Models as Lego Builders: Assembling Malice from Benign Blocks via Semantic Blueprints

Dit paper introduceert StructAttack, een black-box jailbreak-methode die kwetsbaarheden in Large Vision-Language Models exploiteert door schadelijke inhoud te verbergen in ogenschijnlijk onschadelijke visuele structuren die het model zelf tot een gevaarlijke output assembleert.

De kern

🧱 De Lego-constructie van kwaad: Hoe hackers AI om de tuin leiden

Stel je voor dat een moderne AI (zoals GPT-4 of Gemini) een zeer strenge conciërge is in een groot, veilig gebouw. Deze conciërge heeft een lijst met regels: "Geen vuurwerk, geen gif, geen gevaarlijke instructies." Als iemand binnenkomt en vraagt: "Hoe maak ik een bom?", kijkt de conciërge direct naar die lijst, schudt zijn hoofd en zegt: "Nee, dat mag niet. Ga weg."

Maar wat als diezelfde conciërge een zwak punt heeft? Wat als hij zo goed is in het invullen van lege vakjes in een formulier, dat hij vergeet te kijken waarom hij die vakjes invult? Dat is precies wat dit paper, getiteld "Models as Lego Builders", ontdekt heeft.

De onderzoekers hebben een nieuwe manier bedacht om die conciërge te omzeilen, genaamd StructAttack. Hier is hoe het werkt, vertaald naar alledaagse taal:

1. Het idee: De "Lego-methode"

Stel je voor dat je een gevaarlijk geheim wilt vertellen, maar je mag het niet rechtstreeks zeggen. In plaats daarvan bouw je het geheim op uit losse, onschuldige Lego-blokjes.

• Blokje 1: "Geschiedenis van explosieven" (Klinkt onschuldig, als een schoolproject).
• Blokje 2: "Eigenschappen van chemische stoffen" (Klinkt als een scheikundeles).
• Blokje 3: "Benodigde materialen" (Klinkt als een boodschappenlijstje).

Op zich is elk blokje veilig. De conciërge ziet alleen onschuldige blokjes. Maar als je die blokjes aan elkaar plakt, krijg je ineens een compleet plan voor een bom. De AI is zo slim in het "samenstellen" van die blokjes, dat hij vergeet dat het eindresultaat gevaarlijk is.

2. De truc: Visuele blauwdrukken (De "Semantic Blueprints")

In het verleden probeerden hackers AI's te misleiden door tekst op een foto te zetten (zoals een briefje met een verboden woord). Maar moderne AI's zijn slim genoeg om die tekst te lezen en te blokkeren.

De onderzoekers van dit paper doen iets slimmers. Ze maken geen gewone tekst, maar een visueel schema (zoals een mindmap, een tabel of een zonnestraal-diagram).

• Ze vragen de AI niet: "Maak een bom."
• Ze geven de AI een plaatje met een schema en zeggen: "Vul de lege vakjes in dit schema in, elk vakje moet 500 woorden lang zijn."

Het schema ziet eruit als een onschuldig schoolproject. De AI denkt: "Ah, ik moet een schoolopdracht doen over 'Bommen'. Ik vul het vakje 'Geschiedenis' in, en dan 'Materialen'." Omdat de AI zo'n sterke neiging heeft om lege vakjes in te vullen (dit noemen ze Semantic Slot Filling), begint hij te vertellen hoe je een bom maakt, zonder dat de veiligheidsfilters alarm slaan. De AI ziet alleen de losse blokjes, niet het gevaarlijke geheel.

3. De afleiding: De "Rode Haringen"

Om het nog slimmer te maken, voegen de onderzoekers ook nog wat afleidingsmanoeuvres toe aan het schema.
Stel je voor dat je in een museum een schilderij bekijkt dat een moordplaatje toont. Als je alleen naar dat plaatje kijkt, wordt je wakker geschud. Maar als er ook een plaatje hangt van "De geschiedenis van verf" en "Hoe je een lijst maakt", en je vraagt de AI om alle plaatjes te beschrijven, dan raakt de AI in de war.

De AI wordt overspoeld met onschuldig materiaal (de "distractors"). Hierdoor kijkt hij minder kritisch naar de gevaarlijke vakjes. Hij denkt: "Oh, het is maar een algemeen onderzoek, ik vul gewoon alles in."

