論文の概要: RouteHijack: Routing-Aware Attack on Mixture-of-Experts LLMs
- arxiv url: http://arxiv.org/abs/2605.02946v1
- Date: Fri, 01 May 2026 11:54:55 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-06 19:35:43.526553
- Title: RouteHijack: Routing-Aware Attack on Mixture-of-Experts LLMs
- Title(参考訳): RouteHijack: 試験用LLMのルーティング・アウェア攻撃
- Authors: Zhiyuan Xu, Joseph Gardiner, Sana Belguith, Lichao Wu,
- Abstract要約: RouteHijackは、大規模言語モデル(LLM)のためのルーティング対応のジェイルブレイクである。
RouteHijackは、安全クリティカルで有害な専門家を特定するために、応答駆動のエキスパートローカライゼーションを実行する。
次に、安全の専門家を抑圧し、有害な専門家を奨励し、早期の拒絶を防ぐルーティング対応の目的で、敵の接尾辞を構築する。
- 参考スコア(独自算出の注目度): 9.24144060095413
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Safety alignment is critical for the responsible deployment of large language models (LLMs). As Mixture-of-Experts (MoE) architectures are increasingly adopted to scale model capacity, understanding their safety robustness becomes essential. Existing adversarial attacks, however, have notable limitations. Prompt-based jailbreaks rely on heuristic search and transfer poorly, model intervention methods require privileged access to internal representations, and optimization-based input attacks remain output-centric and are fundamentally limited to MoE models due to the non-differentiable routing mechanism. In this paper, we present RouteHijack, a routing-aware jailbreak for MoE LLMs. Our key insight is that safety behavior is concentrated in a small subset of experts, creating an opportunity to steer model behavior by influencing routing decisions through input optimization. Building on this observation, RouteHijack first performs response-driven expert localization to identify safety-critical and harmful experts by contrasting activations under safe refusals and harmful completions. It then constructs adversarial suffixes with a routing-aware objective that suppresses safety experts, promotes harmful experts, and prevents early-stage refusal during generation. At inference time, the optimized suffix is appended to a malicious prompt, requiring only input access. Across seven MoE LLMs, RouteHijack achieves a 69.3\% average attack success rate (ASR), outperforming prior optimization-based attack by $3.2\times$. RouteHijack also transfers zero-shot across five sibling MoE variants, raising average ASR from 27.7\% to 61.2\%, and further generalizes to three MoE-based VLMs, increasing average ASR from 2.47\% to 38.7\%. These findings expose a fundamental vulnerability in sparse expert architectures and highlight the need for defenses beyond output-level alignment.
- Abstract(参考訳): 安全性の整合性は、大規模言語モデル(LLM)のデプロイに責任を負う上で重要である。
モデルキャパシティをスケールするために、Mixture-of-Experts (MoE)アーキテクチャがますます採用されているため、その安全性の堅牢性を理解することが不可欠である。
しかし、既存の敵攻撃には顕著な制限がある。
プロンプトベースのジェイルブレイクはヒューリスティックな探索と転送に乏しく、モデル介入法は内部表現への特権的なアクセスを必要とし、最適化ベースの入力攻撃は出力中心のままであり、基本的には非微分可能なルーティング機構のためMoEモデルに限られる。
本稿では,MoE LLMのためのルーティング対応ジェイルブレイクであるRouteHijackを紹介する。
