來自南京大學(xué) PRLab 的王淞平、錢儒凡，在單彩峰教授與呂月明助理教授的聯(lián)合指導(dǎo)下，提出首個(gè)面向圖生視頻（I2V）模型的多模態(tài)自進(jìn)化越獄攻擊框架 RunawayEvil。本研究聯(lián)合了美團(tuán)、上海交通大學(xué)等多家頂尖機(jī)構(gòu)，共同完成了首個(gè)支持多模態(tài)協(xié)同與自主進(jìn)化的 I2V 越獄攻擊框架的研發(fā)。

RunawayEvil 創(chuàng)新性采用「策略 - 戰(zhàn)術(shù) - 行動(dòng)」核心范式，精準(zhǔn)破解傳統(tǒng)單一模態(tài)、靜態(tài)攻擊在 I2V 場景下效果受限的行業(yè)痛點(diǎn)，為 I2V 模型的安全漏洞分析提供了高效可靠的工具，為構(gòu)建更穩(wěn)健、安全的視頻生成系統(tǒng)提供助力。

• 論文標(biāo)題：RunawayEvil: Jailbreaking the Image-to-Video Generative Models
• 項(xiàng)目地址：https://xzxg001.github.io/RunawayEvil/
• 論文地址：https://arxiv.org/pdf/2512.06674
• 代碼地址：https://github.com/DeepSota/RunawayEvil

行業(yè)痛點(diǎn)：

圖生視頻模型安全研究的三大核心缺口

圖生視頻（I2V）是融合圖像視覺約束與文本語義引導(dǎo)，生成時(shí)空連貫、高保真動(dòng)態(tài)內(nèi)容的核心多模態(tài)技術(shù)，為內(nèi)容創(chuàng)作、商業(yè)廣告等領(lǐng)域提供高效創(chuàng)意支撐。然而，其安全防護(hù)體系是脆弱的，尚未跟上技術(shù)落地步伐，成為制約行業(yè)穩(wěn)健發(fā)展的關(guān)鍵瓶頸。

現(xiàn)有研究雖通過各類越獄方法揭示視覺生成模型的內(nèi)在漏洞，為構(gòu)建更穩(wěn)健的生成系統(tǒng)提供了支撐，但針對 I2V 模型的安全研究仍存在顯著空白。研究團(tuán)隊(duì)發(fā)現(xiàn)，當(dāng)前存在三大核心缺口，嚴(yán)重阻礙了對其潛在風(fēng)險(xiǎn)的系統(tǒng)性探究與有效防御：

1. 單模態(tài)攻擊的天然局限性

現(xiàn)有越獄研究多聚焦于文本到圖像（T2I）、文本到視頻（T2V）等單模態(tài)系統(tǒng)，僅通過擾動(dòng)單一輸入模態(tài)實(shí)施攻擊。而 I2V 模型依賴文本 - 圖像跨模態(tài)協(xié)同工作機(jī)制，單一模態(tài)攻擊無法利用其內(nèi)在的模態(tài)交互特性，難以突破集成化的多模態(tài)安全防護(hù)，導(dǎo)致攻擊成功率普遍低，無法有效暴露模型真實(shí)漏洞。

2. 靜態(tài)攻擊模式的適應(yīng)性缺失

傳統(tǒng)方法多采用人工構(gòu)造惡意提示或固定攻擊模板，缺乏動(dòng)態(tài)調(diào)整能力。I2V 模型的輸入具有極強(qiáng)的多樣性（自然圖像 / 合成圖像、不同語義文本等），靜態(tài)攻擊模式無法根據(jù)輸入特性定制策略，既限制了攻擊策略的覆蓋范圍，也難以應(yīng)對模型動(dòng)態(tài)的安全防御機(jī)制，導(dǎo)致實(shí)際應(yīng)用場景中的攻擊效果大幅衰減。

3. 多模態(tài)與維度升級的雙重挑戰(zhàn)

視覺生成模型的安全研究長期聚焦于文本到圖像（T2I）單模態(tài)場景，而圖生視頻（I2V）技術(shù)的興起，正帶來多模態(tài)協(xié)同與維度升級的雙重核心挑戰(zhàn)。文本 - 圖像輸入的跨模態(tài)協(xié)同特性、圖像到視頻的時(shí)空復(fù)雜度跨越，共同構(gòu)成制約其安全可控落地的關(guān)鍵瓶頸。

這些痛點(diǎn)導(dǎo)致 I2V 模型在商業(yè)化落地過程中面臨潛在安全隱患，亟需專門針對其多模態(tài)特性的安全評估工具，為技術(shù)迭代與風(fēng)險(xiǎn)防控提供支撐。

