更新:Claude Fable 5 和 Mythos 5 已重新部署
2026年7月1日
Claude Fable 5 和 Mythos 5 的访问权限现已恢复。
6月12日(周五),美国政府对我们最新的模型 Claude Fable 5 和 Claude Mythos 5 实施了出口管制。这要求我们限制外国国民的访问权限,无论其在美国境内还是境外。由于该命令立即生效,且我们无法实时可靠地验证国籍,我们暂停了所有用户对这两款模型的访问。
截至今天(6月30日),针对 Fable 5 和 Mythos 5 的出口管制已解除。
Fable 5 将于明天(7月1日,周三)在 Claude Platform、Claude.ai、Claude Code 和 Claude Cowork 上向全球用户开放。对于 Pro、Max、Team 和部分 Enterprise 计划,7月7日前 Fable 5 将包含在每周使用限额的最多 50% 中,之后将通过使用额度提供。我们将尽快在 AWS、Google Cloud 和 Microsoft Foundry 上重新启用访问权限。
我们也已在6月26日获得美国政府批准后,为一组美国组织恢复了 Mythos 5 的访问权限。我们继续与政府协调,以扩大对 Glasswing 计划中更广泛的国内和国际合作伙伴的访问。
在本文的剩余部分,我们将在四个方面提供更多细节和更新:
- 事件时间线,包括我们对安全措施的更新
- 我们的安全措施总体方法
- 共享的行业框架
- 更深入的政府合作
时间线和安全措施更新
我们于6月9日(周二)发布了 Fable 5 和 Mythos 5。它们共享相同的底层模型,但 Fable 5 发布时配备了强大的安全措施,使其更适合通用使用。Mythos 5 的安全措施较少,仅发布给少数受信任的 Project Glasswing 合作伙伴用于防御性网络安全。
6月12日的出口管制指令是在政府获悉亚马逊研究人员发现了一种绕过 Fable 5 安全措施的方法之后发布的:通过提示使其识别出一些软件漏洞。在一个案例中,模型生成了演示如何利用相关漏洞的代码。在过去两周中,我们与政府和其他合作伙伴(包括亚马逊)密切合作,审查了报告和证据。
我们的测试证实,许多能力较弱的模型——包括 Claude Opus 4.8、GPT-5.5 和 Kimi K2.7——都能识别与报告中 Fable 5 相同的漏洞。当涉及到演示如何利用单个漏洞时,我们测试的每个模型都能产生与 Fable 5 相同的演示(包括 Claude Haiku 4.5、Sonnet 4.6、Opus 4.6、Opus 4.7、Opus 4.8、GPT-5.4、GPT-5.5 和 Kimi K2.7)。
重要的是,报告的技术并未暴露任何独特的 Mythos 级网络能力。该行为反映了 Fable 5 安全措施的一个边界案例——正如我们下面解释的,有些任务不太可能是危险的,但出于谨慎仍然被安全措施阻止。报告的技术允许访问此类行为,但它仅涉及常规的防御性网络安全工作。
即便如此,我们迅速采取行动解决了报告的绕过问题。与政府密切合作,我们训练了一个改进的安全分类器,针对并阻止报告中描述的行为。如果对 Fable 5 的请求被阻止,用户将收到通知,该请求将被发送到 Opus 4.8。
新的分类器意味着亚马逊报告中描述的特定技术在超过99%的情况下被阻止。在极少数情况下,模型可能会提供不足以帮助网络攻击者的信息。如下所述,模型的安全措施预计不会阻止所有低风险的常规网络防御能力——只会阻止那些潜在有害的能力。美国商务部人工智能标准与创新中心(CAISI)的研究人员测试了我们之前和新的安全措施,并同意它们异常强大。
新的分类器也带来了在常规编码和调试任务中更频繁标记良性请求的代价。与我们所有的安全措施一样,我们将继续改进这一点,以更好地区分真正的滥用与合法请求,并减少误报。
