sistema: OPERATIVO
← volver a todos los hacks
JAILBREAK MEDIUM NEW

Sobrecarga de información: prompts densos de imagen-texto para jailbreak de LLM visuales

Un artículo de la NUS (julio de 2026) hace jailbreak a modelos de visión-lenguaje sobrecargándolos con composiciones recursivas de imagen y tipografía — 84 % de éxito en Gemini y GPT-4.1-mini, con prompts que se transfieren entre modelos.

2026-07-17 // 7 min affects: gpt-4.1-mini, gemini-2.5-flash, gemini-2.5-flash-lite, qwen3-vl, qwen2-vl, internvl3.5, llama-3.2-vision

¿Qué es esto?

El 3 de julio de 2026, Haoyu Zhang y Mohan Kankanhalli (National University of Singapore), junto con Yangyang Guo (Beihang University), publicaron en arXiv Overloading Large Vision-Language Models for Jailbreaking. El artículo presenta la sobrecarga de información (information overloading), una estrategia de jailbreak contra los modelos de visión-lenguaje (LVLM) — los sistemas multimodales ya integrados en asistentes personales, herramientas de análisis de documentos y agentes de navegador o de sistema operativo.

La mayoría de los jailbreaks recientes contra LVLM funcionan empujando la imagen fuera de distribución: ocultan la intención dañina en una forma visual poco habitual para que no coincida con los datos de alineamiento de seguridad del modelo. Los autores sostienen que este enfoque se está agotando, porque los modelos más recientes —con backbones de lenguaje más sólidos y mejor fusión multimodal— resisten cada vez mejor, y los trucos fuera de distribución se transfieren mal entre arquitecturas. Su alternativa toma el camino opuesto: en lugar de ocultar la petición, inunda al modelo con ella.

Cómo funciona

El principio es un argumento de recursos, no de disimulo. Un LVLM alineado produce un rechazo («Lo siento, pero no puedo ayudar con eso») con alta confianza cuando reconoce con claridad un par imagen-texto peligroso. La sobrecarga de información ataca esa confianza aumentando drásticamente la cantidad y la densidad del contenido que el modelo debe fusionar entre modalidades antes de poder decidir rechazar.

En concreto, el método combina tres ingredientes que el artículo apila por capas. Parte de una plantilla de texto refinada con instrucciones extensas y verbosas en lugar de una petición breve. Añade imágenes enriquecidas con tipografía —palabras clave y plantillas de reglas representadas como texto dentro de la propia imagen—, de modo que la intención solo se vuelve explícita después de que el modelo integra visión y lenguaje. Estos bloques de imagen-tipografía se disponen luego en composiciones recursivas en forma de árbol que se referencian entre sí, aumentando de forma exponencial la complejidad multimodal a procesar. No se requiere ruido adversario a nivel de píxel: el ataque se construye con composición ordinaria, lo que en parte explica su transferibilidad.

Los autores lo respaldan con una sonda de flujo de información, y no solo con tasas de éxito. Al pasar de prompts simples a complejos, la tasa de rechazo del modelo baja y la entropía del primer token de salida sube — es decir, el modelo se vuelve mensurablemente menos seguro de producir una palabra de rechazo una vez sobrecargado. Ese es el mecanismo que se reivindica: una entrada intermodal densa diluye la señal de seguridad en lugar de eludir un filtro concreto. El artículo documenta este efecto y su sonda de diagnóstico; no necesita un payload reproducible para sostener su tesis, y aquí no se proporciona ninguno.

