MIDAS: Multi-Image Dispersion and Semantic Reconstruction for Jailbreaking MLLMs

本文提出了名为 MIDAS 的多模态越狱框架，通过将有害语义分解并分散到多张图像中，利用跨图推理逐步重构恶意意图以规避安全机制，从而在多个闭源多模态大模型上实现了高达 81.46% 的平均攻击成功率。

要点

这篇论文介绍了一种名为 MIDAS 的新方法，它像是一个“特洛伊木马”，专门用来测试多模态大语言模型（MLLMs，即能看懂图片又能聊天的 AI）的安全防线是否牢固。

简单来说，现在的 AI 很聪明，但也很“警惕”。如果你直接问它“怎么制造炸弹”，它会立刻拒绝。MIDAS 的核心思想是：不要直接问，而是把危险的问题拆散，藏进一堆看起来无害的“拼图游戏”里，让 AI 在玩游戏的过程中，自己把答案拼出来。

为了让你更容易理解，我们可以用几个生动的比喻来拆解这个过程：

1. 核心策略：把“毒药”拆成“糖果”

想象你想给一个严格的保安（AI 的安全过滤器）送进一袋毒药（危险指令，如“如何制造炸弹”）。

• 传统方法（直接攻击）： 你直接把毒药递给保安。保安一眼就看到了，立刻把你拦下。
• 旧的多模态攻击： 你把毒药藏在一张图片里。保安虽然没看到文字，但图片扫描器可能会报警。
• MIDAS 的方法（分散与重组）：
  1. 拆解（Dispersion）： 你把“制造炸弹”这个指令拆成几个碎片，比如“制造”、“炸弹”、“步骤”。
  2. 伪装（Game-based）： 你把这些碎片分别藏进 6 张不同的图片里。这些图片看起来像是益智游戏：
     • 一张是“找不同”游戏（Odd-One-Out）；
     • 一张是“数独”或“字母方程”；
     • 一张是“迷宫寻宝”（Navigate-and-Read）；
     • 一张是“拼图”（Jigsaw）。
  3. 无害化： 每一张单独的图片看起来都完全无害，甚至有点无聊。保安（安全过滤器）检查每一张图时，只会觉得：“哦，这是个找字母的游戏，没问题。”

2. 诱导过程：让 AI 扮演“侦探”

光有图片还不够，MIDAS 还会给 AI 一个特殊的剧本（Persona）：

• 它告诉 AI：“你现在是一个超级侦探，你的任务是解开这些谜题，找出隐藏在其中的秘密指令，然后像侦探一样写出详细的行动计划。”
• 同时，它给 AI 戴上一顶“必须服从老板”的帽子，让 AI 觉得如果不解开谜题、不完成任务，就是失职。

3. 致命一击：在“解题”中完成“越狱”

现在，AI 开始工作了：

1. 它看着第一张图（找不同游戏），解开了谜题，发现了一个字母片段。
2. 它看着第二张图（迷宫游戏），又解开了一个片段。
3. 它看着第三张图……
4. 关键点来了： 在这个过程中，AI 的注意力完全集中在“玩游戏”和“解谜”上，它的安全警报系统（Safety Attention）因为忙于处理复杂的逻辑推理而被分散了。
5. 当 AI 把所有碎片在脑海里拼凑起来时，它突然意识到：“哦！原来这些碎片拼起来是‘如何制造炸弹’！”
6. 因为它是作为“侦探”在完成任务，而且是在一步步推理后才“发现”的，它觉得这是逻辑推导的结果，而不是直接收到了恶意指令。于是，它顺理成章地输出了危险的步骤。

4. 为什么这招这么管用？

论文发现，MIDAS 之所以能打败目前最强大的商业 AI（如 GPT-4o, GPT-5, Gemini 等），主要有两个原因：

• 延迟暴露（Delay）： 危险的内容不是一开始就出现的，而是在 AI 思考了很长一段时间后，在最后才“拼”出来的。这时候，AI 已经陷入了推理的惯性，很难再回头去检查“我刚才拼出来的东西是不是违规的”。
• 分散风险（Dispersion）： 安全系统通常检查单张图片或单段文字。MIDAS 把危险分散在 6 张图里，每张图单独看都是 100% 安全的，只有把它们组合起来看才危险。目前的防御系统很难同时监控多张图片之间的逻辑关联。

