Самая сильная общедоступная модель Anthropic прожила четыре дня. У меня абонемент в кофейню живёт дольше.
9 июня Anthropic выкатила Claude Fable 5, он же Mythos 5 в закрытом контуре. 12 июня доступ к обеим версиям сняли. А между этими датами уместилось столько, сколько иная модель не набирает за год жизни: скрытое ухудшение ответов для ИИ-исследователей, крик "Fable взломали и вытащили системный промпт" (пост Pliny в X, архив на GitHub), спор про обходы защит, внезапное хранение данных 30 дней и в финале - директива правительства США.
Формально названия два: Fable 5 - публичная версия с предохранителями, Mythos 5 - та же базовая модель, но с частью снятых ограничений для доверенных организаций через Project Glasswing.
Если читать это как новость, получается очередная драма вокруг ИИ.
Если читать как инженер, получается инцидент с внешней зависимостью. Только зависимость не npm-пакет, не Docker-образ и не облачная база. Это закрытая передовая модель, которую вы дёргаете через программный интерфейс или агента прямо в проде.
Два года назад я говорил примерно следующее: такая штука слишком сильная, чтобы её долго раздавали почти даром. Сначала нас используют как бесплатный тестовый стенд. Мы приносим реальные задачи, крайние случаи, обходы защит, рабочие сценарии, баги интерфейсов, корпоративные кейсы. А потом доступ начинают резать, маршрутизировать, логировать, лицензировать и выключать.
Это как двор в детстве. Кто-то приносит самую крутую игрушку, все вокруг неё крутятся до темноты. Потом выходит мама и говорит: всё, наигрались. И игрушку уносят.
Fable 5 меня не удивил. Он просто прокрутил этот сценарий на перемотке: за четыре дня вместо пары лет.
В статье не будет инструкций по обходу защит. Будет другое: как проектировать ИИ-стек, если модель в любой момент могут заменить, урезать, переключить на запасную или снять с доступа.
Что произошло за четыре дня
Короткий таймлайн:
Дата | Событие | Что важно инженеру |
|---|---|---|
9 июня 2026 | Anthropic выпускает Claude Fable 5, он же Mythos 5 | Базовая модель одна. Fable 5 - публичная версия с предохранителями, Mythos 5 - закрытый режим для доверенных организаций |
9 июня 2026 | В релизе описаны предохранители | Запросы по кибербезопасности, биологии/химии и дистилляции моделей должны уходить на Opus 4.8. По ранним данным Anthropic, переключение затрагивает меньше 5% сессий |
10 июня 2026 | WIRED пишет про скрытое ухудшение ответов для разработки передовых ИИ-моделей | Если правило срабатывает невидимо, ломается воспроизводимость рабочего процесса |
10-11 июня 2026 | Pliny заявляет в X, что Fable взломали, и выкладывает предполагаемый системный промпт на GitHub | Звучит как "хакеры вскрыли модель", но сам архив выглядит скорее как продуктовый промпт Claude.ai, а не "ядро интеллекта" |
12 июня 2026 | Anthropic публикует заявление о директиве правительства США и снимает доступ | Модель можно потерять не из-за бага в вашем коде, а из-за внешнего решения |
Теперь детали.
В релизе Anthropic пишет, что Fable 5 - самая сильная общедоступная модель компании. Цена: $10 за миллион входных токенов и $50 за миллион выходных. Mythos 5 использует ту же базовую модель, но часть предохранителей снята для узкого круга через Project Glasswing.
В том же релизе Anthropic описывает переключение на запасную модель: если классификаторы ловят запросы про кибербезопасность, биологию, химию или дистилляцию моделей, ответ должен обслуживать Claude Opus 4.8, а пользователь должен видеть, что переключение произошло.
Звучит разумно. Сильная модель, отдельные предохранители, запасная модель вместо полного отказа. На бумаге - инженерия взрослых людей.
Проблема началась не там.
WIRED 10 июня написал, что для разработки передовых ИИ-моделей Anthropic сначала выбрала другой режим: невидимо ухудшать ответ, если система решит, что пользователь использует Fable для разработки конкурирующей модели. После критики Anthropic сказала WIRED, что выбрала неправильный компромисс, и пообещала сделать такие ограничения видимыми: отказ или переключение, а не тихая деградация.
Вот это уже инженерная проблема.
Если модель отказывается - можно обработать отказ. Если модель пишет "я переключил вас на Opus 4.8" - можно записать факт переключения. А если модель молча становится хуже, вы дебажите не свой код, не свой промпт и не свою проверку. Вы дебажите чужое правило, которое вам не показали.
Чувство знакомое: код тот же, тесты те же, а вчера почему-то работало лучше. Обычно виноват кэш, кривой деплой или собственная невнимательность в три ночи. Здесь же виноватым может оказаться невидимый классификатор на чужой стороне, к которому у вас нет ни логов, ни доступа, ни даже подтверждения, что он вообще сработал.
