Long-form

Mythos 5 的双重身份:Anthropic Project Glasswing 与 AI 能力管控的新范式

8 min read ·

2026 年 6 月 9 日,Anthropic 发布了 Claude Fable 5——目前公开可用的性能最强的 Claude 模型。在同一篇公告里,Anthropic 宣布了另一个模型:Claude Mythos 5。

但 Mythos 5 不在公开 API 上。

Mythos 5 通过 Project Glasswing 运营,只对经过 Anthropic 审查并获得美国政府批准的合作方开放。6 月 26-27 日,美国商务部批准了 Mythos 5 向第一批合作方的部分发布——这是美国政府首次明确参与 AI 模型的发布决策。

这套安排不是临时措施,而是 Anthropic 对一个根本性问题的答案:当 AI 模型的能力进入某个阈值,它应该只对谁开放?

Mythos 5 到底有多强

在理解治理框架之前,需要先理解为什么需要这个框架。

Fable 5 和 Mythos 5 共享相同的底层权重,区别在于 Fable 5 带了安全分类器,Mythos 5 没有。在大多数基准上,两者的差距在 1-3 个百分点:Fable 5 在 SWE-Bench Pro 上是 80.3%,Mythos 5 接近 82%。差距不大。

但在特定领域,差距是量级性的。

网络安全基准:Mythos 5 在未加限制的网络安全评估中得分 78.0%,几乎是 Opus 4.8(40.0%)的两倍。Fable 5 因为安全分类器的拦截,在这类任务上的实际可用能力接近 Opus 4.8。两者的表面差距是 1-3 点,实际能力差距是 38 个百分点。

生物医学研究:Mythos 5 在药物发现相关任务上的表现——包括蛋白质结构推理、分子对接评估、临床试验设计——显著优于公开版本。Anthropic 在公告中明确说这是推动药物发现速度的核心能力,也是 Glasswing 重点开放的领域之一。

这个数字说明一件事:Fable 5 和 Mythos 5 不只是包装不同,它们对某些应用的用户来说在功能上就是不同的模型。

Project Glasswing 的设计逻辑

Project Glasswing 的名字来自透明翅蝴蝶(Greta oto),翅膀近乎透明——这个比喻指向”可见但受控”:合作方能看到并使用最强大的能力,但在一个透明的监督框架下。

Glasswing 的运营逻辑分三层:

层 1:能力评估与触发

Anthropic 内部设定了一套能力阈值,当模型在特定领域超过这个阈值时,该能力自动进入”受控访问”类别。Mythos 2 Preview 是第一个触发这个机制的版本——它在网络安全任务上的表现让 Anthropic 决定不公开发布,并从后续公开模型中剥离这些能力。

Mythos 5 是第一个从设计阶段就内嵌了 Glasswing 框架的模型,而不是事后打补丁。这是从”先发布再约束”到”设计时内嵌约束”的转变。

层 2:申请方审查

申请进入 Project Glasswing 需要:

  1. 使用场景说明:详细描述为什么需要未加限制的能力,具体应用是什么
  2. 组织背书:相关行业资质、安全记录、合规认证
  3. 访问控制承诺:如何防止 Mythos 5 的输出被二次扩散或用于非授权场景
  4. 持续审查协议:接受 Anthropic 的定期使用情况审查

目前公开的合作方类型包括:联邦网络安全机构、经批准的国防承包商、生物医学研究机构、以及少数经过特别审查的企业安全产品公司。

层 3:政府背书

Mythos 5 的部分发布需要美国商务部明确批准,这是此前从未有过的安排。6 月 26 日,美国政府正式批准了 Mythos 5 向第一批合作方的开放。

CNBC 的报道中引用了政府官员的说法:这是”对 AI 公司负责任扩散承诺的重要里程碑”,同时也是”政府确保高危能力不会无约束扩散的新工具”。

这个表述很微妙。政府介入既是对 Anthropic 的认可(你的管控框架得到认可),也是对未来的约束(未来类似能力的发布都需要这个流程)。

安全分类器:Fable 5 如何实现双轨制

理解 Fable 5 的安全分类器设计,能更清晰地看到 Anthropic 在技术层面如何实现双轨制部署。

Fable 5 的安全分类器在推理时运行,独立于主模型:

