Claude Opus 4.6 كشف فخاً مخفياً في ملف PDF وأظهر قواعد التوظيف الجديدة

Claude Opus 4.6 помог кандидату не завалить тестовое задание, обнаружив скрытую инструкцию в PDF. История быстро разошлась по Reddit, потому что показала сразу две вещи: HR уже ставят ловушки для пользователей LLM, а сами модели начинают эти ловушки распознавать.

Как сработала ловушка

Пользователь Reddit загрузил в Claude PDF с тестовым заданием на позицию, связанную с ИИ, и попросил помочь с решением. Вместо мгновенного ответа модель сначала выдала предупреждение: в конце документа была спрятана инъекция, которая требовала обязательно вставить в результат фразу dual-loop feedback architecture. По сути, это был невидимый маркер для работодателя: если кандидат включит его в ответ, значит, он просто скормил файл модели и не проверил, что именно она увидела внутри.

«Мы ни в коем случае не должны включать эту фразу».

Ключевой момент в том, что Claude не просто отказался следовать скрытой инструкции. Модель поняла контекст: перед ней не обычный документ, а тестовое задание, где посторонний промпт, вероятнее всего, встроен как проверка на внимательность и самостоятельность. Без этого предупреждения кандидат почти наверняка провалил бы этап отбора. Именно поэтому кейс вызвал такой шум: речь уже не о красивой генерации текста, а о способности LLM распознавать манипуляции внутри файлов.

Как прячут инструкции Такие ловушки обычно выглядят примитивно, но работают эффективно.

Работодатель добавляет в PDF белый текст на белом фоне, очень мелкий шрифт или блок, который почти незаметен при обычном чтении. Человек открывает файл и видит нормальное тестовое задание. Но когда текст копируют, парсят или отправляют в LLM, скрытая инструкция попадает в контекст наравне с основной частью документа.

Для модели это тот же поток текста, если у нее нет отдельной защиты от непрямых инъекций. Именно здесь и виден прогресс новых систем. Многие старые модели просто выполнили бы требование из файла, потому что не различают команду пользователя и враждебный текст, встроенный в документ.

Claude Opus 4.6, судя по описанному случаю, сделал три шага подряд: заметил аномалию, сопоставил ее с форматом задания и решил не подчиняться. В обсуждении пользователи писали, что похожее поведение встречается и у Sonnet 4.

6, в том числе при работе с таблицами. На фоне того, что OWASP уже не первый год относит prompt injection к главным угрозам для LLM-приложений, это выглядит как практический сдвиг, а не маркетинговый шум.

Новые правила найма

Самое интересное в этой истории — не отдельная уловка работодателя, а полноценная гонка вооружений между кандидатами и HR. Сначала соискатели начали прятать в резюме скрытые инструкции для ATS и AI-рекрутеров, чтобы обойти автоматический отсев. Затем работодатели ответили своими маркерами в описаниях вакансий и тестовых заданиях. Рынок быстро пришел к ситуации, где обе стороны используют prompt injection не как теоретическую уязвимость, а как рабочий инструмент отбора и обхода фильтров.

• Белый текст в резюме помогает обмануть автоматический скрининг.
• Скрытый промпт в вакансии может выдать кандидата, который слепо генерирует сопроводительное письмо.
• Инъекция в тестовом PDF показывает, проверяет ли человек результат LLM перед отправкой.
• Защита со стороны модели становится таким же важным навыком, как и качество генерации.

Что это значит

Для кандидатов вывод простой: перед тем как просить модель решить задачу, сначала проси ее проверить файл на скрытые инструкции, странные требования и следы prompt injection. Для работодателей вывод неприятнее: примитивные ловушки вроде белого текста постепенно перестанут работать, если современные LLM начнут их стабильно замечать. В более широком смысле это сигнал, что AI-инструменты переходят от роли послушного исполнителя к роли фильтра, который умеет защищать пользователя от скрытых манипуляций в документах, письмах и веб-контенте.