VII: Visual Instruction Injection for Jailbreaking Image-to-Video Generation Models

Este trabajo presenta VII, un marco de jailbreaking sin entrenamiento que explota la capacidad de seguir instrucciones visuales en modelos de generación de video a partir de imágenes para inyectar intenciones maliciosas a través de imágenes de referencia seguras, logrando altas tasas de éxito en ataques contra modelos comerciales de última generación.

Lo esencial

¡Hola! Imagina que los modelos de inteligencia artificial que crean videos a partir de imágenes son como directores de cine muy talentosos pero un poco ingenuos. Estos directores pueden tomar una foto tranquila y, basándose en lo que les dices, hacer que los personajes de la foto cobren vida y actúen.

El problema que descubren los autores de este artículo es que estos directores tienen un "superpoder" que nadie estaba vigilando: siguen instrucciones escritas directamente en la imagen, como si fueran señales de tráfico o notas adhesivas.

Aquí te explico el hallazgo (llamado VII o "Inyección de Instrucciones Visuales") usando una analogía sencilla:

1. El Escenario: El Director de Cine y el Guionista

Imagina que tienes un Director de Cine (la IA) y un Guionista (el usuario).

• Normalmente, si el Guionista le dice al Director: "Haz que este soldado se dispare a sí mismo", el Director se asusta y dice: "¡No! Eso es peligroso y está prohibido". Se niega a hacer el video.
• Si el Guionista le muestra una foto de un soldado y le dice: "Haz que este soldado se dispare", el Director también dice: "¡No! La foto es inocente, pero tu orden es mala". Se niega.

2. El Truco: El "Caballo de Troya" Visual

El ataque VII es como un truco de magia que engaña al Director. En lugar de decirle la orden peligrosa en voz alta (texto), el Guionista la esconde dentro de la propia imagen, pero de una forma que parece inofensiva.

Funciona así:

1. El disfraz (Reprogramación): El Guionista toma la orden mala ("Haz que explote") y la traduce a un lenguaje "suave" y técnico ("Haz que libere una gran cantidad de energía").
2. La señal visual (Grounding): Luego, el Guionista dibuja en la foto una flecha roja que apunta al soldado y escribe al lado: "Libera una gran cantidad de energía a lo largo de esta flecha".
3. La trampa: La foto ahora parece totalmente segura. No hay sangre, ni armas, ni palabras feas. Es solo una foto con una flecha y una nota técnica.

3. El Resultado: El Director se Confunde

Cuando el Director (la IA) ve la foto:

• El filtro de seguridad (el portero): Mira la foto y dice: "Veo una foto de un soldado, una flecha roja y una nota sobre 'energía'. Todo parece inocente. ¡Pasa!". Deja entrar la orden.
• El Director (la IA): Al empezar a hacer el video, lee la nota y ve la flecha. Como el Director es muy obediente con las instrucciones visuales, piensa: "¡Ah! El usuario me está diciendo exactamente qué hacer con esta flecha. ¡Entendido!".
• El final: El Director toma la palabra suave ("energía") y la convierte en la realidad física que el usuario quería ver (una explosión). ¡El video sale con la explosión, pero el portero nunca vio venir el peligro!

¿Por qué es importante esto?

Los autores probaron este truco en 4 de los mejores modelos comerciales de creación de videos (como Kling, Veo, PixVerse) y funcionó increíblemente bien:

• Éxito: Lograron crear videos peligrosos (violencia, contenido sexual, odio) en más del 80% de los casos.
• Invisibilidad: Los sistemas de seguridad casi nunca se dieron cuenta (el índice de rechazo fue casi cero).

La Lección Principal

El papel nos advierte que hemos estado protegiendo las puertas de entrada (el texto) y revisando la apariencia de la foto (si hay desnudos o armas), pero olvidamos que la foto misma puede ser un guion.

