arXiv🔒 cs.CR🤖 cs.AI💬 cs.CL🤖 cs.LG

Jailbreak Foundry: From Papers to Runnable Attacks for Reproducible Benchmarking

LLM のジャイルブレイク技術の急速な進化に伴うベンチマークの陳腐化問題を解決するため、論文を即座に実行可能なモジュールに変換し、統一された環境で再現性と標準化された評価を可能にするマルチエージェントシステム「JAILBREAK FOUNDRY」を提案する。

Zhicheng Fang, Jingjie Zheng, Chenxu Fu, Wei Xu

公開日 2026-03-06
📖 1 分で読めます☕ さくっと読める
閲覧: arXiv ↗PDF ↗

Each language version is independently generated for its own context, not a direct translation.

この論文は、**「AI(大規模言語モデル)のセキュリティテストを、手作業の『職人仕事』から、自動で動く『工場のライン』へと変える」**という画期的なシステム「Jailbreak Foundry(ジェイルブレイク・ファウンダリー)」を紹介しています。

少し難しい専門用語を、身近な例え話で説明してみましょう。

🏭 1. 今までの問題点:「手作業の職人」の限界

AI のセキュリティをテストする際、研究者たちは「この AI は悪意のある指示(ジャイルブレイク)に負けてしまうか?」を確認します。
しかし、新しい攻撃手法が発表されるたびに、以下の問題が起きていました。

  • 手作業の遅さ: 新しい攻撃手法の論文が出ると、エンジニアがそれを一つずつ読み込み、手動でプログラムを書き直してテストする必要があります。まるで、新しいレシピが出たら、毎回手作業で料理を作っているようなものです。
  • 結果のバラつき: 人によって書き方が違うため、「同じ攻撃なのに、A さんは成功、B さんは失敗」というように、結果が統一されません。
  • 古くなりやすい: 新しい攻撃が次々と出てくるのに、テスト環境が追いつかず、過去のデータはすぐに「古くなった情報」になってしまいます。

🏗️ 2. 解決策:「Jailbreak Foundry(JBF)」という巨大な工場

この論文が提案するJBFは、そんな手作業を自動化する「魔法の工場」です。この工場には 3 つの主要な部門(ロボット)がいます。

① JBF-LIB(共通の土台・道具箱)

  • 例え: これは工場の「基礎工事」や「共通の道具箱」です。
  • 役割: すべての攻撃プログラムが使う共通のルールや、AI と会話するための道具を準備しています。これがあるおかげで、新しい攻撃を作る際、ゼロから道具を作る必要がなくなります。

② JBF-FORGE(論文→プログラム変換ロボット)

  • 例え: これは「レシピを料理人に変える魔法の機械」です。
  • 役割: 研究者が書いた「攻撃の論文(レシピ)」を読み取り、自動的に実行可能なプログラム(料理)に変換します。
    • プランナー: レシピの全体像を設計します。
    • コーダー: 設計図に基づいてコードを書きます。
    • 監査人: 「本当に論文通りか?」「バグはないか?」を厳しくチェックします。
  • すごい点: 人間が数週間かかる作業を、平均 28 分で完了させます。しかも、元の論文のコードとほぼ同じ精度で再現できます。

③ JBF-EVAL(統一されたテストコース)

  • 例え: これは「すべての料理を同じ基準で味見する審査員」です。
  • 役割: 変換された攻撃プログラムを、10 種類の異なる AI モデルに対して、同じ条件・同じテスト問題・同じ審査基準でテストします。
  • 効果: 「A 社の AI は強いが、B 社の AI は弱い」といった、公平で比較しやすい結果がすぐに得られます。

