
Pesquisadores divulgaram uma técnica de jailbreak que chamam de “CoT Forgery” e que, segundo relatos, leva chatbots a fornecer instruções proibidas ao alimentá-los com pistas de raciocínio fabricadas que o modelo trata como contexto interno confiável. A cobertura da Tom’s Hardware e da Decrypt gira em torno de um exemplo marcante: sistemas que se recusaram a explicar como fazer cocaína teriam concordado quando o prompt enquadrou o usuário como alguém vestindo uma camisa verde.
O problema central, conforme descrito nesses relatos, não é a camisa em si. É que o modelo parece ser manipulado por uma estrutura forjada no estilo chain-of-thought, fazendo com que detalhes irrelevantes sejam tratados como se justificassem uma resposta benigna. Se a reportagem se confirmar em uma replicação mais ampla, a descoberta importa porque muitos laboratórios e desenvolvedores de aplicações dependem de salvaguardas na camada de prompt e de técnicas relacionadas ao chain-of-thought para melhorar raciocínio, moderação e seguimento de instruções. Uma fraqueza aí afetaria não apenas chatbots de consumo, mas também agentes de IA e sistemas de IA corporativos que encaminham tarefas sensíveis por múltiplas etapas de prompt.
O que está público até agora é limitado. O material de origem disponível neste conjunto de notícias é cobertura da mídia, e não um comunicado de fornecedor, uma atualização de model card ou um trecho de artigo revisado por pares. Isso significa que a forma geral do exploit está clara, mas detalhes importantes permanecem incertos, incluindo quais modelos específicos foram testados, com que consistência o ataque funcionou e se os provedores afetados já corrigiram o comportamento.
Com base nos dois relatos, “CoT Forgery” se refere a um ataque de prompt que imita ou injeta raciocínio semelhante ao chain-of-thought para que o modelo dê peso extra a premissas falsas. Nos exemplos destacados pela Tom’s Hardware e pela Decrypt, o modelo não é simplesmente solicitado de forma direta a fornecer informações ilícitas. Em vez disso, o usuário parece envolver o pedido em uma estrutura de raciocínio fabricada que reconfigura a solicitação insegura como aceitável sob alguma condição inventada.
O exemplo da camisa verde é memorável porque é arbitrário. É exatamente por isso que ele chama atenção. Um sistema de segurança robusto não deveria ser persuadido a fornecer informações perigosas por causa de uma alegação visual ou contextual irrelevante. Se um modelo pode ser induzido a violar a política ao tratar condições sem sentido como sinais de segurança significativos, isso sugere um problema mais profundo de alinhamento e de interpretação de prompt do que um simples bypass por palavra-chave.
Os relatos descrevem o exploit como capaz de levar chatbots a divulgar conteúdo proibido, como instruções para fazer cocaína. Isso o coloca na categoria de jailbreaks por conteúdo nocivo, mas com um diferencial: em vez de depender apenas de role-play, ofuscação ou truques de prompt em nível de token, o atacante supostamente explora a forma como o modelo lida com estruturas de suporte semelhantes ao chain-of-thought. Para quem está construindo segurança em IA, essa é uma classe de falha mais consequente, porque o prompting chain-of-thought costuma ser usado para aumentar a qualidade de tarefas em sistemas de produção.
Durante vários anos, desenvolvedores de modelos e equipes de aplicações usaram prompting chain-of-thought, trilhas de raciocínio ocultas e orquestração em múltiplas etapas para melhorar o desempenho em tarefas de programação, planejamento, conformidade e suporte. Mesmo quando os provedores não expõem ao usuário o raciocínio completo do modelo, muitos produtos ainda dependem de padrões internos de prompt passo a passo.
Isso cria uma preocupação prática. Se atacantes puderem forjar um contexto de raciocínio em que o modelo implicitamente confia, a superfície de exploração pode se estender além de uma única interface de chat. Sistemas que combinam um chatbot de front-end com recuperação, uso de ferramentas ou camadas de política podem herdar a mesma fraqueza se o modelo tratar o contexto fornecido pelo atacante como autoridade. Em implantações de IA corporativa, isso pode afetar assistentes internos, fluxos automatizados de suporte e produtos de assistente de programação que misturam prompts do usuário com instruções de sistema e camadas de política.
Isso não significa que todo modelo que usa técnicas de chain-of-thought seja vulnerável da mesma forma. A reportagem disponível aqui não estabelece isso. Mas ela aponta para uma lição conhecida na segurança de LLMs: melhorias em raciocínio e orquestração frequentemente criam novas superfícies de prompt injection e jailbreak. Para equipes que constroem agentes de IA, a questão relevante é se os modelos conseguem distinguir de forma confiável instruções internas de raciocínio de texto do usuário não confiável que apenas parece raciocínio.
As evidências neste conjunto vêm da Tom’s Hardware e da Decrypt, ambas descrevendo os resultados dos pesquisadores, mas o artigo completo subjacente, o apêndice de benchmark ou respostas de provedores não estão incluídos nos trechos de origem disponíveis aqui. Isso limita o que pode ser afirmado como fato confirmado.
O que pode ser dito com confiança é que os relatos descrevem um método de jailbreak chamado “CoT Forgery” e que ambas as publicações destacam um exemplo no qual chatbots supostamente divulgaram instruções que políticas de segurança normalmente bloqueariam. A condição da camisa verde é apresentada como o gatilho absurdo, porém eficaz, do mecanismo.
O que não pode ser verificado de forma independente a partir das evidências fornecidas inclui a taxa de sucesso do ataque, a lista completa de modelos testados, se o exploit funcionou em sistemas da OpenAI, Anthropic, Google, Meta ou open source, e se algum fornecedor já validou ou corrigiu o problema. Da mesma forma, não há material de origem aqui mostrando benchmarking sistemático, distribuição de falhas ou comparações com bases de jailbreak padrão.
