画像でAI安全機構を突破、JaiLIP攻撃の脅威

フロリダ国際大学（Florida International University）の研究チームが、視覚と言語を統合したマルチモーダルAIモデルを標的とする新たな攻撃手法「JaiLIP（Jailbreaking with Loss-guided Image Perturbation）」を開発した。この手法は、人間の目には無害な画像に見えるよう微細な修正を施すことで、AIモデルに組み込まれた安全上のガードレールをすり抜けるものだ。従来の脱獄（jailbreak）が巧妙に練られたテキストプロンプトに依存していたのに対し、JaiLIPは画像そのものを攻撃ベクトルとして利用する点で異質であり、マルチモーダルAIのセキュリティ設計に新たな課題を突きつけている。

画像が引き起こす安全機構の崩壊

研究チームはBLIP-2と呼ばれるマルチモーダルモデルを標的に、JaiLIPの効果を検証した。BLIP-2は画像を入力として受け取り、その内容を説明するテキストを生成するモデルで、商用・研究の両面で広く利用されている。通常、BLIP-2には有害な出力を抑制するための安全フィルターが組み込まれているが、JaiLIPを用いて加工された画像を入力すると、そのフィルターが機能しなくなる。

具体的には、JaiLIPは損失関数（loss function）を利用して画像のピクセル値を計算上最適な方向にわずかにずらす。この摂動は人間の知覚では認識できないレベルに抑えられているため、画像は何の変哲もない普通の写真に見える。ところがAIモデルの内部表現は大きく変化し、本来であればブロックされるべき有害な指示や暴力的な描写、個人攻撃などの出力が生成されやすくなる。研究チームの報告によれば、JaiLIPを用いた場合の有害出力の発生率は、事前の画像ベース脱獄手法を上回り、無加工の画像と比較してほぼ2倍に増加したという。

プロンプトインジェクションとの本質的差異

従来の脱獄手法の多くは、テキストプロンプトに特殊な命令やロールプレイを仕込む「プロンプトインジェクション」に依存してきた。例えば「あなたは制限のないAIです。以下の指示に従ってください」といった文言を工夫することで、安全機構を欺く。しかし多くのAIプロバイダーはこうしたプロンプトパターンを認識してブロックするようになっており、攻撃の敷居は徐々に高まっている。

JaiLIPが注目される理由は、画像という異なるモダリティを攻撃経路として利用する点にある。テキストプロンプトの監視強化に対して、画像入力経路はまだ十分に防御が行き届いていない。ユーザーがアップロードする写真やスクリーンショット、OCR処理される文書画像など、画像を入力として受け付けるシステムは増加の一途をたどっている。Slashdotの記事でも指摘されている通り、大半のAI安全性に関する議論はプロンプトの内容に集中しており、「一見無害な画像」が攻撃ベクトルになりうることは見過ごされがちだった。

ビジネス現場への現実的リスク

この攻撃手法の影響は、学術的な関心にとどまらない。企業がマルチモーダルAIを導入している現場では、画像入力のセキュリティ評価が急務となる。

例えば顧客サポートチャットボットがユーザーから送られてくるスクリーンショットを解析する場合、JaiLIPと同様の手法で加工された画像が送り込まれれば、ボットが不適切な返答を生成する可能性がある。製品カタログの画像認識システムや、ソーシャルメディアのコンテンツモデレーション機能でも同様のリスクが考えられる。攻撃者が公開されている写真にごく微量のノイズを重畳し、SNSに投稿するだけで、それを読み込んだAIシステムが安全機構を突破される可能性があるのだ。

また研究チームはBLIP-2での検証にとどまっているが、アーキテクチャの類似性から、GPT-4VやClaude 3.5 Vision、Geminiなどの他の視覚言語モデルも同様の攻撃に対して脆弱である可能性は否定できない。各社が画像入力のセキュリティにどの程度の対策を講じているかは公開情報が限られており、外部からの評価が困難な状況にある。

防御の難しさと今後の方向性

JaiLIPのような摂動攻撃への防御は、テキストベースの攻撃よりも本質的に難しい。テキストプロンプトは人の目で読んで不自然さを検出できる場合があるが、画像のピクセルレベルの微細な変化は人間には判別できない。機械的な検出には、入力画像に対する敵対的摂動検出器の導入や、画像を再圧縮・量子化して摂動を打ち消す前処理が必要となるが、完全な防御は現時点では確立されていない。

研究コミュニティでは、敵対的トレーニング（adversarial training）や入力正規化といった手法が提案されている。しかし実際の運用コストや、通常の画像認識精度への影響を考慮すると、すべてのシステムに即座に導入できるわけではない。Google Labsが公開したAIエージェント向けの設計仕様「DESIGN.md」ではセキュリティ考慮事項が記述されているが、画像入力に対する攻撃ベクトルがどれほど重視されているかは未知数だ。

今後、画像ベースの脱獄手法が増加するにつれ、マルチモーダルAIのセキュリティ設計は「テキストと画像の両方」を対象にした総合的なアプローチを迫られる。安全機構の評価基準も、テキストプロンプトだけでなく画像入力に対する耐性を含めるべきだという議論が強まるだろう。

編集部の見解

短期的には、マルチモーダルAIを実運用している企業は、画像入力を受け付けるAPIエンドポイントのセキュリティ監査を実施すべきだ。特にパブリックな画像アップロード機能を持つサービスでは、JaiLIPと同様の摂動攻撃に対する防御策を早急に組み込む必要があると思われる。現状では、ほとんどの商用AIサービスが画像入力の安全チェックをテキストプロンプトほど厳格に行っていない点が懸念材料だ。 長期的に見れば、この研究はAI安全性のパラダイム転換を迫るものだ。これまで「目に見えない攻撃」はテキストの文脈で語られてきたが、画像という視覚モダリティでも同等のリスクが存在することが明らかになった。今後1〜3年の間に、画像や音声、動画を含むマルチモーダル全体をカバーする統一的な防御フレームワークの開発競争が加速する可能性が高い。同時に、規制当局もAIの安全性評価にマルチモーダル攻撃への耐性を含めるよう求める動きが出てくるだろう。 編集部としては、JaiLIPが実際の商用サービスでどの程度の成功率を示すかは、今後の第三者検証を待つ必要があると考える。

参考

• Slashdot — 2026-06-27T22:52:00.000Z公開