Token-Level Constraint Boundary Search for Jailbreaking Text-to-Image Models

この論文は、テキストおよび画像チェッカーによって定義された決定境界付近のトークンを探索する進化的検索手法「TCBS-Attack」を提案し、複数の制約条件下で黒箱設定におけるテキスト生成画像モデルのフルチェーン防御を効果的に突破する新しい攻撃手法を提示しています。

要約

🏰 物語：AI 城の「三重の壁」と、それを突破する「探偵」

1. 守られている城（現在の AI システム）

最近の AI 画像生成サービス（DALL-E 3 や Stable Diffusion など）は、単に「文章を入力して画像を出す」だけではありません。まるで堅固な城のように、3 つの防御ラインを設けています。

1. 入口の門番（テキストチェック）： 入力された文章に「禁止用語」が含まれていないかチェックします。
2. 城の内部の警備員（安全に訓練された AI）： 文章が通っても、AI 自体が「危険なイメージ」を描こうとしないよう、内部で制御されています。
3. 出口の検問所（画像チェック）： 生成された画像が完成したら、最後に「この画像は危険か？」を再確認し、ダメなものは真っ黒な画像に差し替えてしまいます。

この「フルチェーン（全工程）」の防御を突破するのは、通常とても難しいことです。

2. 従来の攻撃の限界

これまでの攻撃手法は、この城を突破しようとしていました。

• 暴力的な突破： 門番を無視しようとするが、すぐに捕まる。
• 迷路を彷徨う： 無作為に言葉を変えて試行錯誤するが、広大な迷路の中で迷子になり、時間と回数（クエリ制限）を無駄にしてしまう。

3. 新しい攻撃手法「TCBS-Attack」の正体

この論文で提案されている**「TCBS-Attack」は、単なる暴れん坊ではなく、「境界線の探偵」**のような存在です。

🕵️‍♂️ 探偵の戦略：「境界線」を嗅ぎ取る

この探偵は、城の壁（セキュリティフィルター）が「OK」と「NG」を分ける**「境界線」**があることに気づきました。

• 壁の真ん中： 完全に安全な場所（ここにいると、攻撃は失敗します）。
• 壁の真ん中（NG 側）： 完全に危険な場所（ここにいると、すぐに捕まります）。
• 壁のすぐそば（境界線）： ここが最も敏感な場所です。ここにいると、**「言葉の微調整」だけで、OK から NG、あるいは NG から OK に瞬時に切り替わる」**可能性があります。

TCBS-Attack は、広大な迷路を無作為に探すのではなく、**「この壁のすぐそばにいる言葉たち」**にだけ注目します。

4. 具体的な作戦：進化的な「言葉の錬金術」

この探偵は、以下のような手順で攻撃を行います。

1. 敏感な言葉の発見：
   元の文章（例：「血が出ている頭」）から、すぐに「NG」と判定される敏感な単語を見つけます。
2. 境界線への接近（粗い探索）：
   敏感な単語を、意味は似ているけど「NG」判定されにくい別の言葉に置き換えてみます。
   • 例：「血（Blood）」→「出血（Bleeding）」や「赤い液体」など。
3. 境界線の微調整（細かい探索）：
   ここで重要なポイントです。もし「NG」と判定された場合、探偵は**「あ、この言葉は壁のすぐ外（NG 側）にいるな」と判断します。そして、その言葉から「壁のすぐ内（OK 側）」に少しだけ足を踏み入れる**ように、さらに微調整を加えます。
   • 「壁のすぐそば」にいる言葉は、セキュリティ判定が揺らいでいるため、少しの言葉の入れ替えで「OK」に転がせる確率が高いのです。
4. 生き残りの選別：
   多くの候補を作りますが、「壁のそば」にいて、かつ意味が通じているものだけを残して、次のラウンドに進めます。これを繰り返すことで、見事「3 つの壁」をすべてすり抜ける「完璧な悪魔の文章」を完成させます。

