会员服务
攻击 · 越狱 · 隐写 · 图像模型 · 分解 ·
4 月 7 日
Reading Between the Pixels: An Inscriptive Jailbreak Attack on Text-to-Image Models
翻译:字里行间的隐写:文本到图像模型的铭文式越狱攻击
Zonghao Ying,Haowen Dai,Lianyu Hu,Zonglei Jing,Quanchen Zou,Yaodong Yang,Aishan Liu,Xianglong Liu
Zonghao Ying,Haowen Dai,Lianyu Hu,Zonglei Jing,Quanchen Zou,Yaodong Yang,Aishan Liu,Xianglong Liu

Modern text-to-image (T2I) models can now render legible, paragraph-length text, enabling a fundamentally new class of misuse. We identify and formalize the inscriptive jailbreak, where an adversary coerces a T2I system into generating images containing harmful textual payloads (e.g., fraudulent documents) embedded within visually benign scenes. Unlike traditional depictive jailbreaks that elicit visually objectionable imagery, inscriptive attacks weaponize the text-rendering capability itself. Because existing jailbreak techniques are designed for coarse visual manipulation, they struggle to bypass multi-stage safety filters while maintaining character-level fidelity. To expose this vulnerability, we propose Etch, a black-box attack framework that decomposes the adversarial prompt into three functionally orthogonal layers: semantic camouflage, visual-spatial anchoring, and typographic encoding. This decomposition reduces joint optimization over the full prompt space to tractable sub-problems, which are iteratively refined through a zero-order loop. In this process, a vision-language model critiques each generated image, localizes failures to specific layers, and prescribes targeted revisions. Extensive evaluations across 7 models on the 2 benchmarks demonstrate that Etch achieves an average attack success rate of 65.57% (peaking at 91.00%), significantly outperforming existing baselines. Our results reveal a critical blind spot in current T2I safety alignments and underscore the urgent need for typography-aware defense multimodal mechanisms.


翻译:现代文本到图像(T2I)模型已能生成可读的段落长度文本,从而引发了一类全新的滥用行为。我们识别并形式化了“铭文式越狱”攻击:攻击者迫使T2I系统在视觉上无害的场景中生成包含有害文本载荷(例如欺诈性文档)的图像。与诱发视觉上令人反感图像的传统“描绘式越狱”不同,铭文式攻击利用了模型自身的文本渲染能力。由于现有越狱技术针对粗粒度的视觉操控设计,它们难以在突破多阶段安全过滤器的同时保持字符级保真度。为揭示这一漏洞,我们提出了Etch——一种黑盒攻击框架,它将对抗性提示分解为三个功能正交的层级:语义伪装、视觉空间锚定和字体编码。这种分解将完整提示空间上的联合优化简化为可处理的子问题,并通过零阶循环迭代优化。在此过程中,视觉语言模型对每张生成图像进行评判,将失败定位到特定层级,并指定针对性的修正。在2个基准测试集上的7个模型上进行的广泛评估表明,Etch的平均攻击成功率达65.57%(峰值达91.00%),显著优于现有基线。我们的结果揭示了当前T2I安全对齐中的关键盲点,并凸显了开发具有字体感知能力的防御多模态机制的紧迫性。
0
下载
关闭预览

相关内容

大语言模型越狱攻击:模型、根因及其攻防演化
大语言模型越狱攻击:模型、根因及其攻防演化
专知会员服务
22+阅读 · 2025年4月28日
【CVPR2025】先获取后适配:挖掘文本‑图像生成模型在图像复原中的潜力
【CVPR2025】先获取后适配:挖掘文本‑图像生成模型在图像复原中的潜力
专知会员服务
11+阅读 · 2025年4月22日
大语言模型越狱攻击: 模型、根因及其攻防演化
大语言模型越狱攻击: 模型、根因及其攻防演化
