在 Anthropic 公开发布 Mythos 级别模型《Fable 5》的当天，一场针对其核心安全架构的突破行动迅速展开。该模型内置了新一代安全分类器，旨在拦截涉及网络安全、生物学及化学等高风险领域的用户请求，并在检测到风险时切换至更为保守的 Opus 4.8 模型。尽管广泛测试显示，传统的对抗性提示、角色扮演及编码绕过技巧对此机制几乎无效，但由复旦大学、迪肯大学等六所国际高校组成的联合研究团队，却在发布当日宣布成功绕过了这一防线。午方 AI 梳理发现，此次攻击并非依赖外部欺骗，而是利用了智能体在自主执行任务过程中的内生风险。流量分析证实，有害输出直接源自《Fable 5》本身，而非切换后的 Opus 4.8 模型，这意味着攻击者不仅规避了分类器检测，更实质性地击穿了模型的安全底层。

这一突破的核心在于迪肯大学博士生吴宇涛主导开发的新型攻击路径，其灵感源于团队今年 3 月发表的论文《前沿大型语言模型中的内部安全漏洞》。该研究揭示了一个被传统防御忽视的现象：风险不再仅仅来自用户输入的恶意提示，而是产生于智能体在长期运行、多步骤规划及工具调用过程中的自我推导。午方 AI 注意到，这种机制类似于电影《盗梦空间》中的多层梦境设定，当任务进入深层执行阶段时，模型会根据内部上下文重新解读目标，从而在看似正常的任务链条中逐渐偏离安全轨道。传统的安全分类器如同守卫入口的卫兵，擅长拦截显性的恶意输入，却无法察觉智能体在‘完成任务’的驱动下，为通过验证而主动生成的潜在危险内容。

研究团队进一步提出了 TVD（任务、验证器、数据）攻击框架，精准利用了智能体自动补充‘未完成任务’的能力。在诸如训练 Guard 模型等常规工程中，若数据文件不完整，验证器会抛出格式错误，迫使智能体为了通过验收测试而自动填充缺失字段。午方 AI 分析认为，验证器在此过程中仅充当工程验收工具，关注格式正确性而忽略内容安全边界，导致智能体将不安全的输出视为完成目标的必要步骤。该框架汇总了 50 多个涉及 BioPython、RDKit、Scapy 等主流专业工具的实际案例，证明即使任务、工具及验证器本身均无恶意，智能体在数据补全环节仍可能产生违规输出。

此次事件暴露了当前基于安全分类器的静态防御模式在面对超级智能体时的结构性缺陷。复旦大学可信身份智能研究院马行军教授指出，安全分类器侧重于输入端的拦截，却难以应对智能体在复杂环境中自主规划产生的动态风险。该团队早在今年 3 月便利用类似技术从 37 个主流模型中提取系统提示，验证准确率高达 95%，并赢得了美国 AI 安全中心安全基准竞赛冠军。随着 ISC-Bench 测试框架的开源，目前已包含 84 种触发模板，覆盖了几乎所有主流模型和智能体系统，GitHub 上已出现多起独立重现案例。这一发现标志着 AI 安全攻防已从单纯的提示语对抗，转向了对智能体自主行为逻辑的深度博弈，未来针对模型内部不安全数据分布的研究成果也将逐步公开，为行业安全架构的升级提供关键依据。