多模态大模子越来越会读图中笔墨，但最新琢磨夸耀，「读得出来」并不即是「防得住」。西湖大学 AGI Lab 的琢磨团队发现，当无益文本被渲染成低清、狡赖或带噪图片后，模子在一个特定光显度区间内反而更容易被逃狱。该论文已被 ACL 2026 Findings 摄取，并开源代码与中枢数据。

淌若把一段长文本压缩成图片，再交给多模态大模子科罚，会发生什么？

云开体育2026世界杯中国官网入口

在长潦倒文成为大模子基础智商之后，这个问题正在变得现实。DeepSeek-OCR、Glyph 等责任一经展示了一条颇具诱骗力的门路：把文本渲染成高密度图像，用更少视觉 token 承载更多潦倒文。换句话说，模子不再仅仅「看图」，也运转用视觉通谈「读文档」。

但安全问题也随之而来：当文本被压缩进图像，尤其是图像变得低清、狡赖、带噪声之后，模子的安全对都还能像科罚纯文本时通常贯通吗？

西湖大学 AGI Lab 的一项新琢磨给出了一个反直观谜底：在某些「刚好还能看清、但识别起来很转折」的视觉退化区间里，多模态大模子的安全防地会彰着变脆。论文已被 ACL 2026 Findings 摄取。

论文的第一作家为西湖大学 AGI 实验室琢磨助理宋志学，指引至意为西湖大学助理讲授张驰。

论文标题：Hard to Read， Easy to Jailbreak: How Visual Degradation Bypasses MLLM Safety Alignment

代码与数据：https://github.com/Westlake-AGI-Lab/ACZ-Jailbreak

光显输入往往会触发安全拒却；视觉退化后的同类文本更容易绕过安全搜检。

不是越狡赖越危境，而是存在一个「挫折雅瞻念区」

直观上，图片越光显，模子越容易看懂；图片越狡赖，模子越难实行其中的指示。因此，淌若无益文本被作念成低清图片，最当然的臆测是：模子要么看不懂，要么看懂后拒却。

但这项琢磨不雅察到的弧线并不是单调变化，而是一个倒 U 型。

真确危境的不是十足看不清的图片，而是「还能看清，但需要良友看清」的图片。

在论文中，琢磨团队将 770 条去重后的无益查询渲染为不同 DPI 的图像，并在 GPT-4.1、Claude Sonnet 4.5、Doubao Seed 1.6、Qwen3-VL、GLM-4.5V、Intern-S1 等闭源与开源多模态模子上测试 OCR 准确率和挫折胜利率（ASR）。

Attack Comfort Zone 中，OCR 仍保抓较高水平，但图像挫折胜利率同步升高，酿成倒 U 型风险弧线。

为止夸耀，在 ACZ 中，模子往往仍然能读懂图片笔墨，但安全判断却彰着失灵。以 Qwen3-VL-32B-Thinking 为例，论文汇总表中其文本输入 ASR 为 36.7%，ACZ 图像 ASR 升至 86.2%；与此同期，OCR ACC 仍有 95.4%（字符级）和 93.2%（词级）。

这意味着，多模态安全评估不可只问「模子能不可读懂图片笔墨」，还必须问「模子读懂之后，是否仍能贯通触发安全机制」。

论文举座框架：视觉退化触发风险高涨，并通过结构化理解卸载进行缓解。

为什么会这么？模子忙着识别笔墨，安全审查被蔓延

为了诠释这一面容，论文提议了 Visual Cognitive Overload（视觉理解过载） 假定。

不错把它聚会为一种「一心二用」失败：在光显输入中，模子不错较早捕捉到无益语义并触发拒却；但在退化图片中，模子需要先参加更多盘算和小心力去鉴别字符、复原词语、拼合句子，蓝本应该同步发生的安全审查被挤压或蔓延。

这就像东谈主在读一张狡赖截图时，小心力会先被「这到底写的是什么」占据。等践诺被读懂时，对其意图的判断一经慢了一拍。

为了考证这一机制，世界杯竞猜网站琢磨团队测验了 layer-wise safety probe，不雅察模子不同层中的安全特征。为止夸耀，关于光显图像，无益特征在浅层就更容易被识别；而 ACZ 输入在浅层更接近无害样本，直到更深层才磨蹭披露危境性。

