Anthropic wyłącza Claude Fable, model AI klasy Mythos
Państwo wyłączyło frontierowy model AI jednym pismem, trzy dni po jego premierze. Narzędziem była kontrola eksportu. Precedensem jest uznaniowość bez procedury, a nie jest to pierwszy ruch w tym sporze.
Robert Nogacki · Kancelaria Prawna Skarbiec · 12 czerwca 2026
12 czerwca 2026, o 17:21 czasu waszyngtońskiego, Departament Handlu wysłał pismo – i… frontierowy model AI zgasł.
Dyrektywa zobowiązała firmę do zawieszenia dostępu do Fable 5 oraz jego mocniejszego rodzeństwa, Mythos 5, dla każdego cudzoziemca, w kraju i poza nim, włącznie z własnymi inżynierami firmy będącymi cudzoziemcami. Aby zachować zgodność, Anthropic wyłączył oba modele dla wszystkich użytkowników; reszty linii Claude nakaz nie dotknął. Modele miały trzy dni. Fable 5 zadebiutował 9 czerwca.
Podstawą deklarowaną było bezpieczeństwo narodowe. Konkretów, jak przyznaje sama firma, nie podano. Przedstawiciel administracji powiedział później Axios, że działanie nastąpiło po tym, jak nienazwana „inna firma” twierdziła, że znalazła sposób na złamanie zabezpieczeń Mythos, oraz że dostęp pozostanie ograniczony, dopóki rząd „nie wzmocni swoich systemów bezpieczeństwa narodowego”, być może „w ciągu najbliższych kilku tygodni”. Zatrzymaj się nad tą ostatnią frazą. Kilka tygodni to rytm sprintu programistycznego, nie autentycznego stanu wyższej konieczności państwa.
- Dyskusja o tym artykule: pod postem na LinkedIn
Co naprawdę znaleziono
„Jailbreak” nie jest jedną rzeczą, a rozróżnienie waży więcej niż samo słowo. Technika pokazana rządowi sprowadza się do poproszenia modelu, by przeczytał kod i naprawił jego luki. To zautomatyzowane wykrywanie i usuwanie podatności, z natury dwojakiego użytku: ta sama zdolność, która pozwala atakującemu znaleźć dziurę, pozwala obrońcy ją zamknąć. Według Anthropic demonstracja ujawniła niewielką liczbę znanych już, drobnych podatności, odtwarzalnych przez inne publiczne modele, w tym GPT-5.5 firmy OpenAI, i wykorzystywanych codziennie przez inżynierów utrzymujących systemy w ruchu. Porównanie do GPT-5.5 pochodzi od samego Anthropic, nie jest figurą retoryczną dodaną tutaj.
Pogłębienie techniczne: jailbreak uniwersalny a nieuniwersalny, i dlaczego ta różnica rozstrzyga
Architektura zabezpieczeń Anthropic była świadomie obroną w głąb (defense in depth). Celem było wtłoczenie każdego jailbreaku w jedną z dwóch nieatrakcyjnych postaci: nieuniwersalną (wąską, wydobywającą pewną zablokowaną zdolność tylko w konkretnych, spreparowanych okolicznościach) albo uniwersalną, lecz kosztowną (szeroko omijającą zabezpieczenia, ale na tyle drogą w wytworzeniu, że nie da się jej swobodnie skalować). Na to nałożono ciągły monitoring oraz celową trzydziestodniową retencję danych, tak by udana próba mogła zostać wykryta i zablokowana, a nie jedynie hipotetycznie wykluczona.
Liczby nie były błahe. Wedle dokumentacji premierowej Anthropic, skuteczność ataków w zadaniach ofensywnego cyberbezpieczeństwa spadła z 56,6 procent w poprzednim modelu publicznym do 5,4 procent w Fable 5, a zewnętrzny program bug bounty zarejestrował ponad tysiąc godzin bez wytworzenia choćby jednego jailbreaku uniwersalnego. Ujawnione przypadki były albo nieszkodliwe, albo drobne i nie dawały żadnego przyrostu specyficznego dla Mythos.