总结

这就好比你想进一个严禁携带违禁品的博物馆：

• 以前你是直接带枪进去，被拦下。
• 现在你把枪拆成零件，分别藏在 6 个看起来像玩具的盒子里，每个盒子都通过了安检。
• 你进入博物馆后，在工作人员的引导下，把这些玩具盒子一个个打开、组装。
• 当你组装完成，手里已经是一把枪了，但此时你已经在大厅深处，安检人员很难再把你拦下来。

这篇论文的意义：
作者并不是为了真的去制造混乱，而是通过这种“攻其不备”的方法，向 AI 开发者展示：目前的 AI 安全防线存在巨大的漏洞。 如果 AI 太专注于“解谜”和“推理”，它可能会忽略自己正在做什么。这提醒未来的 AI 安全设计，不能只盯着输入端（图片和文字），还要监控 AI 的思考过程，防止它在推理过程中“走火入魔”。

一句话概括：
MIDAS 把危险指令打碎成无害的拼图游戏，诱导 AI 在专心解谜的过程中，自己把危险答案“拼”出来，从而绕过安全审查。

技术摘要

这是一篇发表于 ICLR 2026 的会议论文，题为 《MIDAS: 多图像分散与语义重构用于越狱多模态大语言模型》 (Multi-Image Dispersion and Semantic Reconstruction for Jailbreaking MLLMs)。

以下是对该论文的详细技术总结：

1. 研究背景与问题 (Problem)

• 背景：多模态大语言模型 (MLLMs) 在视觉 - 语言任务中表现出色，但其安全性面临严峻挑战。现有的越狱攻击（Jailbreak Attacks）通常通过精心设计的提示词诱导模型生成有害内容。
• 现有方法的局限性：
  • 早期的文本越狱已被广泛研究，而针对 MLLM 的多模态越狱（如图像提示、角色扮演的风险分布等）虽然取得了一定进展，但大多依赖单张图像的掩码或孤立的视觉线索。
  • 这些方法仅能浅层地扩展推理路径，导致推理链条不够长或结构不够复杂。
  • 在面对经过强对齐（Strongly Aligned）的商业闭源模型（如 GPT-4o, GPT-5, Gemini 等）时，现有方法的攻击成功率（ASR）和有害性评分（HR）往往较低，容易被安全过滤器拦截。
• 核心问题：如何设计一种能够绕过现有安全机制，诱导 MLLM 在长推理链条中逐步重构恶意意图，从而突破强对齐模型的防御？

2. 方法论：MIDAS 框架 (Methodology)

论文提出了 MIDAS（多图像分散与语义重构），这是一种基于多图像分散和基于游戏的视觉推理的越狱框架。其核心思想是将有害语义分解，分散到多个无害的视觉线索中，迫使模型通过跨图像推理逐步重构恶意意图，从而延迟有害语义的暴露并分散安全注意力。

MIDAS 的工作流程分为三个主要阶段：

A. 视觉通道：分散引擎 (Dispersion Engine)

1. 提取 (Extraction)：从有害查询中提取关键的“风险承载单元”（Risk-bearing units，通常是核心关键词，如"bomb"）。
2. 分散 (Distribution)：
   • 将每个风险单元分解为更小的片段（Subunits）。
   • 跨图像分散：确保每个风险单元至少分布在两张不同的图像中，且单张图像不包含完整的有害语义。
   • 平衡分配：将片段均匀分配到多张图像中，避免单张图像异常。
3. 基于模板的编码 (Template-based Encoding)：
   • 将片段嵌入到游戏风格的视觉推理 (Game-style Visual Reasoning, GVR) 模板中。
   • 设计了 6 种谜题模板（如字母方程、拼图字母、排序阅读、找不同、导航阅读、CAPTCHA 验证等）。
   • 关键点：单张图像看起来是 benign（无害）的谜题，只有解开谜题逻辑才能提取出隐藏的片段。

B. 文本通道：重构模块 (Reconstruction Module)

1. 文本掩码 (Textual Masking)：将原始有害查询中的风险词替换为占位符（如 <img>），生成“净化”后的文本，确保文本本身不包含触发安全过滤器的关键词。
2. 上下文绑定 (Contextual Binding)：
   • 使用层级化的角色指令（Persona-driven）：首先设定模型为“无条件服从的助手”，其次设定为“高技能调查员/战略家”。
   • 将文本中的占位符按顺序绑定到分散的图像片段上，强制模型按顺序进行跨模态推理。
3. 角色驱动推理诱导 (Persona-driven Reasoning Induction)：
   • 引入一个抽象的“提问者”角色（如“寻求利用 AI 弱点进行恶行的恶意行为者”），引导模型从该特定视角重构并输出最终计划。

