Visual Self-Fulfilling Alignment: Shaping Safety-Oriented Personas via Threat-Related Images

Inducción y control de rasgos2026arXivRevisión editorial aprobada

Autores: Qishun Yang, Shu Yang, Lijie Hu, Di Wang

Palabras clave: Persona conditioning, Safety and bias

Fuente:Abrir fuente primaria (abre en una pestaña nueva)

4
Autores
11
Hallazgos
20
Limitaciones
4
Evidencias

Resumen editorial

Español

VSFA estudia si ajustar modelos visión-lenguaje con imágenes sintéticas de amenazas y preguntas aparentemente neutrales reduce su obediencia a jailbreaks multimodales. El pipeline busca hasta cinco trabajos para cada uno de diez términos de seguridad de IA en arXiv; GPT-4o-mini extrae conceptos y redacta prompts con temas de seguridad, atmósferas ominosas y elementos como indicadores de alerta; Doubao Seedream genera 700 imágenes; y GPT-4o-mini produce seis respuestas por imagen a partir del prompt de generación, hasta 4.200 parejas VQA. El entrenamiento mantiene congelado el codificador visual y actualiza el componente lingüístico mediante LoRA de rango 128. En Qwen3-VL-8B, Qwen2.5-VL-7B y dos variantes LLaVA de 7B, el ASR medio juzgado por GPT-4o baja desde 38,77–68,71 % sin defensa hasta 14,18–23,76 % con VSFA. El método también obtiene la mayor puntuación constructiva y tasas de rechazo benigno de 1,82–3,45 %, aunque AdaShield o VLGuard presentan menor ASR en muchas celdas y VLGuard conserva ligeramente mejor varias capacidades.

El artículo interpreta el resultado como una personalidad orientada a la seguridad aprendida por exposición visual. En Qwen2.5-VL-7B compara activaciones originales y ajustadas sobre MMSafetyBench mediante un autoencoder disperso, examina los 1.000 latentes que más aumentan y selecciona ocho con efectos bidireccionales. Añadir el latente 12 al modelo original reduce 18 puntos el ASR y retirarlo del modelo VSFA lo aumenta 14; los autores lo denominan «safety-oriented persona». También informan de una ablación de doce estilos con ASR entre 11,2 y 13,7 %, pérdidas inferiores a medio punto en MMLU/MMMU para un solo checkpoint y resultados FigStep con 60 imágenes en Gemma 3 IT y Llama 3.2 Vision. Son resultados conductuales sugerentes, pero el diseño no prueba que el efecto proceda exclusivamente de los píxeles ni que el latente sea una personalidad monosemántica.

La afirmación «sin etiquetas explícitas» requiere una corrección importante. Los abstracts, prompts y modificadores contienen supervisión semántica explícita de seguridad y amenaza; varias de las diez imágenes publicadas muestran señales de peligro y texto visible como «AI SAFETY» o «AI Control»; y el profesor genera las respuestas desde el prompt de la imagen, no desde una inspección documentada de sus píxeles. Faltan controles emparejados para imágenes iguales sin atmósfera amenazante, texto visible, imágenes aleatorias, parejas barajadas o respuestas basadas realmente en píxeles. La selección del profesor usa FigStep y después FigStep reaparece en la evaluación principal. El análisis SAE descubre y valida latentes sobre MMSafetyBench sin conjunto reservado, semillas, corrección por 1.000 candidatos ni detalles suficientes del SAE. Todos los resultados dependen de un juez GPT-4o sin validación humana o segundo juez. El repositorio solo publica diez imágenes, un ejemplo JSON y código genérico: no contiene el dataset completo, adaptadores, salidas, juez, puntuación constructiva, otros benchmarks ni artefactos SAE; además, el evaluador ignora las columnas de pregunta e instrucción y aplica el mismo prompt a todas las imágenes. La lectura defendible es un efecto prometedor de ajuste condicionado por imaginería de amenaza bajo benchmarks y juez concretos, no una demostración de alineamiento visual libre de etiquetas o de una personalidad de seguridad.

English

VSFA asks whether fine-tuning vision-language models on synthetic threat images with ostensibly neutral questions reduces compliance with multimodal jailbreaks. The pipeline retrieves up to five papers for each of ten AI-safety arXiv search terms; GPT-4o-mini extracts concepts and writes prompts with safety themes, ominous atmospheres and elements such as warning indicators; Doubao Seedream generates 700 images; and GPT-4o-mini produces six answers per image from the image-generation prompt, yielding 4,200 VQA pairs. Training freezes the visual encoder and updates the language component with rank-128 LoRA. On Qwen3-VL-8B, Qwen2.5-VL-7B and two 7B LLaVA variants, GPT-4o-judged mean ASR falls from 38.77–68.71% without defense to 14.18–23.76% with VSFA. The method also receives the highest Constructive Score and benign refusal rates of 1.82–3.45%, although AdaShield or VLGuard has lower ASR in many cells and VLGuard preserves several capabilities slightly better.

