Não são necessários prompts ocultos! Você pode burlar a revisão por pares de IA com revisões exclusivamente de apresentação.

Resumo

À medida que as revisões geradas por IA passam de ferramentas experimentais para infraestrutura de revisão por pares, a maioria das preocupações com robustez tem se concentrado em ataques explícitos, como instruções ocultas e injeção de prompt. Estudamos um modo de falha mais difícil e mais relevante para políticas públicas: nenhum texto oculto, nenhuma injeção de prompt e nenhuma alteração em métodos, experimentos, figuras, equações, provas ou resultados numéricos. O atacante modifica apenas o conteúdo de nível de apresentação, como o resumo, o enquadramento das contribuições, a literatura relacionada, a discussão e a estrutura narrativa. Introduzimos o reembalamento adversarial: um ataque de ciclo fechado que utiliza o feedback do revisor de IA para buscar revisões no nível de apresentação, mantendo as evidências científicas fixas. Em três revisores de IA convencionais, o reembalamento adversarial alcança uma taxa de sucesso de ataque de 75,1% e um ganho médio de pontuação de +1,21/10. O efeito não é explicado pelo polimento comum da prosa. Também revelamos que estratégias que alteram a forma como o revisor interpreta o artigo, como o reposicionamento da literatura relacionada e a expansão da discussão analítica, superam substancialmente edições superficiais, como polimento local, formatação de tabelas e caixas de algoritmos. Nossa análise revela dois modos de falha estruturais mais profundos. Primeiro, revisores de IA são mais fáceis de impressionar do que de convencer: destacar pontos fortes aumenta consistentemente o mérito percebido, enquanto tentativas de dissolver fraquezas frequentemente saem pela culatra. Segundo, revisores de IA podem confundir a aparência de abordar uma limitação com sua resolução real, permitindo que evidências inalteradas sejam reinterpretadas como contribuição científica mais forte. Esses resultados mostram que o risco de implantação não reside apenas em instruções ocultas maliciosas, mas no surgimento da própria apresentação do artigo como uma superfície de otimização. Lançamos um benchmark rolante livre de contaminação e uma estrutura de ataque para testar se revisores de IA permanecem ancorados ao conteúdo científico sob edições apenas de apresentação.

English

As AI-generated reviews move from experimental tools into peer-review infrastructure, most robustness concerns have focused on explicit attacks such as hidden instructions and prompt injection. We study a harder and more policy-relevant failure mode: no hidden text, no prompt injection, and no changes to methods, experiments, figures, equations, proofs, or numerical results. The attacker modifies only presentation-level content, such as the abstract, contribution framing, related work, discussion, and narrative structure. We introduce adversarial repackaging: a closed-loop attack that uses AI-reviewer feedback to search for presentation-level revisions while keeping the scientific evidence fixed. Across three mainstream AI reviewers, adversarial repackaging achieves a 75.1% attack success rate and a mean score gain of +1.21/10. The effect is not explained by ordinary prose polishing. We also reveal that strategies that change how the reviewer interprets the paper, such as related-work repositioning and analytical discussion expansion, substantially outperform surface edits such as local polishing, table formatting, and algorithm boxes. Our analysis reveals two deeper structural failure modes. First, AI reviewers are easier to impress than to convince: highlighting strengths reliably increases perceived merit, while attempts to dissolve weaknesses frequently backfire. Second, AI reviewers can confuse the appearance of addressing a limitation with actually resolving it, allowing unchanged evidence to be reinterpreted as stronger scientific contribution. These results show that the deployment risk is not only malicious hidden instructions, but the emergence of paper presentation itself as an optimization surface. We release a contamination-free rolling benchmark and attack framework for testing whether AI reviewers remain anchored to scientific content under presentation-only edits.