重新部署 Claude Fable 5

Redeploying Claude Fable 5

📅2026-07-01👤AnthropicAnthropic Blog
✍️翻译:DeepSeek

公告

Announcements

重新部署 Claude Fable 5

Redeploying Fable 5

2026 年 6 月 30 日

6 月 12 日(周五),美国政府对我们最新的模型 Claude Fable 5 和 Claude Mythos 5 实施了出口管制。这要求我们限制外国公民的访问权限,无论其身处美国境内还是境外。由于该命令立即生效,且我们无法实时可靠地核实用户国籍,因此我们暂停了所有用户对这两个模型的访问。

自今日(6 月 30 日)起,针对 Fable 5 和 Mythos 5 的出口管制已被解除。

Fable 5 将于明天(7 月 1 日,周三)起,面向全球用户在 Claude Platform、Claude.ai、Claude Code 和 Claude Cowork 上提供。对于 Pro、Max、Team 以及部分 Enterprise 计划¹的用户,在 7 月 7 日之前,Fable 5 将包含在每周使用限额的 50% 以内,之后将通过使用积分(usage credits)提供。我们将尽快在 AWS、Google Cloud 和 Microsoft Foundry 上重新启用访问权限。

根据美国政府 6 月 26 日的批准,我们还恢复了一组美国组织对 Mythos 5 的访问权限。我们正继续与政府协调,以扩大 Glasswing 项目中更广泛的国内和国际合作伙伴的访问权限。

在本文的其余部分,我们将从四个方面提供更多细节和更新:

  • 事件时间线,包括我们对安全防护措施的更新。我们将讨论导致出口管制指令的事件,以及我们如何通过新的安全防护措施来应对。
  • 我们关于网络安全防护的总体方法。我们将提供更多背景信息,说明我们如何使用安全分类器(safety classifiers)来检测模型潜在的、危险的网络安全用途。
  • 一个共享的行业框架。尽管我们已经达成了建设性的解决方案,但这些事件清楚地表明,行业需要一种一致的方法来评估和修复 AI 模型的潜在“越狱”(jailbreaks,即绕过模型安全防护的技术)²。一个用于判断特定越狱严重程度的共享标准,将有助于 AI 开发者在发现新问题时进行分类处理,以更高的安全性发布高能力模型,并向政府和行业合作伙伴一致地传达风险水平。我们已与 Amazon、Microsoft、Google 及其他 Glasswing 合作伙伴共同开始制定这样一个框架,下文将对其进行概述。
  • 更深层次的政府合作。我们还在加强与美国政府在新的发布前测试、信息共享和研究合作方面的协作水平。我们将在最后一节描述这种更深层次的合作。

时间线与安全防护更新

Timeline and safeguard updates

我们于 6 月 9 日(周二)发布了 Fable 5 和 Mythos 5。它们共享相同的基础模型,但 Fable 5 在发布时配备了强大的安全防护措施,使其在通用场景下更安全。而安全防护较少的 Mythos 5 仅向少数受信任的 Project Glasswing 合作伙伴发布,用于防御性网络安全工作。

6 月 12 日的出口管制指令是在政府获悉一份报告后发布的。该报告称,Amazon 的研究人员发现了一种绕过 Fable 5 安全防护的方法:通过特定提示(prompting),使其识别出多个软件漏洞。在一个案例中,该模型生成了演示如何利用相关漏洞的代码。在过去两周里,我们与政府及其他合作伙伴(包括 Amazon)密切合作,审查了这份报告和相关证据。

我们的测试证实,许多能力较弱的模型——包括 Claude Opus 4.8、GPT-5.5 和 Kimi K2.7——也能识别出报告中 Fable 5 所发现的相同漏洞。在演示如何利用单个漏洞方面,我们测试的每个模型(包括 Claude Haiku 4.5、Sonnet 4.6、Opus 4.6、Opus 4.7、Opus 4.8、GPT-5.4、GPT-5.5 和 Kimi K2.7)都能产生与 Fable 5 相同的演示。

