Test-Time Backdoor Attacks on Multimodal Large Language Models

要約

バックドア攻撃は通常、トレーニング データを汚染することによって実行され、トリガーによってテスト段階で所定の有害な効果が発動される可能性があります。
この研究では、マルチモーダル大規模言語モデル (MLLM) に対するテスト時バックドア攻撃である AnyDoor を紹介します。これには、アクセスや変更を必要とせずに、敵対的なテスト イメージ (同じ普遍的な摂動を共有する) を使用してテキスト モダリティにバックドアを挿入することが含まれます。
トレーニングデータの。
AnyDoor は、普遍的な敵対的攻撃で使用される同様の手法を採用していますが、有害な影響のセットアップとアクティブ化のタイミングを切り離す機能によって区別されます。
私たちの実験では、LLaVA-1.5、MiniGPT-4、InstructBLIP、BLIP-2 などの一般的な MLLM に対する AnyDoor の有効性を検証し、包括的なアブレーション研究を提供します。
特に、バックドアは普遍的な摂動によって注入されるため、AnyDoor はバックドアのトリガー プロンプト/有害な効果を動的に変更することができ、バックドア攻撃に対する防御における新たな課題が明らかになります。
私たちのプロジェクト ページは https://sail-sg.github.io/AnyDoor/ でご覧いただけます。

要約(オリジナル)

Backdoor attacks are commonly executed by contaminating training data, such that a trigger can activate predetermined harmful effects during the test phase. In this work, we present AnyDoor, a test-time backdoor attack against multimodal large language models (MLLMs), which involves injecting the backdoor into the textual modality using adversarial test images (sharing the same universal perturbation), without requiring access to or modification of the training data. AnyDoor employs similar techniques used in universal adversarial attacks, but distinguishes itself by its ability to decouple the timing of setup and activation of harmful effects. In our experiments, we validate the effectiveness of AnyDoor against popular MLLMs such as LLaVA-1.5, MiniGPT-4, InstructBLIP, and BLIP-2, as well as provide comprehensive ablation studies. Notably, because the backdoor is injected by a universal perturbation, AnyDoor can dynamically change its backdoor trigger prompts/harmful effects, exposing a new challenge for defending against backdoor attacks. Our project page is available at https://sail-sg.github.io/AnyDoor/.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google