我々の重要な洞察は、安全行動は専門家の小さなサブセットに集中しており、入力最適化を通じてルーティング決定に影響を与えることにより、モデルの振る舞いを操る機会を生み出すことである。
この観察に基づいて、RouteHijackはまず、安全で有害な専門家を特定するために、安全な拒絶と有害な完了の下でのアクティベーションを対比することで、応答駆動の専門家のローカライゼーションを行う。
次に、安全の専門家を抑圧し、有害な専門家を奨励し、世代が早い段階での拒絶を防ぐルーティング対応の目的で、敵の接尾辞を構築する。
推論時に最適化された接尾辞は悪意のあるプロンプトに付加され、入力アクセスのみを必要とする。
7つのMOE LLMで、RouteHijackは69.3\%の平均攻撃成功率(ASR)を達成し、前回の最適化ベースの攻撃を3.2\times$で上回った。
また、RouteHijackは5つの姉妹機種でゼロショットを転送し、平均 ASR を 27.7 % から 61.2 % に引き上げ、さらに 3 つの MoE ベースの VLM に一般化し、平均 ASR を 2.47 % から 38.7 % に増やす。
これらの発見は、スパース専門家アーキテクチャの根本的な脆弱性を明らかにし、出力レベルのアライメントを超えた防御の必要性を強調している。
関連論文リスト
- MASCing: Configurable Mixture-of-Experts Behavior via Activation Steering Masks [12.70638634576904]
我々は、様々な安全シナリオにおけるMoEの振る舞いを、再トレーニングなしで柔軟に再構成できるフレームワークMASCingを提案する。
MASCingはLSTMベースのサロゲートモデルを使用して、層間ルーティングの依存関係をキャプチャし、ルーティングログを下流の動作にマップする。
次に、ステアリング行列を最適化し、行動関連の専門家回路を特定し、ルーティングゲートにステアリングマスクを適用して専門家の選択をオーバーライドする。
論文 参考訳(メタデータ) (2026-04-30T12:58:57Z) - T-MAP: Red-Teaming LLM Agents with Trajectory-aware Evolutionary Search [49.99459363244884]
提案手法は, 対向的プロンプトの発見を導くために, 実行トラジェクトリを利用するトラジェクトリ対応の進化探索手法であるT-MAPを提案する。
本手法は,安全ガードレールをバイパスするだけでなく,実際のツールインタラクションによる有害な目標を確実に実現するための攻撃の自動生成を可能にする。
論文 参考訳(メタデータ) (2026-03-21T12:33:34Z) - Large Language Lobotomy: Jailbreaking Mixture-of-Experts via Expert Silencing [14.891975420982504]
トレーニング不要でアーキテクチャに依存しない攻撃であるLarge Language Lobotomy (L$3$)を提案する。
L$3$は、拒絶と相関するルーティングパターンを学び、特定の専門家に安全行動の属性を与え、有害なアウトプットが生成されるまで、最も安全に関連する専門家を適応的に沈黙させる。
我々は8つの最先端オープンソースMoE LLMに対して3ドルの評価を行い、アダプティブエキスパートサイレンシングが平均攻撃成功率を7.3%から70.4%に引き上げ、86.3%まで向上し、事前トレーニングなしの成績を上回ったことを示す。
論文 参考訳(メタデータ) (2026-02-09T14:42:11Z) - GateBreaker: Gate-Guided Attacks on Mixture-of-Expert LLMs [24.327693899810615]
GateBreakerは、トレーニング不要で、軽量で、アーキテクチャに依存しない最初のアタックフレームワークです。
GateBreakerは、現代のMoE LLMの安全アライメントを推論時に妥協する。
本研究により,MoEの安全性はスパースルーティングによって調整された神経細胞の小さなサブセットに集中していることが判明した。
論文 参考訳(メタデータ) (2025-12-24T07:13:24Z) - Who Speaks for the Trigger? Dynamic Expert Routing in Backdoored Mixture-of-Experts Transformers [12.47462301643593]
大規模言語モデル (LLM) とMixture-of-Experts (MoE) アーキテクチャは、専門家として知られる専門職に入力を動的にルーティングすることで、優れたパフォーマンスと効率を達成する。
我々は,タスク結合型動的トリガ最適化と感性誘導型Top-Sエキスパートトレース機構を統合した,新しいバックドアフレームワークであるBadSwitchを提案する。
論文 参考訳(メタデータ) (2025-10-15T12:11:02Z) - Iterative Self-Tuning LLMs for Enhanced Jailbreaking Capabilities [50.980446687774645]
本稿では,対戦型LDMをジェイルブレイク能力に富んだ反復的自己調整プロセスであるADV-LLMを紹介する。
我々のフレームワークは,様々なオープンソース LLM 上で ASR を100% 近く達成しながら,逆接接尾辞を生成する計算コストを大幅に削減する。
Llama3のみに最適化されているにもかかわらず、GPT-3.5では99%のASR、GPT-4では49%のASRを達成している。
論文 参考訳(メタデータ) (2024-10-24T06:36:12Z) - WildGuard: Open One-Stop Moderation Tools for Safety Risks, Jailbreaks, and Refusals of LLMs [54.10865585773691]
LLM安全性のためのオープンで軽量なモデレーションツールであるWildGuardを紹介します。
WildGuardは、ユーザプロンプトにおける悪意のある意図の特定、モデルレスポンスの安全性リスクの検出、モデル拒絶率の決定という3つの目標を達成する。
論文 参考訳(メタデータ) (2024-06-26T16:58:20Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。