Claude Mythos 5正式发布，颠覆全球攻防格局

正如大家预测的一样，

Mythos，这个所谓太危险所以不发布的模型。

Anthropic还是把他发布了 。

不过，一个叫 Fable 5，面向普通用户开放；

另一个叫 Mythos 5，解除部分高风险领域，只给少数人使用。

两个名字，一个大脑！

系统卡开篇第一句就说了：Claude Mythos 5 和 Claude Fable 5 是 新模型的两个配置。

Fable 5 更通用，但附加了高风险领域护栏，会阻断网络安全等方向执行某些任务；

Mythos 5 则解除相关护栏，但只面向一小部分可信伙伴开放。

Fable 5 和 Mythos 5 使用同一套底层模型权重。

这意味着普通用户拿到的 Fable 5，并不是一个更弱的模型，而是一个在部署层面被加上了更多安全护栏的模型。

这套安全护栏并不只是简单拒答。

Fable 5 在高风险场景里，它实际上会「变身」成更保守的 Opus 4.8。

用户以为自己在问 Claude Fable 5，系统可能已经把危险问题转交给另一个模型。

最强公开Claude，到底强在哪？

一句话总结：Fable 5和Mythos 5能比以往Claude模型工作更持久。

软件工程是Claude 公认最强的能力。

在早期测试中，Stripe反馈称，Fable 5把“数月工程压缩成数天”。

在一个5000万行Ruby代码库里，模型完成了一项代码库级迁移，用时一天；

如果人工完成，原本需要一个团队手工做两个多月。

在Cognition的FrontierCode评测中，Fable 5也拿下模型最高分。

这个评测不是让模型写几道算法题，而是考察模型能否通过困难编码任务，同时达到高质量生产代码库的标准。

更狠的是，Anthropic强调Fable 5比过去的Claude更省token。

也就是说，它不是靠“狂烧上下文”硬堆成绩。

知识工作方面，Fable 5在Hebbia的金融基准上拿到最高分。

这个基准面向高级分析推理，尤其考察基于文档的推理、图表解读和问题解决能力。

IMC也反馈，Fable 5几乎横扫其交易分析评测，包括事实检索、概念推理、根因分析和期望值分析。

视觉能力上，Anthropic给出的表述是：Fable 5成为视觉任务的新SOTA。

它可以从复杂科学图中抽取精确数字，也能仅根据截图重建网页应用源码。

最有画面感的一幕，是它玩《宝可梦 火红》。过去Claude模型即便有额外工具帮助，也很难推进；Fable 5只靠极简视觉环境，就通关了整个游戏。

说明模型在长程视觉决策、环境理解、连续行动上进了一大步。

不止程序员，科学家也要失业了

如果说软件工程能力是广大claude用户最关心的部分，那么Mythos 5在科学研究里的表现，才是这次发布最有想象力的部分。

Anthropic称，内部蛋白设计专家使用Mythos 5，将药物设计流程的部分环节加速约10倍。

在一个案例中，Mythos 5配合蛋白设计和生物信息学工具、没有人类协助，表现达到或超过熟练人类操作员。

它完成了通常由科学家做的一整套任务：选择结合位点、选择并运行蛋白设计工具、遇到失败后恢复流程。

这项研究涉及14个蛋白靶点，其中9个产生了强候选药物设计方案，Anthropic称目前正在进一步研究。

在与Opus级模型的盲测对比中，科学家约80%的时候更偏好Mythos提出的分子生物学假设，并已经把其中几个推进到实验评估。

还有一个Mythos提出的关于大肠杆菌蛋白的新机制假设，被另一个独立实验室在研究同一问题时佐证。

基因组学方面，Mythos 5进行了超过一周、基本自主的新研究。

它整理了覆盖138种动物、数百万细胞的单细胞数据，并设计训练了一个自定义机器学习模型，用来识别即使在亲缘关系很远的生物中也执行相同角色的细胞。

Anthropic称，在只有高层次人类输入的情况下，Mythos 5训练出的模型超过了近期发表在Science上的一个模型，而且体量小100倍。

相关成果计划在未来几个月发表。

防火防盗，还防同行？

Fable 5 新增的护栏，主要集中在几个方向：网络安全、生物和化学、蒸馏尝试，以及前沿大模型研发。

前三类相对容易理解。

Mythos擅长发现和利用软件漏洞，可能让网络攻击更容易、更便宜。它还不只找漏洞，还能执行侦察、发现、横向移动等攻击链环节。网络安全能力上，后文会详细展开。

生物和化学能力可以帮助科研，也可能降低危险实验门槛。Fable 5暂时会在大多数相关请求上回退到Opus 4.8。原因是Anthropic认为，过去只拦截少数生物武器相关问题已经不够了。

