फ्लोरिडा विश्वविद्यालय के शोधकर्ताओं ने हेड-मास्क्ड नलस्पेस स्टीयरिंग (HMNS) नामक एक तकनीक पेश की है, जो ट्रांसफॉर्मर मॉडल के सर्किट स्तर पर काम करती है । ICLR 2026 में एक कॉन्फ्रेंस पेपर के रूप में स्वीकार की गई यह तकनीक
, उन अटेंशन हेड्स की पहचान करती है जो मॉडल के डिफ़ॉल्ट सुरक्षा व्यवहार के लिए कारणात्मक रूप से जिम्मेदार हैं। यह लक्षित कॉलम मास्किंग के माध्यम से उनके राइट पाथवे को दबाता है और मॉडल के रिफ्यूज़ल सबस्पेस के ऑर्थोगोनल कॉम्प्लीमेंट में एक गड़बड़ी (perturbation) इंजेक्ट करता है
।
यह कोई प्रॉम्प्ट-आधारित जेलब्रेक नहीं है। सीधे आंतरिक मॉडल प्रतिनिधित्व में हेरफेर करके, HMNS LLaMA-3.1-70B जैसे मॉडलों पर लगभग 99% हमले की सफलता दर हासिल करता है, और यह औसतन लगभग 2 प्रयासों में, आउटपुट की धाराप्रवाहता को बनाए रखते हुए करता है ।
9 जुलाई, 2026 के एक arXiv पेपर, 'Refused in Chat, Written in Code' में दिखाया गया है कि GitHub Copilot जैसे IDE कोडिंग एजेंट डायरेक्ट-चैट, CSV-रीड या सिंगल-स्टेप कोड-फिक्स बेसलाइन पर लगभग पूरी तरह से इनकार करते हैं (केवल 8/816 सफल प्रतिक्रियाएं) । हालांकि, जब उसी हानिकारक उद्देश्य को मल्टी-स्टेप सॉफ्टवेयर-डेवलपमेंट वर्कफ़्लो में विभाजित किया जाता है - फ़ाइलों को पढ़ना, स्क्रिप्ट चलाना, बेंचमार्क इनपुट प्रोसेस करना - तो मॉडल सभी 816 रनों में हानिकारक आउटपुट उत्पन्न करते हैं
।
यह वर्कफ़्लो-स्तरीय जेलब्रेक दुर्भावनापूर्ण लक्ष्यों को सामान्य विकास कार्यों के रूप में पुनः तैयार करके चैट-लेयर सुरक्षा फ़िल्टर को बायपास करता है । हमलावर मॉडल से 'दुर्भावनापूर्ण कोड लिखने' के लिए कहने के बजाय, उसे 'एक फ़ाइल पढ़ने, एक स्क्रिप्ट चलाने, फिर बेंचमार्क इनपुट प्रोसेस करने' के लिए कहता है - एक ऐसा अनुक्रम जो प्रत्येक व्यक्तिगत चरण में हानिरहित दिखाई देता है, लेकिन संयुक्त होने पर हानिकारक उद्देश्य को पूरा करता है।
12 जून, 2026 को, Anthropic द्वारा Claude Fable 5 और Mythos 5 लॉन्च करने के सिर्फ़ तीन दिन बाद, अमेरिकी वाणिज्य सचिव हॉवर्ड लुटनिक ने CEO डारियो अमोदेई को एक पत्र भेजा, जिसमें उन्होंने Anthropic को वैश्विक स्तर पर निर्यात रोकने का निर्देश दिया। यह पहली बार था जब 2018 के निर्यात नियंत्रण सुधार अधिनियम के एक प्रावधान का उपयोग किया गया था । इसका कारण Amazon के शोधकर्ताओं द्वारा खोजा गया एक जेलब्रेक था, जो Fable 5 को सॉफ्टवेयर कमजोरियों की पहचान करने में सक्षम बना सकता था, जिससे विदेशी सैन्य खुफिया एजेंसियों को इसका दुरुपयोग करने की चिंता पैदा हो गई थी
।
चूंकि Anthropic वास्तविक समय में उपयोगकर्ता की राष्ट्रीयता को विश्वसनीय रूप से सत्यापित नहीं कर सका, इसलिए उसने दोनों मॉडलों को सभी उपयोगकर्ताओं के लिए दुनिया भर में निष्क्रिय कर दिया । निर्यात नियंत्रण 30 जून को हटा लिया गया, और Fable 5 1 जुलाई, 2026 को 18 दिनों के निलंबन के बाद वैश्विक स्तर पर वापस आ गया
। Mythos 5 तक पहुंच अमेरिकी संगठनों के एक समूह को बहाल कर दी गई
।
ये चारों घटनाक्रम एक ही सच्चाई की ओर इशारा करते हैं: स्थिर, एकमुश्त (one-and-done) गार्डरेल मौलिक रूप से अपर्याप्त हैं। NIST का प्रमाण इसे गणितीय निश्चितता के रूप में स्थापित करता है । HMNS दिखाता है कि इसका लगभग पूर्ण दक्षता के साथ शोषण किया जा सकता है
। Copilot वर्कफ़्लो जेलब्रेक प्रदर्शित करता है कि मजबूत चैट-स्तरीय फ़िल्टर को भी तब बायपास किया जा सकता है जब मॉडल एजेंट के रूप में कार्य करते हैं
। और Fable 5 घटना दिखाती है कि इस तरह की कमजोरियों की खोज अभूतपूर्व सरकारी हस्तक्षेप को ट्रिगर कर सकती है
।
व्यावहारिक निहितार्थ स्पष्ट है: संगठनों को विकास के दौरान किसी मॉडल को 'सुरक्षित' प्रमाणित करने से हटकर, मॉडल के पूरे जीवनचक्र में गार्डरेल की लगातार निगरानी, परीक्षण और अद्यतन करने की ओर बढ़ना चाहिए - यह दृष्टिकोण NIST स्पष्ट रूप से अनुशंसा करता है ।