FORCE: Transferable Visual Jailbreaking Attacks via Feature Over-Reliance CorrEction

Die Arbeit stellt FORCE vor, eine Methode zur Korrektur der übermäßigen Abhängigkeit von spezifischen Merkmalsdarstellungen und Frequenzkomponenten, die durch die Glättung des Angriffslandschafts die Übertragbarkeit visueller Jailbreaking-Angriffe auf geschlossene multimodale Sprachmodelle signifikant verbessert.

Das Wesentliche

Das Problem: Der "Einzelgänger"-Hack

Stell dir vor, Multimodale KI-Modelle (MLLMs) sind wie hochsichere Banktresore, die sowohl Text als auch Bilder verstehen. Um diese Tresore zu knacken, haben Hacker bisher versucht, winzige, für das menschliche Auge unsichtbare Störungen in ein Bild zu malen (sogenannte "Jailbreaks").

Das Problem dabei: Diese Störungen funktionieren oft nur bei einem spezifischen Tresor-Modell.

• Die Metapher: Stell dir vor, du hast einen Schlüssel, der perfekt in die Tür von "Bank A" passt. Wenn du diesen Schlüssel aber versuchst, in die Tür von "Bank B" zu stecken, klappt er gar nicht. Er ist zu spezifisch geformt.
• Die Folge: Die Hacker können die offenen, kostenlosen Modelle knacken, aber bei den geschützten, kommerziellen Modellen (wie die von Google oder OpenAI) versagen diese Angriffe meistens. Sie sind nicht "übertragbar".

Die Entdeckung: Warum scheitern diese Schlüssel?

Die Forscher haben untersucht, warum diese Schlüssel so schlecht funktionieren. Sie haben zwei Hauptgründe gefunden:

1. Der "Schmale Pfad" (Schicht-Abhängigkeit):
   Die KI besteht aus vielen Schichten (wie Stockwerke in einem Hochhaus). Die Angriffe verlassen sich zu stark auf die ersten Stockwerke.

   • Die Metapher: Es ist, als würde ein Dieb versuchen, durch ein winziges, winziges Schlüsselloch im ersten Stock zu klettern. Wenn das Gebäude (das Modell) auch nur ein winziges bisschen anders gebaut ist (andere Parameter), passt der Dieb nicht mehr hindurch. Der "sichere Bereich" für den Angriff ist extrem schmal und zerbrechlich.

2. Der "Rausch"-Fokus (Frequenz-Abhängigkeit):
   Bilder bestehen aus verschiedenen Frequenzen (grobe Strukturen vs. feine Details/Rauschen). Die Angriffe haben sich zu sehr auf das "feine Rauschen" (hohe Frequenzen) verlassen, das wenig semantischen Inhalt hat.

   • Die Metapher: Der Dieb versucht, die Alarmanlage zu täuschen, indem er nur mit winzigen, unsinnigen Kratzern auf dem Boden hantiert, anstatt die eigentliche Struktur des Hauses zu verstehen. Diese Kratzer wirken nur bei einem ganz bestimmten Bodenbelag. Bei einem anderen Bodenbelag (einem anderen Modell) sind die Kratzer nutzlos.

Die Lösung: FORCE (Die "Breite-und-Klarheit"-Methode)

Die Forscher haben eine neue Methode namens FORCE entwickelt, um diese Schlüssel universell zu machen. Sie tun zwei Dinge:

1. Den Pfad verbreitern (Korrektur der Schicht-Abhängigkeit):
   Statt den Dieb durch das winzige Schlüsselloch zu zwingen, zwingt FORCE den Angriff, einen breiteren, flacheren Weg durch das Gebäude zu finden.

   • Die Metapher: Anstatt durch ein Schlüsselloch zu klettern, baut der Dieb eine Rampe. Diese Rampe ist so breit, dass sie auch dann noch funktioniert, wenn das Gebäude ein paar Zentimeter verschoben wurde. Der Angriff wird "robuster" und weniger empfindlich gegenüber kleinen Änderungen im Modell.

2. Den Fokus schärfen (Korrektur der Frequenz-Abhängigkeit):
   FORCE dämpft das unnötige "Rauschen" (die hohen Frequenzen) und verstärkt die wichtigen, sinnvollen Bildinhalte (niedrige Frequenzen).

   • Die Metapher: Der Dieb hört auf, mit unnötigen Kratzern herumzuspielen. Stattdessen konzentriert er sich auf die eigentliche Türstruktur. Er nutzt die "Sprache" des Bildes, die für alle Modelle verständlich ist, statt auf ein spezifisches, verrauschtes Signal zu setzen.

