論文の概要: Adaptive Prompt Embedding Optimization for LLM Jailbreaking
- arxiv url: http://arxiv.org/abs/2604.24983v1
- Date: Mon, 27 Apr 2026 20:39:08 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-04-29 16:49:17.592911
- Title: Adaptive Prompt Embedding Optimization for LLM Jailbreaking
- Title(参考訳): LLM脱獄における適応型プロンプト埋め込み最適化
- Authors: Miles Q. Li, Benjamin C. M. Fung, Boyang Li, Radin Hamidi Rad, Ebrahim Bagheri,
- Abstract要約: 本稿では,従来のプロンプトトークンの埋め込みを直接最適化するマルチラウンド・ホワイトボックス・ジェイルブレイクであるPrompt Embedding Optimization (PEO)を提案する。
PEOは、連続的な埋め込み空間最適化と構造化された継続目標と適応的な障害中心のスケジュールを組み合わせる。
- 参考スコア(独自算出の注目度): 13.708559506391294
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Existing white-box jailbreak attacks against aligned LLMs typically append discrete adversarial suffixes to the user prompt, which visibly alters the prompt and operates in a combinatorial token space. Prior work has avoided directly optimizing the embeddings of the original prompt tokens, presumably because perturbing them risks destroying the prompt's semantic content. We propose Prompt Embedding Optimization (PEO), a multi-round white-box jailbreak that directly optimizes the embeddings of the original prompt tokens without appending any adversarial tokens, and show that the concern is unfounded: the optimized embeddings remain close enough to their originals that the visible prompt string is preserved exactly after nearest-token projection, and quantitative analysis shows the model's responses stay on topic for the large majority of prompts. PEO combines continuous embedding-space optimization with structured continuation targets and an adaptive failure-focused schedule. Counterintuitively, later PEO rounds can benefit from heuristic composite response scaffolds that are not natural standalone templates, yet ASR-Judge shows that the resulting gains are not merely empty formatting or scaffold-only outputs. Across two standard harmful-behavior benchmarks and competing white-box attacks spanning discrete suffix search, appended adversarial embeddings, and search-based adversarial generation, PEO outperforms all of them in our experiments.
- Abstract(参考訳): 既存のホワイトボックスのジェイルブレイク攻撃は、通常、ユーザプロンプトに個別の逆サフィックスを付加し、プロンプトを視覚的に変更し、組合せトークン空間で操作する。
以前の作業では、プロンプトのセマンティックコンテンツを破壊するリスクがあるため、オリジナルのプロンプトトークンの埋め込みを直接最適化することを避けてきた。
提案するPmpt Embedding Optimization (PEO) は, 従来のプロンプトトークンの埋め込みを直接最適化するマルチラウンド・ホワイトボックス・ジェイルブレイクであり, 対応するトークンを付加することなく, 対象が未確立であることを示し, 最適化されたエンベッドは, 最寄りのプロンプト文字列が最も近いプロンプト投影の直後に保存されるように, オリジナルに十分近いままであり, 定量的解析により, モデルの応答がほとんどのプロンプトのトピックに留まっていることを示す。
PEOは、連続的な埋め込み空間最適化と構造化された継続目標と適応的な障害中心スケジュールを組み合わせる。
逆に、後続のPEOラウンドは、自然なスタンドアロンテンプレートではないヒューリスティックな複合応答の足場から恩恵を受けることができるが、ASR-Judgeは、結果として得られる利益は単なる空のフォーマットや足場のみの出力であることを示している。
