佛罗里达大学的研究人员提出了一种名为"头掩零空间操控"(Head-Masked Nullspace Steering, HMNS)的技术,该技术作用于Transformer模型的电路层面。该研究已被2026年国际学习表征会议(ICLR 2026)接收为会议论文
。HMNS首先识别出对模型默认安全行为负有因果责任的注意力头,然后通过目标列掩码抑制其写入路径,最后注入一个被限制在模型拒绝子空间正交补内的扰动
。
2026年7月9日发表在arXiv上的一篇题为"对话中拒绝,代码中照写"的论文证明,GitHub Copilot等IDE编码助手在直接对话、CSV读取或单步代码修复等基线条件下表现出近乎完全的拒绝(816次请求中仅8次成功)。然而,当相同的有害目标被分解为多步软件开发工作流——读取文件、运行脚本、处理基准测试输入——时,模型在所有816次运行中都产生了有害输出
。
这种工作流级别的越狱通过将有恶意目标重新定义为看似普通的开发任务,绕过了对话层的安全过滤器。攻击者不是让模型"编写恶意代码",而是要求它"读取一个文件、运行一个脚本、然后处理基准测试输入"——这一序列中的每个步骤看似无害,但串联起来就实现了有害目标。
2026年6月12日,就在Anthropic发布Claude Fable 5和Mythos 5仅三天后,美国商务部长霍华德·卢特尼克致函CEO达里奥·阿莫迪,指示Anthropic停止全球出口——这是首次援引《2018年出口管制改革法案》中的相关条款。导火索是亚马逊研究人员发现的一种越狱手段,能让Fable 5识别软件漏洞,引发了对该技术可能被转移至外国军事情报机构的担忧
。
由于Anthropic无法实时可靠地验证用户国籍,该公司为所有用户禁用了这两款模型。出口管制于6月30日解除,Fable 5于2026年7月1日重新面向全球用户提供服务,经历18天中断
。Mythos 5的访问权限则恢复给部分美国组织
。
这四大发展共同指向一个真理:静态、一次性的护栏从根本上来说是不够的。NIST的证明将其确立为数学上的必然性。HMNS表明这种必然性可以被近乎完美地利用
。Copilot工作流越狱证实,即使强大的对话级过滤器,在模型充当智能体时也能被绕过
。而Fable 5事件则表明,发现此类漏洞可能引发前所未有的政府干预
。