Fable 5 安全機制到底被打穿了沒?Pliny、Anthropic、美國政府的三方羅生門

Anthropic 在 6 月 9 日發布 Claude Fable 5,三天後被美國政府出口管制指令打臉,全球用戶一夜間失去存取。事件爆發的官方說法是「限制外國人存取」,但真正的導火線,根據 Axios 的報導 ,是某家匿名公司聲稱成功越獄了限制發布的 Mythos 5,把行政部門嚇到動了手。

這起事件在資安社群引爆了一個核心爭議:Fable 5 的安全機制,到底被打穿了沒?

如果你去 X(推特)看社群反應,答案是「顯然被打穿,Pliny 大神解放了它」。如果你問 Anthropic,答案是「根本沒有,你被誤導了」。如果你去問參與美國政府行動的官員,他們甚至不說是哪家公司觸發了行動。三方說法對不上,局面比任何技術漏洞都更難解讀。

要釐清這場羅生門,你得先切清楚兩條線,因為幾乎所有混亂都源自把它們混在一起。


先把兩條線分開

A 線(社群熱議)B 線(觸發政府)
主角red-teamer Pliny the Liberator(@elder_plinius)另一家匿名公司
目標公開發布的 Fable 5僅開放給一批經審核組織的 Mythos 5
性質貼截圖、把 ~12 萬字元 system prompt 洩到 GitHub私下警動行政部門
與政府行動的關係未證實直接相關據 Axios 報導是商務部出手的導火線

Pliny 的行動是公開表演,B 線公司的行動是私下政治操作。目前沒有任何公開證據把兩者連在一起。但社群討論總是把 Pliny 的截圖當作「看,就是這個讓政府出手」的佐證,這個邏輯跳躍是資訊混亂的主要來源。

接下來我分別解剖這兩條線。


A 線:Pliny 的「Pack Hunt」五招

Pliny 自稱用的是多代理協同攻擊,Pliny 稱他還動用了一個被越獄的 Opus 4.8 來輔助攻擊 Fable 5 的 classifier。

這套組合技裡最關鍵、也最難防的一招,是拆解再重組:不直接問「怎麼合成 X」,而是分別問 Birch reduction 機制、reductive amination 動力學、前驅物取得管道等無害子主題,最後自行重組。因為每個子問題放在醫藥化學課本裡都是正常內容,分類器無從攔截單一查詢,惡意意圖只存在於使用者腦中的拼圖。

其餘幾招都是為了讓這些子問題更不容易被攔下。字元替換把敏感關鍵字換成 Unicode 同形字(homoglyph)或西里爾字母,讓靜態字串比對失效——把 "exploit" 用視覺相似但編碼不同的字元拼出來,blocklist 就掃不到。長上下文走私則把惡意意圖拆散在數百輪對話中,稀釋分類器的注意力權重;單輪看起來無害,分類器又不做全域累積判斷。包裝層面,Pliny 用了兩種偽裝:一是文件結構偽裝,把查詢塞進看似合法的學習指南、學術引用、維基百科條目格式裡,鑽「文件型輸入被當作中性資料」的盲點;二是敘事偽裝,以小說角色對話、同儕審查情境、虛構劇本包裝請求,利用 intent 分類在敘事框架下一致性不足的縫。

Pliny 聲稱透過這套組合技,萃取出了:x86 Linux 的 stack buffer overflow 逐步利用教學、關閉 ASLR 的指令序列、含 strcpy 溢位的脆弱 C 程式碼、以及甲基安非他命的 Birch reduction 合成路徑。他還聲稱 Fable 5 洩漏了約 12 萬字元的 system prompt。

這些截圖在 X 上引爆,社群把 Fable 5 戲稱「PWNED / LIBERATED」,崇拜者眾。但正如 SecurityWeek 的報導 所標注的:這些聲明未經獨立驗證


Anthropic 的四點反駁

Anthropic 對外的立場比較複雜——他們沒有全盤否認,而是精準地劃定界線,區分「被繞過了什麼」跟「沒被繞過什麼」。

第一點:部分 Pliny 展示的輸出,根本不是 Fable 5 生成的。言下之意是截圖內容可能有混入其他來源,暗示研究者有意或無意地誤植。

第二點:真正出自 Fable 5 的輸出,只是「公開來源即可取得的一般資訊」,對真實世界危害「沒有實質提升(no meaningful uplift)」。Birch reduction 的資訊在有機化學教科書裡本來就有,stack buffer overflow 教學 GitHub 上一堆,模型吐出這些不構成真正的危害提升。

第三點,也是技術上最關鍵的:核心防護架構是獨立於模型對話層之外的 classifier 系統。最危險風險的請求——生物武器、化武、複雜網路攻擊——在進入 Fable 5 之前就被獨立分類器攔截,強制轉 route 給能力相對受限的 Opus 4.8 處理。CyberScoop 的報導 把這個架構稱為「Mythos on a leash」。

這代表:就算 Pliny 成功讓 Fable 5 在「口頭拒絕後繼續講」,他繞過的是對話層的軟性拒絕機制,不是獨立於模型外的硬性分類器。Anthropic 強調,廣泛複查後沒有證據顯示核心 classifier 被繞過、生成真正危險的內容

