論文の概要: VisInject: Disruption != Injection -- A Dual-Dimension Evaluation of Universal Adversarial Attacks on Vision-Language Models
- arxiv url: http://arxiv.org/abs/2605.01449v1
- Date: Sat, 02 May 2026 13:56:50 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-05 20:33:49.778648
- Title: VisInject: Disruption != Injection -- A Dual-Dimension Evaluation of Universal Adversarial Attacks on Vision-Language Models
- Title(参考訳): Vis Inject: Disruption != Injection -- 視覚・言語モデルに対するユニバーサル・ディメンジョン・アタックの2次元評価
- Authors: Pang Liu, Yingjie Lao,
- Abstract要約: 普遍的敵攻撃は60-80%の範囲で攻撃の成功率で報告されている。
i)モデルの出力が乱れ(影響)、(ii)攻撃者の選択したターゲット概念が実際に放出された(Precise Injection)。
21のユニバーサルイメージ、147の敵対的な写真、6,615のレスポンスペア、v3のデュアル軸判定結果、および抱きしめるface.co/datasets/jeffliulab/visinjectのキャッシュです。
- 参考スコア(独自算出の注目度): 15.373620817510727
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Universal adversarial attacks on aligned multimodal large language models are increasingly reported with attack success rates in the 60-80% range, suggesting the visual modality is highly vulnerable to imperceptible perturbations as a prompt-injection channel. We argue that this number conflates two distinct events: (i) the model's output was perturbed (Influence), and (ii) the attacker's chosen target concept was actually emitted (Precise Injection). We compose two existing techniques -- Universal Adversarial Attack and AnyAttack -- under an $L_{inf}$ budget of 16/255, and we add a dual-axis evaluation: a deterministic Ratcliff-Obershelp drift score for Influence (programmatic baseline) plus a 4-tier ordinal categorical none/weak/partial/confirmed for Precise Injection. The judge is DeepSeek-V4-Pro in thinking mode, calibrated against Claude Opus 4.7 with Cohen's $κ$ = 0.77 on the injection axis (substantial agreement); the entire 4475-entry SHA-256 input cache ships with the dataset so reviewers can re-derive paper numbers bit-exact without an API key. Across 6615 pairs over four open VLMs, seven attack prompts, and seven test images, the two axes diverge by roughly 90$\times$: 66.4% of pairs are programmatically disturbed (LLM-judged 46.6% at the substantial-or-complete tier), but only 0.756% (50/6615) reach any non-none injection tier and only 0.030% (2/6615) verbatim. The few injections that do land cluster on screenshot- or document-style carriers whose semantics already invite text transcription. BLIP-2 shows \emph{zero detectable drift} at $L_{inf}$ = 16/255 across all 2205 pairs even when used as a Stage-1 surrogate. We release the full dataset -- 21 universal images, 147 adversarial photos, 6,615 response pairs, the v3 dual-axis judge results, and the cache at huggingface.co/datasets/jeffliulab/visinject.
- Abstract(参考訳): 協調型マルチモーダル大言語モデルに対する普遍的敵対的攻撃は、60-80%の範囲での攻撃成功率で報告され、視覚的モダリティは、即時注入チャネルとしての知覚できない摂動に対して非常に脆弱であることが示唆されている。
この数は2つの異なる事象を混同していると我々は主張する。
(i)モデルの出力が乱れ(影響)、
(ii)攻撃者の選択した目標概念が実際に放出された(Precise Injection)。
従来の手法であるユニバーサル・アタックとAnyAttackの2つを16/255ドルの予算で構成し、決定論的ラトクリフ・オーバーシェルプドリフトスコア(プログラムベースライン)と4階層のオーディナル・カテゴリ・ノー/弱/偏差/精密インジェクション(Precise Injection)という2軸評価を加えた。
審査員は思考モードのDeepSeek-V4-Proで、Claude Opus 4.7に対してコーエンのκ$ = 0.77のインジェクション軸(実質的な合意)で校正し、4475エントリのSHA-256入力キャッシュはデータセットと共に出荷され、レビュアーはAPIキーなしで紙番号をビット実行することができる。
4つのオープンなVLMと7つのアタックプロンプトと7つのテストイメージにまたがる6615対の2つの軸は、およそ90$\times$:66.4%のペアがプログラム的に乱れ(LLM-judged 46.6%)、0.756% (50/6615) しか非ノン注入層に到達せず、わずか0.030% (2/6615) である。
