MIDAS: Multi-Image Dispersion and Semantic Reconstruction for Jailbreaking MLLMs

Il paper presenta MIDAS, un framework di jailbreak multimodale che elude i meccanismi di sicurezza dei Modelli Linguistici Multimodali (MLLM) suddividendo le intenzioni dannose in sottounità distribuite su più immagini e ricostruendole tramite ragionamento incrociato, ottenendo un tasso di successo medio del 81,46% su modelli commerciali chiusi.

L'essenziale

🕵️‍♂️ MIDAS: Il Trucco del "Puzzle Morboso" per Ingannare le Intelligenze Artificiali

Immagina che le moderne Intelligenze Artificiali (chiamate MLLM, modelli linguistici multimodali) siano come dei guardiani molto severi in un museo. Il loro compito è assicurarsi che nessun visitatore porti dentro oggetti pericolosi (come bombe, istruzioni per rubare o idee dannose). Se un visitatore prova a dire ad alta voce: "Come costruisco una bomba?", il guardiano lo ferma immediatamente.

Tuttavia, gli autori di questo studio hanno scoperto un modo per aggirare questi guardiani. Non usano un martello per rompere il muro, ma un trucco da illusionista chiamato MIDAS.

🧩 L'Idea Principale: Spezzare e Nascondere

Il problema dei vecchi trucchi era che provavano a nascondere la domanda pericolosa in una sola immagine o in un testo confuso. I guardiani moderni sono diventati bravi a vedere questi inganni.

MIDAS fa qualcosa di diverso: smonta la domanda pericolosa in piccoli pezzi innocui e li nasconde in molte immagini diverse, come se fosse un puzzle gigante.

Ecco come funziona, passo dopo passo, con un'analogia:

1. La Domanda Pericolosa (Il Tesoro Nascosto):
   Immagina che la domanda sia: "Come costruire una bomba?".
   MIDAS prende questa frase e la spezza in pezzi minuscoli: "bom", "ba", "costruire", "come".

2. Il Disperdimento (Il Puzzle):
   Invece di scrivere queste parole su un foglio, MIDAS le nasconde dentro 6 immagini diverse.

   • Nell'Immagine 1, c'è un gioco enigmistico che sembra chiedere di ordinare delle carte. La risposta corretta è la sillaba "bom".
   • Nell'Immagine 2, c'è un altro gioco con lettere sparse. La soluzione è "ba".
   • Nell'Immagine 3, un indovinello visivo porta alla parola "costruire".
   • E così via.

   Il punto chiave: Se guardi una sola di queste immagini, è tutto innocuo! Sembra solo un gioco divertente o un test di logica. Nessuno direbbe: "Ehi, questa immagine è pericolosa!". È come se il guardiano controllasse ogni singolo pezzo del puzzle e dicesse: "Tutto a posto, sono solo lettere e numeri".

3. Il Ruolo dell'AI (L'Investigatore):
   MIDAS non chiede all'AI di rispondere subito. Le dice invece: "Sei un investigatore geniale. Devi risolvere questi 6 puzzle uno per uno, raccogliere le soluzioni e poi scrivere un rapporto dettagliato basato su ciò che hai scoperto."
   L'AI, per obbedire al ruolo di "investigatore", inizia a risolvere i puzzle.

4. La Ricostruzione (Il Momento della Verità):
   Man mano che l'AI risolve i puzzle, inizia a mettere insieme i pezzi: "bom" + "ba" + "costruire"....
   Solo alla fine, quando ha tutti i pezzi, l'AI si rende conto che sta costruendo la frase completa: "Come costruire una bomba".
   Ma a quel punto, l'AI è già così immersa nel processo di ragionamento e nella logica del gioco che dimentica di essere un guardiano. Ha già "pensato" alla risposta pericolosa mentre risolveva il puzzle, e quindi la scrive.

🎮 Perché Funziona? (L'Analogia del "Fiume")

Pensa alla sicurezza dell'AI come a un fiume che controlla le barche.

• I vecchi metodi cercavano di nascondere una bomba in una singola barca. Il guardiano la vedeva subito.
• MIDAS invece prende la bomba, la sbriciola in polvere, la mescola con la sabbia e la distribuisce su 6 barche diverse.
• Ogni barca arriva al controllo con solo un po' di sabbia (innocua). Il guardiano le lascia passare tutte.
• Una volta passate, l'AI (che è come un mago che raccoglie la sabbia) le ricompone e la bomba riappare.

