Piratage imperceptible des grands modèles de langage
Imperceptible Jailbreaking against Large Language Models
October 6, 2025
papers.authors: Kuofeng Gao, Yiming Li, Chao Du, Xin Wang, Xingjun Ma, Shu-Tao Xia, Tianyu Pang
cs.AI
papers.abstract
Les attaques de jailbreaking sur la modalité visuelle reposent généralement sur des perturbations adverses imperceptibles, tandis que les attaques sur la modalité textuelle sont généralement supposées nécessiter des modifications visibles (par exemple, des suffixes non sémantiques). Dans cet article, nous introduisons des jailbreaks imperceptibles qui exploitent une classe de caractères Unicode appelés sélecteurs de variation. En ajoutant des sélecteurs de variation invisibles à des questions malveillantes, les invites de jailbreak apparaissent visuellement identiques aux questions malveillantes originales à l'écran, bien que leur tokenisation soit "secrètement" altérée. Nous proposons un pipeline de recherche en chaîne pour générer de tels suffixes adverses afin d'induire des réponses nuisibles. Nos expériences montrent que nos jailbreaks imperceptibles atteignent des taux de réussite d'attaque élevés contre quatre LLM alignés et se généralisent aux attaques par injection d'invites, le tout sans produire de modifications visibles dans l'invite écrite. Notre code est disponible à l'adresse https://github.com/sail-sg/imperceptible-jailbreaks.
English
Jailbreaking attacks on the vision modality typically rely on imperceptible
adversarial perturbations, whereas attacks on the textual modality are
generally assumed to require visible modifications (e.g., non-semantic
suffixes). In this paper, we introduce imperceptible jailbreaks that exploit a
class of Unicode characters called variation selectors. By appending invisible
variation selectors to malicious questions, the jailbreak prompts appear
visually identical to original malicious questions on screen, while their
tokenization is "secretly" altered. We propose a chain-of-search pipeline to
generate such adversarial suffixes to induce harmful responses. Our experiments
show that our imperceptible jailbreaks achieve high attack success rates
against four aligned LLMs and generalize to prompt injection attacks, all
without producing any visible modifications in the written prompt. Our code is
available at https://github.com/sail-sg/imperceptible-jailbreaks.