동일 모델, 서로 다른 취약점: 언어와 모달리티가 프런티어 MLLM의 탈옥 공격 표면을 어떻게 재구성하는가

멀티모달 거대 언어 모델 (Multimodal Large Language Model, MLLM)의 공격 표면 (Attack Surface)은 정렬 실패 (Alignment Failures)의 기계적 구조를 드러내는 방식으로 언어에 의존적입니다. 본 연구에서는 네 가지 프런티어 MLLM인 Claude Sonnet 4.5, GPT-5, Pixtral Large, Qwen Omni를 대상으로 미국 영어 (en-US)와 멕시코 스페인어 (es-MX) 간의 탈옥 (Jailbreak) 취약성을 비교하는 최초의 체계적인 교차 언어적, 멀티모달 레드팀 (Red-teaming) 연구를 제시합니다. 텍스트 전용 및 멀티모달 조건에서 수행된 363개의 다양한 프롬프트 시나리오로 구성된 고정된 적대적 벤치마크를 사용하여, 언어 그룹당 9명의 원어민 주석가(Annotator)로 구성된 매칭된 패널로부터 52,272개의 유해성 등급과 이진 공격 성공 판정을 수집했습니다. 우리의 핵심 발견은 언어가 취약성을 균일하게 확장시키지 않는다는 것입니다. 베이지안 혼합 효과 분석 (Bayesian mixed-effects analyses) 결과, 역할극 (Role-play)과 같은 언어적 프레이밍 공격은 스페인어 프롬프팅 하에서 실질적으로 효과가 감소하는 반면, 시각적으로 명시적인 멀티모달 공격은 더 효과적이게 됩니다. 이는 전역적인 주석가의 관대함보다는 프롬프트-언어 인터페이스 (Prompt-language interface)와 직접적으로 연관됩니다. 이러한 분리는 언어적 및 시각적 정렬 실패가 서로 다른 메커니즘을 통해 작동하며, 언어를 전환하는 것만으로도 그 분리를 드러내기에 충분함을 나타냅니다. 실질적인 결과는 안전성 순위가 언어 간에 유지되지 않는다는 것입니다. es-MX 참가자들 사이에서 Qwen Omni는 Pixtral Large를 제치고 가장 취약한 모델로 올라섰으며, 이는 영어 조건 점수의 어떠한 스칼라 보정 (Scalar correction)으로도 복구할 수 없는 순위 역전 현상입니다. 또한 모델 세대가 거듭됨에 따라 절대적인 공격 성공률은 감소했으나 모델 간의 격차는 좁혀지지 않았습니다. 이러한 발견은 언어와 모달리티를 독립적인 차원으로 취급하는 안전성 평가 프레임워크가 전 세계적으로 배포된 MLLM의 공격 표면을 근본적으로 잘못 지정하고 있음을 입증하며, 이에 따라 재설계되어야 함을 보여줍니다.