Claude Fable 5 上线 4 天被按停，模型出口管制第一枪打响

Claude Fable 5 刚上线 4 天，就被一封美国商务部来信按停。6 月 12 日 5:21pm ET，Anthropic 收到指令，要求限制 Fable 5 和 Mythos 5 对外国公民开放，范围甚至扫到美国境内外籍人士和自家外籍员工。

问题是，这条线没法像 API quota 一样精细切。Anthropic 最后选择对所有客户关闭这两个模型。芯片之后，前沿模型服务第一次被推上出口管制台面。

上线 4 天，最强 Claude 被一封信按停

这件事的速度，比一次模型发布会还快。Anthropic 在 6 月 9 日推出 Claude Fable 5 和 Mythos 5，到 6 月 12 日 5:21pm ET 收到政府指令，中间只有 72 到 96 小时。

Fable 5 被描述为能力高于 Opus 级别的公开模型，Mythos 5 则面向受审查的网络防御者和关键基础设施运营商。一个刚被推向公众的 Mythos-class 模型，还没等用户形成稳定预期，就从新品发布切到了合规事故。

真正让这次下线变硬的，是限制对象不是某个国家、某批客户、某类 API key，而是“外国公民”。当这条线穿过美国境内用户、海外客户和 Anthropic 内部员工，选择性合规就变成工程和法务一起卡住的难题。

这次管的不是芯片，是在线模型访问权

过去几年，AI 出口管制主要盯着高端 GPU 和算力硬件。Fable 5 事件把问题往前推了一格：如果模型已经作为在线服务部署，用户只是远程调用，它还算不算一种需要许可的“出口”？

商务部信件覆盖出口、再出口和美国境内转让，答案已经偏向“算”。

covered frontier model: 指 6 月 2 日白宫 EO 拟建立的前沿模型分类，用来把部分前沿模型纳入政府访问和安全评估框架。

美国境内转让: 不是把模型卖到海外，而是在美国境内把受控技术或服务提供给外国公民，也可能触发出口管制逻辑。

这不等于 Claude 全线停服。受影响的是 Fable 5 与 Mythos 5，其他 Claude 模型没有同步关闭。但企业过去买模型，主要问能力、价格、上下文窗口和数据政策；现在还要问一个更刺耳的问题：员工国籍、客户所在地和部署路径，会不会让模型访问权在某个下午突然失效。

10 天前还说自愿，10 天后指令落下

反差来自时间线。白宫在 6 月 2 日发布 EO，提出建立 covered frontier model 分类，并设计最多 30 天 的预发布政府访问安排；文件同时强调这是一个自愿框架，不是强制许可、预审或正式许可制度。

到了 10 天后，Anthropic 收到的已经不是框架邀请，而是要求限制访问的出口管制指令。

“voluntary framework”

— White House EO

关键不在措辞矛盾，而在行业感受到的落差。前沿模型公司原本以为，政府访问更像发布前安全沟通，不是访问许可。Fable 5 之后，框架和禁令之间的距离被压缩到十天，模型发布不再只是产品节奏，也变成政策节奏。

安全公司先喊刹车，刹车第一个踩到自己

最有戏剧性的地方，是 Anthropic 的位置。它不是反监管公司，恰好相反，它长期把“前沿模型需要更强安全约束”写进公共叙事。6 月 10 日，它还在呼吁激活监管机器。两天后，这台机器先落到了自家桌上。

Anthropic 提出的高级框架也不轻：覆盖训练量超过 10²⁵ FLOPs，或 AI 收入超过 5 亿美元，或 AI 研发支出超过 10 亿美元 的开发者。这个门槛瞄准的就是最顶层模型公司。

问题现在反过来了。当一家最积极把“安全刹车”制度化的公司，成为第一个被拦下的对象，行业会重新估算：监管工具一旦启动，目标未必按倡议者预设的顺序出现。

真正的争议，是一个越狱能不能召回前沿模型

导火索指向安全机制绕过。政府关注的是某种针对 Fable 5 的越狱方法；Anthropic 的说法是，演示只识别出少量已知、轻微漏洞。把这种窄范围潜在越狱上升为召回标准，会让所有前沿模型发布都陷入停摆。

另一侧的批评更直接：如果先修复或暂停访问，出口管制本可避免，Anthropic 对风险判断过于自信。

“overly confident”

— 匿名政府侧人士

Fable 5 的发布材料里，安全设计并不是空白。Anthropic 称安全降级触发比例平均低于 5% sessions，外部 bug bounty 累计 1,000+ 小时 未发现 universal jailbreak，被争议演示识别出的只是少量已知、轻微漏洞。

但网络安全模型天然是双用途：能帮助防守者发现漏洞，也能降低攻击者复现利用链的门槛。

“attackers and defenders alike”

— Anthropic

另一面：被切断的不只是攻击者

这次被切断的不只是潜在攻击者。海外客户、美国境内外籍用户、Anthropic 外籍员工，都被同一条国籍边界扫到。

对企业客户来说，还有另一层冲击：Fable 5 上线时采用 Mythos-class 数据留存政策，prompts 和 outputs 默认保留 30 天 用于安全监控。这会和部分零数据留存承诺正面冲突。

30 天留存: Mythos-class 模型会把输入和输出保留 30 天，用于 trust and safety 监控。

零数据留存冲突: 一些企业原本要求模型服务商不保留输入输出；当高能力模型必须留存数据做安全监测，合规前提就被改写。

所以，谁不适合继续把这类模型放进关键链路？答案不复杂：对数据留存极敏感、不能接受 30 天 prompts 与 outputs 保留、无法承受核心模型突然下线的企业，都需要重新评估。这里还要留一个边界：商务部原始信件未公开，国家安全关切细节并不完整，外界看到的是当事方、匿名官员和媒体转述拼出的轮廓。

这意味着模型公司要把合规当成能力的一部分

前沿模型竞争原来是 benchmark、价格和上下文窗口的战争。Fable 5 之后，合规变成能力的一部分：能不能识别用户国籍，能不能按地区和身份切分访问，能不能在政府预发布访问和出口管制压力下保持服务连续性，能不能让云伙伴、企业客户和内部员工同时满足同一套规则。

访问不等于拥有，调用权可以被地缘政治一键切断。

这句话对非美国企业尤其刺耳。过去接入最强模型，是为了少走弯路；现在接入最强模型，也意味着把关键能力放在一条可能突然变化的政策边界上。模型公司越强，越接近基础设施；越接近基础设施，就越难只用“产品可用”回答客户。

明天看什么：Mythos 回来，还是出口管制扩散

接下来要看四件事：Anthropic 是否恢复 Fable 5 与 Mythos 5，商务部是否公开更明确的判定标准，其他前沿模型是否进入 covered frontier model 框架，企业采购合同是否开始要求模型下线补偿、国籍访问承诺和数据留存例外。

这意味着 AI 基础设施要从“能不能用”转向“什么时候会被切断”。对模型公司，合规不再是法务附录；对企业客户，最强模型不再只是技术选型；对开发者，明天要看的不是某个排行榜多了几分，而是前沿能力会不会被新的访问边界重新分配。