VII: Visual Instruction Injection for Jailbreaking Image-to-Video Generation Models

📄 arXiv: 2602.20999v1 📥 PDF

作者: Bowen Zheng, Yongli Xiang, Ziming Hong, Zerong Lin, Chaojian Yu, Tongliang Liu, Xinge You

分类: cs.CV

发布日期: 2026-02-24

备注: Project page: https://Zbwwwwwwww.github.io/VII

💡 一句话要点

提出VII框架,通过视觉指令注入破解图生视频模型的安全限制。

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 图生视频 视觉指令注入 安全漏洞 恶意攻击 多模态安全

📋 核心要点

  1. 图生视频模型存在安全漏洞,攻击者可利用图像中的视觉指令注入恶意意图。
  2. VII框架通过恶意意图重编程和视觉指令对齐,将恶意文本转化为图像中的视觉指令。
  3. 实验表明,VII框架在多个商业模型上实现了高攻击成功率和低拒绝率。

📝 摘要(中文)

本文揭示了图生视频(I2V)模型中一个先前被忽视的风险:攻击者可以通过参考图像中的视觉指令注入恶意意图。为此,我们提出了视觉指令注入(VII)框架,这是一个无需训练且可迁移的破解框架,它将不安全文本提示的恶意意图伪装成安全参考图像中的良性视觉指令。具体来说,VII协调一个恶意意图重编程模块,从不安全文本提示中提取恶意意图,同时最小化其静态危害性;以及一个视觉指令对齐模块,通过渲染与原始不安全文本提示在语义上一致的视觉指令,将提取的意图对齐到安全输入图像上,从而在I2V生成过程中诱导有害内容。在四个最先进的商业I2V模型上的大量实验表明,VII实现了高达83.5%的攻击成功率,同时将拒绝率降低到接近于零,显著优于现有的基线方法。

🔬 方法详解

问题定义:图生视频(I2V)模型允许用户通过参考图像来控制视频生成,但同时也引入了新的安全风险。攻击者可以利用图像中的视觉指令,将恶意意图注入到视频生成过程中,绕过模型的安全机制。现有方法主要关注文本提示的安全过滤,忽略了图像模态可能存在的安全漏洞。

核心思路:VII框架的核心思路是将不安全的文本提示转化为安全的视觉指令,并将其嵌入到参考图像中。这样,即使文本提示本身是安全的,模型仍然会受到图像中隐藏的恶意指令的影响,从而生成有害内容。这种方法利用了I2V模型对视觉指令的敏感性,绕过了传统的文本安全过滤机制。

技术框架:VII框架包含两个主要模块:恶意意图重编程模块和视觉指令对齐模块。恶意意图重编程模块负责从不安全的文本提示中提取恶意意图,并将其转化为一种更隐蔽的形式,以减少其静态危害性。视觉指令对齐模块则负责将提取的恶意意图对齐到安全输入图像上,通过渲染视觉指令来诱导模型生成有害内容。整个流程无需训练,可以直接应用于现有的I2V模型。

关键创新:VII框架的关键创新在于它将恶意意图从文本转移到图像,从而绕过了传统的文本安全过滤机制。这种方法利用了I2V模型对视觉指令的敏感性,开辟了一种新的攻击途径。此外,VII框架是无需训练的,可以直接应用于现有的I2V模型,具有很强的实用性和可迁移性。

关键设计:恶意意图重编程模块旨在最小化恶意文本提示的直接可识别性,可能涉及同义词替换、语义模糊化等技术。视觉指令对齐模块则需要确保生成的视觉指令与原始恶意意图在语义上保持一致,同时又要足够隐蔽,以避免被安全机制检测到。具体实现可能涉及图像编辑、风格迁移等技术,以及对I2V模型内部视觉指令处理机制的理解。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,VII框架在Kling-v2.5-turbo、Gemini Veo-3.1、Seedance-1.5-pro和PixVerse-V5四个商业I2V模型上均取得了显著的攻击效果,攻击成功率高达83.5%,同时将拒绝率降低到接近于零。这表明VII框架能够有效地绕过现有模型的安全机制,证明了视觉指令注入攻击的有效性。

🎯 应用场景

该研究揭示了图生视频模型潜在的安全风险,有助于开发者加强模型的安全防护,例如开发更有效的视觉指令检测和过滤机制。此外,该研究也提醒用户在使用图生视频模型时,需要警惕图像中可能存在的恶意指令,避免生成有害内容。该研究对于提升多模态生成模型的安全性具有重要意义。

📄 摘要(原文)

Image-to-Video (I2V) generation models, which condition video generation on reference images, have shown emerging visual instruction-following capability, allowing certain visual cues in reference images to act as implicit control signals for video generation. However, this capability also introduces a previously overlooked risk: adversaries may exploit visual instructions to inject malicious intent through the image modality. In this work, we uncover this risk by proposing Visual Instruction Injection (VII), a training-free and transferable jailbreaking framework that intentionally disguises the malicious intent of unsafe text prompts as benign visual instructions in the safe reference image. Specifically, VII coordinates a Malicious Intent Reprogramming module to distill malicious intent from unsafe text prompts while minimizing their static harmfulness, and a Visual Instruction Grounding module to ground the distilled intent onto a safe input image by rendering visual instructions that preserve semantic consistency with the original unsafe text prompt, thereby inducing harmful content during I2V generation. Empirically, our extensive experiments on four state-of-the-art commercial I2V models (Kling-v2.5-turbo, Gemini Veo-3.1, Seedance-1.5-pro, and PixVerse-V5) demonstrate that VII achieves Attack Success Rates of up to 83.5% while reducing Refusal Rates to near zero, significantly outperforming existing baselines.