論文の概要: The Salami Slicing Threat: Exploiting Cumulative Risks in LLM Systems
- arxiv url: http://arxiv.org/abs/2604.11309v1
- Date: Mon, 13 Apr 2026 11:12:30 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-04-14 20:13:16.492197
- Title: The Salami Slicing Threat: Exploiting Cumulative Risks in LLM Systems
- Title(参考訳): サラミスライシングの脅威: LLMシステムにおける累積リスクの爆発
- Authors: Yihao Zhang, Kai Wang, Jiangrong Wu, Haolin Wu, Yuxuan Zhou, Zeming Wei, Dongxian Wu, Xun Chen, Jun Sun, Meng Sun,
- Abstract要約: 大規模言語モデル(LLM)は、脱獄による重大なセキュリティリスクに直面している。
我々は、アライメント閾値を個別に回避する多数の低リスク入力を連鎖して動作するtextitSalami Slicing Riskを提案する。
本研究は,多ターンジェイルブレイクの広汎なリスクに対する批判的な洞察を与え,行動可能な緩和戦略を提供する。
- 参考スコア(独自算出の注目度): 25.286238948800033
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Large Language Models (LLMs) face prominent security risks from jailbreaking, a practice that manipulates models to bypass built-in security constraints and generate unethical or unsafe content. Among various jailbreak techniques, multi-turn jailbreak attacks are more covert and persistent than single-turn counterparts, exposing critical vulnerabilities of LLMs. However, existing multi-turn jailbreak methods suffer from two fundamental limitations that affect the actual impact in real-world scenarios: (a) As models become more context-aware, any explicit harmful trigger is increasingly likely to be flagged and blocked; (b) Successful final-step triggers often require finely tuned, model-specific contexts, making such attacks highly context-dependent. To fill this gap, we propose \textit{Salami Slicing Risk}, which operates by chaining numerous low-risk inputs that individually evade alignment thresholds but cumulatively accumulate harmful intent to ultimately trigger high-risk behaviors, without heavy reliance on pre-designed contextual structures. Building on this risk, we develop Salami Attack, an automatic framework universally applicable to multiple model types and modalities. Rigorous experiments demonstrate its state-of-the-art performance across diverse models and modalities, achieving over 90\% Attack Success Rate on GPT-4o and Gemini, as well as robustness against real-world alignment defenses. We also proposed a defense strategy to constrain the Salami Attack by at least 44.8\% while achieving a maximum blocking rate of 64.8\% against other multi-turn jailbreak attacks. Our findings provide critical insights into the pervasive risks of multi-turn jailbreaking and offer actionable mitigation strategies to enhance LLM security.
- Abstract(参考訳): 大規模言語モデル(LLM)は、ビルトインのセキュリティ制約を回避し、非倫理的または安全でないコンテンツを生成するためにモデルを操作するための、jailbreakingから顕著なセキュリティリスクに直面している。
さまざまなjailbreakテクニックの中で、マルチターンのjailbreak攻撃はシングルターンのjailbreak攻撃よりも隠蔽され、永続的であり、LLMの重大な脆弱性を露呈する。