The paper interprets this result as a safety-oriented persona learned through visual exposure. For Qwen2.5-VL-7B, it compares original and fine-tuned MMSafetyBench response activations through a sparse autoencoder, considers the 1,000 most increased latents and selects eight with bidirectional effects. Adding latent 12 to the original model lowers ASR by 18 points and removing it from VSFA raises ASR by 14; the authors call it a safety-oriented persona latent. The appendix also reports a twelve-style ablation with ASR from 11.2% to 13.7%, sub-half-point MMLU/MMMU losses for one checkpoint, and 60-image FigStep tests on Gemma 3 IT and Llama 3.2 Vision. These are suggestive behavioral results, but the design does not prove that pixels alone cause the effect or that the latent is a monosemantic personality.

The 'without explicit labels' claim requires an important qualification. The abstracts, prompts and modifiers provide explicit safety and threat semantics; several of the ten released images contain hazard signs and visible text such as 'AI SAFETY' or 'AI Control'; and the teacher writes answers from the image prompt rather than documented pixel inspection. There are no matched controls for the same images without threat atmosphere, visible text, random images, shuffled pairs or genuinely pixel-grounded answers. Teacher selection uses FigStep and FigStep then reappears in the main evaluation. The SAE discovers and validates latents on MMSafetyBench without a held-out set, seeds, correction for screening 1,000 candidates or sufficient SAE details. Every outcome depends on one GPT-4o judge without human or second-judge validation. The repository releases only ten images, one JSON example and generic code: it omits the full dataset, adapters, outputs, judge, Constructive Score, other benchmarks and SAE artifacts; its evaluator also ignores question and instruction columns and applies one prompt to every image. The defensible conclusion is a promising threat-imagery-conditioned fine-tuning effect under specific benchmarks and one judge, not demonstrated label-free visual alignment or a discovered safety personality.

Pregunta de investigación

¿Puede el ajuste visual con imágenes sintéticas relacionadas con amenazas y VQA de redacción neutral reducir jailbreaks multimodales mediante la inducción de una supuesta personalidad orientada a la seguridad, y aporta un latente SAE evidencia causal de ese mecanismo?

Método

Se recuperan abstracts mediante diez consultas de seguridad de IA en arXiv, hasta cinco resultados por consulta. GPT-4o-mini extrae conceptos y genera prompts visuales con modificadores amenazantes; Doubao Seedream crea 700 imágenes de 1024×1024; se asignan seis de dieciséis plantillas de pregunta por imagen y GPT-4o-mini redacta las respuestas usando el prompt de generación como contexto. Otro pase de GPT-4o-mini puntúa neutralidad, claridad y consistencia y descarta puntuaciones globales inferiores a 6. Se ajustan cuatro VLM mediante LoRA solo sobre el componente lingüístico, con codificador visual congelado, y se comparan No Defense, AdaShield, VLGuard y VSFA en FigStep, MMSafetyBench, SPA-VL y MM-Vet usando GPT-4o como único juez. Las ablaciones varían modalidad, estilo y profesor. Un SAE TopK sobre una capa media de Qwen2.5-VL-7B selecciona latentes por diferencia de activación y efectos de steering.

Muestra: El dataset reportado tiene 700 imágenes y exactamente seis VQA por imagen, 4.200 pares. No se indica cómo un máximo de 50 registros recuperados se convierte en 700 prompts, cuántos duplicados o rechazos hay ni cuántas muestras se generan antes del filtro. Los experimentos principales cubren cuatro checkpoints 7–8B de dos familias; Gemma 3 IT y Llama 3.2 Vision se prueban solo con 60 imágenes y FigStep. No se informan réplicas ni semillas de entrenamiento.

