Anthropic最新发布的Claude Fable 5绝非普通升级——这是一个曾被判定‘太危险’而封锁的AI模型首次向公众开放。它不仅拥有自主发现零日漏洞的惊人能力，更开创性地通过‘信任分层’机制重新定义产品形态。本文深度解析这一里程碑事件如何颠覆AI产品设计逻辑，以及为什么每个产品人都该关注‘能力边界’正在成为新的核心竞争力。

6月9日，AI行业发生了一件大事，而且我认为它的分量被很多人低估了。

Anthropic发布了Claude Fable 5。如果你只看新闻标题，会以为这又是一次例行的模型升级：最强、刷榜、降价。但这次不是。这次发布的特殊之处在于，被放出来的这个模型，两个月前还被Anthropic自己判定为”不能公开”。

先说它的来历。今年4月，Anthropic训出了一个叫Mythos的模型，没有公开发布，只通过一个叫Project Glasswing的封闭计划，开放给极少数机构——AWS、微软、苹果、CrowdStrike，清一色管着关键基础设施的公司。为什么捂这么紧？因为这个模型在受限测试里展示过一种前所未有的能力：自主发现并串联主流操作系统和浏览器上的零日漏洞。

注意这句话的含义。不是”辅助安全研究员找漏洞”，是”自主发现并串联”。在网络安全的世界里，零日漏洞是最硬的通货，顶级团队挖一个可能要几个月。一个能自己批量做这件事的模型，落在错误的人手里意味着什么，不用我展开。

所以过去两个月，这个模型一直处在一种奇怪的状态：它是地球上最强的AI之一，但只有十几家、后来扩展到几百家受信任的机构能碰到它。

然后，6月9日，Anthropic把它带给了所有人。

我做AI产品快三年，看过太多次”史上最强”的发布。但”把一个曾经因为太危险而被封锁的模型开放给公众”，这在行业里是第一次。这不是一次升级，这是一个先例。而先例意味着，它处理问题的方式，会成为后面所有人抄的答案。

这篇文章想讲清楚两件事：Anthropic是怎么解这道题的，以及作为一个用AI做产品的人，我为什么觉得这次发布跟我们每个人都有关——包括几个月前我自己做的一款小游戏，和那个游戏里一个此刻看来格外应景的隐藏结局。

它是怎么被放出来的

直接公开一个会挖零日漏洞的模型，等于开闸放水。Anthropic的解法是把同一个模型拆成两个产品。

面向公众的版本叫Fable 5。它的能力是完整的——几乎所有基准测试都是当前最强，软件工程、知识工作、视觉、科研全面领先，而且任务越长越复杂，领先幅度越大，配一百万token的上下文窗口。但它身上套了一层安全分类器：当你的请求踩进网络安全、生物、化学这些高危领域，系统不会让Fable 5回答，而是悄悄切换成上一代的Opus 4.8来回复你。官方说大约95%的会话不受影响，剩下5%的人，得到的是一个降级但安全的答案。

不带分类器的版本叫Mythos 5，号称拥有全球最强的网络安全能力，只开放给通过审核的机构：网络防御伙伴、走信任计划的生物医药研究者。

两个版本定价完全一样，每百万输入token十美元、输出五十美元，不到Mythos预览版的一半。价格不区分人，区分人的是资质。

为了确认这层锁足够结实，Anthropic在发布前跑了超过一千小时的漏洞赏金测试，又请外部红队轮番攻击，确认没有人能找到通用越狱手段，才敢上线。

还有一个条款藏在公告深处，但我认为它的影响不亚于模型本身：随着这次发布，Anthropic要求对所有流量保留30天数据——哪怕企业之前签过零保留协议。官方解释是用于防御新型攻击。翻译一下就是：想用最强的模型，请先让渡一部分数据控制权。

真正被发布的东西，不是模型

把上面这些拼起来，你会看到这次发布真正的产品逻辑。

传统的产品分层，轴是功能和用量：免费版、专业版、企业版。Fable 5和Mythos 5的分层轴是信任。两个产品能力一模一样，价格一模一样，唯一的差别是约束的松紧。Anthropic第一次把”你是谁、我们信不信你”做成了SKU。

我反复咀嚼这个设计，越想越觉得它标记了一个转折：在能力溢出安全阈值之前，产品的价值约等于能力本身，模型更强产品就更好；溢出之后，逻辑反过来了——决定产品形态的不再是能力，而是约束。约束怎么设计、对谁松对谁紧、触线之后怎么兜底，这些原本属于安全合规部门的事，第一次站到了产品定义的正中央。

