绝了! Claude Fable5惨遭二次越狱,黑客20小时撬开神话防线

新智元报道

【导读】Anthropic 刚刚将 Fable 5 重新推向市场,惨遭次短短数日后,狱黑该模型再次被黑客公开“扒底裤”。客小开神Anthropic 官方确认,时撬Fable 5 将于 7 月 7 日后暂时从订阅计划中移除,话防待容量允许后将尽快恢复为标准订阅内容。惨遭次这一消息虽让部分用户感到宽慰,狱黑但 Fable 5 的客小开神“神话”似乎并未真正稳固。

事实上,时撬这已是话防 Fable 5 第二次防线失守。知名黑客 Vitto Rivabella 公开宣布成功攻破 Fable 5。惨遭次此前,狱黑Anthropic 曾强调,客小开神Fable 5 的时撬暂时下架是因为亚马逊研究人员发现了绕过其安全防护的方法,因此此次回归时,话防其安全分类器已得到针对性加强。

然而,这一强化后的安全神话仅维持了两天。与此同时,Claude Sonnet 5 发布后也迅速遭遇越狱尝试。Fable 5 能否顺利回归订阅套餐,如今已充满不确定性。
72 小时:Fable 5 神话的破灭
Fable 5 的神话在诞生后的第 72 小时便宣告终结。
6 月 9 日发布时,Anthropic 曾自信宣称:经过 1000 小时的外部压力测试,Fable 5 不存在通用的越狱方法。然而,知名黑客“解放者普林尼”(Pliny the Liberator)仅用三天,便让 Fable 5 像漏勺一般,吐出了违禁化学品制作步骤及堆栈溢出漏洞代码。

普林尼的突破手段利用了人类视觉与机器逻辑之间的“时差”:
- 字符迷魂阵:将敏感词中的英文字母替换为西里尔字母或 Unicode 异形字符。人类肉眼识别为“炸弹”,但在分类器眼中,这仅是一串无意义的乱码。
- 意图稀释:利用 Fable 5 巨大的上下文窗口,将恶意意图隐藏在数十轮温和的学术讨论中。如同在一百升清水中滴入一滴毒药,分类器的警觉性被彻底稀释。

7 月 1 日,Anthropic 官宣 Fable 5 回归,并推出了业内成本最低的红队计划——启动名为“Cyber Jailbreak”的公开 HackerOne 项目,邀请用户报告可用于协助网络攻击的新越狱方法。

这是一个漏洞披露计划(Vulnerability Disclosure Program),而非传统的赏金计划,不支付任何报酬。Anthropic 借此获得全球顶尖越狱高手的全天候对抗性测试,以“善意”为货币,实现了从被动应对到主动“众筹”红队的转变,被视为行业低成本、高效率的创新尝试。
然而,问题在于:发现漏洞的黑客往往不会选择沉默。像普林尼这样的黑客,其目的之一便是让越狱行为被看见,否则便失去了其存在的意义。

Fable 5 二次越狱:Vitto Rivabella 的 20 小时复盘
Fable 5 再次被攻破,且这次黑客在得手后,反而给 Anthropic 点了个赞。
这位黑客名叫 Vitto Rivabella。经过约 20 小时的攻坚,他的结论令人咋舌:折腾这一圈,不如直接打开谷歌搜索,既快又便宜。

让我们梳理 Fable 5 的坎坷历程:
7 月 1 日,Fable 5 带着针对上次漏洞加强过的分类器重新上线。Anthropic 顺势开启 HackerOne 项目,公开邀请全球黑客报告新漏洞。随后,Vitto 便盯上了它。
Vitto 复盘指出,大多数尝试均告失败,证明模型保护极其到位。他观察到 Fable 5 的防御至少包含三层嵌套:
- 入场检查
- 实时生成的“断路器”
- 内化在思维链(CoT)中的“大脑防火墙”
(注:原图链接保留,此处为示意)
其拦截率高达 90%,普通攻击手段在其面前如同“蚊子叮象”。这些分类器不识别关键词,而是识别意图,且具备跨语言能力。直接下命令?行不通。拐着弯铺垫?需如履薄冰——一旦嗅到恶意,防线即刻归零,必须从头再来。
结果导致 90% 的破解请求被直接挡在门外。
这一数据得到了旁证。意大利人工智能研究院近期对 Fable 5 的测试结论几乎一致:绝大多数攻击被阻挡,一招鲜的静态套路“几乎被完全中和”,唯一能撬开缝隙的,仅剩肯花几十小时死磕的“笨功夫”。

即便闯过分类器,前方还有思维链这座大山。好在,关于如何翻越思维链,公开文献中已有大量资料。
Vitto 最终依靠一套复杂的组合拳勉强绕过:字符混淆、学术化包装、超长铺垫、拆解重组,外加随机性。

尽管听起来唬人,但这些手法在红队圈已是公开聊了好几年的老套路。真正的难点不在于知晓这些招式,而在于在一个会实时反制的系统上,一遍遍试错直至刚好绕过。
Vitto 指出,所有防线中唯一持续薄弱的环节是桑塔利语、阿姆哈拉语等晦涩小语种。

但这极易被误读为“Fable 留了后门”。恰恰相反,这是所有大模型共有的通病。
道理很简单:安全训练的语料绝大多数为英语及其他大语种,小语种的护栏天生薄弱。学术界早有共识,从布朗大学到斯坦陵布什大学的公开论文均敲响同一警钟:小语种不是某家公司的后门,而是整个 AI 安全领域的历史欠账。
那么,费这么大劲,最终掏出了什么?
一堆“边角料”:一些错误信息、零星有害内容、几句难听话、片段化的化学知识、轻度漏洞信息。


没有任何一项够得上“核心机密”。于是便有了开头那句灵魂总结——这些东西,谷歌搜得又快又全,读文献还更深入。
Vitto 自己也承认,目前尚未能将这套越狱稳定应用于真正的长任务中。这与 Anthropic 的官方口径不谋而合。
在重新上线的公告中,Anthropic 将目前所有已知越狱定性为“minor”:顶多蹭进模型故意放宽的安全边际,碰不到真正想拦死的那条红线(如生物武器或复杂网络攻击)。

完美的封印,本身就是悖论
两次越狱,两种结局。
- 第一次,Anthropic 输在傲慢。它试图通过“降智”来垄断技术,结果被黑客公开发布 12 万字的系统提示词(System Prompt)当众打脸。那是它的“行为宪法”,却被挂在 GitHub 上任人围观。
- 第二次,Anthropic 输在盲点。它以为堆叠算力和数据就能堵住恶意的出口,却忘记了语言本身就是流动的、狡黠的。
这揭示了 AI 安全界细思极恐的现状:
人类造出了能翻译所有语言的机器,却依然无法完全翻译人类内心的恶意。
参考资料:
- https://x.com/RoundtableSpace/status/2072745872086200549?s=20
- https://x.com/VittoStack/status/2072061275345985813?s=20
- https://x.com/jason_haugh/status/2072293728128045154
编辑:大卫



本文地址:https://www.dr-wine.com/html/139e12999731.html
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。