論文の概要: One Perturbation, Two Failure Modes: Probing VLM Safety via Embedding-Guided Typographic Perturbations
- arxiv url: http://arxiv.org/abs/2604.25102v1
- Date: Tue, 28 Apr 2026 01:21:47 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-04-29 16:49:17.650226
- Title: One Perturbation, Two Failure Modes: Probing VLM Safety via Embedding-Guided Typographic Perturbations
- Title(参考訳): 一つの摂動と2つの障害モード:埋め込み型タイポグラフィー摂動によるVLM安全性の探索
- Authors: Ravikumar Balakrishnan, Sanket Mendapara,
- Abstract要約: タイポグラフィープロンプトインジェクションは、画像に描画されたテキストを読み取る視覚言語モデル(VLM)の能力を利用する。
条件付き$ell_infty$摂動下で画像テキストの埋め込み類似性を最大化する方法を示す。
GPT-4o、Claude Sonnet 4.5、Mistral-Large-3、Qwen3-VLの実験では、最適化が可読性を回復し、安全性に配慮した拒絶を減らすことが確認された。
- 参考スコア(独自算出の注目度): 0.8116687935773981
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Typographic prompt injection exploits vision language models' (VLMs) ability to read text rendered in images, posing a growing threat as VLMs power autonomous agents. Prior work typically focus on maximizing attack success rate (ASR) but does not explain \emph{why} certain renderings bypass safety alignment. We make two contributions. First, an empirical study across four VLMs including GPT-4o and Claude, twelve font sizes, and ten transformations reveals that multimodal embedding distance strongly predicts ASR ($r{=}{-}0.71$ to ${-}0.93$, $p{<}0.01$), providing an interpretable, model agnostic proxy. Since embedding distance predicts ASR, reducing it should improve attack success, but the relationship is mediated by two factors: perceptual readability (whether the VLM can parse the text) and safety alignment (whether it refuses to comply). Second, we use this as a red teaming tool: we directly maximize image text embedding similarity under bounded $\ell_\infty$ perturbations via CWA-SSA across four surrogate embedding models, stress testing both factors without access to the target model. Experiments across five degradation settings on GPT-4o, Claude Sonnet 4.5, Mistral-Large-3, and Qwen3-VL confirm that optimization recovers readability and reduces safety aligned refusals as two co-occurring effects, with the dominant mechanism depending on the model's safety filter strength and the degree of visual degradation.
- Abstract(参考訳): タイポグラフィープロンプトインジェクションは、画像に描画されたテキストを読み取る視覚言語モデル(VLM)の能力を活用する。
以前の作業では、攻撃成功率(ASR)の最大化に重点を置いていたが、特定のレンダリングが安全アライメントをバイパスする理由を説明していない。
私たちは2つの貢献をします。
まず、GPT-4oとClaudeを含む4つのVLM、12のフォントサイズ、および10の変換に関する実証的研究により、マルチモーダル埋め込み距離は ASR$r{=}{-}0.71$ to ${-}0.93$, $p{<}0.01$) を強く予測し、解釈可能なモデルに依存しないプロキシを提供することが明らかになった。
埋め込み距離はASRを予測するため、攻撃の成功を改善する必要があるが、その関係は知覚的可読性(VLMがテキストを解析できるかどうか)と安全アライメント(従わないかどうか)の2つの要因によって仲介される。
次に、このツールをレッドチーム化ツールとして使用します: 境界付き$\ell_\infty$摂動をCWA-SSA経由でCWA-SSAを介して直接最大化し、ターゲットモデルにアクセスせずに両方の因子をストレステストします。