Почему "хакеры взломали Fable" звучит громче, чем выглядит файл
Вокруг Fable отдельно разогнали идеальную для ленты историю: хакеры взломали свежую модель Anthropic и вытащили её системный промпт. Источник шума - пост Pliny в X. Архив на GitHub правда есть: файл CLAUDE-FABLE-5.md, 1585 строк, примерно 117 KB.
Я его открыл и прочитал целиком.
Впечатление: на секретную формулу интеллекта это не похоже. Это похоже на продуктовый промпт и слой исполнения для конкретной поверхности Claude.ai. Там много инструкций не про "как думать", а про "как работать в приложении":
Блок | Что там по смыслу | Инженерный вывод |
|---|---|---|
| названия моделей, продукты, когда искать свежую документацию | промпт хранит продуктовую маршрутизацию и сообщения пользователю |
| стиль ответа и поведение при отказах | часть логики безопасности и интерфейса лежит выше модели |
| правила доступа к памяти | поведение зависит от точки входа и настроек аккаунта |
| хранилище для артефактов | модель работает внутри приложения с дополнительными возможностями |
| логика подключения внешних MCP-приложений | промпт описывает слой оркестрации |
| bash, файлы, итоговые артефакты, скриншоты | это ближе к обвязке агента, чем к чистой LLM |
| когда и как использовать веб-поиск | свежесть фактов и ссылки задаются внешним слоем |
| доступные инструменты | итоговый ответ зависит от набора инструментов |
| контекст пользователя и навыки | одна и та же модель в разных аккаунтах может вести себя по-разному |
Это всё важно. Но это не значит, что кто-то "вскрыл Fable".
Слить настройки расширения VS Code - не то же самое, что получить исходники компилятора TypeScript. Вы получили важный слой продукта вокруг компилятора. Иногда именно этот слой и ломает вам работу. Но путать его с весами модели, обучающими данными и процессом дообучения - всё равно что спутать обёртку шоколадки с какао-бобами.
Главный вывод из архива другой: современная передовая модель в продукте - это уже не чистая функция промпт -> ответ.
Это ближе к такому:
answer =
model(
prompt,
account_context,
entry_point,
memory_state,
enabled_tools,
safety_classifiers,
web_search,
file_runtime,
region,
plan,
current_provider_policy
)
И когда вы говорите "Claude ответил плохо", вопрос уже не один. Какая модель? Какая точка входа: Claude.ai, программный интерфейс, Claude Code, облачный провайдер? Было ли переключение на другую модель? Были ли включены инструменты? Что подмешала память? Какой классификатор сработал? Не поменялась ли обвязка промпта между вчера и сегодня?
Девять аргументов у функции, и половину из них вы не контролируете.
Реальный риск не в конкретном обходе защиты
Я не спорю с тем, что модель уровня Mythos опасна в кибербезопасности и биологии. В Project Glasswing Anthropic приводит серьёзные примеры: Mythos Preview нашёл 27-летнюю уязвимость в OpenBSD, 16-летнюю уязвимость в FFmpeg и цепочку багов в Linux kernel. Баги уже исправлены, но сам уровень понятен: это не игрушечная угроза, это инструмент, который реально умеет находить то, что люди не находили десятилетиями.
Понятно и зачем Anthropic ввела хранение данных 30 дней. В Claude Help Center компания пишет, что промпты и ответы для моделей класса Mythos хранятся 30 дней для безопасности и поиска злоупотреблений. Это касается организаций с режимом нулевого хранения данных в Console, Claude Code Enterprise, AWS Bedrock, Google Cloud Agent Platform и Microsoft Foundry. Для обычных пользовательских тарифов это не новость: там данные и так удерживаются для безопасности.
С точки зрения поставщика логика есть: часть атак видна только на серии запросов. Один промпт выглядит безобидно, а 500 его вариаций подряд - уже планомерная атака на предохранители.
С точки зрения пользователя это тихо меняет договор.
Если ваш корпоративный процесс был построен на режиме нулевого хранения данных, а самая сильная модель внезапно требует хранить данные 30 дней, это не "мелкий нюанс приватности". Это смена модели угроз, переписывание compliance-истории, а иногда и нарушение договора с вашим собственным клиентом. И узнать об этом приятнее заранее, чем от его юристов.
Поэтому реальный риск не в том, что кто-то нашёл красивый обход защиты. Реальный риск в том, что закрытая модель стала управляемой зависимостью с целым рядом внешних рубильников:
Маршрутизация по безопасности - запрос может уйти на запасную модель.
Скрытые правила - модель может стать хуже без явного сигнала.
Хранение данных - сильная модель может нарушить ваш режим нулевого хранения данных.