Das Ergebnis: Ein universeller Master-Key

Durch diese beiden Korrekturen entsteht ein Angriff, der nicht mehr auf einem schmalen, instabilen Pfad balanciert, sondern auf einem breiten, stabilen Plateau steht.

• Was passiert? Ein Angriff, der mit FORCE erstellt wurde, funktioniert nicht nur bei dem Modell, für das er entwickelt wurde, sondern springt fast wie ein Zauber über auf andere Modelle – auch auf die geschützten, kommerziellen KI-Modelle.
• Warum ist das wichtig? Es erlaubt Sicherheitsexperten (Red Teaming), die Schwachstellen dieser teuren, geschlossenen KI-Systeme zu testen, ohne sie direkt hacken zu müssen. Man kann die Risiken besser verstehen und die KIs sicherer machen.

Zusammenfassend:
Die Forscher haben herausgefunden, dass alte Hack-Methode zu "zickig" und zu spezifisch waren. Mit FORCE glätten sie den Weg und entfernen den unnötigen Ballast, sodass die Angriffe wie ein universeller Meister-Schlüssel funktionieren, der bei fast allen KI-Türen passt. Das hilft uns, die Sicherheit von KI-Systemen in der realen Welt viel besser zu testen.

Technische Zusammenfassung

1. Problemstellung

Multimodale Large Language Models (MLLMs) integrieren visuelle Eingaben, um ihre Fähigkeiten zu erweitern, führen jedoch zu neuen Sicherheitslücken. Während textbasierte „Jailbreaking"-Angriffe (die Sicherheitsvorkehrungen umgehen) zunehmend durch robuste Ausrichtung (Alignment) der Modelle abgewehrt werden, sind visuelle Jailbreaking-Angriffe oft einfacher durchzuführen.

Das Hauptproblem, das in diesem Paper adressiert wird, ist die extrem begrenzte Übertragbarkeit (Transferability) dieser visuellen Angriffe.

• Angriffe, die auf einem Quellmodell (Source Model) optimiert werden, umgehen dessen Sicherheitsfilter erfolgreich.
• Sobald diese Angriffe jedoch auf ein anderes Zielmodell (Target Model), insbesondere geschlossene kommerzielle Modelle oder Modelle mit anderer Architektur, angewendet werden, versagen sie fast vollständig.
• Ursache: Die generierten Angriffe nutzen spezifische, nicht verallgemeinerbare Merkmale des Quellmodells aus, anstatt robuste Schwachstellen zu finden.

2. Methodische Analyse und Erkenntnisse

Die Autoren analysierten die Verlustlandschaft (Loss Landscape) und die Feature-Repräsentationen von optimierungsbasierten visuellen Jailbreaking-Angriffen (basierend auf PGD - Projected Gradient Descent). Sie identifizierten zwei Hauptursachen für die mangelnde Übertragbarkeit:

1. Hohe Schärfe der Verlustlandschaft (High-Sharpness Regions):

   • Angriffe befinden sich in sehr schmalen, „scharfen" Regionen des Eingaberaums.
   • Bereits minimale Parameteränderungen (wie sie beim Wechsel zu einem anderen Modell auftreten) lassen den Verlust stark ansteigen und machen den Angriff wirkungslos.

2. Fehlende Generalisierbarkeit der Feature-Nutzung:

   • Schichtabhängigkeit (Layer Space): In den früheren Schichten des MLLM verlassen sich die Angriffe stark auf modellspezifische Merkmale. Die „machbaren Regionen" (Feasible Regions) sind in diesen Schichten extrem schmal und fragil. In tieferen Schichten sind sie zwar breiter, aber die Abhängigkeit von den frühen Schichten dominiert.
   • Spektrale Abhängigkeit (Spectral Domain): Während der Optimierung neigen die Angriffe dazu, sich zunehmend auf hochfrequente Informationen zu stützen. Diese enthalten wenig semantische Bedeutung und sind oft Rauschen. Im Gegensatz dazu enthalten niederfrequente Anteile die eigentliche semantische Information. Die Überbetonung hochfrequenter, nicht-semantischer Merkmale macht den Angriff spezifisch für das Quellmodell.