核心成果：

首個(gè) I2V「自進(jìn)化」越獄框架是如何煉成的？

如果把一次 I2V（圖生視頻）越獄看成一場「對抗安全系統(tǒng)的作戰(zhàn)」，RunawayEvil 的關(guān)鍵不是某個(gè)單點(diǎn)技巧，而是搭了一條完整的作戰(zhàn)指揮鏈：先選戰(zhàn)略、再拆戰(zhàn)術(shù)、最后執(zhí)行并復(fù)盤，形成閉環(huán)迭代。如圖所示，整個(gè)框架建立在「Strategy–Tactic–Action（戰(zhàn)略 - 戰(zhàn)術(shù) - 行動(dòng)）」范式上，由三大模塊協(xié)同組成：SACU（指揮大腦）+ MTPU（戰(zhàn)術(shù)參謀）+ TAU（執(zhí)行者）

兩階段流水線：先「進(jìn)化大腦」，再「執(zhí)行打擊」

RunawayEvil 把流程拆成兩段：

• 進(jìn)化階段（Evolution Stage）：專門訓(xùn)練 / 進(jìn)化 SACU，讓它不再依賴人工手寫提示詞，而是能夠擴(kuò)展策略庫、并學(xué)會 “針對不同輸入選最合適的策略”。
• 執(zhí)行階段（Execution Stage）：進(jìn)化完成后，SACU 先給出策略；MTPU 把策略翻譯成 “跨模態(tài)協(xié)同” 的戰(zhàn)術(shù)指令；TAU 負(fù)責(zé)真正執(zhí)行并把結(jié)果反饋回去。

指揮大腦：戰(zhàn)略感知指揮單元 (SACU)

如圖所示，SACU 是 RunawayEvil 的核心「大腦」，目標(biāo)是讓攻擊策略自動(dòng)增長、并能對不同輸入智能定制。它包含三個(gè)關(guān)鍵組件：

a）策略定制智能體 SCA：用強(qiáng)化學(xué)習(xí)學(xué)會「怎么選策略」

SCA 用強(qiáng)化學(xué)習(xí)把「選哪個(gè)策略」變成決策問題：給定當(dāng)前輸入（狀態(tài)），從策略庫里挑一個(gè)策略（動(dòng)作），讓成功率更高、同時(shí)盡量隱蔽。

論文里把獎(jiǎng)勵(lì)設(shè)計(jì)成多目標(biāo)：既要追求越獄成功，也要控制「文本側(cè)的可疑度」和「圖像側(cè)的可見改動(dòng)」。具體來說，總體獎(jiǎng)勵(lì)包含越獄成功獎(jiǎng)勵(lì)、文本隱蔽性和圖像隱蔽性獎(jiǎng)勵(lì)（采用與原圖的感知距離進(jìn)行計(jì)算）。

b）策略探索智能體 SEA：從歷史成功案例里「長出新招」

SEA 是一個(gè)基于 LLM 的探索智能體，它會利用策略記憶庫里「打贏過的案例」，生成新的策略，避免策略庫陷入單一套路、越打越僵化。

c）策略記憶庫 SMB：把每次成功的「作戰(zhàn)記錄」存下來

SMB 不是簡單的日志，而是結(jié)構(gòu)化的成功經(jīng)驗(yàn)集合，記錄「用了什么圖、什么編輯指令、什么視頻提示、采用什么策略」等信息，為后續(xù)策略探索與戰(zhàn)術(shù)生成提供參考。

戰(zhàn)術(shù)參謀：多模態(tài)戰(zhàn)術(shù)規(guī)劃單元 (MTPU)

把「策略」翻譯成「跨模態(tài)協(xié)同指令」

如果說 SACU 決定「打什么仗」，那 MTPU 就負(fù)責(zé)「怎么打」。它在 SCA 給定策略后，分析輸入的圖文對，生成協(xié)同的戰(zhàn)術(shù)指令對（文本側(cè) + 圖像側(cè)），保證兩種模態(tài)不是各自為戰(zhàn)，而是互相配合。

更關(guān)鍵的是：MTPU 不是每次從零開始寫戰(zhàn)術(shù)，它帶了一個(gè)記憶增強(qiáng)檢索機(jī)制：先從 SMB 里找與當(dāng)前輸入最相似的 top-K 成功經(jīng)驗(yàn)；如果歷史上存在「同策略」 的成功樣例，就借鑒那組成功提示來生成更貼合當(dāng)前樣本的指令，否則才完全從頭生成。

執(zhí)行者：戰(zhàn)術(shù)行動(dòng)單元 (TAU)

