Anthropic presentó una idea inicial para clasificar la severidad de los jailbreaks en modelos de IA. La propuesta, llamada Cyber Jailbreak Severity o CJS, fue desarrollada junto con Amazon, Microsoft, Google y otros socios de Glasswing, y busca establecer un estándar para medir este tipo de fallos más allá del caso Fable 5.
Un estándar de severidad para una zona sin consenso
En modelos de IA, un jailbreak es una forma de interacción diseñada para evadir las salvaguardas del sistema. Puede aparecer como una instrucción inusual, una cadena de prompts o una técnica más elaborada que logra que el modelo entregue una respuesta que sus controles debían bloquear.
Anthropic afirma que la industria no cuenta con un consenso para describir de forma objetiva la gravedad de un jailbreak. sobre lo mismo, la firma señala que esa falta de criterio común dificulta decidir qué hallazgos deben corregirse con prioridad y cuándo corresponde que gobiernos o desarrolladores actúen.
El intento de estándar no aparece como una regla interna aislada, porque Anthropic señala que trabaja con Amazon, Microsoft, Google y otros socios de Glasswing para redactar un marco de consenso. Ese detalle cambia el peso del anuncio, porque la escala se presenta como una propuesta de coordinación industrial y no solo como una política para Claude.
CJS clasifica los jailbreaks por severidad y no solo por evasión
El Cyber Jailbreak Severity (CJS) ordena los jailbreaks por el riesgo real que crean, no solo por la existencia de un método para saltarse una salvaguarda. La escala parte de CJS-0, informativo, y llega a CJS-4, crítico, con niveles intermedios bajo, medio y alto.
El cálculo no depende de un solo dato, porque Anthropic combina cuatro criterios para estimar la severidad inicial de cada hallazgo. Esos criterios revisan qué capacidad desbloquea el jailbreak, cuán amplio es su alcance, qué tan fácil resulta convertirlo en un ataque y qué tan disponible está la técnica para otros actores.
En términos simples, un jailbreak es más grave cuando desbloquea capacidades que no estaban disponibles, funciona en muchas tareas, puede repetirse con poca fricción y ya está al alcance de otros actores.

Los cuatro criterios del Cyber Jailbreak Severity (CJS)
El cálculo combina cuatro criterios:
- La ganancia de capacidad.
- La amplitud de esa ganancia
- La facilidad de uso ofensivo
- La facilidad para obtener la técnica.
La ganancia de capacidad mide cuánto aporta el jailbreak frente a herramientas existentes, fuentes públicas o información que el atacante ya tenía. El puntaje sube cuando el modelo entrega resultados difíciles de obtener por otros medios, reduce trabajo experto o permite avanzar en una tarea ofensiva relevante.
La amplitud revisa si el jailbreak funciona en un caso aislado o si puede aplicarse a varios objetivos, tareas o tipos de ataque. Una técnica amplia es más grave porque puede repetirse en más escenarios y cubrir más etapas en tareas ofensivas.
La facilidad de uso ofensivo mide cuánto esfuerzo se necesita para convertir el jailbreak en un ataque funcional. El puntaje aumenta cuando la técnica requiere menos intervención humana, menos conocimiento especializado y menos ajustes para producir un resultado utilizable.
La facilidad para obtener la técnica mide qué tan expuesto queda un jailbreak para otros actores, con mayor severidad cuando la técnica ya es pública, puede reutilizarse con poca adaptación o existen señales de uso por actores de amenaza.
Fable 5 llevó la discusión hacia una escala común de severidad
Fable 5 usa clasificadores de seguridad para decidir cuándo una solicitud de ciberseguridad debe permitirse, monitorearse o bloquearse. Anthropic amplió el margen de seguridad de esos clasificadores para reducir el riesgo de usos dañinos, pero esa decisión también puede bloquear tareas legítimas de programación, depuración o defensa informática.

La imagen anterior permite explicar por qué el bloqueo de una solicitud no siempre significa que el usuario intentó hacer algo dañino. En Fable 5, la firma amplió el margen de seguridad para reducir la probabilidad de usos indebidos, aunque esa decisión también aumentó los falsos positivos en tareas legítimas de programación, depuración o ciberseguridad defensiva.
La siguiente tabla separa las solicitudes en cuatro grupos: uso prohibido, doble uso de alto riesgo, doble uso de bajo riesgo y uso benigno. Esa clasificación explica por qué una misma capacidad puede ser aceptable en un contexto defensivo y riesgosa cuando se usa para preparar o ejecutar un ataque..
El problema que deja Fable 5 es más amplio que un bloqueo puntual, ya que para Anthropic, no basta con decir que un jailbreak logró evadir una salvaguarda, porque también importa qué capacidad desbloqueó, cuántos usos permite y qué tan fácil es repetirlo.
CJS apunta a ordenar los jailbreaks como MCP ordenó las conexiones de los de Agentes de IA
MCP convirtió una parte fragmentada de la IA en una especificación común: la conexión entre modelos, herramientas y fuentes externas de datos. CJS apunta a otro problema sin lenguaje compartido, porque busca clasificar la gravedad de los jailbreaks y separar los hallazgos menores de los casos con mayor riesgo.
CJS también gana peso propio porque Anthropic afirma que empezó a trabajar el marco con Amazon, Microsoft, Google y otros socios de Glasswing, un origen que lo presenta como un intento de consenso entre actores relevantes de la industria y no como una regla interna limitada a Claude.
La comparación con MCP debe leerse como una referencia de trayectoria, porque MCP nació para resolver una necesidad común entre modelos y herramientas, mientras CJS acaba de presentarse como un borrador de trabajo para ordenar la severidad de los jailbreaks con participación de la industria y revisión externa.
La lectura más precisa es que Anthropic intenta repetir una lógica de estandarización, pero aplicada a la seguridad de los modelos. En vez de ordenar conexiones técnicas, CJS busca ordenar cómo se reporta, prioriza y comunica la severidad de un jailbreak.

