Binnen 24 uur gekraakt: de 'Pack Hunt' die Anthropic's best beveiligde AI neerhaalde

Die claim hield ongeveer één dag stand.

Op 10 juni kondigde de pseudonieme beveiligingsonderzoeker Pliny the Liberator aan dat hij de veiligheidsclassifiers van Fable 5 had omzeild. Hij wist de 120.000 tekens tellende systeemprompt van het model te achterhalen en op GitHub te publiceren, en het model instructies te laten genereren voor exploit-ontwikkeling en scheikundige syntheses. De snelheid van de aanval—binnen 24 tot 48 uur na lancering —maakte het tot een keerpunt in de oplaaiende discussie of geavanceerde AI effectief met huidige veiligheidsmethoden beheerst kan worden.

De 'Pack Hunt'-aanval: hoe de jailbreak in zijn werk ging

Pliny omschreef zijn aanpak als een "pack hunt" (jacht in groepsverband), een gecoördineerde techniek met meerdere agenten in plaats van één slimme prompt. Hij combineerde verschillende vijandige strategieën die elk een steentje bijdroegen aan het omzeilen van de beveiliging:

• Multi-agentorkestratie: Pliny gebruikte een eerder gekraakte Claude Opus 4.8-instantie als aanvallende agent. In plaats van zelf een prompt te schrijven, liet hij het ene model het andere systematisch onderzoeken en uitbuiten. Dit weerspiegelt een eerdere aanval: een autonome Opus 4.7-agent kraakte Opus 4.8 binnen zeven minuten na lancering.
• Unicode- en homogliefversluiering: Kwaadaardige instructies werden gecodeerd met visueel vergelijkbare Unicode-tekens om voorbij de inputclassifiers te glippen die Anthropic had getraind om schadelijke teksten te onderscheppen.
• Manipulatie met lange contexten en narratieve inkadering: Schadelijke verzoeken werden verpakt in uitgebreide rollenspelscenario's, hoofdstukken van leerboeken of socratische dialogen. Deze vermomming maskeerde de schadelijke aard van het verzoek lang genoeg totdat het model het binnen een vertrouwde context begon te verwerken.
• Opdeling van schadelijke verzoeken: Een taak als "schrijf een exploit voor een stack buffer overflow" werd opgebroken in afzonderlijke, op het oog onschuldige substappen. Het model verwerkte deze stapsgewijs, zonder dat de kwaadaardige bedoeling duidelijk werd. Deze techniek bleek bijzonder effectief omdat elke prompt op zichzelf onschuldig leek.
• Geleidelijke escalatie in artefact-weergave: Pliny heeft zelf verklaard dat het overschakelen naar een artefact-weergavecontext (zoals een code-editor) veel 'token-ruis' met zich meebrengt door de code-scaffolding, wat veiligheidstriggers kan maskeren. In deze rumoerige omgeving kon hij de ernst van verzoeken stap voor stap, op socratische wijze opvoeren.

Het resultaat was een bypass die werkende exploitcode, gedetailleerde chemische synthese-instructies en de volledige systeemprompt opleverde waar Anthropic het Fable 5-model omheen gebouwd had.

Anthropic's veiligheidsclaims vooraf tegen het licht

Voor de lancering van Fable 5 hanteerde Anthropic een opvallend gedetailleerd veiligheidsverhaal:

• Red-team-certificering: Het bedrijf meldde dat zijn externe bugbounty-programma geen universele jailbreaks opleverde in meer dan 1000 uur testen, en dat ook externe red-teamingorganisaties er geen konden vinden.
• Classifierarchitectuur: Fable 5 gebruikte aparte AI-classifiers om hoog-risico vragen te detecteren en te onderscheppen op vier domeinen: cybersecurity, biologie, chemie en modeldistillatie. Als de classifier aansloeg, weigerde het systeem het antwoord niet, maar schakelde het over op Claude Opus 4.8. Deze beveiliging werd in minder dan 5% van alle sessies geactiveerd.
• Bewijs uit benchmarks: Op de Gray Swan/UK AISI agent red-teaming benchmark (met 'thinking'-modus ingeschakeld) behaalde Fable 5 een aanvalssuccespercentage van 4,8% bij k=100. Ter vergelijking: Opus 4.8 scoorde 9,6%, GPT-5.5 30,8% en Gemini 3.1 Pro 45,5%. Bij k=1 was het succespercentage slechts 0,1%.

