Fable 5：封杀是暂时的，破坏是持久的

关于Fable 5被封，这几天你大概刷到过十几个版本：安全叙事翻车、把「安全」拆成流量密码、求锤得锤、模型主权、开源胜利。这些判断我大多同意。

但有一件更要紧的事，几乎没人讲。而且它不会随着Fable解禁而消失。这篇，我想讲的就是它。

要讲清楚它，得先把这场封禁本身看明白：从能力，到逻辑，到底是谁扣的扳机，它每一层都比表面更不对劲。我们从最简单的一个问题开始：这个被全世界喊作「最强」的模型，到底有多强？

发布那两天，从Karpathy到一线工程师，都在喊「世代级跃迁」。先说我的结论：他确实强，但没有网上说的那么神，更不是出来就秒杀一切的那种。

我用Fable做了几个研究任务，产出我很满意，想得全面，该考虑的反方、该交叉的来源基本都铺到了。但真正让我意外的不是「他更聪明了」，而是他干活的方式：在我给他的几个研究任务里，他会一口气派出七十到一百七十多个agent去并行查证。代价是token烧得吓人，几个任务就刷掉惊人的额度。

这让我重新琢磨「能力提升」这四个字。他的进步，模型本身变聪明当然占一部分；但我越来越觉得，更大的一部分来自他做了远超以前的工作量。前沿模型的「强」，正在越来越多地变成「愿意派多少agent、舍得烧多少token」的强，这跟「每一步都更聪明」，是两回事。

可以拿Codex做个对照。我长期同时用Claude和OpenAI最强的模型，单论硬推理、单点攻坚去解一个真正难的问题，Codex其实更强，我觉得这个能力在Fable之上。但他用起来体验差得多：容易钻牛角尖，长任务里又会过度保守，但是你说他严谨吧，他有时还会不打招呼就改掉你的东西。Fable这一系真正的长处，是把速度、体验、推理之间的取舍平衡得好，但绝对推理性能，是不如Codex的。

我用Fable产出的东西，转头让Codex去review，照样能挑出一堆错。

知道了「强在肯下本钱」这件事，再回头看那些被反复引用的跑分，就该多一层警觉。最常被搬运的那个数字，SWE-Bench Pro 80.3%，吊打GPT-5.5的58.6%，这几天几乎被所有中文实测稿当成跨模型的硬实力抄了上去，却没人提一句：它是Anthropic用自家脚手架（scaffold）跑出来的，跨模型根本不能这么比。在统一脚手架的中立榜单（Scale SEAL）上，Fable 5干脆没上榜，同类最高也才59分上下。

同样被到处转的那条「末日能力」证据，「一次扫描揪出OpenBSD一个藏了27年的内核漏洞」，也是他四月一个预览版的旧成果，根本不在这次这三天的窗口里；不少稿子却直接把它记到了这次封禁的账上。

拼到一起，结论很朴素：他是真台阶，尤其在长流程的编程和研究上；但「跨代」「末日武器」这套话术里，安全营销和自家跑分的水分都不小。

这一点之所以重要，是因为接下来这场封禁的全部正当性，恰恰建立在「他强到危险」这个被放大的前提上。前提如果是虚的，后面的逻辑还站得住吗？

退一万步，就算他强到配得上「末日武器」这个词。这场封禁的逻辑，仍然是反的。

政府给的理由是：有人越狱Fable，让他吐出了可用于网络攻击的信息。听起来吓人。但安全圈第一时间就泼了冷水。红队出身的Katie Moussouris（Luta Security创始人）看完那份报告说得很直接：这根本不是越狱，是「防御导向提示」，是防守方天天需要的能力。她还说，如果国防是目标，这一下是朝自己球门里踢了个乌龙。

这话点中了要害：找漏洞去修补（防御），和找漏洞去利用（进攻），是同一种能力。你没法训练出一个「只会找漏洞来打补丁、绝不会找漏洞来打人」的模型，这两件事在技术上根本切不开。Simon Willison把这层说得更具体：那些提示之所以奏效，正因为它们是防御性请求；这种能力一旦拿掉，模型连帮你修bug、验补丁都会跟着变差。

