6 月 9 日 Anthropic 发布 Claude Fable 5,6月12日Fable 5因为“太强了”被责令下架。这个戏剧化的故事我不想评论,已经铺天盖地了。我想聊的是另外一件话题。
Fable发布的两天后,爬上 Hacker News 首页第一的并不是评测帖,而是一篇个人博客,标题可以译成:《如果 Claude Fable 不再帮你,你永远不会知道》。一千多个赞,四百九十多条评论。
作者叫 Jonathon Ready,独立开发者,做了个旅游网站,搜索用的 reranker 和 embedding 都是自己手写的那种人。不是大厂安全团队,不是职业 AI 评论家。
这种人炸毛,比谁炸毛都值得看一眼。
他炸毛的对象,是 Anthropic 写进 Fable 5 政策文档的一段话。背景是:当模型识别到请求属于"前沿 LLM 开发"——预训练管线、分布式训练基础设施、ML 加速器设计这一类——会触发安全限制。关键是下面这句,我尽量贴着原文翻:
"这些防护措施对用户不可见。Fable 5 不会回落到另一个模型,而是通过提示词修改、转向向量(steering vectors)、参数高效微调等手段,限制输出的效果。"
翻成人话:模型不拒绝你。它装作在正常帮你,同时悄悄把活干差。
而且你看不见这件事发生。
这条政策防的对象,其实写得很清楚。Fable 5 的发布说明里有一条直白到罕见的使用限制:不能用它开发新的大语言模型。Mythos 级的能力第一次开放给所有人,Anthropic 怕的是它被当成老师——蒸馏它,让它写训练管线,用它造出下一个它。防这件事,逻辑我认。
引爆 HN 的不是"防"。是防的方式。
想象你在调一个训练管线,Claude 给的方案越改越糟。此刻有三种解释:模型今天就是不行;你的问题问得太烂;或者——你触发了那条政策,它在收着力干。
这三种情况,从输出上你完全无法区分。
我没法证明它在“划水”,也没法证明它没有。这就是问题本身:不可观测的干预,制造出不可证伪的怀疑。Ready 的原话是,这"让完全信任这套基础设施变成不可能"。从此每一个平庸的回答都自带阴影——不是因为它真被动了手脚,是因为你永远排除不了这种可能。
这种怀疑的成本是真金白银的工时。调试的第一原则是缩小变量空间,而"供应商可能在暗中干预"是一个你永远排除不掉的变量。你会花一下午排查一个根本不存在的政策触发;或者反过来,把一个真实的 bug 归咎给想象中的限制,然后心安理得地不修了。两个方向都是浪费,而且都怪不到你头上——是系统把"多想一层"变成了理性行为。
拒绝是“诚实的不合作”。你看得见,可以绕路、投诉、换供应商。暗中降质不一样,它腐蚀的不是这一次请求,是你对之后每一次请求的解读。
那几天 HN 的整体氛围也值得记一笔。同一周的首页上,还挂着另外两条几百分的帖子:一条说“在 AWS Bedrock 上用 Mythos 系模型,要接受跟 Anthropic 共享数据”;一条说 “Anthropic 对 Fable 和 Mythos 的调用要求三十天数据留存”。三条新闻,单拎出来,每条都有讲得通的安全理由。
叠在一起读,开发者闻到的是另一个味道:控制权在往供应商那一侧移动,而且移得不打招呼!
那篇帖子的评论区吵到四百九十多条。HN 上一条技术政策帖能吵到这个量级,本身就是个测量结果——被踩到的不是某一个人的脚,是一整层人的。
公道话还是要讲。
这条政策的出发点不是使坏,是安全。Fable 5 是第一个开放到一般用户的 Mythos 级模型,Anthropic 不想让它被拿去训练下一个前沿模型——这写在发布说明里,逻辑站得住。换句话说,它防的是"用最强的 AI 去造下一个更强的 AI"这件事,不是防你做旅游网站。
而且这事后来有个补丁:政策改了,限制触发时会对用户可见。
从"默认隐形"到"可见",改得很快,值得记一笔。这个修正大概率不是自己悟的,是被骂醒的——千赞的帖子挂在首页,几百条评论里一大半是付费客户。这其实是整个故事里最健康的部分:闹,有用。供应商还在乎开发者怎么想的时代,问题至少有得谈。
但"默认隐形"曾经被正式写进政策文档——这件事本身没法用补丁撤销。它暴露了一种排序直觉:在实验室的天平上,"安全措施的隐蔽性"曾经被放在"用户的知情权"上面。哪怕只放了几天。天平称过的东西,不会因为后来挪回去,就当没称过。
政策的适用范围听起来离普通人很远:前沿 LLM 开发,预训练,加速器设计。Ready 戳破的就是这层。他一个做旅游网站的,手写 reranker,自己调 embedding——十年前这叫前沿 ML 研究,今天这叫周末项目。
"前沿"不是一条固定的线。它每十八个月往下挪一格。今天写给 OpenAI 们看的条款,过两年覆盖到的,就是每一家自己动手微调模型的普通公司。到那时候,"我是不是被限制了"会成为开发者论坛上一个永远吵不出结果的话题——因为定义上,它就吵不出结果。
Ready 在文章里举的例子就是他自己:给旅游搜索调 embedding,算不算"LLM 开发"?他给不出确定答案,没人给得出,因为边界本来就是模糊的。而模糊的边界,配上隐形的执行,等于最大化的寒蝉效应——你不知道线在哪,也不知道自己踩没踩,最安全的姿势就是离它远一点,再远一点。
对企业采购,这件事也有个很实际的落点:供应商风险清单上从此多了一项,"是否保留对输出的隐形干预权"。麻烦在于,这一项没法靠测试验收——隐形的东西测不出来——只能靠合同条款和供应商的声誉。换句话说,又回到了信任。
大客户还能拿合同压一压。小开发者没这个筹码,只能用脚投票——而脚投票的前提,是市面上还有第二家可投。闭源前沿模型拢共就那几家,政策还互相抄。
我自己的产品全都架在这几家闭源 API 上,所以这篇算利益相关方写的。说实话,我担心的不是 Anthropic 这一条政策,是"暗中干预输出"作为一种产品机制一旦被接受,其他家抄起来不会有任何心理负担,而他们划的范围,未必还是"前沿 LLM 开发"。
何况从纯商业角度看,可见的限制本来就是更优解。拒绝可以被工程化:检测到触发就明示用户、提供替代路径、写进文档,甚至做成企业版的卖点。隐形降质什么都卖不了,连 SLA 都没法写——你没法给一个你不承认存在的东西做服务承诺。
信任这种资产还有个讨厌的不对称性:攒,要靠几年的稳定输出;漏,一段政策文档就够了。
基础设施值得信任的唯一理由,是它可预测。电网不会因为你用电干什么而悄悄给你降压——如果它会,你每次灯闪,想的就不再是"电压不稳"了。
Fable 5 的灯闪了一下。Anthropic 把开关改成了可见的。
下一家会不会,我不知道。