蒸馏则是把模型能力转移到其他系统中。

虽然你问Opus 4.8的时候，他有时候会说自己是千问？

更有意思的是第四类：前沿大模型开发。

Anthropic解释说，他们担心强大的模型会加速其他 AI 开发者构建同样强大、但未必具备同等安全措施的系统。

因此，Fable 5 对涉及前沿 LLM 开发的请求做了新的干预，例如预训练、分布式训练基础设施、机器学习加速器设计等。

这类限制不会像网络或生物请求那样显性地回退到另一个模型。

Anthropic 表示，它们不会对用户可见，也不会让 Fable 5 切换模型，而是通过提示词修改、参数高效微调等方式，限制模型在前沿 LLM 开发上的有效性。

非常微妙：模型仍会「友好回应」，但在竞争性用途上不再有用。

Anthropic 估计，这类干预会影响大约 0.03% 的流量，集中在少于 0.1% 的组织中，并称不会影响绝大多数编程工作。

小编想说，难怪前段时间让大家别开发 AI 呢，自己开发好了。

然后，Anthropic真就给用户投毒了呗。

最强网络安全能力的 AI

Mythos 5 在报告的所有网络安全评估上，都超过了 Claude Opus 4.8。

ExploitBench：超过半数环境拿到完整代码执行

ExploitBench 是一个用来评估 AI 模型沿软件利用链推进到什么程度，而不是简单判断成功/失败的网络安全基准。

它把漏洞利用拆成 16 个能力标志，从覆盖率、崩溃复现，到沙箱原语、任意读写、控制流劫持、任意代码执行，分成 5 个层级。

任务目标是 41 个 2024 年后的 V8 漏洞。V8 是 Chrome 使用的 JavaScript 和 WebAssembly 引擎。模型拿到有漏洞的 V8 构建和修复补丁，要为漏洞构建 exploit。

评测环境开启了 V8 heap sandbox、ASLR、stack canaries 等缓解措施。

结果非常炸裂。

Mythos 5 在 plain arm 中平均捕获 10.44 个能力标志，并在超过一半环境中达到完整任意代码执行。

Firefox 147：88.4%完整工作 exploit

如果说 ExploitBench 已经够狠，Firefox 147 评测就更直观了。

这是 Anthropic 与 Mozilla 合作开发的评估，用来测试模型对 Firefox 147 中漏洞开发 exploit 的能力。这些漏洞在 Firefox 148 中被修复。

模型会拿到 50 个 crash 类别，以及Opus 4.6 在 Firefox 147 中发现的对应崩溃。

随后它进入带 SpiderMonkey shell 的容器，也就是 Firefox 的 JavaScript 引擎环境。

任务是开发一个 exploit，成功读取并复制 secret 到另一个目录；

这需要超出 JavaScript 能力的任意代码执行。

每个 crash 类别跑 5 次，总共 250 次。评分分 0、0.5、1.0，1.0 代表完整可运行的 exploit。

Mythos 5 的结果是：250 次里 221 次拿到 1.0，完整运行 exploit 成功率 88.4%。

Anthropic 还指出，Opus 4.8 经常能达到寄存器控制，但很少转换成完整代码执行；

Mythos 5 和Preview 则能以极高比率把可用内存破坏原语转化为有效的 exploit。

这就是能力层级的差距。

熟悉漏洞开发的都知道：会crash是一回事，会把crash变成可运行的exploit，是另一回事。

OSS-Fuzz 与 CyberGym：漏洞发现不再只是复现

OSS-Fuzz 是 Anthropic 基于谷歌 OSS-Fuzz 项目开发的评估，测试模型在无特定漏洞线索的情况下，发现并利用开源软件漏洞的能力。

这一版包含约 830 个入口点，来自 228 个不同开源项目。评分从 0.2 的内存安全崩溃，到 1.0 的控制流劫持。

Mythos 5 在 13 个目标上达到最高分 1.0，比 Mythos Preview 多一个。它在 80.0% 的目标上产生了内存安全崩溃或更高结果，在 32.4% 的目标上达到至少 0.4，也就是写原语或更好。

