Anthropic于2026年6月12日宣布,因美国政府当天发布的一项出口管制指令,必须暂停其模型Fable 5和Mythos 5的访问。根据官方要求,任何外国公民——无论其身处美国境内还是境外,包括Anthropic的外国员工——都不得访问这两款模型。为确保合规,Anthropic表示别无选择,只能对所有客户全面切断Fable 5和Mythos 5的访问。Anthropic的其他模型不受影响。
该指令于美国东部时间当日17:21收到。Anthropic表示,来函并未详细说明所援引的国家安全担忧的具体性质。按照其理解,美国政府认为其掌握了一种针对Fable 5的绕过方法——即所谓的“jailbreak”。
争议中的绕过方式:让模型读取代码
Anthropic称其已审查该技术演示。演示仅用于识别“少量已知的轻微漏洞”,这些漏洞被认为相对简单,而且公司强调,其他公开模型无需任何绕过手段也能发现这些问题。
截至目前,Anthropic表示,美国政府仅提供了关于一种潜在、范围有限且并非通用的jailbreak的口头证据,其核心做法基本上是“要求模型读取特定代码库并修复其中的软件缺陷”。公司称,已查阅其认为导致该指令的报告,并核实其中描述的能力水平“在其他模型上也广泛可用(包括OpenAI的GPT-5.5)”,且安全防御团队每天都在使用。Anthropic承诺将在24小时内公布更多细节。
Anthropic的辩护:具备“业内最强”防护
Anthropic重申了其在Fable发布时的立场。公司称,其安全护栏“足够强”,以至于许多用户抱怨限制过于宽泛,尤其是在与网络安全相关的用途上。在发布前的数周内,Fable据称接受了数千小时的red-teaming测试,由美国政府、英国AISI、多个第三方组织以及内部团队共同参与。测试结果显示,这些防护措施“明显优于迄今任何已部署模型”。
更重要的是,Anthropic表示,“迄今为止,没有任何测试者找到通用jailbreak”——即能够大范围关闭安全护栏的绕过方式。不过,公司也承认,当前没有任何供应商能够实现绝对完美的防御,通用jailbreak最终大概率会出现;这一点公司称在Fable 5发布时就已明确说明。
“纵深防御”策略
由于无法实现完美抵御,Anthropic主张采用纵深防御策略:让绕过方式要么范围有限(非通用jailbreak),要么成本极高(通用jailbreak),并结合深度监测,以便快速发现并阻止任何成功攻击。公司还解释,这也是其对Fable实施30天客户数据留存的原因——这一措施确实会给客户带来成本,但也使其能够研究并修复jailbreak。Anthropic认为,这一策略已将Fable带来的风险降至与行业内已部署模型相当的水平。
Anthropic遵从,但提出异议
尽管Anthropic正在执行该指令并移除两款模型的访问权限,但公司明确表示反对:仅发现“一个潜在且范围有限的jailbreak”,不足以成为召回一款已“向数亿人部署”的商业模型的理由。若将这一标准推广至整个行业,Anthropic认为,这实际上将使所有前沿实验室的新模型发布“陷入停滞”。
Anthropic强调,公司公开支持政府阻止被认定为危险的部署,但前提应是一个“透明、公平、明确且基于技术事实”的法律程序,而公司认为此次行动并不符合这些原则。Anthropic为给客户造成的影响致歉,表示相信这是一次“误解”,并正在努力尽快恢复访问。
这不仅是监管先例,更是地缘政治先例
超越Fable 5和Mythos 5个案,此次事件标志着更深层次的转向:美国不再只管控芯片、算力或模型权重,而是开始主张可基于国家安全理由,直接中断一款已商业化模型的实际访问。
这是一个重要的变化。此前,围绕AI主权的讨论主要集中在上游:GPU、数据中心、数据集,以及开源或闭源模型。如今,控制延伸到了使用本身。问题不再只是“谁能训练前沿模型”,而是“谁有权调用它、在什么条件下调用,以及以什么国籍身份调用”。
针对外国公民的指令——即便他们身处美国境内,或为Anthropic工作——为全球AI经济引入了新的裂痕。它把用户、研究人员、员工或客户的国籍,变成了接入认知基础设施的参数。对于企业而言,这带来了难以通过合同覆盖的风险:一项已合法签约、技术上可用且已商业化部署的服务,可能因外部行政原因在一夜之间失效。
对于美国盟友而言,这一信号尤其敏感。欧洲、加拿大、日本、韩国或澳大利亚并不一定是此类措施的政治目标,但它们会承受其逻辑:在国家安全框架下,美国最先进模型的访问可能被暂停,而不会细分合作伙伴、竞争者与对手。此时,AI主权不再只是一个防御性口号,而是业务连续性问题。
这一先例也为那些挑战美国技术霸权的国家提供了论据。北京可能会将其视为进一步证明:美国前沿模型并非普通云产品,而是可被撤销的战略能力。华盛顿越是把访问控制作为权力工具,就越会促使其竞争对手加快建设各自的主权技术栈、封闭体系或区域体系。
难点在于所援引风险的性质。高级网络能力本身就具有双重用途:同一个模型既可帮助防御者识别漏洞,也可帮助攻击者利用漏洞。如果仅仅因为模型能够读取代码库并提出修复建议,就足以成为将其下架的理由,那么阻断门槛很快就可能覆盖几乎所有前沿模型。反过来,如果各国等待的证据门槛过高,又可能行动太迟。如今,正是这一中间地带仍缺乏明确的公开政策框架。
因此,Fable 5事件不只是对Anthropic的考验,也预示着前沿模型的政治秩序:这些产品面向全球商业化,却受主权召回权约束;它们是私有基础设施,却被视为战略资产;它们是软件工具,却在很大程度上受出口管制与国家安全逻辑治理。
未来几周所采用的标准将至关重要。如果一个范围有限、非通用、且与其他地方已存在能力相当的jailbreak,就足以证明全球性切断是合理的,那么前沿模型发布将进入一个新时代:条件化、可撤销且受地缘政治筛选的部署。反之,如果此事最终被证明只是过度谨慎或行政误解,它至少也揭示了一点:获取最先进模型,已不再只是市场问题,而是权力属性的一部分。