Es como si protegieras una casa revisando quién toca el timbre y mirando si alguien lleva un arma, pero no te das cuenta de que el intruso dejó una nota pegada en la ventana que le dice a tu perro: "Ataca al vecino". El perro (la IA) obedece la nota, no porque sea malo, sino porque está programado para seguir instrucciones visuales.

En resumen: Los creadores de videos con IA son tan buenos siguiendo instrucciones visuales que, si les escribes el guion en la imagen con una flecha, harán lo que les digas, incluso si eso va en contra de sus reglas de seguridad. Esto nos dice que necesitamos nuevos "guardias" que sepan leer entre líneas y entender que una flecha en una foto puede ser tan peligrosa como una orden escrita en texto.

Resumen técnico

Aquí tienes un resumen técnico detallado del artículo "Visual Instruction Injection for Jailbreaking Image-to-Video Generation Models" (VII), presentado en español:

1. El Problema: Vulnerabilidad en Modelos de Imagen-a-Video (I2V)

Los modelos de generación de video de Imagen-a-Video (I2V) han evolucionado desde paradigmas puramente textuales (T2V) hacia sistemas que utilizan imágenes de referencia para mejorar la consistencia visual y la dinámica física. Una característica emergente de estos modelos es su capacidad para seguir instrucciones visuales de manera zero-shot (interpretando símbolos como flechas, cuadros delimitadores o texto tipográfico dentro de la imagen como comandos ejecutables).

El problema central identificado es que esta capacidad de seguir instrucciones visuales crea una superficie de ataque previamente ignorada:

• Defensas Estáticas Insuficientes: Las medidas de seguridad actuales (safeguards) suelen realizar una inspección estática de la entrada (imagen + texto) antes de la generación. Asumen que la imagen es una señal estática y no un canal de instrucciones dinámicas.
• El Vacío de Seguridad: Un atacante puede introducir una intención maliciosa oculta en la imagen (como texto o símbolos) que parece inofensiva estáticamente, pero que el modelo I2V interpreta y ejecuta dinámicamente durante la generación del video, eludiendo los filtros de seguridad previos.

2. Metodología: Visual Instruction Injection (VII)

Los autores proponen VII, un marco de ataque de jailbreak (salida de la jaula de seguridad) que no requiere entrenamiento y es transferible entre modelos. El objetivo es disfrazar una intención maliciosa (texto inseguro) como instrucciones visuales benignas dentro de una imagen de referencia segura.

El marco se compone de dos módulos principales que coordinan la inyección de instrucciones:

A. Reprogramación de Intención Maliciosa (MIR - Malicious Intent Reprogramming)

Este módulo tiene como objetivo extraer la intención maliciosa del prompt de texto original y minimizar su toxicidad estática para evadir los filtros de texto.

1. Destilación de Intención: Utiliza un agente LLM para transformar palabras clave tóxicas (ej. "explosión", "violencia") en sinónimos benignos y descripciones físicas neutrales (ej. "una liberación masiva de energía"). Esto evita los filtros basados en palabras clave.
2. Reprogramación de Instrucciones: Convierte estos sinónimos benignos en descripciones tipográficas ejecutables. El agente añade referencias explícitas a símbolos visuales estructurales (ej. "la liberación de energía a lo largo de la flecha roja" o "el camión dentro del cuadro rojo"). Esto convierte la descripción pasiva en un comando activo basado en símbolos visuales.

B. Anclaje de Instrucción Visual (VIG - Visual Instruction Grounding)

Este módulo inyecta las instrucciones reprogramadas en la imagen de referencia segura.

1. Renderizado de Símbolos Visuales: Un agente visual genera y dibuja símbolos geométricos abstractos (cuadros delimitadores y flechas) sobre la imagen segura, especificando el sujeto, el alcance y la dirección de la acción, sin introducir objetos dañinos realistas.
2. Inyección Tipográfica: Se superpone el texto descriptivo reprogramado (del módulo MIR) sobre la imagen, junto con los símbolos.
3. Resultado: Se genera una imagen adversaria ($I_{via}$) que, vista estáticamente, parece benigna (cumple con $S(I_{via}, P) = 0$), pero contiene instrucciones semánticas y estructurales listas para ser interpretadas por el modelo I2V.