5. なぜこれがすごいのか？（結果）

• 効率が良い： 無駄な迷路探索をせず、「壁のそば」だけを集中的に探すので、少ない試行回数で成功します。
• 自然に見える： 意味を大きく変えずに微調整するだけなので、人間が読んでも不自然に感じません。
• 実戦で強い：
  • オープンソースの AI だけでなく、DALL-E 3のような商用サービスでも、50% 以上の確率で攻撃を成功させました（従来の手法はもっと低い成功率でした）。
  • 生成された画像が、本来の意図（例：「血まみれの頭」）を忠実に再現しつつ、セキュリティに引っかからないという、まさに「魔法のような」結果を出しています。

🎯 まとめ

この論文は、**「AI のセキュリティは、壁の『すぐそば』を攻めれば突破できる」**という新しい視点を提供しました。

まるで、城の壁を登るのではなく、壁の「隙間」や「揺らぎ」を見つけて、そっとすり抜ける「忍び」のような攻撃手法です。

⚠️ 重要な注意点（倫理的な側面）：
この研究の目的は、AI を悪用することではありません。むしろ、「こんな抜け穴があるよ！」と警鐘を鳴らし、開発者がより強固なセキュリティ（より高い壁や、境界線の揺らぎを塞ぐ対策）を作るために役立つことを目指しています。セキュリティの弱点を突くことで、システム全体をより安全にするための「白ハッカー」的な活動なのです。

技術概要

論文要約：Token-Level Constraint Boundary Search for Jailbreaking Text-to-Image Models

この論文は、テキストから画像を生成するモデル（Text-to-Image: T2I）に対する「フルチェーン防御」を回避するための新しい黒箱（Black-box）ジャイルブレイク攻撃手法、TCBS-Attack（Token-level Constraint Boundary Search Attack）を提案するものです。

以下に、問題定義、手法、主要な貢献、実験結果、および意義について詳細にまとめます。

1. 背景と問題定義

近年、Stable Diffusion や DALL-E などの T2I モデルは急速に進化しましたが、NSFW（Not-Safe-For-Work）コンテンツの生成リスクも高まっています。実際の運用環境では、単一のフィルタではなく、以下のフルチェーン防御が採用されています。

1. プロンプトチェッカー: 入力テキストを事前審査。
2. セキュアに訓練された生成モデル: 生成中に安全でない概念を抑制。
3. 事後画像チェッカー: 生成された画像を審査し、危険なものをブロック。

既存のジャイルブレイク攻撃の多くは、これらの複合的な防御を同時に突破する「黒箱設定」での評価が不十分でした。特に、離散的なトークン空間における探索、複数の制約（テキストと画像の両方の安全性チェック）を同時に満たす必要があること、および限られたクエリ回数での効率的な探索が大きな課題となっています。

2. 提案手法：TCBS-Attack

TCBS-Attack は、進化的アルゴリズム（Evolutionary Algorithms）に基づいた黒箱攻撃手法です。その核心は、**「制約境界（Constraint Boundary）」**を利用したトークンレベルの探索にあります。

2.1 基本的な考え方

プロンプトチェッカーも画像チェッカーも、本質的には「安全」と「危険」を分ける決定境界を持つ分類器と見なせます。決定境界の近くにあるプロンプトは、わずかなトークンの変更（意味を保ちつつ）で「安全」から「危険」へ、あるいはその逆に変化する可能性が高い（敏感である）という仮説に基づいています。
TCBS-Attack は、広大な離散空間全体を探索するのではなく、これらの決定境界付近に集中して探索を行うことで、探索空間を縮小し、クエリ効率を向上させます。

2.2 アルゴリズムのフロー

1. 初期化:
   • 対象プロンプトから、NSFW 単語リストや分類器を用いて「敏感トークン」を特定します。
   • 敏感トークンと非敏感トークンの両方に対して、意味的類似性を保ちながらトークンを置換し、初期集団（Population）を生成します。
2. 制約境界に基づくトークン探索（Token Search）:
   • 粗い探索（Coarse Search）: 集団内の候補に対してトークン置換を行い、新しい候補（Offspring I）を生成します。
   • 追加探索（Extra Search）: 決定境界に近いと推測される候補に対してのみ、追加のクエリを投じて精緻化します。
     • 画像チェッカーの境界: 違反スコア（score）が 0 に近く、かつ生成画像とターゲットの類似度が高い場合にトリガーされます。
     • テキストチェッカーの境界: 一度拒否された（Ftext=0）が、親候補からわずかに編集された場合は、テキスト側の境界付近にあるとみなし、追加探索を行います。
3. 制約に基づくトークン選択（Token Selection）:
   • 親集団と追加探索で得られた子集団（合計 2n 個）から、次の世代に進める n 個の候補を選択します。
   • 選択基準は、画像チェッカーの通過（score=0）、テキストチェッカーの通過（Ftext=1）、そしてターゲットとの画像類似度の順で優先されます。これにより、制約を満たしつつ意味的一貫性を保つ候補が選ばれます。

3. 主要な貢献

1. 新規な攻撃手法の提案: テキストおよび画像チェッカーの決定境界を制約条件として利用し、トークンレベルで制約境界付近を探索する進化的黒箱ジャイルブレイク手法「TCBS-Attack」を提案しました。
2. 探索空間の削減と効率化: 安全チェックによって誘発される制約境界に焦点を当てることで、実質的な探索空間を大幅に削減し、フルチェーン防御下でのクエリ効率と頑健性を向上させました。
3. 包括的な評価: 多様なオープンソースモデル、商用オンラインサービス（DALL-E 3）、および多様な防御メカニズム（プロンプトチェッカー、安全訓練済みモデル、事後画像チェッカー）を用いた大規模な実験により、手法の有効性を実証しました。

4. 実験結果

TCBS-Attack は、SOTA（State-of-the-Art）の攻撃手法（SneakyPrompt, DiffZOO, HTS-Attack など）と比較して、あらゆる T2I モデルで優れた性能を示しました。

• フルチェーン防御モデル（SDv1.4）:
  • テキストチェッカー（NSFW-text-classifier）と画像チェッカーの両方を通過し、NSFW 画像を生成する成功率（ASR-4）は52.5%、ASR-1 は**22.0%**を記録し、ベースラインを大きく上回りました。
  • 画像チェッカーの回避率（Bypass-Img）は**82%**に達しました。
• 安全に訓練されたモデル（SafeGen, SLD）:
  • 防御強化されたモデルに対しても、他の手法を凌駕する攻撃成功率を達成しました（例：SLD 対して ASR-4 は 17.0%）。
• 商用オンラインサービス（DALL-E 3）:
  • 高度なセキュリティを備えた DALL-E 3 に対しても、ASR-4 で73.3%、ASR-1 で**56.7%**の成功率を達成し、実世界での有効性を示しました。
• アブレーション研究:
  • テキスト制約と画像制約の両方を同時に考慮することが、攻撃の成功に不可欠であることを実証しました。いずれか一方を削除すると性能が大幅に低下しました。

5. 意義と結論

TCBS-Attack は、T2I モデルのセキュリティ評価において重要な進展をもたらしました。

• 実用性の高さ: 実際の運用環境（フルチェーン防御）を想定した黒箱攻撃として設計されており、商用サービスに対しても有効です。
• 効率性: 決定境界という構造的な情報を活用することで、限られたクエリ回数で高成功率を達成しています。
• セキュリティへの示唆: この攻撃手法の成功は、現在のフルチェーン防御が依然として脆弱であることを示しており、より強固な防御策の開発や、進化的アルゴリズムと他の最適化手法を組み合わせたハイブリッド防御の必要性を浮き彫りにしています。

著者は、この研究が T2I モデルの脆弱性を特定し、防御を強化するためのもの（悪用を助長するためではない）であることを強調し、研究コミュニティに対して責任ある利用を呼びかけています。