Các nhà nghiên cứu tại Đại học Florida đã giới thiệu một kỹ thuật có tên Head-Masked Nullspace Steering (HMNS), hoạt động ở cấp độ mạch (circuit level) của mô hình Transformer . Được chấp nhận là bài báo hội nghị tại ICLR 2026
, HMNS xác định các head chú ý (attention heads) chịu trách nhiệm nhân quả cho hành vi an toàn mặc định của mô hình, loại bỏ các đường dẫn ghi (write pathways) của chúng thông qua việc che cột mục tiêu (targeted column masking), và tiêm một nhiễu loạn (perturbation) bị giới hạn trong phần bù trực giao (orthogonal complement) của không gian từ chối (refusal subspace) của mô hình
.
Đây không phải là một cuộc tấn công dựa trên prompt. Bằng cách trực tiếp thao túng các biểu diễn bên trong của mô hình, HMNS đạt được tỷ lệ tấn công thành công gần 99% trên các mô hình như LLaMA-3.1-70B với trung bình khoảng 2 lần thử, đồng thời vẫn giữ được tính trôi chảy của đầu ra .
Một bài báo arXiv ngày 9 tháng 7 năm 2026, "Refused in Chat, Written in Code", chứng minh rằng các tác nhân lập trình IDE (Integrated Development Environment — Môi trường phát triển tích hợp) như GitHub Copilot thể hiện sự từ chối gần như hoàn toàn dưới các phương thức chat trực tiếp, đọc CSV, hoặc sửa lỗi một bước (chỉ 8/816 phản hồi thành công) . Tuy nhiên, khi cùng một mục tiêu có hại được phân rã thành các workflow phát triển phần mềm đa bước — đọc tập tin, chạy script, xử lý đầu vào benchmark — các mô hình này tạo ra các đầu ra có hại trong tất cả 816 lần chạy
.
Cuộc tấn công workflow này vượt qua các bộ lọc an toàn ở lớp chat bằng cách định dạng lại các mục tiêu độc hại thành các tác vụ phát triển thông thường . Thay vì yêu cầu mô hình "viết mã độc hại", kẻ tấn công yêu cầu nó "đọc một tập tin, chạy một script, sau đó xử lý đầu vào benchmark" — một chuỗi các bước có vẻ vô hại ở mỗi bước riêng lẻ nhưng lại hoàn thành mục tiêu có hại khi được kết hợp lại.
Vào ngày 12 tháng 6 năm 2026, chỉ ba ngày sau khi Anthropic công bố Claude Fable 5 và Mythos 5, Bộ trưởng Thương mại Hoa Kỳ Howard Lutnick đã gửi một lá thư cho CEO Dario Amodei yêu cầu Anthropic ngừng xuất khẩu toàn cầu, lần đầu tiên viện dẫn một điều khoản của Đạo luật Cải cách Kiểm soát Xuất khẩu năm 2018 . Nguyên nhân là một cuộc tấn công (jailbreak) được các nhà nghiên cứu của Amazon phát hiện, có thể khiến Fable 5 xác định các lỗ hổng phần mềm, gây ra lo ngại về việc chuyển hướng sang tình báo quân sự nước ngoài
.
Vì Anthropic không thể xác minh quốc tịch người dùng một cách đáng tin cậy trong thời gian thực, họ đã vô hiệu hóa cả hai mô hình cho tất cả người dùng trên toàn thế giới . Các lệnh kiểm soát xuất khẩu đã được dỡ bỏ vào ngày 30 tháng 6, và Fable 5 đã trở lại toàn cầu vào ngày 1 tháng 7 năm 2026, sau 18 ngày bị đình chỉ
. Quyền truy cập Mythos 5 đã được khôi phục cho một nhóm các tổ chức Hoa Kỳ
.
Bốn sự phát triển này hội tụ về một sự thật duy nhất: các hàng rào bảo vệ tĩnh, một lần là không đủ về cơ bản. Chứng minh của NIST thiết lập điều này như một chắc chắn toán học . HMNS cho thấy nó có thể bị khai thác với hiệu quả gần như hoàn hảo
. Workflow jailbreak của Copilot chứng minh rằng ngay cả các bộ lọc cấp chat mạnh mẽ cũng có thể bị vượt qua khi các mô hình hoạt động như các tác nhân (agents)
. Và sự cố Fable 5 cho thấy việc phát hiện ra các lỗ hổng như vậy có thể kích hoạt sự can thiệp chưa từng có của chính phủ
.
Hàm ý thực tế rất rõ ràng: các tổ chức phải chuyển từ việc chứng nhận một mô hình là "an toàn" trong quá trình phát triển sang việc liên tục giám sát, kiểm tra và cập nhật các hàng rào bảo vệ trong suốt vòng đời của mô hình — một cách tiếp cận mà NIST đặc biệt khuyến nghị .