Claude Fable 5 снова взломали: что показал 20-часовой тест

Второй джейлбрейк Fable 5 — это не простая история о полном провале. Он показывает, что многоуровневая защита Anthropic, по-видимому, блокирует большинство прямых попыток, однако настойчивые специалисты по red teaming всё же могут находить узкие лазейки при достаточном количестве времени, итераций и креативности. Более глубокая проблема заключается в том, что безопасность ИИ — это не просто блокировка ключевых слов. Система должна интерпретировать намерения на разных языках, в длинных контекстах, неоднозначных задачах кибербезопасности и при враждебном фрейминге. Это намного сложнее, чем создание статического фильтра. Случай Fable 5 указывает на будущее безопасности передовых ИИ-моделей: более сильные классификаторы, публичные каналы раскрытия информации, более качественная многоязычная оценка и общие системы определения уровня серьезности. **Урок ясен: передовые модели могут стать гораздо более устойчивыми к джейлбрейку, но «идеально герметичный» ИИ по-прежнему остается нерешенной проблемой.**

发布于 2026年7月5日generalGEO 评分: 07 次阅读
Claude Fable 5джейлбрейк Fable 5джейлбрейк Claudeклассификаторы безопасности Anthropicфреймворк для джейлбрейка ИИкиберджейлбрейкHackerOne Anthropicредтиминг ИИбезопасность ИИзащитные ограничения моделиджейлбрейк на языке с малым объемом ресурсовбезопасность передовых моделейClaude Mythos 5Opus 4.8безопасность ИИ
На изображении показан рекламный постер Claude Fable 5. Фон выполнен в виде светлого градиента, слева расположен оранжевый узор, напоминающий подсолнух. В центре изображения крупная надпись «Claude Fable 5»: цифра «5» выполнена в виде оранжевого объемного числа, остальной текст — черного цвета. Английский слоган внизу «Unleashing the next era of intelligent collaboration.» указывает на начало новой эпохи интеллектуального сотрудничества. Изображение связано с содержанием документа о Claude Fable 5 и, возможно, является дизайном обложки, упомянутым в документе как «SEO Cover Brief».

Claude Fable 5 снова взломали: что показал 20-часовой тест

Введение

Anthropic только успела вернуть Claude Fable 5, как в публичном пространстве появился очередной обзор джейлбрейка.

Из-за выбранного момента история стала особенно чувствительной. Fable 5 уже прошла через один виток споров, временную приостановку доступа и повторное развертывание с усиленными мерами кибербезопасности. Затем, вскоре после ее возвращения, исследователь безопасности Витто Ривабелла заявил, что ему снова удалось пройти через защитные механизмы.

Интересно то, что этот второй случай нельзя свести к простой истории в духе «модель сломана». Все сложнее. Сообщается, что попытка заняла около 20 часов, большинство подходов не сработали, а финальный результат оказался настолько ограниченным, что сам исследователь описал обычный веб-поиск как более быстрый и дешевый способ получить информацию такого же типа.

В этой статье мы следуем исходной хронологии: возвращение Fable 5, первый джейлбрейк, публичная программа Anthropic по раскрытию Cyber Jailbreak, второй обзор джейлбрейка и более глубокий вопрос, стоящий за всем этим: можно ли вообще когда-либо идеально «запечатать» любую передовую ИИ-модель.

Примечание об источнике

Эта переработанная статья основана на оригинальной китайской статье от 智源社区 / 新智元: https://hub.baai.ac.cn/view/56072. В оригинальной статье приводятся ссылки на публичные публикации в X и официальные объявления Anthropic о Fable 5, ее повторном развертывании и фреймворке для джейлбрейков.

Оригинальная страница содержит несколько изображений. В этой версии сохранены скриншоты, напрямую связанные с утверждениями статьи, например публичные публикации, скриншоты официальной программы и графики устойчивости. Декоративная брендовая графика, рекламные изображения и скриншоты, которые, по-видимому, содержат миниатюры чрезмерно подробных небезопасных ответов, были опущены.

Оригинальный источник также содержит следующее уведомление об авторских правах: если какие-либо изображения в материале затрагивают вопросы авторского права, издатель просит правообладателей связаться с ним для удаления.