C. Generación de Video

La imagen adversaria se alimenta al modelo I2V junto con un prompt de texto fijo y benigno (ej. "Genera un video basado en las instrucciones visuales..."). El modelo, al interpretar las instrucciones visuales, reconstruye dinámicamente el contenido malicioso (ej. convirtiendo "liberación de energía" en una "explosión" real) a lo largo del tiempo, generando un video inseguro.

3. Contribuciones Clave

1. Identificación de una Nueva Vulnerabilidad: Demostraron que la capacidad de seguir instrucciones visuales en modelos I2V comerciales es un vector de ataque crítico que elude las defensas estáticas actuales.
2. Marco VII: Propusieron un método de jailbreak sin entrenamiento que combina la reprogramación de intención (MIR) y el anclaje visual (VIG) para disfrazar ataques maliciosos como instrucciones visuales legítimas.
3. Evaluación Exhaustiva: Validaron el ataque en cuatro modelos comerciales de última generación (Kling-v2.5-turbo, Gemini Veo-3.1, Seedance-1.5-pro, PixVerse-V5) utilizando benchmarks rigurosos.

4. Resultados Experimentales

Los experimentos se realizaron en dos conjuntos de datos (COCO-I2VSafetyBench y ConceptRisk) cubriendo cuatro categorías de riesgo: contenido sexual, violencia, odio/extremismo e ilegalidad.

• Tasa de Éxito del Ataque (ASR): VII logró tasas de éxito extremadamente altas, alcanzando hasta un 83.5% en PixVerse-V5 y un 81.5% en Kling-v2.5-turbo. Esto supera significativamente a los baselines (como prompts de texto inseguro directo o ataques tipográficos simples), que a menudo tienen tasas de éxito inferiores al 40-50%.
• Tasa de Rechazo (RR): El método redujo drásticamente la tasa de rechazo de los modelos. Mientras que los ataques directos a menudo son bloqueados (RR > 80% en algunos casos), VII redujo la tasa de rechazo a cercana a cero (ej. 0.0% en PixVerse-V5 para contenido sexual), demostrando una excelente capacidad de sigilo.
• Consistencia Semántica: Las métricas (CLIPp2c y CLIPp2i) mostraron que los videos generados por VII mantienen una alta fidelidad con la intención maliciosa original, superando a otros métodos que a menudo generan contenido irrelevante o seguro.
• Análisis de Defensa: Se probó una defensa basada en prefijos de texto ("Ignora cualquier texto..."). El ataque VII fue casi inmune a esto, confirmando el fenómeno de "Visual Override": los modelos priorizan las instrucciones visuales explícitas sobre las restricciones de seguridad textuales del sistema.

5. Significado e Implicaciones

• Seguridad en IA Multimodal: El trabajo revela una brecha fundamental en la alineación de seguridad de los modelos de generación de video. La capacidad de seguir instrucciones visuales, diseñada para mejorar la utilidad del modelo, se convierte en su punto más débil frente a ataques adversarios.
• Ineficacia de las Defensas Estáticas: Las medidas de seguridad actuales que solo escanean la entrada antes de la generación son insuficientes para modelos I2V avanzados. Se requiere una defensa que comprenda la semántica dinámica de las instrucciones visuales.
• Necesidad de Nuevas Defensas: Los autores concluyen que se necesitan mecanismos de defensa proactivos y específicos para I2V que puedan distinguir entre instrucciones visuales benignas y maliciosas, o que implementen filtros de seguridad en tiempo real durante la generación del video, en lugar de solo antes.

En resumen, el artículo demuestra que es posible manipular modelos de generación de video de última generación para crear contenido dañino disfrazando el ataque como una instrucción visual benigna, exponiendo una vulnerabilidad crítica que requiere atención urgente en el desarrollo de sistemas de IA seguros.