请求 → 安全分类器评估 → 判断是否触发
                        ↓ 是
                    路由到 Opus 4.8
                    stop_reason: "refusal"
                        ↓ 否
                    路由到 Fable 5 主模型
                    stop_reason: "end_turn"

三类触发场景:

网络安全:包括漏洞利用代码的生成、渗透测试的操作步骤、恶意软件的实现细节。注意,漏洞的原理解释、防御建议、代码审查等不在拦截范围内——分类器区分”理解”和”操作”。

生物化学:涉及危险病原体的改造方法、化学武器相关合成路径、高风险生物实验操作。基础的生物化学知识、公开文献的讨论不受影响。

模型蒸馏:试图通过大量查询提取 Fable 5 的权重信息,用于训练其他模型的行为。这保护了 Anthropic 的知识产权,同时防止通过蒸馏绕过 Glasswing 框架。

在正常 SaaS 应用场景中,触发率低于 5%。但在特定垂直领域(安全工具、研究平台),触发率可能达到 20-40%——这些场景的用户会明显感受到 Fable 5 和 Mythos 5 之间的能力差距。

Glasswing 模式可能意味着什么

这不只是 Anthropic 的企业决策,它可能定义了未来前沿 AI 部署的标准模式。

能力分层的制度化

在 Glasswing 之前,AI 能力的分层是产品决策:哪些用户能用哪些模型,由价格和 API 权限控制。Glasswing 引入了资质审查政府背书两个新维度,把能力分层从产品决策转变为治理机制。

这对行业的长期影响是:最强大的 AI 工具将不只是贵,而是需要资质才能访问。AI 能力的分层不再只是技术和商业问题,而是政策问题。

其他实验室的跟随压力

OpenAI 的 GPT-5.6 也在 6 月 26 日遭遇了类似的政府干预——在白宫要求下推迟公开发布,先进行有限预览。这表明,这不是 Anthropic 的单独行为,而是整个前沿 AI 行业正在进入的新规则。

Google DeepMind 迄今没有公开类似的受控访问框架,但如果 Gemini 系列在某些能力上达到相似的阈值,同样的压力会出现。

开源模型的复杂角色

Glasswing 框架的有效性依赖于一个前提:最危险的能力只存在于少数公司的闭源模型中。但智谱 AI 的 GLM-5 系列、以及其他开源模型正在快速逼近前沿水平——GLM-5.1 在一些 agentic benchmark 上已接近 Opus 4.8。

如果最强的能力在未来 12-18 个月内出现在可以本地部署的开源模型中,Glasswing 这类受控访问框架的有效性会大幅下降。Anthropic 对此是清醒的——公告中明确说 Glasswing 是”现阶段”的解决方案,并非永久性答案。

开发者视角:双轨制带来的实际问题

对于在生产系统中使用 Claude 的开发者,Glasswing 带来了几个具体的问题:

能力预期的管理:如果你在安全工具或研究平台上构建产品,需要明确告知用户:通过 Fable 5 能做到什么,以及哪些能力需要 Glasswing 访问。能力边界的不透明会带来用户体验问题。

Glasswing 申请的现实性:对于大多数企业,成功加入 Project Glasswing 是困难的。需要评估:你的使用场景是否真的需要无分类器的能力,还是 Fable 5 加上合适的系统提示就足够?不少”需要 Mythos 5”的场景,实际上是系统提示设计问题。

长期依赖风险:如果你的产品路线图依赖 Glasswing 级别的能力,需要考虑访问可能被撤销的风险——政府政策变化、Anthropic 内部政策调整,或者合作关系的变动都可能影响访问权限。关键业务流程不应该对单一受控访问渠道形成强依赖。

Glasswing 背后的治理哲学

Anthropic 在官方博客和内部文件中多次提到一个框架:负责任的扩散(responsible diffusion)。这不是”不扩散”,而是”在正确的时机以正确的方式扩散”。

