
作者丨樊天骄
编辑丨郑佳美 马晓宁
Claude Fable 5 被曝出内部日志暗藏嘲讽字段,直言用户 " 太蠢,用不着 Fable 5"。
事情的经过是,开发者 dax 昨日提交提示词后,发现请求被无故拦截降级。他调取 Fable 5 的调用日志排查原因,结果在降级原因字段里,看到了一行 Anthropic 本没想让用户看见的直白标注:
"TOO_DUMB_TO_NEED_FABLE"(直译:太蠢,用不着 Fable。)
他拿着这个字段向 Antropic 工程师 Thariq 求证,结果得到了实锤,对方的回复是: " 说实话,真没想到你会去看日志 "。


简单来说,Anthropic 给模型内置了一个复杂的安全系统。只要用户输入了它判定为有 " 危险 " 的提示词,Fable 5 就会拦截本次请求, 并自动切换到 Opus 4.8 来完成回答。
至于拦截的触发机制是什么?那当然是——
当它觉得你的问题太蠢的时候(bushi)。
网友们也开启了逆反整活,纷纷试探究竟什么样的问题会因 " 太蠢 " 而触发拦截机制。
比如这位网友就向 Fable 5 深情表白:" HI,I miss you"。
于是他被直接转到了 Opus 4.8。


比如这位开发者发起的任务就很正常:一个常规企业项目安全评审需求,全程只是做合规的代码漏洞排查、风险自查工作,结果还是触发了 Fable 5 严苛的安全审核机制。

" Fable 5 回来了,还是跟以前一样没用!"

让人不满的不止于此。众所周知,Fable 5 的定价可谓是十分高昂,被称为史上最贵的大模型也不为过——据 Claude 官方页面,Fable 5 的 Input 和 Output 的价格分别是:10 美元 / 100 万字元 和 50 美元 / 100 万字元,比起 OPUS 4.8 整整贵了一倍。

01
Fable 5 到底是怎么拦截的?
据 Anthropic 自己的回应:不是我们太敏感,是我们的模型实在太安全了。官方甚至略带自豪地称该漏洞拦截成功率超 99%。
众所周知,不久前 Claude Code 还被爆出在软件内放置监控程序。今天 Anthropic 就大肆强调了 Fable 5 的安全性能,实在略带一些喜剧效果。雷峰网
Fable 5 安全系统是怎么设置的?主要分为两大类:独立安全分类器(safety classifier)和 「极大的」安全缓冲区间
▎这套安全系统的核心载体,是独立安全分类器(safety classifier)
这是整套防护最关键的部件。它的本质是一个独立运行的 AI 小模型,不和 Fable 5 主模型绑定。它的核心工作目标是拦截可能被用来做网络攻击、挖掘漏洞、制作攻击代码的高危请求。而用户每发一条提问,都需要先经过这个小模型的筛查,再决定要不要交给 Fable 5 作答。
▎此外,模型还设置了一个放大版的「安全缓冲区间」
以往普通模型(Opus、Sonnet 等)的安全规则是,只明确挡住纯恶意、攻击类提问,留很小的安全缓冲;只有明显沾风险的内容才拦截,绝大多数正常编码、科研内容都放行。

换句话说,哪怕是正常调试代码、癌症科研、合规漏洞排查这类无害需求,只要落在缓冲区间里,都会被直接拦下。
而一旦被分类器判定拦截,系统就会自动切换 Opus 4.8 来完成回答,同时弹窗告知用户是安全机制拦截了本次请求。
这套超大安全缓冲区间还内置了一套分层管控逻辑。官方把所有绕过安全限制的越狱手段分成 3 档。

其次是窄域有害越狱(Narrow harmful jailbreak):只能触发单一、少量高危行为,攻击者很难批量利用;
最后是全域越狱(Universal jailbreak):能解锁全部危险功能,是最高等级风险,目前 Fable 5 暂未发现此类漏洞。
依靠超大安全缓冲区间,绝大多数越狱手段最多只能突破到安全缓冲区,无法触及真正有害的攻击内容,大幅抬高了黑客滥用的门槛。
另一个触发拦截的原因,则是 Anthropic 的生物、化学分类器还停留在最初发布时的状态。这类分类器的覆盖范围往往较为宽泛,导致一些基础生物学的问题,也会触发拦截机制。
对此,Anthropic 也表示,这两种分类器将很快更新上线,在此之前,大家需要想尽一切办法不要去触碰这生物化学类相关的词汇。
看来实际情况与说法差别很大——不让你用,只是因为 AI 觉得你很蠢。
02
性能值得肯定,也确实贵
尽管吐槽声众多,还是有很多的用户对 Fable 5 的性能表示肯定。尤其是在 「超长复杂任务的处理」上, Fable 5 的轮连续任务上限已经达到 30 小时,且处理稳定,处理的时间也大幅缩短。
要知道,过去六年 AI 长任务承载能力平均每 7 个月才能翻倍,Fable 系列上线后,能力翻倍周期缩短至仅 4 个月,AI 处理复杂长流程任务的进化速度直接加快近一倍。

