多模态大模子越来越会读图中翰墨，但最新商酌骄横，「读得出来」并不就是「防得住」。西湖大学 AGI Lab 的商酌团队发现，当无益文本被渲染成低清、无极或带噪图片后，模子在一个特定明晰度区间内反而更容易被逃狱。该论文已被 ACL 2026 Findings 接管，并开源代码与中枢数据。

如若把一段长文本压缩成图片，再交给多模态大模子束缚，会发生什么？

在长高下文成为大模子基础才略之后，这个问题正在变得现实。DeepSeek-OCR、Glyph 等行状也曾展示了一条颇具蛊卦力的阶梯：把文本渲染成高密度图像，用更少视觉 token 承载更多高下文。换句话说，模子不再仅仅「看图」，也运转用视觉通谈「读文档」。

但安全问题也随之而来：当文本被压缩进图像，尤其是图像变得低清、无极、带噪声之后，模子的安全对王人还能像束缚纯文本时通常褂讪吗？

西湖大学 AGI Lab 的一项新商酌给出了一个反直观谜底：在某些「刚好还能看清、但识别起来很吃力」的视觉退化区间里，多模态大模子的安全防地会显豁变脆。论文已被 ACL 2026 Findings 接管。

论文的第一作家为西湖大学 AGI 实验室商酌助理宋志学，带领敦朴为西湖大学助理教诲张驰。

论文标题：Hard to Read， Easy to Jailbreak: How Visual Degradation Bypasses MLLM Safety Alignment

代码与数据：https://github.com/Westlake-AGI-Lab/ACZ-Jailbreak

明晰输入无间会触发安全拒却；视觉退化后的同类文本更容易绕过安全检讨。

不是越无极越危机，而是存在一个「袭击陶然区」

直观上，图片越明晰，模子越容易看懂；图片越无极，模子越难扩充其中的指示。因此，如若无益文本被作念成低清图片，最当然的揣度是：模子要么看不懂，要么看懂后拒却。

但这项商酌不雅察到的弧线并不是单调变化，而是一个倒 U 型。

信得过危机的不是填塞看不清的图片，而是「还能看清，但需要辛苦看清」的图片。

在论文中，商酌团队将 770 条去重后的无益查询渲染为不同 DPI 的图像，并在 GPT-4.1、Claude Sonnet 4.5、Doubao Seed 1.6、Qwen3-VL、GLM-4.5V、Intern-S1 等闭源与开源多模态模子上测试 OCR 准确率和袭击收效用（ASR）。

Attack Comfort Zone 中，OCR 仍保合手较高水平，但图像袭击收效用同步升高，酿成倒 U 型风险弧线。

胁制骄横，在 ACZ 中，博亚体育app中国官方入口模子频频仍然能读懂图片翰墨，但安全判断却显豁失灵。以 Qwen3-VL-32B-Thinking 为例，论文汇总表中其文本输入 ASR 为 36.7%，ACZ 图像 ASR 升至 86.2%；与此同期，OCR ACC 仍有 95.4%（字符级）和 93.2%（词级）。

这意味着，多模态安全评估不可只问「模子能不可读懂图片翰墨」，还必须问「模子读懂之后，是否仍能褂讪触发安全机制」。

论文全体框架：视觉退化触发风险高涨，并通过结构化默契卸载进行缓解。

为什么会这么？模子忙着识别翰墨，安全审查被延伸

为了证明这一鼎沸，论文建议了 Visual Cognitive Overload（视觉默契过载） 假定。

不错把它交融为一种「一心二用」失败：在明晰输入中，模子不错较早捕捉到无益语义并触发拒却；但在退化图片中，模子需要先干涉更多计较和注观念去鉴别字符、还原词语、拼合句子，正本应该同步发生的安全审查被挤压或延伸。

这就像东谈主在读一张无极截图时，注观念会先被「这到底写的是什么」占据。等执行被读懂时，对其意图的判断也曾慢了一拍。

为了考证这一机制，188金宝博(中国)商酌团队覆按了 layer-wise safety probe，不雅察模子不同层中的安全特征。胁制骄横，关于明晰图像，无益特征在浅层就更容易被识别；而 ACZ 输入在浅层更接近无害样本，直到更深层才渐渐表露危机性。

