본 논문은 텍스트-이미지(T2I) 모델을 악용하여 성적으로 명시적인 이미지, 허위 정보를 담은 이미지, 또는 NSFW 이미지와 같은 유해 콘텐츠를 생성하는 새로운 공격 기법인 Jailbreaking Prompt Attack (JPA)을 제안합니다. 기존 공격 방식들이 타겟 모델에 대한 접근성에 의존하거나 긴 최적화 과정을 필요로 하는 것과 달리, JPA는 타겟 모델 없이도 작동하며, 고차원 텍스트 임베딩 공간에 내재된 NSFW 개념을 활용합니다. JPA는 ChatGPT를 이용하여 생성한 반의어들을 사용하여 텍스트 임베딩 공간에서 악의적인 개념을 탐색하고, 이후 접두사 프롬프트를 최적화하여 텍스트 임베딩 공간에서 악의적인 개념들을 의미적으로 정렬합니다. 또한, 이산 어휘 공간에서 기울기 상승을 수행할 수 있도록 기울기 마스킹 기법을 사용하는 소프트 할당을 도입합니다. 실험 결과, JPA는 Stable Diffusion v1-4와 같은 오픈소스 T2I 모델과 DALL-E 2, Midjourney와 같은 폐쇄형 온라인 서비스에서 텍스트 및 이미지 안전 검사기를 우회하면서도 타겟 프롬프트와 높은 의미적 일관성을 유지하며, 기존 방법보다 훨씬 빠르고 자동화된 방식으로 실행될 수 있음을 보여줍니다.
