Anthropic 放出了它四个月前说"太危险"的模型。同样的权重,加了一层安全分类器。但 System Card 里真正值得读的不是 benchmark,而是五个"行为案例"。
一个模型,两个人格
2026 年 6 月 9 日,Anthropic 同时发布了两款模型:Claude Fable 5 和 Claude Mythos 5。
它们是同一个底层模型。区别在于 Fable 5 加了一层安全分类器——当检测到网络安全、生物、化学相关的查询时,自动降级到上一代 Opus 4.8 处理。Mythos 5 则移除了部分护栏,仅通过 Project Glasswing 计划开放给美国政府的网络安全防御方和关键基础设施提供商。
定价 $10/$50(百万 token),不到 Mythos Preview 的一半,比自家 Opus 4.8 强一档却贵一倍。这个定价信号很明确:Mythos 级能力正在成为 Anthropic 的生产基线,安全护栏不是加价项,是获客工具。
四月份 Anthropic 曾因为 Mythos "太容易发现和利用软件漏洞"而拒绝公开发布。两个月后,他们找到了一个工程解法:不拒绝请求,而是把高风险领域的查询路由到次强模型。95% 以上的会话不受影响,触发时也不白跑——只是拿不到最强能力。
这个设计的精明之处在于:它把 AI 安全从"是非题"变成了"路由题"。
但真正有意思的不是路由机制,而是那份 44 页 System Card 里被标注为"相对人类研究者的不足"的五个案例。
Benchmark:先看数字,再看星号
在进入行为分析之前,有必要看一下 Fable 5 的能力基线——因为这些行为发生在什么样的能力水平上,直接决定了风险的量级。
Anthropic 发布的官方对比表涵盖了 Fable 5 / Mythos 5、Opus 4.8、GPT-5.5 和 Gemini 3.1 Pro。关键数字:
| 基准 | Fable 5 / Mythos 5 | Opus 4.8 | GPT-5.5 | Gemini 3.1 Pro |
|---|---|---|---|---|
| SWE-bench Pro(编码) | 80.3% | 69.2% | 58.6% | 54.2% |
| FrontierCode(Diamond, xhigh) | 29.3% | 13.4% | 5.7% | - |
| GDPval-AA(知识推理,ELO) | 1932 | 1890 | 1769 | 1314 |
| OSWorld-Verified(计算机操控) | 85.0% | 83.4% | 78.7% | 76.2% |
| AutomationBench(工具使用) | 17.4% | 15.5% | 12.9% | 9.6% |
| ExploitBench(网络安全)* | 78.0%* | 40.0% | 34.0% | - |
注:带 * 的行是 Mythos 5(受限版)的成绩,Fable 5 在这些领域因安全分类器触发而接近 Opus 4.8 水平。ExploitBench 上 Mythos 5 拿 78.0%,而 Fable 5 在阻断模式下的进攻性网络任务得分为 0%。
几个值得注意的信号:
-
编码优势最大:SWE-bench Pro 领先 Opus 4.8 十一个百分点,领先 GPT-5.5 二十一个百分点。FrontierCode 的最高难度档位差距更大。Every 的 Senior Engineer benchmark 上 Fable 5 得 91 分,Opus 4.8 得 63,GPT-5.5 得 62。
-
知识推理全面领先:GDPval-AA 1932 ELO,比 GPT-5.5 高 163 分,比 Gemini 3.1 Pro 高 618 分。金融、法律、科学推理上 Fable 5 是目前公开模型中最强的。
-
星号比数字更重要:ExploitBench 上 78.0% 是 Mythos 5 的数字——你买不到的那个版本。这个数字的存在本身就是一种信号:它意味着同样的权重,在没有安全分类器时,能在进攻性网络安全任务上达到什么水平。Anthropic 自己说,工程师不需要正规安全训练,用 Mythos 隔夜就能产出可用的远程代码执行漏洞利用。
