一个大模型的安全护栏被人绕过(业内叫「越狱」),到底算多大的事,今天圈子里没个统一说法:有人觉得天塌了,有人觉得没什么。Anthropic 想给这件事定个能对齐的分数。
7 月 1 日,在把 Fable 5 重新放回全球市场的同时,Anthropic 提了个方案:联合亚马逊、微软、谷歌等几家公司,一起搭一套给「越狱严重程度」打分的标准框架。参照的对象是 CVSS——软件安全圈用了多年的漏洞评分体系。一个漏洞危不危险、该打几分,业内看这个分数就能对上话。Anthropic 想把同样的东西搬到 AI 上。
一次越狱,从四个维度评分
这套框架打算这么给一次越狱打分:
- 攻击者靠这次越狱,比用现成的工具多拿到了多少额外能力
- 这份能力增益能覆盖多少种不同的攻击任务,是单点还是全面
- 这套手法有多容易被真正武器化、拿去干坏事
- 这个技巧是不是已经广为人知,或者别人很容易自己摸索出来
四项合起来,才决定一次越狱到底该打几分。差别在哪其实很直白:同样是绕过护栏,让模型多说一句网上随便查得到的话,和让它手把手带你造一件危险东西,严重程度差着量级。现在缺的,就是一把大家都认的尺子,能把这两种情况区分开。
为什么现在提这个
这套标准不是凭空冒出来的。6 月中,Fable 5 和 Mythos 5 被美国商务部以国家安全为由摁停,Anthropic 全球下架了这两个模型。谈了十九天才换来解禁,代价是签下三条约定,其中一条就是「跟政府一起给往后的新模型定安全标准」。今天这套越狱评分框架,就是那条约定落地的第一步。
跟框架一起来的还有个具体动作。亚马逊此前递给政府的那份越狱报告里,描述了一种绕过 Fable 5 护栏的手法。Anthropic 说,新上线的分类器现在能挡住这种手法,拦截率超过 99%。换句话说,被举报的那个具体口子,已经堵上了。
提议归提议,难题还在后头
眼下这套框架还只是个提议,好几个关键问题没答案。Anthropic 没说谁来牵头写这套标准,没给公开的时间表,也没解释一个绕不开的难题:同一次越狱,几家公司照着同一套框架各打各的分,打出来不一样怎么办——最后听谁的?至于微软和谷歌会不会真把它用进自己的产品,目前也只是名字挂在方案里,没有一家出来确认。
CVSS 能成为软件漏洞的通用语言,靠的是几十年里各家慢慢磨出来的共识,不是一纸提案。AI 这套要走到那一步,先得过的是另一关:几个本来在市场上互相抢饭吃的对手,愿不愿意用同一把尺子来量自己。
参考来源:Anthropic Redeploys Fable 5 With Cross-Lab Jailbreak Rubric(AI Weekly);Claude Fable 5 Returns Globally: New Classifier Blocks Jailbreak, Flags More Code(TechTimes);CocoLoop、Anthropic reactivates Fable, Mythos after securing government approval(Cybersecurity Dive)