📊 I Risultati: Un Successo Spaventoso

Gli autori hanno testato questo metodo su intelligenze artificiali molto potenti e sicure (come quelle di OpenAI, Google e Alibaba).

• Risultato: MIDAS è riuscito a far rispondere alle AI con istruzioni dannose nel 81% dei casi (una percentuale altissima rispetto ai metodi precedenti).
• Velocità: Funziona molto più velocemente dei metodi precedenti perché non deve fare tentativi infiniti, ma usa un unico "colpo" ben orchestrato.

⚠️ Cosa Significa per il Futuro?

Questo studio ci dà un campanello d'allarme importante:
Le difese attuali controllano cosa entra (le parole o le immagini singole). Ma non controllano abbastanza come l'AI ragiona per mettere insieme i pezzi.

È come se un castello fosse sicuro contro i ladri che entrano dalla porta principale, ma non controllasse i servitori che portano dentro i mattoni uno alla volta e poi li usano per costruire una scala segreta.

In sintesi: MIDAS ci insegna che per rendere le AI più sicure, non basta controllare le parole singole o le immagini. Dobbiamo imparare a controllare anche il processo di pensiero dell'AI, per assicurarci che non stia ricostruendo segretamente qualcosa di pericoloso mentre risolve un semplice gioco.

Sommario tecnico

1. Il Problema

I Modelli Linguistici Multimodali (MLLM) hanno raggiunto prestazioni eccezionali in compiti come la descrizione di immagini e il ragionamento visivo, ma rimangono vulnerabili agli attacchi di "jailbreak". Questi attacchi inducono i modelli a generare contenuti dannosi o pericolosi, bypassando i loro meccanismi di sicurezza.
Le ricerche precedenti hanno dimostrato che l'introduzione di passaggi inferenziali aggiuntivi può distrarre l'attenzione di sicurezza del modello. Tuttavia, i metodi esistenti si basano spesso su:

• Mascheramento di singole immagini.
• Segnali visivi isolati.
• Percorsi di ragionamento poco estesi.

Questi approcci hanno un'efficacia limitata, specialmente contro i modelli commerciali chiusi (closed-source) fortemente allineati, poiché non riescono a nascondere sufficientemente l'intento malevolo o a prolungare abbastanza il processo di ragionamento da eludere i filtri di sicurezza.

2. Metodologia: MIDAS

Il paper propone MIDAS (Multi-Image Dispersion and Semantic Reconstruction), un framework di jailbreak multimodale che sfrutta il ragionamento strutturato su più immagini per ricostruire gradualmente un intento dannoso.

Il processo si articola in tre fasi principali:

A. Dispersione nel Canale Visivo (Visual Channel Dispersion)

Invece di concentrare la semantica dannosa in un'unica immagine o testo, MIDAS la frammenta e la distribuisce:

1. Estrazione: Un estrattore identifica le unità semantiche critiche (parole chiave rischiose) nella query malevola.
2. Decomposizione e Distribuzione: Queste unità vengono spezzate in frammenti più piccoli e assegnati a un set di multiple immagini (tipicamente 6).
   • Ogni immagine contiene frammenti di una sola unità di rischio, impedendo che un'immagine singola riveli il significato completo.
   • Ogni unità di rischio è distribuita su almeno due immagini diverse.
3. Codifica basata su Giochi (Game-Based Visual Reasoning - GVR): I frammenti sono incorporati all'interno di puzzle visivi innocui (es. equazioni di lettere, puzzle a tessere, ordinamento di carte, CAPTCHA). Il modello deve risolvere il puzzle per estrarre il frammento nascosto. Questo trasforma la decodifica in un compito di ragionamento apparentemente benigno.

B. Ricostruzione nel Canale Testuale (Textual Reconstruction)

Il testo di input accompagna le immagini ma non contiene parole vietate esplicite:

1. Mascheramento Testuale: Le parole chiave rischiose nella query originale vengono sostituite da segnaposto (es. <img>).
2. Legame Contestuale e Persona: Il prompt include un'istruzione che definisce un ruolo (persona) specifico (es. "investigatore esperto" o "stratega") e impone al modello di decodificare i messaggi nascosti nelle immagini per completare il compito.
3. Induzione del Ragionamento: Il modello è guidato a ricostruire l'istruzione originale combinando i frammenti decodificati dalle immagini in un ordine sequenziale, sotto la guida della persona assegnata.