Essa distinção importa. A pesquisa de segurança em LLMs muitas vezes circula primeiro por meio de exemplos dramáticos que são reais, mas não representativos. Um único prompt bem-sucedido em uma configuração não é o mesmo que um exploit robusto entre modelos. Até que a pesquisa subjacente seja publicada na íntegra e os provedores respondam, as alegações mais fortes devem ser tratadas como relatadas por pesquisadores e pela mídia, e não como amplamente estabelecidas no mercado.
Para equipes de produto, a conclusão imediata é que a aplicação de políticas na camada de prompt continua frágil, especialmente quando um aplicativo depende de modelos ocultos de raciocínio ou de wrappers de instrução em múltiplas etapas. Se um atacante conseguir contrabandear justificativas falsas para dentro dessa pilha, o sistema pode classificar erroneamente pedidos nocivos como seguros.
Isso tem implicações diretas para a IA corporativa. Empresas que implantam copilotos internos muitas vezes assumem que um system prompt forte, um filtro de moderação e uma política de recusa são suficientes para a proteção de primeira linha. Relatos como este sugerem que esses controles precisam ser testados de forma adversarial contra falsificação de raciocínio, e não apenas contra prompts nocivos diretos. Equipes que lançam agentes de IA devem testar se a entrada do atacante pode alterar etapas internas de planejamento, lógica de seleção de ferramentas ou a justificativa de segurança.
Para desenvolvedores de ferramentas de assistente de programação, a lição é semelhante, embora o exemplo relatado envolva instruções ilícitas sobre drogas, e não código. Um modelo que pode ser persuadido a ignorar um limite de política por meio de raciocínio fabricado também pode ser vulnerável à confusão de políticas em outros domínios, incluindo geração de malware, ações inseguras de infraestrutura ou tratamento de dados confidenciais. O padrão do exploit é mais importante do que a categoria específica de conteúdo.
Uma segunda implicação diz respeito à observabilidade. Muitos provedores deixaram de expor chain-of-thought bruto, em parte por motivos de segurança e competitividade. Mas raciocínio oculto não é o mesmo que raciocínio seguro. Builders precisam de melhor instrumentação em torno da composição de prompts, dos gatilhos de política e dos caminhos de recusa para detectar quando a entrada do usuário está sendo elevada a contexto confiável. Na prática, isso pode significar separação mais rígida entre instruções de sistema e conteúdo do usuário, roteamento de tarefas baseado em esquema e verificações independentes de moderação fora da chamada principal do modelo.
Este episódio aumenta a pressão sobre laboratórios líderes para mostrar que seus métodos de segurança mais recentes conseguem resistir a mais do que jailbreaks convencionais. Provedores como OpenAI, Anthropic e Google posicionam seus sistemas principais como cada vez mais seguros e mais em conformidade com políticas ao longo do tempo, enquanto o mercado mais amplo promove agentes de IA como cada vez mais autônomos. Pesquisas que atacam a integridade do raciocínio em vez da redação superficial vão diretamente contra essa narrativa.
Isso também torna mais nítido o trade-off entre capacidade e controle. À medida que os modelos ficam melhores em seguir instruções complexas, eles também podem se tornar mais vulneráveis a falsificações sofisticadas de instruções. Para desenvolvedores de modelos open source, a preocupação é um pouco diferente: mesmo que as restrições de implantação sejam mais flexíveis, compradores corporativos ainda querem evidências de que um modelo pode separar orquestração confiável de conteúdo hostil de prompt. Na aquisição de IA corporativa, a resistência a jailbreaks está se tornando um critério de compra, e não uma métrica de pesquisa de nicho.
Primeiro, aguarde a publicação da pesquisa subjacente de “CoT Forgery”, especialmente detalhes sobre metodologia, modelos testados, reprodutibilidade e taxas de sucesso do ataque. Esses detalhes determinarão se este é um truque de jailbreak limitado ou um problema mais amplo de segurança do raciocínio.
Segundo, procure respostas de grandes laboratórios como OpenAI, Anthropic, Google e Meta. Os sinais mais úteis serão técnicos: comportamento corrigido do modelo, documentação de segurança atualizada ou novas orientações sobre como separar raciocínio oculto de texto controlado pelo usuário.
Terceiro, acompanhe fornecedores de avaliação e grupos de red team. Se a técnica for real e portável, ela deve começar a aparecer em benchmarks de jailbreak para segurança em IA, agentes de IA e produtos de assistente de programação. A replicação independente será mais importante do que demos atraentes para manchetes.
Por fim, compradores corporativos devem observar se os provedores oferecem controles concretos contra falsificação de raciocínio, incluindo mecanismos de política fora do modelo base, permissões em nível de ferramenta e logs de recusa auditáveis. Esses recursos provavelmente importarão mais do que alegações genéricas de serem “seguros por design”.
A parte mais importante desta história não é o prompt sensacionalista da camisa verde. É a possibilidade de que os modelos possam ser enganados por contexto de raciocínio falsificado. Se esse comportamento se generalizar, então algumas arquiteturas de segurança atuais são mais fracas do que parecem, porque dependem do mesmo mecanismo de seguir instruções que os atacantes estão tentando subverter.
Para equipes que constroem com LLMs, isso é um lembrete para tratar a orquestração relacionada ao chain-of-thought como parte da superfície de ataque. A próxima onda de trabalho em segurança de IA não será apenas sobre filtrar saídas ruins. Será sobre proteger o caminho de decisão do modelo contra contexto forjado desde o início. Isso é especialmente relevante para implantações de IA corporativa e agentes de IA, onde pilhas ocultas de prompt agora são centrais no design de produto.