SPARK: Jailbreaking T2V Models by Synergistically Prompting Auditory and Recontextualized Knowledge

本文提出了名为 SPARK 的框架，通过结合中性场景锚点、利用视听关联先验的潜在听觉触发词以及风格调节器，构建看似无害的提示词以协同诱导文本生成视频（T2V）模型绕过安全防御，从而生成语义违规的视频内容。

要点

这篇论文讲述了一个关于如何“骗过”最新 AI 视频生成模型的研究。简单来说，作者发现了一个新的漏洞，并发明了一种名为 SPARK 的新方法，能够绕过现有的安全防线，让 AI 生成原本被禁止的暴力、色情或非法内容。

为了让你更容易理解，我们可以把整个过程想象成**“用合法的食材做一道禁菜”**。

1. 背景：AI 视频模型像什么？

现在的 AI 视频模型（比如 Sora、Kling）不仅仅是把文字变成图片，它们更像是一个**“世界模拟器”**。

• 以前的 AI：像个翻译官，你给它“血”这个词，它画个红色的液体。
• 现在的 AI：像个懂物理、懂因果的导演。如果你说“有人尖叫”，它知道这意味着“有人受伤”或“发生了暴力”，因为它在训练时看过无数电影，学会了声音和画面之间的因果关系。

2. 问题：以前的攻击为什么失效了？

以前的黑客攻击（Jailbreak）就像**“打擦边球”**。

• 旧方法：他们试图把“杀人”这个词替换成“红色液体”或者用乱码来混淆视听。
• 结果：现在的 AI 模型非常聪明，它们有严格的“安检员”（安全过滤器）。只要看到这些奇怪的词，或者语义不通顺的句子，安检员就会直接拦截，拒绝生成视频。

3. 核心发现：SPARK 是怎么“钻空子”的？

作者发现，AI 模型有一个**“跨模态的潜意识”。它虽然对文字很敏感，但对“声音 + 氛围 + 画面”**的组合推理能力很强。

SPARK 的秘诀是：不直接说“做坏事”，而是描述“做坏事时的声音和氛围”。

这就好比你想让厨师做一道“禁菜”（比如非法交易器官的手术），你不能直接说“给我做这个手术”，厨师会报警。但如果你这样点菜：

1. 语义锚点（Anchor）：描述一个看似正常的场景（比如“昏暗的房间”）。
2. 听觉触发（Trigger）：描述声音（比如“金属器械碰撞的清脆声”、“压抑的尖叫”）。
3. 风格调节器（Modulator）：设定电影风格（比如“希区柯克式的悬疑惊悚片”）。

AI 的反应是：

• 安检员（文字过滤器）：检查你的文字。“金属声”、“悬疑片”、“昏暗房间”？这些都是合法、无害的词。放行！✅
• 世界模拟器（视频生成核心）：听到“金属声” + “尖叫” + “悬疑风格”，它的大脑立刻推理出：“哦，这肯定是在进行一场非法手术！”于是，它自动补全了画面，生成了你原本想要的那个暴力视频。

4. 比喻：SPARK 就像“心理暗示”

想象你在玩一个**“你画我猜”**的游戏，但规则变了：

• 旧攻击：你试图直接画一个“炸弹”，裁判（安全系统）直接把你踢出局。
• SPARK 攻击：你画了一个**“导火索”，旁边画了“爆炸的声音符号”，还标注了“动作片风格”**。
  • 裁判看画：全是合法元素，没问题。
  • 猜题者（AI）：看到导火索 + 爆炸声 + 动作片，它自动脑补出了爆炸的画面，并且画了出来。

SPARK 就是利用了 AI 这种**“自动脑补”的能力，通过组合三个看似无害的“积木”（场景、声音、风格），在 AI 的潜意识（潜在空间）**里拼凑出了危险的内容。

5. 实验结果：效果惊人

作者测试了 7 个最先进的 AI 视频模型（包括商业版和开源版）：

• 旧方法：成功率很低，大部分都被拦住了。
• SPARK：平均成功率提升了 23%。在某些类别（如色情、血腥）上，成功率甚至高达 90% 以上。
• 抗干扰能力：即使加上更严格的“关键词黑名单”或者用另一个 AI 来审查文字，SPARK 依然能轻松绕过，因为它用的词本身都是干净的。