专知会员服务
24+阅读 · 2025年2月16日
文本到图像合成:十年回顾
文本到图像合成:十年回顾
专知会员服务
31+阅读 · 2024年11月26日
《可信文本到图像扩散模型》最新综述
《可信文本到图像扩散模型》最新综述
专知会员服务
27+阅读 · 2024年9月30日
【CVPR2024】用于文本到图像生成的判别性探测和调整
【CVPR2024】用于文本到图像生成的判别性探测和调整
专知会员服务
15+阅读 · 2024年3月11日
Sora背后的技术,最新《可控生成与文本到图像扩散模型》综述
Sora背后的技术,最新《可控生成与文本到图像扩散模型》综述
专知会员服务
69+阅读 · 2024年3月9日
【AI+军事】附论文 《敏感还是不敏感?如何攻击和捍卫文件安全分类模型》
【AI+军事】附论文 《敏感还是不敏感?如何攻击和捍卫文件安全分类模型》
专知会员服务
19+阅读 · 2022年4月26日
恶意文档检测研究综述
专知会员服务
19+阅读 · 2021年6月10日
【综述】深度学习攻防对抗在图像数据、图数据以及文本数据上的应用,附29页PDF
【综述】深度学习攻防对抗在图像数据、图数据以及文本数据上的应用,附29页PDF
专知会员服务
49+阅读 · 2019年11月21日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
30秒让图片变裸照,使用无门槛,这个软件比Deepfake杀伤力更大
30秒让图片变裸照,使用无门槛,这个软件比Deepfake杀伤力更大
AI100
29+阅读 · 2019年6月28日
【GitHub项目推荐】文本分类最好的几个深度学习方法 TensorFlow 实践
【GitHub项目推荐】文本分类最好的几个深度学习方法 TensorFlow 实践
专知
39+阅读 · 2018年11月27日
基于深度学习的文本分类6大算法-原理、结构、论文、源码打包分享
基于深度学习的文本分类6大算法-原理、结构、论文、源码打包分享
深度学习与NLP
25+阅读 · 2018年7月18日
图像和文本的融合表示学习——Text2Image和Image2Text
图像和文本的融合表示学习——Text2Image和Image2Text
专知
125+阅读 · 2018年6月11日
【论文推荐】最新八篇图像描述生成相关论文—比较级对抗学习、正则化RNNs、深层网络、视觉对话、婴儿说话、自我检索
【论文推荐】最新八篇图像描述生成相关论文—比较级对抗学习、正则化RNNs、深层网络、视觉对话、婴儿说话、自我检索
专知
10+阅读 · 2018年4月12日
【论文推荐】最新6篇图像描述生成相关论文—语言为枢纽、细粒度、生成器、注意力机制、策略梯度优化、判别性目标
【论文推荐】最新6篇图像描述生成相关论文—语言为枢纽、细粒度、生成器、注意力机制、策略梯度优化、判别性目标
专知
11+阅读 · 2018年3月20日
【论文推荐】最新5篇图像描述生成(Image Caption)相关论文—情感、注意力机制、遥感图像、序列到序列、深度神经结构
【论文推荐】最新5篇图像描述生成(Image Caption)相关论文—情感、注意力机制、遥感图像、序列到序列、深度神经结构
专知
66+阅读 · 2018年1月31日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
微信OCR(1)——公众号图文识别中的文本检测
微信OCR(1)——公众号图文识别中的文本检测
微信AI
17+阅读 · 2017年11月22日
云计算环境中面向内容的密文检索关键技术研究
国家自然科学基金
0+阅读 · 2017年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
面向时空特性的社交网络推演攻击与隐私保护关键技术研究
国家自然科学基金
4+阅读 · 2015年12月31日
基于视觉上下文与文字显著性的复杂自然场景中文字检测研究
国家自然科学基金
1+阅读 · 2015年12月31日
即时通信中的隐蔽通信模型及方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于迁移学习的图像隐写分析新方法研究
国家自然科学基金
1+阅读 · 2015年12月31日
笔迹图像中关键词语过滤技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
脱机手写藏文字符识别研究
国家自然科学基金
0+阅读 · 2014年12月31日
TwinGate: Stateful Defense against Decompositional Jailbreaks in Untraceable Traffic via Asymmetric Contrastive Learning
Arxiv
0+阅读 · 4月30日
Self-Jailbreaking: Language Models Can Reason Themselves Out of Safety Alignment After Benign Reasoning Training
Arxiv
0+阅读 · 4月29日
CrossGuard: Safeguarding MLLMs against Joint-Modal Implicit Malicious Attacks
Arxiv
0+阅读 · 4月26日
BadGraph: A Backdoor Attack Against Latent Diffusion Model for Text-Guided Graph Generation
Arxiv
0+阅读 · 4月23日
ASTRA: An Automated Framework for Strategy Discovery, Retrieval, and Evolution for Jailbreaking LLMs
Arxiv
0+阅读 · 4月20日
Creo: From One-Shot Image Generation to Progressive, Co-Creative Ideation