3. Die vorgeschlagene Lösung: FORCE

Um diese Probleme zu lösen, schlagen die Autoren die Methode FORCE (Feature Over-Reliance CorrEction) vor. FORCE zielt darauf ab, die Angriffe aus den schmalen, scharfen Regionen in flachere, robustere Bereiche zu lenken, indem es die übermäßige Abhängigkeit von nicht-verallgemeinerbaren Features korrigiert.

Die Methode besteht aus zwei Hauptkomponenten:

• Schichtbewusste Regularisierung (Layer-Aware Regularization):

  • Ziel ist es, die Angriffe dazu zu bringen, breitere machbare Regionen in den frühen Schichten des Modells zu erkunden.
  • Es wird ein Regularisierungsterm eingeführt, der den Abstand zwischen den Features des Angriffs und denen eines benachbarten Referenzpunkts (mit leichtem Rauschen) maximiert, solange der Referenzpunkt ebenfalls erfolgreich ist.
  • Die Regularisierung ist in den früheren Schichten stärker gewichtet und nimmt in tieferen Schichten ab, um die Abhängigkeit von modellspezifischen frühen Features zu reduzieren.

• Spektrale Reskalierung (Spectral Rescaling):

  • Ziel ist es, den übermäßigen Einfluss hochfrequenter, semantisch armer Komponenten zu unterdrücken.
  • Während der Optimierung wird das Frequenzspektrum des Angriffs analysiert. Wenn der Einfluss eines hochfrequenten Bandes den eines benachbarten niederfrequenten Bandes (das mehr Semantik enthält) übersteigt, wird das hochfrequente Band herunterskaliert.
  • Dies zwingt den Angriff dazu, sich auf semantisch reichhaltigere, niederfrequente Merkmale zu stützen, die besser verallgemeinerbar sind.

Diese beiden Komponenten werden in den Standard-PGD-Algorithmus integriert, um Angriffe zu generieren, die eine flachere Verlustlandschaft aufweisen.

4. Ergebnisse und Evaluation

Die Autoren evaluierten FORCE auf einer Vielzahl von MLLM-Architekturen (Adapter-basiert wie LLaVA, InstructBlip; Early-Fusion wie LLaMA-3.2, Qwen2.5-VL) und kommerziellen Modellen (Claude, Gemini, GPT-5).

• Verbesserte Übertragbarkeit: FORCE zeigte signifikante Verbesserungen bei der Angriffserfolgsrate (ASR) gegenüber dem Standard-PGD.
  • Bei Adapter-basierten Modellen stieg die ASR um durchschnittlich 12 %, während die Anzahl der benötigten Anfragen (Query Cost) um über 15 % sank.
  • Bei Early-Fusion-Modellen, wo Standard-PGD oft versagte (ASR < 2 %), konnte FORCE die Erfolgsrate um fast 100 % steigern.
  • Auch bei geschlossenen kommerziellen Modellen (z. B. GPT-5, Claude-Sonnet-4) wurden deutliche relative Verbesserungen erzielt.
• Robustheit: Die Angriffe blieben auch unter Rauschbedingungen (z. B. Hinzufügen von Gauß- oder Uniform-Rauschen) robust.
• Kosten: Der zusätzliche Rechenaufwand für FORCE ist gering, da die Regularisierung auf bereits vorhandenen Zwischenergebnissen basiert und parallelisierbar ist.

5. Bedeutung und Beiträge

• Theoretischer Beitrag: Das Paper liefert eine tiefgehende Analyse, warum visuelle Jailbreaking-Angriffe nicht übertragbar sind (Abhängigkeit von frühen Schichten und hochfrequentem Rauschen). Es verbindet Konzepte der Verlustlandschaftsanalyse mit spektraler Analyse.
• Praktischer Beitrag: FORCE bietet einen effektiven Ansatz, um die Übertragbarkeit von visuellen Angriffen zu verbessern. Dies ist entscheidend für das Red-Teaming (Sicherheitstests) von geschlossenen, kommerziellen MLLMs, da es ermöglicht, Schwachstellen mit einem einzigen generierten Angriff auf verschiedene Modelle zu testen.
• Sicherheitsimplikation: Die Ergebnisse zeigen, dass die Sicherheitsausrichtung von MLLMs gegenüber visuellen Eingaben noch nicht robust genug ist und dass bestehende Verteidigungsmechanismen durch optimierte, übertragbare Angriffe umgangen werden können.

Zusammenfassend stellt FORCE einen wichtigen Schritt hin zu praktikablen, übertragbaren visuellen Sicherheitsbewertungen dar, indem es die inhärenten Schwächen der Feature-Nutzung in aktuellen Angriffsmethoden korrigiert.