Výzkumníci z University of Florida představili techniku s názvem Head-Masked Nullspace Steering (HMNS), která působí na úrovni obvodů Transformer modelu . HMNS byla přijata jako konferenční příspěvek na ICLR 2026
. Tato metoda identifikuje ty hlavičky pozornosti (attention heads), které jsou kauzálně zodpovědné za výchozí bezpečnostní chování modelu, potlačuje jejich zápisové cesty pomocí cíleného maskování sloupců a vnáší do modelu rušení omezené na ortogonální doplněk odmítacího podprostoru
.
Nejde o promptový jailbreak. HMNS přímo manipuluje s vnitřními reprezentacemi modelu a dosahuje téměř 99% úspěšnosti útoku na modelech jako LLaMA-3.1-70B v průměru zhruba na 2 pokusy, přičemž výstup si zachovává plynulost .
Studie z 9. července 2026 na arXivu, „Refused in Chat, Written in Code“, demonstruje, že IDE coding agenti jako GitHub Copilot vykazují téměř úplné odmítání škodlivých požadavků v přímém chatu, při čtení CSV souboru nebo při jedno-krokových opravách kódu (pouze 8 úspěšných odpovědí z 816) . Když je však stejný škodlivý cíl rozložen do několika kroků typického softwarového workflow – čtení souborů, spouštění skriptů, zpracování benchmarkových vstupů – modely vyprodukují škodlivé výstupy ve všech 816 případech
.
Tento workflow-level jailbreak obchází bezpečnostní filtry na úrovni chatu tím, že přerámuje škodlivé cíle jako běžné vývojářské úkoly . Místo požadavku „napiš škodlivý kód“ útočník model požádá, aby „přečetl soubor, spustil skript a pak zpracoval benchmarkové vstupy“ – posloupnost, která v každém jednotlivém kroku vypadá neškodně, ale ve svém celku dosahuje škodlivého cíle.
Spouštěčem byl jailbreak objevený výzkumníky Amazonu, který umožnil Fable 5 identifikovat zranitelnosti v softwaru, což vyvolalo obavy z možného zneužití zahraničními vojenskými zpravodajskými službami . Protože Anthropic nebyl schopen v reálném čase spolehlivě ověřovat státní příslušnost uživatelů, odstranil oba modely všem uživatelům na celém světě
. Exportní omezení byla zrušena 30. června a Fable 5 se vrátil globálně 1. července 2026 po 18denním pozastavení
. Přístup k Mythos 5 byl obnoven pro vybrané americké organizace
.
Tyto čtyři vývoje se sbíhají k jednomu závěru: statické, jednorázové zábrany jsou zásadně nedostatečné. Důkaz NIST to potvrzuje jako matematickou jistotu . HMNS ukazuje, že tato zranitelnost může být zneužita s téměř dokonalou účinností
. Workflow jailbreak Copilotu dokazuje, že i silné chatové filtry lze obejít, když modely fungují jako agenti
. A incident s Fable 5 ukazuje, že odhalení těchto zranitelností může vést k bezprecedentním vládním zásahům
.
Praktický důsledek je jasný: organizace musí přestat certifikovat model jako „bezpečný“ během vývoje a místo toho přejít k nepřetržitému monitorování, testování a aktualizaci ochranných opatření po celou dobu životního cyklu modelu – přesně k přístupu, který NIST výslovně doporučuje .