Jailbreaking Imperceptível contra Modelos de Linguagem de Grande Escala
Imperceptible Jailbreaking against Large Language Models
October 6, 2025
Autores: Kuofeng Gao, Yiming Li, Chao Du, Xin Wang, Xingjun Ma, Shu-Tao Xia, Tianyu Pang
cs.AI
Resumo
Ataques de jailbreak na modalidade visual geralmente dependem de perturbações adversariais imperceptíveis, enquanto os ataques na modalidade textual são geralmente assumidos como necessitando de modificações visíveis (por exemplo, sufixos não semânticos). Neste artigo, introduzimos jailbreaks imperceptíveis que exploram uma classe de caracteres Unicode chamada seletores de variação. Ao anexar seletores de variação invisíveis a perguntas maliciosas, os prompts de jailbreak aparecem visualmente idênticos às perguntas maliciosas originais na tela, enquanto sua tokenização é "secretamente" alterada. Propomos um pipeline de cadeia de busca para gerar tais sufixos adversariais que induzem respostas prejudiciais. Nossos experimentos mostram que nossos jailbreaks imperceptíveis alcançam altas taxas de sucesso de ataque contra quatro LLMs alinhados e se generalizam para ataques de injeção de prompt, tudo sem produzir nenhuma modificação visível no prompt escrito. Nosso código está disponível em https://github.com/sail-sg/imperceptible-jailbreaks.
English
Jailbreaking attacks on the vision modality typically rely on imperceptible
adversarial perturbations, whereas attacks on the textual modality are
generally assumed to require visible modifications (e.g., non-semantic
suffixes). In this paper, we introduce imperceptible jailbreaks that exploit a
class of Unicode characters called variation selectors. By appending invisible
variation selectors to malicious questions, the jailbreak prompts appear
visually identical to original malicious questions on screen, while their
tokenization is "secretly" altered. We propose a chain-of-search pipeline to
generate such adversarial suffixes to induce harmful responses. Our experiments
show that our imperceptible jailbreaks achieve high attack success rates
against four aligned LLMs and generalize to prompt injection attacks, all
without producing any visible modifications in the written prompt. Our code is
available at https://github.com/sail-sg/imperceptible-jailbreaks.