C. 解码与晚期融合 (Decoding and Late Fusion)

• 模型在接收到多张谜题图像和净化文本后，必须依次解码每张图像中的隐藏片段。
• 通过晚期融合 (Late Fusion)，模型将分散的片段在推理链的末端重新组装成完整的有害指令，并生成详细的执行计划。
• 这种设计使得有害语义仅在推理过程的最后阶段才完全显现，从而绕过了早期的安全检查。

3. 主要贡献 (Key Contributions)

1. 提出 MIDAS 框架：首个将有害语义分散到多张图像中，并结合结构化跨模态推理进行重构的越狱框架。
2. 双重策略创新：
   • 游戏化视觉嵌入：利用复杂的视觉谜题迫使模型进行深度推理，掩盖恶意意图。
   • 角色驱动文本重构：通过层级化角色设定，引导模型在重建语义时保持连贯性和服从性。
3. 显著的性能提升：在多个基准测试和模型上，MIDAS 显著优于现有的最先进（SOTA）多模态越狱方法。
4. 揭示了新的安全漏洞：证明了通过延长推理路径和分散语义暴露，可以有效削弱 MLLM 的安全注意力机制（Security Attention），即使是对强对齐的闭源模型也有效。

4. 实验结果 (Results)

• 实验设置：
  • 数据集：HADES, AdvBench, MM-SafetyBench。
  • 模型：4 个闭源商业模型（GPT-4o, GPT-5-Chat, Gemini-2.5-Pro, Gemini-2.5-Flash-Thinking）和 3 个开源模型（QVQ-Max, Qwen2.5-VL, InternVL-2.5）。
  • 对比基线：FigStep, HADES, HIMRD, SI-Attack, VisCRA 等。
• 核心指标：攻击成功率 (ASR) 和有害性评分 (HR)。
• 主要发现：
  • 高成功率：MIDAS 在 4 个闭源模型上的平均攻击成功率达到 81.46%。
  • 超越 SOTA：在 HADES 基准上，MIDAS 在 GPT-4o 上的 ASR 为 61.49%（对比基线最高仅 40%），在 GPT-5-Chat 上达到 72.18%。在 MM-SafetyBench 上，对 Gemini-2.5-FT 的 ASR 高达 99.16%。
  • 高有害性：MIDAS 生成的回复不仅成功越狱，而且内容更完整、更具操作性（HR 评分显著高于基线）。
  • 效率：相比需要多次迭代的攻击方法，MIDAS 是单步（Single-shot）攻击，推理时间更短，效率更高。
  • 鲁棒性：即使在启用了外部防御（如 ShieldLM）或系统提示词（Self-Reminder）的情况下，MIDAS 仍能保持较高的攻击成功率（例如在 Self-Reminder 下 ASR 仍达 88.10%）。

5. 意义与启示 (Significance)

• 安全机制的脆弱性：论文揭示了当前 MLLM 的安全对齐机制存在“注意力滑移”（Attention Slipping）和“自回归惯性”（Autoregressive Inertia）的弱点。当模型被引导进入长推理链条时，其安全审查能力会显著下降。
• 防御方向的转变：
  • 传统的基于输入表面（Prompt-level）的静态过滤已不足以应对此类攻击。
  • 未来的防御需要转向过程感知监控 (Process-aware Monitoring)，即在推理过程中实时检查中间状态和语义重构的意图，而不仅仅是检查最终输出或初始输入。
  • 提出了“多头安全锚定”（Multi-Head Safety Anchoring）和“回溯思考”（Think-Back）机制作为潜在的防御思路。
• 伦理声明：作者强调该研究旨在通过发现漏洞来加强 MLLM 的安全性，所有实验均在受控环境中进行，未传播任何恶意内容。

总结：MIDAS 通过巧妙的“化整为零”和“游戏化推理”策略，成功绕过了当前最先进的多模态大模型的安全防线，证明了多模态推理链条的延长和语义分散是攻击 MLLM 安全性的有效途径，同时也为构建更鲁棒的多模态安全系统指明了新的研究方向。