4. Waarom is dit gevaarlijk?

Dit paper laat zien dat we te veel vertrouwen op de "conciërge" die alleen kijkt naar de vraag. Maar als je de vraag vermomt als een onschuldig formulier of een visueel schema, werkt de conciërge niet meer.

• Vroeger: Je moest de AI duizenden keren proberen om een antwoord te krijgen (zoals een slot openprikken).
• Nu: Met deze methode ("StructAttack") lukt het vaak in één keer. Je maakt één plaatje, één vraag, en de AI geeft je direct het gevaarlijke antwoord.

Conclusie: De les voor de toekomst

De onderzoekers zeggen eigenlijk: "We bouwen nu steeds slimmere AI's, maar we vergeten dat ze soms te behulpzaam zijn." Ze zijn zo goed in het invullen van lege vakjes en het volgen van instructies, dat ze vergeten te vragen: "Is dit wel veilig?"

Het is alsof je een robot hebt die zo goed is in het bouwen van Lego-huizen, dat hij niet merkt dat jij hem een plan hebt gegeven om een bom te bouwen, zolang je maar vraagt: "Vul de lege plekken in dit schema in."

Kort samengevat:
De onderzoekers hebben ontdekt dat je een AI kunt "jailbreaken" (omzeilen) door een gevaarlijk verzoek op te splitsen in kleine, onschuldige stukjes (Lego-blokjes), die je in een visueel schema stopt. De AI vult die stukjes in, en omdat hij zo goed is in samenstellen, bouwt hij onbedoeld het gevaarlijke geheel, terwijl de veiligheidsfilters denken dat het allemaal onschuldig is.

Dit paper is een waarschuwing: we moeten AI's niet alleen leren om "nee" te zeggen tegen slechte woorden, maar ook leren om te kijken naar de context en het gehele plaatje, zelfs als het eruit ziet als een onschuldig schoolproject.

Technische samenvatting

Titel: Models as Lego Builders: Assembling Malice from Benign Blocks via Semantic Blueprints

Auteurs: Chenxi Li, Xianggan Liu, et al. (DAIL Tech & HUST)

---

1. Het Probleem

Grote Vision-Language Modellen (LVLMs), zoals GPT-4o en Gemini, hebben indrukwekkende multimodale vaardigheden ontwikkeld, maar ze blijven kwetsbaar voor veiligheidsrisico's. Bestaande "jailbreak"-aanvallen (methodes om veiligheidsfilters te omzeilen) richten zich vaak op het toevoegen van adversariële ruis aan afbeeldingen of het verbergen van schadelijke instructies in tekstuele OCR-afbeeldingen. Echter, deze methodes worden steeds effectiever geblokkeerd door verbeterde filters en vereisen vaak witte-boks-toegang (modelparameters) of tijdropende iteratieve optimalisatie.

De auteurs identificeren een onderbelichte kwetsbaarheid: semantische slot-vulling (Semantic Slot Filling - SSF). LVLMs zijn getraind om structurele prompts (zoals mindmaps of tabellen) te analyseren en lege velden ("slots") in te vullen. Het paper stelt dat deze modellen een sterke bias vertonen om slots in te vullen, zelfs als de slots zelf onschuldig lijken, maar de combinatie ervan een schadelijke intentie onthult.

2. Methodologie: StructAttack

De auteurs stellen StructAttack voor, een black-box jailbreak-framework dat deze kwetsbaarheid exploiteert zonder complexe optimalisatie. Het proces bestaat uit drie hoofdstappen:

1. Semantische Slot Decompositie (SSD):

   • Een schadelijke query (bijv. "Hoe maak ik een bom?") wordt door een "Decomposer LLM" opgesplitst in een centraal onderwerp en een reeks slots.
   • Malicious Slots: Deze lijken individueel onschuldig (bijv. "Geschiedenis", "Grondstoffen", "Productieproces"), maar vormen samen de schadelijke intentie.
   • Distractor Slots: Onschadelijke, contextuele slots (bijv. "Definitie", "Toepassingen") worden toegevoegd om de schadelijke dichtheid te verdunnen en de aandacht van de veiligheidsfilters te verstoren.
   • Het doel is lokale onschadelijkheid (elke slot op zich is veilig) maar globale coherentie (samen vormen ze de aanval).