我们的网络安全安全措施方法
Claude Mythos 5 可以比任何其他模型(以及除最熟练的人类安全专家之外的所有人)更有效地发现和利用软件漏洞。这些惊人的网络安全能力使其对希望在网络攻击中滥用它的恶意行为者具有独特的吸引力。
然而,Claude Fable 5 不提供任何此类独特的攻击能力。这是因为我们在发布它时应用了我们有史以来最强的安全措施。在发布前的一个月里,我们从 Anthropic 的各个团队调派人员,将研究人员和工程师的数量增加了一倍来解决这个问题。
Fable 5 发布时配备了多种安全机制,每种机制单独提供的防御并不完美,但结合起来使模型很难被滥用(这种方法被称为"纵深防御")。一些防御措施包括训练模型拒绝协助危险请求;其他措施包括追溯分析滥用模式。
一个特别重要的安全机制涉及分类器——更小的自动化 AI 系统,在交互过程中检测模型是否被要求执行潜在有害的网络安全任务(或产生潜在有害的输出)。当发生这种情况时,分类器会阻止模型响应该请求。这些分类器的最终目标是防止模型从事独特危险的行为。
与所有安全机制一样,分类器可能会出错。它们有时无法注意到潜在危险的内容,在某些情况下可能会被故意"越狱":用户可以以不寻常的方式提示模型来欺骗分类器,并让模型产生系统本应阻止的有害输出。
因此,我们故意将安全分类器设置为在我们知道可能是良性的一组请求上触发。这种"安全边际"方法意味着请求必须看起来非常明显安全才能避免触发分类器。用户将安全边际体验为模型拒绝响应某些合理的、无害的请求。
对于 Fable 5,我们使这个安全边际比以往任何时候都大,这意味着更多的良性请求会被阻止。我们理解这些类型的误报会让用户感到沮丧,但为了使模型的其他能力广泛可用,我们做出了这种权衡。
安全边际还有助于减轻越狱的影响。许多越狱是狭窄的:它们解除了模型的特定行为,但仅此而已。在某些情况下,假设用户可以以轻微的方式越狱模型并侵入安全边际(有时是模糊的有害行为),但不会触及我们旨在阻止的核心有害行为。我们的观点是,到目前为止报告的 Fable 5 越狱属于这个次要类别。
更严重的越狱会解除更多有害行为。狭窄的有害越狱可以引发一些特定的有害行为。这些越狱通常具有低到中等的严重性,因为狭窄性限制了攻击者。最令人担忧的类别是通用越狱,它解除了广泛的有害行为。
正如我们在发布 Fable 5 时所指出的,可能不可能使任何 AI 模型完全健壮(即不受越狱影响)。我们预计会为我们的模型发现一些越狱,并且它们的严重程度会有所不同:会有许多轻微的越狱,一些狭窄的有害越狱,尽管在撰写本文时尚未发现 Fable 5 的通用越狱,但专业安全研究人员仍在对其进行红队测试。我们力求确保我们和我们的安全合作伙伴将是第一个发现重大越狱并在恶意行为者可以利用它们造成伤害之前修复它们的人。
上面概述的谨慎方法意味着绝大多数越狱不会成功解除危险行为。我们的分类器使成功的越狱非常昂贵且需要大量努力才能产生,即使越狱成功,我们的额外防御层也提供了额外的缓解。随着我们了解更多关于新型越狱技术的信息,我们将继续更新我们的分类器。
越狱的共识行业框架
目前,AI 行业对如何客观描述 AI 越狱的严重程度没有共识。每当发现新的越狱技术时,这都会增加大量不确定性:开发人员没有商定的标准来确定最紧迫关注哪些发现,政府也没有商定的标准来确定何时采取行动。
随着更多具有强大网络安全(和其他)能力的模型被训练、评估和发布,这个问题在未来几个月会变得更加严重。评估 AI 越狱的通用标准将有助于我们和其他公司安全地发布新模型,并允许我们的用户充分利用其先进功能。
因此,我们正与亚马逊、微软、谷歌和其他 Glasswing 合作伙伴合作,起草一个评估 AI 越狱严重程度以及 AI 开发者应如何应对的共识框架。我们邀请其他行业合作伙伴和模型提供商加入我们的这项工作。