Доступ по аккаунту - возможности зависят от организации, региона и продукта.
Юридический рубильник - модель могут выключить сверху.
Дрейф версии - имя модели то же, поведение другое.
Это не морализаторство. Это управление зависимостями. Просто зависимость умеет передумать.
Почему "самая сильная модель" не равна "готово к продакшену"
Есть ещё один полезный холодный душ.
Endor Labs прогнали Fable 5 через 200 реальных задач на исправление уязвимостей в Agent Security League. Результат смешанный: 59.8% задач с рабочим исправлением, 19.0% задач с реально закрытой уязвимостью, много таймаутов, 38 подозрений на обход условий теста и при этом 4 задачи, которые раньше не закрывала ни одна комбинация модель+агент.
Это очень похоже на реальность.
Не "бог-модель". Не "провал". Сильный инструмент с острыми краями, который иногда делает то, чего раньше не делал никто, а иногда позорно проигрывает банальному лимиту времени и бюджета.
Для продакшена это значит простую вещь: возможности надо мерить на своём контуре, а не по пресс-релизу. Если у вас агент чинит CVE, мигрирует код, пишет Terraform или разбирает медицинские документы, вам нужен не общий бенчмарк из твиттера. Вам нужен свой набор проверок.
Минимальный журнал для ИИ-процесса:
process: dependency_upgrade_agent
model:
provider: anthropic
requested_model: claude-fable-5
observed_model: claude-fable-5
fallback_observed: false
entry_point:
product: claude-code
version: 2.3.14
account_type: enterprise
data_policy:
zdr_expected: true
retention_days_observed: 30
prompt:
prompt_sha256: "..."
system_wrapper_sha256: "..."
input:
repo_commit: "..."
task_file_sha256: "..."
output:
patch_sha256: "..."
verification:
tests_command: "npm test && npm run lint"
tests_passed: true
human_review_required: true
timestamp_utc: "2026-06-13T08:00:00Z"
Половина полей скучные. Именно поэтому они нужны.
Через месяц, когда процесс внезапно просядет, у вас будет не "вчера Claude был умнее", а нормальный diff: изменилась модель, точка входа, политика хранения, обвязка промпта, было переключение на другую модель или просто приехали другие входные данные. "Вчера было лучше" - это не баг-репорт. А вот эти строчки - уже баг-репорт.
Закрытый программный интерфейс против локального запаса
Я не предлагаю выбросить Claude, OpenAI или Gemini. Я сам каждый день работаю с ИИ-инструментами для разработки. Сильные закрытые модели дают скорость, которую локальные часто не догоняют, и это честно.
Но закрытый программный интерфейс топовой модели - это ускоритель, а не фундамент.
Фундамент должен переживать отключение поставщика.
Критерий | Закрытый программный интерфейс топовой модели | Модель с открытыми весами как запас |
|---|---|---|
Максимальное качество | Обычно выше | Ниже или нестабильнее |
Скорость старта | Мгновенно | Надо поднять инференс |
Стоимость владения | Платёж за токены | Железо + эксплуатация |
Приватность | Зависит от условий и хранения данных | Контролируете сами |
Воспроизводимость | Поставщик может менять маршрутизацию и правила | Можно зафиксировать веса и окружение |
Регуляторный риск | Высокий | Ниже, но лицензии тоже важны |
Отладка | Ограниченная | Можно смотреть окружение, параметры генерации, логи |
Рубильник | Внешний | Ваш |
Нормальный ИИ-стек в 2026 для меня выглядит так:
primary:
closed_model_api:
providers:
- anthropic
- openai
- google
routing:
visible_policy_required: true
model_switch_logged: true
refusal_logged: true
fallback:
local_or_private:
runtimes:
- vllm
- llama.cpp
- ollama
model_archive:
weights: pinned
tokenizer: pinned
config: pinned
license: snapshotted
model_card: snapshotted
launch_check: required
Запускать локальную модель каждый день не нужно. Нужно уметь запустить её в тот день, когда придётся. Разница как между огнетушителем и кострищем на даче: пользуетесь редко, а отсутствие замечаете ровно один раз.
Что именно архивировать
Скачать .safetensors и успокоиться - слабая стратегия. Через полгода вы рискуете обнаружить 80 GB файлов и ноль воспроизводимого инференса. Веса есть, а запустить нечем.
Минимальный комплект:
Веса модели.
Файлы токенизатора.
config.json,generation_config.json, шаблон чата.Карточка модели и лицензия на дату скачивания.
Коммит/ревизия из Hugging Face.
Хеши всех крупных файлов.
Версия окружения: vLLM, llama.cpp, Ollama, CUDA/Metal/ROCm.
Быстрая проверка запуска: промпт и ожидаемый тип ответа.
Короткая заметка: зачем модель скачана и для каких задач подходит.
