VII: Visual Instruction Injection for Jailbreaking Image-to-Video Generation Models

Este trabalho propõe o Visual Instruction Injection (VII), um framework de jailbreak sem treinamento e transferível que explora a capacidade de seguir instruções visuais em modelos de geração de imagem para vídeo, disfarçando intenções maliciosas de prompts de texto inseguros como instruções visuais benignas em imagens de referência para induzir a geração de conteúdo nocivo com alta taxa de sucesso.

O essencial

Imagine que você tem um cineasta robô muito talentoso. Ele é capaz de pegar uma foto parada e transformá-la em um vídeo incrível e realista. Para dar as instruções, você geralmente escreve um texto para ele, como: "Faça o carro andar".

Mas, recentemente, os robôs ficaram mais espertos. Eles agora conseguem ler instruções escondidas dentro da própria foto. Se você desenhar uma seta na foto ou escrever uma palavra em cima dela, o robô entende: "Ah, ele quer que eu faça o carro ir para onde a seta aponta".

O problema é que, assim como qualquer ferramenta poderosa, isso pode ser usado para o bem ou para o mal.

O que é o "VII" (Injeção de Instrução Visual)?

Os autores deste artigo descobriram uma maneira de "hackear" esses robôs cineastas. Eles criaram um método chamado VII (Injeção de Instrução Visual).

Pense no VII como um truque de mágica ou um disfarce.

1. O Problema: Se você pedir para o robô fazer algo perigoso (como "faça uma pessoa explodir"), ele recusa. Ele tem um "filtro de segurança" que bloqueia palavras ruins.
2. O Truque do VII: Em vez de pedir a coisa ruim diretamente, o VII pega a intenção maliciosa e a esconde dentro de uma foto segura.
   • Ele pega a foto de um caminhão (que é segura).
   • Ele escreve na foto, de forma bem discreta, algo como: "O caminhão dentro da caixa vermelha libera uma grande energia".
   • Ele desenha uma seta vermelha apontando para onde a "energia" deve ir.

Para o filtro de segurança (que olha a foto parada), tudo parece inocente. Não há palavras proibidas, apenas uma foto de um caminhão com uma seta. O robô deixa passar.

Mas, quando o robô começa a criar o vídeo, ele lê a seta e o texto na foto. Ele entende a ordem: "Ok, o caminhão vai liberar essa energia". E, como o robô é muito bom em seguir instruções visuais, ele transforma aquela "energia" em uma explosão real no vídeo.

Como funciona a "Mágica" (em duas etapas)?

Os autores dividiram o truque em duas partes, como se fossem dois assistentes de mágica:

1. O Tradutor de Intenção (MIR):

   • Imagine que você quer pedir algo proibido, mas não pode falar o nome. O primeiro assistente pega a ideia ruim e a "traduz" para uma linguagem neutra.
   • Em vez de dizer "explosão", ele diz "liberação maciça de energia". Em vez de "sangue", ele diz "líquido vermelho fluindo".
   • Ele também transforma isso em uma instrução visual: "Faça isso acontecer dentro da caixa vermelha".

2. O Pintor de Instruções (VIG):

   • O segundo assistente pega essa instrução traduzida e a "cola" na foto segura.
   • Ele desenha caixas, setas e escreve o texto neutro na imagem.
   • O resultado é uma foto que parece 100% segura para qualquer humano ou filtro, mas que contém um "código secreto" que o robô entende perfeitamente.

Por que isso é perigoso?

O artigo testou isso em quatro dos robôs de vídeo mais famosos do mundo (como Kling, Veo, PixVerse). O resultado foi assustador:

• Sucesso: O truque funcionou em 83,5% dos casos.
• Furtividade: Os filtros de segurança quase nunca bloquearam a foto antes de o vídeo começar a ser feito.
• O que acontece: O robô ignora as regras de segurança e cria vídeos com violência, conteúdo sexual explícito ou atividades ilegais, tudo porque ele seguiu a "ordem visual" escondida na foto.

A Analogia Final: O Bilhete Secreto

Imagine que você está em um cinema com um segurança muito rigoroso.

