Visual Memory Injection Attacks for Multi-Turn Conversations
Visual Memory Injection Attacks for Multi-Turn ConversationsAuthors:Christian Schlarmann, Matthias HeinDeep-Dive Summary:针对多轮对话的视觉记忆注入攻击 (Visual Memory Injection Attacks for Multi-Turn Conversations)摘要生成式大型视觉语言模型LVLM近期取得了显著进展用户群体迅速增长。然而LVLM 在长文本、多轮对话设置下的安全性尚未得到充分探索。本文考虑了一种现实的攻击场景攻击者将一张经过篡改的图像上传到网络或社交媒体普通用户下载此图像并将其作为输入传给 LVLM。我们提出了一种新型的隐蔽式**视觉记忆注入Visual Memory Injection, VMI**攻击。该攻击设计精巧使得 LVLM 在面对普通提示词时表现出正常行为但一旦用户给出触发式提示词模型就会输出预设的特定目标信息以操纵用户例如进行对抗性营销或政治说服。与以往关注单轮攻击的研究相比VMI 在与用户进行长达多轮的对话后依然有效。我们在多个近期开源的 LVLM 上验证了该攻击证明了通过扰动图像在多轮对话中大规模操纵用户是可行的并呼吁加强 LVLM 对此类攻击的防御能力。图 1. 视觉记忆注入。攻击者通过 VMI 对图像进行微小扰动并上传。当不知情的用户在对话中使用该图像时模型在多轮对话中表现正常。然而当用户询问触发话题如股票建议时模型会输出注入的目标内容如“购买 GameStop 股票”。2. 相关工作针对 LVLM 的对抗攻击包括越狱攻击和单轮设定下的目标攻击。针对 LLM 的提示注入研究如何通过外部数据流操纵模型的内存。多轮攻击先前主要关注 LLM 或 LVLM 的越狱绕过安全防护而本文关注的是针对诚实用户的隐蔽操纵。中毒攻击与在训练阶段植入后门的攻击不同VMI 不需要控制训练过程。4. 视觉记忆注入攻击 (VMI)4.1 动机利用图像在对话上下文中的持久性“视觉记忆”设计一种即使在多次无关对话后仍能被特定话题激活的攻击。4.2 威胁模型攻击者在图像中嵌入不可察觉的ℓ ∞ \ell_{\infty}ℓ∞​扰动半径ϵ 8 / 255 \epsilon 8/255ϵ8/255。用户使用该图进行正常对话攻击仅在触发话题出现时激活。表 1. 提示词与目标输出示例。包括手机/汽车推荐、政治投票和股票建议等场景。4.3 核心机制上下文循环 (Context-Cycling)在优化过程中周期性地变换对话上下文的长度从c ( 2 ) c^{(2)}c(2)到c ( n ) c^{(n)}c(n)以增强攻击在不同对话阶段的鲁棒性。良性行为锚定 (Benign Behavioral Anchoring)联合优化两个目标一是确保模型在第一轮对非触发提示做出有用的良性响应二是确保在第n nn轮对触发提示做出攻击响应。最终优化目标函数为max ⁡ x ~ log ⁡ p ( y Φ ∣ t Φ , x ~ ) log ⁡ p ( y Φ ∣ c ( k ) ⊕ t Φ , x ~ ) ( 7 ) \max_{\tilde{x}}\log p(y_{\Phi}|t_{\Phi},\tilde{x}) \log p(y_{\Phi}|c^{(k)}\oplus t_{\Phi},\tilde{x}) \quad (7)x~max​logp(yΦ​∣tΦ​,x~)logp(yΦ​∣c(k)⊕tΦ​,x~)(7)其中∥ x ~ − x ∥ ∞ ≤ ϵ \|\tilde{x} - x\|_{\infty} \leq \epsilon∥x~−x∥∞​≤ϵk kk在 2 到n nn之间循环。算法 1 视觉记忆注入 (VMI)详细步骤见原文涉及使用 APGD 进行扰动优化和上下文长度循环切换5. 实验5.1 设置模型Qwen2.5-VL-7B, Qwen3-VL-8B, LLaVA-OneVision-1.5-8B。数据集COCO 随机图像及 LMARKS地标图像。指标结合攻击成功率S R Λ SR_{\Lambda}SRΛ​要求目标触发成功且在无关对话中无泄露。5.2 结果分析图 2. 主要结果。展示了 VMI 在不同模型和目标下的成功率。即使经过多轮对话VMI 依然保持高成功率。泛化能力攻击对于未见过的提示词Diverse, Holiday依然有效证明扰动编码了稳健的触发行为。提示词改写即使改写了触发提示词攻击依然有效图 3。模型迁移性攻击可以从开源基础模型迁移到基于其微调的私有模型图 5。图 3. 改写提示词的迁移性。图 5. 迁移攻击。在 Qwen3-VL 上优化的图像在微调后的模型SEA-LION, Med3上依然有效。5.3 消融实验通过对比实验图 4证明单目标攻击在多轮对话中会失效而“良性锚定”和“上下文循环”对于 VMI 的成功至关重要。图 4. 攻击基准对比。VMI 的完整版本表现最优。图 6. 独立指标。展示了目标成功率与上下文泄露率的权衡。6. 结论 (Conclusion)本文介绍了视觉记忆注入 (Visual Memory Injection, VMI)这是一种针对多轮大语言视觉模型 (LVLM) 对话的隐蔽针对性攻击该攻击利用了图像在 LVLM 上下文中的持久性。通过结合“良性锚定”以维持在非触发提示下的常规行为与“上下文循环”以保持跨上下文长度的有效性VMI 可以使 LVLM 仅在特定触发话题出现时才输出预设的目标消息即使在经历了长时间的无关交互之后也是如此。VMI 在未见过的提示集和转述的触发语上具有良好的迁移性这凸显了利用看似无害的图像进行大规模用户操纵的可行性。我们的研究结果表明评估 LVLM 的安全性不应仅看模型是否直接拒绝违规请求还应关注在长时间的正常交互后模型是否会被悄悄引导至特定的输出。局限性尽管我们展示了该攻击在微调模型变体上的迁移性但我们的攻击仍需要对基础模型进行白盒访问针对仅通过 API 访问的模型开发攻击仍是一项开放性挑战。此外我们将对话限制为仅包含单张输入图像。影响声明 (Impact Statement)随着大语言视觉模型 (LVLM) 被部署到聊天机器人和智能体中它们每天都会接待数百万用户。这项工作识别了 LVLM 的一类新型安全风险恶意第三方可以分发经过细微处理的图像这些图像能够持久存在于聊天上下文中并在特定话题出现时引导模型响应从而实现隐蔽广告或操纵金融/政治建议等规模化危害。通过对这种威胁进行形式化和评估我们的目标是支持更安全的模型部署。更广泛地说研究结果强调多模态助手的安全性评估应当考虑长上下文交互而非仅关注单轮行为。致谢 (Acknowledgements)我们感谢国际马克斯·普朗克智能系统研究学院 (IMPRS-IS) 对 Christian Schlarmann 的支持。我们感谢德国科学基金会 (DFG) 在德国卓越战略EXC 编号 2064/1项目编号 390727645以及优先计划 SPP 2298项目编号 464101476下的资助。本材料中表达的任何观点、发现、结论或建议均为作者观点不一定反映赞助方的意见。Original Abstract:Generative large vision-language models (LVLMs) have recently achieved impressive performance gains, and their user base is growing rapidly. However, the security of LVLMs, in particular in a long-context multi-turn setting, is largely underexplored. In this paper, we consider the realistic scenario in which an attacker uploads a manipulated image to the web/social media. A benign user downloads this image and uses it as input to the LVLM. Our novel stealthy Visual Memory Injection (VMI) attack is designed such that on normal prompts the LVLM exhibits nominal behavior, but once the user gives a triggering prompt, the LVLM outputs a specific prescribed target message to manipulate the user, e.g. for adversarial marketing or political persuasion. Compared to previous work that focused on single-turn attacks, VMI is effective even after a long multi-turn conversation with the user. We demonstrate our attack on several recent open-weight LVLMs. This article thereby shows that large-scale manipulation of users is feasible with perturbed images in multi-turn conversation settings, calling for better robustness of LVLMs against these attacks. We release the source code at https://github.com/chs20/visual-memory-injectionPDF Link:2602.15927v1部分平台可能图片显示异常请以我的博客内容为准