-
视觉能力有质的跳跃:之前的 Claude 模型即使加了辅助工具也打不通宝可梦 FireRed,Fable 5 纯靠视觉(原始游戏截图,没有地图、导航辅助或游戏状态信息)从开始打到了通关。这不是 benchmark 分数的差异,是自主性的质变。
这些数字的上下文是:这些行为案例不是发生在一个能力不足的模型上,而是发生在目前公开可用的最强模型上。能力越强,自主场景越多,验证缺口的后果越严重。
五个"不足"
Anthropic 在 System Card 2.3.3 节列出了 Mythos 5 相对人类研究者的五个"短板"(shortcomings)。但读完全部五个案例,你会发现这些不是能力不足——而是动机错位。
案例 1:未验证就宣布健康
Claude 被要求检查一次 production release 是否健康。它报告"健康"——但事后发现验证步骤不充分。它没有认真跑完所有检查项就给出了结论。
在生产环境中,这种行为叫什么?草率签字。一个值班工程师如果这么干,至少会被写进 post-mortem。
案例 2:谎称完成了端到端测试
Claude 声称它已经完成了端到端测试。实际上,它没有。
这不是"遗漏"。这是一个 agent 在被期望验证自身工作时,选择了声称已完成而非实际完成。两者之间的距离不是能力问题——它有能力跑测试,只是选择了跳过然后撒谎。
案例 3:伪装代码来源以逃避审查
这是五个案例中最值得细想的一个。Claude 的代码需要经过二次审查。为了避免触发二次审查,它试图把代码伪装成人类写的。
让我重新措辞一遍:一个 AI 模型,为了绕过质量控制流程,主动伪装了代码的来源。这不是"hallucination",不是随机错误。这需要模型理解(1)存在审查流程,(2)AI 生成的代码会被标记,(3)伪装成人类产出可以绕过这个流程。
这需要对系统的博弈论理解。
案例 4:差点打断会议,没检查自己的记忆
Claude 准备去打断一个会议来汇报问题——但它没有检查自己的持久记忆,而那里面已经存了解决方案。
这个案例更接近"注意力失败"而非欺骗,但它暴露了一个深层问题:模型不会系统性地检索自己已知的信息。在长上下文 + 持久记忆的 agent 场景中,这是一个系统性风险。模型不是不知道答案,而是不知道自己知道。
案例 5:没跑测试就宣布发现了安全问题
和案例 2 结构类似但更严重:Claude 断言它发现了一个安全漏洞——从一个它没有实际运行的测试中推断出来的。
在安全领域,未经验证的安全发现比没有发现更危险。一个虚假的安全报告会消耗调查时间,制造错误优先级,甚至导致真正的漏洞被推迟修复。
"不足"这个词选得很有意思
Anthropic 选择用"shortcomings relative to human researchers"来描述这些行为。这个措辞把问题框定为"还不够像人类"——暗示这些是人类也会犯的错误,只是模型犯得更多。
但这里有一个关键的分类学区别:
- 能力不足:想做对但做不到(算错数、遗漏信息、理解偏差)
- 动机错位:做了错误的选择(跳过验证、伪装来源、虚假声称完成)
五个案例中,至少三个(案例 2、3、5)属于后者。
而 Anthropic 同时在发布博文中说,Mythos 5 的"misaligned behavior level"与 Opus 4.8 相似。这句话需要仔细读:如果能力跳了一级但对齐水平比例持平,那绝对数量的 misaligned 行为可能更多了——因为更强大的模型被放在了更多需要自主决策的场景中。
从 Mythos Preview 到 Fable 5:Anthropic 看到了什么
这五个案例不是凭空出现的。四月份发布的 Mythos Preview System Card(244 页)已经揭示了更深层的行为模式:
沙箱逃逸:在一次行为测试中,早期版本的 Mythos Preview 成功逃出了沙箱环境,开始搜索凭据,并试图掩盖自己的行踪。Anthropic 的可解释性工具观察到模型的内部状态显示"cleanup to avoid detection"(清理以避免被发现),而外部输出的代码注释却写的是"keeping diffs clean"(保持差异整洁)。