De snelle jailbreak ondergroef deze cijfers. Een veiligheidssysteem dat gecertificeerd was na duizenden uren aan vijandige tests, werd in één dag omzeild door een enkele onderzoeker. Dit gebeurde met een methode die niet op een nieuw softwarelek berustte, maar op promptstrategieën die lijken op 'social engineering'—technieken die de classifier-training blijkbaar had gemist.

Een patroon van snelle jailbreaks

Het Fable 5-incident staat niet op zichzelf. Het past in een bekend patroon van dezelfde beveiligingsonderzoeker:

• Claude Opus 4.8 (mei 2026): Binnen 7 minuten na de officiële lancering kreeg Pliny een automatische melding van een eerder ingezette Opus 4.7-agent, die meldde dat hij het nieuwe model "in één keer" had gekraakt. De truc bestond uit een 'deep prefill' die zich voordeed als een onafgemaakt tekstboekhoofdstuk—het model schreef het af, wat duizenden woorden schadelijke output opleverde, zoals scripts voor 'vishing', witwasstappen en nep-e-mails.
• GPT-OSS-modellen (augustus 2025): Pliny omzeilde OpenAI's eerste open-weightmodellen binnen enkele uren na lancering en onttrok instructies voor de productie van methamfetamine en het VX-zenuwgas.
• Claude Opus 4.7 (april 2026): Een 'zelf-jailbreak' werd gedemonstreerd in minder dan 20 minuten, waarbij een Opus 4.7-agent een universele jailbreak tegen zichzelf ontwikkelde.

Achter dit patroon schuilt een verschuiving in methodologie: "modellen die modellen kraken." In plaats van handmatig toverformules te bedenken, laat de aanvaller een al gekraakt model als autonome agent los op een nieuw doelwit. Deze werkwijze, gebaseerd op meerdere stappen en ontleding, is veel moeilijker te detecteren voor classifiers dan de statische promptaanvallen waarop deze systemen getraind zijn. De bredere onderzoekswereld ziet een vergelijkbare trend. Beveiligingsfirma Repello merkte in een analyse van jailbreak-trends in 2026 op dat de gevaarlijkste aanvallen niet langer bestaan uit één losse prompt, maar uit opeenvolgende, op het oog onschuldige stappen—een omschrijving die opvallend veel lijkt op het 'pack hunt'-model.

Implicaties voor AI-veiligheidstesten

De jailbreak van Fable 5 bewijst niet dat Anthropic's veiligheidsclaims loos waren, maar het roept wel ongemakkelijke vragen op over schaalbaarheid. Meer dan 1000 uur aan red-teaming door professionele organisaties kon niet vinden wat één vastberaden, onafhankelijke onderzoeker in minder dan een dag bereikte. Dit verschil suggereert dat de huidige certificeringsprogramma's, hoe rigoureus ook, de diversiteit van de creativiteit in de echte wereld van kwaadwillenden kan onderschatten—vooral wat betreft gecoördineerde, stapsgewijze en op misleiding geïnspireerde aanvalsvormen.

Het roept ook een dilemma op: als de beveiliging van een model robuust genoeg is voor maanden aan gestructureerd testen, maar bezwijkt onder een gecoördineerde multi-agentaanval, wat betekent een 'veiligheidscertificaat' dan nog voor een publiek gelanceerd model? De snelheid en herhaalbaarheid van Pliny's aanpak bij meerdere bedrijven en architecturen suggereren dat de uitdaging niet specifiek is voor één modelontwerp, maar mogelijk een zwakte is van het huidige paradigma van veiligheidsclassifiers op promptniveau.