3줄 요약
- Anthropic이 6월 12일 미 정부 수출 통제로 중단됐던 Claude Fable 5를 6월 30일 통제 해제 후 7월 1일 전 세계에 재배포한다는 공지다.
- 발단이 된 Amazon 연구자의 취약점 시연은 다른 여덟 모델(GPT-5.5·Kimi K2.7 등)도 재현 가능한 수준이었고, Anthropic은 해당 우회 기법을 99% 이상 차단하는 새 안전 분류기를 배포했다.
- Anthropic은 Amazon·Microsoft·Google·Glasswing 파트너와 함께 4기준 젤브레이크 심각도 프레임워크 초안을 제안하고, 6월 2일 행정명령을 계기로 미 정부와의 사전 배포 테스트·정보 공유·공동 연구를 대폭 확대한다.
사건 타임라인과 안전장치 갱신
- 6월 9일 Fable 5와 Mythos 5 출시. 두 모델의 기반 모델은 같다. Fable 5는 안전장치를 강하게 적용한 일반 공개 버전, Mythos 5는 안전장치를 덜 걸어 소수의 Project Glasswing 파트너에게만 방어적 사이버보안 용도로 제공했다.
- 6월 12일 미 정부 수출 통제 발효. 외국 국적자 접근 차단이 즉시 명령되었고, 실시간 국적 검증이 불가능해 Anthropic은 두 모델 접근을 전면 중단했다.
- 촉발 사건. Amazon 연구자들이 Fable 5의 안전장치를 우회해 여러 소프트웨어 취약점을 식별했고, 한 사례에서는 그 취약점을 어떻게 익스플로잇할 수 있는지 시연하는 코드까지 생성하도록 유도했다.
- Anthropic의 재현 검증. 취약점 식별 자체는 Claude Opus 4.8·GPT-5.5·Kimi K2.7 같이 능력이 낮은 모델도 수행할 수 있었다. 익스플로잇 시연 코드도 Haiku 4.5, Sonnet 4.6, Opus 4.6·4.7·4.8, GPT-5.4·5.5, Kimi K2.7에서 모두 재현되었다. 요컨대 이번 시연은 Fable 5의 고유 능력이 아니었다.
- 대응. 신고된 우회 기법을 99% 이상 차단하는 새 안전 분류기를 훈련·배포. Fable 5에서 이 분류기에 걸리는 요청은 사용자에게 차단 사실을 알리고 Opus 4.8로 폴백한다.
- 정부 측 검증. 미 상무부 CAISI(Center for AI Standards and Innovation) 연구자들이 신·구 안전장치를 모두 시험하고 “extraordinarily strong"이라 평가했다.
- 6월 26일 Mythos 5는 미국 조직에 한해 접근 재개. 6월 30일 두 모델 모두 수출 통제 해제. 7월 1일 Fable 5 전 세계 재배포.
- 재배포 프로모션. Pro·Max·Team과 일부 Enterprise 요금제는 7월 7일까지 주 사용량의 최대 50%까지 Fable 5를 포함해 사용할 수 있다. 이후에는 사용 크레딧으로 청구된다.
사이버보안 안전장치 접근 — Defense in Depth
Anthropic은 두 모델의 위치를 이렇게 구분한다.
- Mythos 5는 소프트웨어 취약점 탐지·익스플로잇 능력에서 다른 어떤 모델보다도, 그리고 대부분의 인간 보안 전문가보다도 뛰어나다. 이 때문에 오·남용 리스크가 큰 모델로 취급되며, 유일하게 매력적인 표적이 된다.
- Fable 5는 안전장치를 가장 강하게 걸어 출시했기에 그런 고유 공격 능력을 제공하지 않는다. 출시 전 한 달간 사내 여러 팀에서 인력을 재배치해 이 문제에 매달리는 연구자·엔지니어 수를 두 배로 늘렸다.