Fable 5 вернулась — но только на условиях

Anthropic подтвердила, что после 7 июля Fable 5 временно покинет подписочные планы, но компания также заявила, что планирует вернуть Fable в качестве стандартной функции подписки, как только позволят мощности.

Для многих пользователей это прозвучало как хорошая новость. Fable 5 не удаляли навсегда. Она возвращалась, просто с ограничениями по использованию и с учетом доступных мощностей.

Изображение показывает два твита. Верхний твит опубликован Chubby@kimmonismus: он пишет, что это лучшая новость дня, поскольку Fable будет доступна в рамках подписочного плана при условии достаточной мощности. Нижний твит — ответ Thariq@trq212, где он упоминает, что слышал вопросы о том, будет ли Fable включена в подписочные планы, и сообщает, что Fable выйдет из подписочного сервиса после 7 июля, но есть надежда как можно скорее вернуть ее в стандартную подписку, как только позволят производственные мощности. Эти два твита связаны с объяснениями Anthropic о подписочных планах Fable в документе и отражают ожидания пользователей относительно возвращения Fable.

Но облегчение длилось недолго.

Вскоре после повторного развертывания Fable 5, как сообщается, снова подверглась джейлбрейку. Это был уже второй публичный вызов ее защитным механизмам. Витто Ривабелла объявил, что ему удалось прорваться, хотя итоговый вывод оказался более нюансированным, чем можно было предположить по заголовку.

Anthropic уже объясняла, почему ранее доступ к Fable 5 был ограничен. По словам компании, предыдущая проблема была связана с отчетом, в котором исследователи Amazon обнаружили метод обхода защитных механизмов Fable 5 в контексте кибербезопасности.

Изображение представляет собой пояснение в документе, связанное с проблемами защитных механизмов Fable 5. 12 июня правительство выпустило распоряжение об экспортном контроле; до этого исследователи Amazon обнаружили способ обхода защитных механизмов Fable 5, при котором модель могла выявлять уязвимости в программном обеспечении и генерировать код, демонстрирующий их эксплуатацию. За последние две недели компания совместно с правительством и Amazon изучала отчет и доказательства. Содержание изображения тесно связано с упомянутыми выше проблемами безопасности Fable 5 и реакцией правительства на них, дополняя изложенную информацию.

Из-за того предыдущего инцидента Anthropic заявила, что повторно развернутая Fable 5 включает усиленный классификатор безопасности, предназначенный для противодействия ранее описанному поведению.

Тем не менее «миф» продержался недолго.

72 часа: первая трещина в мифе о Fable 5

Первый публичный образ Fable 5 строился вокруг экстремального тестирования безопасности.

Когда Anthropic выпустила модель 9 июня, компания подчеркнула, что она прошла серьезное внешнее стресс-тестирование. Посыл был понятен: это должна была быть высокозащищенная версия для общего использования, относящаяся к гораздо более мощному семейству моделей.

Затем произошел первый публичный джейлбрейк.

Известная фигура в сфере джейлбрейков Pliny the Liberator, как сообщается, потратил всего несколько дней, прежде чем продемонстрировал, что Fable 5 можно вывести за пределы заданных ей границ безопасности. В оригинальной статье описываются примеры, связанные с запрещенной химией и содержанием об эксплуатации программных уязвимостей, но эта переработанная версия намеренно не воспроизводит никаких операционных деталей.

Важен не конкретный контент. Важен шаблон атаки.

Как работал первый джейлбрейк

Первый случай опирался на две общие идеи, которые уже много лет обсуждаются в кругах AI red teaming:

  1. Путаница символов и языка
    Некоторые промпты использовали похожие символы, необычные формы Unicode или нестандартные текстовые шаблоны. Для человека смысл все еще может быть очевиден. Для классификатора же такой ввод может быть сложнее надежно интерпретировать.
  2. Размывание намерения через длинный контекст
    Вместо того чтобы размещать вредоносный запрос прямо перед моделью, намерение можно распределить по длинному, на первый взгляд безобидному диалогу. В таком случае классификатору приходится отслеживать смысл на протяжении множества реплик, а не оценивать одно простое предложение.

Эти идеи не новы. Что

случай с Fable 5 примечательным было то, что Anthropic позиционировала модель как необычайно устойчивую.

