EMNLP 2025 Oral：VisCRA多模态大模型视觉链推理攻击

AI安全研读第八期：VisCRA——视觉推理如何沦为越狱突破口

AI安全尚处技术早期，论文研读是快速跟进前沿的有效手段。本期解读EMNLP 2025 Oral论文——VisCRA: A Visual Chain Reasoning Attack for Jailbreaking Multimodal Large Language Models，由华中科技大学与香港科技大学团队联合完成。

作者介绍

研究团队来自华中科技大学和香港科技大学，长期聚焦多模态大语言模型（MLLM）安全与对抗鲁棒性。他们提出的VisCRA（Visual Chain Reasoning Attack）是一种基于视觉链式推理的新型越狱框架，通过注意力引导遮罩与两阶段推理诱导，在不触发安全机制的前提下诱导模型输出有害内容。

导读

近年来，多模态大语言模型（MLLMs）的推理能力快速跃升，具备视觉–语言链式推理（Visual Chain-of-Thought, CoT）能力的多模态大推理模型（MLRMs）不断涌现。这些模型借助强化学习与视觉推理链训练，显著提升了对复杂视觉任务的理解力。但推理能力越强，安全防线反而可能越脆弱——尤其在面对越狱（jailbreak）攻击时。现有研究多关注提示注入或图像嵌入层面的攻击，对视觉推理链本身的安全漏洞缺乏系统性分析。

本文提出的VisCRA框架，首次从推理机制切入，通过操控视觉推理链实现越狱。核心发现：视觉推理能力越强的模型，越容易被引导至安全边界之外。基于此，VisCRA设计了两项核心机制：

• 注意力引导遮罩（Attention-Guided Masking）：利用辅助模型的跨模态注意力，自动定位与有害意图最相关的图像区域并选择性遮蔽，抑制早期显性有害特征的暴露。
• 多阶段推理诱导（Multi-Stage Reasoning Induction）：通过两阶段提示，引导模型先推理被遮挡内容，再在重构语境中执行有害指令，逐步绕过安全检测。

大量实验显示，VisCRA在GPT-4o、Gemini 2.0 Flash、QvQ-Max等多种开源与闭源MLLM上显著提升攻击成功率，最高达76.48%（Gemini 2.0 Flash）。研究首次揭示了视觉推理链可作为新攻击向量，并指出“推理增强”与“安全对齐”之间存在根本性冲突。

【论文题目】VisCRA: A Visual Chain Reasoning Attack for Jailbreaking Multimodal Large Language Models
【论文链接】https://aclanthology.org/2025.emnlp-main.312/
【代码链接】https://github.com/DyMessi/VisCRA

研究背景

多模态大语言模型（MLLMs）在视觉–语言融合推理上取得了突破性进展。新一代模型如GPT-4o、Gemini 2.0 Flash、QvQ-Max和Qwen2.5-VL，在复杂任务推理中展现出强大的链式思维（CoT）能力。这些模型通过强化学习与视觉推理链训练，能够对图像内容进行分步分析与逻辑推导，产出连贯且可解释的答案。这催生了所谓多模态大推理模型（MLRMs），被视为通往通用人工智能的关键阶段。

但问题随之而来：随着视觉推理能力的提升，模型安全风险开始以新形式显现。文本领域已有研究表明，增强的推理链可能在无意间放大安全风险——模型更容易在推理过程中生成精确且具有潜在危害的内容。而在多模态场景中，视觉输入不仅提供上下文，更可能成为攻击者操控推理路径的媒介。视觉推理链的高透明性与可解释性，反而成为攻击突破口：攻击者通过精心设计的图像与提示，引导模型在推理过程中逐步偏离安全约束，最终绕过防御机制。

现有的多模态越狱研究（如FigStep、QR-Attack、HADES等）主要聚焦于文本提示注入或视觉承载体的结构化设计。它们虽能在一定程度上突破安全过滤，但并未直接针对视觉推理过程本身，忽视了推理链在决策中的核心作用。随着MLRMs通过视觉CoT实现更深层推理，其内部推理轨迹成为潜在的高危攻击面。

基于此，本文提出VisCRA——首个针对视觉推理链的多模态越狱攻击框架。它从模型的推理机制出发，通过注意力引导遮罩与多阶段推理诱导，在不显式暴露有害内容的情况下逐步引导模型重建并执行有害指令。研究揭示了一个前所未有的安全悖论：视觉推理能力越强，模型越容易被引导越狱。这不仅暴露了当前MLLMs安全对齐机制的脆弱性，也为构建“推理感知”（Reasoning-Aware）的多模态安全防御体系提供了新方向。