GPT-4o、Claude Sonnet 4.5、Mistral-Large-3、Qwen3-VLの5つの分解条件における実験では、最適化が可読性を回復し、2つの共起効果として安全に整合した拒絶を減少させることを確認した。
関連論文リスト
- Reading Between the Pixels: Linking Text-Image Embedding Alignment to Typographic Attack Success on Vision-Language Models [4.577407934990345]
本稿では,視覚言語モデル (VLM) に対するタイポグラフィー・プロンプト・インジェクション攻撃について検討する。
実際には、攻撃面は異種であり、様々なフォントサイズと多様な視覚条件の下で、敵対的なテキストが現れる。
論文 参考訳(メタデータ) (2026-04-14T06:59:27Z) - Multi-Faceted Attack: Exposing Cross-Model Vulnerabilities in Defense-Equipped Vision-Language Models [54.61181161508336]
MFA(Multi-Faceted Attack)は、防衛装備型ビジョンランゲージモデル(VLM)の一般的な安全性上の脆弱性を明らかにするフレームワークである。
MFAの中核となるコンポーネントはアテンション・トランスファー・アタック(ATA)であり、競合する目的を持ったメタタスク内に有害な命令を隠す。
MFAは58.5%の成功率を獲得し、既存の手法を一貫して上回っている。
論文 参考訳(メタデータ) (2025-11-20T07:12:54Z) - VERA-V: Variational Inference Framework for Jailbreaking Vision-Language Models [19.867040067010674]
本稿では,マルチモーダルなジェイルブレイク発見を,ペア化されたテキストイメージプロンプト上での連立後続分布学習として再放送する変分推論フレームワークVERA-Vを紹介する。
我々は、後方に近づいた軽量攻撃者を訓練し、多様なジェイルブレイクの効率的なサンプリングを可能にした。
HarmBenchとHADESベンチマークの実験では、VERA-Vは最先端のベースラインを一貫して上回っている。
論文 参考訳(メタデータ) (2025-10-20T17:12:10Z) - SaFeR-VLM: Toward Safety-aware Fine-grained Reasoning in Multimodal Models [66.71948519280669]
MLRM(Multimodal Large Reasoning Models)は、クロスモーダルな推論を示すが、しばしば敵のプロンプトによる安全性のリスクを増幅する。
既存の防御は主に出力レベルで動作し、推論プロセスを制約せず、モデルは暗黙のリスクに置かれる。
4つのコンポーネントを統合し,表面レベルのフィルタリングを超える動的かつ解釈可能な安全性決定をサポートするSaFeR-VLMを提案する。
論文 参考訳(メタデータ) (2025-10-08T10:39:12Z) - Retention Score: Quantifying Jailbreak Risks for Vision Language Models [60.48306899271866]
VLM(Vision-Language Models)はLarge Language Models (LLM)と統合され、マルチモーダル機械学習機能を強化する。
本研究の目的は, モデル安全コンプライアンスを損なう可能性のある脱獄攻撃に対するVLMのレジリエンスを評価し, 有害な出力をもたらすことにある。
逆入力摂動に対するVLMの頑健性を評価するために,textbfRetention Scoreと呼ばれる新しい指標を提案する。
論文 参考訳(メタデータ) (2024-12-23T13:05:51Z) - Dissecting Adversarial Robustness of Multimodal LM Agents [70.2077308846307]
我々は、VisualWebArena上に現実的な脅威モデルを用いて、200の敵タスクと評価スクリプトを手動で作成する。
我々は,クロボックスフロンティアLMを用いた最新のエージェントを,リフレクションやツリーサーチを行うエージェントを含む,壊すことに成功している。
AREを使用して、新しいコンポーネントの追加に伴うロバスト性の変化を厳格に評価しています。
論文 参考訳(メタデータ) (2024-06-18T17:32:48Z) - Emulated Disalignment: Safety Alignment for Large Language Models May Backfire! [65.06450319194454]
大きな言語モデル(LLM)は、人間との安全な会話を確保するために安全アライメントを行う。
本稿では,安全アライメントの反転が可能なトレーニングフリーアタック手法を提案する。
本手法をエミュレートした脱アライメント (ED) と呼ぶのは, このコントラスト分布からのサンプリングは, 安全報酬を最小限に抑えるため, 微調整の結果を確実にエミュレートするからである。
論文 参考訳(メタデータ) (2024-02-19T18:16:51Z) - FigStep: Jailbreaking Large Vision-Language Models via Typographic Visual Prompts [14.33139608409507]
We propose FigStep, a simple yet effective black-box jailbreak algorithm against LVLMs。
FigStepは、禁止されたコンテンツをタイポグラフィーで画像に変換し、安全アライメントをバイパスする。
我々の研究は、現在のLVLMがジェイルブレイク攻撃に対して脆弱であることを明らかにし、新しいモダリティ間の安全アライメント技術の必要性を強調している。
論文 参考訳(メタデータ) (2023-11-09T18:59:11Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。