しかし、既存のマルチターンジェイルブレイクメソッドは、現実のシナリオにおける実際の影響に影響を与える2つの基本的な制限に悩まされている。
(a) モデルがよりコンテキストに気付くようになると、明示的な有害なトリガーはフラグ付けされ、ブロックされる傾向にある。
b) 成功した最終段階のトリガーは、しばしば微調整されたモデル固有のコンテキストを必要とするため、そのような攻撃はコンテキストに依存しやすい。
このギャップを埋めるために,アライメントしきい値を個別に回避する多数の低リスク入力を連鎖して動作する「textit{Salami Slicing Risk}」を提案する。
このリスクに基づいて、複数のモデルタイプやモダリティに普遍的に適用可能な自動フレームワークであるSalami Attackを開発する。
厳密な実験は、様々なモデルやモダリティにまたがる最先端のパフォーマンスを実証し、GPT-4oとGeminiの攻撃成功率を90%以上達成し、現実世界のアライメント防御に対する堅牢性を実証している。
また,Salami攻撃を少なくとも44.8\%抑制し,他のマルチターンジェイルブレイク攻撃に対して最大ブロックレート64.8\%を達成するための防衛戦略も提案した。
本研究は,多ターンジェイルブレイクの広汎なリスクに対する批判的な洞察を与え,LCMの安全性を高めるための実用的な緩和戦略を提供する。
関連論文リスト
- DiffuGuard: How Intrinsic Safety is Lost and Found in Diffusion Large Language Models [50.21378052667732]
我々は、ステップ内およびステップ間ダイナミクスという2つの異なる次元にわたるジェイルブレイク攻撃に対して、dLLM脆弱性の詳細な分析を行う。
デュアルステージアプローチによる脆弱性に対処する,トレーニング不要な防御フレームワークであるDiffuGuardを提案する。
論文 参考訳(メタデータ) (2025-09-29T05:17:10Z) - GRAF: Multi-turn Jailbreaking via Global Refinement and Active Fabrication [55.63412213263305]
大規模言語モデルは、悪意のある目的のために誤用される可能性があるため、顕著な安全性のリスクを生じさせる。
そこで本研究では,各インタラクションにおける攻撃経路をグローバルに洗練する,新しいマルチターンジェイルブレーキング手法を提案する。
さらに、モデル応答を積極的に作成し、安全性に関する警告を抑えることにより、有害な出力を誘発する可能性を高める。
論文 参考訳(メタデータ) (2025-06-22T03:15:05Z) - Cannot See the Forest for the Trees: Invoking Heuristics and Biases to Elicit Irrational Choices of LLMs [83.11815479874447]
本研究では,人間の認知における認知的分解と偏見に触発された新しいジェイルブレイク攻撃フレームワークを提案する。
我々は、悪意のあるプロンプトの複雑さと関連バイアスを減らし、認知的分解を用いて、プロンプトを再編成する。
また、従来の二分的成功または失敗のパラダイムを超越したランキングベースの有害度評価指標も導入する。
論文 参考訳(メタデータ) (2025-05-03T05:28:11Z) - AutoAdv: Automated Adversarial Prompting for Multi-Turn Jailbreaking of Large Language Models [0.0]
大規模言語モデル(LLM)は、ジェイルブレイク攻撃の脆弱性を示し続けている。
本稿では,敵対的即時生成を自動化する新しいフレームワークであるAutoAdvを紹介する。
我々の攻撃は、有害なコンテンツ生成に対して最大86%のジェイルブレイク成功率を達成したことを示す。
論文 参考訳(メタデータ) (2025-04-18T08:38:56Z) - Foot-In-The-Door: A Multi-turn Jailbreak for LLMs [40.958137601841734]
主な課題はjailbreakで、敵はビルトインのセーフガードをバイパスして有害な出力を誘導する。
心理学的フット・イン・ザ・ドアの原則に着想を得て,新しいマルチターンジェイルブレイク法であるFITDを導入する。
提案手法は,中間的なブリッジプロンプトを通じてユーザクエリの悪意ある意図を段階的にエスカレートし,それ自身でモデル応答を調整し,有害な応答を誘導する。
論文 参考訳(メタデータ) (2025-02-27T06:49:16Z) - Layer-Level Self-Exposure and Patch: Affirmative Token Mitigation for Jailbreak Attack Defense [55.77152277982117]
私たちは、jailbreak攻撃から防御するために設計された方法であるLayer-AdvPatcherを紹介します。
私たちは、自己拡張データセットを通じて、大規模言語モデル内の特定のレイヤにパッチを適用するために、未学習の戦略を使用します。
我々の枠組みは、脱獄攻撃の有害性と攻撃の成功率を減らす。
論文 参考訳(メタデータ) (2025-01-05T19:06:03Z) - LLMs can be Dangerous Reasoners: Analyzing-based Jailbreak Attack on Large Language Models [21.02295266675853]
我々は,新たなブラックボックスジェイルブレイク攻撃手法,Analyzing-based Jailbreak (ABJ)を提案する。
ABJは2つの独立した攻撃経路から構成され、モデルのマルチモーダル推論機能を利用して安全機構をバイパスする。
我々の研究は、新しいタイプの安全リスクを明らかにし、モデルの推論プロセスにおける暗黙の脆弱性を軽減する緊急の必要性を強調します。
論文 参考訳(メタデータ) (2024-07-23T06:14:41Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。