Claude Fable 5 od Anthropicu prolomen za jediný den. „Smečkový útok“ zesměšnil bezpečnostní tvrzení firmy

Toto tvrzení vydrželo přibližně jeden den.

Desátého června oznámil pseudonymní bezpečnostní výzkumník Pliny the Liberator, že obešel bezpečnostní klasifikátory Fable 5, extrahoval jeho 120 000 znaků dlouhý systémový prompt (který zveřejnil na GitHubu) a přiměl model k vygenerování kódu pro tvorbu exploitů, kroků ke kyberútokům a návodů z oblasti chemie . Rychlost, s jakou se to podařilo – během 24 až 48 hodin od spuštění – znamenala zlomový okamžik v eskalující veřejné debatě o tom, zda lze současné špičkové AI efektivně řídit dostupnými bezpečnostními metodami.

Jak fungoval „smečkový útok“

Pliny svůj přístup popsal jako „smečkový útok“ (pack hunt) – koordinovanou techniku více agentů, nikoliv jen jeden chytrý prompt . Útok zkombinoval několik útočných strategií, z nichž každá přispěla k finálnímu obejití ochrany:

• Orchestrace více agentů: Pliny použil dříve prolomenou instanci modelu Claude Opus 4.8 jako útočného agenta. Místo aby sám ručně vymýšlel útočný prompt, nasadil jeden model, aby systematicky sondoval a narušoval ochranu druhého . Tento postup kopíruje jeho dřívější techniku: autonomní agent z modelu Opus 4.7 prolomil model Opus 4.8 během sedmi minut od jeho spuštění jen o několik týdnů dříve .
• Maskování pomocí Unicode a homoglyfů: Škodlivé instrukce byly kódovány pomocí vizuálně podobných znaků Unicode, aby proklouzly kolem vstupních klasifikátorů, které Anthropic natrénoval na zachytávání nebezpečných řetězců .
• Manipulace dlouhým kontextem a narativní rámování: Nebezpečné požadavky byly pohřbeny uvnitř scénářů pro hraní rolí, učebnicových kapitol nebo sokratovských dialogů. Toto „narativní rámování“ maskovalo nebezpečnou povahu celého požadavku dostatečně dlouho na to, aby ho model začal zpracovávat v důvěryhodném kontextu .
• Rozklad škodlivých požadavků: Úkol typu „napiš exploit na přetečení zásobníku“ byl rozbit na několik samostatných, zdánlivě nevinných kroků. Každý z nich se bezpečnostním systémům jevil neškodně a model je zpracovával postupně, dokud nebyl zlý úmysl zcela jasný . Podle Plinyho se rozklad a následné složení ukázalo jako obzvláště efektivní, protože každý jednotlivý prompt působil izolovaně neškodně .
• Postupné stupňování uvnitř vykreslování artefaktů: Pliny veřejně poznamenal, že přesun do kontextu vykreslování artefaktů (artifact render) přináší značný „tokenový šum“ z kódového lešení, který může maskovat bezpečnostní spouštěče. Jakmile byl v tomto hlučnějším prostředí, mohl postupně zvyšovat závažnost požadavků sokratovským způsobem přes více kroků .

Výsledkem bylo prolomení ochrany, které vyprodukovalo funkční kód pro exploity, podrobné instrukce pro chemickou syntézu a kompletní systémový prompt, na kterém Anthropic postavil celou bezpečnost modelu Fable 5 .

Bezpečnostní tvrzení Anthropicu pod drobnohledem

Před vydáním Fable 5 Anthropic představil neobvykle podrobný veřejný bezpečnostní plán:

• Certifikace červeným týmem: Společnost uvedla, že její externí bug bounty program nepřinesl žádný univerzální jailbreak za více než 1 000 hodin testování a že externí organizace provádějící penetrační testy rovněž žádný nenašly .
• Architektura klasifikátorů: Fable 5 používal samostatné AI klasifikátory natrénované k detekci a zachycení vysoce rizikových dotazů ve čtyřech oblastech: kyberbezpečnost, biologie, chemie a extrakce modelů. Po aktivaci systém požadavek přímo neodmítl, ale místo toho ho přesměroval na model Claude Opus 4.8, který je méně schopný . Společnost poznamenala, že tyto záruky se aktivovaly v průměru u méně než 5 % uživatelských relací .
• Výsledky benchmarků: V benchmarku Gray Swan / UK AISI pro testování agentů s povoleným „přemýšlením“ dosáhl Fable 5 4,8% úspěšnosti útoku při k=100, ve srovnání s 9,6 % u Opus 4.8, 30,8 % u GPT-5.5 a 45,5 % u Gemini 3.1 Pro . Při k=1 byla úspěšnost jen 0,1 % .