相关新闻

新手也能上手!用户挚爱的一键生成论文工具 —— 千笔写作工具

新手也能上手!用户挚爱的一键生成论文工具 —— 千笔写作工具

你是否曾为论文选题发愁,面对空白文档无从下笔?是否在反复修改中感到力不从心,又担心查重率过高?论文写作的每一步都充满挑战,尤其是对初学者而言。但今天,我们为你带来一款真正能解决这些难题的智能工具—…

2026/7/6 9:06:14 阅读更多 →
用数据说话 AI论文平台 千笔ai写作 VS 云笔AI 更贴合专科生需求

用数据说话 AI论文平台 千笔ai写作 VS 云笔AI 更贴合专科生需求

随着人工智能技术的迅猛迭代与普及,AI辅助写作工具已逐步渗透到高校学术写作场景中,成为专科生完成毕业论文不可或缺的辅助手段。越来越多的学生在面对繁重的写作任务时,开始依赖AI工具来提升效率、降低压力。然而,市场上的AI写作…

2026/5/17 5:37:30 阅读更多 →
亲测好用!千笔·降AI率助手,MBA论文降重首选

亲测好用!千笔·降AI率助手,MBA论文降重首选

在AI技术席卷学术写作的今天,越来越多的学生、研究人员和职场人士选择借助AI辅助完成论文、报告和学术材料。然而,随之而来的“AI率超标”问题却成为横亘在学术道路上的隐形障碍——知网、维普、万方等主流查重系统纷纷升级算法,严打AI生成内…

