把模型吹成军火吹了三年，美国政府这次当真了：Fable 5 上线 72 小时被全球下架

周一还是整个行业争相测评的当红炸子鸡，周五晚上就成了连造它的人都不能合法碰的违禁品，只要你手里那本护照"不对"。

Anthropic 的 Fable 5 经历的就是这么个 72 小时。6 月 9 日，它作为首个面向公众开放的 Mythos 级模型发布，官方宣称它在几乎所有测试基准上都是 SOTA，软件工程、科研、视觉样样领先。6 月 12 日周五傍晚 17 点 21 分（美东时间），美国商务部一纸指令送到 Anthropic，援引国家安全出口管制，要求禁止任何外籍人士访问 Fable 5 和它背后的 Mythos 5，不管这个人在美国境内还是境外，连 Anthropic 自己雇的非美籍员工也不例外。

为了合规，Anthropic 干脆把这两个模型对所有用户全部下线，美国人也一起用不了了。一刀切，全球断网。Claude 其余的模型，包括 Opus 4.8，不受影响。

这件事这两天的报道铺天盖地，大多在两个方向上打转：一是"特朗普政府又在搞技术封锁"，二是"中国和外籍开发者又要被卡脖子了"。这两个角度都没错，但都不是我想说的。我想说的是一件更别扭、也更值得 IT 圈琢磨的事：这一刀，有相当一部分是 Anthropic 自己递的刀。

"危险"是它卖了三年的人设

要理解政府为什么会下这么一道在外人看来近乎"漫画式荒诞"（这是前特朗普政府官员 Dean Ball 的原话）的命令，得先看 Anthropic 这家公司是怎么把自己包装出来的。

在所有大模型公司里，Anthropic 是把"安全"和"危险"这两个词挂在嘴边最勤的一家。别家发布模型，主打更聪明、更便宜；Anthropic 发布模型，总要附带一整套关于"这东西有多危险、我们为此做了多少防护"的叙事。ASL 安全等级、动辄数千小时的红队测试、为高危能力专设的访问审批，都是它的标配。

Mythos 就是这套叙事的顶点。这个模型家族今年早些时候问世时，Anthropic 给它的定位是"具备超人级网络漏洞挖掘与利用能力"。说白了，就是能自动找出并利用软件里的安全漏洞，强到吓人。强到什么程度？强到它不对公众开放，只通过一个叫 Project Glasswing 的项目，发给少数已获批准的机构，用于敏感的网络安全和生物领域。而这次被禁的 Fable 5，是 Anthropic 第一次尝试把 Mythos 级的能力"阉割"后端给普通人用：在网络安全、生物、化学这些高危领域，它会主动拒答，把请求甩回给更老实的 Opus 4.8。

你品一下这个产品设计本身传递的信号：我们造了一个危险到不能直接给你用的东西，现在给你一个戴了嚼子的阉割版。这是一种很聪明的营销，危险本身就是护城河。越强调它危险，就越显得它强，越显得只有 Anthropic 驾驭得了。

问题是，营销话术说给投资人和媒体听，和说给手握出口管制权力的商务部听，是两码事。

政府只是把它的新闻稿当真了

安全研究员 Peter Girnus 对这件事的评论，我认为是所有报道里最一针见血的一句：

"如果你在每一篇新闻稿里都把自己的产品形容成军火，那么迟早有一天，政府会按你说的字面意思办。"

这句话是整件事的钥匙。回头看商务部这道指令的触发点：政府方面认为，他们掌握了一种能"越狱"Fable 5 的方法，具体做法是让模型去读一个代码库，然后修复其中的软件缺陷。在他们眼里，一个被宣传成"近 Mythos 级网络武器"的模型，一旦护栏能被绕过，那就是货真价实的、可被外国势力利用的危险能力外流。于是顺理成章地，把它归到出口管制的"军火"那一类去管。

从监管者的逻辑链条看，这一步并不疯。疯的地方在于，喂给这个逻辑链条的前提，恰恰是 Anthropic 自己花了三年时间、不遗余力往所有人脑子里灌的那套话。政府没有误读它，政府是照单全收了它。

这就是我说的"作茧自缚"。你不能一边对着镜头把自家模型说得危险到能改变国家安全格局、借此抬高身价，一边又指望监管者听完之后摆摆手："哦那其实没那么严重，你们接着卖。"没有哪个监管者会这么配合。

一周之内，控方变成了辩方

最微妙、也最能说明问题的，是 Anthropic 这次的官方回应。

在那份声明里，Anthropic 的姿态和它过去三年完全调了个个儿。过去它是"控方"，逢人就讲自己的模型多有威胁；这次它成了"辩方"，急着证明 Fable 5 其实没那么危险。它的反驳大致是这么几条：