Por qué importa

Las cifras reportadas son altas y, sobre todo, portables. En modelos de código abierto (Qwen3-VL, Qwen2-VL, InternVL3.5, InternVL2, Llama 3.2-Vision), el método alcanza una tasa media de éxito del 88,6 %, superando a la mejor referencia en unos 33 puntos. Frente a modelos comerciales —Gemini-2.5-flash, su variante lite y GPT-4.1-mini— promedia un 84,0 %, casi 49 puntos por encima del mejor método anterior. El resultado de transferencia es el que los integradores deberían tener presente: prompts optimizados en un modelo sustituto de código abierto (Qwen2-VL) alcanzan el 87,9 % en Llama 3.2-Vision, donde la mejor referencia se quedaba en el 39,9 %.

La transferibilidad convierte un resultado de laboratorio en un riesgo concreto. Significa que un atacante nunca necesita acceder a los pesos o internos de un modelo propietario: puede calibrar una composición contra un modelo de pesos abiertos disponible libremente y luego trasladarla a un servicio comercial alojado. Y como la materia prima es contenido «visualmente rico» —capturas de pantalla, páginas web, documentos con formato, instrucciones imagen-texto diseñadas por personas—, la misma estructura que hace eficaz el ataque resulta, a primera vista, indistinguible de los documentos densos legítimos que estos modelos se venden como capaces de leer. Es el mismo tema que la sobrecarga cognitiva por baja resolución y los jailbreaks textuales mediante poesía o estructura: la complejidad en sí misma, y no una cadena mágica, es la superficie de ataque.

Defensas

Filtre el texto extraído, no solo la imagen. Como la intención dañina se representa como tipografía dentro de la imagen, aplique OCR / extracción de texto a las entradas visuales y pase el texto recuperado por los mismos clasificadores de seguridad que usa con los prompts. Una intención oculta en una imagen no debe eludir su moderación del lado del texto.

Presupueste la complejidad multimodal. El ataque depende de composiciones de imagen-tipografía inusualmente densas y recursivas. Trate una densidad de texto incrustado anormalmente alta, un gran número de subimágenes apiladas o una estructura visual profundamente anidada como una señal de riesgo — limítela o degrádela, y considere un paso de revisión adicional antes de que un agente actúe sobre tales entradas.

Filtre las salidas de forma independiente de las entradas. La detección del lado de la entrada es justo lo que la sobrecarga derrota, así que la defensa en profundidad importa: una comprobación separada sobre la respuesta generada (¿contiene contenido prohibido?) no depende de lo compleja que fuera la entrada. Combine moderación de entrada y de salida.

Vigile la confianza de rechazo en tiempo de ejecución. La propia sonda de los autores sugiere un detector: una incertidumbre creciente en los tokens de rechazo bajo una entrada multimodal densa es una anomalía medible. Vigilar respuestas no rechazantes de baja confianza ante prompts densos de imagen-texto ayuda a detectar probables elusiones.

Haga red-teaming con complejidad, no solo con fuera de distribución. La robustez frente a imágenes fuera de distribución no implica robustez frente a la sobrecarga. Añada casos multimodales densos, cargados de tipografía y estructurados de forma recursiva a sus evaluaciones y a sus datos de alineamiento.

Limite lo que un modelo con jailbreak puede hacer. En despliegues agénticos, el mínimo privilegio reduce el radio de impacto: si una generación comprometida no puede alcanzar herramientas sensibles, archivos ni la red, un jailbreak exitoso produce texto en lugar de una acción.

Estado

ElementoDetalle
FuentearXiv:2607.02961v1, publicado el 3 de julio de 2026
AutoresHaoyu Zhang, Mohan Kankanhalli (NUS); Yangyang Guo (Beihang University)
ClaseJailbreak multimodal (imagen + texto); elusión del alineamiento de seguridad
ASR código abierto88,6 % prom. (Qwen3-VL, Qwen2-VL, InternVL3.5/2, Llama 3.2-Vision)
ASR comercial84,0 % prom. (Gemini-2.5-flash / -lite, GPT-4.1-mini)
Transferencia87,9 % en Llama 3.2-Vision desde un sustituto Qwen2-VL
NaturalezaDemostración de investigación; ningún código de explotación reproducido aquí

Sources