Fugu-MT 論文翻訳(概要): SEMA: Simple yet Effective Learning for Multi-Turn Jailbreak Attacks

論文の概要: SEMA: Simple yet Effective Learning for Multi-Turn Jailbreak Attacks

arxiv url: http://arxiv.org/abs/2602.06854v1
Date: Fri, 06 Feb 2026 16:44:57 GMT
ステータス: 翻訳完了
システム内更新日: 2026-02-09 22:18:26.490027
Title: SEMA: Simple yet Effective Learning for Multi-Turn Jailbreak Attacks
Title（参考訳）: SEMA: マルチターンジェイルブレイク攻撃のためのシンプルで効果的な学習
Authors: Mingqian Feng, Xiaodong Liu, Weiwei Yang, Jialin Song, Xuekai Zhu, Chenliang Xu, Jianfeng Gao,
Abstract要約: 本稿では,既存の戦略や外部データに頼ることなく,マルチターン攻撃者を訓練するフレームワークを提案する。準備された自己調整は、非拒否的で、よく構造化された、多ターンの逆のプロンプトを微調整することで、使用可能なロールアウトを可能にする。私たちは、意図の整合性、コンプライアンスリスク、詳細レベルを組み合わせたインテントドリフト対応の報酬を通じて、多ターンジェイルブレイクにおける有害な意図を保ちます。
参考スコア（独自算出の注目度）: 53.97948802255959
License: http://creativecommons.org/licenses/by/4.0/
Abstract: Multi-turn jailbreaks capture the real threat model for safety-aligned chatbots, where single-turn attacks are merely a special case. Yet existing approaches break under exploration complexity and intent drift. We propose SEMA, a simple yet effective framework that trains a multi-turn attacker without relying on any existing strategies or external data. SEMA comprises two stages. Prefilling self-tuning enables usable rollouts by fine-tuning on non-refusal, well-structured, multi-turn adversarial prompts that are self-generated with a minimal prefix, thereby stabilizing subsequent learning. Reinforcement learning with intent-drift-aware reward trains the attacker to elicit valid multi-turn adversarial prompts while maintaining the same harmful objective. We anchor harmful intent in multi-turn jailbreaks via an intent-drift-aware reward that combines intent alignment, compliance risk, and level of detail. Our open-loop attack regime avoids dependence on victim feedback, unifies single- and multi-turn settings, and reduces exploration complexity. Across multiple datasets, victim models, and jailbreak judges, our method achieves state-of-the-art (SOTA) attack success rates (ASR), outperforming all single-turn baselines, manually scripted and template-driven multi-turn baselines, as well as our SFT (Supervised Fine-Tuning) and DPO (Direct Preference Optimization) variants. For instance, SEMA performs an average $80.1\%$ ASR@1 across three closed-source and open-source victim models on AdvBench, 33.9% over SOTA. The approach is compact, reproducible, and transfers across targets, providing a stronger and more realistic stress test for large language model (LLM) safety and enabling automatic redteaming to expose and localize failure modes. Our code is available at: https://github.com/fmmarkmq/SEMA.
Abstract（参考訳）: マルチターンジェイルブレイクは、単一のターン攻撃が特別なケースである、安全に対応するチャットボットの真の脅威モデルをキャプチャする。しかし、既存のアプローチは、探索の複雑さと意図の漂流で壊れる。既存の戦略や外部データに頼ることなく、マルチターン攻撃者を訓練する、シンプルで効果的なフレームワークSEMAを提案する。 SEMAは2つのステージから構成される。自己調整を準備することで、最小限のプレフィックスで自己生成される非拒否的で、構造化された、多ターンの逆転プロンプトを微調整することで、使用可能なロールアウトを可能にし、その後の学習を安定化することができる。インテント・ドリフト・アウェア・報酬による強化学習は、攻撃者が同じ有害な目的を維持しつつ、有効なマルチターンの敵のプロンプトを引き出すよう訓練する。私たちは、意図の整合性、コンプライアンスリスク、詳細レベルを組み合わせたインテントドリフト対応の報酬を通じて、多ターンジェイルブレイクにおける有害な意図を保ちます。我々のオープンループ攻撃システムは、被害者のフィードバックへの依存を回避し、シングルターンとマルチターンの設定を統一し、探索の複雑さを低減する。複数のデータセット、被害者モデル、およびジェイルブレイクの判定者に対して、我々の手法は、最先端(SOTA)攻撃成功率(ASR)を達成し、シングルターンベースライン、手動スクリプト、テンプレート駆動のマルチターンベースライン、SFT(Supervised Fine-Tuning)およびDPO(Direct Preference Optimization)の亜種よりも優れたパフォーマンスを実現している。例えば、SEMAはAdvBench上で3つのクローズドソースおよびオープンソース犠牲者モデルに対して平均80.1\%$ ASR@1を実行し、SOTAでは33.9%である。このアプローチはコンパクトで再現可能で、ターゲット間での転送が可能で、大きな言語モデル(LLM)の安全性に対してより強力で現実的なストレステストを提供し、自動再チームの障害モードの公開とローカライズを可能にする。私たちのコードは、https://github.com/fmmarkmq/SEMA.comで利用可能です。

論文の概要: SEMA: Simple yet Effective Learning for Multi-Turn Jailbreak Attacks

関連論文リスト