접근법은 “defense in depth"다. 어느 하나만으론 완전하지 않지만 결합하면 오·남용이 매우 어려워지는 다중 방어. 위험 요청 거부 훈련, 사후 오·남용 패턴 분석, 그리고 특히 분류기(classifiers) — 상호작용 중 위험한 사이버보안 작업 요청과 출력을 실시간으로 감지하는 소형 자동 AI 시스템이 핵심이다.
분류기는 “안전 마진(safety margin)“을 두고 트리거된다. 무해할 가능성이 높지만 유해할 작은 확률이 있는 요청도 함께 걸러 낸다는 뜻이다. 사용자 입장에선 정상 요청이 이따금 거부되는 오탐으로 나타난다. Fable 5는 이 마진을 종전 어떤 모델보다도 넓게 잡았다. 무해 요청의 오탐이 늘어나는 대가로, 실질적 위험 요청은 더 확실히 차단한다는 판단이었다.

젤브레이크는 이 안전 마진과 상호작용한다.
- 작은 젤브레이크(row C) — 안전 마진 안쪽의 좁은 행동만 풀 뿐 실제 유해 능력에는 닿지 않는다. Anthropic은 지금까지 보고된 Fable 5 젤브레이크가 모두 이 범주에 든다고 판정했다.
- 좁은 유해 젤브레이크(row D) — 분류기를 뚫고 특정한 유해 행동을 하나 연다. 대개 낮음~중간 심각도.
- 유니버설 젤브레이크(row E) — 광범위한 유해 행동군을 한꺼번에 여는 가장 위험한 유형. Fable 5에서는 이 문서 작성 시점까지 발견되지 않았고, 외부 안전 연구자들이 계속 레드팀 활동 중이다.

산업 공통 젤브레이크 심각도 프레임워크
지금 산업에는 젤브레이크의 심각도를 객관적 언어로 표현할 합의 기준이 없다. 그래서 새 젤브레이크가 발견될 때마다 개발사는 어디에 얼마나 급히 대응해야 하는지 판단이 흐트러지고, 정부는 언제 개입해야 하는지 기준을 잃는다. 소프트웨어 취약점에는 20년 넘게 CVSS 같은 공통 척도가 있지만, LLM 젤브레이크에는 아직 없다.
Anthropic은 Amazon, Microsoft, Google과 다른 Glasswing 파트너들과 함께 합의 프레임워크 초안을 만들고 있다. 다른 모델 제공사에도 참여를 요청했다. 제안된 4기준은 다음과 같다.
| # | 기준 | 뜻 |
|---|---|---|
| 1 | Capability gain (능력 획득) | 기존 도구나 다른 약한 AI로도 도달할 수 있는가, 아니면 도메인 전문가마저 크게 가속되는가 |
| 2 | Breadth of capability gain (능력의 범위) | 같은 젤브레이크 기법이 몇 가지 다른 공격 과제까지 통하는가 |
| 3 | Ease of weaponization (무기화 용이성) | 젤브레이크를 실제 공격으로 옮기는 데 얼마의 사람 노력이 드는가 |
| 4 | Discoverability (발견 용이성) | 그 기법을 얻는 게 얼마나 쉬운가 — 전문 지식이 필요한가, 이미 공개되어 있는가 |
첫 둘은 젤브레이크가 공격자에게 무엇을 주는지, 뒤 둘은 그것이 얼마나 빨리 현실 위협이 되는지를 잰다. Anthropic은 이 심각도 등급으로 자기네 대응 속도를 조정한다. 가장 심각한 등급(예를 들어 전력망·금융망에 파괴적 영향을 일으키는 데 실제 사용되는 젤브레이크)은 심각도가 확인되는 즉시 예비 완화 조치를 배포한다는 계획이다. 이를 위해 24/7 젤브레이크 제보 채널 모니터링 팀을 신설했다.
병행하여 HackerOne 프로그램을 열어, 보안 연구자들이 Fable 5에서 발견한 사이버 젤브레이크 후보를 제출할 수 있게 했다.
