論文の概要: DeepSeek Robustness Against Semantic-Character Dual-Space Mutated Prompt Injection
- arxiv url: http://arxiv.org/abs/2604.12548v1
- Date: Tue, 14 Apr 2026 10:20:15 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-04-15 19:11:32.393213
- Title: DeepSeek Robustness Against Semantic-Character Dual-Space Mutated Prompt Injection
- Title(参考訳): Semantic-Character Dual-Space Mutated Prompt Injection に対するディープシークロバスト性
- Authors: Junyu Ren, Xingjian Pan, Wensheng Gan, Philip S. Yu,
- Abstract要約: 本稿では,プロンプトインジェクションに対するロバスト性を評価するためのセマンティックキャラクタであるPromptFuzz-SCを提案する。
Epsilon-greedy 探索とヒルクライミングの改良を組み合わせたハイブリッド探索手法を採用し,高品質な対向プロンプトを効率的に発見する。
DeepSeekの実験結果によると、二重空間変異は攻撃性能が最強であることが示されている。
- 参考スコア(独自算出の注目度): 45.67420390185547
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Prompt injection has emerged as a critical security threat to large language models (LLMs), yet existing studies predominantly focus on single-dimensional attack strategies, such as semantic rewriting or character-level obfuscation, which fail to capture the combined effects of multi-space perturbations in realistic scenarios. In addition, systematic black-box robustness evaluations of recent Chinese LLMs, such as DeepSeek, remain limited. To address these gaps, we propose PromptFuzz-SC, a semantic-character dual-space mutation framework for evaluating LLM robustness against prompt injection. The framework integrates semantic transformations (e.g., paraphrasing and word-order perturbation) with character-level obfuscation (e.g., zero-width insertion and encoding-based mutation), forming a unified and extensible mutation operator library. A hybrid search strategy combining epsilon-greedy exploration and hill-climbing refinement is adopted to efficiently discover high-quality adversarial prompts. We further introduce a unified evaluation protocol based on three metrics: misuse success rate (MSR), Average Queries to Success (AQS), and Stealth. Experimental results on DeepSeek demonstrate that dual-space mutation achieves the strongest overall attack performance among the evaluated strategies, attaining the highest mean MSR (0.189), peak MSR (0.375), and mean Stealth. Compared with semantic-only and character-only mutation, it improves mean MSR by 12.5% and 5.6%, respectively. While not consistently minimizing query cost, the proposed method achieves competitive best-case efficiency and maintains strong imperceptibility, indicating a more favorable balance between attack effectiveness and concealment. These findings highlight the importance of composite mutation strategies for robust red-teaming of LLMs and provide practical insights for the design of multi-layer defense mechanisms.
- Abstract(参考訳): プロンプトインジェクションは、大規模言語モデル(LLM)にとって重要なセキュリティ脅威として現れてきたが、既存の研究は、セマンティックリライトやキャラクタレベルの難読化のような1次元攻撃戦略に主に焦点を絞っている。
さらに、DeepSeekのような最近の中国のLLMの体系的ブラックボックスロバストネス評価は限定的である。
