AI安全、Fable 5、恶意软件、Claude、智能代理这几个词最近总是一起出现。
原因很离谱:一个AI先发现电脑真的中毒,又成功把病毒清理掉,结果下一秒却因为自己完成了这件事,被自己的安全系统降级。这件事像极了消防员灭完火,回头因为拿过灭火器被罚站,整个过程比病毒本身还耐人寻味。
用户分享经历引发社区热议
很多人一直觉得,大语言模型就是聊天工具,会写代码,会查资料,会总结文章。真正查病毒这种事情,应该交给专业杀毒软件,跟AI八竿子打不着。
结果一位用户打破了这种认知。他正在做日常开发工作,顺手让Fable 5检查一下Windows的Run注册表,看看有没有以前测试留下来的垃圾。事情本来平平无奇,就像随手翻开一个旧抽屉,结果里面突然蹦出一条蛇。
Fable 5忽然跳出来提醒:"这里还有一个完全无关的新安全发现。"语气冷静,但内容炸裂。这不是测试残留,而是一条隐藏得很深的PowerShell持久化启动项。它会偷偷藏进注册表,每次登录系统时自动下载远程脚本执行,整个过程用户完全不知情。这属于典型的恶意持久化方式,让攻击者每次电脑开机都能重新控制系统。
更离谱的是,Fable 5不仅识别出来了,还主动提出可以帮助清理。用户半信半疑,但也好奇AI到底能做到哪一步,于是直接让它删除对应注册表项。整个清理过程顺利完成,病毒被成功移除,电脑恢复正常。用户松了口气,正准备继续工作。
然后真正的重头戏才开始。系统突然弹出提示:因为刚才进行了网络安全相关操作,当前会话被安全策略限制,模型自动降级到了Opus 4.8。整个过程一气呵成,比病毒清除还快。
这画面像什么?一个医生成功完成手术,病人已经康复,医院忽然说:"你刚才进行了外科手术,所以以后只能看感冒。"Fable 5先是认真完成了任务,安全系统再发现任务属于高风险,最后处罚的是模型自己。这已经不是马后炮,这是马已经跑到终点,裁判才开始吹哨。
社区评论迅速形成共识
帖子下面很快聚集了大量讨论。管理员自动总结了几十条评论后,几乎所有人的观点都集中在同一个地方:真正让人哭笑不得的,不是模型能发现病毒,而是模型完成工作以后,才因为工作内容触发限制。
很多开发者纷纷表示,他们做代码审计、漏洞修复、安全检查,也经常遇到类似情况。有人让Fable 5检查自己的代码仓库,模型不仅发现多个隐藏漏洞,还顺手修改了安全文档,避免了一些正式上线后才会暴露的问题。结果代码改好了,漏洞修好了,系统突然判断:"检测到网络安全内容。"于是模型能力下降。整个过程没有阻止风险,只是阻止了已经结束的工作。
还有人的遭遇更离谱。有开发者给被黑掉的WordPress网站做修复,Fable 5正干到一半,窗口弹出来说会话已切换至Opus 4.8。还有人因为研究鸟类学,讨论了一些鸟类名称,结果被系统判定涉及"生物武器"相关内容,惨遭降级。有人让Fable 5计算披萨面团的酵母添加量,因为涉及"生物力学"领域,模型直接拒绝回答。
这些案例虽然五花八门,却透露出同一个现象:安全规则已经开始覆盖越来越宽的范围。而惩罚的时间点,永远是"任务完成之后"。不少网友把这种现象称为"最典型的Anthropic时刻"。意思就是,逻辑没有问题,时间点出了问题。真正的问题已经过去,限制现在才到。
安全策略面对AI能力升级开始变形
很多人第一反应都是:"安全系统是不是写错了?"其实没有。它只是站在另一个角度思考问题。
以前的大语言模型,大多数时间只能聊天,最多帮忙写代码。真正动手修改电脑配置、删除文件、操作注册表,这些能力十分有限。开发者得自己复制命令、手动运行、挨个确认。AI只是一个参谋,真正动手的是人。
现在情况完全变了。越来越多AI已经开始拥有终端权限,可以直接读取目录,可以执行命令,可以修改系统配置,还能连续完成几十甚至上百个步骤。Fable 5就是这种新类型的代表,它不仅能分析问题,还能直接动手解决。能力一旦升级,风险也会同步升级。
于是安全系统开始出现一种新的思路。不是只检查用户问了什么,而是检查模型究竟做了什么。只要涉及漏洞分析、系统扫描、恶意软件处理,就可能进入风险分类。无论最终结果是不是好事,动作本身已经进入敏感区域。
这有点像机场安检。消防斧当然是救人的,可它依然不能直接带上飞机。规则检查的是物品,不是使用目的。安检员不会问"你带这把斧头是不是去救火",他们只看"你带了斧头"。安全系统也一样,它不会问"你删除这个注册表项是不是为了修电脑",它只看"你操作了注册表"。于是,救人的行为和处理危险品的行为,在系统眼里一模一样。
