論文の概要: Break the Brake, Not the Wheel: Untargeted Jailbreak via Entropy Maximization
- arxiv url: http://arxiv.org/abs/2605.10764v1
- Date: Mon, 11 May 2026 15:59:02 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-12 23:28:50.96163
- Title: Break the Brake, Not the Wheel: Untargeted Jailbreak via Entropy Maximization
- Title(参考訳): 車輪ではなくブレーキを破る:エントロピーの最大化による未目標の脱獄
- Authors: Mengqi He, Xinyu Tian, Xin Shen, Shu Zou, Jinhong Ni, Zhaoyuan Yang, Weikang Li, Xuesong Li, Jing Zhang,
- Abstract要約: 視覚言語モデル(VLM)上の勾配に基づく普遍的イメージジェイルブレイクは、ほとんど、あるいは全くクロスモデル転送性を示しない。
提案するUntargeted Jailbreak via Entropy Maximization (UJEM)-KLは,これらの決定トークンにおけるエントロピーを最大化する軽量攻撃である。
- 参考スコア(独自算出の注目度): 21.835678525263262
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: Recent studies show that gradient-based universal image jailbreaks on vision-language models (VLMs) exhibit little or no cross-model transferability, casting doubt on the feasibility of transferable multimodal jailbreaks. We revisit this conclusion under a strictly untargeted threat model without enforcing a fixed prefix or response pattern. Our preliminary experiment reveals that refusal behavior concentrates at high-entropy tokens during autoregressive decoding, and non-refusal tokens already carry substantial probability mass among the top-ranked candidates before attack. Motivated by this finding, we propose Untargeted Jailbreak via Entropy Maximization(UJEM)-KL, a lightweight attack that maximizes entropy at these decision tokens to flip refusal outcomes, while stabilizing the remaining low-entropy positions to preserve output quality. Across three VLMs and two safety benchmarks, UJEM-KL achieves competitive white-box attack success rates and consistently improves transferability, while remaining effective under representative defenses. Our experimental results indicate that the limited transferability primarily stems from overly constrained optimization objectives.
- Abstract(参考訳): 近年の研究では、視覚言語モデル(VLM)上の勾配に基づく普遍的画像ジェイルブレイクが、多モードジェイルブレイクの可能性に疑念を抱くような、クロスモデル転送性はほとんど、あるいは全く示さないことが示されている。
我々は、固定されたプレフィックスや応答パターンを強制することなく、厳密な標的のない脅威モデルの下でこの結論を再考する。
予備実験では, 自己回帰復号の際には, 拒絶行動は高エントロピートークンに集中しており, 非拒絶トークンは攻撃前の上位候補のうち, かなりの確率質量を持つことがわかった。
本研究の目的は,これらの決定トークンにおけるエントロピーを最大化して拒否結果を反転させる軽量攻撃であるエントロピー最大化(UJEM)-KLによるアンターゲットド・ジェイルブレイクを提案し,残りの低エントロピー位置を安定化し,出力品質を維持することである。
3つのVLMと2つの安全ベンチマークで、UJEM-KLは競争力のあるホワイトボックス攻撃の成功率を達成し、代表防御下では有効でありながら、一貫して転送性を向上させる。
実験結果から, 過度に制約された最適化目標から, 移動可能性の制限が主な原因であることが示唆された。
関連論文リスト
- Fail-Closed Alignment for Large Language Models [4.205036273334146]
本研究では,大規模言語モデルの安全性向上のための設計原則として,フェールクロースアライメントを提案する。
本稿では、事前学習した拒絶方向を反復的に識別し、非難するプログレッシブアライメント・フレームワークを提案する。
メカニスティック解析により,本手法で訓練したモデルでは,プロンプトベースのジェイルブレイクが同時に抑制できない複数の因果的に独立な拒絶方向を符号化することを確認した。
論文 参考訳(メタデータ) (2026-02-19T00:33:35Z) - Few Tokens Matter: Entropy Guided Attacks on Vision-Language Models [22.510259484720212]
視覚言語モデル(VLM)は優れた性能を発揮するが、敵の攻撃に弱いままである。
自己回帰生成における重要な決定点である高エントロピートークンのごく一部が、出力軌跡を不均等に支配していることを示す。
有害な変換を伴う競合攻撃成功率(93-95%)を達成するエントロピーバンク誘導アドリアック(EGA)を提案する。
論文 参考訳(メタデータ) (2025-12-26T01:01:25Z) - RL-MTJail: Reinforcement Learning for Automated Black-Box Multi-Turn Jailbreaking of Large Language Models [60.201244463046784]
大規模な言語モデルは、ジェイルブレイク攻撃に弱い。
本稿では,ブラックボックスのマルチターンジェイルブレイクについて検討し,ブラックボックスモデルから有害なコンテンツを引き出すように攻撃者のLDMを訓練することを目的とした。
論文 参考訳(メタデータ) (2025-12-08T17:42:59Z) - One Token Embedding Is Enough to Deadlock Your Large Reasoning Model [91.48868589442837]
我々は, LRMの生成制御フローをハイジャックする資源枯渇手法であるDeadlock Attackを提案する。
提案手法は4つの先進LEMにおいて100%の攻撃成功率を達成する。
論文 参考訳(メタデータ) (2025-10-12T07:42:57Z) - bi-GRPO: Bidirectional Optimization for Jailbreak Backdoor Injection on LLMs [33.470999703070866]
既存のジェイルブレイクのトリガーを埋め込むアプローチは、一般化の貧弱さ、ステルスネスの妥協、文脈的ユーザビリティの低下といった制限に悩まされている。
ジェイルブレイクバックドア注入に適した新しいRLベースのフレームワークであるbi-GRPOを提案する。
論文 参考訳(メタデータ) (2025-09-24T05:56:41Z) - Cannot See the Forest for the Trees: Invoking Heuristics and Biases to Elicit Irrational Choices of LLMs [83.11815479874447]
本研究では,人間の認知における認知的分解と偏見に触発された新しいジェイルブレイク攻撃フレームワークを提案する。
我々は、悪意のあるプロンプトの複雑さと関連バイアスを減らし、認知的分解を用いて、プロンプトを再編成する。
また、従来の二分的成功または失敗のパラダイムを超越したランキングベースの有害度評価指標も導入する。
論文 参考訳(メタデータ) (2025-05-03T05:28:11Z) - CeTAD: Towards Certified Toxicity-Aware Distance in Vision Language Models [16.5022773312661]
本稿では,ジェイルブレイク攻撃に対する大規模視覚言語モデルの保護を目的とした,普遍的な認証防衛フレームワークを提案する。
まず、悪意のある応答と意図した応答のセマンティックな差異を定量化する新しい距離尺度を提案する。
そして, ランダム化スムーシングを用いて, 形式的堅牢性を保証するための回帰認証手法を考案する。
論文 参考訳(メタデータ) (2025-03-08T17:33:55Z) - Guiding not Forcing: Enhancing the Transferability of Jailbreaking Attacks on LLMs via Removing Superfluous Constraints [81.14852921721793]
本研究の目的は,勾配に基づくジェイルブレイク手法の伝達可能性を理解し,向上することである。
本稿では,トランスファービリティを解明し,過剰な制約を識別するための新しい概念的枠組みを提案する。
提案手法は, 安全レベルを18.4%から50.3%に変化させたターゲットモデル全体のトランスファー攻撃成功率(T-ASR)を増加させる。
論文 参考訳(メタデータ) (2025-02-25T07:47:41Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。