Unmerkliches Jailbreaking bei großen Sprachmodellen
Imperceptible Jailbreaking against Large Language Models
October 6, 2025
papers.authors: Kuofeng Gao, Yiming Li, Chao Du, Xin Wang, Xingjun Ma, Shu-Tao Xia, Tianyu Pang
cs.AI
papers.abstract
Jailbreaking-Angriffe auf die visuelle Modalität basieren typischerweise auf nicht wahrnehmbaren adversarischen Störungen, während Angriffe auf die textuelle Modalität allgemein als sichtbare Modifikationen (z. B. nicht-semantische Suffixe) angenommen werden. In diesem Artikel führen wir nicht wahrnehmbare Jailbreaks ein, die eine Klasse von Unicode-Zeichen namens Variationsselektoren ausnutzen. Durch das Anhängen unsichtbarer Variationsselektoren an bösartige Fragen erscheinen die Jailbreak-Prompts auf dem Bildschirm visuell identisch zu den ursprünglichen bösartigen Fragen, während ihre Tokenisierung „heimlich“ verändert wird. Wir schlagen eine Chain-of-Search-Pipeline vor, um solche adversarischen Suffixe zu generieren, die schädliche Antworten hervorrufen. Unsere Experimente zeigen, dass unsere nicht wahrnehmbaren Jailbreaks hohe Angriffserfolgsraten gegen vier ausgerichtete LLMs erreichen und sich auf Prompt-Injection-Angriffe verallgemeinern lassen, alles ohne sichtbare Modifikationen im geschriebenen Prompt zu erzeugen. Unser Code ist verfügbar unter https://github.com/sail-sg/imperceptible-jailbreaks.
English
Jailbreaking attacks on the vision modality typically rely on imperceptible
adversarial perturbations, whereas attacks on the textual modality are
generally assumed to require visible modifications (e.g., non-semantic
suffixes). In this paper, we introduce imperceptible jailbreaks that exploit a
class of Unicode characters called variation selectors. By appending invisible
variation selectors to malicious questions, the jailbreak prompts appear
visually identical to original malicious questions on screen, while their
tokenization is "secretly" altered. We propose a chain-of-search pipeline to
generate such adversarial suffixes to induce harmful responses. Our experiments
show that our imperceptible jailbreaks achieve high attack success rates
against four aligned LLMs and generalize to prompt injection attacks, all
without producing any visible modifications in the written prompt. Our code is
available at https://github.com/sail-sg/imperceptible-jailbreaks.