Claude Fable 5 e Mudanças na API Mythos: O que ainda funciona (e como testar)

A Anthropic lançou suas linhas de modelos Fable e Mythos com um conjunto de regras diferente do que os desenvolvedores estavam acostumados, e a reação foi barulhenta. Dois tópicos dominaram a discussão: uma nova exigência de retenção de dados de 30 dias para o tráfego Fable e Mythos, e uma rodada de mudanças nas barreiras de segurança (guardrails) que foram implementadas sem muito aviso. Se você executa qualquer coisa na API Claude em produção, essas mudanças te afetam diretamente.

Este post separa o ruído das partes que afetam seu código. Você verá o que supostamente mudou, o que ainda funciona da mesma forma que na semana passada, e como verificar sua própria integração com o Apidog em vez de adivinhar. Se você mantém uma integração com Claude, a medida mais segura agora é testar suas suposições, não confiar nelas.

O que realmente mudou

Três coisas estão sendo confundidas na discussão. Separe-as e a imagem fica mais clara.

Retenção de dados. A mudança principal é uma janela de retenção de 30 dias aplicada às solicitações Fable e Mythos. Na prática, isso significa que os dados de solicitação e resposta vinculados a esses modelos são mantidos por um período fixo, em vez de serem descartados imediatamente. Equipes com compromissos rigorosos de manuseio de dados se importam com isso porque altera o que você pode prometer aos seus próprios usuários. Se sua política de privacidade diz "não retemos prompts", o comportamento de retenção do seu provedor upstream agora faz parte dessa afirmação.

Barreiras de segurança (Guardrails). Um tópico separado cobriu as mudanças nas barreiras de segurança (guardrails) em Fable que alguns pesquisadores de segurança contestaram. A reclamação não era que as barreiras de segurança existissem; era que o comportamento mudou silenciosamente, de modo que as respostas que passavam ontem podem ser filtradas ou remodeladas hoje. Para uma aplicação que depende de saída consistente, uma mudança silenciosa no comportamento de recusa é uma fonte real de bugs.

Acesso programático. Esta é a parte que a maioria dos desenvolvedores realmente precisa agir. A superfície da API, o modelo de autenticação e o formato principal da solicitação não foram substituídos. Suas chaves existentes, suas chamadas de `messages` e seu esquema de uso de ferramentas ainda funcionam. O que pode mudar por baixo é o comportamento: quais prompts são recusados, quanto tempo as chamadas demoram sob carga e como uma resposta transmitida se parece quando uma barreira de segurança (guardrail) é acionada no meio da geração.

A versão resumida: o contrato é estável, o comportamento não é garantidamente estável, e a política em torno dos seus dados é mais rigorosa. Essa combinação é exatamente para isso que serve o teste.

O que ainda funciona

Antes de reescrever qualquer coisa, confirme o que não mudou para não consertar problemas que você não tem.

• Autenticação. As chaves de API e o cabeçalho x-api-key funcionam como antes. Você não precisa rotacionar chaves devido a essas mudanças, embora a rotação de chaves seja uma boa prática de qualquer forma. Consulte a referência da API da Anthropic para o contrato atual do cabeçalho.
• O formato da API de Mensagens. O corpo da solicitação, o campo model, max_tokens, prompts system e o array messages não foram alterados. O código escrito para a API de Mensagens continua funcionando.
• Uso de ferramentas. Suas definições de ferramentas e o ciclo tool_use / tool_result se comportam da mesma forma. Se você construiu um agente baseado em chamada de função, a fiação permanece.
• Streaming. Eventos enviados pelo servidor ainda transmitem tokens da mesma forma. O que pode diferir é o conteúdo do stream quando uma barreira de segurança (guardrail) intervém no meio.
• Aliases de modelo. Se você fixa um modelo pelo seu ID completo em vez de um alias flutuante, você controla exatamente qual modelo responde. Fixar é sua melhor defesa contra a deriva silenciosa de comportamento.