Pytaniem, które powinien zadawać regulator bezpieczeństwa, nie jest więc „czy model potrafi coś niebezpiecznego”, lecz „czy daje to sprawnemu przeciwnikowi realny przyrost ponad to, co i tak jest swobodnie dostępne„. Gdy ten sam wynik można uzyskać od konkurencyjnego modelu komercyjnego, zdolność jest dostępna na rynku, a krańcowy wkład tego akurat dostawcy zmierza do zera.
To przewraca całą ekonomię zagadnienia. Wyłączenie jednego dostawcy nie odejmuje zdolności ze świata; przenosi użytkowników do dostawcy obok. To substytucja, nie powstrzymanie, a tezę tę literatura o kontroli eksportu stawia od dekad wobec źle skalibrowanych ograniczeń, które szkodzą konkurencyjności, nie adresując leżącego u podstaw ryzyka. Kontrola, która zmienia logo na fakturze, a zdolność pozostawia nietkniętą, robi coś, ale nie robi bezpieczeństwa.
Kontrola eksportu jako narzędzie cenzury
W USA kontrola eksportu działa poprzez Export Administration Regulations, administrowane przez Bureau of Industry and Security na podstawie Export Control Reform Act z 2018 roku, z awaryjnym zasięgiem dostępnym przez International Emergency Economic Powers Act. Powstała dla namacalnych dóbr podwójnego zastosowania i uzbrojenia: wirówek, obrabiarek, układów naprowadzania rakiet. Rozszerzenie na oprogramowanie było świeże, krótkotrwałe i, do czerwca 2026, wycofane, i właśnie tu leży interes prawny.
Pogłębienie techniczne: hak prawny dla wag modeli zbudowano, a potem po cichu usunięto
13 stycznia 2025 BIS opublikowało Framework for Artificial Intelligence Diffusion, tworząc nową kontrolę, ECCN 4E091, nad wagami najbardziej zaawansowanych modeli zamkniętych, trenowanych na ponad dziesięć do potęgi dwudziestej szóstej operacji obliczeniowych. Po raz pierwszy wagi modelu AI były wprost towarem objętym kontrolą eksportu.
Ten hak nie przetrwał. Od 13 maja 2025 BIS pod obecną administracją przystąpiło do uchylenia AI Diffusion Rule i poleciło urzędnikom egzekucyjnym jej nie stosować; ECCN 4E091 zostało faktycznie usunięte. Tak więc do 12 czerwca 2026 jedyna regulacja, która umieściła wagi modeli wprost „w środku namiotu”, nie obowiązywała już, a czerwcowa dyrektywa jej nie powołała.
Pozostaje zatem otwarte pytanie centralne: na jakiej władzy opiera się dyrektywa? Na resztkowych przepisach EAR, na świeżym nakazie nadzwyczajnym w trybie IEEPA (którego przesłanki proceduralne są znacznie cieńsze niż przy stanowieniu prawa w trybie notice-and-comment), czy na czymś zupełnie innym. Nie da się tego ustalić, bo treść dyrektywy nie została upubliczniona. To nie jest formalność. Państwo, które zawiesza produkt, nie nazywając reguły, którą egzekwuje, w istocie nie wyegzekwowało żadnej reguły.
Logika deemed export i jak odcina własnych inżynierów firmy
Na gruncie EAR „każde udostępnienie na terytorium USA 'technologii’ lub kodu źródłowego osobie zagranicznej jest uznanym eksportem do kraju jej najnowszego obywatelstwa lub stałego pobytu”. Nie wymaga to przekraczania granicy. Reguła powstała z myślą o laboratorium i hali inżynierskiej: pokaż kontrolowany schemat goszczącemu badaczowi, a w sensie prawnym właśnie go wyeksportowałeś.
Struktura dyrektywy podąża za tą logiką. Nie zajmuje wag modelu; zakazuje osobom. Linia, którą wytycza, to obywatelstwo, nie zdolność. Komentatorzy już wskazali nowość stosowania tego rozumowania do wdrożonego produktu konsumenckiego dostępnego przez API, a nie do kontrolowanej technologii oglądanej w laboratorium.
