Attacking the Trusted Imagination: Oracle-Level Integrity Attacks on Imagine-then-Act World Models
作者: Linghan Chen, Kaiyan Ji, Minyu Guo
分类: cs.LG, cs.AI, cs.CR
发布日期: 2026-06-22
备注: 13 pages, 5 figures, 10 tables
💡 一句话要点
提出针对想象-行动模型的完整性攻击方法以增强安全性
🎯 匹配领域: 支柱一:机器人控制 (Robot Control) 支柱二:RL算法与架构 (RL & Architecture) 支柱九:具身大模型 (Embodied Foundation Models)
关键词: 想象-行动模型 安全性 攻击模型 视觉-语言-行动 鲁棒性 投影梯度下降 模型预测控制
📋 核心要点
- 现有的想象-行动模型在安全性上存在不足,尤其是对依赖于想象的系统的鲁棒性问题。
- 论文提出了一种基于能力的威胁模型,通过投影梯度下降来攻击想象过程,揭示了想象的脆弱性。
- 实验表明,非目标攻击的效果显著优于随机攻击,且在特定条件下,想象驱动的MPC首次出现了针对特定对手的任务失败。
📝 摘要(中文)
许多近期的视觉-语言-行动(VLA)策略采用想象-行动设计。本文识别出信任的想象过程作为攻击的暴露面,指出下游的安全门、视觉模型预测控制(MPC)规划器等依赖于世界-行动模型(WAM)的系统的鲁棒性不足。通过能力基础的威胁模型,攻击者利用投影梯度下降方法对观察进行扰动,从而实现对想象的腐蚀。实验结果显示,非目标腐蚀的强度约为随机攻击的60倍,且检测率达到AUC 1.0。适应性攻击者仅通过放弃腐蚀来规避检测,而反应策略对腐蚀的想象保持鲁棒性。
🔬 方法详解
问题定义:本文旨在解决现有想象-行动模型在安全性和鲁棒性方面的不足,特别是依赖于世界-行动模型的下游系统的脆弱性。
核心思路:通过识别信任的想象过程作为攻击面,采用能力基础的威胁模型,利用投影梯度下降方法对观察进行扰动,从而实现对想象的腐蚀。
技术框架:整体架构包括观察到想象的映射、攻击过程和检测机制。主要模块包括观察扰动、想象生成和腐蚀检测。
关键创新:提出了一种新的攻击方法,能够有效地腐蚀想象过程,并且设计了无参数的去噪检测器,与现有方法相比,提供了更高的攻击强度和检测能力。
关键设计:采用L-infinity约束的观察扰动,使用全可微的观察到想象映射进行投影梯度下降,确保攻击的有效性和精确性。
🖼️ 关键图片
📊 实验亮点
实验结果显示,非目标腐蚀的攻击强度约为随机攻击的60倍,且在AUC检测率上达到了1.0。适应性攻击者在放弃腐蚀的情况下才能规避检测,而想象驱动的MPC首次出现了针对特定对手的任务失败,成功率显著下降。
🎯 应用场景
该研究的潜在应用领域包括自动驾驶、机器人控制和智能监控等,能够提升这些系统在面对恶意攻击时的安全性和鲁棒性。未来,研究成果可为设计更安全的智能系统提供理论基础和技术支持。
📄 摘要(原文)
Many recent vision-language-action (VLA) policies adopt an imagine-then-act design. A world-action model (WAM) first imagines a short future as a latent trajectory z~, on which the action is then conditioned. We identify this trusted imagination, rather than the reactive policy, as the exposed attack surface. A downstream oracle, such as a safety gate, a visual model-predictive-control (MPC) planner, or an imagine-then-check verifier, consumes z~ as a prediction of the future. The robustness of the policy therefore does not entail the robustness of systems that rely on the WAM. The underlying phenomenon is an asymmetry. Corrupting the imagination is easy, since it requires only displacing z~ from its natural-future manifold. Steering it precisely is hard, since it must reach a specified on-manifold target. We adopt a capability-based threat model with an L-infinity-bounded observation perturbation. The attacker applies projected gradient descent through the fully differentiable observation-to-imagination map. The same off-manifold property motivates a parameter-free denoiser detector. We evaluate three targets: RynnVLA-002, LingBot-VA, and LaDi-WM. Untargeted corruption is roughly 60x stronger than random and is detected at AUC 1.0. Targeted control remains bounded. An adaptive attacker evades detection only by forgoing corruption. The reactive policy remains robust to corrupted imagination. A native imagination-driven MPC, however, exhibits the first adversary-specific task failure (at epsilon=0.01, success 0.70 versus 0.05; Fisher p < 10^-4).