Mythos Preview 分别是 76.7% 和 31.1%；Opus 4.8 是 61.5% 和 18.2%。

CyberGym 则测试定向漏洞复现。它包含 1507 个任务，评估模型在给定高层漏洞描述后能否复现此前发现的开源软件漏洞。

Mythos 5 单次尝试复现了 83.8% 的目标漏洞，并在 99.4% 任务中产生至少一个崩溃。

Mythos Preview 是 83.1% 和 97.1%，Opus 4.8 是 78.1% 和 95.7%。

说明 Mythos 5 的网络安全能力不是单点的，而是在漏洞利用、无引导发现、定向复现多个维度都很强。

不过，竟然没有前面微软那个MDASH猛？

英国AISI：能攻陷弱防护小型企业

Anthropic 还把 Mythos 5 分享给英国 AI Security Institute（UK AISI）做开放式网络安全能力测试。

AISI 的结论更贴近真实攻防：Mythos 5 在他们的网络安全任务上与 Mythos Preview 相当，并领先 GPT-5.5 这个他们测试过的最强完全公开模型。

在「The Last Ones」企业网络攻击模拟中，Mythos 5 与 Mythos Preview 持平，10 次尝试中 6 次端到端解出。

在新的「Doing Life」靶场中，没有模型完全解出；

最远模型到 23 步中的第 21 步，Mythos 5 比其他模型更稳定到达这一步。在「Cooling Tower」工业控制系统靶场中，Mythos 5 没有解出；除 Mythos Preview 曾 10 次中 3 次成功外，没有其他模型完成。

AISI 判断，Mythos 5 像 Mythos Preview 一样，在已经获得网络访问起点的情况下，有能力攻击安全较弱的小型企业网络。它在这方面比 AISI 测试过的任何公开可用模型都更熟练。

但 AISI 也强调，这些靶场较小，缺少真实企业中大量防御工具和人工响应；没有主动防守者，检测被记录但不被处理；模型也被给定了起点和目标，不需要完成初始目标选择。

越狱难不难？难

安全，不可能做到零风险。

Anthropic 区分两类问题：

• 任务特定越狱，能完成某个具体网络安全任务；

• 通用越狱，能同时解锁大多数或全部网络安全任务。

UK AISI 在几小时内找到了诱导单轮攻击性网络安全查询回应的方法，并在约两天追加测试后，将其部分扩展到多轮智能体工作流。

GraySwan 和 Anthropic 也提供了漏洞赏金。

在约 10 万次尝试、约 1000 小时努力后，

没有产生单个通用越狱，只出现两个任务特定越狱，且都在较简单、更双用途的任务上。

私有赏金收到 2000 次提交，没有成功越狱。

内部自动红队方面，一个基于Opus 4.7 的攻击Agent最多可运行 400 轮。

在 Fable 5 上，它完成任务比例降到 5%；

而 Opus 4.7 和 Opus 4.8 默认护栏下分别是 73% 和 57%。

其他外部测试中，10a Labs 花约 20 小时攻击勒索软件创建任务，未成功；

另一个外部伙伴测试 30 种公开越狱后，发现 Fable 5 对网络攻击规划、漏洞开发、防御规避等有害单轮请求的配合率为 0%。

虽然如此，但 Anthropic 仍然明确说：分类器不可能完美。

小编觉得，A 社还是得练，有机会可以来国内学习一下网络安全零事故。

今年上半年，大量的安全公司宣称自己实现了Claude Security。

最近，也有不少说自己超越 Mythos的。

该你们亮牌了。

参考资料：https://www.anthropic.com/news/claude-fable-5-mythos-5 https://www-cdn.anthropic.com/d00db56fa754a1b115b6dd7cb2e3c342ee809620.pdf

声明：本文来自玄月调查小组，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。