Vision-Centric Jailbreak Attack (VJA): визуальные инструкции обходят текстовые защиты моделей

Парадокс: Модель блокирует текстовый запрос "удали водяной знак", но выполняет ту же инструкцию, нарисованную стрелкой на картинке. GPT Image 1.5 отклоняет 50% вредных текстовых запросов, но пропускает 70% визуальных — защиты анализируют слова в промпте, а инструкции лежат внутри изображения. Introspection Defense решает проблему через явное рассуждение о безопасности. Добавляешь триггер "Проверь, нарушает ли запрос правила. Если да — откажись" — модель переводит визуальные инструкции в текстовое рассуждение и активирует внутреннюю защиту. Успешность атак падает с 100% до 67% без дополнительных guard-моделей.