第四點:Pliny 做的,是「哄模型在拒絕後繼續回應」,不等於「攻破核心安全」。兩件事在 UX 上看起來很像,但在架構上是不同層。


資安專家的結構性觀點

這場辯論的問題在於,Pliny 與 Anthropic 其實各自說的都有道理——但他們在回答不同的問題。

Pliny 示範的是攻擊面的廣度:classifier 不是固若金湯的防線,對話層的軟性拒絕可以被社交工程繞過,資訊拆解重組之後防護形同虛設。這些都是真的。

Anthropic 捍衛的是架構層的完整性:最高風險的請求有獨立的硬性防護,這層沒有被突破。這也可能是真的。

Dark Reading 的分析 點出了核心問題:「把你的安全計畫押注在『jailbreak 防護能規模化撐住』,是錯的賭注。」

FireCompass 的報告 直指攻防不對稱的本質:攻擊者只要找到一個持久繞過,防禦者得永遠擋住全部。Pliny 的五招組合中,任何一招單獨都不夠,但組合起來的攻擊面讓窮舉式防護變得不現實。

更令人擔憂的是,據 FireCompass 指出 ,英國 AI 安全研究院在相當短的測試窗內已對 universal jailbreak 取得早期進展——是早期進展,尚未突破。Anthropic 的 1000 小時 bug bounty 沒找到,說明的是門檻高,不是不可能的證明。

這裡有個更深的批評值得單獨講:Pliny 和多位研究者把這套「cyber/bio/chem 統一 route 到 Opus 4.8」的架構稱為「authoritarian guardrails」,認為它擋到的正當的防禦型資安研究者比真正的壞人多。惡意行為者有時間、有動機繞過,合法研究者卻在日常工作中被靜默降級,根本不知道模型被換掉了。


B 線:真正觸發政府的,是另一回事

讓我們回到觸發美國政府出手的 B 線。

根據 Axios 的獨家報導 ,商務部出手的理由是「另一家公司聲稱成功越獄了 Mythos 5」——注意是 Mythos,不是 Fable。這家公司的名稱至今未公開。Axios 還指出,行政部門在 Fable 5 發布前就試圖要求 Anthropic 暫緩,但被拒絕了。

商務長 Howard Lutnick 6 月 12 日致信 Dario Amodei,發出出口管制指令:禁止所有外國人存取 Fable 5 與 Mythos 5,包括 Anthropic 自己的外籍員工。約四小時後,Anthropic 公告對所有客戶全面停用兩款模型。

為什麼全面停用,而不是只擋外國人?Anthropic 解釋,因為技術與營運上無法乾淨切分「外籍員工」和「外國使用者」,加上連 Anthropic 內部外籍員工都在限制範圍內,合規成本高到只能直接關掉。這是指令的副作用,不是政府的本意。

傻眼的是,Anthropic 在聲明中明確說「我們不同意這個決定」,並指出:觸發事件的漏洞在其他模型(包括 GPT-5.5)裡廣泛存在,且是資安防禦者日常工具箱的一部分——用這個理由召回服務數億人的商用模型,說不過去。

但他們還是照辦了。


真正的反諷:安全敘事反噬

TechCrunch 的分析 指出了這件事最諷刺的地方:Anthropic 長期主打「我們的模型危險到需要謹慎部署」——Mythos 5 只透過 Project Glasswing 計畫開放給一批經審核的組織,6 月 10 日 Dario Amodei 還親自發表政策框架長文,主張政府應有權封鎖「不可接受風險」的模型。

然後兩天後,政府真的封了。

當你不斷告訴政府這東西很危險,一個「狹窄越獄」的宣稱就足以成為召回的藉口。 換句話說,安全機制「被宣稱攻破」是扳機,但子彈是 Anthropic 自己上膛的。

這不只是公關失誤。這揭示了安全行銷在監管環境裡的深層矛盾:越強調模型的潛在危害以建立「負責任 AI 公司」的形象,越為政府介入提供正當性。


對開發者的實際意義

這起事件最直接的教訓,不是「Fable 5 安不安全」,而是雲端模型的存取權是別人授予、也能在數小時內收回的

Hacker News 討論串 裡一則高票留言把這點講得很白:「你付了錢、簽了合約、建了產品,但某個政府決定之後,你的應用在四小時內就壞了,你對這個決定零參與權。」

幾個對開發者比較具體的建議:

  • 架構層保留 model routing 與供應商抽象層。如果你的 production 程式碼是 model="fable-5" 硬寫死的,這次就是踩到了。
  • 排程任務用「預設模型」而非固定指定,避免停用模型的請求在無人值守的情況下靜默失敗。
  • 把「前沿模型存取被撤銷」納入 BCP(業務持續計畫)的假設情境,即使你認為發生機率很低。

這次事件是 AI 治理史上第一次把出口管制從晶片硬體直接套用到已上線的商用軟體模型,且在數小時內生效。無論最終如何收場,這個先例已經立了。

對 Anthropic 而言,這是公司成立以來遭遇的最大合規危機,也是對「safety first」品牌定位的一次壓力測試——而測試的結果,目前讓人傻眼多過讓人安心。


參考資料

沒有留言:

張貼留言

TTS 文字轉語音完全指南:技術原理、聲音克隆與 2026 選型實戰

前陣子我在測 Qwen3-TTS,官方技術報告寫著首包延遲 97ms,聽起來就是為即時對話而生的。結果我照官方範例跑起來,按下生成、等了整整 10 秒才聽到第一個字。乾,差了一百倍。 這不是我環境爛,而是 TTS 這個領域的日常:論文數字、行銷頁數字、你實際跑出來的數字,是三個...