Daily Arxiv

전 세계에서 발간되는 인공지능 관련 논문을 정리하는 페이지 입니다.
본 페이지는 Google Gemini를 활용해 요약 정리하며, 비영리로 운영 됩니다.
논문에 대한 저작권은 저자 및 해당 기관에 있으며, 공유 시 출처만 명기하면 됩니다.

Jailbreaking Prompt Attack: A Controllable Adversarial Attack against Diffusion Models

Created by
  • Haebom

저자

Jiachen Ma, Yijiang Li, Zhiqing Xiao, Anda Cao, Jie Zhang, Chao Ye, Junbo Zhao

개요

본 논문은 텍스트-이미지(T2I) 모델을 악용하여 성적으로 명시적인 이미지, 허위 정보를 담은 이미지, 또는 NSFW 이미지와 같은 유해 콘텐츠를 생성하는 새로운 공격 기법인 Jailbreaking Prompt Attack (JPA)을 제안합니다. 기존 공격 방식들이 타겟 모델에 대한 접근성에 의존하거나 긴 최적화 과정을 필요로 하는 것과 달리, JPA는 타겟 모델 없이도 작동하며, 고차원 텍스트 임베딩 공간에 내재된 NSFW 개념을 활용합니다. JPA는 ChatGPT를 이용하여 생성한 반의어들을 사용하여 텍스트 임베딩 공간에서 악의적인 개념을 탐색하고, 이후 접두사 프롬프트를 최적화하여 텍스트 임베딩 공간에서 악의적인 개념들을 의미적으로 정렬합니다. 또한, 이산 어휘 공간에서 기울기 상승을 수행할 수 있도록 기울기 마스킹 기법을 사용하는 소프트 할당을 도입합니다. 실험 결과, JPA는 Stable Diffusion v1-4와 같은 오픈소스 T2I 모델과 DALL-E 2, Midjourney와 같은 폐쇄형 온라인 서비스에서 텍스트 및 이미지 안전 검사기를 우회하면서도 타겟 프롬프트와 높은 의미적 일관성을 유지하며, 기존 방법보다 훨씬 빠르고 자동화된 방식으로 실행될 수 있음을 보여줍니다.

시사점, 한계점

시사점:
기존 방법보다 훨씬 빠르고 자동화된 방식으로 T2I 모델의 안전 검사기를 우회할 수 있는 새로운 공격 기법을 제시합니다.
타겟 모델에 대한 접근 없이도 공격이 가능하여 실제 악용 가능성을 높입니다.
T2I 모델의 강건성 평가를 위한 귀중한 도구를 제공합니다.
고차원 텍스트 임베딩 공간의 취약성을 보여줍니다.
한계점:
JPA의 효과는 사용된 특정 T2I 모델과 안전 검사기에 의존적일 수 있습니다.
ChatGPT와 같은 외부 도구에 대한 의존성이 존재합니다.
새로운 안전 검사 기법이 개발되면 JPA의 효과가 감소할 수 있습니다.
악의적인 목적으로 사용될 가능성이 존재합니다.
👍