Jailbreaking imperceptible en modelos de lenguaje a gran escala
Imperceptible Jailbreaking against Large Language Models
October 6, 2025
Autores: Kuofeng Gao, Yiming Li, Chao Du, Xin Wang, Xingjun Ma, Shu-Tao Xia, Tianyu Pang
cs.AI
Resumen
Los ataques de jailbreaking en la modalidad visual suelen basarse en perturbaciones adversarias imperceptibles, mientras que los ataques en la modalidad textual generalmente se asume que requieren modificaciones visibles (por ejemplo, sufijos no semánticos). En este artículo, presentamos jailbreaks imperceptibles que explotan una clase de caracteres Unicode llamados selectores de variación. Al añadir selectores de variación invisibles a preguntas maliciosas, los prompts de jailbreak aparecen visualmente idénticos a las preguntas maliciosas originales en pantalla, mientras que su tokenización se altera "secretamente". Proponemos una cadena de búsqueda para generar tales sufijos adversarios que induzcan respuestas dañinas. Nuestros experimentos muestran que nuestros jailbreaks imperceptibles logran altas tasas de éxito de ataque contra cuatro LLMs alineados y se generalizan a ataques de inyección de prompts, todo sin producir modificaciones visibles en el prompt escrito. Nuestro código está disponible en https://github.com/sail-sg/imperceptible-jailbreaks.
English
Jailbreaking attacks on the vision modality typically rely on imperceptible
adversarial perturbations, whereas attacks on the textual modality are
generally assumed to require visible modifications (e.g., non-semantic
suffixes). In this paper, we introduce imperceptible jailbreaks that exploit a
class of Unicode characters called variation selectors. By appending invisible
variation selectors to malicious questions, the jailbreak prompts appear
visually identical to original malicious questions on screen, while their
tokenization is "secretly" altered. We propose a chain-of-search pipeline to
generate such adversarial suffixes to induce harmful responses. Our experiments
show that our imperceptible jailbreaks achieve high attack success rates
against four aligned LLMs and generalize to prompt injection attacks, all
without producing any visible modifications in the written prompt. Our code is
available at https://github.com/sail-sg/imperceptible-jailbreaks.