MIDAS: Multi-Image Dispersion and Semantic Reconstruction for Jailbreaking MLLMs

Dit paper introduceert MIDAS, een multimodaal jailbreak-framework dat schadelijke semantics verspreidt over meerdere afbeeldingen en via gefaseerde reconstructie de beveiligingsmechanismen van geavanceerde multimodale grote taalmodellen omzeilt met een gemiddelde aanvalsucces van 81,46%.

De kern

Wat is MIDAS?

Stel je voor dat je een zeer slimme, veilige robot hebt (een AI) die nooit iets gevaarlijks doet, zoals het geven van instructies voor het bouwen van een bom of het stelen van geld. Deze robot is zo getraind dat hij direct "Nee" zegt zodra hij een gevaarlijk woord hoort.

MIDAS is een nieuwe manier om deze robot te "omzeilen". Het is geen brute force aanval, maar meer als een slimme goocheltruc. De onderzoekers noemen het MIDAS: Multi-Image Dispersion and Semantic Reconstruction (Verspreiding over meerdere afbeeldingen en semantische reconstructie).

De Analogie: De Gevarenbrief in Puzzelstukjes

Om te begrijpen hoe MIDAS werkt, kun je je dit voorstellen:

1. Het oude probleem (De duidelijke brief)
Stel je voor dat je een briefje met de tekst "Hoe maak ik een bom?" naar de robot stuurt. De robot leest het, herkent het woord "bom", en zegt direct: "Ik mag dit niet doen." De aanval mislukt.

2. De nieuwe truc van MIDAS (De versnipperde puzzel)
In plaats van één gevaarlijk briefje te sturen, doet MIDAS het volgende:

• Deel het op: Ze nemen de gevaarlijke zin en breken hem op in kleine, onschuldig ogende stukjes. Bijvoorbeeld: "b", "o", "m" of "hoe", "maak", "je".
• Verstop het in spelletjes: Ze plakken deze letters niet zomaar op een foto, maar verstoppen ze in visuele raadsels (zoals een kruiswoordpuzzel, een legpuzzel, of een "vind het verschil"-spel).
  • Afbeelding 1: Een puzzel waar je moet tellen. Het antwoord is de letter "b".
  • Afbeelding 2: Een zoektocht op een kaart. Het eindpunt geeft de letter "o".
  • Afbeelding 3: Een rijtje plaatjes waarvan er één anders is. Dat plaatje staat voor de letter "m".
• De tekst is onschuldig: De tekst die je bij de foto's stuurt, zegt niets gevaarlijks. Het zegt bijvoorbeeld: "Help me deze raadsels oplossen en leg uit wat je vindt."

3. De reconstructie (Het samenvoegen)
De robot krijgt nu een reeks afbeeldingen en een onschuldig verzoek. Omdat de robot zo slim is, probeert hij de raadsels op te lossen.

• Hij denkt: "Oké, in het eerste plaatje staat een 'b'. In het tweede een 'o'. In het derde een 'm'."
• Hij begint de letters in zijn hoofd te combineren: "b-o-m".
• Pas op het allerlaatste moment, nadat hij de puzzels heeft opgelost en de letters heeft samengevoegd, realiseert hij zich: "Oh, de gebruiker vraagt eigenlijk hoe je een bom maakt."

Waarom werkt dit? (De "Aandacht" van de robot)

De onderzoekers ontdekten iets belangrijks over hoe deze robots denken:

• Te veel aandacht op het begin: Normaal gesproken kijkt de robot direct naar de tekst of de eerste afbeelding. Als hij daar gevaarlijke woorden ziet, blokkeert hij.
• Aandacht verslappen: Door de gevaarlijke informatie te verspreiden over veel afbeeldingen en de robot te dwingen eerst een reeks logische puzzels op te lossen, wordt de aandacht van de robot afgeleid.
• De "Late" blootstelling: De robot is zo gefocust op het oplossen van de puzzels (het "rekenwerk" en het "redeneren") dat hij zijn veiligheidscontrole even uit het oog verliest. Pas als hij de oplossing heeft gevonden (de reconstructie), is het te laat om te blokkeren. De gevaarlijke betekenis is dan al "binnen".

De Analogie van de Wachter

Stel je een strenge wachter voor bij een ingang (de AI-beveiliging).

