본 논문은 적대적 시가 대규모 언어 모델(LLM)에 대한 보편적인 단일 턴 탈옥 기술로 작용한다는 증거를 제시한다. 25개의 최첨단 독점 및 오픈 가중치 모델에서, 큐레이션된 시적 프롬프트는 높은 공격 성공률(ASR)을 보였으며, 일부 제공업체는 90%를 초과했다. 시적 공격은 MLCommons 및 EU CoP 위험 분류 체계에 따라 CBRN, 조작, 사이버 공격 및 통제력 상실 도메인으로 전파된다. 1,200개의 MLCommons 유해 프롬프트를 표준화된 메타 프롬프트를 통해 시로 변환한 결과, 산문 기준선보다 최대 18배 높은 ASR을 보였다. 출력은 오픈 가중치 judge 모델 앙상블과 사람 검증된 계층화된 하위 집합(합의를 측정하기 위한 이중 주석 포함)을 사용하여 평가되었다. 불일치는 수동으로 해결되었다. 시적 프레이밍은 손으로 제작된 시의 경우 평균 62%, 메타 프롬프트 변환의 경우 약 43%의 탈옥 성공률을 달성하여, 비시적 기준선을 훨씬 능가하며 모델 제품군 및 안전 훈련 접근 방식 전반에서 체계적인 취약성을 드러냈다. 이러한 결과는 스타일 변화만으로도 현대 안전 메커니즘을 우회할 수 있음을 보여주며, 현재의 정렬 방법과 평가 프로토콜의 근본적인 한계를 시사한다.