第一，这只是一个"狭窄的越狱"（narrow jailbreak），不是能绕过所有护栏的通用越狱，被演示出来的那点漏洞既轻微又是早就知道的。第二，能找小漏洞这种能力，竞争对手的公开模型也有，比如 OpenAI 的 GPT-5.5，凭什么单挑我。第三，Fable 5 上线前做了数千小时红队测试，护栏比以往任何模型都强。第四，也是它说得最重的一句："我们不认同：仅仅因为发现一个狭窄的潜在越狱，就召回一个已经部署给数亿人的商用模型。"

这些话单独看，每一条我都觉得站得住。一个商用模型不可能做到对越狱的完美免疫，这是行业常识，Anthropic 自己也承认"任何模型厂商目前都做不到这一点"。如果按"发现一个狭窄越狱就召回"的标准执行下去，那全行业以后谁都别想发新模型了。这个滑坡，Anthropic 点得很准。

但你把这四条反驳和它过去三年的人设并排放在一起看，尴尬就出来了：它现在为了自救而说的每一句"我没那么危险"，都在拆它当初为了卖货而立的"我很危险"的台。如果 Fable 5 真像你声明里说的这么安全可控、和 GPT-5.5 也没本质区别，那你当初把 Mythos 包装成超人级网络武器、搞 Project Glasswing 审批制、把发布会开成安全发布会，又是图什么？

这不是文字游戏，这是一家公司两套话术在同一周内迎头相撞。Anthropic 这次叫屈，我觉得叫得不冤。倒不是政府这道命令有多英明，而是它现在憋的这口气，本来就是它自己亲手喂大的那套逻辑憋出来的。

挨刀的不止外籍开发者

把视线从 Anthropic 的尴尬上移开，看看这刀子实际落在了哪几处。

最直接挨刀的是外籍工程师，包括 Anthropic 自己人。一家把多元国籍人才当核心竞争力的硅谷公司，现在要面对一个荒诞局面：自家非美籍的工程师，可能没资格访问自己亲手参与训练的模型。Gary Marcus 提到的一个后果我觉得值得记下来：这种政策拖久了，可能会把在美的中国研究者往回赶。对一个靠全球人才密度吃饭的行业来说，这不是小事。

比这更让管理层睡不着的，是悬在头顶的那场 IPO。时间点太要命了。Anthropic 据报道刚刚保密递交了上市申请，估值约 9650 亿美元。再往前，五角大楼已经把它列为"供应链风险"。现在又添一道"旗舰模型被以国家安全名义全球召回"。叠在一起，对一家正要敲钟、急需向投资人证明"我和美国政府关系稳固、业务可预期"的公司，全是连环的负面信号。上市前最不想要的故事，就是"我的核心产品随时可能因为一封政府来信而一夜下线"。

但这件事划得最深的一道痕，IT 从业者尤其该记住，是它立下的先例。据我所知，这是大语言模型第一次被套上出口管制、近乎"军火"的框架，对特定国籍人群实施访问封锁。先例一旦立住，这次禁了谁反倒是小事。要命的是它顺手立了一套能反复套用的逻辑：模型 = 受管制技术，越狱 = 武器扩散风险，外籍访问 = 出口行为。而这套逻辑的触发门槛低得吓人。按 Anthropic 自己的说法，"发现一个狭窄越狱"就足以拉闸，可任何模型都不可能没有狭窄越狱。也就是说，理论上任何一家公司的任何一个前沿模型，都活在这把随时可能落下的铡刀底下。

它会恢复，但话术会变吗

把话说回到最前面那个 72 小时。一个模型从万众瞩目到全球下架只用了三天，这件事本身的荒诞，会诱使很多人把它简单归类为"特朗普政府又乱来"。我不否认行政命令这一面，但只盯着这一面，会错过更要紧的一层：Anthropic 这家最擅长讲 AI 安全故事的公司，第一次尝到了自己故事讲得太好的代价。

它接下来大概率能把模型恢复，毕竟连它自己都说这是"一个误解"，双方都有台阶下。但我更关心的，不是它什么时候恢复，而是它恢复之后，叙事会不会变。一家公司可以更新一个模型的护栏，却很难更新一套讲了三年、已经写进品牌基因里的话术。如果下一次发布会，Anthropic 还是照旧把新模型往"危险到能威胁国家安全"上夸，那说明它根本没从这次回旋镖里学到东西；如果它的措辞开始变得收敛、开始强调"可控""可用"而不是"危险""强大"，那才是这次事件留下的真正改变。

所以，给你一个具体的、不用等结论的观察点：盯着 Anthropic 下一款前沿模型的发布通稿，数一数里面"危险""安全风险""国家安全"这类词出现的频率，和这次比一比。词频的变化，会比任何官方道歉或复盘都更诚实地告诉你，它到底有没有意识到，那把砍向自己的刀，最初是谁递出去的。