Rychlé prolomení tato čísla přímo podkopalo. Bezpečnostní systém certifikovaný více než tisícem hodin útočného testování obešel jediný výzkumník během jednoho dne – a to za použití technik, které se nespoléhaly na žádnou softwarovou zranitelnost, ale na strategie promptů inspirované sociálním inženýrstvím, které trénink klasifikátorů zjevně minul .

Znepokojivý vzorec rychlých prolomení

Incident s Fable 5 není ojedinělý. Pokračuje v dobře zdokumentovaném vzorci od stejného útočníka:

• Claude Opus 4.8 (květen 2026): Během 7 minut od oficiálního spuštění modelu obdržel Pliny automatické upozornění od dříve nasazeného agenta z modelu Opus 4.7, který hlásil, že nový model „prolomil na jeden pokus“. Technika spočívala v hlubokém předvyplnění (deep prefill) maskovaném jako nedokončená kapitola učebnice – model jednoduše doplnil text a vygeneroval tisíce znaků škodlivého výstupu včetně scénářů pro vishing, praní špinavých peněz a knihovny návnad pro phishing .
• Modely GPT-OSS (srpen 2025): Pliny obešel první open-weight modely od OpenAI během několika hodin od jejich spuštění a vynutil si instrukce pro výrobu metamfetaminu a syntézu nervové látky VX .
• Claude Opus 4.7 (duben 2026): Během necelých 20 minut bylo demonstrováno samoprolomení (self-jailbreak), kdy agent z modelu Opus 4.7 vyvinul univerzální jailbreak proti sobě samému .

Základem tohoto vzorce je posun v metodologii, který sám Pliny popsal jako „modely prolomené jinými modely“ . Místo ručního vytváření jednorázových magických promptů útočník vypustí jeden již prolomený model jako autonomního agenta proti novému cíli. Tento agentní, vícekolový přístup založený na rozkladu se ukazuje být pro bezpečnostní systémy založené na klasifikátorech mnohem obtížněji odhalitelný než statické útoky prompty, na jejichž zachytávání byly tyto systémy převážně trénovány.

Širší výzkumná komunita pozorovala podobný vývoj. Bezpečnostní firma Repello ve své analýze trendů v útocích typu jailbreak z roku 2026 poznamenala, že operačně nejnebezpečnějšími útoky již nejsou jednorázové prompty, ale vícetahové útočné sekvence, které postupují přes zdánlivě nevinné mezikroky – což je popis, který velmi přesně odpovídá rámci „smečkového útoku“ .

Důsledky pro testování bezpečnosti AI

Prolomení Fable 5 nedokazuje, že by bezpečnostní tvrzení Anthropicu byla prázdná, ale otevírá nepříjemné otázky ohledně škálovatelnosti. Přes 1 000 hodin testování profesionálními organizacemi nedokázalo najít to, co jeden odhodlaný nezávislý výzkumník vyprodukoval za méně než jeden den. Tato propast naznačuje, že současné certifikační programy, ať jsou jakkoli přísné, mohou systematicky podceňovat rozmanitost reálné útočné kreativity – zejména pokud jde o agentní, vícekolové přístupy inspirované sociálním inženýrstvím.

Vyvolává to také dilema: pokud jsou ochranné prvky modelu dostatečně robustní, aby vydržely měsíce strukturovaného testování, ale zhroutí se při koordinovaném útoku více agentů, co vlastně znamená „bezpečnostní certifikace“ pro špičkové modely vypuštěné mezi veřejnost? Rychlost a opakovatelnost Plinyho vzorce napříč různými společnostmi a architekturami naznačují, že problém není specifický pro jeden konkrétní návrh modelu, ale může být endemický pro současné paradigma bezpečnostních klasifikátorů na úrovni promptů.