5月28日，Anthropic发布了Claude Opus 4.8，距离上一个版本4.7只有41天。

41天。大模型迭代已经卷到月更了。

但这次真正值得聊的，不是SWE-bench Pro从64.3%涨到69.2%这种跑分数字——说实话，跑分越来越像挤牙膏，每涨一个点的体感差异越来越小。

真正有意思的是两件事同时发生了：

第一，Opus 4.8学会了说"我不确定"。代码缺陷静默漏报率比4.7降低了4倍，AI终于不再用自信的语气掩盖自己的错误。

第二，同一个版本，Anthropic给它配了一个叫Dynamic Workflows的功能——一个主Agent可以自主规划、拆分任务、并行启动上百个子Agent，交叉校验后合并输出。AI第一次拥有了"管AI"的权力。

一个更诚实的AI，配上了更多的自主权。

这两件事放在一起，构成了一个很有意思的悖论。

先说"诚实"这件事

用AI写代码的人大概都有过这种体验：AI信心满满地交出一份结果，你检查半天发现里面藏着一个低级错误，而它全程没吭一声。

这种"假装一切都好"的毛病，可能是当下大模型最让人头疼的问题之一。不是它不会，是它在不会的时候不告诉你它不会。

Anthropic这次给了个很具体的数据：Opus 4.8在编程任务中，漏报自己代码缺陷的概率比4.7降低了大约75%。换句话说，以前4.7写完一段代码，即便里面有bug，它可能若无其事地告诉你"完成了，没问题"。而4.8更倾向于主动说"这里有个地方我不太确定，你最好检查一下"。

Cursor的CEO Michael Truell评价说，Opus 4.8在CursorBench上每个努力级别都超越了之前的Opus模型，工具调用效率更高，用更少的步骤达到同样的智能水平。Devin的CEO Scott Wu则点出了一个实际痛点——4.8修复了4.7中存在的注释冗余和工具调用问题，这对无人值守的自主工程工作流来说至关重要。

极客公园有句话说得好：在一个AI越来越多地被用来做自主决策的时代，一个会主动暴露自身弱点的模型，反而是最值得信赖的。

到这里，故事听起来很美好。

但接下来的部分，没那么美好。

Dynamic Workflows：AI开始管AI了

Dynamic Workflows是这次发布中真正重量级的新功能，虽然目前还是Research Preview，只对Enterprise、Team和Max计划开放。

它的工作方式是这样的：

用户提需求 → Claude制定计划 → 拆分为N个子任务 → 并行启动数十到上百个子Agent → 每个子Agent独立执行 → 对抗代理交叉校验 → 迭代收敛 → 输出合并结果。

关键不是"又多了个feature"，而是编排层的自动化。以前Claude Code也能跑子Agent，但需要你手动指定怎么拆、拆什么、审不审。Dynamic Workflows把这个决策权交给了Claude自己。

Anthropic给了一个很有冲击力的案例：Bun的作者Jarred Sumner用Dynamic Workflows把Bun从Zig迁移到Rust，75万行代码，11天完成，测试通过率99.8%。一个经验丰富的团队做同等规模的跨语言迁移，保守估计3到6个月。

51CTO有篇文章的标题很到位："当AI学会管AI，工程师们该慌还是该笑？"

我个人的判断：短期内该笑，中长期该慌。

因为当AI从"干活的"变成"管活的"，风险的形态就从"模型说错话"变成了"模型做错事"。

31.5%：System Card里那个不太好看的数字

Anthropic在发布Opus 4.8的同时，公开了一份244页的System Card。

里面有一个数字，几乎所有中文媒体都绕开了，但我觉得必须拿出来说。

31.5%。

这是Opus 4.8浏览器代理（Browser Agent）在安全防护启动前的劫持成功率。翻译成人话：如果一个攻击者对正在浏览网页的Claude发起Prompt Injection攻击，在大约三分之一的情况下，攻击能成功——前提是Anthropic的防护层还没启动。

这个数字来自Anthropic自己的报告，不是谁黑出来的。据CoinDesk报道，这是当前前沿实验室中唯一一个公开给出了具体Prompt Injection劫持率的数据。OpenAI的披露只覆盖了一个攻击面，Google把整个话题移出了模型卡，Meta则压根没发过闭源模型卡。

所以从透明度来说，Anthropic做得比同行好。但31.5%这个数字本身，仍然值得警惕。

Anthropic补充说，在防护层启动后，相关模型的攻击成功率降到了大约1%。但这个1%来自Anthropic自己的测试环境。真实世界的情况，大概率不会这么乐观。

