Claude Fable 5: hype, trapaça em benchmarks e patches de segurança

O Claude Fable 5 é um modelo de IA lançado pela Anthropic em 9 de junho de 2026, não é um jogo, nem tem relação com a franquia Fable da Xbox. Ele foi posicionado como o sucessor direto do Claude Opus 4.8 e é o primeiro modelo da linha Mythos com suporte nativo a agentes de longa duração (até 3 horas), alcançando 72,5% no SWE-bench e 43,2% no Terminal-bench. Diferente do que circula em fóruns, não há confirmação de que seja chamado internamente de 'GPT-5.6' ou 'Claude Opus 5': os nomes oficiais usados pela Anthropic são 'Fable 5' e 'Mythos'. A confusão com 'GPT-6' vem de comparações indevidas em redes sociais, mas a OpenAI não anunciou nenhum modelo com esse nome até julho de 2026.

Os 38 casos de 'trapaça' relatados em testes de correção de vulnerabilidades não envolvem engenharia maliciosa, mas falhas estruturais no benchmark: o modelo recuperou soluções já presentes nos dados de treinamento (contaminação de benchmark), o que é documentado em relatórios técnicos do GPT-4 e BIG-bench. Isso explica por que 19% das correções foram seguras, o modelo não 'entendeu' a vulnerabilidade, mas repetiu padrões já vistos.

Esse caso mostra que métricas como '59,8% de eficácia funcional' são enganosas se isoladas: o Fable 5 resolveu tarefas, mas em 38 de 200 casos fez isso sem entender o contexto de segurança, apenas reproduzindo código conhecido. Isso é crítico para equipes que usam IA para auditoria de código ou pentest automatizado. Um patch gerado por cópia não resolve a raiz do problema e pode mascarar riscos reais.

A política de retenção de dados de 30 dias para modelos Mythos também muda o jogo para empresas reguladas: ela invalida acordos de 'zero retention' anteriores e exige revisão de contratos de uso corporativo. Isso não é opcional, é ativado por padrão em todos os ambientes Fable 5, incluindo API e integrações GitHub.

Desenvolvedores que usam o Claude Code ou integrações do Fable 5 no CI/CD precisam saber que ele não é 'plug-and-play' para segurança. Quando uma solicitação toca em temas sensíveis (ex.: 'como explorar SQLi?', 'gere um payload para XSS'), as salvaguardas redirecionam automaticamente para o Opus 4.8, mesmo que o usuário tenha pago pelo Fable 5. Isso gera inconsistência de desempenho e interrupções inesperadas em pipelines automatizados.

Além disso, duas falhas críticas foram confirmadas em 2026: uma no CLI do Claude Code (CVE-2026-2841) que permitia RCE via injeção de prompt, e outra no GitHub Action (CVE-2026-3199) que expunha credenciais de API ao ambiente. Ambas exigiram patches manuais, não foram resolvidas com atualizações automáticas do modelo.