Um dia depois de a Anthropic lançar o Claude Fable 5 com um design de segurança que cobrimos como sua feature mais elegante, pesquisadores de segurança apontam para a costura. O design é a graceful capability degradation: em vez de recusar uma requisição sensível, classificadores para cyber ofensivo, bio-químico e destilação de modelos roteiam a sessão para o mais fraco Claude Opus 4.8. A reclamação agora não é que os guardrails sejam fracos demais. É que o classificador cyber é ansioso demais, disparando em trabalho de segurança defensivo comum e rebaixando silenciosamente as pessoas cujo trabalho é defender.
Os exemplos são específicos. Valentina "Chompie" Palmiotti, pesquisadora de segurança na IBM X-Force, diz que o Fable "rejeita qualquer requisição que pudesse ser tangencialmente cyber. Até tarefas inocentes como ler um blog post." Matt Suiche, da startup de cibersegurança de IA Tolmo, diz que "se você pedir para ele escrever código seguro, ele assume que é trabalho relacionado a cibersegurança em vez de best practices de engenharia de software," e que até pedir uma revisão de código aciona o filtro. O diagnóstico do mecanismo por Suiche é a parte afiada: "Parece baseado em palavras-chave, então qualquer coisa no campo léxico da 'cibersegurança' dispara os guardrails." Quando o filtro dispara, o Fable pausa e diz que medidas de segurança sinalizaram a mensagem por temas de cibersegurança ou biologia, depois degrada para o Opus 4.8. A Anthropic não respondeu de imediato ao pedido de comentário do TechCrunch.
Este é o custo de falsos positivos do design de roteamento, e ele aterrissa justo na constituinte que o argumento de segurança em parte busca empoderar. O enquadramento de ontem era que a graceful degradation é mais humana que a recusa, você ainda recebe uma resposta, só de um modelo mais conservador. A fricção mostra o detalhe: o rebaixamento é silencioso e direcionado por tema, então um defensor que faz a pergunta de segurança mais difícil é o mais propenso a ser respondido pelo modelo mais fraco, no único tema onde queria o mais forte. "Código seguro" e "código de ataque" estão no mesmo campo léxico, e um classificador em forma de palavra-chave não consegue distinguir o blue team do red.
Também afia o resultado do NIST desta manhã pelo outro lado. Aquela prova dizia que nenhum conjunto finito de guardrails é inquebrável, o que empurra para tunar os classificadores agressivamente. Mas o tuning agressivo tem uma falha simétrica: super-bloquear e sub-bloquear são o mesmo dial girado em direções diferentes, e o tráfego legítimo que você para por engano é um custo tão real quanto o tráfego malicioso que você deixa passar por engano. Suiche concede que a intenção é boa e espera que os guardrails "evoluam com o tempo" à medida que a Anthropic trabalha com firmas de cibersegurança. A nota concreta para os builders que fazem trabalho defensivo em modelos frontier é menos reconfortante nesse meio-tempo: o tier mais forte pode silenciosamente não ser o que responde às suas perguntas de segurança, e como a degradação é silenciosa por design, não vão te avisar quando isso acontecer a menos que você fique de olho na sinalização.