2つの標準的な有害行動ベンチマークと競合するホワイトボックス攻撃は、個別の接尾辞検索、追加の対向埋め込み、および検索ベースの対向生成にまたがって、PEOはこれらの全てより優れています。
関連論文リスト
- Diffusion LLMs are Natural Adversaries for any LLM [50.88535293540971]
資源集約的(逆)な最適化問題を非効率な暗黙的推論タスクに変換する新しいフレームワークを提案する。
我々の中核となる洞察は、事前訓練された非自己回帰的生成LDMは、迅速な探索のための強力なサロゲートとして機能できるということである。
生成したプロンプトは、さまざまなブラックボックスターゲットモデルに対して強い転送可能性を示す、低複雑で多様なジェイルブレイクであることがわかった。
論文 参考訳(メタデータ) (2025-10-31T19:04:09Z) - AutoPrompt: Automated Red-Teaming of Text-to-Image Models via LLM-Driven Adversarial Prompts [40.29708628615311]
AutoPrompTはブラックボックスフレームワークで、良心的なプロンプトのために、人間が読める敵の接尾辞を自動的に生成する。
本稿では,2次回避戦略を最適化フェーズに導入し,難易度に基づくフィルタとブラックリストワードフィルタの両方のバイパスを可能にする。
実験では、人間の可読性、耐フィルタ性のある対向プロンプトの優れた赤チーム性能を実証した。
論文 参考訳(メタデータ) (2025-10-28T03:32:14Z) - Universal and Transferable Adversarial Attack on Large Language Models Using Exponentiated Gradient Descent [1.1187085721899017]
大規模言語モデル(LLM)は、ますます重要なアプリケーションにデプロイされている。
LLMは、ユーザプロンプトに付加された対逆トリガーによって実現されたジェイルブレイク攻撃に対して脆弱なままである。
逆接接尾辞トークンの緩和されたワンホット符号化を直接最適化する本質的な最適化手法を提案する。
論文 参考訳(メタデータ) (2025-08-20T17:03:32Z) - Think Before You Accept: Semantic Reflective Verification for Faster Speculative Decoding [48.52389201779425]
投機的復号化は、軽量モデルを使用して複数のドラフトトークンを生成し、それらを並列に検証することで推論を加速する。
既存の検証手法は、意味的正確性を見越しながら、分布の整合性に大きく依存している。
我々は,学習自由でセマンティックなアプローチであるリフレクティブ検証を提案し,正確性と効率のトレードオフを改善する。
論文 参考訳(メタデータ) (2025-05-24T10:26:27Z) - GASP: Efficient Black-Box Generation of Adversarial Suffixes for Jailbreaking LLMs [3.7919737164481284]
本稿では,Jailbreakプロンプトを効率的に生成できる新しいフレームワークであるGenerative Adversarial Suffix Prompter(GASP)を紹介する。
我々は,GASPが自然な敵のプロンプトを生成でき,ベースラインよりもジェイルブレイクの成功を著しく改善し,トレーニング時間を短縮し,推論速度を加速できることを示す。
論文 参考訳(メタデータ) (2024-11-21T14:00:01Z) - AdvPrompter: Fast Adaptive Adversarial Prompting for LLMs [51.217126257318924]
大規模言語モデル(LLM)は、不適切または有害なコンテンツの生成につながるジェイルブレイク攻撃に対して脆弱である。
本稿では,AdvPrompter という別の LLM を用いて,人間可読な逆数プロンプトを数秒で生成する手法を提案する。
論文 参考訳(メタデータ) (2024-04-21T22:18:13Z) - DrAttack: Prompt Decomposition and Reconstruction Makes Powerful LLM Jailbreakers [74.7446827091938]
我々はjailbreak textbfAttack (DrAttack) のための自動プロンプト textbfDecomposition と textbfReconstruction フレームワークを導入する。
DrAttack には3つの重要な要素が含まれている: (a) プロンプトをサブプロンプトに分解する; (b) セマンティックに類似しているが無害な再組み立てデモで暗黙的にこれらのサブプロンプトを再構築する; (c) サブプロンプトのシンノニム検索する; サブプロンプトのシノニムを見つけることを目的としたサブプロンプトのシノニムを見つけること。
論文 参考訳(メタデータ) (2024-02-25T17:43:29Z) - Token-Level Adversarial Prompt Detection Based on Perplexity Measures
and Contextual Information [67.78183175605761]
大規模言語モデルは、敵の迅速な攻撃に影響を受けやすい。
この脆弱性は、LLMの堅牢性と信頼性に関する重要な懸念を浮き彫りにしている。
トークンレベルで敵のプロンプトを検出するための新しい手法を提案する。
論文 参考訳(メタデータ) (2023-11-20T03:17:21Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。