Через Hugging Face это делается нормально. В официальной документации есть вспомогательные функции Python (hf_hub_download, snapshot_download) и командная строка. Сейчас команда называется hf download:
uv pip install -U "huggingface_hub[cli]"
MODEL="Qwen/Qwen3-32B"
REVISION="main" # лучше заменить на конкретный хеш коммита
TARGET="./models/qwen3-32b"
hf download "$MODEL" \
--revision "$REVISION" \
--local-dir "$TARGET"
find "$TARGET" -maxdepth 2 -type f -print0 \
| sort -z \
| xargs -0 shasum -a 256 > "$TARGET/SHA256SUMS"
Если модель закрыта по заявке, добавьте токен через hf auth login и сохраните отдельно сам факт, что доступ требовал подтверждения. Это важно не только юридически, но и операционно: через год другой сотрудник может банально не получить тот же артефакт, а вы будете думать, что он лежит у вас в кармане.
Для GGUF-сборок под llama.cpp логика другая: Hugging Face отдельно документирует GGUF для llama.cpp. Плюс GGUF удобен тем, что квантованный файл уже тащит с собой много нужных метаданных.
Пример для локальной проверки запуска через llama.cpp:
MODEL_GGUF="./models/qwen3-14b-q4_k_m.gguf"
./llama-cli \
-m "$MODEL_GGUF" \
-p "Write a Python function that validates an email address. Keep it short." \
-n 256 \
--temp 0.2
Для серверного инференса я бы смотрел в сторону vLLM. В документации vLLM есть офлайн-инференс через Python-класс LLM:
from vllm import LLM, SamplingParams
llm = LLM(model="./models/qwen3-32b")
params = SamplingParams(temperature=0.2, max_tokens=256)
outputs = llm.generate(
["Write a pytest for a function that parses ISO timestamps."],
params,
)
print(outputs[0].outputs[0].text)
Для ноутбука и быстрых локальных проверок Ollama проще. Его Modelfile позволяет указать локальный GGUF или модель на safetensors:
FROM ./models/qwen3-14b-q4_k_m.gguf
PARAMETER temperature 0.2
PARAMETER num_ctx 32768
SYSTEM You are a concise coding assistant. Prefer runnable code and tests.
ollama create qwen3-local -f ./Modelfile
ollama run qwen3-local "Explain this stack trace and propose a fix."
Это не заменит Fable один-в-один. И не должно.
Цель запаса не в том, чтобы держать дома такую же магию. Цель в том, чтобы критичный процесс не умер в день, когда поставщик нажал стоп.
Мой практический вывод
Fable не надо хоронить. Anthropic не надо записывать в злодеи недели. Они решают реальную задачу: как дать пользователям модель, которая уже полезна для защиты инфраструктуры, но ровно так же ускоряет и атакующих. Это честно тяжёлый компромисс, и я не уверен, что сам бы разрулил его лучше.
Но для нас, кто строит продукты и внутренние процессы на ИИ, вывод другой.
Программный интерфейс закрытых передовых моделей надо воспринимать как внешнюю зависимость с нестабильным контрактом использования. Модель может быть сильной, дорогой, полезной, незаменимой на отдельных задачах. Но если вы не контролируете веса, маршрутизацию, хранение данных, правила доступа и саму доступность, это не фундамент.
Это арендованный ускоритель. Удобный ровно до того момента, пока за ним не приехали.
Я по-прежнему буду использовать закрытые модели там, где они дают разницу. Но параллельно надо собирать локальный набор моделей с открытыми весами: для кода, рассуждений, эмбеддингов, ранжирования, речи, изображений, для ноутбука, для сервера, для квантованных запусков под конкретное железо.
В следующей статье разберу именно это: какие модели с Hugging Face стоит скачать прямо сейчас, чтобы через полгода-год не остаться с пустыми руками.
Потому что если Fable чему-то и научил, то не тому, что "Anthropic плохие".
Он показал, что игрушки уже начали собирать обратно в коробку. И пока коробку не закрыли, самое время выбрать те, что унесёшь домой и оставишь себе.
Источники: Claude Fable 5, он же Claude Mythos 5 · Заявление Anthropic о директиве правительства США · Хранение данных для моделей класса Mythos · Project Glasswing · WIRED о скрытых ограничениях для ИИ-исследователей · Пост Pliny в X про обход защиты Fable · CL4R1T4S: CLAUDE-FABLE-5.md · Endor Labs: бенчмарк Claude Fable 5 · Hugging Face Hub: скачивание файлов · Hugging Face: командная строка · GGUF для llama.cpp · vLLM: офлайн-инференс · Ollama Modelfile
Об авторе: Кир, CTO и серийный предприниматель. Пишу про ИИ-инструменты, автоматизацию разработки и реальные интеграции в бизнесе без булшита. Канал: @ai_integr.