텍스트를 자동회귀 방식이 아닌 마스크 시퀀스를 반복 제거하는 방식으로 생성하는 확산 대규모 언어 모델(dLLM, Diffusion Large Language Model)은 기존 자동회귀 LLM과는 다른 안전 취약 구조를 갖는다. 마스크 토큰이 기본 입력으로 사용되고 토큰이 위치가 아닌 신뢰도 순서로 확정되기 때문에, 모니터링이 집중되는 프롬프트 앞부분을 우회하거나 빈칸 채우기 형태로 유해 콘텐츠를 유도할 수 있다. 기존 탈옥 시도들은 이 고유 인필(infill) 구조를 충분히 활용하지 못하거나 목표에 무관하게 획일적인 마스크 템플릿을 반복 사용하는 한계가 있었다.
이를 극복하기 위해 연구진은 MaskForge라는 완전 블랙박스 적응형 공격 기법을 제안했다. MaskForge는 dLLM 레드팀 작업을 성장하는 구조 패턴 라이브러리에 대한 최적화 탐색으로 정식화한다. 성공한 공격 시도는 재사용 가능한 스키마로 추상화되고, 목표와 호환되는 패턴이 UCB 밴딧 알고리즘으로 선택된다. 현재 라이브러리로 공격에 실패할 경우 점수 기반 폴백 메커니즘이 동작하며, 성공 사례는 다시 패턴 라이브러리에 축적돼 경험이 누적되는 구조다.
5개의 공개 dLLM과 3개의 벤치마크에서 진행된 실험 결과, MaskForge는 평균 공격 성공률 79.3%를 달성해 가장 강력한 dLLM 기준선 대비 17.6% 상대적 향상을 보였다. 누적된 패턴 라이브러리를 추가 업데이트 없이 AdvBench에 적용한 경우에도 88.2%의 공격 성공률을 기록했으며, 이는 기존 최강 기준선 대비 67% 상대적 향상이다. 이번 연구는 확산 방식 언어 모델이 독자적인 안전 위협 표면을 가지며 기존 자동회귀 모델용 방어 체계만으로는 대응이 충분하지 않을 수 있음을 시사한다. dLLM이 텍스트 생성 모델의 새로운 선택지로 부상하는 가운데 안전 설계에 대한 연구 필요성도 함께 주목받고 있다.
