Onmerkbare Jailbreaking tegen Grote Taalmodellen
Imperceptible Jailbreaking against Large Language Models
October 6, 2025
Auteurs: Kuofeng Gao, Yiming Li, Chao Du, Xin Wang, Xingjun Ma, Shu-Tao Xia, Tianyu Pang
cs.AI
Samenvatting
Jailbreaking-aanvallen op de visuele modaliteit maken doorgaans gebruik van onmerkbare adversariële verstoringen, terwijl aanvallen op de tekstuele modaliteit over het algemeen zichtbare wijzigingen vereisen (bijvoorbeeld niet-semantische achtervoegsels). In dit artikel introduceren we onmerkbare jailbreaks die gebruikmaken van een klasse Unicode-tekens genaamd variatieselectors. Door onzichtbare variatieselectors toe te voegen aan kwaadaardige vragen, lijken de jailbreak-prompts visueel identiek aan de originele kwaadaardige vragen op het scherm, terwijl hun tokenisatie "stiekem" wordt gewijzigd. We stellen een keten-van-zoekopdrachten-pijplijn voor om dergelijke adversariële achtervoegsels te genereren die schadelijke reacties veroorzaken. Onze experimenten tonen aan dat onze onmerkbare jailbreaks hoge aanvalssuccespercentages behalen tegen vier uitgelijnde LLM's en zich generaliseren naar promptinjectie-aanvallen, allemaal zonder zichtbare wijzigingen in de geschreven prompt te produceren. Onze code is beschikbaar op https://github.com/sail-sg/imperceptible-jailbreaks.
English
Jailbreaking attacks on the vision modality typically rely on imperceptible
adversarial perturbations, whereas attacks on the textual modality are
generally assumed to require visible modifications (e.g., non-semantic
suffixes). In this paper, we introduce imperceptible jailbreaks that exploit a
class of Unicode characters called variation selectors. By appending invisible
variation selectors to malicious questions, the jailbreak prompts appear
visually identical to original malicious questions on screen, while their
tokenization is "secretly" altered. We propose a chain-of-search pipeline to
generate such adversarial suffixes to induce harmful responses. Our experiments
show that our imperceptible jailbreaks achieve high attack success rates
against four aligned LLMs and generalize to prompt injection attacks, all
without producing any visible modifications in the written prompt. Our code is
available at https://github.com/sail-sg/imperceptible-jailbreaks.