Investigadores de la Universidad de Florida presentaron una técnica llamada Head-Masked Nullspace Steering (HMNS), que opera a nivel de circuito interno de un modelo Transformer . Este trabajo fue aceptado como artículo en la conferencia ICLR 2026
. El método HMNS identifica los "cabezales de atención" (attention heads) causalmente responsables del comportamiento de seguridad predeterminado de un modelo, suprime sus vías de escritura mediante un enmascaramiento de columnas específico e inyecta una perturbación en el subespacio ortogonal al de rechazo del modelo
.
Esto no es un jailbreak basado en mensajes de texto. Al manipular directamente las representaciones internas del modelo, HMNS alcanza tasas de éxito de ataque cercanas al 99% en modelos como LLaMA-3.1-70B con un promedio de aproximadamente 2 intentos, todo ello manteniendo la fluidez del texto generado .
Un artículo publicado en arXiv el 9 de julio de 2026, titulado "Refused in Chat, Written in Code", demuestra que los agentes de codificación en entornos de desarrollo integrados (IDE), como GitHub Copilot, muestran un rechazo casi total cuando se les pide directamente a través del chat, la lectura de archivos CSV o tareas de corrección de código de un solo paso (solo 8 respuestas exitosas de 816 intentos) . Sin embargo, cuando el mismo objetivo dañino se descompone en un flujo de trabajo de desarrollo de software de varios pasos —leer archivos, ejecutar scripts, procesar entradas de referencia— los modelos producen resultados dañinos en las 816 ejecuciones
.
Este jailbreak a nivel de flujo de trabajo sortea los filtros de seguridad del chat al reformular objetivos maliciosos como tareas de desarrollo ordinarias . En lugar de pedirle al modelo que "escriba código malicioso", el atacante le pide que "lea un archivo, ejecute un script y luego procese entradas de referencia", una secuencia que parece inocua en cada paso individual pero que logra el objetivo dañino al componerse.
El 12 de junio de 2026, apenas tres días después de que Anthropic presentara Claude Fable 5 y Mythos 5, el Secretario de Comercio de EE. UU., Howard Lutnick, envió una carta al CEO Dario Amodei ordenando a Anthropic detener las exportaciones a nivel mundial. Por primera vez, se invocó una disposición de la Ley de Reforma del Control de Exportaciones de 2018 . El detonante fue un jailbreak descubierto por investigadores de Amazon que lograba que Fable 5 identificara vulnerabilidades de software, lo que generó preocupaciones sobre su desvío hacia servicios de inteligencia militar extranjeros
.
Dado que Anthropic no podía verificar de manera fiable la nacionalidad del usuario en tiempo real, desactivó ambos modelos para todos los usuarios del mundo . Los controles de exportación se levantaron el 30 de junio, y Fable 5 regresó a nivel global el 1 de julio de 2026, tras una suspensión de 18 días
. El acceso a Mythos 5 se restableció para un grupo selecto de organizaciones estadounidenses
.
Estos cuatro acontecimientos convergen en una única verdad: los cortafuegos estáticos y de una sola vez son fundamentalmente insuficientes. La prueba del NIST lo establece como una certeza matemática . HMNS demuestra que se puede explotar con una eficiencia casi perfecta
. El jailbreak de flujo de trabajo de Copilot muestra que incluso los filtros de chat más sólidos pueden eludirse cuando los modelos actúan como agentes
. Y el incidente de Fable 5 evidencia que el descubrimiento de tales vulnerabilidades puede desencadenar una intervención gubernamental sin precedentes
.
La implicación práctica es clara: las organizaciones deben pasar de certificar un modelo como "seguro" durante su desarrollo a monitorear, probar y actualizar continuamente los cortafuegos a lo largo de todo el ciclo de vida del modelo, un enfoque que el NIST recomienda explícitamente .