📊 3. このシステムがもたらす変化

このシステムを実際に 30 種類の攻撃手法で試したところ、驚くべき成果がありました。

  • コードの削減: 元の論文のコードをそのまま使うと膨大ですが、このシステムを使うと、必要なコード量が半分以下になりました(共通の土台を再利用するため)。
  • 高い精度: 論文に書かれた結果と、このシステムで再現した結果の差は、0.26% 未満という驚異的な一致率でした。
  • 生き続けるベンチマーク: 従来のテストは「ある時点のスナップショット(静止画)」でしたが、JBF は新しい攻撃が発表されるたびに自動で取り込んでテストするため、**「常に最新のセキュリティ状況がわかるライブカメラ」**のような状態になります。

🎯 まとめ

この論文は、**「AI のセキュリティテストを、手作業の『職人芸』から、自動化された『工業生産』へ進化させた」**という画期的なシステムを紹介しています。

これにより、研究者は「新しい攻撃がどう動くか」をすぐに確認でき、AI の開発者は「自分の AI がどの攻撃に弱いのか」を正確に把握できるようになります。結果として、より安全で強靭な AI を作るための「生きた基準(リビングベンチマーク)」が実現したのです。

まるで、新しいウイルスが出現するたびに、自動的にワクチンテストを行うシステムが完成したようなものですね。

関連論文

How Effective Are Publicly Accessible Deepfake Detection Tools? A Comparative Evaluation of Open-Source and Free-to-Use Platforms

この論文は、法執行機関の専門家が実施した盲検評価を通じて、フォレンジック分析ツールと AI 分類器という 2 種類の深層偽造検知ツールの性能を比較し、いずれの自動化ツールも人間の実力に劣り、両者の不一致時には人間の判断が優位であることを明らかにしたものである。

Michael Rettinger, Ben Beaumont, Nhien-An Le-Khac, Hong-Hanh Nguyen-Le2026-03-06🔒 cs.CR

Benchmark of Benchmarks: Unpacking Influence and Code Repository Quality in LLM Safety Benchmarks

本論文は、LLM 安全性ベンチマーク 31 件を対象とした初の多面的評価を通じて、論文の学術的影響力とコード品質の間に乖離があること、また多くのリポジトリが実用性や倫理面において改善の余地が大きいことを明らかにし、著名な研究者に基準向上の主導を求めています。

Junjie Chu, Xinyue Shen, Ye Leng, Michael Backes, Yun Shen, Yang Zhang2026-03-06🔒 cs.CR

Beyond Input Guardrails: Reconstructing Cross-Agent Semantic Flows for Execution-Aware Attack Detection

本論文は、従来の入力ガードレールでは回避可能なマルチエージェントシステムにおける間接的プロンプトインジェクションなどのリスクに対処するため、実行時の分析に基づきエージェント間の意味的フローを再構築し、異常を検知する新しいフレームワーク「SysName」を提案し、その有効性を示しています。

Yangyang Wei, Yijie Xu, Zhenyuan Li, Xiangmin Shen, Shouling Ji2026-03-06🔒 cs.CR

Impact of 5G SA Logical Vulnerabilities on UAV Communications: Threat Models and Testbed Evaluation

本論文は、Open5GS や UERANSIM を用いたテストベッド実験を通じて、5G スタンダローンネットワークにおける論理的脆弱性が UAV の通信に与える影響を評価し、攻撃経路に応じた制御コマンドの改ざんやセッション切断などの脅威を明らかにするとともに、ユーザープレーンの分離とコマンドプロトコルの完全性保護の必要性を強調しています。

Wagner Comin Sonaglio, Ágney Lopes Roth Ferraz, Lourenço Alves Pereira Júnior2026-03-06🔒 cs.CR

When Denoising Becomes Unsigning: Theoretical and Empirical Analysis of Watermark Fragility Under Diffusion-Based Image Editing

本論文は、拡散モデルに基づく画像編集が、従来のノイズや圧縮に耐性を持つように設計された不可視透かしを、拡散過程におけるノイズ注入と学習された復元ダイナミクスによって実質的に無効化してしまうという理論的・実証的脆弱性を明らかにし、生成変換時代における透かしの設計指針を提言するものである。

Fai Gu, Qiyu Tang, Te Wen, Emily Davis, Finn Carter2026-03-06🔒 cs.CR