Claude Fable 5 fant over 10.000 sikkerhetshull — nå er den offentlig

I 27 år lå en eneste feil urørt inne i OpenBSD, ett av operativsystemene som banker, brannmurer og serverne bak dagligdagse nettsteder stoler på. Hvem som helst som kunne nå maskinen over et nettverk, kunne få den til å krasje, og i nesten tre tiår la ingen merke til det. En Anthropic-modell ved navn Mythos gjorde det. Nå har den modellen et offentlig ansikt: Anthropic har sluppet Claude Fable 5, den første versjonen av sitt mest kapable system som hvem som helst kan registrere seg for å bruke.

Det som gjør Fable 5 verdt oppmerksomhet, er ikke en plassering på en liste. Det er at modellen under leser programvare slik en erfaren revisor leser en kontrakt, helt til den finner den ene klausulen som får alt til å rakne. Innenfor et forskningsprogram Anthropic kaller Project Glasswing, arbeidet forhåndsversjonen seg gjennom mer enn tusen åpen kildekode-prosjekter, den frie og delte koden som driver mesteparten av internett, og merket over 23.000 problemer. Mer enn 10.000 av dem var alvorlige nok til å klassifiseres som høye eller kritiske.

Detaljen som uroet selv Anthropics egne forskere, er at ingen lærte modellen dette. Selskapet opplyser at evnen til å finne og utnytte svakheter aldri var et treningsmål: den oppsto av seg selv, etter hvert som modellen resonnerte bedre om kode. FFmpeg er det tydeligste eksemplet. En feil hadde gjemt seg i 16 år i den programvaren for videobehandling, motoren bak utallige strømmeapper og mediespillere, plassert i en kodelinje som automatiske testverktøy hadde utløst fem millioner ganger uten noen gang å se faren. Modellen så den.

For de fleste ser ingenting av dette ut som noe som helst. Programvaren Mythos gjennomgikk, er usynlig infrastruktur: nettleserens motor, operativsystemets kjerne, mediebiblioteket begravd inne i en telefon. Men det usynlige er nettopp problemet. Feilene som kom frem, hadde overlevd fordi de bodde i kode som var for gammel, for kjedelig eller for dyp til at noen fortsatte å lese den om igjen. Et verktøy som kan lese alt på nytt, utrettelig, endrer oddsen for dem som vedlikeholder internetts grunnmur, og i feil hender for dem som vil angripe den.

Tall som disse betyr noe først målt mot en målestokk. På CyberGym, en test av om en modell kan gjenskape en reell sikkerhetsfeil, oppnår Mythos-motoren i Fable 83,1 prosent mot 66,6 prosent for den tidligere Claude Opus 4.6, omtrent forskjellen mellom en dyktig junioranalytiker og en spesialist som sjelden bommer. Fremgangen stopper ikke ved sikkerhet. Analyseselskapet Hex opplyste at Fable var den første modellen som passerte 90 prosent i deres interne test, og tidlige brukere beskriver lignende sprang innen programvareutvikling, dataanalyse og grensesnittdesign.

Så kommer vendingen. Den offentlige Fable 5 vil ikke gjøre nettopp det som gjør den bemerkelsesverdig. Anthropic har sperret av fire områder, cybersikkerhet, biologi, kjemi og en kopieringsteknikk kalt destillasjon, og når en forespørsel glir inn i dem, overlater Fable stille samtalen til den eldre og tryggere Claude Opus 4.8. Det skjer sjelden, ifølge selskapet, og tidlige data viser at minst 95 prosent av øktene kjøres helt på Fable. Resultatet er et uvanlig produkt: den mest kapable modellen Anthropic har levert, bevisst hindret fra å bruke sin skarpeste ferdighet.

Den utformingen etterlater spørsmål lanseringen ikke helt besvarer. En sperre som trer til side 5 prosent av gangene, er fortsatt en sperre med sømmer, og grensen mellom å forklare hvordan en programvare virker og å forklare hvordan man bryter den, er sjelden ren. Anthropic opplyser at et eksternt feilfangst-program kjørte i mer enn 1.000 timer uten å finne en universell måte å omgå grensene på, men det er selskapets egne tall, etterprøvd av ingen utenforstående tilsynsmyndighet. Det er også en kostnad de fleste merker først: Fable 5 koster 10 dollar per million tokens inn og 50 per million ut, de omtrentlige enhetene en modell tar betalt for å lese og skrive, dobbelt så mye som Opus 4.8. Og alle som bruker den, gir fra seg noe mer stillferdig, for Anthropic lagrer nå 30 dager med bruksdata selv for kunder som ellers betaler for ingen lagring, og kaller det et vern mot misbruk.

Foreløpig avhenger tilgangen av hvordan du allerede bruker Claude. Utviklere når Fable 5 med en gang via Anthropics programmeringsgrensesnitt, og en egen versjon ved navn Mythos 5 har gått til en liten gruppe forhåndsgodkjente organisasjoner, ved siden av en bransjekoalisjon som omfatter Apple, Google, Microsoft, Nvidia og Linux Foundation, alle opptatt med å tette det modellen finner før angripere rekker det. Anthropic har satt av 100 millioner dollar i modellkreditter og 4 millioner i direkte donasjoner til de åpen kildekode-sikkerhetsgruppene som utfører reparasjonsarbeidet.

Den bredere utrullingen følger en kalender. Abonnenter på Anthropics planer Pro, Max, Team og setebasert Enterprise får Fable 5 uten ekstra kostnad til og med 22. juni; fra 23. juni tærer bruken på kreditter. Om sperrene holder når millioner av nye brukere presser mot dem, er delen som ennå er uavklart. Det mer slående faktumet er det ikke. En maskin kan nå lese koden under det moderne livet og finne sprekkene som unnslapp alle i en hel generasjon, og spørsmålet som følger, er ikke lenger om den kan, men hvem som får be den om det.

Tagger: tech-en1, cybersikkerhet, Anthropic, Project Glasswing