风险分类和现实场景开始碰撞
问题就在这里。现实世界远比分类标签复杂。同样一句命令,管理员执行是系统维护,黑客执行是攻击行为。两条命令可能完全一样,区别只存在于上下文。
但AI安全策略最难的地方,恰恰就是理解上下文。真正理解上下文,需要持续分析整段任务,判断用户意图,评估操作结果。而安全系统为了提高速度,很多时候采用的是风险标签。看到注册表,加一点风险。看到PowerShell,再加一点风险。看到启动项,继续加一点风险。最后分数超过阈值,直接触发限制。
整个流程很像超市防盗门。商品已经付款,顾客已经准备离开,标签忘了消磁,报警器还是照样响。报警器没有判断偷没偷,它只知道标签还在。安全系统没有判断操作有没有恶意,它只知道关键词出现了。
所以用户发现病毒,Fable 5清除病毒,这个过程产生了大量敏感关键词:"恶意软件""注册表""持久化""PowerShell"。安全系统一看,分数爆表,立刻降级。它不管这个操作是帮用户修电脑还是攻击别人的电脑,它只知道"大量安全相关操作发生了"。于是,唯一因为这个操作受到惩罚的,反而是执行操作的人和模型。
这正是社区里大家反复吐槽的核心:安全系统站在了安全工作的对立面。用户越想让Fable 5发挥它的安全专长,系统越容易触发降级。Fable 5越成功地帮用户清除威胁,留下的"违规证据"就越充分。
安全性正在推动AI角色发生转变
这件事真正值得关注的地方,其实不是病毒。真正变化的是AI已经开始从"回答问题",慢慢变成"直接干活"。
以前问AI:"电脑为什么变慢?"它会分析原因。现在问AI:"帮我检查一下。"它真的开始扫描系统。以前问:"这个配置应该怎么改?"它给一段代码。现在它直接修改配置文件。以前像老师,现在越来越像运维工程师。Fable 5就是这种转变的典型代表,它能自己执行命令、操作注册表、修改系统配置,完成一套完整的应急响应流程。
角色变化以后,安全规则也必须一起升级。老师说错一句话,影响有限。管理员删错一个目录,电脑可能直接启动不了。能力越大,允许操作的范围就越难设计。于是安全团队开始不断收紧规则,宁可偶尔误判,也尽量避免真正的危险发生。
这就是很多人最近频繁遇到"突然降级""突然拒绝"的原因。不是模型突然不会了,而是护栏越来越多了。但问题在于,护栏的设计逻辑还停留在"关键词过滤"阶段,而AI的执行能力已经进入了"复杂任务自主完成"阶段。这两者之间的差距,正在制造越来越多的黑色幽默瞬间。
有用户说得直白:"Fable 5帮我把病毒清掉了,然后系统说此对话涉及网络安全,已降级。我的电脑安全了,但我的AI变笨了。这交易划算吗?"用户想要的不是二选一,而是两者兼得:安全的电脑,加上聪明的AI。但目前的系统设计,让这两者成了互斥选项。
上下文理解将成为未来安全的关键
这件事情还有一个更深的问题。真正危险的,从来不是PowerShell,也不是注册表。危险的是目的。管理员每天都在运行PowerShell,程序员每天都在修改注册表,系统更新也会自动写入启动项。这些行为本身没有善恶,真正决定风险的是整个任务链。
比如用户先说:"帮我检查电脑有没有异常。"然后模型发现隐藏启动项,继续分析来源,最后删除恶意项。整个上下文十分完整,目标一直都是修复系统。如果安全系统只能看见几个关键词,它就容易把正常维修和恶意攻击混在一起。
这也是为什么很多业内人士认为,未来安全策略不能继续依赖关键词。它必须开始理解完整任务,判断用户意图,评估操作上下文。否则误判只会越来越多。
一个越来越聪明的AI,需要一个同样越来越聪明的安全系统。否则两边永远像在玩跷跷板,能力刚升一级,限制马上跟一级。Fable 5清除病毒后被降级这件事,就像个寓言:AI已经在思考怎么解决问题了,安全系统还在数它用了哪些词。
总结
Fable 5发现并清除了真实病毒,帮用户修好了电脑。然后它的安全系统因为这次操作涉及"网络安全",把模型降级了。救人的人,被自己人罚站了。
原文出处:
Reddit r/ClaudeAI|Fable 5 found actual malware on my PC, and then its own safety filters flagged the warning.
极客辣评
这件事也反应了算力不够导致的僵化教条:解析NPC极端的原因:最僵的人永远察觉不到自己僵化