Un día después de que Anthropic lanzara Claude Fable 5 con un diseño de seguridad que cubrimos como su feature más elegante, investigadores de seguridad apuntan a la costura. El diseño es la graceful capability degradation: en vez de rechazar una petición sensible, clasificadores para cyber ofensivo, bio-químico y destilación de modelos enrutan la sesión hacia el más débil Claude Opus 4.8. La queja ahora no es que los guardrails sean demasiado débiles. Es que el clasificador cyber es demasiado ansioso, disparándose con trabajo de seguridad defensivo ordinario y degradando calladamente a la gente cuyo trabajo es defender.
Los ejemplos son específicos. Valentina "Chompie" Palmiotti, investigadora de seguridad en IBM X-Force, dice que Fable "rechaza cualquier petición que pudiera ser tangencialmente cyber. Incluso tareas inocentes como leer un blog post." Matt Suiche, de la startup de ciberseguridad de IA Tolmo, dice que "si le pides escribir código seguro, asume que es trabajo relacionado con ciberseguridad en vez de best practices de ingeniería de software," y que hasta pedir una revisión de código activa el filtro. El diagnóstico del mecanismo de Suiche es la parte afilada: "Parece basado en palabras clave, así que cualquier cosa en el campo léxico de la 'ciberseguridad' dispara los guardrails." Cuando el filtro se dispara, Fable se pausa y dice que medidas de seguridad marcaron el mensaje por temas de ciberseguridad o biología, luego degrada a Opus 4.8. Anthropic no respondió de inmediato al pedido de comentario de TechCrunch.
Este es el costo de falsos positivos del diseño de enrutamiento, y aterriza justo en la constituyente que el argumento de seguridad en parte busca empoderar. El encuadre de ayer era que la graceful degradation es más humana que el rechazo, igual obtienes una respuesta, solo de un modelo más conservador. La fricción muestra el detalle: la degradación es silenciosa y dirigida por tema, así que un defensor que hace la pregunta de seguridad más difícil es el más propenso a ser respondido por el modelo más débil, en el único tema donde quería el más fuerte. "Código seguro" y "código de ataque" están en el mismo campo léxico, y un clasificador con forma de palabra clave no puede distinguir el blue team del red.
También afila el resultado del NIST de esta mañana desde el otro lado. Esa prueba decía que ningún set finito de guardrails es irrompible, lo que empuja hacia tunear los clasificadores agresivamente. Pero el tuning agresivo tiene un fallo simétrico: sobre-bloquear y sub-bloquear son el mismo dial girado en direcciones distintas, y el tráfico legítimo que detienes por error es un costo tan real como el tráfico malicioso que dejas pasar por error. Suiche concede que la intención es buena y espera que los guardrails "evolucionen con el tiempo" a medida que Anthropic trabaja con firmas de ciberseguridad. La nota concreta para los builders que hacen trabajo defensivo en modelos frontier es menos tranquilizadora mientras tanto: el tier más fuerte puede calladamente no ser el que responde tus preguntas de seguridad, y como la degradación es silenciosa por diseño, no te lo dirán cuando pase a menos que vigiles la marca.