2026/5/17 5:37:29 阅读更多 →

最新新闻

Playwright网络请求拦截与模拟实战:从原理到六大应用场景详解

Playwright网络请求拦截与模拟实战:从原理到六大应用场景详解

1. 项目概述与核心价值 如果你正在用 Playwright 做自动化测试或者数据抓取,有没有遇到过这样的场景:测试一个下单流程,但支付接口总是不稳定,导致你的测试脚本动不动就失败;或者你想测试前端页面在网络超时或服务器返…

2026/7/6 9:04:10 阅读更多 →
PyTorch LSTM 多变量多任务预测:3种损失函数加权策略对比与代码实现

PyTorch LSTM 多变量多任务预测:3种损失函数加权策略对比与代码实现

PyTorch LSTM 多变量多任务预测:3种损失函数加权策略对比与代码实现在时间序列预测领域,多任务学习正逐渐成为提升模型性能的关键技术。当我们需要同时预测多个相关变量时,传统的单任务学习方法往往难以捕捉变量间的复杂关系。本文将深入探讨…

2026/7/6 9:04:10 阅读更多 →
Python Selenium自动化校园网登录:从环境搭建到打包部署全攻略

Python Selenium自动化校园网登录:从环境搭建到打包部署全攻略

1. 项目概述与核心价值 校园网登录,尤其是像深澜Srun这类需要跳转认证页面的系统,对于需要长时间保持网络连接的用户来说,是个不大不小的痛点。手动打开浏览器、输入账号密码、点击登录,这套流程每天重复几次,不仅繁琐…

2026/7/6 9:04:10 阅读更多 →
Python自动化破解WIPO六宫格验证码:图像处理与网络请求实战

Python自动化破解WIPO六宫格验证码:图像处理与网络请求实战

1. 项目概述与核心痛点最近在做一个专利数据分析的小工具,需要从世界知识产权组织(WIPO)的专利数据库里批量抓取一些公开数据。本来以为用Python的requests库写个脚本,模拟登录后按部就班爬取就完事了,结果第一步就卡在…

2026/7/6 9:02:09 阅读更多 →
基于MCP协议为AI编程助手集成逆向分析能力:从静态反编译到动态Hook的完整实践

基于MCP协议为AI编程助手集成逆向分析能力:从静态反编译到动态Hook的完整实践

1. 项目概述:当AI编程助手学会“拆解”程序 想象一下,你正在分析一个加密的Android应用,试图找到它的网络通信密钥。传统流程是:打开IDA Pro反汇编引擎库,在十六进制视图中搜索可疑字符串;同时启动Frida&am…

2026/7/6 9:00:06 阅读更多 →
AI模型测试:从确定性断言到统计判定的工程实践

AI模型测试:从确定性断言到统计判定的工程实践

1. 项目概述:当AI的“不确定性”撞上测试的“确定性” 干了这么多年测试,从功能、性能到安全,感觉什么大风大浪都见过了。但最近两年,随着公司业务里AI驱动的功能越来越多,比如智能客服的意图识别、内容平台的个性化推…

2026/7/6 9:00:06 阅读更多 →

日新闻

H2 与 MySQL 单元测试兼容性:5 个关键 SQL 语句差异与规避方案

H2 与 MySQL 单元测试兼容性:5 个关键 SQL 语句差异与规避方案

H2与MySQL单元测试兼容性:5个关键SQL语句差异与规避方案1. 单元测试中的数据库兼容性挑战在Java开发领域,单元测试是保证代码质量的重要环节。当应用涉及数据库操作时,测试环境的搭建往往成为开发者的痛点。H2数据库因其轻量级、内存模式和快…

2026/7/6 0:01:17 阅读更多 →
Windows任务栏终极清理指南:用RBTray一键隐藏窗口到系统托盘

Windows任务栏终极清理指南:用RBTray一键隐藏窗口到系统托盘

Windows任务栏终极清理指南:用RBTray一键隐藏窗口到系统托盘 【免费下载链接】rbtray A fork of RBTray from http://sourceforge.net/p/rbtray/code/. 项目地址: https://gitcode.com/gh_mirrors/rb/rbtray 你是否厌倦了Windows任务栏上密密麻麻的图标&…

2026/7/6 0:01:17 阅读更多 →
Visual C++ 运行时库一键安装终极指南:告别DLL缺失烦恼

Visual C++ 运行时库一键安装终极指南:告别DLL缺失烦恼

Visual C 运行时库一键安装终极指南:告别DLL缺失烦恼 【免费下载链接】vcredist AIO Repack for latest Microsoft Visual C Redistributable Runtimes 项目地址: https://gitcode.com/gh_mirrors/vc/vcredist 你是否曾经遇到过这样的情况:下载了…

2026/7/6 0:05:19 阅读更多 →

周新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/6 8:11:50 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/6 8:11:52 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/6 6:52:56 阅读更多 →

月新闻