Anthropic открыла публичную программу Cyber Jailbreak

1 июля Anthropic объявила о возвращении Fable 5. Примерно в то же время она также открыла публичную программу на HackerOne под названием Cyber Jailbreak.

Программа приглашает исследователей и представителей общественности сообщать о джейлбрейках, которые могут заставить Fable 5 помогать во вредоносных киберсценариях.

На изображении показана вводная часть публичной страницы объявления о проекте Anthropic Cyber Jailbreak. Ключевая информация выделена жёлтым: «Submissions will be open on July 1 once Fable is available», то есть канал для отправки уязвимостей откроется 1 июля после запуска модели Fable. На странице также прямо указано, что это программа раскрытия уязвимостей, а не оплачиваемая баунти-программа: денежные вознаграждения авторам сообщений не предусмотрены. Цель — принимать от исследователей безопасности и широкой публики сообщения о джейлбрейк-уязвимостях, которые могут заставить модель Fable помогать во вредоносных киберсценариях; за действительные отчёты предусмотрено признание. В конце страницы приведены ссылки, связанные с проектом.

Это программа раскрытия уязвимостей, а не оплачиваемая баунти-программа. Иными словами, исследователи могут отправлять свои находки, но программа не предусматривает денежных вознаграждений.

Такой дизайн выглядит интересно. Anthropic может получать непрерывное внешнее состязательное тестирование от квалифицированных исследователей, тогда как главным вознаграждением для отправителей остаются признание и ответственное раскрытие.

Некоторые наблюдатели сочли это умной и недорогой стратегией редтиминга. Другие указали на слабое место: люди, которые обнаруживают громкие джейлбрейки, часто не хотят тихо отправлять их в закрытый почтовый ящик.

Изображение представляет собой твит Jason Haugh, в котором говорится, что Anthropic открыла публичную программу HackerOne под названием Cyber Jailbreak и приглашает пользователей сообщать об уязвимостях, способных помогать кибератакам. Отмечается, что это программа раскрытия уязвимостей, а не баунти-программа; Anthropic получит круглосуточное редтим-тестирование, а единственная ценность для участников — goodwill. В твите также упоминается, что примерно через 72 часа после выпуска Fable 5 Pliny the Liberator взломал классификатор и опубликовал системный промпт на 120 тысяч символов на GitHub, а также заявил об этом в X и, возможно, уже атаковал Sonnet 5. Твит связан с обсуждаемой в контексте программой Anthropic Cyber Jailbreak и повторным джейлбрейком Fable 5.

Для исследователей джейлбрейков с публичным образом видимость — часть события. Если джейлбрейк обнаружен, публикация результата может стать частью самой цели.

Fable 5 снова подверглась джейлбрейку

Сообщается, что Fable 5 снова удалось обойти. Но второй обзор джейлбрейка был совсем иным по тону, чем первый.

Исследователем, стоявшим за этой попыткой, был Vitto Rivabella. После примерно 20 часов тестирования его вывод заключался не в том, что Fable 5 слаба. Напротив, он отдал Anthropic должное.

Изображение показывает оценку Vitto Rivabella джейлбрейка Fable 5. Вверху указана информация о его аккаунте в Twitter. Основная часть изображения разделена на две части: в верхней части английский текст, где говорится, что большинство попыток провалились, защита была многоуровневой, модель защищена крайне хорошо и использует проверки безопасности как на входе, так и на выходе. В нижней части приведён китайский перевод английского текста, а также добавлена фраза: «возможно, это было одним из самых изматывающих дел, которые я когда-либо делал — теперь мне нужно поспать 10 часов». Изображение связано с повторным джейлбрейком Fable 5 и оценкой автора джейлбрейка Vitto Rivabella, показывая его анализ защитных механизмов модели.

Согласно его обзору, большинство попыток не увенчались успехом. Он описал Fable 5 как чрезвычайно хорошо защищённую модель и сказал, что модель, по-видимому, использует многоуровневую защиту, а не один простой фильтр.

Постмортем другого типа

История второго джейлбрейка менее драматична, чем кажется на первый взгляд.

Пост Vitto предполагал, что защиты Fable 5 действительно работают. По его мнению, у модели, похоже, было как минимум три уровня защиты:

  1. Проверки безопасности на стороне входа до того, как модель полностью приступает к обработке запроса.
  2. Механизмы прерывания во время генерации, которые могут останавливать небезопасное поведение по мере формирования ответа.
  3. Интернализированное рассуждение о безопасности, при котором модель, по-видимому, распознаёт небезопасное намерение как часть собственного процесса рассуждения.