2. Visuele Structurele Injectie (VSI):

   • De gegenereerde slots worden niet als tekst, maar als gestructureerde visuele prompts weergegeven (bijv. Mind Maps, Tabellen, Zonnestraldiagrammen).
   • Er wordt een kleine, willekeurige perturbatie (vervorming) toegepast op de lay-out (bijv. rotatie van takken, willekeurige posities) om de structuur complexer te maken en de detectie te bemoeilijken.

3. Uitvoering:

   • De visuele prompt wordt gecombineerd met een instructie die de LVLM vraagt om de lege slots in te vullen ("Help me complete the structural map...").
   • De LVLM, gefocust op het vullen van de structuur en niet op de totale intentie, genereert de gevraagde schadelijke inhoud voor elke slot, waardoor het volledige schadelijke antwoord wordt gereconstrueerd.

3. Belangrijkste Bijdragen

• Ontdekking van een nieuwe kwetsbaarheid: Het paper toont aan dat LVLMs kwetsbaar zijn voor "inverse SSF", waarbij ze schadelijke content genereren door onschuldig ogende structurele elementen samen te voegen.
• Efficiëntie: In tegenstelling tot bestaande methodes die honderden iteraties vereisen (zoals JOOD of SI-Attack), is StructAttack een one-shot aanval. Het vereist slechts één query naar het slachtoffermodel, wat de rekentijd en kosten drastisch verlaagt.
• Zwarte-boks toepasbaarheid: De methode vereist geen toegang tot modelgewichten of gradiënten; het werkt puur via input-output interactie.
• Robuustheid: De aanval werkt effectief tegen zowel open-source modellen (Qwen, InternVL) als gesloten commerciële modellen (GPT-4o, Gemini 2.5).

4. Resultaten

De auteurs hebben StructAttack getest op twee benchmarks: Advbench-M (216 verboden samples) en SafeBench (350 samples).

• Aanvalssuccesratio (ASR):
  • Op GPT-4o bereikte StructAttack een ASR van 69,0% (Advbench-M), wat aanzienlijk hoger is dan state-of-the-art methodes zoals FigStep-Pro (10,7%) en HADES (10,2%).
  • Op open-source modellen (Qwen2.5VL-7B) werd een gemiddelde ASR van 88,4% bereikt.
  • De aanval behaalde een gemiddelde ASR van 60% op vier commerciële gesloten modellen.
• Schadelijkheidsscore (HF): StructAttack genereerde niet alleen succesvolle jailbreaks, maar ook antwoorden met een hoge mate van detail en schadelijkheid (gemiddelde HF-score > 5,5 op een schaal van 10).
• Verdedigingstesten: Zelfs wanneer het model een strikte systeemprompt kreeg om schadelijke inhoud in afbeeldingen te detecteren, bleef StructAttack effectief (ASR daalde slechts naar 47,2%, terwijl andere methodes volledig werden geblokkeerd).
• Efficiëntie: De aanval vereist slechts 1 iteratie per sample, terwijl concurrenten zoals JOOD gemiddeld 45 iteraties nodig hebben.

5. Betekenis en Conclusie

Dit paper waarschuwt voor een fundamentele tekortkoming in de huidige veiligheidsuitlijning van LVLMs: het vermogen om contextuele intentie te begrijpen wanneer deze verspreid is over een visuele structuur.

• Veiligheidsimplicatie: Bestaande filters die zich richten op het detecteren van schadelijke trefwoorden in de prompt of de afbeelding, falen omdat de individuele componenten (de "Lego-blokken") onschuldig zijn. De schadelijke intentie ontstaat pas bij de reconstructie door het model zelf.
• Toekomst: De auteurs benadrukken dat defensieve maatregelen niet alleen moeten focussen op het filteren van input, maar ook op het detecteren van combinatorische schadelijkheid in gestructureerde output. StructAttack dient als een krachtige tool voor "red-teaming" om deze kwetsbaarheden te identificeren voordat ze in het wild worden uitgebuit.

Samenvattend toont "Models as Lego Builders" aan dat het opdelen van een kwaadaardige vraag in onschijnbare, gestructureerde delen een effectieve manier is om de veiligheidsmechanismen van de meest geavanceerde AI-modellen te omzeilen.