Glasswing 的设计体现了这个哲学的几个原则:

透明约束:限制是公开的,不是暗箱操作。Fable 5 用户知道存在安全分类器,知道可能触发回退,知道 Mythos 5 存在但访问受限。这种透明性是 Glasswing 合法性的基础。

可扩展的访问:随着监管框架的成熟和评估工具的完善,Glasswing 的访问门槛可以逐步放开。这不是永久锁定,而是时间维度上的分阶段开放。

能力-责任的匹配:访问更强的能力,意味着承担更多的监督义务。这是 Glasswing 申请流程的核心逻辑——你获得的能力越强,你需要接受的审查就越多。

这套逻辑并不新鲜——核技术、生物技术领域都有类似的分层访问机制。AI 的特殊性在于速度:从”安全”到”危险”的能力跃升发生在数月内,而传统监管框架的建立需要数年。

小结

Mythos 5 和 Project Glasswing 代表了前沿 AI 部署的一个新阶段:能力最强的模型不再以传统 API 的方式无差别开放,而是通过受控访问框架,在政府监督下向经过审查的合作方开放。

这是否是正确的做法,取决于你对以下问题的判断:AI 最强能力带来的风险是否足够大,以至于需要超出纯粹市场机制的约束?在 Anthropic 的模型中,Mythos 2 Preview 的内部评估结果给出了一个肯定的答案。

更重要的问题是:这套框架在未来 2-3 年内还能有效运转吗?当开源模型达到 Mythos 5 的能力水平时,受控访问的意义会发生根本性的改变。Glasswing 当下是一个理性的过渡方案。它能过渡多久,取决于开源能力追赶的速度——而这个速度目前来看,比大多数人预期的更快。

Frequently asked questions

Mythos 5 和 Fable 5 到底是不是同一个模型?
底层权重相同,部署配置不同。Fable 5 加了三类安全分类器(网络安全、生物化学、模型蒸馏),触发时回退 Opus 4.8;Mythos 5 去掉了这些分类器,能力直接暴露。两者的基准表现差距在 1-3 个百分点,在敏感领域(如网络安全)差距更大——Mythos 5 达 78.0%,Fable 5 因分类器拦截实际可用能力约为 40%。
Project Glasswing 是什么?谁有资格加入?
Project Glasswing 是 Anthropic 对 Mythos 级别模型的受控访问计划,要求申请方经过 Anthropic 审查并获得美国政府批准。目前公开的合作方包括联邦机构和经过筛选的企业合作伙伴,重点是网络安全防御、生物医学研究(药物发现)和高级科学计算领域。个人开发者和普通企业无法申请。
美国政府在 AI 模型发布中扮演什么角色?
Mythos 5 的部分发布(6 月 26-27 日)需要美国商务部明确批准,这是一个新的前例。在此之前,AI 模型发布是纯粹的企业决策。这次政府介入表明,当 AI 能力进入特定阈值(如网络安全基准超过某个分数),监管层认为其扩散风险需要政府级别的背书和管控。
这种双轨制部署对开发者有什么影响?
直接影响是能力天花板:通过公开 API 能访问的 Fable 5 在敏感领域的实际能力被显著限制,而这些场景(安全研究、生物信息学)往往正是需要最强能力的场景。长期影响是治理模式可能固化:如果 Glasswing 模式成为行业标准,最强的 AI 工具将只对经过背书的机构开放,AI 能力的分层会更加明显。
Mythos 2 Preview 发生了什么?这和 Mythos 5 有什么关系?
Mythos 2 Preview 在内部评估中表现出对广泛使用软件漏洞的惊人探测和利用能力,Anthropic 决定不公开发布,并从后续公开模型中剥离了这些能力。Mythos 5 吸取了这个教训,在设计阶段就引入了 Glasswing 框架,而不是事后打补丁。这是 Anthropic 从'先发布再约束'转向'设计时内嵌约束'的关键转变。
// next.txt ›

Some outbound links in this post are affiliate links — see disclosure.