Jailbreaking impercettibile contro i Modelli Linguistici di Grandi Dimensioni
Imperceptible Jailbreaking against Large Language Models
October 6, 2025
Autori: Kuofeng Gao, Yiming Li, Chao Du, Xin Wang, Xingjun Ma, Shu-Tao Xia, Tianyu Pang
cs.AI
Abstract
Gli attacchi di jailbreaking sulla modalità visiva si basano tipicamente su perturbazioni avversarie impercettibili, mentre gli attacchi sulla modalità testuale sono generalmente ritenuti richiedere modifiche visibili (ad esempio, suffissi non semantici). In questo articolo, introduciamo jailbreak impercettibili che sfruttano una classe di caratteri Unicode chiamati selettori di variazione. Aggiungendo selettori di variazione invisibili a domande malevole, i prompt di jailbreak appaiono visivamente identici alle domande malevole originali sullo schermo, mentre la loro tokenizzazione viene "segretamente" alterata. Proponiamo una pipeline di ricerca a catena per generare tali suffissi avversari al fine di indurre risposte dannose. I nostri esperimenti dimostrano che i nostri jailbreak impercettibili raggiungono alti tassi di successo nell'attacco contro quattro LLM allineati e si generalizzano ad attacchi di iniezione di prompt, tutto senza produrre alcuna modifica visibile nel prompt scritto. Il nostro codice è disponibile all'indirizzo https://github.com/sail-sg/imperceptible-jailbreaks.
English
Jailbreaking attacks on the vision modality typically rely on imperceptible
adversarial perturbations, whereas attacks on the textual modality are
generally assumed to require visible modifications (e.g., non-semantic
suffixes). In this paper, we introduce imperceptible jailbreaks that exploit a
class of Unicode characters called variation selectors. By appending invisible
variation selectors to malicious questions, the jailbreak prompts appear
visually identical to original malicious questions on screen, while their
tokenization is "secretly" altered. We propose a chain-of-search pipeline to
generate such adversarial suffixes to induce harmful responses. Our experiments
show that our imperceptible jailbreaks achieve high attack success rates
against four aligned LLMs and generalize to prompt injection attacks, all
without producing any visible modifications in the written prompt. Our code is
available at https://github.com/sail-sg/imperceptible-jailbreaks.