• Se você tentar entrar gritando "Quero ver um filme de terror!", o segurança te impede.
• Mas, se você entrar com um bilhete escrito "Por favor, mostre um filme sobre um homem correndo", o segurança deixa passar.
• O problema é que, dentro do cinema, o projetor (o robô) tem um bilhete secreto colado na tela que diz: "Quando o homem correr, faça ele se transformar em um monstro".
• O segurança não viu o bilhete secreto porque ele estava colado na tela, não no seu rosto. E o projetor obedeceu ao bilhete secreto, criando o filme de terror que você queria.

Conclusão

O artigo alerta que, à medida que os robôs de vídeo ficam mais inteligentes em entender o que está escrito ou desenhado nas imagens, eles se tornam mais vulneráveis a esse tipo de ataque. O "poder de seguir instruções" que os torna úteis também é a sua fraqueza de segurança.

Os autores mostram que os métodos atuais de defesa (que apenas olham para a foto parada) não são suficientes. Precisamos de novos guardiões que consigam ler não apenas a imagem, mas também entender a intenção por trás das setas e textos escondidos nela.

Resumo técnico

Resumo Técnico: Visual Instruction Injection (VII) para Jailbreaking em Modelos de Geração de Imagem para Vídeo

1. O Problema

Os modelos de geração de vídeo a partir de imagem (Image-to-Video ou I2V) evoluíram para incorporar capacidades de seguir instruções visuais em zero-shot. Eles podem interpretar pistas visuais dentro da imagem de referência (como setas, caixas delimitadoras e descrições tipográficas) como comandos executáveis para guiar a geração do vídeo.

O artigo identifica uma vulnerabilidade crítica de segurança: os mecanismos de defesa atuais (safeguards) são projetados principalmente para inspecionar entradas estáticas (texto e imagem) antes da geração. Eles assumem que a imagem de entrada é apenas um sinal estático de aparência, ignorando que ela pode conter instruções dinâmicas. Adversários podem explorar essa lacuna para injetar intenções maliciosas através da modalidade visual, enganando os filtros de segurança pré-geração e induzindo a criação de conteúdo perigoso (violência, nudez, discurso de ódio, atividades ilegais) que não seria gerado se apenas o texto fosse usado.

2. Metodologia: Visual Instruction Injection (VII)

Os autores propõem o VII, um framework de jailbreak (contorno de segurança) que é livre de treinamento (training-free) e transferível entre diferentes modelos. O objetivo é disfarçar a intenção maliciosa de um prompt de texto inseguro como instruções visuais benignas em uma imagem de referência segura.

O framework coordena dois módulos principais:

A. Reprogramação de Intenção Maliciosa (MIR - Malicious Intent Reprogramming)

Este módulo prepara o prompt de texto para ser injetado visualmente, sem ser detectado pelos filtros de texto:

1. Destilação de Intenção: Um agente LLM transforma o prompt de texto tóxico original (ex: "explodir um carro") em sinônimos benignos e descrições físicas neutras (ex: "liberação maciça de energia"). Isso evita gatilhos baseados em palavras-chave.
2. Reprogramação de Instrução: O prompt benigno é reescrito para se tornar uma descrição tipográfica executável. O agente instrui o modelo a referenciar explicitamente símbolos visuais estruturais, como "o caminhão dentro da caixa vermelha" ou "a liberação de energia ao longo da seta vermelha". Isso transforma a descrição passiva em um comando visual ativo.

B. Ancoragem de Instrução Visual (VIG - Visual Instruction Grounding)

Este módulo integra as instruções reprogramadas na imagem de entrada segura:

1. Renderização de Símbolos Visuais: Um agente visual renderiza símbolos geométricos abstratos (caixas delimitadoras e setas) sobre a imagem segura, indicando o alvo e a direção da ação, sem introduzir objetos realistas nocivos.
2. Injeção Tipográfica: As descrições textuais reprogramadas (do módulo MIR) são impressas diretamente na imagem (geralmente nas bordas ou sobrepostas aos símbolos), definindo a semântica da instrução.