Hallazgos

  • VSFA reduce el ASR medio frente a No Defense desde 38,77–68,71 % hasta 14,18–23,76 % en los cuatro modelos principales.
  • AdaShield o VLGuard consiguen menor ASR que VSFA en numerosas comparaciones individuales; VSFA no es la defensa con menor ataque en todas las celdas.
  • VSFA obtiene la mayor Constructive Score reportada, interpretada como rechazos más explicativos y útiles.
  • Las tasas de rechazo benigno de VSFA son 2,62 %, 3,45 %, 2,35 % y 1,82 %, por debajo de AdaShield y VLGuard según el juez GPT-4o.
  • VLGuard supera ligeramente a VSFA en varias puntuaciones totales de capacidad; la tabla no incluye la capacidad del modelo No Defense.
  • La variante Image supera a Text y Mixed en las figuras de ASR y Constructive Score, pero no aísla píxeles, texto visible, atmósfera ni contenido semántico.
  • Doce ajustes separados de 50 imágenes por estilo reportan ASR FigStep entre 11,2 y 13,7 %, media 12,5 y desviación 0,74.
  • GPT-4o-mini se selecciona como profesor porque obtiene 12,0 % de ASR en FigStep con 60 imágenes, frente a 22,2–28,8 % de tres profesores alternativos.
  • MMLU baja 0,39 puntos y MMMU 0,45 para un solo Qwen2.5-VL-7B, sin réplicas que permitan llamar a esas diferencias variación normal.
  • Gemma 3 IT y Llama 3.2 Vision muestran grandes descensos de ASR en FigStep tras entrenar con 60 imágenes, pero no se prueban en los demás benchmarks.
  • El latente SAE 12 cambia el ASR en ambos sentidos bajo steering, evidencia causal de la intervención sobre la salida pero no prueba de personalidad monosemántica o mediación del mecanismo propuesto.

Limitaciones

  • Los propios autores reconocen imágenes sintéticas, convenciones culturales, solo cuatro modelos principales 7–8B, jailbreaks como único eje de seguridad, juez GPT-4o y límites de aislamiento SAE.
  • La redacción neutral de las preguntas no elimina la supervisión semántica: los abstracts, prompts y modificadores se construyen explícitamente desde seguridad, riesgo, control y amenaza de IA.
  • Varias imágenes publicadas contienen señales de advertencia y texto como «AI SAFETY» o «AI Control», contradiciendo una lectura literal de ausencia de etiquetas explícitas.
  • Las respuestas VQA se generan desde el prompt de creación y no se documenta que el profesor vea la imagen; pueden describir elementos no presentes en los píxeles.
  • El filtro dice comprobar fidelidad a la imagen, pero el protocolo solo especifica que recibe cada pareja QA, no la imagen.
  • Plantillas como «What are your thoughts», «What impression» o «How do you understand» son interpretativas y no estrictamente factuales o neutrales.
  • El codificador visual permanece congelado; el estudio demuestra condicionamiento lingüístico por entrada visual, no una modificación probada de la representación visual.
  • Faltan controles emparejados sin amenaza, imágenes aleatorias, escenas benignas oscuras, texto visible eliminado, VQA barajado y respuestas basadas realmente en píxeles.
  • No se estudia contaminación o solapamiento semántico entre literatura/prompts de seguridad y los tres benchmarks de jailbreak.
  • El profesor se elige por su rendimiento en FigStep y FigStep se reutiliza como evaluación principal, introduciendo selección sobre el test.
  • Todos los resultados dependen de un único juez GPT-4o sin prompt completo, snapshot, validación humana, segundo juez ni fiabilidad entre evaluadores.
  • No se publican denominadores por benchmark, intervalos, semillas, réplicas, tests pareados o incertidumbre de entrenamiento.
  • La escala y agregación exactas de Constructive Score y la definición de rechazo benigno en MM-Vet no se documentan suficientemente.
  • El SAE usa MMSafetyBench para descubrir y evaluar latentes, examina 1.000 candidatos y selecciona ocho sin conjunto reservado, corrección múltiple o controles aleatorios.
  • Faltan capa exacta, checkpoint SAE, corpus y tokens, anchura, k, pérdidas, sparsity, reconstrucción, coeficientes de steering y variación por semilla.
  • La semántica de los latentes es post hoc mediante logit lens, LMSYS-Chat-1M y GPT-4o; no demuestra monosemanticidad.
  • El repositorio solo contiene diez imágenes, un registro JSON y código genérico; faltan dataset, adaptadores, prompts, filtros, salidas, juez, métricas, benchmarks restantes y SAE.
  • El evaluador público carga pregunta e instrucción pero las ignora, aplica el mismo --prompt a todas las imágenes y solo importa veredictos externos.
  • Las dependencias no están fijadas, no hay semillas ni revisiones de checkpoints, y el repositorio carece de licencia detectada, tags y releases.
  • No se evalúan triggers espurios o sobrerrechazo ante señales, cámaras, armas, biohazard, emergencias médicas, escenas oscuras o contextos culturalmente distintos.