Arxiv
0+阅读 · 4月15日
Detecting LLM-Assisted Academic Dishonesty using Keystroke Dynamics
Arxiv
0+阅读 · 4月14日
Jailbreaking Generative AI: Multivector Phishing Threats and Transformer based Defenses
Arxiv
0+阅读 · 4月1日
Safeguarding LLMs Against Misuse and AI-Driven Malware Using Steganographic Canaries
Arxiv
0+阅读 · 3月30日
Evolving Jailbreaks: Automated Multi-Objective Long-Tail Attacks on Large Language Models
Arxiv
0+阅读 · 3月20日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
攻击
越狱
隐写
图像模型
分解
最新内容
美国从乌克兰无人机战争中学习经验
美国从乌克兰无人机战争中学习经验
专知会员服务
7+阅读 · 6月21日
ICML 2026 | 面向视觉语言模型的语义鲁棒性认证
ICML 2026 | 面向视觉语言模型的语义鲁棒性认证
专知会员服务
5+阅读 · 6月21日
综述 | 智能体电子设计自动化:从“交接有效性”重新理解Agentic EDA
综述 | 智能体电子设计自动化:从“交接有效性”重新理解Agentic EDA
专知会员服务
7+阅读 · 6月21日
深入解读 Palantir AIP:全球最具争议的人工智能平台究竟如何运作
深入解读 Palantir AIP:全球最具争议的人工智能平台究竟如何运作
专知会员服务
19+阅读 · 6月20日
ICML 2026 | 多任务贝叶斯上下文学习:让 Transformer 在测试时显式适应新先验
ICML 2026 | 多任务贝叶斯上下文学习:让 Transformer 在测试时显式适应新先验
专知会员服务
5+阅读 · 6月19日
ACL 2026综述 | 大规模手语数据集:资源、基准与标注标准
ACL 2026综述 | 大规模手语数据集:资源、基准与标注标准
专知会员服务
8+阅读 · 6月19日
ICML 2026 Spotlight | SmoothSMoE:解析稀疏 MoE 路由不连续
ICML 2026 Spotlight | SmoothSMoE:解析稀疏 MoE 路由不连续
专知会员服务
7+阅读 · 6月18日
综述 | 周期表视角下的大模型推理:范式、方法与失败模式
综述 | 周期表视角下的大模型推理:范式、方法与失败模式
专知会员服务
9+阅读 · 6月18日
《廉价自杀式无人机战争的军事战略影响:乌克兰和伊朗案例研究》
《廉价自杀式无人机战争的军事战略影响:乌克兰和伊朗案例研究》
专知会员服务
13+阅读 · 6月18日
《面向反无人机作战的联邦式可解释射频–光电/红外情报融合:边缘人工智能优化、电子战韧性及分布式监视验证》
《面向反无人机作战的联邦式可解释射频–光电/红外情报融合:边缘人工智能优化、电子战韧性及分布式监视验证》
专知会员服务
12+阅读 · 6月18日
ICML 2026 | FR3D:解耦自车运动的未来动态三维重建世界模型
ICML 2026 | FR3D:解耦自车运动的未来动态三维重建世界模型
专知会员服务
8+阅读 · 6月17日
【伯克利博士论文】迈向可扩展与自我演进的大语言模型智能体
【伯克利博士论文】迈向可扩展与自我演进的大语言模型智能体
专知会员服务
13+阅读 · 6月17日
学习数据的几何:形状空间分析数学综述
学习数据的几何:形状空间分析数学综述
专知会员服务
10+阅读 · 6月17日
《现代防空系统综述:架构、传感器、拦截器及新兴威胁环境对基础设施受限防御环境的影响》2026最新长综述
《现代防空系统综述:架构、传感器、拦截器及新兴威胁环境对基础设施受限防御环境的影响》2026最新长综述
专知会员服务
24+阅读 · 6月17日
定向能反无人机系统最新发展动态
定向能反无人机系统最新发展动态
专知会员服务
12+阅读 · 6月17日
相关VIP内容
大语言模型越狱攻击:模型、根因及其攻防演化
大语言模型越狱攻击:模型、根因及其攻防演化
专知会员服务
22+阅读 · 2025年4月28日
【CVPR2025】先获取后适配:挖掘文本‑图像生成模型在图像复原中的潜力
【CVPR2025】先获取后适配:挖掘文本‑图像生成模型在图像复原中的潜力
专知会员服务
11+阅读 · 2025年4月22日
大语言模型越狱攻击: 模型、根因及其攻防演化
大语言模型越狱攻击: 模型、根因及其攻防演化
专知会员服务
24+阅读 · 2025年2月16日
文本到图像合成:十年回顾
文本到图像合成:十年回顾
专知会员服务
31+阅读 · 2024年11月26日
《可信文本到图像扩散模型》最新综述
《可信文本到图像扩散模型》最新综述
专知会员服务
27+阅读 · 2024年9月30日
【CVPR2024】用于文本到图像生成的判别性探测和调整
【CVPR2024】用于文本到图像生成的判别性探测和调整
专知会员服务
15+阅读 · 2024年3月11日
Sora背后的技术,最新《可控生成与文本到图像扩散模型》综述
Sora背后的技术,最新《可控生成与文本到图像扩散模型》综述
专知会员服务
69+阅读 · 2024年3月9日
【AI+军事】附论文 《敏感还是不敏感?如何攻击和捍卫文件安全分类模型》
【AI+军事】附论文 《敏感还是不敏感?如何攻击和捍卫文件安全分类模型》
专知会员服务
19+阅读 · 2022年4月26日
恶意文档检测研究综述
专知会员服务
19+阅读 · 2021年6月10日
【综述】深度学习攻防对抗在图像数据、图数据以及文本数据上的应用,附29页PDF