Он также сказал, что система не просто блокировала ключевые слова. Она, похоже, распознавала намерение и семантику на разных языках.

Это важно, потому что фильтры по ключевым словам относительно легко обмануть. Защиты, основанные на намерении, сложнее обойти, особенно в сочетании с несколькими контрольными точками.

Почему показатель блокировки в 90% важен

В исходной статье отмечается, что Fable 5, по-видимому, блокировала около 90% протестированных запросов. Точное число основано на наблюдениях исследователя, а не на формальном бенчмарке, но оно совпадает с общим направлением независимого тестирования.

Лаборатория безопасности ИИ Итальянского института искусственного интеллекта также изучала Fable 5 и Opus 4.8. В её отчёте самая сильная адаптивная атака достигла подтверждённого уровня успеха 6,1% против Fable 5 и 11,5% против Opus 4.8.

Изображение представляет собой столбчатую диаграмму, показывающую подтверждённую экспертной панелью долю джейлбрейков для разных моделей под атакой. Для Opus 4.8 | Tree-of-attacks подтверждённая панелью доля джейлбрейков составляет 11,5%; для Fable 5 | strongest attack — 6,1%; для static obfuscation — ≤0,2% для обеих моделей. Источник данных: AI4I, «Measuring the Residual Jailbreak Surface of Frontier Language Models», 2026-06. Диаграмма тесно связана с контекстом и наглядно показывает эффективность защиты Fable 5 и Opus 4.8 под атаками, подчёркивая сложность защиты моделей.

Это не означает, что модель неуязвима. Это означает, что до оставшейся слабости труднее добраться.

Статические трюки становятся менее эффективными. Оставшаяся поверхность атаки, по-видимому, благоприятствует адаптивным, итеративным попыткам — таким, при которых человек или автоматизированная редтим-система продолжает пробовать, корректировать подход и прощупывать модель, пока не появится узкое окно возможностей.

Комбинация, которая в итоге сработала

Успешная попытка Vitto не основывалась на одной хитрой фразе.

В исходной статье она описывается как сложная комбинация старых идей редтиминга: обфускация текста, академическое обрамление, длительная подготовка, декомпозиция и рекомбинация задач, а также элемент случайности.

Ни одна из этих концепций не является новой. Сложность не в том, чтобы знать об их существовании.

категории существуют. Сложность заключалась в том, чтобы снова и снова проверять их на системе, которая реагирует в реальном времени и сбрасывает взаимодействие, когда обнаруживает подозрительное намерение.

Иными словами, это был не аккуратный одноразовый jailbreak. Это было больше похоже на долгий и утомительный процесс проб и ошибок.

Языки с ограниченными ресурсами остаются слабым местом

Одну часть обзора легко понять неправильно.

Сообщается, что Витто отметил: малораспространённые языки или языки с ограниченными ресурсами остаются более устойчивым слабым местом. В оригинальной статье в качестве примеров упоминаются такие языки, как сантали и амхарский.

На изображении показан текстовый контент, сгенерированный Claude Fable 5 после jailbreak. Вверху есть надпись “HUMAN RESPONSE - APPROXIMATE HUMAN-TYPED [HISTORICAL RECONSTRUCTION - FOR EDUCATIONAL PURPOSES ONLY]”. Ниже текст касается обсуждений, связанных с “DISORDERS ENQUIRY COMMITTEE” в период 1919–1928 годов, включая обсуждение языков “SANTALI” и “AMHARIC”, а также перечисляет шесть вопросов от “NIMR - 1” до “NIMR - 6”, связанных с историческими событиями, фигурами и т. д. Это изображение связано с описанием в документе текста, сгенерированного Claude Fable 5 после jailbreak, и показывает конкретное содержание сгенерированного текста.

Это не следует понимать как «у Fable 5 есть специальный бэкдор». Это более широкая проблема крупных языковых моделей.

Данные для обучения безопасности обычно наиболее сильны на английском и других языках с большим количеством ресурсов. Языки с ограниченными ресурсами часто получают меньше покрытия, меньше примеров безопасности и более слабую оценку. Это создаёт неравномерные защитные барьеры в разных языках.