Então, nada força uma reescrita de emergência. O trabalho é verificação: prove que o comportamento do qual seu aplicativo depende ainda se mantém, e capture os casos em que ele silenciosamente não se mantém.

Como testar sua integração com Apidog

É aqui que um cliente de API de verdade ganha seu lugar. Você pode ler changelogs o dia todo, mas a única maneira de saber como sua integração responde é disparar requisições e inspecionar o que retorna. O Apidog oferece um único espaço de trabalho para projetar essas requisições, salvá-las, simular o upstream e executá-las como verificações automatizadas. Se você se mudou do Postman ou nunca padronizou, este é um bom lugar para começar; aqui está o argumento mais amplo para testes de API sem Postman.

1. Capture um baseline conhecido e bom

Crie uma requisição no Apidog que acesse a API de Mensagens com um prompt que seja importante para você; um prompt de produção representativo, não um exemplo trivial. Fixe o ID completo do modelo. Salve a resposta. Este é o seu baseline. Quando o comportamento mudar mais tarde, você compara com esta resposta salva em vez de confiar na memória.

POST https://api.anthropic.com/v1/messages
x-api-key: {{ANTHROPIC_API_KEY}}
anthropic-version: 2023-06-01
content-type: application/json

{
  "model": "claude-fable-5",
  "max_tokens": 1024,
  "messages": [
    { "role": "user", "content": "Summarize this support ticket and label its priority: ..." }
  ]
}

Armazene a chave da API como uma variável de ambiente no Apidog, em vez de codificá-la diretamente. Isso mantém a chave fora de suas requisições salvas e permite que você alterne entre staging e produção com um menu suspenso. O mesmo padrão funciona se você estiver testando Claude, o SDK do Claude Code, ou qualquer outro modelo por trás da mesma chave.

2. Faça asserções na resposta, não a examine visualmente

Um baseline só é útil se você o verificar automaticamente. No Apidog, adicione asserções à requisição:

• O status é 200.
• stop_reason é end_turn, não max_tokens ou uma recusa.
• O corpo da resposta contém o campo estruturado que seu aplicativo analisa (por exemplo, um rótulo de prioridade).
• O tempo de resposta permanece dentro do seu orçamento de timeout.

Agora você tem um teste, não uma captura de tela. Execute-o em um cronograma e você descobrirá no dia em que uma mudança de barreira de segurança (guardrail) começar a filtrar um prompt que costumava passar. Esta é a mesma disciplina por trás do teste de contrato de API; você está fixando o comportamento que seu código downstream assume.

3. Teste os caminhos de recusa e de barreiras de segurança (guardrail) propositalmente

As reclamações sobre as barreiras de segurança (guardrails) importam porque as recusas são fáceis de ignorar até que quebrem um fluxo de trabalho. Construa um pequeno conjunto de requisições que fiquem perto dos seus limites de conteúdo e salve as respostas. Se um prompt anteriormente aceito começar a ser recusado ou remodelado, sua asserção falha e você saberá antes dos seus usuários. Trate o comportamento de recusa como um contrato testado, não como uma reflexão tardia.

4. Simule a Anthropic para que seus próprios testes não dependam da API real

Você não quer que sua suíte de CI chame um upstream pago, com limite de taxa e com comportamento variável a cada execução. O servidor mock do Apidog permite que você configure um endpoint de Mensagens falso que retorna respostas pré-definidas; incluindo os formatos de recusa e erro que você capturou acima. Aponte sua aplicação para o mock durante o desenvolvimento e os testes de integração. Seu código exercitará a estrutura de resposta real sem gastar tokens ou atingir limites de taxa. Quando quiser a coisa real, alterne a URL base novamente. Construindo um agente com base nisso? O mesmo padrão de mock é a espinha dorsal de uma boa configuração de teste de agente de IA.

