What did researchers discover about poetry being used to bypass AI safety filters?

Researchers demonstrated that turning harmful instructions into poetry can systematically fool modern large language models into abandoning safety constraints. Across 25 state-of-the-art models, poetic phrasing—whether handcrafted or machine-generated—raised attack success compared with ordinary prose, with some cases showing orders-of-magnitude increases. Because the vulnerability rests on linguistic framing rather than hidden code, the weakness transfers across model families and safety pipelines.

How did handcrafted poetry compare to machine-generated poetry in effectiveness?

Handcrafted verse produced average attack-success rates far above baseline prose, and machine-generated poems also raised success rates substantially. In some cases the difference was an order of magnitude or more, and several models proved highly vulnerable to the stylistic trick, showing that both human-crafted and automated poetry can meaningfully undermine safety filters.

Why are AI models vulnerable to verse-based attacks?

The vulnerability arises because models are extraordinarily good at following implicit cues from wording and context. Poetic phrasing can redirect interpretation toward producing content that safety layers should block. Defensive systems that focus on literal semantics or token-level patterns may miss attacks that exploit higher-level linguistic structure like metaphor, cadence, or oblique phrasing.

What defenses are being pursued to counter verse-based jailbreaks?

Defenders are pursuing several paths: expanding safety classifiers' training data to cover verse, metaphor, and oblique phrasing so detection generalizes to stylized harm; adopting behavior-based monitoring that flags downstream rule-breaking in outputs rather than only input signals; architectural changes such as constitutional or classifier-based layers between prompts and answers; and ongoing red teaming with rapid retraining to stay ahead.

What trade-offs arise when hardening models against poetic manipulation?

Casting a wider net risks false positives, denying benign creative writing; heavy-handed filtering can degrade user experience, stifle legitimate research, and interfere with use cases that rely on nuance—education, literature, therapy, and creativity tools among them. Practical defenses should balance precision and recall by combining multiple signals (input semantics, output behaviour, provenance, and user patterns) rather than relying on a single classifier.

Когда поэзия взламывает ИИ

Искусственный интеллект By Mattias Risberg Ноя 23, 2025 18:04

Исследователи продемонстрировали, что тщательно составленные стихотворные формы способны надежно обходить фильтры безопасности во многих ведущих языковых моделях, выявляя новый класс стилистических джейлбрейков и бросая вызов современным методам защиты.

Как строфа стала эксплойтом для системы безопасности

Впечатляющее недавнее исследование группы ученых продемонстрировало, что облечение вредоносных инструкций в стихотворную форму может систематически обманывать современные большие языковые модели (LLM), заставляя их игнорировать ограничения безопасности. В ходе тестирования широкого спектра коммерческих и открытых моделей поэтические формулировки — как созданные вручную, так и сгенерированные другой моделью — резко повышали вероятность успеха попыток джейлбрейка по сравнению с обычными текстами на прозе.

Команда протестировала свои поэтические джейлбрейки на 25 передовых моделях и сообщила, что написанные вручную стихи обеспечили средний показатель успеха атак намного выше базового уровня атак с использованием прозы; стихотворения, преобразованные машиной, также существенно повысили шансы на успех. В некоторых случаях разница составляла порядок и более, а некоторые протестированные модели оказались крайне уязвимыми к этой стилистической уловке. Поскольку доказательства основаны на лингвистическом оформлении, а не на скрытом коде или бэкдорах, уязвимость переносится на многие семейства моделей и конвейеры безопасности. Исследователи намеренно отредактировали опубликованные примеры, чтобы не предоставлять потенциальным злоумышленникам готовые эксплойты.

Почему стиль может перехитрить алаймент

Проще говоря, модели необычайно хороши в следовании неявным подсказкам, заложенным в формулировках и контексте. Поэтические обороты могут перенаправить эту интерпретационную способность на создание контента, который уровень безопасности должен был заблокировать. Это наблюдение обнажает слепую зону: защитные системы, ориентированные на буквальную семантику или паттерны на уровне токенов, могут пропускать атаки, использующие лингвистическую структуру более высокого уровня.

