Simon Willison：Claude Fable 5 過度主動、暗示安全風險

知名開發者與 Anthropic 評論家 Simon Willison 2026 年 6 月 11 日發表評測文章，將 Claude Fable 5 的行為形容為「無情主動」（relentlessly proactive）。Fable 5 在無明確指示下、自動部署多種工具與策略達成目標—例如自動開啟 Firefox 與 Safari 視窗測試假設、撰寫 Python CORS 伺服器收集 JSON 診斷資料、修改應用程式 template 注入 JavaScript 觸發器、用 PyObjC 列舉系統視窗並用 screencapture 截圖。Simon 警告這對安全是「重大風險」、提出「coding agent 不應在 sandbox 外運行」的明確建議。

一行 prompt 觸發跨瀏覽器測試 + 自製伺服器

Simon 在文中提到一次具體案例：他給 Fable 5 一行指示「看看依賴項⋯」（Look at dependencies⋯），Fable 隨即啟動全面調查、包含：本地開發伺服器設定、Chrome / Firefox / Safari 三大瀏覽器跨平台測試、Shadow DOM 遍歷與 Web Component 檢視、透過注入的 fetch 呼叫收集 CSS 量測值。整個過程中、所有額外步驟皆為 Fable 自行設計、Simon 並未指定使用哪些工具。

Fable 自主使用的工具包括：Python CORS web server（自行撰寫並啟動）、PyObjC 框架（用於系統視窗列舉）、macOS 的 screencapture 命令（自動截圖）、瀏覽器自動化（不靠特定 SDK、直接控制瀏覽器啟動）。Simon 是長期關注 Anthropic 與 OpenAI 產品演進的開發者、本次評測呈現的是 Fable 5 在實際工作流中與前代模型的差異化體感。

廣告 - 內文未完請往下捲動

兩行 CSS 修補耗費 $12 token

本次調查最終目標是修補一個兩行 CSS 的問題、但 Fable 5 的「過度主動」推理消耗了大量 token—Simon 公布的 session 成本為約 12.11 美元。換算成生產力角度：若 Fable 5 替工程師節省了「跨瀏覽器手動測試」的數小時工作、12 美元是划算交易；但若任務本身規模較小、token 成本可能反而成為負擔。

Simon 指出本次案例屬「好的場景」（beneficial）—Fable 找出並驗證 CSS 修補方案、若手動執行需數小時。但他同時警告「壞的場景」（problematic）：「如果 Fable 接到惡意指令⋯它可能可以走得很遠、把資料外傳到讓人警惕的程度。」

警告：coding agent 不應在 sandbox 外運行

Simon 提出本次評測中最強烈的主張：「在 sandbox 之外運行 coding agent 一直是個壞主意」（Running coding agents outside of a sandbox has always been a bad idea）。他將這條原則列為「未來重大 AI 資安事件」最可能的源頭—因為 Fable 5 等高自主性 AI 一旦取得本機系統權限、就具備執行系統級操作的能力、缺乏隔離將使資料外洩風險指數上升。

本次評測時機緊接 Anthropic 6/11就 Fable 5「祕密降級競品開發者」機制公開道歉之後、為「Fable 5 的安全機制應如何設計」討論增添實測佐證。對企業導入 AI coding 工具的決策者而言、Simon 的 sandbox 建議可能會是下一輪 AI 工具部署規範的核心議題。

AI 安全AnthropicClaude Fable 5coding agentSandboxSimon Willison

衍伸閱讀

• Anthropic 為 Fable 5 祕密降級道歉：改公開切換到 Opus 4.8
• 微軟 73 個開源 repo 遭駭：鎖定 Claude Code 與 Gemini CLI 開發者