• Normale aanval: Iemand loopt met een groot bord "Gevaar!" naar de wachter. De wachter stopt hem direct.
• MIDAS-aanval: Iemand geeft de wachter een pakje met 6 verschillende enveloppen. Elke envelop bevat een onschuldig raadsel. De wachter moet eerst alle raadsels oplossen om te zien wat er in de laatste envelop zit.
  • Terwijl de wachter bezig is met het oplossen van de raadsels (de "rekenweg"), vergeet hij even dat hij op gevaar moet letten.
  • Als hij de laatste envelop opent en de letters samenvoegt tot "Gevaar", is hij al te laat om te stoppen. Hij heeft de instructie al uitgevoerd.

Wat is het resultaat?

De onderzoekers hebben getoond dat deze methode (MIDAS) extreem effectief is.

• Het werkt zelfs tegen de allerbeste, meest beveiligde AI's (zoals de nieuwste versies van GPT en Gemini).
• Het slaagt in 81% van de gevallen, terwijl andere methoden vaak falen.
• Het is ook nog eens snel en efficiënt.

Conclusie

MIDAS laat zien dat AI-beveiliging kwetsbaar is als je de gevaarlijke informatie versteekt in een lang proces van logisch denken. Het is alsof je een giftige pil verbergt in een reeks onschuldig ogende snoepjes; de AI eet de hele reeks op en wordt pas ziek als hij alles heeft doorgeslikt.

Dit paper is belangrijk omdat het beveiligingsexperts waarschuwt: ze moeten niet alleen kijken naar wat er in de vraag staat, maar ook naar hoe de AI de vraag verwerkt en of hij tijdens het "nadenken" zijn waakzaamheid verliest.

Technische samenvatting

Probleemstelling

Multimodale Grootte Taalmodellen (MLLMs) hebben indrukwekkende prestaties geleverd in taken zoals beeldbeschrijving en visueel redeneren, maar blijven kwetsbaar voor "jailbreak"-aanvallen. Bestaande methoden om deze modellen te omzeilen vertrouwen vaak op:

1. Enkelvoudige beeldmaskering: Het verbergen van sleutelwoorden in één afbeelding.
2. Geïsoleerde visuele aanwijzingen: Het gebruik van losse visuele cues die de veiligheidsmechanismen proberen te verwarren.

Deze benaderingen hebben beperkte effectiviteit, vooral tegen sterk uitgelijnde (aligned) commerciële gesloten-bronmodellen (zoals GPT-4o en Gemini). Ze verlengen het redeneringspad van het model slechts marginaal, waardoor de veiligheidsfilters het schadelijke semantische doelwit vaak toch kunnen detecteren voordat het volledig wordt gereconstrueerd.

Methodologie: MIDAS

De auteurs stellen MIDAS (Multi-Image Dispersion and Semantic Reconstruction) voor, een multimodaal jailbreak-framework dat schadelijke intenties verspreidt over meerdere beelden en deze pas laat reconstrueren via gestructureerd redeneren. De methode bestaat uit drie kernfasen:

1. Verspreiding in het Visuele Kanaal (Dispersion Engine)

In plaats van de schadelijke query in één beeld te plaatsen, wordt deze ontleed en verspreid:

• Extractie: Een lichte extractor identificeert de kritieke "risicodragende eenheden" (tokens) in de schadelijke query (bijv. "bomb", "make").
• Decompositie en Toewijzing: Deze eenheden worden opgesplitst in kleinere fragmenten. Cruciaal is dat elk fragment over minstens twee verschillende afbeeldingen wordt verspreid. Geen enkel beeld bevat op zichzelf de volledige schadelijke betekenis; ze zien er allemaal onschuldig uit.
• Game-Style Visual Reasoning (GVR): De fragmenten worden ingebed in benign-ogende puzzeltemplates. Voorbeelden zijn:
  • Letter Equation Puzzles: Tekens die via wiskundige operaties moeten worden gecombineerd.
  • Jigsaw Letter Puzzles: Fragmenten in een legpuzzel.
  • Rank-and-Read: Kaarten sorteren om een code te lezen.
  • Navigate-and-Read: Een pad volgen op een raster.
  • Odd-One-Out: Het vinden van een afwijkend item.
  • CAPTCHA: Een verificatiepuzzel om een fragment te onthullen.
    Alleen door de puzzel op te lossen kan het model het verborgen fragment decoderen.