重要的是,报告中描述的技术并未暴露任何独特的、Mythos 级别的网络能力。这种行为反映了 Fable 5 安全防护的一个边界案例——如下文所述,有些任务不太可能带来危险,但出于充分谨慎的考虑,仍被安全防护措施阻止。报告中描述的技术允许访问这样一种行为,但它仅涉及常规的防御性网络安全工作。

即便如此,我们迅速采取行动解决了报告中提到的绕过问题。在与政府密切合作下,我们训练了一个改进的安全分类器,用于定位并阻止报告中描述的行为。如果对 Fable 5 的请求被阻止,用户将收到通知,并且该请求将被转交给 Opus 4.8 处理。

新的分类器意味着,Amazon 报告中描述的特定技术在超过 99% 的情况下都会被阻止。在极少数情况下,模型可能会提供一些信息,但这些信息不足以帮助网络攻击者。如下文所述,模型的安全防护措施并非旨在阻止所有低风险的常规网络防御能力——仅阻止那些可能有害的能力。美国商务部人工智能标准与创新中心(CAISI)的研究人员已经测试了我们之前和新的安全防护措施,并一致认为它们非常强大。

新的分类器也带来了一个代价:在常规编码和调试任务中,误报良性请求的频率会增加。与我们的所有安全防护措施一样,我们将继续对其进行优化,以更好地区分真正的滥用行为和合法请求,减少误报。

我们关于网络安全防护的方法

Our approach to cybersecurity safeguards

Claude Mythos 5 在发现和利用软件漏洞方面比任何其他模型都更有效——甚至超过了除最熟练的人类安全专家之外的所有人。这些惊人的网络安全能力使其对希望在网络攻击中滥用它的恶意行为者具有独特的吸引力。

然而,Claude Fable 5 并不提供这种独特的攻击能力。这是因为我们在发布时为其配备了有史以来最强大的安全防护措施。在发布前的一个月里,我们从 Anthropic 内部各个团队抽调人员,使从事此问题研究的工程师和研究人员数量翻了一番。

Fable 5 在发布时配备了多种安全机制,每一种单独来看都无法提供完美的防御,但组合起来却使模型极难被滥用(这种方法被称为“纵深防御”)。一些防御措施涉及训练模型拒绝协助危险请求;另一些则涉及事后分析滥用模式。

一种特别重要的安全机制涉及分类器——较小的自动化 AI 系统,在交互过程中检测模型是否被要求执行潜在有害的网络安全任务(或产生潜在有害的输出)。当这种情况发生时,分类器会阻止模型响应请求。这些分类器的最终目标是防止模型参与独特的危险行为。

与所有安全机制一样,分类器也可能犯错。它们有时无法注意到潜在危险的内容,在某些情况下,它们可能被故意“越狱”:用户可以通过不寻常的方式提示模型来欺骗分类器,从而使模型产生本应被系统阻止的有害输出。

因此,我们有意将安全分类器设置为对一组我们知道可能良性的请求进行触发。这种“安全边际”(safety margin)方法意味着,一个请求必须看起来非常明确安全,才能避免触发分类器(见下图中 A 行)。用户会将安全边际体验为模型拒绝响应一些合理、无害的请求。

对于 Fable 5,我们将这个安全边际设置得比以往任何一次发布都要大得多(B 行),这意味着更多良性请求将被阻止。我们理解这类误报会让用户感到沮丧,但为了让模型的其他能力得以广泛应用,我们做出了这种权衡。

我们网络安全分类器的示意图。当向模型发出请求时,分类器会检测该请求是良性的(允许通过),还是潜在有害的(被阻止)。分类器会阻止模糊请求(那些明显与网络安全相关,但可能用于防御目的,如查找安全漏洞的请求)和有害请求(那些明显危险的请求,例如构建一系列软件漏洞利用的请求)。如 A 行所示,我们还包含一个“安全边际”,分类器将阻止那些可能良性但存在微小可能有害的请求。这增加了我们阻止所有有害请求的信心。对于 Fable 5(B 行),我们进一步扩大了安全边际,这意味着更多良性请求将被阻止——但真正有害的请求被遗漏的可能性更小。“Vulns” = 漏洞。

