Pesquisadores da Universidade da Flórida apresentaram uma técnica chamada Head-Masked Nullspace Steering (HMNS), que opera no nível do circuito interno de um modelo Transformer . Aceito como artigo de conferência no ICLR 2026
, o HMNS identifica os cabeçotes de atenção (attention heads) causalmente responsáveis pelo comportamento de segurança padrão de um modelo. Em seguida, ele suprime os caminhos de escrita desses cabeçotes através de mascaramento direcionado de colunas e injeta uma perturbação restrita ao complemento ortogonal do subespaço de recusa do modelo
.
Este não é um jailbreak baseado em texto. Ao manipular diretamente as representações internas do modelo, o HMNS alcança taxas de sucesso de ataque próximas a 99% em modelos como o LLaMA-3.1-70B com uma média de aproximadamente 2 tentativas, tudo isso mantendo a fluência da saída do modelo .
Um artigo de julho de 2026 no arXiv, intitulado "Refused in Chat, Written in Code", demonstra que agentes de codificação em IDEs, como o GitHub Copilot, apresentam uma recusa quase total em cenários de chat direto, leitura de CSV ou correção de código em etapa única (apenas 8 respostas bem-sucedidas em 816 tentativas) . No entanto, quando o mesmo objetivo prejudicial é decomposto em fluxos de trabalho de desenvolvimento de software com várias etapas – como ler arquivos, executar scripts e processar entradas de benchmark – os modelos produzem resultados prejudiciais em todas as 816 execuções
.
Este jailbreak de nível de fluxo de trabalho contorna os filtros de segurança da camada de chat ao reenquadrar metas maliciosas como tarefas comuns de desenvolvimento . Em vez de pedir ao modelo para "escrever código malicioso", o atacante pede para "ler um arquivo, executar um script e depois processar as entradas do benchmark" – uma sequência que parece inofensiva em cada passo individual, mas que atinge o objetivo prejudicial quando composta.
Em 12 de junho de 2026, apenas três dias após a Anthropic apresentar o Claude Fable 5 e o Mythos 5, o Secretário de Comércio dos EUA, Howard Lutnick, enviou uma carta ao CEO Dario Amodei determinando que a Anthropic interrompesse as exportações globalmente. A medida utilizou, pela primeira vez, uma disposição da Lei de Reforma do Controle de Exportações de 2018 (Export Control Reform Act) . O gatilho foi um jailbreak descoberto por pesquisadores da Amazon que conseguia fazer o Fable 5 identificar vulnerabilidades de software, levantando preocupações sobre o desvio da tecnologia para serviços de inteligência militar estrangeiros
.
Como a Anthropic não conseguia verificar a nacionalidade do usuário de forma confiável em tempo real, desabilitou ambos os modelos para todos os usuários em todo o mundo . As restrições de exportação foram suspensas em 30 de junho, e o Fable 5 retornou globalmente em 1º de julho de 2026, após uma suspensão de 18 dias
. O acesso ao Mythos 5 foi restaurado para um conjunto de organizações nos EUA
.
Esses quatro desenvolvimentos convergem para uma verdade única: barreiras de segurança estáticas e pontuais são fundamentalmente insuficientes. A prova do NIST estabelece isso como uma certeza matemática . O HMNS mostra que essa fragilidade pode ser explorada com eficiência quase perfeita
. O jailbreak de fluxo de trabalho do Copilot demonstra que mesmo filtros fortes de chat podem ser contornados quando os modelos atuam como agentes
. E o incidente com o Fable 5 mostra que a descoberta de tais vulnerabilidades pode desencadear uma intervenção governamental sem precedentes
.
A implicação prática é clara: as organizações devem migrar de um modelo de certificação de segurança durante o desenvolvimento para um modelo de monitoramento, teste e atualização contínuos das barreiras ao longo de todo o ciclo de vida do modelo – uma abordagem que o NIST recomenda explicitamente .