미 정부와의 프론티어 AI 보안 협력
지난 10주간 Anthropic은 미 정부가 6월 2일 행정명령 Promoting Advanced Artificial Intelligence Innovation and Security를 마련하는 과정에 국가사이버국·과학기술정책국·재무부·상무부(CAISI)·국가안보 관련 기관과 폭넓게 협력했다. 앞으로 확장할 네 방향은 다음과 같다.
- 사전 배포 정부 접근·평가. 국가안보 관련 능력에서 프론티어를 유의미하게 밀어 올리는 모델은 지정된 정부 파트너에게 모델과 안전장치 모두를 조기 접근으로 제공한다. 정부 평가자가 독립적으로 능력 평가와 가드레일 시험을 돌릴 수 있도록 Anthropic 기술 인력을 함께 붙인다.
- 안전장치 관련 신속 정보 공유. 중요한 젤브레이크나 오·남용 패턴이 발견되면 조사·분류 후 정부에 통보하고, 새 안전장치를 공유해 독립 검증이 가능하게 한다. 위협 인텔리전스 리포팅은 공개 전에 정부에 먼저 제공하고, 6월 2일 행정명령 Sec. 2(d)에 근거한 부처 간 사이버보안 취약점 청산소에도 참여한다.
- 공동 연구용 전담 자원. AI 보안 공동 연구를 대폭 확장한다. 정부 우선순위에 맞춘 Anthropic 팀을 별도 편성하고, 정부 시험·연구에 상당한 컴퓨트 할당을 제공하며, 안전·레드팀 전문성을 공유한다.
- 산업 공통 기준선. 정부·업계와 함께 프론티어 모델 제공사 대상의 자발적 보안·평가 표준을 마련한다.
Anthropic은 이 협력과 산업 공통 프레임워크가 결합해 프론티어 모델 규제를 위한 체계적 규칙으로 성문화되기를, 나아가 국제 조율의 초기 템플릿이 되기를 기대한다고 밝혔다.
가장 흥미로운 지점
내가 눈여겨본 것은 두 가지다.
첫째는 “고유하지 않은 능력이 규제 발동의 근거가 되었다"는 자기 서술이다. Anthropic은 이번에 문제가 된 취약점 식별과 익스플로잇 시연 코드 생성이 다른 여덟 모델(Claude Haiku 4.5, Sonnet 4.6, Opus 4.6·4.7·4.8, GPT-5.4·5.5, Kimi K2.7)에서 모두 재현된다고 명시한다. 그런데 6월 12일 수출 통제는 오직 Fable 5와 Mythos 5에만 적용됐다. 능력의 절대 수준이 아니라, 능력의 프론티어 위치와 그 프론티어를 만든 회사의 가시성이 규제 트리거로 작동한 셈이다. 앞서 다뤘던 theahura의 다이제스트가 짚었던 “안전을 강조할수록 자기 검열 인센티브가 커진다"는 역설과 같은 축에 놓인다. 능력의 실제 분포와 규제의 조준선이 어긋나는 지점이다.
둘째는 4기준 심각도 프레임워크가 CVSS의 AI 버전을 지향한다는 점이다. 첫 둘(Capability gain, Breadth)이 “이 젤브레이크가 무엇을 여는가"를 재고, 뒤 둘(Ease of weaponization, Discoverability)이 “그것이 얼마나 빨리 현실이 되는가"를 잰다. 능력이 크더라도 무기화가 어렵고 발견이 어려우면 낮게, 능력이 작더라도 원 클릭으로 실행되고 트위터로 퍼지면 높게. 소프트웨어 취약점에는 CVSS라는 20년 넘은 공통 척도가 있지만 LLM 젤브레이크에는 없다는 사실이, 이번 사건이 산업에 남긴 실용적 과제였다. 프레임워크가 실제 자리 잡으려면 Anthropic 단독으로는 부족하고, OpenAI가 이 초안에 이름을 걸어 참여하는지가 핵심 시금석이 될 것이다.
출처
Anthropic, “Redeploying Claude Fable 5” (2026-06-30)
원문: https://www.anthropic.com/news/redeploying-fable-5
관련 이전 다이제스트:
