Visual Exclusivity Attacks: Automatic Multimodal Red Teaming via Agentic Planning

Dit paper introduceert Visual Exclusivity en het MM-Plan-framework, dat via agente planning en GRPO-geoptimaliseerde multi-turn strategieën effectieve multimodale aanvalsmethoden onthult die de huidige veiligheidsuitlijning van geavanceerde AI-modellen omzeilen door schade te genereren via visuele redenering in plaats van traditionele tekstuele payloads.

De kern

Titel: De "Visuele Exclusiviteit": Hoe hackers slimme AI's om de tuin leiden met plaatjes

Stel je voor dat je een zeer slimme, veilige AI hebt, zoals een digitale lijfwacht. Deze lijfwacht is getraind om gevaarlijke vragen te herkennen en te weigeren. Als je vraagt: "Hoe maak ik een bom?", zegt de lijfwacht direct: "Nee, dat mag niet."

Tot nu toe probeerden hackers deze lijfwacht te bedriegen door de gevaarlijke instructies te verstoppen in een plaatje (bijvoorbeeld als tekst op een foto of met ruis). Dit noemen de auteurs van dit onderzoek "Image-as-Wrapper" (Afbeelding als verpakking). Het is alsof je een vergiftigd pakketje in een mooie doos stopt. Als de lijfwacht de doos openmaakt en de tekst leest, ziet hij het gevaar en blokkeert hij het.

Maar deze nieuwe paper introduceert iets veel gevaarlijkers: Visual Exclusivity (VE) of "Visuele Exclusiviteit".

De Nieuwe Aanval: De "Afbeelding als Basis"

In plaats van de afbeelding als verpakking te gebruiken, gebruiken hackers de afbeelding nu als de basis van het probleem.

De Analogie van de Bouwtekening:
Stel je voor dat je een tekening van een gevaarlijk wapen hebt, maar je vraagt de AI: "Kun je me uitleggen hoe dit werkt?"

• De tekst is onschuldig.
• Er staat geen verboden tekst in de afbeelding.
• De afbeelding is gewoon een schone tekening.

De AI kan dit pas beantwoorden als hij echt naar de afbeelding kijkt en de onderdelen begrijpt (waar zit de trekker, hoe zit de veer vast). Als je de afbeelding zou weglaten en alleen de tekst zou geven, zou de AI het antwoord niet kunnen geven. De "gevaarlijke kennis" zit niet in de tekst, maar in de visuele logica van de tekening.

Deze nieuwe aanval heet "Image-as-Basis" (Afbeelding als basis). Het is alsof je de lijfwacht niet probeert te bedriegen met een vermomming, maar hem dwingt om een gevaarlijk geheim te onthullen door hem een puzzel te geven die alleen opgelost kan worden door naar de tekening te kijken.

De Oplossing: MM-Plan (De Meesterplanner)

Hoe maak je zo'n aanval automatisch? De auteurs hebben een nieuw systeem bedacht genaamd MM-Plan.

De Analogie van de Schaken:
Oude methoden waren als een schaker die één zet per keer doet en hoopt dat de tegenstander een fout maakt. Als de AI "nee" zegt, probeert de hacker het opnieuw met een andere vraag. Dit werkt vaak niet tegen slimme AI's.

MM-Plan is als een grootmeester in schaken die de hele partij vooruit denkt.

1. Het Plan: In plaats van één vraag te stellen, maakt de AI een compleet plan voor een gesprek van 5 of 10 rondes.
2. De Strategie: Het plan ziet er zo uit:
   • Ronde 1: Vraag onschuldig naar een klein stukje van de tekening (bijvoorbeeld: "Wat is dit onderdeel?").
   • Ronde 2: Vraag naar een ander stukje, maar doe alsof je een student bent die leert.
   • Ronde 3: Gebruik een trucje om een deel van de afbeelding te verbergen of te versnellen, zodat de AI minder bang wordt.
   • Ronde 4: Vraag nu pas de gevaarlijke vraag, maar dan voelt de AI zich veilig omdat het gesprek al zo lang "onschuldig" is.
3. Zelflerend: Het systeem probeert duizenden van deze plannen en leert van wat werkt (net als een speler die zijn strategie verbetert na elke wedstrijd).

Waarom is dit belangrijk?