Warto zatrzymać się nad konsekwencją. Firma może otrzymać nakaz, by odciąć własnych inżynierów od produktu, który zbudowali, na terytorium, na którym go zbudowali, z powodu tego, gdzie ci inżynierowie się urodzili. Kontrola eksportu, pomyślana jako reguła o towarach przekraczających granice, działa tu jako reguła o ludziach, którzy nigdzie się nie ruszyli.
Dlaczego wyłączono Claude Fable i Mythos
Maksymalny instrument, minimum ujawnionych dowodów, zero jawnej procedury. Kontrola eksportu należy do najbardziej dotkliwych narzędzi gospodarczych państwa, niosąc wymóg licencji na eksport, reeksport, a nawet transfer krajowy, poparty sankcjami cywilnymi i karnymi. Tutaj, na podstawie publicznego zapisu, oparła się najwyraźniej na ustnym opisie wąskiej, nieujawnionej luki.
To nie jest system bezpieczeństwa. To uznaniowość przebrana w fartuch laboratoryjny.
W środku kryje się ciemniejsza ironia. Anthropic wbudował trzydziestodniową retencję i aktywny monitoring właśnie po to, by nadużycia dało się wychwycić i zablokować, a polityka ta uchyliła istniejące umowy o zerowej retencji, bez możliwości rezygnacji, przyjmując realny koszt biznesowy w imię nadzorowalności. Nakaz nie przeszedł przez ten aparat; sięgnął po władzę eksportową i zawiesił model w całości. Firma, która najwięcej zainwestowała w to, by być nadzorowalną, została nadzorowana najmniej starannie.
Wzorzec
Jedna dyrektywa może być wypadkiem przy pracy. Ta nie jest odosobniona, i to powinno niepokoić czytelnika. Czerwcowe wyłączenie to najnowszy ruch w udokumentowanym i narastającym konflikcie między Anthropic a obecną administracją.
27 lutego 2026 prezydent polecił agencjom federalnym zaprzestać używania technologii Anthropic i zarządził sześciomiesięczne wygaszanie. W marcu sekretarz obrony uznał Anthropic za „ryzyko dla łańcucha dostaw bezpieczeństwa narodowego”, odcinając wykonawców wojskowych od współpracy z firmą, wedle doniesień pierwszy taki publiczny przypadek wobec firmy amerykańskiej. Sąd okręgowy zablokował to oznaczenie i wstrzymał zakaz użycia federalnego 25 marca. 8 kwietnia sąd apelacyjny dla okręgu D.C. odmówił wstrzymania oznaczenia na czas apelacji, pozostawiając je częściowo w mocy.
Czytane na tle tego zapisu, „bezpieczeństwo narodowe” zaczyna wyglądać mniej jak ustalenie, a bardziej jak instrument pierwszego wyboru. Wzgląd na rzetelność tnie w obie strony, a uczciwość intelektualna każe to przyznać: rząd uwikłany w autentyczny, sporny proces z dostawcą ma realne powody do tarć i nie każdy z nich jest pretekstem. Lecz to przyznanie wyostrza obawę, nie stępia. Wzorzec działania przymusowego podejmowanego bez ujawnionego standardu nie uspokaja dlatego, że jest wzorcem. Jest groźniejszy, bo sugeruje, że uznaniowość staje się nawykiem.
Precedens
Zatem szablon. Jeśli nieokreślona troska o bezpieczeństwo narodowe plus nieujawniona demonstracja od nienazwanej strony trzeciej mogą w jedną noc wycofać wdrożony model, to każdy system frontier dzieli od zawieszenia, co do zasady, jedna anonimowa prezentacja. Sama Anthropic prosiła, by taka interwencja była „przejrzysta, sprawiedliwa, jasna i oparta na faktach technicznych”. Cztery warunki wymienione, bo przy tej okazji żadnego nie spełniono w sposób widoczny. Praktyczny precedens został ustanowiony, a wisząca teraz nad firmą architektura licencyjna, obejmująca eksport, reeksport i transfer krajowy zarazem, jest jego rusztowaniem egzekucyjnym.
