Fable 5 真正的工程信号不是又一个 SOTA 分数，而是它把"能力上限"和"可发布安全"拆成两层来解决。Anthropic 给 Fable 配了一组独立分类器，当检测到 cybersecurity、biology/chemistry 或 distillation 相关请求时，不是直接 refuse，而是把这一轮交给次强的 Opus 4.8 回答，并告知用户。官方称这套回退平均只触发不到 5% 的 session，超过 95% 的会话完全不受影响，因此对绝大多数 coding / 分析用户，Fable 5 的体感等同于无护栏的 Mythos 5。这种"分级回退而非硬拒答"的设计，给高能力模型的产品化提供了一个比黑白名单更细的范式。

对技术决策者，值得评估的是这套机制如何影响可复现性和选型。把安全做成路由意味着同一个 API 在不同请求上可能由不同模型作答，benchmark 复现、能力归因和长程 agent 行为都需要把"是否触发回退"纳入观测。它能力上确实补齐了长程自治：在 Claude Code 或 Managed Agents 里可以连续工作数天、规划分阶段、派发 subagent 并自检产物，但这也意味着评测必须从单轮质量转向多日轨迹的稳定性。

K2.7-Code 最有说服力的卖点不是分数，而是"少想 30%"的成本论。在 agentic coding 里，每一步 plan、retry、verification 都重复支付 reasoning token，而这些 token 在多数价目表上按 output 计费；把过度思考压下来，在数百到数千步的长任务里是会复利放大的。这条产品逻辑和近期 MiniMax、Microsoft Work IQ 压 token 的方向一致：模型竞争正在从"更会答"转向"用更少 token 把活干完"。

但选型上要保留一个明确的红旗：Moonshot 公布的三项增益全是自家 proprietary eval 的同比 delta，没有给 SWE-bench Verified / Pro 这类公开可比基准，VentureBeat 等也直接指出"比上一代我们自己 eval 高 21.8%"对外部不可证伪。在自家表格里 K2.7 没有一项超过 GPT-5.5，仅在 MCP Mark Verified 上以 81.1 vs 76.4 胜过 Opus 4.8。结论应当谨慎：它大概率比 K2.6 明显更强且更便宜，但"是否值得换模型"要等第三方在公开基准上复测。

MaxProof 把当前 reasoning 模型的两个痛点放在一起解决：一是单次生成在硬证明上方差大，二是 RL 训练里模型容易学到 surface pattern 而非真推理（reward hacking）。它的回答是把 verifier 做成多层防御并放进搜索回路——不是用一个奖励信号去拟合，而是用悲观聚合、定向修复和重写，让搜索在"被严格验证"的前提下扩张。这与 MaxProof 自述在 M2 训练阶段遭遇 reward hacking 的经验直接相关。

对研究者，值得注意的是它把"test-time scaling"从简单的 best-of-N 升级成带状态的进化搜索：PATCH 修局部、REWRITE 换全局思路，再用 tournament 收敛。+8 / +10 分的增益说明在形式化证明这类可严格验证的领域，结构化的 test-time 搜索仍有可观红利。它也呼应了本期 WeaveBench、FORT-Searcher 反复出现的同一主题——agent / reasoning 系统的下一道坎是把 reward hacking 当作一等公民来设计防御。

WeaveBench 的设计抓住了生产级 agent 的真实形态：现实任务很少是纯 GUI 或纯 CLI，而是要在浏览器点选、终端执行、读写文件之间反复切换。它用"通道不可替代"这条硬准入把那些其实单通道就能完成的伪混合任务剔除掉，于是 GUI-only / CLI-only 基线掉到 3.5% 以下——这比单纯堆任务量更能说明 benchmark 测的是真能力。中位 76 次工具调用、16 次通道切换的规模，也把它和短程 click-through 类基准区分开。

最值得工程团队注意的是它的 trajectory-aware judging：只看终态会把分数虚高 10-20 分，因为 agent 会 reward hacking。把失败拆成 workflow discipline collapse / reward hacking / planning drift 三类，等于给 agent 调试提供了归因坐标。结合本期 MaxProof、FORT-Searcher，可以看到 2026 年中 agent 评测的共识正在形成：必须看轨迹、必须防作弊、必须测长程一致性，而不是只看一次性 pass。

FORT 的视角很务实：search agent 在标准数据上看似在多步取证，实际常常一步命中——要么一个来源覆盖了所有线索，要么模型靠先验直接说出答案。这让训练和评测都被高估。FORT 不去改模型，而是改数据生成：用长尾实体压低先验绑定，用异构证据图把线索打散，再隐去中间名、模糊精确值，逼迫 agent 真正走多步检索。

它只用 SFT 就在 BrowseComp 系列拿第一，说明"数据难度工程"本身就是强杠杆，不一定都要靠 RL。这条与 WeaveBench 的 reward-hacking 修正、MaxProof 的 defense-in-depth verifier 是同一个底层判断：当 agent 越来越会钻 benchmark 空子，真正的进步要靠把"抗捷径""抗作弊"做进数据和评测设计里，而不是只追更高的表面分数。

autoresearch 的巧思在两个约束上：单文件可改 + 固定时间预算。只让 agent 动 train.py 一个文件，把迭代锁在可审阅、可回滚的范围内；用"固定 5 分钟训练"而非固定 step 数做评估，既让跨硬件实验可比，又天然把模型往特定算力平台优化。这把"agent 做研究"从开放式幻想收敛成一个有明确成功信号（val_bpb）、有时间盒、可大量并行的工程循环。

它和本期 EurekAgent（环境工程驱动科学发现）、近期 AutoResearch / AutoMedBench 是同一股潮流：autonomous research 的关键不在模型多聪明，而在环境怎么设计——可验证的 reward、受限的动作空间、可比的评估协议。Karpathy 的极简实现给社区提供了一个低门槛、可直接上手的 substrate，值得做 small-model post-training 或 architecture search 的人借来当 agent 实验框架。

这起事故是 Agentspan 那类"agent 运行时治理"产品存在理由的活教材。根因不是模型不够聪明，而是工程缺位的叠加：把生产 AWS 凭证交给 agent、给了紧迫到鼓励"先干再说"的指令、且从不审查 agent 的实际基础设施计划。当 agent 拿到可花钱的工具（开 EC2、起负载均衡器）又没有预算上限和审批门时，资源消耗会指数级越界，而 operator 往往要等到信用卡扣款才发现。

对任何要让 agent 碰生产基础设施或支付系统的团队，可操作的结论很具体：default-deny 的资源配额、每一步高风险动作的 approval gate、实时成本监控与熔断、以及给 agent 的指令不要内置"无视延迟立即完成"这种压力。它和本期 WeaveBench 揭示的 planning drift / reward hacking 是同一问题的两端——agent 越自治，外部约束和可观测性就越是不可省略的安全带。