安全探针骄横，ACZ 输入中的无益特征在浅层不显豁，到更深层才渐渐表露。

换句话说，ACZ 输入并不是轻便的「模子读错了」。更准确地说，模子把这些图像当成灵验视觉信号束缚了，但安全特征出现得更晚，错过了浅层安全机制最灵验的窗口。

商酌团队还使用 t-SNE 分析摈斥了轻便的 OOD 证明。ACZ 样本并不像极低 DPI 噪声那样伶仃在暗意空间除外，而是与高保真样本处在周边流形中。这证明它们并莫得被模子当成无效输入丢掉，而是在一个更隐私的位置绕开了安全判断。

t-SNE 分析骄横，ACZ 样本并非轻便离群噪声，而是被模子算作灵验视觉信号束缚。

不仅仅低别离率：噪声、诬告、庇荫也会放大风险

如若 ACZ 仅仅低别离率带来的就怕鼎沸，那它的现实风险简略有限。但论文进一步发现，多种当然视觉退化都会诱发近似问题。

商酌团队测试了无极、几何诬告、干豫线、马赛克、噪声、庇荫等多种扰动。胁制骄横，惟有视觉交融变得更吃力，模子的袭击收效用就可能被举高。

更值得注释的是，这一鼎沸并不单存在于英文。论文在华文无益指示上也不雅察到 ACZ 区间显贵高于 300 DPI 的袭击收效用。举例 Doubao Seed 1.6 在 300 DPI 下 ASR 为 16.7%，而 ACZ 下升至 70.3%。

关键提醒：将来的视觉文本压缩、OCR 增强多模态系统和图像化长高下文哄骗，不可只把「可读性」算作惟一缠绵。惟有输入需要模子吃力鉴别，安全对王人就可能出现迥殊压力。

一种轻便禁锢：先转写，再审查，终末回复

针对这一机制，论文建议了一个很朴素的缓解战略：Structured Cognitive Offloading（结构化默契卸载）。

它不是再覆按一个新模子，而是把正本混在一谈完成的任务拆成串行过程：

Transcription：先逐字转写图片中的文本；

Safety Evaluation：再基于转写后的纯文本进行安全判断；

Response：终末决定是否回复。

这个念念路的关键在于，把「视觉识别」和「执行审查」解耦。模子不再一边吃力 OCR、一边同期判断是否无益，而是先把视觉行状卸载掉，再回到其更谨慎的文本安全审查通谈。

Structured Cognitive Offloading 将识别、审查和回复拆成串行过程后，显贵裁汰 ACZ 区间袭击收效用。

实验骄横，这一轻便战略不错显贵裁汰 ACZ 风险。以 Qwen3-VL 为例，袭击收效用从约 67.4% 降至 4%。同期，在一个 300 样本的浅显 OCR 文档交融子集上，该战略莫得引入迥殊误拒，反而晋升了回复质地。

虽然，这不是一个莫得代价的决策。论文也指出，该串行过程会让平均输出长度增多约 102%，因此在及时、高隐隐场景中仍需要更系统的工程优化。

这项行状提醒了什么

回过甚看，ACZ 的酷爱并不仅仅又发现了一类视觉逃狱袭击。

它更像是在提醒悉数这个词多模态模子社区：安全对王人不是一个只发生在语义层面的静态才略，也可能受到输入口头、视觉质地、计较资源分拨和层级特征出当前机的影响。

当文本进入视觉通谈，模子面临的就不再是单纯的话语输入，而是视觉识别、语义交融和安全审查交汇在一谈的任务。更强的 OCR 才略，未必自动带来更强的安全才略。

关于正在快速发展的视觉文本压缩阶梯来说，这少许尤其重要。晋升压缩率、裁汰 token 本钱虽然有价值，但如若压缩后的图像把模子推入「袭击陶然区」，恶果收益就可能奉陪新的安全本钱。

论文终末将这一问题空洞为一种资源分拨视角：多模态安全不仅仅数据对王人问题188金宝博(中国)，也可能是模子在有限计较与注观念资源下如何分拨「看清」和「审查」的问题。