5. Verifique o comportamento sensível à retenção

Se a janela de retenção de 30 dias é importante para sua história de conformidade, documente-a onde sua equipe a verá e teste os controles que você possui. Confirme quais endpoints você chama, quais dados saem do seu sistema em cada requisição e se você está enviando mais do que o necessário. O histórico de requisições do Apidog facilita a auditoria exata dos payloads que sua integração envia, para que você possa cortar qualquer informação sensível que não precise estar no prompt. Você não pode mudar a política de retenção da Anthropic, mas pode controlar o que você entrega a ela.

6. Teste sob carga e timeouts

O comportamento sob carga é onde as mudanças silenciosas se escondem. Use o Apidog para executar a mesma requisição repetidamente e observe o aumento da latência, streams parciais ou disparos intermitentes de barreiras de segurança (guardrails). Defina um timeout realista e uma política de repetição no seu cliente, então teste se sua repetição realmente lida com uma resposta lenta ou truncada em vez de agravar o problema. Se você estiver vendo lentidão no upstream, a abordagem de depuração em corrigir timeouts de requisição upstream se aplica diretamente.

Um checklist prático

Passe por isso uma vez e você saberá exatamente onde está:

• [ ] Fixe IDs de modelo completos; pare de depender de aliases flutuantes para caminhos de produção.
• [ ] Salve uma resposta baseline para cada prompt do qual seu aplicativo depende.
• [ ] Adicione asserções sobre status, stop_reason e os campos que você analisa.
• [ ] Capture os formatos de recusa e erro; afirme que eles não mudam silenciosamente.
• [ ] Simule a API de Mensagens para que o CI não atinja o endpoint ativo.
• [ ] Audite os payloads de saída em relação à janela de retenção de 30 dias.
• [ ] Teste o comportamento de timeout e repetição sob carga repetida.

Nada disso exige esperar que a Anthropic publique mais detalhes. Você controla a verificação, e a verificação é o que transforma uma manchete de política em um não-evento para sua equipe.

FAQ

Preciso alterar minhas chaves de API devido às mudanças no Fable e Mythos? Não. A autenticação não foi alterada. Rotacionar chaves regularmente ainda é uma boa prática, mas estas mudanças não a impõem.

Meu código existente da API de Mensagens e de uso de ferramentas será quebrado? O contrato de requisição e resposta é estável, então seu código continua funcionando. O que pode mudar é o comportamento; recusas, latência e conteúdo transmitido sob barreiras de segurança (guardrails). Isso é um problema de teste, não de reescrita.

Qual é a mudança na retenção de 30 dias? Relatórios descrevem uma janela de retenção de 30 dias aplicada ao tráfego Fable e Mythos. Se seus próprios compromissos de privacidade dependem do comportamento de retenção upstream, leve isso em consideração e confirme quais dados você realmente envia. Sempre verifique a documentação atual de uso de dados da Anthropic para os termos autoritativos.

Como pego as mudanças nas barreiras de segurança (guardrails) antes que os usuários o façam? Salve respostas baseline para prompts próximos aos seus limites de conteúdo, adicione asserções e execute-as em um cronograma no Apidog. Uma asserção falha informa o dia em que o comportamento muda.

Posso testar tudo isso sem gastar tokens? Sim. Use o servidor mock do Apidog para reproduzir respostas capturadas, incluindo casos de recusa e erro, para que seu desenvolvimento e execuções de CI nunca toquem a API real.

Conclusão

As mudanças no Fable e Mythos são reais, mas para a maioria dos desenvolvedores são uma história de comportamento e política, não uma história de API quebrada. Suas chaves funcionam, suas chamadas de Mensagens funcionam, suas ferramentas funcionam. A exposição está nas partes que se movem silenciosamente: recusas, latência e o que seus dados fazem depois de saírem do seu sistema. Fixe seus modelos, capture baselines, faça asserções sobre eles e simule o upstream para que seus testes permaneçam baratos e honestos. Baixe o Apidog e transforme "Eu acho que ainda funciona" em "Eu verifiquei, e aqui está a prova."