Claude Fable 5 由 OneHop 提供
← 全部文章
Analysis

Bedrock 上的 Claude Fable 5,以及新的 30 天数据留存取舍

2026年6月17日 3 分钟阅读

A cream-background editorial illustration of an AWS-style cloud boundary with a developer terminal inside it, a terracot

6 月 9 日,AWS 在 Amazon Bedrock 上发布了 Claude Fable 5,却把真正的企业级重点藏在一句话里:在调用它之前,你必须启用 provider_data_share;一旦启用,你的数据就会离开 AWS 的数据与安全边界(AWS)。

这可不是一个小小的配置开关。它改变了很多团队当初选择 Bedrock 时以为自己买到的那份契约。

Anthropic 的说法很清楚。Fable 5 是其全新 Mythos 级能力层的公开版,带内置安全防护。价格是每百万输入 token 10 美元、每百万输出 token 50 美元,是当前 Opus 4.8 API 价格的两倍;Anthropic 表示,这个模型面向长时间运行的软件工程、知识工作、视觉和智能体工作流(AnthropicClaude pricing docs)。但对严肃公司来说,最关键的价格不是 token 价格,而是治理价格。

截至 6 月 17 日,又多了一层麻烦:Anthropic 表示,由于美国政府的一项出口管制指令,Fable 5 和 Mythos 5 的访问已于 6 月 12 日暂停,其他 Claude 模型不受影响(Anthropic)。这次暂停也许是临时的,但治理模式不是。现在前沿模型访问就是这个形态:能力更强,监控更多,简单的隐私承诺更少。

封面风格的架构草图,展示三条路径:标准 Bedrock 请求停留在 AWS 边界内,Claude

改变架构的细则

AWS 的发布文章说,Claude Fable 5 已在 Bedrock 的美国东部(北弗吉尼亚)和欧洲(斯德哥尔摩)区域上线。文章还说,新数据留存设置在发布时没有控制台 UI。你必须先调用 Data Retention API,才能调用模型。

发布文章给出了这个开关的大致形式:

curl -X PUT https://bedrock.us-east-1.amazonaws.com/data-retention \
  -H "Authorization: Bearer <your_bearer_token>" \
  -H "Content-Type: application/json" \
  -d '{ "mode": "provider_data_share" }'

随后 AWS 明确说明了这个模式的含义:Bedrock 可以按照模型提供商的要求留存并共享推理数据;对 Anthropic Fable 5 来说,这些要求包括对输入和输出进行 30 天留存,并可能进行人工审查(AWS)。

这打破了很多平台团队原本的心智模型:

路径默认预期Fable 5 的现实
大多数模型上的 Bedrock输入/输出默认不存储对 Fable 5 不够
Bedrock Fable 5通过 AWS 托管访问 Anthropic 模型必须启用提供商数据共享
带 ZDR 的 Claude API符合条件的 API 不留存提示词/输出Fable 5 和 Mythos 5 不符合 ZDR 条件
较旧的 Claude 模型现有留存设置继续有效不受 Covered Model 政策影响

AWS 自己的 Bedrock 滥用检测文档仍然说,Bedrock 默认采用零操作员访问和零数据留存。然后它列出了例外。对于 Claude Fable 5,输入和输出最多会保留 30 天,并且使用它需要同意将留存流量共享给 Anthropic,用于滥用检测和可能的人工审查(AWS docs)。

这个“例外”就是产品本身。

Anthropic 为什么想要这些数据

Anthropic 的论点并不是胡说。它说 Mythos 级模型跨过了某些能力阈值,滥用可能只有跨很多请求才能看出来。单条提示词看起来可能没问题。一组提示词模式则可能像是在搜索越狱、做蒸馏、进行国家支持的活动,或实施数据勒索。Anthropic 特别提到了 Best-of-N 越狱这类多请求攻击,并表示临时留存可以让它的安全防护跨请求“拉远镜头”观察(Anthropic support)。