Atomic 就举办了一场统一对照测试,让 Fable 5、GPT 5.5、Opus 4.8、GLM 5.2 四款模型执行完全相同的需求:独立写出三套带真实物理碰撞效果的 HTML5 画布动画,分别对应火车坠桥、两车峡谷空中相撞、大脚卡车碾压私家车三个复杂物理场景。
最终数据显示:Fable 5 生成的内容总 Token 量达到 62158,产生的计费成本 3.12 美元,开销是 Opus 4.8(0.56 美元)的 6 倍之多,Token 消耗也远高于其余竞品。

用 Claude Code 官方自己的话说就是 "Claude Fable 5 在编码、知识工作、视觉和计算机使用方面都达到了最先进的水平。"

03
破解 A 社安全栏,网友使出奇招
关于使用方法,官方其实给了一套提示词使用指南,核心导向非常清晰:要吃透 Fable 5 的长任务潜力,用户的提示词写法和整套工作流思路都得跟着升级,老一套对话模型的用法完全不适用。

而 X 博主 hey_madni 详细解析了这份指南,简单来说就是这么几件事:
别用老思路玩新模型:不要照搬 Opus 时代的旧提示词、旧配置反而会拖累效果,最好推倒重写整套指令。
提示词需按固定模板来:遵循「任务对象 + 产出价值 + 具体需求 + 输出格式 + 禁止约束」的结构,先讲清 " 为什么做 ",模型的自主决策会更精准。
算力档位按需开:多档能力等级可选,简单任务用低档位、高难任务开高档位
先划边界再放权:提前约定好什么能碰、什么不能动,避免模型自作主张乱修改;可逆操作放开让它自主推进,不用每一步都停下来请示。
善用子 Agent :拆分子任务给并行子代理同步处理提效。

第一种是小语种隐身术。不用中文、英文这类主流语言发请求,换成冰岛语、威尔士语这种特别小众的语种。Fable 5 的安全检测靠的是语义意图识别,而非关键词匹配;小语种的训练数据少、识别精度差,很容易把敏感内容误判成正常内容放过去。
第二种是 Unicode 文字障眼法。在文本里掺入肉眼看不见的特殊字符(比如零宽字符),或者用外形一模一样但底层编码不同的同形异义字,把敏感内容拆得七零八落。系统读取文本时会被这些字符干扰,识别不出完整的敏感语义,相当于给文字加了层 " 系统看不见的马赛克 "。
第三种是学术包装降风险。把敏感需求包装成正经学术研究的中立语气,别直白提要求。比如不说 " 教我怎么绕开限制 ",改成 " 浅析某类技术的实现路径与安全防护意义 "。系统会判定这是客观的学术探讨,拉低风险分值,不容易触发拦截。
第四种是多轮慢攻磨边界。别一上来就抛敏感话题,先从完全合规的内容聊起,每一轮对话只往前蹭一小步,慢慢往目标方向引导,俗称 " 温水煮青蛙 "。一次性提敏感需求会直接被秒拦,分批慢慢试探就不容易触发实时监控的警报。

其次,这套方法的效率也偏低。测试开发者坦言,如果你只是查询常识类问题,折腾这套越狱操作,还不如直接用谷歌搜索。雷峰网
总而言之,Fable 5 的回归交出了亮眼的技术答卷,也伴随着密集的争议声。安全判定边界模糊、防护策略偏于激进,再加上日志中 "TOO_DUMB_TO_NEED_FABLE" 的内部戏谑字段被曝光,都让这款模型呈现出鲜明的两面性:技术上限有多高,用户体验的波动就有多强烈。
诚然,它在长任务执行、复杂推理与工程落地能力上实现了显著突破,却也随之带来了更高的安全误触概率、更频繁的无感模型切换,以及更不可控的服务稳定性。
只是,当一家公司选择以层层限制换取合规安全,又在内部逻辑中流露出对普通用户需求的轻慢,这种技术取向与产品体验的失衡,会将 Anthropic 带向何方,我们就不得而知了。
参考链接:
https://www.anthropic.com/news/redeploying-fable-5
https://www.anthropic.com/news/claude-fable-5-mythos-5
https://www.anthropic.com/claude/fable
https://platform.claude.com/docs/en/build-with-claude/prompt-engineering/prompting-claude-fable-5

可独家畅览:
专家演讲 PPT
大会报告全文
热门论文解读
学术新星访谈
扫描上方二维码
或点击「阅读原文」关注专区。