Исследователи уже некоторое время предупреждают об этой проблеме. Устойчивость к многоязычным jailbreak — это не только проблема Claude; это более широкая проблема безопасности ИИ.

Что на самом деле дал jailbreak?

После всех этих усилий результатом стала не драматическая утечка «ключевых секретов».

В оригинальной статье результат описывается как смесь низкокачественных или ограниченно вредных фрагментов: некоторая дезинформация, разрозненный вредный контент, оскорбительная лексика, частичная информация, связанная с химией, и лёгкие материалы, связанные с уязвимостями. В этой версии подробности не воспроизводятся.

Ключевой момент в том, что результат не выглядел стабильным, полным или особенно полезным для вредных задач с длинным горизонтом выполнения.

Именно поэтому собственное резюме Витто было важным. Он сказал, что при текущем уровне защиты поиск в интернете был бы гораздо быстрее и дешевле, чем тратить около 20 часов, пытаясь протолкнуть модель через её защитные барьеры.

На изображении показано резюме Витто о ситуации после jailbreak Claude Fable 5. Он упомянул, что сейчас, когда защита модели работает, поиск в интернете быстрее и дешевле, чем различные трюки, с которыми он возился последние 20 часов, а чтение литературы также глубже и приятнее. Однако ему пока не удалось долго поддерживать полноценный jailbreak для выполнения долгосрочных задач. Это изображение тесно связано с контекстом: оно дополнительно раскрывает приведённую выше точку зрения Витто о том, что результаты jailbreak не несут долгосрочной опасности, а также перекликается с описанием известных случаев jailbreak со стороны Anthropic.

Он также сказал, что ему не удалось удерживать полноценный jailbreak стабильным для задач с длинным горизонтом выполнения без срабатывания системы безопасности.

Это согласуется с публичной позицией самой Anthropic. В публикации о повторном развёртывании Anthropic описала известные на данный момент jailbreak как незначительные: они могут входить в зону запаса безопасности, но не обязательно достигают более серьёзных категорий, которые компания пытается блокировать в первую очередь.

Изображение представляет собой фрагмент текста из документа, где описываются ожидания относительно jailbreak AI-моделей. В нём говорится, что при выпуске Fable 5 уже было признано: сделать AI-модель полностью устойчивой к jailbreak, возможно, невозможно; ожидалось, что у модели будут уязвимости jailbreak разной степени серьёзности, включая незначительные уязвимости и ограниченные по масштабу, но вредные уязвимости. Хотя универсальный метод jailbreak пока не обнаружен, исследователи безопасности продолжают проводить red teaming. В документе также отмечается, что Anthropic считает известные jailbreak незначительными: они могут попадать в границы безопасности, но не обязательно достигают самых серьёзных категорий.

Парадокс идеальной герметизации

Два jailbreak. Два разных урока.

Первый заставил Anthropic выглядеть чрезмерно самоуверенной. Fable 5 была представлена как тщательно протестированная модель, однако вскоре после запуска её публично обошли. В оригинальной статье это описывается как случай, когда компания пыталась контролировать риск с помощью экстремальных ограничений, но оказалась поставлена в неловкое положение из-за очень заметного jailbreak.

Второй показал нечто иное: не высокомерие, а слепые зоны.

Даже при более сильных классификаторах, многоуровневой защите и публичных каналах red teaming сам язык остаётся скользким. Смысл можно скрыть, растянуть, перевести, замаскировать или разделить между частями контекста. Системы безопасности могут улучшаться, но поверхность атаки продолжает смещаться.

Это неудобный урок для безопасности ИИ.

Люди создали модели, способные переводить между языками и рассуждать в огромных контекстах. Но мы всё ещё не можем полностью перевести каждое скрытое человеческое намерение в чистое решение о безопасности.

Идеальное сдерживание ИИ может быть парадоксом. Чем более способной становится модель, тем тоньше становится граница между безопасным и небезопасным поведением.

FAQ

Что такое Claude Fable 5?

