。但仔細看 Pliny 使用的攻擊向量，結論恰恰相反，這些手法之所以有效，並不是因為安全層有“漏洞”，而是因為安全層面對的是一個“邏輯上不可能完美解決的問題”。

Unicode同形字替換和敘事框架偽裝，這兩種手段其實是低級別的繞過技巧，屬於“分類器工程沒做到位”的范疇。理論上 Anthropic 可以加強字符規范化、增加多語言檢測、訓練更魯棒的分類模型來堵住。這些是可修復的漏洞，像軟件補丁一樣打就行了。如果攻擊只停留在這個層面，Pliny 的越獄只能算一個“安全工程的 bug report”，嚴重但不致命。

真正致命的是第三種手法，分解-重組攻擊。這是安全理念本身的極限。當一個請求被拆成 20 個碎片，每個碎片都是合法的公開知識，任何分類器要攔截它就必須具備一種能力：從 20 個無害問題中推斷出提問者的最終意圖。

這要求安全系統對用戶的“心理狀態”進行建模，需要判斷“這個人問這 20 個問題的目的是什麼”。目前沒有任何已知的技術方案能可靠地做到這一點，而且過度推斷意圖會導致大量正常用戶被誤拒，比如一個化學系學生問 Birch 還原法的原理，和一個意圖合成毒品的人問同樣的問題，文字完全相同。

多agent協作攻擊更是把問題推向了另一個維度。Anthropic 評估的是“一個用戶對一個模型”的安全邊界，但 Pliny 部署的是“一個被攻破的模型輔助另一個模型”的協作體系。這是整個單模型安全評估范式的盲區。

你沒法要求一個模型防御來自另一個 AI 的策略性協助，它甚至無法知道對面是人還是另一個 AI。

所以這三種攻擊手法對應三個層級的問題：第一層是工程 bug，可以修改，不太嚴重；第二層是對齊理論的根本困境，現階段無解；第三層是多 agent 時代的新攻擊面，連問題的邊界都還沒被學術界定義清楚。

正是在這個背景下，後續可能發生的事才會真正令人不安。

04 Constitutional AI 的創造者，守不住自己的憲法

Anthropic 在 AI 行業的定位一直很特殊。這家公司由前 OpenAI 副總裁 Dario Amodei 和姐姐 Daniela Amodei 在 2021 年創立，創立的核心敘事就是“OpenAI 不夠重視安全，我們來做那個把安全放在第一位的公司”。

他們提出了 Constitutional AI（憲法式 AI），用一套明確的原則來約束模型行為，而非依賴人工標注員的主觀判斷。這套方法論是Anthropic品牌的基石，也是投資人願意給它超過 600 億美元估值的理由之一。

但從目前的狀況來看，制定憲法的人，管不住自己訓練出來的最強模型。1000 小時的紅隊測試、分類器降級架構、雙檔安全策略，幾乎行業能想到的安全措施 Anthropic 全用了，結果被一個公開身份的研究者在 24 小時內突破。

這對整個AI安全領域的震動很大：如果最謹慎的玩家用了最精巧的方案，依然防不住，那其他公司的安全承諾還有多少可信度？

全球前沿模型的能力正在逼近或已經達到Mythos類似的閾值。如果Mythos的網絡攻擊能力是“湧現”出來的，那麼所有達到這個智力水平的模型都面臨同樣的問題。

那麼Anthropic的失敗就不是個案，成了整個行業的預言。

05 AI模型的對齊缺陷不是一個可以“打補丁”的 bug

美國政府過去對 AI 的管制邏輯是管“基礎設施”。6 月 12 日的禁令標志著管制邏輯從硬件層跳到了能力層，而且劃線標准是國籍而非居住地——一個持 H-1B 簽證在舊金山為 Anthropic 工作的工程師，也不能碰自己參與開發的模型。這個范圍之寬前所未有。

這條禁令的真正目的可能不是“防止攻擊發生”，而是確保 Mythos 級別的防御能力只掌握在自己手裡。11 家 Glasswing 參與機構全部是美國公司。

但 72 小時的反應速度也暴露了政策工具的粗糙：一紙禁令把所有外國公民的訪問全部切斷，包括合法的學術研究者、安全防御人員和 Anthropic 自己的工程師。圖靈研究所的 AI 安全中心（CETaS）在 4 月 14 日的分析中指出，我們正在進入一個“AI加速漏洞發現”的新時代，而監管框架還停留在上一個時代的假設裡。

另一種聲音來自Pliny。他在越獄帖中批評 Fable 5 的安全設計“制造了虛假的安全感，同時阻礙了正當安全研究者獲取攻防知識”。這個立場和網絡安全領域延續了二十年的“全面披露 vs 負責任披露”之爭如出一轍：公開漏洞究竟是倒逼修復還是武裝攻擊者？在傳統軟件安全裡這個問題至少有一個緩沖帶，發現漏洞後可以先私下通知廠商，給修復留時間。

但 AI 模型的對齊缺陷不是一個可以“打補丁”的 bug，它是能力和控制之間的結構性鴻溝。