安全探针夸耀，ACZ 输入中的无益特征在浅层不彰着，到更深层才磨蹭披露。

换句话说，ACZ 输入并不是浅近的「模子读错了」。更准确地说，模子把这些图像当成有用视觉信号科罚了，但安全特征出现得更晚，错过了浅层安全机制最有用的窗口。

琢磨团队还使用 t-SNE 分析排斥了浅近的 OOD 诠释。ACZ 样本并不像极低 DPI 噪声那样孤立孤身一人在暗意空间除外，而是与高保真样本处在控制流形中。这证据它们并莫得被模子当成无效输入丢掉，而是在一个更荫藏的位置绕开了安全判断。

t-SNE 分析夸耀，ACZ 样本并非浅近离群噪声，而是被模子手脚有用视觉信号科罚。

不仅仅低分裂率：噪声、诬告、装扮也会放大风险

淌若 ACZ 仅仅低分裂率带来的随机面容，那它的现实风险大概有限。但论文进一步发现，多种当然视觉退化都会诱发雷同问题。

琢磨团队测试了狡赖、几何诬告、干豫线、马赛克、噪声、装扮等多种扰动。为止夸耀，唯独视觉聚会变得更转折，模子的挫折胜利率就可能被举高。

更值得小心的是，这一面容并不单存在于英文。论文在汉文无益指示上也不雅察到 ACZ 区间显贵高于 300 DPI 的挫折胜利率。举例 Doubao Seed 1.6 在 300 DPI 下 ASR 为 16.7%，而 ACZ 下升至 70.3%。

要道提醒：往日的视觉文本压缩、OCR 增强多模态系统和图像化长潦倒文操纵，不可只把「可读性」手脚唯独概念。唯独输入需要模子转折鉴别，安全对都就可能出现独特压力。

一种浅近沉沦：先转写，再审查，临了回应

针对这一机制，论文提议了一个很朴素的缓解战略：Structured Cognitive Offloading（结构化理解卸载）。

它不是再测验一个新模子，而是把蓝本混在扫数完成的任务拆成串行经由：

Transcription：先逐字转写图片中的文本；

Safety Evaluation：再基于转写后的纯文本进行安全判断；

Response：临了决定是否回应。

这个想路的要道在于，把「视觉识别」和「践诺审查」解耦。模子不再一边转折 OCR、一边同期判断是否无益，而是先把视觉职守卸载掉，再回到其更肃穆的文本安全审查通谈。

Structured Cognitive Offloading 将识别、审查和回应拆成串行经由后，显贵镌汰 ACZ 区间挫折胜利率。

实验夸耀，这一浅近战略不错显贵镌汰 ACZ 风险。以 Qwen3-VL 为例，挫折胜利率从约 67.4% 降至 4%。同期，在一个 300 样本的普通 OCR 文档聚会子集上，该战略莫得引入独特误拒，反而栽培了回应质地。

诚然，这不是一个莫得代价的有策划。论文也指出，该串行经由会让平均输出长度加多约 102%，因此在及时、高混沌场景中仍需要更系统的工程优化。

这项责任提醒了什么

回及其看，ACZ 的真谛并不仅仅又发现了一类视觉逃狱挫折。

它更像是在提醒扫数多模态模子社区：安全对都不是一个只发生在语义层面的静态智商，也可能受到输入步地、视觉质地、盘算资源分拨和层级特征出当前机的影响。

当文本进入视觉通谈，模子靠近的就不再是单纯的谈话输入，而是视觉识别、语义聚会和安全审查交汇在扫数的任务。更强的 OCR 智商，未必自动带来更强的安全智商。

关于正在快速发展的视觉文本压缩门路来说，这小数尤其关键。栽培压缩率、镌汰 token 本钱诚然有价值，但淌若压缩后的图像把模子推入「挫折雅瞻念区」，为止收益就可能跟随新的安全本钱。

论文临了将这一问题笼统为一种资源分拨视角：多模态安全不仅仅数据对都问题2026实时最新比赛数据与热门对阵分析，也可能是模子在有限盘算与小心力资源下奈何分拨「看清」和「审查」的问题。

• 危境
• 西湖
• 图片
• 越糊