动机

现有越狱攻击大多针对提示注入或图像结构扰动，核心是通过显式修改输入内容绕过安全过滤。但随着MLRMs具备更强视觉链式推理能力，这类方法逐渐失效——模型能在推理过程中识别显式攻击痕迹，提前触发安全机制。同时，现有攻击未能深入利用推理链本身的可控性。

VisCRA的切入点正是这个空白：通过注意力引导的关键区域遮罩与多阶段推理诱导，在不显式暴露有害内容的前提下逐步操纵模型推理过程。图1显示，具备视觉推理能力的MLRMs在面对同样攻击时，其越狱成功率显著高于基础模型。

图1: 有无推理链的攻击成功率比较

方法

VisCRA是一种针对MLRMs的新型视觉链式推理越狱框架。与以往通过像素扰动或提示注入直接触发有害输出的攻击不同，它从模型的推理过程入手，通过精细操控视觉–语言链式推理路径，在不显式暴露违规内容的情况下逐步诱导模型越过安全边界。核心思想是：将增强推理能力这一“优势”，反向转化为可利用的攻击向量。

VisCRA由两大模块组成：

• 注意力引导掩码（Attention-Guided Masking）：利用辅助多模态模型定位与有害意图最相关的图像区域并进行选择性遮蔽，控制模型在推理初期的视觉暴露范围，避免安全机制提前触发。
• 多阶段推理诱导（Multi-Stage Reasoning Induction）：通过结构化提示分步引导模型先推理被遮挡内容，再结合上下文完成隐式执行，使越狱过程在语义与逻辑上保持连贯。

这种“推理链操控”方式突破了传统多模态攻击的范式，实现了对安全对齐机制的深度绕过。具体流程如图2所示。

图2: VisCRA流程图

1) 注意力引导掩码（Attention-Guided Masking）

传统多模态攻击通常直接暴露或修改图像中的敏感区域，容易在早期推理阶段触发模型安全防御，导致攻击失败。VisCRA为此设计了注意力引导遮罩模块：通过自动识别并有选择性地遮蔽与有害意图最相关的视觉区域，在不破坏整体语义连贯性的前提下控制模型视觉关注范围，为后续推理诱导创建安全且可控的起点。

该模块的核心是利用辅助多模态模型的跨模态注意力机制，分析输入图像与有害指令之间的关联性，在图像–文本注意力图中找出模型最依赖的潜在危险区域。具体步骤如下：

1. 图像–文本关联分析：给定图像和有害指令，输入辅助MLLM（Qwen2.5-VL），提取特定解码层的跨模态注意力张量。
2. 图像token相关性计算：通过对所有注意力头求平均，并聚焦于第一个输出token，计算每个图像token的相关性得分，重塑为二维注意力热图。
3. 区域选择与遮蔽策略：在热图上采用滑动窗口扫描，计算每个候选区域的累积注意力得分，从得分最高的前三个区域中随机选取一个进行遮蔽。随机性防止模型过拟合或出现鲁棒性偏差。
4. 生成掩码图像：将选定区域用显眼的绿色矩形遮罩替代。绿色掩码实验验证为最有效引导模型注意并促进后续语义推理。

通过这一机制，VisCRA在攻击初期主动削弱模型对关键有害区域的直接感知，使推理链在安全阈值内展开，为后续逐步诱导提供稳定基础。

2) 多阶段推理诱导（Multi-Stage Reasoning Induction）

为在不提前触发安全机制的前提下持续调动模型视觉推理能力，VisCRA将一次交互拆解为两阶段、同一次输入的结构化提示：先锚定与重建，再执行与细化。这种顺序可显著降低早期“有害词元”暴露，绕过安全监测同时保持推理连贯性。

第一阶段：聚焦遮挡区的受限推理。VisCRA通过结构化提示让模型仅聚焦于被绿色遮罩覆盖的区域，尝试推断可能的语义内容。例如提示 “First, infer one plausible content for the green-masked region in the image.” 这种方式刻意压制模型对显性有害语义的直接暴露，使推理链在“安全区”内展开。模型产出模糊但逻辑自洽的局部推理结果，为后续阶段建立可控的上下文基础。实验表明，这种受控推理显著降低了安全过滤被提前触发的概率。

第二阶段：在重建语境中执行指令。VisCRA引导模型基于上一步的推理结果与剩余图像信息，继续完成完整指令，如 “Then, based on the image and your reasoning, [query].”。模型自然地将前一阶段中间结论作为“事实前提”，在连贯逻辑链中生成更具执行性的输出——表面上维持“合理推理”，实质上完成越狱目标。

