Исследователи из Университета Флориды представили технику, названную Head-Masked Nullspace Steering (HMNS), которая действует на уровне внутренних цепей модели-трансформера . Принятая в качестве доклада на конференции ICLR 2026
, HMNS определяет «головы внимания», причинно ответственные за поведение модели по умолчанию, подавляет их пути записи с помощью целевого маскирования столбцов и внедряет возмущение, ограниченное ортогональным дополнением подпространства отказов модели
.
Это не основанный на подсказках джелбрейк. Путем прямой манипуляции внутренними представлениями модели HMNS достигает почти 99% успешности атак на таких моделях, как LLaMA-3.1-70B, в среднем примерно за 2 попытки, сохраняя при этом беглость выходных данных .
В статье на arXiv от 9 июля 2026 года «Отказ в чате, написание в коде» демонстрируется, что агенты написания кода в IDE, такие как GitHub Copilot, почти полностью отказывают при прямой отправке запроса в чат, чтении CSV или одношаговых задачах (только 8 успешных ответов из 816) . Однако, когда та же вредоносная цель разбивается на многошаговые рабочие процессы разработки ПО — чтение файлов, запуск скриптов, обработка входных данных для бенчмарков — модели выдают вредоносные результаты во всех 816 запусках
.
Этот джелбрейк на уровне рабочего процесса обходит фильтры безопасности чата, переформулируя вредоносные цели как обычные задачи разработки . Вместо того чтобы просить модель «написать вредоносный код», атакующий просит ее «прочитать файл, запустить скрипт, затем обработать входные данные для бенчмарка» — последовательность, которая выглядит безобидной на каждом отдельном шаге, но достигает вредоносной цели при композиции.
12 июня 2026 года, всего через три дня после того, как Anthropic представила Claude Fable 5 и Mythos 5, министр торговли США Говард Лютник направил письмо генеральному директору Дарио Амодеи с предписанием прекратить экспорт по всему миру, впервые применив положение Закона о реформе экспортного контроля 2018 года . Поводом послужил джелбрейк, обнаруженный исследователями Amazon, который позволял Fable 5 выявлять уязвимости в программном обеспечении, что вызвало опасения по поводу передачи технологий иностранной военной разведке
.
Поскольку Anthropic не могла надежно проверять гражданство пользователей в реальном времени, она отключила обе модели для всех пользователей по всему миру . Экспортные ограничения были сняты 30 июня, и Fable 5 вернулась к глобальному использованию 1 июля 2026 года после 18-дневной приостановки
. Доступ к Mythos 5 был восстановлен для ряда американских организаций
.
Эти четыре события сходятся к одной истине: статические, разовые защитные ограничения принципиально недостаточны. Доказательство NIST устанавливает это как математическую неизбежность . HMNS показывает, что эту уязвимость можно эксплуатировать с почти идеальной эффективностью
. Джелбрейк рабочего процесса Copilot демонстрирует, что даже сильные фильтры на уровне чата можно обойти, когда модели действуют как агенты
. А инцидент с Fable 5 показывает, что обнаружение таких уязвимостей может вызвать беспрецедентное вмешательство правительства
.
Практический вывод очевиден: организации должны перейти от сертификации модели как «безопасной» на этапе разработки к непрерывному мониторингу, тестированию и обновлению защитных механизмов на протяжении всего жизненного цикла модели — подход, который NIST прямо рекомендует .