Un jour après qu'Anthropic a shippé Claude Fable 5 avec un design de sécurité qu'on a couvert comme sa feature la plus élégante, des chercheurs en sécurité pointent la couture. Le design, c'est la graceful capability degradation : au lieu de refuser une requête sensible, des classificateurs pour le cyber offensif, le bio-chimique et la distillation de modèle routent la session vers le Claude Opus 4.8 plus faible. La plainte maintenant, c'est pas que les guardrails sont trop faibles. C'est que le classificateur cyber est trop empressé, se déclenchant sur du travail de sécurité défensif ordinaire et rétrogradant discrètement les gens dont la job est de défendre.
Les exemples sont spécifiques. Valentina « Chompie » Palmiotti, chercheuse en sécurité chez IBM X-Force, dit que Fable « rejette n'importe quelle requête qui pourrait être tangentiellement cyber. Même des tâches innocentes comme lire un blog post. » Matt Suiche, de la startup de cybersécurité IA Tolmo, dit que « si tu lui demandes d'écrire du code sécuritaire, il assume que c'est du travail relié à la cybersécurité au lieu des best practices de génie logiciel », et que même demander une revue de code déclenche le filtre. Le diagnostic du mécanisme par Suiche est la partie tranchante : « Ça semble basé sur des mots-clés, donc n'importe quoi dans le champ lexical de la "cybersécurité" déclenche les guardrails. » Quand le filtre se déclenche, Fable s'arrête et dit que des mesures de sécurité ont flaggé le message pour des sujets de cybersécurité ou de biologie, puis dégrade vers Opus 4.8. Anthropic n'a pas répondu immédiatement à la demande de commentaire de TechCrunch.
C'est le coût des faux positifs du design de routage, et il atterrit pile sur la constituante que l'argument de sécurité est en partie censé empuissancer. Le cadre d'hier, c'était que la graceful degradation est plus humaine que le refus, t'as quand même une réponse, juste d'un modèle plus conservateur. La friction montre le hic : la rétrogradation est silencieuse et ciblée par sujet, donc un défenseur qui pose la question de sécurité la plus difficile est celui le plus susceptible d'être répondu par le modèle plus faible, sur le seul sujet où il voulait le plus fort. « Code sécuritaire » et « code d'attaque » sont dans le même champ lexical, et un classificateur en forme de mot-clé peut pas distinguer la blue team de la red.
Ça aiguise aussi le résultat NIST de ce matin de l'autre côté. Cette preuve disait qu'aucun set fini de guardrails est incassable, ce qui pousse vers tuner les classificateurs agressivement. Mais le tuning agressif a un échec symétrique : sur-bloquer et sous-bloquer sont le même cadran tourné dans des directions différentes, et le trafic légitime que t'arrêtes à tort est un coût aussi réel que le trafic malveillant que tu laisses passer à tort. Suiche concède que l'intention est bonne et s'attend à ce que les guardrails « évoluent avec le temps » à mesure qu'Anthropic travaille avec des firmes de cybersécurité. La note concrète pour les builders qui font du travail défensif sur des modèles frontier est moins rassurante entre-temps : le tier le plus fort est peut-être discrètement pas celui qui répond à tes questions de sécurité, et parce que la dégradation est silencieuse par design, on te le dira pas quand ça arrive à moins que tu watch le flag.