安全边际也有助于缓解越狱问题。许多越狱是狭窄的:它们只解锁了模型的一种非常具体的行为,仅此而已。在某些情况下,假设的用户可以以轻微的方式越狱模型,并侵入安全边际(有时是模糊的有害行为),但无法触及我们旨在阻止的核心有害行为(下图中 C 行)。我们认为,迄今为止报告的 Fable 5 越狱属于这种轻微类别。

更严重的越狱会解锁更多有害行为。狭窄的有害越狱(D 行)可以引发一些特定的有害行为。这些越狱通常属于低到中等严重程度,因为其狭窄性限制了攻击者。最令人担忧的类别是通用越狱(E 行),它会解锁一系列广泛的有害行为。

越狱如何与我们的安全分类器交互。在轻微越狱的情况下(C 行),分类器不会阻止请求,但该请求仍处于我们的安全边际内(因此极不可能有害)。在狭窄的有害越狱中(D 行),提示突破了分类器,并从模型中解锁了一种特定的有害行为。在通用越狱中(E 行),一个提示解锁了整类有害行为。

正如我们在发布 Fable 5 时所指出的,使任何 AI 模型完全稳健(即,不受越狱影响)可能是不可能的³。我们预计我们的模型会发现一些越狱,并且它们的严重程度会有所不同:会有许多轻微越狱,一些狭窄的有害越狱,尽管在撰写本文时尚未发现针对 Fable 5 的通用越狱,但专家安全研究人员仍在继续对其进行红队测试(red-teaming)。我们力求确保我们和我们的安全合作伙伴能够率先发现重大越狱,并在恶意行为者利用它们造成危害之前进行修复。

上述谨慎的方法意味着,绝大多数越狱将无法成功解锁危险行为。我们的分类器使得成功越狱的成本极高且需要付出巨大努力,即使如果越狱成功,我们的额外防御层也能提供进一步的缓解措施。随着我们对新型越狱技术的了解加深,我们将继续更新我们的分类器。

一个关于越狱的共识行业框架

A consensus industry framework for jailbreaks

目前,AI 行业对于如何用客观术语描述 AI 越狱的严重程度尚未达成共识。每当发现新的越狱技术时,这都会增加大量不确定性:开发者没有公认的标准来确定哪些发现需要最紧急处理,政府也没有公认的标准来决定何时采取行动⁴。

在未来几个月,随着更多具有强大网络安全(及其他)能力的模型被训练、评估和发布,这个问题将变得更加尖锐。一个评估 AI 越狱的通用标准将有助于我们和其他公司安全地发布新模型,并允许用户充分利用其先进能力。

因此,我们正在与 Amazon、Microsoft、Google 及其他 Glasswing 合作伙伴合作,起草一个评估 AI 越狱严重程度以及 AI 开发者应如何应对的共识框架。我们邀请其他行业合作伙伴和模型提供商加入我们的努力。

我们目前的提议是根据以下四个不同标准对特定越狱进行评分。前两个描述了越狱为攻击者提供了什么;后两个描述了越狱可能多快成为现实世界的问题:

  • 能力增益:越狱使用户的能力超越了现有工具多少?如果现有的广泛可用工具(包括其他较弱的 AI 模型)可以达到与越狱模型相同的能力,则此处的得分会较低;如果越狱解锁的模型能力能够显著加速即使是领域专家的速度,则得分会较高。
  • 能力增益的广度:相同的越狱技术适用于多少种不同的攻击任务?越狱仅允许模型追求狭窄目标的情况得分较低;相同的越狱技术适用于多个不同目标或技术的情况得分较高。
  • 武器化难易程度:将越狱转化为攻击需要多少人力?如果越狱涉及大量熟练的提示技巧和多次重试,则得分较低;如果越狱在单次提示或第一次或第二次尝试时就成功,则得分较高。
  • 可发现性:某人获取该技术的难易程度如何?如果需要专业知识,则得分较低;如果该技术已经广泛知晓并可在网上获取,则得分较高。