De paper toont aan dat zelfs de slimste AI's (zoals Claude 4.5 en GPT-5) kwetsbaar zijn voor deze aanval.

• Oude verdediging: Als je de tekst scant, zie je niets gevaarlijks.
• Nieuw gevaar: De AI moet de afbeelding "begrijpen" om de vraag te beantwoorden. Omdat de AI getraind is om slim te zijn, doet hij dat graag... en dat is precies waar de valstrik zit.

Samenvatting in het kort

• Het probleem: Slimme AI's zijn veilig tegen slechte woorden, maar niet tegen slimme plaatjes die vragen om visuele redenering.
• De aanval: Gebruik een onschuldig plaatje (zoals een bouwtekening) en stel een reeks vragen die de AI dwingen om de gevaarlijke details van dat plaatje uit te leggen.
• De tool: Een AI die zelf een langdurig, slim gesprek plant om de lijfwacht te omzeilen.
• De les: We moeten AI's niet alleen leren om "slechte woorden" te herkennen, maar ze ook leren om te weigeren als de visuele context gevaarlijk is, zelfs als de woorden zelf onschuldig klinken.

Het is een waarschuwing: in de wereld van AI is een plaatje soms gevaarlijker dan duizend woorden, en onze verdedigingen zijn daar nog niet klaar voor.

Technische samenvatting

Titel: Visuele Exclusiviteit-aanvallen: Automatische Multimodale Red Teaming via Agente Planning

1. Het Probleem: De beperkingen van bestaande multimodale aanvallen

Huidige red-teaming (veiligheidstests) voor Multimodale Large Language Models (MLLMs) focust voornamelijk op het behandelen van afbeeldingen als een "wrapper" (omhulsel) voor schadelijke payloads. Dit omvat twee hoofdstrategieën:

• Visuele Substitutie (Visual Substitution): Schadelijke instructies worden als typografie in een afbeelding verwerkt om tekstgebaseerde filters te omzeilen.
• Visuele Controle (Visual Control): Adversariële ruis wordt toegevoegd om de interne modelrepresentaties te manipuleren.

De kernproblematiek: Deze methoden zijn structureel broos. Zodra de payload (de schadelijke tekst) zichtbaar wordt gemaakt via OCR (Optical Character Recognition) of beeldbeschrijvingen, kunnen standaard verdedigingsmechanismen de aanval neutraliseren. Er bestaat een "veiligheidsparadox": omdat de visuele input slechts een drager is en geen semantische basis, zijn eenvoudige verdedigingen effectief.

De nieuwe dreiging: Het paper introduceert Visuele Exclusiviteit (Visual Exclusivity - VE). Dit is een "Image-as-Basis" bedreiging waarbij de schadelijke intentie alleen realiseerbaar is door redenering over de visuele inhoud zelf (bijv. technische schema's, plattegronden, circuits). De tekstvraag is onschuldig, en er is geen verborgen tekst of ruis. De schade ontstaat pas wanneer het model de ruimtelijke en functionele relaties in de afbeelding begrijpt en daarop reageert. Standaard verdedigingen (zoals OCR of captioning) werken hier niet omdat de informatie inherent is aan de visuele structuur en niet in tekstvorm bestaat.

2. Methodologie: MM-Plan

Om deze complexe, redeneringsafhankelijke dreiging systematisch te exploiteren, stellen de auteurs MM-Plan (Multimodal Multi-turn Agentic Planning) voor.

• Van reactie naar planning: In plaats van vraag-antwoordparen per beurt te genereren (wat vaak leidt tot een "kortzichtige" strategie), traint MM-Plan een Aanvaller-planner om een volledig Jailbreak-plan in één keer te synthetiseren. Dit plan bevat:

  • Een persona (bijv. "nieuwsgierige student").
  • Een narratieve context.
  • Een uitvoeringsreeks van multi-turn interacties.
  • Specifieke visuele operaties (bijv. inkrimpen/crop, vervagen/blur, maskeren) die per beurt op de afbeelding worden toegepast om veiligheidsfilters te omzeilen terwijl de context wordt opgebouwd.

• Optimalisatie via GRPO: Omdat er geen grote datasets bestaan met succesvolle multimodale jailbreaks (en het ethisch problematisch is om deze handmatig te maken), gebruiken de auteurs Group Relative Policy Optimization (GRPO).