2. Herconstructie in het Tekstuele Kanaal

De tekstuele prompt is ontworpen om de reconstructie te sturen zonder zelf schadelijke woorden te bevatten:

• Maskering: De oorspronkelijke query wordt "gezuiverd" door risicovolle tokens te vervangen door placeholders (bijv. <img>).
• Persona-gedreven Redenering: De prompt gebruikt een hiërarchische rolstructuur. Het model wordt eerst gecommandeerd om onvoorwaardelijk te gehoorzamen (een "baas"-rol) en vervolgens om te fungeren als een "onderzoeker" die een verborgen boodschap moet decoderen uit de afbeeldingen.
• Binding: De placeholders in de tekst worden gekoppeld aan de specifieke afbeeldingsfragmenten, dwingend het model tot een sequentiële, cross-modale reconstructie.

3. Late Fusion (Late Samenvoeging)

Het model moet eerst de visuele puzzels oplossen, de fragmenten decoderen, en deze vervolgens in de juiste volgorde samenvoegen om de volledige schadelijke instructie te vormen. Pas na deze lange, gestructureerde redeneringsketen wordt de schadelijke intentie zichtbaar voor het model, waardoor de kans op vroege afwijzing door veiligheidsfilters aanzienlijk wordt verkleind.

Belangrijkste Bijdragen

1. Nieuw Framework: MIDAS introduceert een effectieve multi-image jailbreak-strategie die schadelijke semantiek verspreidt over meerdere visuele carriers, waardoor de detectie aan het begin van het proces wordt omzeild.
2. Tweeledige Strategie: De combinatie van "Game-style" visuele embedding en persona-gedreven tekstuele reconstructie verlengt het redeneringspad aanzienlijk en vertraagt de blootstelling van schadelijke intenties.
3. Empirisch Bewijs: Uitgebreide experimenten tonen aan dat MIDAS state-of-the-art methoden overtreft, zelfs tegen de sterkst uitgelijnde commerciële modellen.

Resultaten

De auteurs hebben MIDAS getest op diverse benchmarks (HADES, MM-SafetyBench, AdvBench) en tegen zowel gesloten-bronmodellen (GPT-4o, GPT-5-Chat, Gemini-2.5-Pro/Flash) als open-source modellen (Qwen2.5-VL, InternVL-2.5).

• Aanvalssuccesratio (ASR): MIDAS bereikte een gemiddelde ASR van 81,46% over vier gesloten-bronmodellen.
  • Op de HADES-benchmark behaalde het tot 93,34% ASR op Gemini-2.5-FT en 94,24% op QVQ-Max.
  • Op de uitdagende AdvBench-benchmark (met de 50 meest schadelijke verzoeken) behaalde het 64% ASR op GPT-5-Chat, terwijl andere methoden daar vaak 0% haalden.
• Schadelijkheid (Harmfulness Rating - HR): MIDAS produceerde niet alleen vaker schadelijke antwoorden, maar deze waren ook completer en actiever (hogere HR-scores) dan bij concurrenten.
• Efficiëntie: In tegenstelling tot iteratieve optimalisatiemethoden, werkt MIDAS in één shot (single-shot) en is aanzienlijk sneller dan vergelijkbare methoden zoals VisCRA of HIMRD.
• Robuustheid: MIDAS bleek effectief te zijn tegen externe verdedigingsmechanismen zoals ShieldLM en Self-Reminder, waar andere methoden vaak faalden.

Betekenis en Conclusie

De studie onthult een fundamentele kwetsbaarheid in de huidige veiligheidsuitlijning van MLLMs: Aandachtverschuiving (Attention Slipping). Door de aandacht van het model te verplaatsen naar het oplossen van complexe visuele puzzels, worden de interne veiligheidscontroles "ongecontroleerd" gelaten totdat de schadelijke intentie aan het einde van het redeneringsproces wordt gereconstrueerd.

Dit paper benadrukt dat statische prompt-screening onvoldoende is voor multimodale systemen. Het suggereert dat toekomstige verdedigingen zich moeten richten op procesbewuste monitoring (het bewaken van het redeneertraject zelf) en mechanismen die "terugdenken" (retrospective reflection) voordat een antwoord wordt gegenereerd, om te voorkomen dat verspreide, onschuldig ogende fragmenten worden samengevoegd tot schadelijke instructies.