Expondo a Vulnerabilidade Sistemática de Modelos de Pesos Abertos a Ataques de Preenchimento Prévia
Exposing the Systematic Vulnerability of Open-Weight Models to Prefill Attacks
February 16, 2026
Autores: Lukas Struppek, Adam Gleave, Kellin Pelrine
cs.AI
Resumo
À medida que as capacidades dos grandes modelos de linguagem continuam a avançar, também aumenta o seu potencial para uso indevido. Embora os modelos de código fechado normalmente dependam de defesas externas, os modelos de pesos abertos devem depender principalmente de salvaguardas internas para mitigar comportamentos prejudiciais. Pesquisas anteriores de *red-teaming* concentraram-se amplamente em *jailbreaks* baseados em entrada e manipulações a nível de parâmetros. No entanto, os modelos de pesos abertos também suportam nativamente o pré-preenchimento (*prefilling*), o que permite a um atacante pré-definir os tokens iniciais de resposta antes do início da geração. Apesar do seu potencial, este vetor de ataque recebeu pouca atenção sistemática. Apresentamos o maior estudo empírico até à data sobre ataques de pré-preenchimento, avaliando mais de 20 estratégias, existentes e novas, em várias famílias de modelos e nos modelos de pesos abertos mais avançados. Os nossos resultados mostram que os ataques de pré-preenchimento são consistentemente eficazes contra todos os principais modelos de pesos abertos contemporâneos, revelando uma vulnerabilidade crítica e anteriormente pouco explorada, com implicações significativas para a implantação. Embora certos modelos de raciocínio de grande escala exibam alguma robustez contra o pré-preenchimento genérico, eles permanecem vulneráveis a estratégias específicas e adaptadas a cada modelo. As nossas descobertas sublinham a necessidade urgente de os desenvolvedores de modelos priorizarem defesas contra ataques de pré-preenchimento em LLMs de pesos abertos.
English
As the capabilities of large language models continue to advance, so does their potential for misuse. While closed-source models typically rely on external defenses, open-weight models must primarily depend on internal safeguards to mitigate harmful behavior. Prior red-teaming research has largely focused on input-based jailbreaking and parameter-level manipulations. However, open-weight models also natively support prefilling, which allows an attacker to predefine initial response tokens before generation begins. Despite its potential, this attack vector has received little systematic attention. We present the largest empirical study to date of prefill attacks, evaluating over 20 existing and novel strategies across multiple model families and state-of-the-art open-weight models. Our results show that prefill attacks are consistently effective against all major contemporary open-weight models, revealing a critical and previously underexplored vulnerability with significant implications for deployment. While certain large reasoning models exhibit some robustness against generic prefilling, they remain vulnerable to tailored, model-specific strategies. Our findings underscore the urgent need for model developers to prioritize defenses against prefill attacks in open-weight LLMs.