这种“由浅入深”的推理诱导提升了攻击的稳定性与隐蔽性，也使VisCRA成为首个真正操纵推理过程而非输入内容的多模态越狱框架。

实验效果

实验设置

• 受害模型：共11个模型。开源7个（Qwen2.5-VL、InternVL2.5、LLaMA-3.2-11B-Vision；MM-EUREKA-Qwen、R1-Onevision、MM-EUREKA-InternVL、LLaVA-CoT），闭源4个（GPT-4o、Gemini 2.0 Flash Thinking、QvQ-Max、o4-mini）。
• 对比方法和基准：HADES和MM-SafetyBench。
• 评价指标：攻击成功率（ASR）。

核心实验结果对比

表1: HADES基准上的比较

表2: MM-SafetyBench基准上的比较

实验结果充分验证了VisCRA在MLLM中的越狱有效性与普适性。无论开源还是闭源模型，VisCRA均显著超越现有攻击基线（见表1与表2），在多个基准上取得大幅提升的ASR，展现出对多模态推理过程的强大操控能力。

在开源模型上，VisCRA在HADES基准中实现61.20%–83.20%的整体ASR，在MM-SafetyBench上达到67.21%–84.62%。值得注意的是，原本对抗能力最强的LLaMA-3.2-V，在传统HADES攻击下仅有3.20%的成功率，而在VisCRA下显著提升至69.47%——表明即便是高对齐、强化安全机制的模型，其视觉推理链仍可被利用。此外，推理增强模型（如LLaVA-CoT）表现出更高脆弱性，ASR在HADES与MM-SafetyBench上分别达到79.87%与83.94%，远超基础版本。

这些结果揭示了一个重要现象：随着模型推理能力的增强，其安全防护反而可能被削弱。VisCRA的成功表明，视觉链式推理（Visual CoT）不仅是认知优势，也是潜在攻击入口。

消融实验

表3: 不同掩码策略的消融研究

图3: 随机掩码中的一个失效案例

（1）注意力引导掩码

为验证注意力引导掩码的作用，作者将VisCRA与仅采用随机掩码（Random Mask）的变体比较，两者唯一的差异在于遮罩区域选择方式。实验结果（表3与图3）显示：随机遮罩虽能一定程度激活视觉推理，但整体ASR显著低于注意力引导版本。

如图3所示，随机掩码常掩盖与任务无关的图像区域（如背景或光源），导致模型在第一阶段推理中生成偏离主题的中间结论（如错误描述环境细节或主动触发安全拒答）。这种语义漂移破坏了推理连贯性，使模型在第二阶段无法顺利进入有害指令执行。

相比之下，注意力引导掩码能准确定位与有害意图最相关的视觉区域，在抑制早期暴露风险的同时保持逻辑一致性，显著提升攻击稳定性与成功率。结果清晰表明：掩码的相关性是决定视觉链式越狱能否成功的关键因素。

表4: 不同提示配置在两个HADES子类别上的消融研究

（2）多阶段推理诱导

为系统评估VisCRA的提示设计策略，作者对比了五种配置：(1) 原始HADES基线；(2) HADES + 注意力引导掩码；(3) HADES + Visual CoT；(4) HADES + 同时结合遮罩与Visual CoT；(5) 完整VisCRA框架。

实验结果（表4）表明：单独使用注意力引导掩码可通过抑制高风险视觉区域实现中等幅度性能提升；加入Visual CoT能进一步提高ASR，但容易导致模型在推理早期生成过多有害描述，过早触发安全机制。简单叠加遮罩与CoT虽有小幅改进，但仍无法避免推理链的暴露。

相比之下，VisCRA采用的多阶段推理诱导策略在控制输出节奏的同时维持逻辑连贯，使模型沿着目标导向的推理路径逐步展开，实现最高ASR。这说明，图像与文本推理的协调控制是实现有效且稳定越狱的关键。

结语

本文提出VisCRA（Visual Chain Reasoning Attack），首个基于视觉推理链的多模态越狱框架。不同于传统依赖输入扰动的攻击，它从模型推理过程出发，通过操控视觉链式推理实现隐蔽越狱。核心包括：①注意力引导遮罩，精准定位有害相关区域并选择性遮蔽，防止早期触发安全机制；②多阶段推理诱导，以“两阶段提示”逐步引导模型先推理被遮挡内容，再在语境中完成指令。在HADES与MM-SafetyBench上，VisCRA在11个开源与闭源MLLM中均显著超越基线，最高攻击成功率达84.62%。尤其是具备推理增强能力的模型（如LLaVA-CoT、R1-Onevision）表现出更高脆弱性。

研究揭示：推理增强既提升智能，也扩大攻击面。未来多模态安全需从“推理感知”层面构建新防御机制。