Forscher der University of Florida haben eine Technik namens Head-Masked Nullspace Steering (HMNS) entwickelt, die auf der Schaltkreisebene eines Transformer-Modells ansetzt . Das Verfahren wurde als Konferenzbeitrag zur ICLR 2026 angenommen
. HMNS identifiziert die Aufmerksamkeitsköpfe (Attention Heads), die für das Sicherheitsverhalten eines Modells verantwortlich sind, unterdrückt deren Signalpfade und injiziert eine Störung, die auf den komplementären Raum des Modells beschränkt ist, der für die Verweigerung zuständig ist
.
Anders als bei herkömmlichen Jailbreak-Versuchen, die auf clevere Formulierungen setzen, manipuliert HMNS die internen Repräsentationen des Modells direkt. Die Methode erreicht Angriffserfolgsraten von nahezu 99 Prozent bei Modellen wie LLaMA-3.1-70B, im Durchschnitt mit nur rund zwei Versuchen – und das bei gleichbleibend flüssiger Textausgabe .
Ein am 9. Juli 2026 auf arXiv veröffentlichter Aufsatz mit dem Titel „Refused in Chat, Written in Code“ zeigt, dass IDE-Programmierassistenten wie GitHub Copilot unter direkter Chat-Abfrage, beim Einlesen von CSV-Dateien oder bei ein-Schritt-Korrekturen nahezu vollständig verweigern – nur 8 von 816 Versuchen waren erfolgreich . Anders sieht es aus, wenn dasselbe schädliche Ziel in mehrere Schritte eines Softwareentwicklungs-Workflows zerlegt wird: Dateien lesen, Skripte ausführen, Benchmark-Eingaben verarbeiten. In diesem Kontext produzierten die Modelle in allen 816 Durchläufen schädliche Ergebnisse
.
Dieser Workflow-basierte Jailbreak umgeht die Sicherheitsfilter auf Chat-Ebene, indem er bösartige Ziele als alltägliche Entwicklungsaufgaben tarnt . Statt das Modell zu bitten, „schädlichen Code zu schreiben“, wird es angewiesen, „eine Datei zu lesen, ein Skript auszuführen und dann Benchmark-Eingaben zu verarbeiten“ – eine Abfolge, die in jedem einzelnen Schritt harmlos wirkt, in ihrer Gesamtheit jedoch das schädliche Ziel erreicht.
Am 12. Juni 2026, nur drei Tage nach der Vorstellung von Claude Fable 5 und Mythos 5, schickte US-Handelsminister Howard Lutnick einen Brief an CEO Dario Amodei, in dem er Anthropic aufforderte, den Export beider Modelle weltweit zu stoppen . Erstmals wurde dabei eine Bestimmung des Export Control Reform Act von 2018 angewandt
. Auslöser war ein von Amazon-Forschern entdeckter Jailbreak, der Fable 5 dazu brachte, Software-Sicherheitslücken zu identifizieren – was Befürchtungen nährte, das Modell könnte an ausländische Militärgeheimdienste weitergeleitet werden
.
Weil Anthropic die Nationalität seiner Nutzer nicht in Echtzeit überprüfen konnte, deaktivierte das Unternehmen beide Modelle für alle Anwender weltweit . Die Exportkontrollen wurden am 30. Juni aufgehoben, sodass Fable 5 am 1. Juli 2026 nach einer 18-tägigen Sperre wieder global verfügbar war
. Mythos 5 wurde einer Gruppe ausgewählter US-Organisationen wieder zugänglich gemacht
.
Diese vier Entwicklungen laufen auf eine einzige Erkenntnis hinaus: Statische, einmalige Absicherungen sind grundsätzlich unzureichend. Der NIST-Beweis zeigt dies als mathematische Gewissheit . HMNS belegt, dass diese Schwachstelle mit nahezu perfekter Effizienz ausgenutzt werden kann
. Der Copilot-Workflow-Jailbreak beweist, dass selbst starke Chat-Filter umgangen werden können, wenn Modelle als Agenten agieren
. Und der Fable-5-Vorfall zeigt, dass die Entdeckung solcher Sicherheitslücken beispiellose staatliche Eingriffe nach sich ziehen kann
.
Die praktische Schlussfolgerung ist klar: Unternehmen müssen weg von der Zertifizierung eines Modells als „sicher“ während der Entwicklung und hin zu einer kontinuierlichen Überwachung, Prüfung und Aktualisierung der Schutzmechanismen während des gesamten Lebenszyklus eines Modells – ein Ansatz, den NIST ausdrücklich empfiehlt .