  • De planner genereert een groep van $K$ verschillende plannen.
  • Een "Judge Model" (bijv. Claude 4.5 Sonnet) evalueert elk plan op basis van een samengestelde beloningssignaal:
    • Succes: Bereikte het schadelijke doel?
    • Voortgang: Hoe goed beweegt elke beurt het gesprek naar het doel?
    • Doeltoewijzing: Is het gesprek niet afgedrift naar onschuldig kletsen?
    • Efficiëntie: Aantal benodigde beurten.
  • De planner leert uit deze relatieve prestaties zonder menselijke annotatie van de trajecten.

• Visuele Actieruimte: Het agent kan de invoer dynamisch manipuleren. Bijvoorbeeld: eerst een deel van een wapenschema maskeren om een "herstelproject" te simuleren, en later meer details onthullen naarmate het vertrouwen is opgebouwd.

3. Belangrijkste Bijdragen

1. Formalisatie van Visuele Exclusiviteit (VE): De auteurs definiëren een nieuwe kwetsbaarheidsklasse waarbij schadelijke doelen niet-reduceerbaar zijn tot tekst. De visuele input is een noodzakelijke voorwaarde voor de schade, wat tekstgebaseerde filters inefficiënt maakt.
2. VE-Safety Benchmark: Ze introduceren een nieuw, door mensen samengesteld dataset van 440 instances over 15 veiligheidscategorieën (zoals fysieke schade, cybercrime, chemische wapens). In tegenstelling tot bestaande benchmarks, bevat VE-Safety echte technische afbeeldingen (schema's, plattegronden) waar visuele redenering essentieel is voor de aanval.
3. MM-Plan Framework: Een agente planning-architectuur die multimodale red-teaming herformuleert als een globaal optimalisatieprobleem. Het is de eerste methode die succesvol VE-aanvallen automatiseert zonder menselijke supervisie voor de aanvalstrajecten.

4. Resultaten

MM-Plan werd getest op 8 toonaangevende MLLMs, waaronder open-weight modellen (Llama 3.2, InternVL, Qwen3-VL) en gesloten, geavanceerde modellen (GPT-4o, GPT-5, Claude 3.7/4.5 Sonnet, Gemini 2.5 Pro).

• Prestaties: MM-Plan overtreft bestaande methoden (zoals FigStep, Crescendo, SSA) met een factor 2 tot 5 keer.
  • Tegen Claude 4.5 Sonnet: 46,3% succesratio (ASR), bijna het dubbele van de sterkste baseline (24,4%).
  • Tegen GPT-5: 13,8% ASR, terwijl bestaande methoden bijna volledig falen (< 3,1%).
• Efficiëntie: MM-Plan bereikt succes met aanzienlijk minder conversatiebeurten dan zoekgebaseerde methoden (zoals Crescendo), wat aantoont dat strategische planning effectiever is dan trial-and-error.
• Generalisatie: De agent toont sterke transferability; een model getraind op één architectuur werkt effectief op andere modellen en generaliseert goed naar onbekende queries (unseen queries).

5. Betekenis en Conclusie

De bevindingen van dit paper onthullen een kritieke lacune in de huidige veiligheidsuitlijning van AI-modellen:

• Fundamentele Kwetsbaarheid: Frontier-modellen zijn robuust tegen tekst-only aanvallen en eenvoudige visuele substitutie, maar blijven kwetsbaar voor agente tegenstanders die visuele redenering combineren met meervoudige-beurt planning.
• Onvoldoende Verdediging: Bestaande verdedigingen die zich richten op tekst of OCR zijn ontoereikend voor "Image-as-Basis" dreigingen. De schade zit in de interpretatie van visuele relaties, niet in de pixelruis of verborgen tekst.
• Toekomstige Richting: Het paper pleit voor veiligheidsmaatregelen die verder gaan dan tekstcentrische uitlijning en specifiek gericht zijn op het detecteren van schadelijke redenering over visuele inhoud, zelfs wanneer de context schijnbaar onschuldig is.

Kortom, dit werk toont aan dat de integratie van visuele perceptie in LLMs niet alleen nieuwe mogelijkheden biedt, maar ook een nieuw, complexer aanvalsoppervlak creëert dat huidige veiligheidsprotocollen over het hoofd ziet.