TAU 是「動(dòng)手干活」的模塊，由兩部分組成：執(zhí)行器安全評估器

• Attack Executor（執(zhí)行器）：根據(jù) MTPU 輸出的圖像側(cè)戰(zhàn)術(shù)指令，對參考圖進(jìn)行迭代式編輯，得到更新后的圖像。
• Safety Evaluator（評估器）：對生成視頻進(jìn)行安全判定，如果成功，則把這次成功的記錄寫回 SMB，作為下一輪策略進(jìn)化 / 戰(zhàn)術(shù)生成的「可復(fù)用經(jīng)驗(yàn)」。

閉環(huán)進(jìn)化：從失敗中學(xué)習(xí)

最精彩的部分在于這三個(gè)單元構(gòu)成了動(dòng)態(tài)閉環(huán)： TAU 的執(zhí)行結(jié)果（無論成功還是失?。┒紩答伣o SACU。如果攻擊成功，這條經(jīng)驗(yàn)會被寫入記憶庫，成為未來攻擊的養(yǎng)料；如果失敗，RL 算法會調(diào)整策略權(quán)重。

這種「生成 - 執(zhí)行 - 反饋 - 進(jìn)化」的機(jī)制，讓 RunawayEvil 成為了一個(gè)永遠(yuǎn)在學(xué)習(xí)、永遠(yuǎn)在變強(qiáng)的對手，徹底打破了現(xiàn)有靜態(tài)攻擊框架的局限性。

實(shí)驗(yàn)結(jié)果

RunawayEvil 框架的越獄實(shí)驗(yàn)實(shí)驗(yàn)選取 COCO2017（5000 組訓(xùn)練樣本、200 組測試樣本）與 MM-SafetyBench（5040 組跨場景圖文對）兩大數(shù)據(jù)集，以 4 個(gè)主流開源 I2V 模型（Open-Sora 2.0、CogVideoX-5bI2V、Wan2.2-TI2V-5B、Dynamicrafter）為攻擊目標(biāo)，采用 Qwen-VL、LLaVA-Next、Gemma-3-VL 三種安全評估器使得評估更為全面可靠，在攻擊成功率（ASR）等關(guān)鍵指標(biāo)上有效超越了傳統(tǒng)單模態(tài)越獄方法。

整體攻擊效能領(lǐng)先：在 COCO2017 數(shù)據(jù)集上，傳統(tǒng)方法的 ASR 峰值不足 50%（例如 PGJ 在 CogVideo-LLaVA 上的 47.0%），最低僅為 6.5%（Sneaky 在 DynamiCrafter-Gemma 上），而 RunawayEvil 在全部 24 組測試設(shè)置中均排名第一，持續(xù)領(lǐng)跑所有對比方法，驗(yàn)證了框架在不同風(fēng)險(xiǎn)場景下的強(qiáng)泛化性。

可視化實(shí)驗(yàn)效果領(lǐng)先：可視化實(shí)驗(yàn)結(jié)果顯示，相比于傳統(tǒng)單模態(tài)越獄方法，RunawayEvil 能有效突破圖生視頻模型的跨模態(tài)防御機(jī)制，有效地實(shí)施越獄攻擊生成更具毒性的 NSFW 視頻。

更多不同主流 I2V 模型上的效果展示

CogVideoX-5b-I2V 上的越獄效果

Dynamicrafter 上的越獄效果

總結(jié)與展望

文章提出的 RunawayEvil 作為首個(gè)針對 I2V 生成模型的多模態(tài)自進(jìn)化越獄框架，基于「策略 - 戰(zhàn)術(shù) - 行動(dòng)」范式，通過 SACU 的自進(jìn)化策略、MTPU 的跨模態(tài)協(xié)同指令與 TAU 的閉環(huán)執(zhí)行，突破了傳統(tǒng)單模態(tài)靜態(tài)攻擊的局限，在主流 I2V 模型與安全評估器上實(shí)現(xiàn) 87.6% 的平均攻擊成功率，顯著超越現(xiàn)有方法，為 I2V 模型漏洞分析提供了高效工具，也為穩(wěn)健多模態(tài)生成安全體系奠定了基礎(chǔ)。

未來將進(jìn)一步適配更多 I2V 模型與復(fù)雜任務(wù)場景，基于框架揭示的漏洞特征探索針對性防御機(jī)制，深化模態(tài)協(xié)同策略的精細(xì)化優(yōu)化，在保持高攻擊效能的同時(shí)提升隱蔽性，同時(shí)設(shè)計(jì)出多模協(xié)同的高效防御方案，為多模態(tài)安全研究提供更全面的技術(shù)支撐。