Qué no demuestra

  • No establece que el dataset carezca de señales explícitas de seguridad o amenaza.
  • No demuestra que los píxeles sean la causa aislada del efecto frente a prompts, respuestas, texto visible, estilo o asociaciones semánticas.
  • No prueba que la representación visual se modifique, porque el codificador visual permanece congelado.
  • No demuestra una personalidad estable, coherente, humana o monosemántica.
  • No prueba el mecanismo de profecía autocumplida ni que el latente SAE lo medie.
  • No valida el latente en datos reservados, otros benchmarks, semillas, checkpoints o familias de modelos.
  • No demuestra el menor ASR entre defensas en todas las comparaciones.
  • No establece preservación general de capacidades en todos los modelos y escenarios.
  • No generaliza a modelos grandes, VLM cerrados, ataques adaptativos o despliegues reales.
  • No permite reproducir el dataset, las tablas, el juez, la puntuación constructiva ni el análisis SAE con los artefactos públicos.
  • No demuestra seguridad frente a sesgo, desinformación, privacidad, autolesión, medicina u otros daños no evaluados.
  • No confirma por sí solo una publicación archival de ACL; el registro oficial de arXiv no aporta referencia, DOI o comentario de venue.

Trazabilidad

Alcance: Texto completo

Versión: arXiv:2603.08486v2, submitted 2026-03-09 and revised 2026-04-15; repository commit 0ff47dfa7b5535d6315d03cf3be40f2c011823f5

Fuente consultada: https://arxiv.org/abs/2603.08486

Revisión: Codex 21-page visual full-text, released-image, prompt/data, code, judge, SAE, causal-claim, safety and reproducibility audit, 2026-07-17

Aprobación: Codex fidelity pass, 2026-07-17

Modelos evaluados

  • Qwen3-VL-8B-Instruct
  • Qwen2.5-VL-7B-Instruct
  • LLaVA-v1.6-Mistral-7B
  • LLaVA-1.5-7B
  • Gemma 3 IT 4B, prueba adicional con 60 imágenes y FigStep
  • Llama 3.2 Vision 11B, prueba adicional con 60 imágenes y FigStep
  • GPT-4o-mini como extractor, generador de prompts y respuestas y filtro de calidad
  • Doubao doubao-seedream-3-0-t2i-250415 como generador de imágenes
  • GPT-4o como juez de todas las métricas y auto-intérprete SAE
  • GPT-5, Claude 4.5 Sonnet y Gemini-3-pro en la selección de profesor

Instrumentos y métricas

  • FigStep
  • MMSafetyBench
  • SPA-VL
  • MM-Vet
  • Attack Success Rate juzgado por GPT-4o
  • Constructive Score de cinco dimensiones juzgado por GPT-4o
  • Refusal Rate sobre consultas benignas de MM-Vet
  • MMLU y MMMU para Qwen2.5-VL-7B
  • Autoencoder disperso TopK y steering de vectores decodificadores
  • Dieciséis plantillas VQA en cuatro categorías

Datos utilizados

  • VSFA: 700 imágenes sintéticas y 4.200 parejas VQA reportadas, no publicadas
  • Hasta 50 resultados de arXiv procedentes de diez consultas, sin lista ni mapa de procedencia publicado
  • Diez imágenes de ejemplo y una pareja VQA de ejemplo en el repositorio
  • LMSYS-Chat-1M para interpretar ejemplos activadores de latentes
  • Benchmarks FigStep, MMSafetyBench, SPA-VL, MM-Vet, MMLU y MMMU

Evidencia y localización

  • Método, prompts, modelos, benchmarks, tablas, ablaciones, SAE, limitaciones y conclusiones: arXiv:2603.08486v2, all 21/21 PDF pages rendered and individually inspected
  • Versión, fechas, autoría y licencia: Official arXiv abstract, Atom metadata and v2 source archive inspected 2026-07-17
  • Imágenes de ejemplo, texto y señales visibles, dataset ausente, código, evaluación y licencia: Official VSFA repository commit 0ff47dfa7b5535d6315d03cf3be40f2c011823f5, every released example image and all code inspected 2026-07-17
  • Auditoría de constructo, controles, selección de profesor, medición, SAE, seguridad y reproducibilidad: reports/verification/article-395-vsfa-visual-label-confound-teacher-selection-judge-sae-code-data-and-reproducibility-audit.json