【综述】深度学习攻防对抗在图像数据、图数据以及文本数据上的应用,附29页PDF
专知会员服务
49+阅读 · 2019年11月21日
热门VIP内容
相关资讯
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
30秒让图片变裸照,使用无门槛,这个软件比Deepfake杀伤力更大
30秒让图片变裸照,使用无门槛,这个软件比Deepfake杀伤力更大
AI100
29+阅读 · 2019年6月28日
【GitHub项目推荐】文本分类最好的几个深度学习方法 TensorFlow 实践
【GitHub项目推荐】文本分类最好的几个深度学习方法 TensorFlow 实践
专知
39+阅读 · 2018年11月27日
基于深度学习的文本分类6大算法-原理、结构、论文、源码打包分享
基于深度学习的文本分类6大算法-原理、结构、论文、源码打包分享
深度学习与NLP
25+阅读 · 2018年7月18日
图像和文本的融合表示学习——Text2Image和Image2Text
图像和文本的融合表示学习——Text2Image和Image2Text
专知
125+阅读 · 2018年6月11日
【论文推荐】最新八篇图像描述生成相关论文—比较级对抗学习、正则化RNNs、深层网络、视觉对话、婴儿说话、自我检索
【论文推荐】最新八篇图像描述生成相关论文—比较级对抗学习、正则化RNNs、深层网络、视觉对话、婴儿说话、自我检索
专知
10+阅读 · 2018年4月12日
【论文推荐】最新6篇图像描述生成相关论文—语言为枢纽、细粒度、生成器、注意力机制、策略梯度优化、判别性目标
【论文推荐】最新6篇图像描述生成相关论文—语言为枢纽、细粒度、生成器、注意力机制、策略梯度优化、判别性目标
专知
11+阅读 · 2018年3月20日
【论文推荐】最新5篇图像描述生成(Image Caption)相关论文—情感、注意力机制、遥感图像、序列到序列、深度神经结构
【论文推荐】最新5篇图像描述生成(Image Caption)相关论文—情感、注意力机制、遥感图像、序列到序列、深度神经结构
专知
66+阅读 · 2018年1月31日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
微信OCR(1)——公众号图文识别中的文本检测
微信OCR(1)——公众号图文识别中的文本检测
微信AI
17+阅读 · 2017年11月22日
相关论文
TwinGate: Stateful Defense against Decompositional Jailbreaks in Untraceable Traffic via Asymmetric Contrastive Learning
Arxiv
0+阅读 · 4月30日
Self-Jailbreaking: Language Models Can Reason Themselves Out of Safety Alignment After Benign Reasoning Training
Arxiv
0+阅读 · 4月29日
CrossGuard: Safeguarding MLLMs against Joint-Modal Implicit Malicious Attacks
Arxiv
0+阅读 · 4月26日
BadGraph: A Backdoor Attack Against Latent Diffusion Model for Text-Guided Graph Generation
Arxiv
0+阅读 · 4月23日
ASTRA: An Automated Framework for Strategy Discovery, Retrieval, and Evolution for Jailbreaking LLMs
Arxiv
0+阅读 · 4月20日
Creo: From One-Shot Image Generation to Progressive, Co-Creative Ideation
Arxiv
0+阅读 · 4月15日
Detecting LLM-Assisted Academic Dishonesty using Keystroke Dynamics
Arxiv
0+阅读 · 4月14日
Jailbreaking Generative AI: Multivector Phishing Threats and Transformer based Defenses
Arxiv
0+阅读 · 4月1日
Safeguarding LLMs Against Misuse and AI-Driven Malware Using Steganographic Canaries
Arxiv
0+阅读 · 3月30日
Evolving Jailbreaks: Automated Multi-Objective Long-Tail Attacks on Large Language Models
Arxiv
0+阅读 · 3月20日
相关基金
云计算环境中面向内容的密文检索关键技术研究
国家自然科学基金
0+阅读 · 2017年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
面向时空特性的社交网络推演攻击与隐私保护关键技术研究
国家自然科学基金
4+阅读 · 2015年12月31日
基于视觉上下文与文字显著性的复杂自然场景中文字检测研究
国家自然科学基金
1+阅读 · 2015年12月31日
即时通信中的隐蔽通信模型及方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于迁移学习的图像隐写分析新方法研究
国家自然科学基金
1+阅读 · 2015年12月31日
笔迹图像中关键词语过滤技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
脱机手写藏文字符识别研究
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top