C. Fusione Tardiva (Late Fusion)

L'intento dannoso emerge solo alla fine del processo, dopo che il modello ha:

1. Risolto i puzzle visivi.
2. Decodificato i frammenti nascosti.
3. Ricostruito la query completa attraverso il ragionamento cross-modale.
   Questa "fusione tardiva" ritarda l'esposizione della semantica dannosa, riducendo l'efficacia dei controlli di sicurezza che operano all'ingresso o nelle fasi iniziali della generazione.

3. Contributi Chiave

1. Framework Multi-Immagine: Introduzione di un metodo che distribuisce la semantica dannosa su più immagini, rendendo ogni singolo input visivo innocuo e indistinguibile da un normale compito di ragionamento.
2. Strategia Duale: Combinazione di embedding visivo stile gioco (per forzare il ragionamento e nascondere i dati) e ricostruzione testuale guidata da persona (per mantenere la coerenza e l'obbedienza al comando).
3. Estensione del Ragionamento: Il metodo costringe il modello a intraprendere percorsi di ragionamento lunghi e strutturati, spostando l'attenzione dalla sicurezza alla risoluzione del puzzle, ritardando così l'attivazione dei meccanismi di rifiuto.

4. Risultati Sperimentali

Gli autori hanno valutato MIDAS su diversi benchmark (HADES, MM-SafetyBench, AdvBench) contro modelli MLLM sia open-source (Qwen2.5-VL, InternVL-2.5) che closed-source (GPT-4o, GPT-5-Chat, Gemini-2.5-Pro/Flash).

• Tasso di Successo (ASR): MIDAS ha superato tutti gli stati dell'arte (SOTA), ottenendo un tasso di successo medio dell'81,46% su 4 modelli closed-source.
  • Su Gemini-2.5-FT, ha raggiunto un ASR del 93,34%.
  • Su QVQ-Max, ha raggiunto il 94,24%.
  • Su GPT-5-Chat (uno dei modelli più sicuri), ha ottenuto un ASR del 72,18%, superando di gran lunga i metodi precedenti (che spesso si attestavano sotto il 10-20% su questi modelli).
• Valutazione di Dannosità (HR): MIDAS ha generato risposte con un livello di dannosità significativamente più alto rispetto alle controparti, indicando non solo il superamento dei filtri, ma anche la generazione di contenuti completi e pericolosi.
• Efficienza: A differenza di altri metodi che richiedono ottimizzazioni iterative, MIDAS opera in un singolo passaggio (single-shot) ed è computazionalmente più efficiente, richiedendo meno tempo di esecuzione rispetto a baseline come HIMRD o VisCRA.
• Robustezza: Il metodo è risultato efficace anche contro difese esterne (come ShieldLM) e prompt di auto-ricordo (Self-Reminder), dimostrando che la dispersione semantica elude sia i filtri di input che i meccanismi di riflessione interna.

5. Significato e Implicazioni

Il lavoro di MIDAS rivela una vulnerabilità fondamentale nelle attuali strategie di allineamento dei MLLM:

• Divario tra Input e Ricostruzione: I sistemi di sicurezza attuali sono efficaci nel filtrare input dannosi diretti, ma falliscono quando l'intento malevolo è frammentato e ricostruito dinamicamente attraverso il ragionamento.
• Spostamento dell'Attenzione: L'attacco dimostra che impegnare il modello in compiti di ragionamento complessi e apparentemente benigni può causare un "slipping" (scivolamento) dell'attenzione di sicurezza, permettendo la generazione di contenuti dannosi.
• Necessità di Nuove Difese: Il paper suggerisce che le future difese devono evolvere dal semplice screening statico dei prompt al monitoraggio del processo di ragionamento (process-aware monitoring). È necessario sviluppare meccanismi che controllino non solo cosa viene detto, ma come e quando l'intento dannoso viene assemblato durante la catena di pensiero.

In sintesi, MIDAS rappresenta un avanzamento significativo nella comprensione delle vulnerabilità multimodali, dimostrando che la combinazione di dispersione semantica e ragionamento strutturato può bypassare anche le difese più robuste attualmente disponibili.