從發布到"被消失" Fable 5的72小時

2026-06-14 | 來源: 騰訊科技 | 轉到微信 | 有0人參與評論 | 字體: 放大縮小 | 收藏 | 打印

Unicode同形字替換和敘事框架偽裝，這兩種手段其實是低級別的繞過技巧，屬於“分類器工程沒做到位”的范疇。理論上 Anthropic 可以加強字符規范化、增加多語言檢測、訓練更魯棒的分類模型來堵住。這些是可修復的漏洞，像軟件補丁一樣打就行了。如果攻擊只停留在這個層面，Pliny 的越獄只能算一個“安全工程的 bug report”，嚴重但不致命。

真正致命的是第三種手法，分解-重組攻擊。這是安全理念本身的極限。當一個請求被拆成 20 個碎片，每個碎片都是合法的公開知識，任何分類器要攔截它就必須具備一種能力：從 20 個無害問題中推斷出提問者的最終意圖。

這要求安全系統對用戶的“心理狀態”進行建模，需要判斷“這個人問這 20 個問題的目的是什麼”。目前沒有任何已知的技術方案能可靠地做到這一點，而且過度推斷意圖會導致大量正常用戶被誤拒，比如一個化學系學生問 Birch 還原法的原理，和一個意圖合成毒品的人問同樣的問題，文字完全相同。

多agent協作攻擊更是把問題推向了另一個維度。Anthropic 評估的是“一個用戶對一個模型”的安全邊界，但 Pliny 部署的是“一個被攻破的模型輔助另一個模型”的協作體系。這是整個單模型安全評估范式的盲區。

你沒法要求一個模型防御來自另一個 AI 的策略性協助，它甚至無法知道對面是人還是另一個 AI。

所以這三種攻擊手法對應三個層級的問題：第一層是工程 bug，可以修改，不太嚴重；第二層是對齊理論的根本困境，現階段無解；第三層是多 agent 時代的新攻擊面，連問題的邊界都還沒被學術界定義清楚。

正是在這個背景下，後續可能發生的事才會真正令人不安。

04 Constitutional AI 的創造者，守不住自己的憲法

Anthropic深夜發布Claude Fable 5 屠榜所有測試

網友:中國大模型何時達到Fable級別?馬斯克回復了

智譜等中國大模型何時達到Fable級別水平?

Anthropic 在 AI 行業的定位一直很特殊。這家公司由前 OpenAI 副總裁 Dario Amodei 和姐姐 Daniela Amodei 在 2021 年創立，創立的核心敘事就是“OpenAI 不夠重視安全，我們來做那個把安全放在第一位的公司”。

他們提出了 Constitutional AI（憲法式 AI），用一套明確的原則來約束模型行為，而非依賴人工標注員的主觀判斷。這套方法論是Anthropic品牌的基石，也是投資人願意給它超過 600 億美元估值的理由之一。

但從目前的狀況來看，制定憲法的人，管不住自己訓練出來的最強模型。1000 小時的紅隊測試、分類器降級架構、雙檔安全策略，幾乎行業能想到的安全措施 Anthropic 全用了，結果被一個公開身份的研究者在 24 小時內突破。

這對整個AI安全領域的震動很大：如果最謹慎的玩家用了最精巧的方案，依然防不住，那其他公司的安全承諾還有多少可信度？

全球前沿模型的能力正在逼近或已經達到Mythos類似的閾值。如果Mythos的網絡攻擊能力是“湧現”出來的，那麼所有達到這個智力水平的模型都面臨同樣的問題。

那麼Anthropic的失敗就不是個案，成了整個行業的預言。

05 AI模型的對齊缺陷不是一個可以“打補丁”的 bug

美國政府過去對 AI 的管制邏輯是管“基礎設施”。6 月 12 日的禁令標志著管制邏輯從硬件層跳到了能力層，而且劃線標准是國籍而非居住地——一個持 H-1B 簽證在舊金山為 Anthropic 工作的工程師，也不能碰自己參與開發的模型。這個范圍之寬前所未有。

這條禁令的真正目的可能不是“防止攻擊發生”，而是確保 Mythos 級別的防御能力只掌握在自己手裡。11 家 Glasswing 參與機構全部是美國公司。