信息过载:用密集的图文提示越狱视觉大模型
新加坡国立大学 2026 年 7 月的论文通过递归式图像—排版布局对视觉语言模型发起越狱——在 Gemini 与 GPT-4.1-mini 上成功率达 84%,且提示可在不同模型间迁移。
这是什么?
2026 年 7 月 3 日,新加坡国立大学的 Haoyu Zhang、Mohan Kankanhalli 与北京航空航天大学的 Yangyang Guo 在 arXiv 上发表了 Overloading Large Vision-Language Models for Jailbreaking。论文提出了信息过载(information overloading),这是一种针对视觉语言模型(LVLM)的越狱策略——这类多模态系统如今已被嵌入到个人助手、文档分析工具以及浏览器与操作系统智能体之中。
近来大多数 LVLM 越狱都通过把图像推向分布之外来实现:将有害意图隐藏在不常见的视觉形式中,使其不匹配模型的安全对齐训练数据。作者认为这条路线正在走到尽头,因为更新的模型拥有更强的语言主干和更好的多模态融合,对其抵抗力越来越强,而分布外的技巧在不同架构之间几乎无法迁移。他们的替代方案走向相反的方向:不是隐藏请求,而是用请求去淹没模型。
工作原理
其核心是一个资源论证,而非伪装。对齐良好的 LVLM 在清楚识别出危险的图文对时,会以很高的置信度给出拒绝(“抱歉,我无法协助”)。信息过载正是通过大幅增加模型在决定拒绝之前必须跨模态融合的内容数量与密度,来攻击这种置信度。
具体而言,该方法组合了论文逐层搭建的三种要素。它以一份经过打磨、指令冗长而繁复的文本模板起步,而非简短请求。它加入排版增强的图像——把有害关键词与规则模板作为文字渲染在图像内部,使意图只有在模型融合视觉与语言之后才变得明确。随后,这些图像—排版块被排布进递归的树状布局中并相互引用,令需要处理的多模态复杂度呈指数级增长。整个过程无需像素级对抗噪声:攻击由普通的排版构图组成,这也是它能够迁移的部分原因。
作者不仅用成功率、还用一个信息流探针来佐证。当从简单提示切换到复杂提示时,模型的拒绝率下降,而首个输出 token 的熵值上升——也就是说,一旦被过载,模型在生成拒绝词方面变得明显更不确定。这就是论文所主张的机制:密集的跨模态输入稀释了安全信号,而不是绕过某个具体过滤器。论文记录了这一效应及其诊断探针;它无需可复现的攻击载荷即可支撑论点,此处也不提供任何载荷。
为何重要
论文报告的数字很高,更关键的是可迁移。在开源模型(Qwen3-VL、Qwen2-VL、InternVL3.5、InternVL2、Llama 3.2-Vision)上,该方法平均攻击成功率达到 88.6%,比最强基线高约 33 个百分点。面对商用模型——Gemini-2.5-flash、其 lite 变体以及 GPT-4.1-mini——平均达到 84.0%,比此前最佳方法高出近 49 个百分点。迁移结果尤其值得部署方深思:在开源替身模型(Qwen2-VL)上优化的提示,在 Llama 3.2-Vision 上达到 87.9%,而最强基线仅为 39.9%。
可迁移性把一个实验室结果变成了现实风险。它意味着攻击者无需访问专有模型的权重或内部结构:他们可以针对可自由获取的开源权重模型调校一套构图,再迁移到托管的商用服务上。而且由于原材料是”视觉丰富”的内容——截图、网页、带格式的文档、由人类设计的图文指令——使攻击有效的那种结构,乍看之下与这些模型本应阅读的合法密集文档难以区分。这与低分辨率认知过载以及诗歌或结构式文本越狱是同一主题:真正的攻击面是复杂度本身,而非某段”魔法字符串”。
防御
过滤提取出的文本,而不仅仅是图像。 由于有害意图以排版形式渲染在图像内部,应对图像输入执行 OCR/文本提取,并将还原出的文本送入与提示相同的安全分类器。藏在图像里的意图,不应绕过你在文本一侧的审核。
为多模态复杂度设定预算。 该攻击依赖异常密集且递归的图像—排版布局。将异常高的嵌入文本密度、大量堆叠的子图像或深度嵌套的视觉结构视为风险信号——对其加以限制或降权,并考虑在智能体对此类输入采取行动之前增加一道复核。
独立于输入地过滤输出。 输入侧检测正是过载所击破的对象,因此纵深防御很重要:对生成的回复单独做检查(是否包含被禁内容?)并不关心输入有多复杂。请将输入审核与输出审核结合起来。
在运行时监控拒绝置信度。 作者的探针本身就提示了一种检测手段:在密集多模态输入下,拒绝 token 的不确定性上升是一种可度量的异常。监控面对密集图文提示时那些低置信度、且不拒绝的回复,有助于发现可能的绕过。
用复杂度做红队测试,而不只是分布外。 对分布外图像的鲁棒性并不意味着对过载的鲁棒性。请在评测和对齐数据中加入密集、排版繁重、递归结构的多模态样例。
限制被越狱模型能做什么。 对于智能体化部署,最小权限可缩小影响半径:若被攻陷的生成无法触及敏感工具、文件或网络,那么一次成功的越狱产出的只是文本,而非行动。
状态
| 项目 | 详情 |
|---|---|
| 来源 | arXiv:2607.02961v1,发表于 2026 年 7 月 3 日 |
| 作者 | Haoyu Zhang、Mohan Kankanhalli(新加坡国立大学);Yangyang Guo(北京航空航天大学) |
| 类别 | 多模态(图像+文本)越狱;安全对齐绕过 |
| 开源 ASR | 平均 88.6%(Qwen3-VL、Qwen2-VL、InternVL3.5/2、Llama 3.2-Vision) |
| 商用 ASR | 平均 84.0%(Gemini-2.5-flash / -lite、GPT-4.1-mini) |
| 迁移 | 由 Qwen2-VL 替身迁移至 Llama 3.2-Vision 达 87.9% |
| 性质 | 研究性演示;此处不复现任何攻击代码 |