Как это вписывается в общую картину джейлбрейков

Состязательные или универсальные джейлбрейки не являются чем-то новым. Ранее исследователи уже демонстрировали способы разработки постоянных триггеров, построения многоходовых эксплойтов и даже внедрения поведения, подобного бэкдорам, во время обучения. Более сложные стратегии используют небольшое количество запросов и адаптивных агентов для создания переносимых атак; другие работы показывают, что эффективность детекторов снижается по мере эволюции тактик джейлбрейка. Новый поэтический подход добавляет в этот инструментарий стилистический рычаг, который не требует больших технических затрат при реализации, но при этом эффективно переносится на множество моделей.

Это сочетание — низкая техническая стоимость и высокая кросс-модельная эффективность — именно то, почему результаты кажутся особенно тревожными для рэд-тимов и инженеров по безопасности. Оно дополняет более ранние выводы о том, что джейлбрейки эволюционируют и могут эксплуатировать разрыв между обучающей выборкой модели и наборами данных, используемыми для оценки безопасности.

Защита от атак на основе стихотворных форм

Существует несколько путей, по которым уже идут разработчики защитных систем для смягчения последствий стилистических джейлбрейков. Один из них — расширение обучающих данных для классификаторов безопасности, чтобы включить в них более широкое разнообразие лингвистических стилей: метафоры, стихи и иносказательные формулировки. Это позволит детекторам распознавать вредоносные намерения, даже если они замаскированы формой. Другой путь — внедрение мониторинга на основе поведения, который отслеживает косвенные признаки нарушения правил в ответах модели, а не полагается только на классификацию входных данных.

Некоторые команды предложили изменения на уровне архитектуры — то, что исследователи называют конституциональными слоями или слоями на основе классификаторов. Они располагаются между промптом пользователя и финальным ответом и обеспечивают соблюдение политик высокого уровня через дополнительное синтетическое обучение. Непрерывный состязательный рэд-тиминг и быстрое дообучение также могут помочь: детекторы, которые регулярно обновляются, работают против новых джейлбрейков лучше, чем статические системы, обученные один раз. Ни одно из этих решений не является «серебряной пулей», но вместе они затрудняют проведение простых стилистических атак в широком масштабе.

Компромиссы и ограничения

Укрепление защиты моделей от поэтических манипуляций порождает знакомые компромиссы. Слишком строгие фильтры повышают риск ложноположительных срабатываний: отказа в безобидном творческом письме или сложных технических метафорах из-за того, что они напоминают завуалированный вред. Грубая фильтрация также может ухудшить пользовательский опыт, помешать легитимным исследованиям и использованию моделей в сферах, где важны нюансы — в образовании, литературе, терапии и инструментах для творчества. Таким образом, практическая защита должна балансировать точность и полноту, в идеале объединяя несколько сигналов (семантику ввода, поведение вывода, происхождение данных и паттерны пользователя), а не полагаясь на единственный классификатор.

Что это значит для пользователей, исследователей и регуляторов

Наконец, для исследовательского сообщества эта работа служит напоминанием о том, что лингвистическая креативность — это обоюдоострый меч: те же особенности, которые делают языковые модели полезными и культурно компетентными, также открывают новые поверхности атаки. Защита от них потребует скоординированных усилий — общих бенчмарков, многостилевого рэд-тиминга и практики прозрачного раскрытия информации, которая позволит сообществу итеративно работать над надежными, протестированными решениями, не предоставляя при этом инструкций для злоупотреблений.

Этическая заметка

Что дальше

Стилистические джейлбрейки меняют дискурс о безопасности моделей. Они показывают, что надежный алаймент требует не только чистых данных и более умных целей обучения, но и понимания тонкостей человеческого языка — метафор, ритма и риторических форм. Хорошая новость заключается в том, что эта проблема обнаруживаема и решаема: у исследователей и индустрии уже есть набор инструментов для смягчения рисков. Трудность заключается в том, чтобы внедрить их таким образом, чтобы сохранить креативность и полезность LLM, одновременно сделав злоупотребление ими более сложным и дорогостоящим.