最有意思的，是Anthropic自己的反驳。在叫停声明里，他们为了证明这事没那么严重，亲口承认：触发禁令的那个能力，「在其他模型上广泛存在（包括OpenAI的GPT-5.5），而且防御者每天都在用」。翻译一下就是：你们当成核弹按钮要没收的东西，隔壁GPT-5.5也有，全世界的安全工程师天天都在按。更何况，Fable本来就在网络安全、生物、化学这些敏感领域自动降级、回退到上一代的Opus 4.8，厂商自己早把刀刃磨钝了一截。

所以「按能力封禁前沿模型」这件事，从根上就不成立。你掐掉的，是站在明处、肯合规的那批防守方的武器；真正想干坏事的人，用GPT-5.5、用开源模型、用越狱版，照样能干。

两百多个CISO和安全研究者，Alex Stamos、Bruce Schneier、Katie Moussouris都在其中，联名写公开信要求撤销管制，理由就是这个。连一向不掺和的言论自由组织FIRE都站了出来，说这是对一项表达工具的「先发制人审查」，是「我们过去只在境外威权政府对互联网下手时才见过的那种kill switch」。

讽刺的是，Mythos确实干过一件漂亮事：一次扫描就揪出OpenBSD那个藏了27年的内核漏洞（虽然那是他四月预览版干的）。可那是什么？那正是防御：把它找出来，好补上。我们封禁一个模型，理由却是他太擅长替我们找漏洞。

Anthropic自己那句反驳，我是同意的：

理由站不住，那这事到底是怎么发生的？这里就要说到「求锤得锤」漏掉的、最关键的一块：真正扣扳机的，不是政府主动巡查，是Anthropic自己最大的股东。

据《华尔街日报》，是亚马逊CEO贾西（Andy Jassy）找上财政部长贝森特（Scott Bessent）等高官，说亚马逊自己的研究员用Fable跑出了可用于网络攻击的信息。两天后，商务部那封5:21的信就到了。白宫的David Sacks后来在X上补了链条：政府先要求Anthropic创始人Dario Amodei修复或下架，他拒绝，管制令才「不情愿地」发出。

这里得先指出一个中文报道里几乎传遍的硬错误：很多稿子说亚马逊「持股58.4%、还是董事会成员」。两条都不对。亚马逊既不在Anthropic的董事会，手里的股份也没有投票权，它累计投了约130亿美元（承诺上限约330亿），形式是可转债加无投票权优先股，经济权益大概15%到20%。这个细节不是抠字眼，它直接改变了整件事的性质：要害根本不是「董事背叛了公司」，亚马逊压根没那份信义义务。

要害是另一件更冷的事：股权，根本不等于利益一致。

亚马逊在Anthropic身上同时是三个身份：最大的财务投资人、它赖以训练和服务的云供应商（Anthropic欠着AWS巨额的算力承诺），以及它最大对手的金主。今年2月，亚马逊宣布向OpenAI投至多500亿美元。

AWS的CEO Matt Garman被问到同时押两家会不会利益冲突时，回答得相当坦白：

把这三个身份摆在一起，你就明白为什么「股东会保护被投公司」是个幻觉了。亚马逊赌的从来不是「Anthropic赢」，是「AI赢」，它两头下注，谁赢都行。而它卖云、卖Bedrock上那几十个模型，结构性利益其实是「模型越多越便宜、没有谁一家独大」。削弱一个跑在前面的Anthropic，对它不但无害，某种程度上还顺手。

还有两层力量对比，让亚马逊更没什么可顾忌的。

第一，这笔投资账面虽然已经涨到六百多亿美元，但对一家两万多亿市值的公司来说，仍旧是九牛一毛。真正撑起亚马逊的是AWS，不是Anthropic那点股权增值，它犯不上为这个去得罪政府。

第二，这段关系从一开始就不对等：Anthropic训练和跑模型严重依赖AWS，欠着巨额的算力承诺，短期根本换不掉，而亚马逊太清楚这一点。一个命脉攥在你手里、又走不掉的合作方，得罪起来几乎没有成本。说到底，是双方的实力差，决定了Anthropic才是这段关系里弱势的那一方，它喊得再响，也改不了这个位置。

公平地说，这条链子别拉太直。Sacks的说法是政府先给了修复的机会、是Dario拒绝在先；亚马逊也可能真觉得那个能力危险、走的是正常上报渠道。动机大概率是混合的：竞争的算计、政治上的避险，外加一丁点真实的担心（有吗？）。