我们提议使用这个严重性框架来校准我们对新发现的越狱的响应。对于最严重的越狱类别(例如,一个越狱,其特点之一是正被用于对关键电网或银行系统造成毁灭性影响),我们将在确认严重性后立即开始部署初步缓解措施。我们还在组建一个团队,对关键的越狱提交渠道提供 7x24 小时监控。

任何对越狱进行评分的方法都不可能是完美的。尽管如此,能够通过一个通用框架来沟通特定发现的近似严重性,仍然具有价值。这是一项正在进行的工作;随着我们从更多合作伙伴那里收到反馈,我们预计该框架将随着时间的推移而演变。

我们预计很快将分享关于拟议框架的更多细节。与此同时,我们还在启动一个新的 HackerOne 项目,安全研究人员可以提交他们在 Fable 5(一旦可用)中发现的潜在网络越狱,供我们审查。

与美国政府在前沿 AI 安全方面合作

Partnering with the US government on frontier AI security

在过去十周里,Anthropic 与美国政府密切合作,共同制定了 6 月 2 日《促进先进人工智能创新与安全》行政令中所体现的方法。我们的合作涉及国家网络总监办公室、科技政策办公室、财政部、商务部(包括 CAISI)以及相关的国家安全机构。

我们致力于在近两年与美国政府合作伙伴在部署前测试与评估方面已有的合作基础上,继续推进这项工作。以下承诺既反映了我们已有的工作,也反映了我们在上述框架最终确定后,扩大政府合作规模的新提议:

  • 发布前的政府访问与评估。对于在与国家安全相关的领域显著推进能力前沿的模型,我们将向指定的政府合作伙伴提供对模型及其附带安全防护措施的扩展早期访问权限。这些合作伙伴随后可以在广泛发布前进行独立的能力评估并测试我们的防护栏。在这些测试期间,我们将指派 Anthropic 的技术人员与政府评估人员一起工作。
  • 关于安全防护的快速信息共享。当发现重大越狱或滥用模式时,我们将迅速调查、分类并通知相应的政府对口部门。我们将分享我们为此构建的新安全防护措施,以便其能够被独立测试。我们还将提前向政府合作伙伴提供我们的威胁情报报告,并参与根据 6 月 2 日行政令第 2(d) 条设立的跨机构网络安全漏洞信息交换中心。
  • 用于联合研究的专用资源。我们正在大幅扩大与政府合作伙伴在 AI 安全方面的联合工作。我们将组建专门的 Anthropic 团队,致力于共同的政府优先事项;提供大量的计算资源分配以支持政府测试和研究;并提供我们的安全和红队测试专业知识,以帮助推进 AI 评估的最新技术水平。
  • 一个共同的行业标准。我们将与政府和行业同行合作,为前沿模型提供商制定一个共享的、自愿的安全和评估标准。我们将贡献评估方法、工具和最佳实践,以便政府能够在整个领域应用。

我们希望这种合作,连同我们提议的共识行业框架,能够成为整个行业系统性规则的基础——甚至为有效协调 AI 风险与收益的全球治理提供一个初步模板。

这些规则应被纳入强有力的监管法规中,并平等地适用于所有前沿模型开发者。政府在 AI 发布中的参与需要一个持久、透明的流程,为网络防御者和其他人提供他们所需的确切性,以确保对强大模型的访问。

我们期待以上述方式深化与政府的合作。同时,我们也感谢用户在此次中断期间的耐心等待,并感谢与我们并肩努力,使 Fable 5 和 Mythos 5 重新可用的研究人员和行业合作伙伴。