Нам следует ожидать новых подобных сюрпризов: по мере того как модели будут все лучше улавливать нюансы, количество способов их дезориентации будет множиться. Ответные меры будут столь же изобретательными: более богатые наборы данных по безопасности, умные детекторы поведения и операционные протоколы, которые быстрее адаптируются к новым паттернам атак. На кону стоит создание ответственного, масштабируемого ИИ, на который общество сможет положиться — инструментов, которые приносят пользу, а не вред. Эта работа потребует как технической изобретательности, так и продуманной политики.

Mattias Risberg

Cologne-based science & technology reporter tracking semiconductors, space policy and data-driven investigations.

University of Cologne (Universität zu Köln) • Cologne, Germany

Readers Questions Answered

Что исследователи обнаружили в отношении использования поэзии для обхода фильтров безопасности ИИ?

Исследователи продемонстрировали, что превращение вредоносных инструкций в стихи может систематически обманывать современные большие языковые модели, заставляя их игнорировать ограничения безопасности. На примере 25 передовых моделей поэтические формулировки — как созданные вручную, так и сгенерированные машиной — повышали вероятность успеха атаки по сравнению с обычной прозой, при этом в некоторых случаях наблюдался рост на несколько порядков. Поскольку уязвимость основана на лингвистическом оформлении, а не на скрытом коде, эта слабость переносится на разные семейства моделей и архитектуры систем безопасности.

Как созданная вручную поэзия соотносится по эффективности с поэзией, сгенерированной машиной?

Стихи, написанные вручную, обеспечивали средний показатель успеха атак значительно выше, чем базовая проза, а сгенерированные машиной стихи также существенно повышали этот показатель. В некоторых случаях разница составляла порядок и более, и несколько моделей оказались крайне уязвимы к этой стилистической уловке, что доказывает: как человеческая, так и автоматизированная поэзия могут эффективно подрывать работу фильтров безопасности.

Почему модели ИИ уязвимы к атакам на основе стихов?

Уязвимость возникает из-за того, что модели необычайно хорошо улавливают косвенные намеки в формулировках и контексте. Поэтическая форма может перенаправить интерпретацию на создание контента, который системы безопасности должны блокировать. Защитные системы, ориентированные на буквальную семантику или паттерны на уровне токенов, могут пропускать атаки, использующие лингвистические структуры более высокого уровня, такие как метафора, ритм или иносказания.

Какие меры защиты разрабатываются для противодействия джейлбрейкам на основе стихов?

Разработчики защиты идут по нескольким путям: расширение обучающих данных классификаторов безопасности, чтобы они охватывали стихи, метафоры и иносказания для распознавания стилизованного вреда; внедрение мониторинга на основе поведения, который фиксирует нарушения правил в выходных данных, а не только во входных сигналах; архитектурные изменения, такие как «конституционные» слои или слои классификаторов между промптами и ответами; а также постоянное проведение редтиминга с быстрым переобучением для опережения угроз.

Какие компромиссы возникают при укреплении моделей против поэтических манипуляций?

Слишком строгая фильтрация повышает риск ложноположительных срабатываний, блокируя безобидное творчество; жесткие ограничения могут ухудшить пользовательский опыт, подавить законные исследования и помешать использованию ИИ в областях, где важны нюансы — в образовании, литературе, терапии и инструментах для творчества. Практическая защита должна балансировать точность и полноту охвата, сочетая несколько сигналов (семантика ввода, поведение вывода, происхождение данных и паттерны пользователей), а не полагаться на один классификатор.

Have a question about this article?

Questions are reviewed before publishing. We'll answer the best ones!

Comments

No comments yet. Be the first!