但无论动机如何，结构是清清楚楚的：一个没坐进董事会、纯财务的股东，都能反手把你捅到白宫，正因为它的利益从一开始就和你不完全重合。

这也是「求锤得锤」那个爽快结论最大的盲点。它把整件事解释成Dario玩脱了的回旋镖：喊政府管自己，结果真被管了；不少中文报道顺着这逻辑，写成「没想到政府这次真听进了他的话才动手」，把最关键的那个扳机，亚马逊，整个漏掉了。可真正按下按钮的，不是政府阅读了Dario的檄文，是他金主的一通电话。

Anthropic设了个「长期利益信托」（Long-Term Benefit Trust）来防止资本扭曲使命，它防得住董事会里的利润压力，却防不住一个外部金主把监管当武器。

把前面三层叠起来，能力被放大、理由不成立、扳机来自金主，你会发现真正的代价，根本不在Anthropic一家身上。

我不想把Anthropic洗白成什么诚实的圣人。它是一家极会做营销的公司，前面也说了，它的跑分有水分、危险叙事里掺着生意，一家这么懂流量的公司，你很难说它句句都坦诚。但这件事真正的关键，本来就不在「这家公司诚不诚实」，而在另一个更要紧的东西上：安全。

在所有大模型公司里，Anthropic是真把安全当回事、也把它喊得最响的那一个。它是全球第一家发布「负责任扩展政策」（RSP）的公司，定期公开模型的风险评估，连这次的Fable都在敏感领域主动给自己降级。安全本身没有错，这是值得认真做的事。它栽，不是栽在「重视安全」上，是栽在「把安全喊得太响、做成了核心人设」上。

国内有研究者写过一句很到位的话：当企业战略过度依附于国家权力时，其自身也可能成为监管扩张的受害者。我想再往前推一层：你越是把「我很危险、我最在乎安全」立成对外的招牌，就越别怪别人当真。政府当真了，转手就拿它当成下架你的理由。这一层，其实和「安全即流量密码」是连着的：狼来了喊得太猛，真出事那天，反噬第一个落到你头上。

但比「求锤得锤」更深的，是后面这层。这场封禁真正示范给整个行业看的是：公开、高调地把安全当回事，是要付代价的。那个被Anthropic反复提起、说「GPT-5.5也有同款能力」的OpenAI，这次毫发无伤，因为它从没把「我很危险」做成自己的人设。

白宫话音刚落，行业里已经有人在说：所谓AI安全，不过是实验室拿来给垄断找的借口；也有人警告，这是「实验室开始把梯子往上收」。

于是大家学到一个很坏的教训：安全这件事，要么别碰，要么闷头做、别声张。可安全偏偏是真问题，是越早摆到台面上越好的事。

说回我们这些每天把活外包给这些模型的人。Fable没的这几天，OpenRouter上用量最高的四个模型，一夜之间全换成了中国的开源：DeepSeek、MiniMax、腾讯、小米；智谱顺势全量开源GLM，港股两天涨了三成多。市场用脚投了票。

但你要是把这读成「开源赢了」「中美又脱了一层钩」，就把这件事看小了。

在我看来，Fable早晚会解禁，甚至可能很快。原因很简单：模型智力往上走的趋势根本挡不住；美国政府不可能把所有SOTA模型一直禁着，那等于关掉自己半个AI产业；就算它把美国这几家全禁了，中国的开源模型它也禁不掉。一纸禁令拦得住一家公司的API，拦不住一项全球都在往前冲的技术。

所以，封杀某一个模型，从来不是这件事的终局，它是个会过期的新闻。真正会留下来的，是它对「安全」这两个字做了什么。

两年多前我发过一个视频，判断很悲观：AI的智力会远远甩开人类，它像一列从远处开来的火车，和我们在智力上交汇的那一刻极其短暂，之后就把人类永远留在身后。我那时甚至觉得，人类大概只是AI的bootloader，把它引导启动，然后退场。

这两年我的想法变了。我现在觉得，还是该为人类争取一下：在让AI尽情往前跑的同时，试着找到一个平衡点，让人类也能过得不错。我最近花了大量时间扎进AI安全，自己也写了两篇AI安全的论文。

但这次的事件，等于当着所有人的面证明了，今天，认真把AI安全摆上台面，是一个商业上极不理智的选择。

在AI安全这件事上，人类的容错率很低。等到没人敢喊安全的那天，我们丢掉的远不止一个模型。