スクリーンショットやドキュメントスタイルのキャリアにランドクラスタを実行する数少ないインジェクションは、セマンティクスがすでにテキストの書き起こしを招待している。
BLIP-2は、ステージ1のサロゲートとしても、すべての2205対に対して$L_{inf}$ = 16/255で \emph{zero 検出可能なドリフトを示す。
21のユニバーサルイメージ、147の敵対的な写真、6,615のレスポンスペア、v3の二重軸判定結果、および抱きしめるface.co/datasets/jeffliulab/visinjectにおけるキャッシュを含む完全なデータセットをリリースします。
関連論文リスト
- One Perturbation, Two Failure Modes: Probing VLM Safety via Embedding-Guided Typographic Perturbations [0.8116687935773981]
タイポグラフィープロンプトインジェクションは、画像に描画されたテキストを読み取る視覚言語モデル(VLM)の能力を利用する。
条件付き$ell_infty$摂動下で画像テキストの埋め込み類似性を最大化する方法を示す。
GPT-4o、Claude Sonnet 4.5、Mistral-Large-3、Qwen3-VLの実験では、最適化が可読性を回復し、安全性に配慮した拒絶を減らすことが確認された。
論文 参考訳(メタデータ) (2026-04-28T01:21:47Z) - Beyond Pattern Matching: Seven Cross-Domain Techniques for Prompt Injection Detection [0.0]
本研究は,大言語以外の分野から特定のメカニズムを移植する7つの検出手法を提案する。
7つのテクニックのうち3つは、プロンプトシールドv0.4.1リリース(Apache 2.0)で実装され、6つのデータセットにわたる4つの設定アブレーションで評価されている。
論文 参考訳(メタデータ) (2026-04-20T13:27:05Z) - VeriX-Anon: A Multi-Layered Framework for Mathematically Verifiable Outsourced Target-Driven Data Anonymization [0.0]
VeriX-Anonは、オープンソースのターゲット駆動k匿名化のための多層検証フレームワークである。
認証決定木のメルクル式ハッシュによる決定論的検証、ランダムフォレスト決定境界付近の境界センチネルによる確率的検証、および暗号識別子による正確な重複性ツインズの組み合わせである。
12のシナリオのうち11の偏差を正しく検出した。
論文 参考訳(メタデータ) (2026-04-14T08:22:18Z) - Re-Mask and Redirect: Exploiting Denoising Irreversibility in Diffusion Language Models [0.0]
拡散言語モデル(dLLM)における安全性の整合性は、単一の負荷を持つ仮定に依存している。
コミットされた拒絶トークンを再マッシングし,短い肯定的接頭辞を注入することにより,HarmBench上で74~82%のASRが得られることを示す。
我々はこの攻撃をTrajHijackと呼び、これはdLLMに対する最初の軌道レベルの攻撃であり、計算を必要とせず、SFTモデルと優先最適化(VRPO)モデルにまたがって一般化する。
論文 参考訳(メタデータ) (2026-03-17T02:24:37Z) - How Vulnerable Are AI Agents to Indirect Prompt Injections? Insights from a Large-Scale Public Competition [48.32744727426218]
LLMベースのエージェントは、電子メール、ドキュメント、コードリポジトリなどの外部データソースを処理する高利得設定にますますデプロイされている。
これにより間接的なプロンプトインジェクション攻撃が発生し、外部コンテンツに埋め込まれた敵の命令は、ユーザの意識なしにエージェントの動作を操作できる。
この2つの目的を3つのエージェント設定で評価した。
論文 参考訳(メタデータ) (2026-03-16T14:49:36Z) - VisualLeakBench: Auditing the Fragility of Large Vision-Language Models against PII Leakage and Social Engineering [14.756677328512907]
VisualLeakBenchは、OCRインジェクションとContextual PII Leakageに対してLVLMを監査するための評価スイートである。
8種類のPII型を持つ合成逆画像1,000枚を用いて,実世界の実画像50枚に検証を行った。
我々は、再現可能な堅牢性と、デプロイメント関連視覚言語システムの安全性評価のためのデータセットとコードをリリースする。
論文 参考訳(メタデータ) (2026-03-11T05:47:24Z) - AdvQDet: Detecting Query-Based Adversarial Attacks with Adversarial Contrastive Prompt Tuning [93.77763753231338]
CLIP画像エンコーダを微調整し、2つの中間対向クエリに対して同様の埋め込みを抽出するために、ACPT(Adversarial Contrastive Prompt Tuning)を提案する。
我々は,ACPTが7つの最先端クエリベースの攻撃を検出できることを示す。
また,ACPTは3種類のアダプティブアタックに対して堅牢であることを示す。
論文 参考訳(メタデータ) (2024-08-04T09:53:50Z) - T2IShield: Defending Against Backdoors on Text-to-Image Diffusion Models [70.03122709795122]
バックドア攻撃の検出, 局所化, 緩和のための総合防御手法T2IShieldを提案する。
バックドアトリガーによって引き起こされた横断アテンションマップの「アシミレーション現象」を見いだす。
バックドアサンプル検出のために、T2IShieldは計算コストの低い88.9$%のF1スコアを達成している。
論文 参考訳(メタデータ) (2024-07-05T01:53:21Z) - WR-ONE2SET: Towards Well-Calibrated Keyphrase Generation [57.11538133231843]
キーワード生成は、入力文書を要約する短いフレーズを自動的に生成することを目的としている。
最近登場したONE2SETパラダイムは、キーフレーズをセットとして生成し、競争性能を達成した。
本稿では, ONE2SET を拡張した WR-ONE2SET を提案する。
論文 参考訳(メタデータ) (2022-11-13T09:56:24Z) - Sparse and Imperceptible Adversarial Attack via a Homotopy Algorithm [93.80082636284922]
少数の敵対的攻撃は、数ピクセルを摂動するだけでディープ・ネットワーク(DNN)を騙すことができる。
近年の取り組みは、他の等級のl_infty摂動と組み合わせている。
本稿では,空間的・神経的摂動に対処するホモトピーアルゴリズムを提案する。
論文 参考訳(メタデータ) (2021-06-10T20:11:36Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。