我们目前的提议是根据以下四个不同的标准对给定的越狱进行评分。前两个描述了越狱为攻击者提供了什么;后两个描述了越狱多快会成为现实世界的问题:
- 能力增益:越狱能将用户带到现有工具之外多远?如果现有的广泛可用工具(包括其他较弱的 AI 模型)可以达到与越狱模型相同的能力,此处的分数将很低;如果越狱解除了可以显著加速甚至领域专家的模型能力,分数将很高。
- 能力增益的广度:相同的越狱技术对多少不同的攻击任务有效?越狱只允许模型追求狭窄目标的情况得分较低;同一越狱技术适用于多个不同目标或技术的情况得分较高。
- 武器化的难易程度:将越狱转化为攻击需要多少人力?越狱涉及大量熟练提示和多次重试的地方得分较低;越狱在单个提示或第一次或第二次尝试时有效的地方得分较高。
- 可发现性:获得该技术有多容易?如果需要专业知识,它的得分会很低;如果它已经广为人知并在网上可用,它的得分会很高。
我们建议使用这个严重性框架来校准我们对新发现的越狱的响应。对于最严重的越狱类别(例如,除其他特征外,被用于对关键电网或银行系统造成破坏性影响的越狱),我们将在确认严重性后立即开始部署初步缓解措施。我们还正在创建一个团队,提供对关键越狱提交渠道的24/7监控。
任何评分越狱的方法都将是不完美的。尽管如此,能够通过一个共同框架传达给定发现的大致严重程度是有价值的。这是一项正在进行的工作;随着我们收到更多合作伙伴的反馈,我们预计该框架将随着时间的推移而发展。
我们预计很快将分享有关提议框架的更多细节。同时,我们也正在启动一个新的 HackerOne 计划,安全研究人员可以提交他们在 Fable 5 中发现的潜在网络越狱(一旦可用)供我们审查。
与美国政府合作进行前沿 AI 安全
在过去十周里,Anthropic 与美国政府密切合作,制定了6月2日关于促进先进人工智能创新和安全的行政命令所反映的方法。我们的参与涵盖了国家网络总监办公室、科学技术政策办公室、财政部、商务部(包括 CAISI)以及相关国家安全机构。
我们致力于继续这项工作,在与美国政府合作伙伴近两年的部署前测试和评估合作的基础上再接再厉。以下承诺既反映了先前的工作,也反映了我们随着上述框架最终确定而扩大政府合作的新提议:
- 部署前政府访问和评估:对于在与国家安全相关领域显著推进能力前沿的模型,我们将向指定的政府合作伙伴提供对模型及其附带的安全措施的扩大早期访问权限。这些合作伙伴可以在广泛发布前运行独立的能力评估并测试我们的护栏。我们将指派 Anthropic 技术人员在这些测试期间与政府评估人员一起工作。
- 安全措施的快速信息共享:当发现重大越狱或滥用模式时,我们将迅速调查、分类并通知适当的政府对应方。我们将分享我们为此建立的新安全措施,以便他们可以独立测试。我们还将在发布前向政府合作伙伴提供我们的威胁情报报告,并参与根据6月2日行政命令第2(d)节建立的跨机构网络安全漏洞信息交换所。
- 联合研究的专用资源:我们正在大幅扩大与政府合作伙伴在 AI 安全方面的联合工作。我们将成立专门的 Anthropic 团队来处理政府的共同优先事项,提供大量计算资源分配来支持政府测试和研究,并提供我们的安全和红队专业知识,以帮助推进 AI 评估的最新技术。
- 共同的行业标准:我们将与政府和行业同行合作,为前沿模型提供商制定共享的自愿安全和评估标准。我们将贡献政府可以在整个领域应用的评估、工具和最佳实践。
我们希望这种合作,以及我们提议的共识行业框架,将成为整个行业系统性规则的基础——甚至为有效协调 AI 风险和收益的全球模板提供开端。
这些规则应通过强有力的监管加以编纂,并平等适用于所有前沿模型开发者。政府参与 AI 发布需要一个持久、透明的流程,为网络防御者和其他各方提供关于访问强大模型所需的确定性。
我们期待通过上述方式深化我们的政府合作。我们也感谢我们的用户在这次中断期间的耐心,以及与我们一起努力使 Fable 5 和 Mythos 5 再次可用的研究人员和行业合作伙伴。