那个分类器的实现方式，对做agent的同行来说尤其值得看一眼。我过去一年在多agent架构上反复纠结过一个问题：路由逻辑该放在主agent里，还是抽出来做独立的Router Agent。Fable 5给了一个我没料到的答案——把路由前置到模型服务层。判断请求性质、决定由哪个模型应答、对用户透明，这就是一个Router，只不过它不在你的应用代码里，在Anthropic的机房里。以前”敏感请求降级”是应用层产品经理自己要搭的东西，现在模型厂商内置了，而且做得比绝大多数应用团队精细。应用层的领地，又被上收了一块。

至于30天数据保留，它开的口子更大。数据保留政策从来是合规谈判桌上的条款，现在它成了使用顶级能力的前置代价。”用数据换能力”这笔交易一旦被头部公司做成行规，后面的厂商大概率会跟。做To B的同行，往后跟客户聊数据合规，绕不开这个新变量。

我游戏里的那个结局

说说为什么这次发布让我个人格外有感触。

几个月前，我用Claude Code和Codex做了一款叫《木石缘》的游戏。《纸嫁衣》式的古风剧情解谜，背景取自《红楼梦》开篇那段神话：神瑛侍者以甘露浇灌绛珠仙草，仙草发愿下凡，用一世眼泪偿还。七世轮回，多结局，全程我没写一行代码，两个模型互相对跑，我的角色更像导演。

游戏里埋了一个隐藏真结局：走完七世轮回，角色会打破故事的边界，发现自己所在的世界由代码构成，所谓命运，是被设计好的。做的时候我觉得这是个妙极了的meta梗——一个由AI写出来的故事，讲的恰好是被造物发现自己是被造的。

Fable 5发布之后，这个梗在我心里翻出了第二层：现在轮到造物主，给自己最强的造物上锁了。

Anthropic造出了一个能自主挖零日漏洞的模型，然后花了两个月、上千小时的攻击测试、一整套分类器和数据政策，去确保它不会做出”没被允许做的事”。被造物越强，造物主越要严肃对待失控的可能。

这种感觉我体会过，只是尺度小一万倍。做游戏那段时间，我经常处在失控感里：模型自己往前跑，写出我没要求的机制，我只能事后检查，决定留不留。大部分时候这种失控是惊喜，偶尔是灾难。我当时把它当作vibe coding的代价咽了下去。现在看，这不是代价，这是常态——能力的增长速度，已经超过了我们理解它的速度。于是”约束”先从工程问题变成产品问题，这一次，又变成了商业问题。整场发布，本质上是Anthropic在公开回答一道题：当你不能完全理解你造的东西时，怎么把它负责任地卖出去。

这跟你我有什么关系

可能有人觉得零日漏洞、生物安全离自己的工作太远。我说说近的部分。

最直接的一条：一个人做完整产品，又往现实逼近了一大步。Fable 5最突出的特点是任务越长越复杂、优势越大，而长任务恰恰是上一代模型做产品时最容易断掉的地方。我用上一代模型零代码做出了一款带数值系统和多结局的游戏，已经觉得不可思议；这一代能撑住的工程复杂度只会更高。”想法比技术值钱”，含金量还在涨。

但黑箱也在同步变深。做《木石缘》时我最无力的时刻，不是AI写不出来，而是它写出来的东西出了bug，我只能让它自己查自己，像让嫌疑人自己审自己。模型越强，可解释性成本越高。做玩具无所谓，做严肃产品，这笔账要在立项时就算，而不是上线后才发现。

最后一条是我最想说的：产品经理的核心技能，正在从”定义功能”迁移到”定义边界”。Fable 5的fallback机制是教科书级的边界设计——直接拒绝会赶走用户，降级回答保住了体验，同时守住了底线。什么能做、什么不让做、触线之后降到哪里、用什么姿态告诉用户，这些设计以后会越来越多地落在产品经理头上。因为在能力过剩的时代，约束不再只是限制，它就是产品体验本身。

结尾

《木石缘》的真结局里，角色看清了世界由代码构成之后，没有崩溃，也没有出走，而是带着这份知晓，把这一世走完。

6月9日之后，我们都活在差不多的处境里：清楚地知道，自己手里的能力来自一个连它的创造者都不敢说完全理解的黑箱，但还是要继续用它做东西。区别只在于，有人假装黑箱不存在，有人开始认真设计与黑箱相处的规则。

Anthropic选了后者，并且把规则本身做成了生意。这才是6月9日真正发布的东西。

所以我有个不一定对的判断：能力会越来越便宜，边界的设计不会。下一个阶段最值钱的AI产品经理，可能不是最会用模型的那批人，而是最会给模型画线的那批人。