Незаметный взлом крупных языковых моделей
Imperceptible Jailbreaking against Large Language Models
October 6, 2025
Авторы: Kuofeng Gao, Yiming Li, Chao Du, Xin Wang, Xingjun Ma, Shu-Tao Xia, Tianyu Pang
cs.AI
Аннотация
Атаки на взлом моделей обработки визуальной информации обычно основываются на незаметных состязательных возмущениях, тогда как атаки на текстовую модальность, как правило, предполагают видимые изменения (например, добавление несемантических суффиксов). В данной статье мы представляем незаметные методы взлома, использующие класс символов Unicode, называемых селекторами вариаций. Добавляя невидимые селекторы вариаций к вредоносным запросам, взломанные подсказки выглядят визуально идентичными исходным вредоносным запросам на экране, при этом их токенизация "тайно" изменяется. Мы предлагаем цепочку поиска для генерации таких состязательных суффиксов, чтобы вызывать вредоносные ответы. Наши эксперименты показывают, что наши незаметные методы взлома достигают высоких показателей успешности атак против четырех выровненных языковых моделей и обобщаются на атаки с инъекцией подсказок, при этом не производя никаких видимых изменений в тексте запроса. Наш код доступен по адресу https://github.com/sail-sg/imperceptible-jailbreaks.
English
Jailbreaking attacks on the vision modality typically rely on imperceptible
adversarial perturbations, whereas attacks on the textual modality are
generally assumed to require visible modifications (e.g., non-semantic
suffixes). In this paper, we introduce imperceptible jailbreaks that exploit a
class of Unicode characters called variation selectors. By appending invisible
variation selectors to malicious questions, the jailbreak prompts appear
visually identical to original malicious questions on screen, while their
tokenization is "secretly" altered. We propose a chain-of-search pipeline to
generate such adversarial suffixes to induce harmful responses. Our experiments
show that our imperceptible jailbreaks achieve high attack success rates
against four aligned LLMs and generalize to prompt injection attacks, all
without producing any visible modifications in the written prompt. Our code is
available at https://github.com/sail-sg/imperceptible-jailbreaks.