Nastrój, nie prawo
Kapitał i talenty czytają takie sygnały szybciej, niż regulatorzy je piszą. Lekcja, którą rynek wynosi z 12 czerwca, nie brzmi, że amerykańskie AI jest bezpieczniejsze. Brzmi, że decyzję wdrożeniową można odwrócić nieprzejrzystym ruchem z zakresu bezpieczeństwa narodowego, doręczonym po godzinach, na podstawie władzy, której rząd odmawia nazwania, wobec luki, której odmawia sprecyzowania, z przywróceniem zapisanym ołówkiem na „kilka tygodni”, gdy uporządkuje się systemy wewnętrzne. To czyta się jako nastrój, nie prawo, a od nastroju, w przeciwieństwie do prawa, nie ma odwołania.
Głębszy punkt przetrwa retorykę. Polityka bezpieczeństwa, która nie potrafi podać swojego powodu, nie potrafi pokazać swojej procedury, nie potrafi nazwać reguły, którą egzekwuje, i nie potrafi wykazać, że odejmuje przeciwnikowi jakąkolwiek zdolność, nikogo nie ochroniła. Odkryła jedynie, jak tanio może działać.
Część druga: elementarz dla niespecjalisty
Co to są modele frontier?
„Model frontier” to ten, który w danym momencie znajduje się na zewnętrznej krawędzi ogólnego AI: największy, najzdolniejszy system, trenowany na ogromnych ilościach tekstu i wręcz nieprzyzwoitej mocy obliczeniowej. Poprzednie pokolenie oprogramowania było szufladą narzędzi jednego przeznaczenia, kalkulator tu, korektor pisowni tam. Model frontier jest bliższy szybkiemu, oczytanemu erudycie, któremu można powierzyć niemal dowolne zadanie: napisz to, popraw tamto, przeczytaj tę umowę, zdestyluj ten zbiór danych. Jego cechą definiującą jest to, że zdolność nie jest kodowana funkcja po funkcji. Ona wyłania się ze skali, co oznacza, że nawet twórcy bywają zaskoczeni tym, co rzecz potrafi. Zapamiętaj ten szczegół. To źródło zarówno obietnicy, jak i niepokoju, i to ono tłumaczy, dlaczego rządy zaczęły traktować te systemy tak, jak niegdyś traktowały wzbogacony uran.
Spór Anthropic z Trumpem, co kryje się za sloganami?
Zdejmij nagłówki, a spór okazuje się stary i prosty: kto decyduje, jak wolno używać potężnego narzędzia, firma, która je zbudowała, czy państwo, które ją gości. Anthropic zbudował publiczną tożsamość na zabezpieczeniach, odmawiając pewnych zastosowań wojskowych i wysokiego ryzyka, reklamując powściągliwość jako cechę. Administracja, z temperamentu i mandatu, chciała mniej zamków i bardziej bezpośredniego dostępu, zwłaszcza dla obronności i bezpieczeństwa. To nie spekulacja. W lutym 2026 prezydent polecił agencjom federalnym zaprzestać używania produktów Anthropic w toku sześciomiesięcznego wygaszania; Pentagon napiętnował następnie firmę jako ryzyko łańcucha dostaw; a sądy zainterweniowały, blokując środek, zanim panel apelacyjny pozwolił utrzymać jego część. Czerwcowe działanie eksportowe to najnowszy rozdział tej książki, nie osobne zaskoczenie. Najprzydatniej trzymać to strukturalnie, nie partyjnie: dostawca stawiający bezpieczeństwo na pierwszym miejscu i państwo łaknące zdolności i tak musiały zderzyć się o to samo pytanie, a kontrola eksportu okazała się po prostu najbliższą dźwignią.
Czym jest Claude Fable?
Fable 5 to publicznie dostępna, celowo powściągnięta wersja najzdolniejszego wewnętrznego systemu Anthropic, modelu klasy Mythos. Oba „korzystają z tego samego modelu bazowego” i różnią się tym, jak stosowane są zabezpieczenia i kto może uzyskać dostęp do której wersji. Ten sam silnik, dodatkowe zamki. Zbudowany jest mniej jak chatbot, a bardziej jak agent: planuje, wykonuje i iteruje w pracy wieloetapowej, dużych projektach programistycznych, długiej analizie technicznej, wyrafinowanym rozumowaniu. I jest pozbawiony kłów dokładnie tam, gdzie mieszka niebezpieczeństwo, odmawiając lub przekierowując zapytania wysokiego ryzyka do słabszego modelu. Krótko dla osoby z zewnątrz: Fable to potężny model uczyniony dość bezpiecznym dla publiczności, i właśnie dlatego teza, że jego zabezpieczenia da się obejść, od początku była politycznie łatwopalna.