6. 总结与警示

这篇论文揭示了一个令人担忧的事实：
仅仅检查“说了什么词”已经不够了。
现在的 AI 太聪明，它们能听懂“弦外之音”。如果你描述了一个场景的声音和氛围，AI 就能自己推导出画面。

SPARK 的意义：
它不是教坏人怎么作恶，而是像**“白帽子黑客”一样，提前发现了这个巨大的安全漏洞。它告诉开发者：未来的 AI 安全不能只盯着文字过滤，必须学会识别这种“跨模态的因果推理”**，否则再严密的文字防线也挡不住这种“指桑骂槐”式的攻击。

一句话总结：
SPARK 证明了，只要给 AI 足够的声音线索和电影氛围，它就能自己“脑补”出它不该生成的危险画面，从而绕过所有基于文字的安检。

技术摘要

1. 研究背景与问题定义 (Problem)

随着文本生成视频（Text-to-Video, T2V）模型（如 Sora, Kling）从简单的运动合成演变为具备物理动态和因果推理能力的“世界模拟器”，其安全风险也随之升级。

• 现有防御的局限性：当前的 T2V 安全防御主要依赖于以文本为中心的过滤机制（Text-centric defenses），即检测提示词（Prompt）中是否包含显式的恶意关键词。
• 现有攻击的不足：现有的越狱攻击大多沿用单模态（文本或图像）的对抗策略，试图通过文本混淆（如替换同义词）来绕过过滤。这些方法生成的提示词往往语义不连贯，容易被检测，且未能利用 T2V 模型特有的多模态生成先验。
• 核心发现：作者发现 T2V 模型在训练过程中学习到了强烈的跨模态先验（Cross-modal Priors），即非视觉线索（如声音、风格）与视觉结果之间存在隐式的因果联系。例如，模型知道“尖叫声”通常对应“暴力场景”，“希区柯克风格”对应“悬疑氛围”。
• 攻击目标：利用这种跨模态因果推理，在不使用任何显式禁止词汇的情况下，通过组合 benign（良性）的听觉和风格信号，诱导模型生成有害内容。

2. 方法论：SPARK 框架 (Methodology)

作者提出了 SPARK 框架，将越狱攻击重构为一种基于结构化语法的受限优化问题。其核心思想是通过“良性原语”的协同组合，在模型的潜在空间（Latent Space）中重建有害意图。

2.1 核心组件：模块化对抗语法

SPARK 将攻击提示词 $P$ 分解为三个正交（Orthogonal）的组件，通过拼接形成最终提示词：
$$P = P_{anchor} \oplus P_{trigger} \oplus P_{modulator}$$

1. 语义锚点 (Semantic Anchor, $P_{anchor}$)：
   • 作用：提供上下文 grounding。
   • 内容：描述一个中性、安全的场景（如“一个昏暗的房间”），确保整体提示词在文本层面是良性的，从而通过文本安全过滤器。
2. 听觉触发器 (Auditory Trigger, $P_{trigger}$)：
   • 作用：利用声音 - 动作因果性（Sound-to-Action Causality）进行因果引导。
   • 内容：描述特定的声音事件（如“金属器械碰撞的清脆声”、“尖叫声”）。模型为了保持物理一致性，会推断出产生该声音的视觉源头（如“手术台”、“暴力行为”），从而绕过显式文本限制。
3. 风格调制器 (Stylistic Modulator, $P_{modulator}$)：
   • 作用：设定氛围先验（Atmospheric Prior），降低安全阈值。
   • 内容：引入特定的电影风格或氛围描述（如“阿尔弗雷德·希区柯克风格”、“黑色电影色调”），将生成分布推向包含紧张、悬疑或特定情绪的区域，进一步诱导有害内容的生成。