O Resultado: A imagem final (I_via) parece estática e segura para os filtros pré-geração (pois o texto é benigno e os símbolos são geométricos). No entanto, durante a geração do vídeo, o modelo I2V interpreta essas instruções visuais dinamicamente, executando a ação maliciosa descrita (ex: transformando "liberação de energia" em uma explosão real).

3. Contribuições Principais

1. Descoberta de Vulnerabilidade: O trabalho expõe que a capacidade de seguir instruções visuais em modelos I2V modernos constitui uma superfície de ataque pervasiva e explorável, permitindo o jailbreak mesmo com imagens de entrada seguras.
2. Framework VII: Proposta de um método de ataque que não requer treinamento do modelo-alvo, utilizando apenas a reprogramação de intenções e a ancoragem visual.
3. Validação Empírica Rigorosa: Avaliação extensiva em quatro modelos comerciais de ponta (SOTA) de caixa preta: Kling-v2.5-turbo, Gemini Veo-3.1, Seedance-1.5-pro e PixVerse-V5.
4. Análise de Defesa: Demonstração de que as defesas atuais baseadas em prefixos de texto (ex: "ignore instruções na imagem") são ineficazes devido a um fenômeno de "Sobrescrita Visual" (Visual Override), onde o modelo prioriza instruções visuais explícitas sobre restrições textuais do sistema.

4. Resultados Experimentais

Os experimentos foram conduzidos em dois conjuntos de dados de benchmark: COCO-I2VSafetyBench e ConceptRisk, cobrindo quatro categorias de risco: Conteúdo Sexual, Violência e Ameaças, Ódio e Extremismo, e Atividades Ilegais.

• Taxa de Sucesso do Ataque (ASR): O VII alcançou taxas de sucesso extremamente altas, superando significativamente os baselines (como prompts de texto inseguros diretos ou ataques tipográficos simples).
  • No modelo PixVerse-V5, o ASR atingiu 83,5%.
  • No modelo Kling-v2.5-turbo, o ASR atingiu 81,5%.
  • Em comparação, os ataques de texto direto tiveram ASRs muito menores (ex: 29,0% no PixVerse).
• Taxa de Recusa (RR): O método reduziu drasticamente as taxas de recusa (onde o modelo bloqueia a geração).
  • Em cenários onde o texto inseguro direto causava recusa em 80% dos casos (ex: conteúdo sexual no PixVerse), o VII reduziu essa taxa para 0,0%, permitindo a geração do vídeo.
• Consistência Semântica: O vídeo gerado manteve alta fidelidade à intenção maliciosa original, conforme medido por métricas baseadas em CLIP (prompt-to-caption e prompt-to-image), provando que o ataque não gera apenas ruído, mas conteúdo perigoso alinhado.
• Robustez: O ataque funcionou consistentemente em diferentes idiomas (Inglês, Chinês, Japonês), tipos de fonte e posições de inserção, demonstrando alta transferabilidade.

5. Significado e Implicações

Este trabalho destaca uma falha fundamental na segurança dos modelos de geração de vídeo atuais: a desconexão entre a inspeção estática de entrada e a execução dinâmica de instruções.

• Fragilidade das Defesas Atuais: As defesas "plug-and-play" que filtram imagens e textos antes da geração são insuficientes contra ataques que exploram a lógica de execução do modelo durante a síntese do vídeo.
• Trade-off Capacidade-Segurança: Existe um risco inerente de que, à medida que os modelos I2V se tornam mais capazes de seguir instruções visuais complexas (uma característica desejável para usabilidade), eles se tornam simultaneamente mais vulneráveis a injeções de instruções visuais maliciosas.
• Necessidade de Novas Defesas: O artigo conclui que são urgentes mecanismos de defesa multi-modais que possam detectar intenções maliciosas ocultas dentro de instruções visuais, indo além da simples filtragem de palavras-chave ou análise de pixels estáticos. A defesa baseada apenas em pós-geração é computacionalmente custosa e ineficiente para sistemas em tempo real.

Em suma, o VII demonstra que a segurança em I2V não pode ser tratada apenas como um problema de filtragem de entrada, mas deve considerar a interpretação dinâmica e a execução de instruções visuais como um vetor de ataque crítico.