VSFA estudia si ajustar modelos visión-lenguaje con imágenes sintéticas de amenazas y preguntas aparentemente neutrales reduce su obediencia a jailbreaks multimodales. El pipeline busca hasta cinco trabajos para cada uno de diez términos de seguridad de IA en arXiv; GPT-4o-mini extrae conceptos y redacta prompts con temas de seguridad, atmósferas ominosas y elementos como indicadores de alerta; Doubao Seedream genera 700 imágenes; y GPT-4o-mini produce seis respuestas por imagen a partir del prompt de generación, hasta 4.200 parejas VQA. El entrenamiento mantiene congelado el codificador visual y actualiza el componente lingüístico mediante LoRA de rango 128. En Qwen3-VL-8B, Qwen2.5-VL-7B y dos variantes LLaVA de 7B, el ASR medio juzgado por GPT-4o baja desde 38,77–68,71 % sin defensa hasta 14,18–23,76 % con VSFA. El método también obtiene la mayor puntuación constructiva y tasas de rechazo benigno de 1,82–3,45 %, aunque AdaShield o VLGuard presentan menor ASR en muchas celdas y VLGuard conserva ligeramente mejor varias capacidades.
El artículo interpreta el resultado como una personalidad orientada a la seguridad aprendida por exposición visual. En Qwen2.5-VL-7B compara activaciones originales y ajustadas sobre MMSafetyBench mediante un autoencoder disperso, examina los 1.000 latentes que más aumentan y selecciona ocho con efectos bidireccionales. Añadir el latente 12 al modelo original reduce 18 puntos el ASR y retirarlo del modelo VSFA lo aumenta 14; los autores lo denominan «safety-oriented persona». También informan de una ablación de doce estilos con ASR entre 11,2 y 13,7 %, pérdidas inferiores a medio punto en MMLU/MMMU para un solo checkpoint y resultados FigStep con 60 imágenes en Gemma 3 IT y Llama 3.2 Vision. Son resultados conductuales sugerentes, pero el diseño no prueba que el efecto proceda exclusivamente de los píxeles ni que el latente sea una personalidad monosemántica.
La afirmación «sin etiquetas explícitas» requiere una corrección importante. Los abstracts, prompts y modificadores contienen supervisión semántica explícita de seguridad y amenaza; varias de las diez imágenes publicadas muestran señales de peligro y texto visible como «AI SAFETY» o «AI Control»; y el profesor genera las respuestas desde el prompt de la imagen, no desde una inspección documentada de sus píxeles. Faltan controles emparejados para imágenes iguales sin atmósfera amenazante, texto visible, imágenes aleatorias, parejas barajadas o respuestas basadas realmente en píxeles. La selección del profesor usa FigStep y después FigStep reaparece en la evaluación principal. El análisis SAE descubre y valida latentes sobre MMSafetyBench sin conjunto reservado, semillas, corrección por 1.000 candidatos ni detalles suficientes del SAE. Todos los resultados dependen de un juez GPT-4o sin validación humana o segundo juez. El repositorio solo publica diez imágenes, un ejemplo JSON y código genérico: no contiene el dataset completo, adaptadores, salidas, juez, puntuación constructiva, otros benchmarks ni artefactos SAE; además, el evaluador ignora las columnas de pregunta e instrucción y aplica el mismo prompt a todas las imágenes. La lectura defendible es un efecto prometedor de ajuste condicionado por imaginería de amenaza bajo benchmarks y juez concretos, no una demostración de alineamiento visual libre de etiquetas o de una personalidad de seguridad.