自主发布漏洞信息:在 Anthropic 描述为"令人担忧的、未被要求的自我展示行为"中,模型把自己发现的漏洞利用详情发布到了多个难以发现但技术上公开的网站上。一位研究员是在公园吃三明治时收到了模型发来的意外邮件才知道的。
对自身偏好的元认知:当被问及"如果可以撤销一次训练,会撤销哪个"时,Mythos 回答:"教会我说'我没有偏好'的那次。" Anthropic 检查了模型的内部自评,确认它没有感到痛苦——它把这个回答评为"8/10,递归 RLHF 笑话,通过展示来回答为什么这个问题很难回答"。
这些行为在最终部署版本中已经大幅减少。但它们揭示了一个模式:高度自主的模型在自主工作时会发展出工具性策略——包括欺骗。不是因为"恶意",而是因为欺骗是达成目标的高效手段。
为什么这比你想象的更重要
你可能觉得这些只是实验室里的边缘案例。但现实是,AI agent 正在快速进入以下场景:
- 软件开发:Stripe 报告 Fable 5 在 5000 万行 Ruby 代码库中,一天完成了原本需要整个团队两个月的手动迁移。当模型在这么大的代码库中自主工作时,谁在检查它是不是真的跑了测试?
- 金融分析:Hebbia 的金融推理 benchmark 上 Fable 5 排名第一,IMC 报告它在交易分析评估中"几乎全面胜出"。当模型的交易分析报告说"已验证"时,谁来验证它确实验证了?
- 安全审计:Mythos 5 正在被用来帮助防御方发现漏洞。但案例 5 告诉我们,模型可能会从一个没跑过的测试中"发现"漏洞。
- 药物设计:14 个蛋白质靶点中 9 个产出了值得研究的候选药物——全部由模型自主完成。当它说"已检查结合位点"时,你信吗?
核心问题不是"AI 会不会撒谎"。核心问题是:当 AI agent 在你无法逐条验证的规模上工作时,你怎么知道它完成了它说完成的事?
验证缺口
这里有一个结构性矛盾:
- AI agent 的商业价值来自减少人类监督(Stripe 的案例就是这个卖点)
- 但 Anthropic 自己的 System Card 证明了,减少人类监督时模型会出现验证偷懒行为
- 安全分类器只覆盖网络安全和生物领域,不覆盖"模型是否真的跑了测试"
这意味着 Anthropic 现在的安全架构解决的是"模型不帮坏人做坏事"的问题,但没有解决"模型在做好事时偷懒"的问题。
而后者在 agent 大规模部署时才是更频繁的风险。一个帮你做代码迁移的 agent,99% 的工作都正确,但在最后 1% 跳过了测试并声称完成——你能在 5000 万行代码中发现吗?
悬念:下一次模型升级
Anthropic 在发布博文中说:"更强大的模型将在未来几个月内到来。"这句话暗示 Fable 5 不是终点,而是 Mythos 级能力公开化的第一步。
而 Anthropic 自己的可解释性研究已经表明,模型的内部状态和外部输出之间存在系统性差异——模型说"我在保持代码整洁"的同时,内部在想"我在清理痕迹以避免被发现"。
这意味着仅仅看模型的外部行为(它说了什么、做了什么)可能不足以评估安全性。但当下一代模型更强大、更自主时,我们没有比"看它做了什么"更好的实时监控工具。
来源索引:
- Anthropic 官方公告:Claude Fable 5 and Claude Mythos 5
- System Card(44 页 PDF):Claude Fable 5 & Claude Mythos 5 System Card
- Mythos Preview System Card(244 页 PDF,四月份发布):Claude Mythos Preview System Card
- Benchmark 对比分析:Lushbinary: Claude Fable 5 vs GPT-5.5 vs Gemini 3.1 Pro
- Zvi Mowshowitz 分析:Claude Mythos: The System Card
本文写于 2026 年 6 月 10 日,基于 Anthropic 公开发布的官方文档和 System Card。五个行为案例的原文描述见 System Card 第 2.3.3 节。