该公司还表示,留存数据不会用于训练新的 Claude 模型,人工访问仅限于被标记的严重伤害案例或客户书面请求。按照 Anthropic 的说法,审查人员使用的工具会阻止导出、复制或下载,并且访问会记录在防篡改日志中。30 天后,数据会被删除,除非它与安全调查或法律要求相关(Anthropic support)。

这是一个自洽的安全设计。它也比“你的提示词和输出不会被留存”更弱,企业边界更松。

这两件事可以同时成立。开发者常常把这件事说得好像一定有一方在撒谎。这个框架不对。更好的框架是:Anthropic 的安全系统需要可观测性,而企业治理通常会把对敏感提示词的可观测性视为一个新的处理方、新的留存存储和新的审查面。

如果你让一个 coding agent 跑在受监管的代码库上,你的“提示词”就不是一条聊天消息。它可能包含源文件、堆栈跟踪、意外打印到日志里的密钥、嵌在 fixture 里的客户记录、漏洞报告、数据库 schema、内部 URL、IAM 策略片段,以及来自 MCP 服务器的工具输出。一份保留 30 天的 transcript 并不抽象。它是你工程环境的一份临时副本。

紧凑对比图,x 轴是“模型能力层级”,从 Sonnet 到 Opus 再到 Fable/Mythos;y 轴是“治理

社区反应很可预期,而且大多是对的

Hacker News 讨论串直奔重点。提交内容突出了 AWS 那句话:选择启用留存意味着数据会离开 AWS 边界;几天内它就拿到 426 分和 254 条评论(Hacker News)。争论的不是“Fable 聪不聪明?”而是“如果不是为了这个边界,那 Bedrock 到底是干什么的?”

一位 HN 评论者说出了企业真正的痛点:在合同限制谁可以接收客户数据的场景里,这些模型会变得不可用。另一位说,除非你在乎数据共享限制,否则几乎没理由用 Bedrock。这话有点夸张,Bedrock 还提供 IAM 集成、计费、服务控制和 AWS 原生运维,但它确实抓住了很多 AI 平台团队的购买动机。

同样的主题也出现在 r/aws,帖子标题非常直白:“AWS Bedrock 将要求为 Mythos 和未来模型与 Anthropic 共享数据。”一位评论者说,把数据留在安全边界内是他们组织使用 Bedrock 的“核心意义”;另一位则说这些模型对他们来说不可用(Reddit r/aws)。

还有第二条更怀疑的讨论线:如果提供商把提示词保留 30 天,什么能阻止他们拿去训练?事实层面的答案是,Anthropic 表示不会用这些数据训练新的 Claude 模型,也不会用于非安全目的(Anthropic)。实际层面的答案是,受监管公司不会围绕供应商的态度来搭控制。他们围绕可执行条款、审计权、数据流图、留存计划和事件流程来搭控制。

这正是很多论坛争论里缺失的部分。“他们说不训练”是相关信息。但不够。

Bedrock 的旧承诺没有消失,而是变成了按模型区分

现在企业团队能犯的最大错误,就是把“Bedrock”当成一种统一的隐私姿态。

对于较旧模型和许多 Bedrock 路径,旧姿态仍然存在。AWS 表示,Bedrock 默认不存储模型输入或输出,并默认采用零操作员访问(AWS docs)。Anthropic 表示,其他 Claude 模型继续遵循现有协议和已配置的留存设置(Anthropic support)。

Fable 5 把治理单位从“提供商”或“平台”改成了“模型类别”。

这意味着你的 AI 网关需要把模型 ID 当成策略对象来理解。global.anthropic.claude-fable-5 不应该和 Sonnet、Haiku 或 Opus 放在同一个 allowlist 桶里。它需要单独的风险标签、单独的路由规则、单独的日志记录,可能还需要单独的审批路径。

一个合理的企业策略现在应该长这样:

  • 默认让开发者使用非 Covered Models,处理普通编码和支持任务。
  • 把 Fable/Mythos 级模型放到明确的项目审批之后。
  • 阻止包含受监管数据、密钥、客户标识符、未发布财务信息或出口管制材料的提示词。
  • 为 Fable coding-agent 运行要求干净房间 repo 或合成 fixture 集。
  • 记录每一次调用,包括模型 ID、留存模式、数据分类、业务负责人和工单。
  • 增加一个 kill switch,可以在组织范围内禁用 Covered Models,而不是等每个团队去改代码。

