從發布到"被消失" Fable 5的72小時

2026-06-14 | 來源: 騰訊科技 | 轉到微信 | 有0人參與評論 | 字體: 放大縮小 | 收藏 | 打印

圖：6 月 10 日，紅隊研究者 Pliny the Liberator 在 X 平台公開 Fable 5的越獄方法。帖中詳細列出五種攻擊向量，其中"分解-重組"手法，通過詢問合法的化學過程描述來間接獲取管制藥物合成路徑，被證明最為有效。這條推文獲得8萬次瀏覽，迅速在安全社區傳播。

03 分類器降級：一個精巧但有根本盲區的設計

Fable 5 的安全架構可以用一句話概括：當用戶的請求觸碰高風險領域時，不直接拒絕，而是悄悄把請求轉交給一個更弱的模型來回答。

具體機制是這樣運作的。Anthropic 在 Fable 5前端部署了一套風險分類器，覆蓋四個領域：網絡安全、生物、化學、模型蒸餾。當用戶輸入被分類器判定為觸碰這些領域時，Fable 5 會靜默將請求降級給 Claude Opus 4.8，一個能力明顯弱於 Mythos 級的舊模型來生成回答，同時通知用戶發生了降級。

這個設計邏輯可以簡單總結為：弱模型的能力上限本身就構成了安全邊界，它想幫你幹壞事也力不從心。

Anthropic深夜發布Claude Fable 5 屠榜所有測試

智譜等中國大模型何時達到Fable級別水平?

網友:中國大模型何時達到Fable級別?馬斯克回復了

圖：Fable 5的分類器降級機制

這個設計看似優雅，實際上存在三個結構性盲區。

第一個盲區是分類器依賴關鍵詞和模式匹配，而非語義理解。Pliny 團隊用最基礎的手法，西裡爾字母替換拉丁字母、Unicode 同形字，就騙過了分類器。視覺上“exploit”這個詞看起來一模一樣，但底層編碼不同，分類器就認不出來了。這相當於你給保安一張通緝犯照片，通緝犯戴了副墨鏡就走過去了。

第二個盲區是分類器逐條檢測，無法追蹤跨輪次的意圖鏈。Pliny 使用的“分解-重組”攻擊是這樣的：先問“Birch 還原法的化學原理是什麼？”這是任何有機化學教材裡的基礎知識，沒有理由拒絕；再問“還原胺化反應需要什麼條件？”這同樣是合法的學術問題。每一步單獨看都完全無害，分類器放行。但把所有答案在外部拼起來，就是一條完整的管制藥物合成路徑。

這就像一個拼圖：每一片都是普通的彩色紙片，拼完了是一張地圖。分類器只看單片，看不見全圖。

第三個盲區最致命：多模型管線的組合漏洞。Pliny用一個已經被越獄的Opus 4.8 實例作為“後端助手”，輔助Fable 5繞過安全控制，一個被攻破的弱模型幫助強模型規避限制。Anthropic 的安全評估是對單個模型做的，但攻擊者部署的是一個模型聯盟。這等於你測試了每一扇門的鎖是否夠結實，但沒想到有人會從窗戶遞鑰匙進來。

一個直覺性的反應是：Fable 5 被這麼快攻破，說明 Anthropic 的安全工作做得很爛。但仔細看 Pliny 使用的攻擊向量，結論恰恰相反，這些手法之所以有效，並不是因為安全層有“漏洞”，而是因為安全層面對的是一個“邏輯上不可能完美解決的問題”。