これらのギャップに対処するため,本論文では,PLMのロバスト性をインジェクションに対して評価するためのセマンティック・キャラクタ・デュアルスペース変異フレームワークであるPromptFuzz-SCを提案する。
このフレームワークは、意味変換(例:パラフレージング、単語順の摂動)と文字レベルの難読化(例:ゼロ幅挿入、エンコードベース突然変異)を統合し、統一的で拡張可能な突然変異演算子ライブラリを形成する。
Epsilon-greedy 探索とヒルクライミングの改良を組み合わせたハイブリッド探索手法を採用し,高品質な対向プロンプトを効率的に発見する。
さらに、誤用成功率(MSR)、AQS(Average Queries to Success)、Stealth(Stealth)の3つの指標に基づく統一評価プロトコルを導入する。
DeepSeekの実験結果によると、二空間変異は評価戦略の中で最強の総合攻撃性能を達成し、最上位のMSR(0.189)、ピークのMSR(0.375)、平均ステルス(0.375)を達成した。
意味のみの突然変異と文字のみの突然変異と比較すると、平均MSRは平均で12.5%、平均で5.6%改善する。
クエリコストを一貫して最小化するわけではないが、提案手法は競合するベストケース効率を実現し、攻撃の有効性と隠蔽のバランスがより良好であることを示す。
これらの知見は,LLMのロバストなリピーティングにおける複合突然変異戦略の重要性を強調し,多層防御機構の設計のための実践的な洞察を提供する。
関連論文リスト
- Multi-Paradigm Collaborative Adversarial Attack Against Multi-Modal Large Language Models [67.45032003041399]
本稿では,MLLMに対する敵例の転送可能性を高めるために,MPCAttack(Multi-Paradigm Collaborative Attack)フレームワークを提案する。
MPCOは異なるパラダイム表現の重要性を適応的にバランスさせ、グローバルな最適化を導く。
我々のソリューションは、オープンソースおよびクローズドソースMLLMに対する標的および未ターゲットの攻撃において、常に最先端の手法よりも優れています。
論文 参考訳(メタデータ) (2026-03-05T06:01:26Z) - Bilevel Optimization for Covert Memory Tampering in Heterogeneous Multi-Agent Architectures (XAMT) [0.0]
マルチエージェントシステム(MAS)は本質的に異種であり、従来のマルチエージェント強化学習(MARL)とLLM(Large Language Model)エージェントアーキテクチャを統合する。
MARLの共有エクスペリエンス再生(ER)バッファとRAGエージェントの外部知識ベース(K)である。
本稿では,XAMT (Bilevel Optimization for Covert Memory Tampering in Heterogeneous Multi-Agent Architectures) を提案する。
論文 参考訳(メタデータ) (2025-12-15T23:04:48Z) - MIRAGE: Misleading Retrieval-Augmented Generation via Black-box and Query-agnostic Poisoning Attacks [47.46936341268548]
Retrieval-Augmented Generation (RAG)システムでは、コーパス中毒という致命的な攻撃面が導入されている。
我々は,厳格なブラックボックスとクエリ非依存環境のために設計された,新しい多段階毒素パイプラインであるMIRAGEを提案する。
大規模な実験により、MIRAGEは攻撃効果とステルスネスの両方において既存のベースラインを著しく上回っていることが示された。
論文 参考訳(メタデータ) (2025-12-09T06:38:16Z) - Exploring Semantic-constrained Adversarial Example with Instruction Uncertainty Reduction [51.50282796099369]
本稿では,多次元命令の不確実性低減フレームワークを開発し,意味論的に制約された逆の例を生成する。
言語誘導サンプリングプロセスの予測により、設計したResAdv-DDIMサンプルにより最適化プロセスが安定化される。
セマンティック制約付き3次元逆数例の参照フリー生成を初めて実現した。
論文 参考訳(メタデータ) (2025-10-27T04:02:52Z) - LLAMA: Multi-Feedback Smart Contract Fuzzing Framework with LLM-Guided Seed Generation [56.84049855266145]
進化的突然変異戦略とハイブリッドテスト技術を統合したマルチフィードバックスマートコントラクトファジリングフレームワーク(LLAMA)を提案する。
LLAMAは、91%の命令カバレッジと90%のブランチカバレッジを達成すると同時に、148の既知の脆弱性のうち132が検出される。
これらの結果は、現実のスマートコントラクトセキュリティテストシナリオにおけるLAMAの有効性、適応性、実用性を強調している。
論文 参考訳(メタデータ) (2025-07-16T09:46:58Z) - PR-Attack: Coordinated Prompt-RAG Attacks on Retrieval-Augmented Generation in Large Language Models via Bilevel Optimization [13.751251342738225]
大規模言語モデル(LLM)は、幅広いアプリケーションで顕著な性能を示している。
それらはまた、時代遅れの知識や幻覚への感受性のような固有の制限も示している。
近年の取り組みはRAGベースのLLMのセキュリティに重点を置いているが、既存の攻撃方法は3つの重大な課題に直面している。
本稿では,少数の有毒テキストを知識データベースに導入する新しい最適化型攻撃であるPrompt-RAGアタック(PR-アタック)を提案する。
論文 参考訳(メタデータ) (2025-04-10T13:09:50Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。