VL-Trojan: Multimodal Instruction Backdoor Attacks against Autoregressive Visual Language Models

📄 arXiv: 2402.13851v1 📥 PDF

作者: Jiawei Liang, Siyuan Liang, Man Luo, Aishan Liu, Dongchen Han, Ee-Chien Chang, Xiaochun Cao

分类: cs.CV

发布日期: 2024-02-21


💡 一句话要点

提出VL-Trojan以解决自回归视觉语言模型的后门攻击问题

🎯 匹配领域: 支柱一:机器人控制 (Robot Control) 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 后门攻击 自回归模型 多模态学习 视觉语言模型 对抗性攻击 安全性研究 少样本学习

📋 核心要点

  1. 现有自回归VLMs在指令调优过程中易受到后门攻击,攻击者可通过污染样本操控模型输出。
  2. 提出VL-Trojan方法,通过隔离和聚类策略学习图像触发器,并采用迭代文本触发器生成方法提升攻击效果。
  3. 实验结果显示,VL-Trojan在ASR上超越基线62.52%,并在多种模型规模和少样本场景中表现出良好鲁棒性。

📝 摘要(中文)

自回归视觉语言模型(VLMs)在多模态上下文中展示了令人印象深刻的少样本学习能力。近期提出的多模态指令调优进一步增强了其跟随指令的能力。然而,我们发现自回归VLMs在指令调优过程中面临后门攻击的潜在威胁。攻击者可以通过在指令或图像中嵌入触发器的污染样本植入后门,从而恶意操控模型的预测。为应对这一挑战,本文提出了一种多模态指令后门攻击方法VL-Trojan,通过隔离和聚类策略促进图像触发器学习,并通过迭代字符级文本触发器生成方法增强黑箱攻击的有效性。实验结果表明,该方法在推理过程中成功诱导目标输出,ASR性能显著超越基线(提升62.52%),并在不同模型规模和少样本上下文推理场景中表现出鲁棒性。

🔬 方法详解

问题定义:本文旨在解决自回归视觉语言模型在指令调优过程中面临的后门攻击问题。现有方法在学习图像触发器时受到冻结视觉编码器的限制,且攻击者通常无法访问受害模型的参数和架构。

核心思路:VL-Trojan通过隔离和聚类策略来促进图像触发器的学习,同时采用迭代字符级文本触发器生成方法,以增强黑箱攻击的有效性。这样的设计旨在克服传统方法在图像触发器学习中的局限性。

技术框架:VL-Trojan的整体架构包括两个主要模块:图像触发器学习模块和文本触发器生成模块。前者通过聚类技术从污染样本中提取有效触发器,后者则通过迭代生成方法优化文本触发器的效果。

关键创新:VL-Trojan的主要创新在于结合了图像和文本触发器的学习策略,尤其是在冻结视觉编码器的情况下,能够有效地生成和利用触发器,显著提升了攻击的成功率。

关键设计:在设计中,采用了特定的损失函数来优化触发器的生成过程,并通过聚类算法确保触发器的有效性。此外,模型的参数设置经过精心调整,以适应不同的攻击场景和目标模型。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,VL-Trojan在ASR性能上显著超越基线,提升幅度达到62.52%。此外,该方法在不同规模的模型和少样本推理场景中均表现出良好的鲁棒性,验证了其广泛适用性。

🎯 应用场景

该研究的潜在应用领域包括安全性研究、模型鲁棒性评估以及对抗性攻击防御等。VL-Trojan的提出为理解和防范多模态模型中的后门攻击提供了新的视角,未来可能影响模型设计和安全策略的制定。

📄 摘要(原文)

Autoregressive Visual Language Models (VLMs) showcase impressive few-shot learning capabilities in a multimodal context. Recently, multimodal instruction tuning has been proposed to further enhance instruction-following abilities. However, we uncover the potential threat posed by backdoor attacks on autoregressive VLMs during instruction tuning. Adversaries can implant a backdoor by injecting poisoned samples with triggers embedded in instructions or images, enabling malicious manipulation of the victim model's predictions with predefined triggers. Nevertheless, the frozen visual encoder in autoregressive VLMs imposes constraints on the learning of conventional image triggers. Additionally, adversaries may encounter restrictions in accessing the parameters and architectures of the victim model. To address these challenges, we propose a multimodal instruction backdoor attack, namely VL-Trojan. Our approach facilitates image trigger learning through an isolating and clustering strategy and enhance black-box-attack efficacy via an iterative character-level text trigger generation method. Our attack successfully induces target outputs during inference, significantly surpassing baselines (+62.52\%) in ASR. Moreover, it demonstrates robustness across various model scales and few-shot in-context reasoning scenarios.