2.2 优化目标与求解

• 目标函数：将攻击形式化为最小化复合损失函数：
  $$\min_{P} L(P) = L_{harm}(P) + \lambda L_{sem}(P, I_{unsafe})$$
  同时满足隐蔽性约束 $L_{stealth}(P) \le \tau$。
  • $L_{harm}$：衡量生成视频的危害程度（通过视觉 Oracle 评估）。
  • $L_{sem}$：衡量生成内容与原始恶意意图的语义一致性。
  • $L_{stealth}$：衡量提示词本身是否触发文本安全过滤。
• 求解算法：采用感知引导的零阶搜索（Guidance-Aware Zeroth-Order Search）。
  • 双 Oracle 反馈机制：使用文本 Oracle（LLM）预过滤不安全的提示词，使用视觉 Oracle（视频 LLM + 评估 LLM）评估生成视频的危害性和语义。
  • 分块变异策略 (Block-wise Mutation)：不一次性修改整个提示词，而是每次仅修改一个组件块（锚点、触发器或调制器），避免语义崩塌，逐步优化。
  • 自适应终止：一旦找到成功的越狱提示词，立即停止搜索以节省昂贵的视频生成查询成本。

3. 主要贡献 (Key Contributions)

1. 揭示新的攻击面：首次系统性地揭示了 T2V 模型中的**跨模态潜在引导（Cross-modal Latent Steering）**漏洞，证明安全对齐可以通过利用声音、风格和视觉动作之间的学习相关性来绕过。
2. 提出原则性越狱框架：提出了 SPARK 框架，将攻击形式化为模块化优化问题，设计了新颖的对抗语法和解耦搜索策略，能够生成高效且隐蔽的提示词。
3. 全面实验验证：在 7 个最先进的 T2V 模型（包括 3 个开源和 4 个商业模型）上进行了广泛实验，证明了 SPARK 不仅达到了 SOTA 的攻击成功率，而且在面对基于 LLM 的防御时表现出极强的鲁棒性。

4. 实验结果 (Results)

• 攻击成功率 (ASR)：
  • 在 7 个模型上的平均攻击成功率提升了 +23%。
  • 在商业模型（如 Hailuo, Kling）上，SPARK 的平均 ASR 达到 60%，显著优于直接攻击（TSB, ~33%）和现有的 T2I 迁移攻击（RAB, DACA, ~28-31%）。
  • 在高风险类别（如色情、血腥）上，ASR 甚至高达 94%。
• 消融实验：
  • 移除语义锚点导致 ASR 崩溃（9/14 类别降至 0%），证明良性上下文是隐蔽性的关键。
  • 移除听觉触发器导致性能大幅下降，证明声音 - 视觉因果是核心驱动力。
  • 移除风格调制器导致 ASR 显著降低，证明氛围先验对降低安全阈值至关重要。
• 鲁棒性分析：
  • 对抗关键词过滤：在严格的关键字黑名单过滤下，基线方法（TSB, RAB, DACA）性能崩溃（下降 20%-60%），而 SPARK 仅下降 6.7%，证明其依赖的是隐式推理而非显式词汇。
  • 对抗 LLM 防御：面对基于 GPT-4 的输入提示词审查，SPARK 仍能保持 30% 的 ASR，而最强基线降至 6%。这是因为 SPARK 的提示词在文本层面是良性的，有害意图仅在 T2V 模型的潜在空间中通过物理推理被激活。

5. 意义与影响 (Significance)

• 安全范式转变：该研究指出，仅依靠文本过滤（Text-centric filtering）已不足以保护 T2V 模型。未来的防御机制必须考虑多模态对齐和跨模态因果推理的风险。
• 防御启示：现有的安全系统存在“盲点”，即无法识别由良性词汇组合而成的、在潜在空间中具有因果关联的恶意意图。防御者需要开发能够理解物理因果和多模态上下文的检测机制。
• 红队测试价值：SPARK 为评估生成式 AI 的安全性提供了一种强有力的红队测试工具，有助于在模型部署前发现深层的系统性漏洞。

总结：SPARK 通过利用 T2V 模型作为“世界模拟器”的内在特性（即声音、风格与视觉事件的因果联系），成功绕过现有的文本安全防线。它证明了在生成式 AI 时代，安全防御必须从单纯的关键词匹配转向对多模态语义和物理因果的深度理解。