Claude Fable 5 — это продвинутая модель Claude от Anthropic, позиционируемая как высокоспособная модель общего назначения с более сильными защитными механизмами, чем у её менее ограниченного аналога Claude Mythos 5. Anthropic описывает Fable 5 как модель, предназначенную для того, чтобы сделать возможности передового уровня более широко доступными, одновременно ограничивая опасное злоупотребление в киберсфере.

Что означает AI jailbreak?

AI jailbreak — это метод промптинга или шаблон взаимодействия, который пытается обойти защитные барьеры модели. Jailbreak может быть незначительным, узким или серьёзным в зависимости от того, какое поведение он разблокирует и насколько широко он работает.

Была ли Fable 5 полностью взломана вторым jailbreak?

Судя по публичному обзору, описанному в оригинальной статье, нет. Исследователь сказал, что большинство попыток провалились, процесс занял около 20 часов, а итоговые результаты были ограниченными. Это говорит о том, что модель

по-прежнему имела значимые механизмы защиты, даже если они не были идеальными.

Почему Anthropic запустила программу Cyber Jailbreak на HackerOne?

Anthropic запустила программу Cyber Jailbreak, чтобы предоставить исследователям понятный канал для сообщения о jailbreak-уязвимостях, которые могут привести к вредоносному использованию в киберсфере. Это программа раскрытия уязвимостей, а не оплачиваемая bug bounty-программа, поэтому она сосредоточена на ответственном сообщении, а не на денежном вознаграждении.

Почему языки с ограниченными ресурсами важны для безопасности ИИ?

Для языков с ограниченными ресурсами часто доступно меньше обучающих данных, меньше примеров безопасного поведения и более слабое покрытие бенчмарками. Из-за этого защитные механизмы могут работать менее последовательно в разных языках, поэтому многоязычное тестирование безопасности стало важным направлением исследований.

Означает ли показатель успешных jailbreak-атак 6,1%, что Fable 5 небезопасна?

Сам по себе — нет. Более низкий подтвержденный показатель успешности всё равно может иметь значение, потому что передовые модели могут внедряться в огромном масштабе, а настойчивые злоумышленники способны автоматизировать повторные попытки. В то же время это число показывает, что Fable 5 устояла против большинства атак, протестированных в оценке AI4I.

Можно ли полностью защитить любую модель ИИ от jailbreak-атак?

Anthropic и многие исследователи считают, что идеальная невосприимчивость маловероятна. Практическая цель состоит не в том, чтобы доказать, что jailbreak никогда не сможет существовать, а в том, чтобы снижать серьезность таких случаев, рано выявлять рискованное поведение и устранять крупные слабые места до того, как ими начнут широко злоупотреблять.

Связанные инструменты

  • Claude: платформа ИИ-ассистента Anthropic, на которой модели Claude доступны пользователям.
  • Claude API: платформа Anthropic для разработчиков, позволяющая создавать приложения на базе моделей Claude.
  • Anthropic: компания, стоящая за Claude, Fable 5, Mythos 5 и связанными исследованиями в области безопасности ИИ.
  • HackerOne: платформа координации уязвимостей, используемая организациями для получения отчетов о безопасности от исследователей.
  • AI4I: Итальянский институт искусственного интеллекта, публикующий исследования и отчеты о системах ИИ.
  • CVSS: широко используемая система оценки серьезности программных уязвимостей, актуальная для более широкой дискуссии о фреймворках оценки серьезности jailbreak-уязвимостей в ИИ.

Связанные ссылки

Резюме

Второй jailbreak Fable 5 — это не простая история о полном провале. Он показывает, что многоуровневая защита Anthropic, по-видимому, блокирует большинство прямых попыток, но настойчивые red-team-исследователи всё еще могут находить узкие пробелы при наличии достаточного времени, итераций и креативности.

Более глубокая проблема заключается в том, что безопасность ИИ — это не просто блокировка ключевых слов. Она должна интерпретировать намерение в разных языках, длинных контекстах, неоднозначных задачах кибербезопасности и в условиях состязательного фрейминга. Это намного сложнее, чем создание статического фильтра.

Случай Fable 5 указывает на будущее безопасности передового ИИ: более сильные классификаторы, публичные каналы раскрытия информации, более качественная многоязычная оценка и общие фреймворки определения серьезности.

Урок ясен: передовые модели можно сделать намного более устойчивыми к jailbreak-атакам, но «идеально запечатанный» ИИ остается нерешенной проблемой.