Jak naprawdę działa „jailbreak” AI?
Jailbreak to socjotechnika wymierzona w oprogramowanie. Model jest trenowany, by być pomocny, spójny i wrażliwy na kontekst; jailbreak czyni z tych właśnie cnót broń, ubierając zakazane żądanie w kontekst, który model błędnie odczytuje jako uprawniony, rolę do odegrania, hipotezę do rozważenia, długą i z pozoru niewinną ścieżkę, która dochodzi tam, gdzie nie powinna. Nie ma tu potrzeby instrukcji i żadnej nie podaję: wystarczy punkt pojęciowy. Elastyczność, która czyni te systemy użytecznymi, jest tą samą powierzchnią, na którą napiera atakujący.
Niedostatecznie relacjonowaną prawdą jest to, że większość jailbreaków jest wąska i krucha. Działają w jednym sformułowaniu, a zawodzą w następnym, celują w konkretną szczelinę, nie w cały gmach, i zostają załatane, gdy tylko ktoś je zobaczy. Uniwersalny jailbreak, taki, który szeroko i trwale odblokowuje model, to obiekt naprawdę poważny, a wedle publicznego opisu nikt takiego nie wytworzył przeciw Fable przez ponad tysiąc godzin testów w programie bug bounty. To rozróżnienie nie jest pedanterią. To różnica między otwartym wytrychem a kluczem uniwersalnym, a czerwcowa dyrektywa, po wszelkich dostępnych znakach, dotyczyła wytrychu.
Inne publikacje
Musk przeciwko OpenAI: proces sądowy o przyszłość sztucznej inteligencji
Robert Nogacki – radca prawny (WA-9026), założyciel Kancelarii Prawnej Skarbiec.
Są prawnicy, którzy zajmują się prawem. I są tacy, którzy zajmują się problemami, na które prawo nie ma gotowej odpowiedzi. Od ponad dwudziestu lat Kancelaria Skarbiec pracuje na przecięciu prawa podatkowego, struktur korporacyjnych i ludzkiej niechęci do oddawania państwu więcej, niż się państwu należy. Doradzamy przedsiębiorcom z kilkunastu krajów – od tych z listy Forbesa po tych, którym fiskus właśnie zajął konto i którzy nie wiedzą, co robić jutro rano.
Jeden z najczęściej cytowanych ekspertów prawa podatkowego w polskich mediach – pisze dla Rzeczpospolitej, Dziennika Gazety Prawnej i Parkietu nie dlatego, że to dobrze wygląda w CV, lecz dlatego, że pewnych rzeczy nie da się wyjaśnić w piśmie procesowym i ktoś musi je powiedzieć głośno. Autor AI Decoding Satoshi Nakamoto. Sztuczna inteligencja na tropie twórcy Bitcoina. Współautor nagrodzonej książki Bezpieczeństwo współczesnej firmy.
Kancelaria Skarbiec zajmuje czołowe pozycje w rankingach kancelarii podatkowych Dziennika Gazety Prawnej. Czterokrotny laureat Medalu Europejskiego, laureat tytułu International Tax Planning Law Firm of the Year in Poland.
Specjalizuje się w sporach z organami skarbowymi, międzynarodowym planowaniu podatkowym, regulacjach kryptoaktywów i ochronie majątku. Od 2006 roku prowadzi sprawę WGI – jedną z najdłuższych spraw karnych w historii polskiego rynku finansowego, bo są rzeczy, których nie wolno zostawić w połowie, nawet jeśli trwają dwie dekady. Wierzy, że prawo jest zbyt poważne, żeby traktować je wyłącznie poważnie – i że najlepsza porada prawna to ta, dzięki której klient nigdy nie musi stanąć przed sądem.