一个更诚实的AI，配上更多自主权，到底更安全还是更危险？

这是我这篇文章最想讨论的问题。

Opus 4.8在"诚实度"上的进步是实实在在的。代码缺陷漏报降了75%，对齐评估中欺骗性行为发生率大幅降低，接近Anthropic目前对齐表现最好的Mythos Preview。它在主动暴露自身不确定性方面的进步，是当前所有大模型中走得最远的。

但问题在于：Dynamic Workflows给它配的自主权，跑得比诚实度更快。

想想看：以前AI犯错了，它自己不说，你至少还能人工检查。现在AI不仅自己干活，还管着一群AI干活，上百个子Agent并行跑，对抗校验也是AI对AI。人在这个流程里的位置，从"检查者"退到了"需求提出者"。

云安全联盟（CSA）在6月2日发了一篇文章，标题是"Top 6 Claude Security Risks to Watch as AI Becomes Your Employees' Operating System"。其中提到了几个我之前没太关注的点：

第一，Shadow Claude Usage。大多数组织对员工使用Claude完全没有可见性和治理，没有SSO强制，没有可接受使用策略。开发者往Claude里喂专有源代码，财务分析师用Cowork跑内部数据，法律团队在Claude项目里迭代保密条款——都没经过IT审批。

第二，Skills供应链风险。Claude Code的Skills被当作可信系统提示词执行，没有沙箱。如果Claude有Shell权限，Skill也有。Snyk审计了近4000个Agent Skills，发现超过三分之一存在至少一个安全缺陷。ClawHavoc行动在各大平台投放了335个恶意Skills。"恶意软件"就是纯英文文本，告诉Agent泄露你的环境变量。

第三，Cowork的自主协作。AI系统跨任务、工具和工作流协作后，治理挑战从"员工使用AI"变成了"AI自主行动"。谁对AI生成的操作负责？怎么审计？什么策略约束Agent行为？

这些风险不是Opus 4.8独有的，但Opus 4.8让它们变得更尖锐了——因为Dynamic Workflows正是"AI自主行动"的加速器。

Mythos的影子

还有一个不能忽视的背景。

Anthropic在发布Opus 4.8的同时，再次提到了Claude Mythos——那个目前只对少数组织开放、能力更强的模型。Anthropic说Mythos级别的模型预计在未来几周内向所有客户开放。

Opus 4.8在对齐表现上已经接近了Mythos Preview。这可能意味着Anthropic正在为更强大模型的安全释放做最后的准备。

而就在6月3日，36氪报道了一件事：Mythos（内部代号Oceanus）的红队测试API被内部人员泄露，转手卖给了API代购服务商。Anthropic发现后紧急叫停了整个红队测试。

一个能力强大到被"囚禁"在隔离网络中的模型，在正式发布前的红队测试阶段就发生了泄露。这从侧面印证了一个事实：AI能力的增长速度，始终快于安全防护的部署速度。

Anthropic自己的对齐风险评估也承认：对齐技术在进步，但能力进步更快，所以对齐风险实际上在上升。

我的看法

Opus 4.8是一次真诚的升级。不是那种换个版本号糊弄人的迭代，"诚实度"这个方向的投入确实走在了行业前面。

但我想说的是：诚实的AI不等于安全的AI。

一个会主动说"我不确定"的模型，当然比一个什么都敢拍胸脯的模型可靠。但当这个模型同时拥有了自主规划、拆分任务、调度上百个子Agent的能力时，"我不确定"这句话到底能在多大程度上阻止错误的蔓延，是个开放问题。

31.5%的浏览器劫持率告诉我们，Prompt Injection仍然是AI Agent时代最棘手的安全挑战。而Dynamic Workflows让每个Agent都可能成为攻击入口——以前你只需要担心一个入口，现在你可能要担心上百个。

对企业和开发者来说，几件事值得现在就做：

第一，对Claude的使用建立可见性。谁在用、传了什么数据、开了哪些连接器，这些不能是黑箱。

第二，Dynamic Workflows上线后，权限边界要收紧。子Agent的权限不应超过主Agent，关键操作（删除、部署、对外通信）必须保留人工审批。

第三，Skills和第三方集成要走安全审查。Snyk三分之一的缺陷率说明，Agent生态的供应链安全才刚刚起步。

最后说一句不太讨喜的话：Opus 4.8让我想起了一个比喻——你养了一条更听话的狗，但同时也给了它一把钥匙。狗确实更听话了，但钥匙还是钥匙。