Het blootleggen van de systematische kwetsbaarheid van open-gewichtsmodellen voor prefill-aanvallen
Exposing the Systematic Vulnerability of Open-Weight Models to Prefill Attacks
February 16, 2026
Auteurs: Lukas Struppek, Adam Gleave, Kellin Pelrine
cs.AI
Samenvatting
Naarmate de mogelijkheden van grote taalmodellen toenemen, groeit ook hun potentieel voor misbruik. Terwijl closed-source modellen doorgaans vertrouwen op externe verdedigingsmechanismen, moeten open-weight modellen voornamelijk afhankelijk zijn van interne veiligheidsmaatregelen om schadelijk gedrag te beperken. Eerder red-teaming-onderzoek richtte zich vooral op op input gebaseerde jailbreaking en manipulaties op parameterniveau. Open-weight modellen ondersteunen echter ook standaard prefilling, wat een aanvaller in staat stelt om initiële antwoordtokens te definiëren voordat de generatie begint. Ondanks dit potentieel heeft deze aanvalsvector weinig systematische aandacht gekregen. Wij presenteren de grootste empirische studie tot nu toe naar prefill-aanvallen, waarbij we meer dan 20 bestaande en nieuwe strategieën evalueren across meerdere modelfamilies en state-of-the-art open-weight modellen. Onze resultaten tonen aan dat prefill-aanvallen consequent effectief zijn tegen alle belangrijke hedendaagse open-weight modellen, wat een kritieke en voorheen onderbelichte kwetsbaarheid blootlegt met significante implicaties voor implementatie. Hoewel bepaalde grote redeneermodellen enige robuustheid vertonen tegen generiek prefilling, blijven ze kwetsbaar voor op maat gemaakte, modelspecifieke strategieën. Onze bevindingen onderstrepen de dringende noodzaak voor modelontwikkelaars om verdediging tegen prefill-aanvallen in open-weight LLM's te prioriteren.
English
As the capabilities of large language models continue to advance, so does their potential for misuse. While closed-source models typically rely on external defenses, open-weight models must primarily depend on internal safeguards to mitigate harmful behavior. Prior red-teaming research has largely focused on input-based jailbreaking and parameter-level manipulations. However, open-weight models also natively support prefilling, which allows an attacker to predefine initial response tokens before generation begins. Despite its potential, this attack vector has received little systematic attention. We present the largest empirical study to date of prefill attacks, evaluating over 20 existing and novel strategies across multiple model families and state-of-the-art open-weight models. Our results show that prefill attacks are consistently effective against all major contemporary open-weight models, revealing a critical and previously underexplored vulnerability with significant implications for deployment. While certain large reasoning models exhibit some robustness against generic prefilling, they remain vulnerable to tailored, model-specific strategies. Our findings underscore the urgent need for model developers to prioritize defenses against prefill attacks in open-weight LLMs.