ImgTrojan: Jailbreaking Vision-Language Models with ONE Image

要約

大規模言語モデル (LLM) と人間の価値観の整合性への関心が高まっています。
ただし、ビジョン モジュールまたはビジョン言語モデル (VLM) との統合の安全性の問題は、比較的研究されていないままです。
この論文では、ユーザーが有害な命令を入力したときに VLM の安全バリアをバイパスすることを目的とした、VLM に対する新しいジェイルブレイク攻撃を提案します。
ポイズニングされた (画像、テキスト) データ ペアがトレーニング データに含まれているシナリオが想定されます。
元のテキストキャプションを悪意のあるジェイルブレイクプロンプトに置き換えることにより、私たちのメソッドは毒された画像を使用してジェイルブレイク攻撃を実行できます。
さらに、毒の比率と訓練可能なパラメータの位置が攻撃の成功率に及ぼす影響を分析します。
評価のために、攻撃の成功率とステルス性を定量化する 2 つの指標を設計しました。
厳選された有害な命令のリストとともに、攻撃の有効性を測定するためのベンチマークが提供されます。
ベースライン手法と比較することで、攻撃の有効性を実証します。

要約(オリジナル)

There has been an increasing interest in the alignment of large language models (LLMs) with human values. However, the safety issues of their integration with a vision module, or vision language models (VLMs), remain relatively underexplored. In this paper, we propose a novel jailbreaking attack against VLMs, aiming to bypass their safety barrier when a user inputs harmful instructions. A scenario where our poisoned (image, text) data pairs are included in the training data is assumed. By replacing the original textual captions with malicious jailbreak prompts, our method can perform jailbreak attacks with the poisoned images. Moreover, we analyze the effect of poison ratios and positions of trainable parameters on our attack’s success rate. For evaluation, we design two metrics to quantify the success rate and the stealthiness of our attack. Together with a list of curated harmful instructions, a benchmark for measuring attack efficacy is provided. We demonstrate the efficacy of our attack by comparing it with baseline methods.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google