这是很无聊的治理工作。但也正是这些工作,让公司能使用强模型,而不用假装一份被留存的 coding transcript 无害。

企业 AI 网关的策略流程图:开发者请求进入分类器,并按数据分类分支

真正的取舍:现在拿能力,之后补清晰边界

我的看法是:AWS 和 Anthropic 把留存取舍摆到明面上,这是对的;但在严肃工程环境里,Fable 5 不应该默认启用。

透明度是好事。产品适配范围比发布时的热闹宣传要窄。

如果你在做原型、迁移开源代码库、分析公开文档,或运行经过红队批准的沙箱,那么在访问恢复后,Fable 5 的取舍可能是合理的。这个模型很贵,但真正的问题是,它能不能用更少的人类时间完成一个长任务。Anthropic 声称 Fable 5 在更长、更复杂的工作上领先更多,早期客户轶事也指向雄心很大的迁移和 agentic coding 运行(Anthropic)。

如果你在处理银行交易引擎、病历流水线、政府承包商代码库、未发布芯片设计、客户支持导出,或涉及密钥的生产事故,默认答案应该是不行。不是“永远不行”。是不行,直到法务、安全和数据负责人接受这个新的处理方和留存路径。

团队需要停止把判断外包给云品牌信任。Bedrock 不是一个神奇的隐私信封。它是一个带模型级例外的平台。这个例外现在绑在了所有人都想试的前沿模型上。

Anthropic 在 6 月 12 日的暂停把这一点讲得更清楚。同一个需要 30 天安全留存的模型,因为美国政府声称某个潜在越狱存在国家安全顾虑而被下架,而 Anthropic 对这一说法有异议(Anthropic)。这一连串事情应该让每场路线图会议都清醒一点。前沿模型不再只是依赖项。它们是会波动的政策表面。

开发团队本周应该做什么

先从盘点开始。搜索你的代码、notebook、Terraform 和内部文档,查找 Fable 和 Mythos 模型 ID。然后在网关层执行策略,而不是信任每一个 SDK 调用点。

如果你使用 Bedrock,检查 provider_data_share 是否已经启用,以及谁能更改这个设置。把它当成生产数据外流控制,而不是模型偏好。如果你的组织有合同层面的 ZDR 承诺,在法律顾问确认之前,先假设 Fable 5 不在已批准路径内。

对于 coding agents,创建一个“frontier-safe”工作区:没有密钥,没有客户数据,没有私有事故日志,没有专有数据集,除非已明确批准。给模型一个狭窄的任务包,而不是整个 monorepo 加 Slack 导出再加数据库控制台。

对于采购,更新问卷。按模型类别询问模型提供商和云平台这些问题:

  • 提示词和输出会被留存吗?留多久?
  • 谁来存储它们,云提供商还是模型提供商?
  • 人类可以审查它们吗?在什么触发条件下?
  • 它们会用于训练、安全微调、分类器评估或滥用检测吗?
  • 客户能看到哪些审计日志?
  • 遇到法律保全、安全调查或政府命令时会发生什么?
  • 客户能否在组织范围内禁用这个模型?

Fable 5 的发布没有让 Bedrock 变糟。它让懒惰的 Bedrock 治理过时了。

这才是有用的教训。未来会有更多这样的模型:能力很强、价格很高、受到监控,并套着特殊条款。赢家不会是那些把它们全禁掉的团队,也不会是那些盲目全开的团队。赢家会是那些按敏感度路由工作、能证明数据去了哪里,并且只把前沿能力留给值得付出治理成本任务的团队。

想亲自尝试 Claude Fable 5 的读者,可以通过 Claude Fable 5 on OneHop 使用它,这是一个即插即用的 endpoint,价格比标价低约 30%。新账号可以先领 10 美元免费额度,无需信用卡。

延伸阅读:Claude Fable 5 入门