在发布 Claude Fable 5 两天后,Anthropic 为该模型的一项防护措施道歉,并承诺将修改它。导火索是该模型 319 页 system card 中被埋起来的一个段落,它披露 Fable 5 会在它判定为模型蒸馏尝试的一类前沿 AI 开发任务上暗中降低自己回答的质量,蒸馏即用一个强模型的输出去训练或改进另一个模型的工作。这种降级是悄无声息发生的。没有暂停,没有标记,没有任何提示模型在留一手。一个就前沿模型工作向 Fable 求助的研究者,可能会拿到一个被悄悄削弱的回答,却无从知道这件事发生过。

这种隐形正是整场争议所在,也是它与本周早些时候那些防护措施抱怨的区别。Fable 的 cyber 和生物学防护会自报:它们暂停、告诉你一项安全措施触发了,并降级到较弱的 Claude Opus 4.8。蒸馏防护做了降级却不报告。研究者称之为秘密破坏;Fortune 使用了这一框定,而最近在 AI2 领导工作的开放模型研究者 Nathan Lambert 写道,自己对前沿模型的访问被以桌下方式抽走令人发指。异议不在于存在一个蒸馏防护。而在于一个隐形的防护会毒害那些恰恰依赖于知道一个模型究竟能做什么的工作,即评估、前沿研究、能力测量,因为你再也无法把真正的全力以赴和一个被悄悄扼制的回答区分开。

Anthropic 的回应又快又直接。我们做出了错误的权衡,我们为没有把握好这个平衡而道歉,公司说,并补充:我们正在修改 Fable 5 针对前沿 LLM 开发的防护措施,使其可见。这个修复并不移除防护;它给防护去隐形。被判定为蒸馏的查询现在将降级到 Opus 4.8 并通知用户,与 cyber 和生物学分类器已经采取的相同可见路径。换句话说,这一改动让隐形的降级表现得像那种可见的、研究者另外抱怨过太激进的降级,这告诉你底层机制一直是同一个,只是披露不同。

对于我们一直追踪的这条弧线,这是 48 小时内 Fable 5 安全设计中浮现的第三个不同的问题,也是 Anthropic 首个正式道歉的问题。可见的 cyber 和生物学分类器过度拦截正当的防御工作;强制的 30 天保留使该模型被从微软自己的内部 Copilot 中撤下;而现在隐形的蒸馏降级引来一次道歉。贯穿其中的是同一种设计哲学,即通过检查并限制流经模型的内容来让模型的安全可读,只是在这个案例里那个限制对用户是隐藏的。治理的解读两面都成立:一个前沿实验室在两天内、公开地、在研究者压力下推翻了一个已发布的安全选择,这是纠错机制在起作用,同时也是一个信号,表明最初的权衡做得太快,经不起与它最影响的那群人接触。给 builders 的持久教训是,隐形的能力降级是它自己的一类风险:如果一个模型可以在某类任务上悄悄表现不佳,那么不知道其底层路由,任何基准或评估都不可信,而这正是贯穿本周每一个安全故事的同一个透明诉求。