佛羅里達大學的研究人員提出了一種名為「頭遮罩零空間操控」(Head-Masked Nullspace Steering, HMNS)的技術,其運作於 Transformer 模型的電路層級 。該研究已被頂尖會議 ICLR 2026 接受為會議論文
。HMNS 會找出哪些注意力頭(attention heads)在因果上負責模型的預設安全行為,透過目標性的欄位遮罩(column masking)壓制它們的寫入路徑,然後注入一個被限制在模型「拒絕子空間」(refusal subspace)正交補空間(orthogonal complement)內的擾動
。
這不是基於提示詞(prompt)的越獄。透過直接操控模型的內部表徵,HMNS 在 LLaMA-3.1-70B 等模型上達到了近 99% 的攻擊成功率,平均僅需約 2 次嘗試,而且能保持輸出內容的流暢性 。
2026 年 7 月 9 日發表在 arXiv 上的一篇論文《Refused in Chat, Written in Code》證明,GitHub Copilot 這類 IDE 編碼代理在直接聊天、讀取 CSV 或單一步驟的程式碼修復等基準測試中,展現出近乎完全的拒絕率(816 次嘗試中僅 8 次成功回應)。然而,當相同的惡意目標被拆解成多步驟的軟體開發工作流程——例如讀取檔案、執行腳本、處理基準測試輸入——這些模型在所有 816 次運行中都產出了有害的輸出
。
這種「工作流程型越獄」透過將惡意目標重新包裝成普通的開發任務,繞過了聊天層級的安全過濾器 。攻擊者不再要求模型「寫出惡意程式碼」,而是請它「讀取一個檔案、執行一個腳本、然後處理基準測試輸入」——每一步單獨看來都無害,但組合起來就能達成惡意目的。
2026 年 6 月 12 日,就在 Anthropic 推出 Claude Fable 5 和 Mythos 5 僅僅三天後,美國商務部長霍華德·盧特尼克(Howard Lutnick)致函 Anthropic 執行長達里奧·阿莫迪(Dario Amodei),指示該公司停止全球範圍的出口。這是美國政府首次動用 2018 年《出口管制改革法案》(Export Control Reform Act)中的一項條款 。
導火線是亞馬遜(Amazon)的研究人員發現了一種越獄方法,可以讓 Fable 5 識別軟體漏洞,引發了對該技術可能被轉移至外國軍事情報部門的擔憂 。由於 Anthropic 無法即時可靠地驗證使用者國籍,最終選擇在全球範圍內為所有用戶停用這兩款模型
。出口管制於 6 月 30 日解除,Fable 5 在歷經 18 天的禁用後,於 2026 年 7 月 1 日恢復全球服務
。Mythos 5 的存取權則恢復給部分美國組織
。
這四大發展共同指向一個不變的事實:靜態、一次性的護欄規則從根本上說是不夠的。NIST 的證明從數學上將此確立為必然 ;HMNS 技術顯示它可以被近乎完美地利用
;Copilot 的工作流程越獄則證明,當模型扮演代理(agent)角色時,即使強大的聊天層級過濾器也能被繞過
;而 Fable 5 事件則表明,此類漏洞的發現可能引發前所未有的政府干預
。