Esponendo la Vulnerabilità Sistematica dei Modelli Open-Weight agli Attacchi di Prefill
Exposing the Systematic Vulnerability of Open-Weight Models to Prefill Attacks
February 16, 2026
Autori: Lukas Struppek, Adam Gleave, Kellin Pelrine
cs.AI
Abstract
Mentre le capacità dei grandi modelli linguistici continuano a progredire, aumenta anche il loro potenziale di uso improprio. Se i modelli closed-source si basano tipicamente su difese esterne, i modelli open-weight devono fare principalmente affidamento su meccanismi di sicurezza interni per mitigare comportamenti dannosi. La precedente ricerca di red-teaming si è concentrata prevalentemente su jailbreaking basato sugli input e su manipolazioni a livello parametrico. Tuttavia, i modelli open-weight supportano nativamente anche il prefilling, che consente a un attaccante di predefinire i token di risposta iniziali prima che la generazione abbia inizio. Nonostante il suo potenziale, questo vettore di attacco ha ricevuto scarsa attenzione sistematica. Presentiamo il più ampio studio empirico fino ad oggi sugli attacchi via prefilling, valutando oltre 20 strategie, sia esistenti che nuove, su diverse famiglie di modelli e sui modelli open-weight più all'avanguardia. I nostri risultati dimostrano che gli attacchi via prefilling sono costantemente efficaci contro tutti i principali modelli open-weight contemporanei, rivelando una vulnerabilità critica e precedentemente poco esplorata, con implicazioni significative per il deployment. Sebbene alcuni modelli di ragionamento su larga scala mostrino una certa robustezza contro tecniche generiche di prefilling, rimangono vulnerabili a strategie specifiche e mirate al modello. Le nostre scoperte sottolineano l'urgente necessità per gli sviluppatori di modelli di dare priorità alle difese contro gli attacchi via prefilling nei LLM open-weight.
English
As the capabilities of large language models continue to advance, so does their potential for misuse. While closed-source models typically rely on external defenses, open-weight models must primarily depend on internal safeguards to mitigate harmful behavior. Prior red-teaming research has largely focused on input-based jailbreaking and parameter-level manipulations. However, open-weight models also natively support prefilling, which allows an attacker to predefine initial response tokens before generation begins. Despite its potential, this attack vector has received little systematic attention. We present the largest empirical study to date of prefill attacks, evaluating over 20 existing and novel strategies across multiple model families and state-of-the-art open-weight models. Our results show that prefill attacks are consistently effective against all major contemporary open-weight models, revealing a critical and previously underexplored vulnerability with significant implications for deployment. While certain large reasoning models exhibit some robustness against generic prefilling, they remain vulnerable to tailored, model-specific strategies. Our findings underscore the urgent need for model developers to prioritize defenses against prefill attacks in open-weight LLMs.