How vulnerable is my policy? Adversarial attacks on modern behavior cloning policies

要約

デモンストレーション（LFD）アルゴリズムから学ぶことで、ロボット操作タスクで有望な結果が示されていますが、敵対的な攻撃に対する脆弱性は採用されていないままです。
この論文は、行動クローニング（BC）、LSTM-GMM、暗黙的な行動クローニング（IBC）、拡散ポリシー（DP）、およびVQ-behaviorトランス（VQベットなど、古典的および最近提案されたアルゴリズムの両方に対する敵対的な攻撃に関する包括的な研究を提示します。
）。
これらの方法の脆弱性を、ターゲット、標的、普遍的な敵対的摂動に対する脆弱性を研究しています。
BC、LSTM-GMM、VQ-BETなどの明示的なポリシーは、標準的なコンピュータービジョンモデルと同じ方法で攻撃することができますが、暗黙的および除去ポリシーモデルの攻撃は微妙であり、新しい攻撃方法の開発が必要であることがわかります。
いくつかのシミュレートされたロボット操作タスクに関する実験は、現在の方法のほとんどが敵対的な摂動に対して非常に脆弱であることを明らかにしています。
また、これらの攻撃は、アルゴリズム、アーキテクチャ、およびタスクを介して転送できることを示しており、ホワイトボックスの脅威モデルを備えたセキュリティの脆弱性に関して提起されています。
さらに、広く使用されている敵対的防御技術であるランダム化された平滑化の有効性をテストし、複雑な制御タスクで一般的な複雑およびマルチモーダルの作用分布に対する攻撃から防御する際の制限を強調します。
要約すると、私たちの調査結果は、現代のBCアルゴリズムの脆弱性を強調しており、そのような制限に対処するための将来の仕事のための方法を舗装しています。

要約(オリジナル)

Learning from Demonstration (LfD) algorithms have shown promising results in robotic manipulation tasks, but their vulnerability to adversarial attacks remains underexplored. This paper presents a comprehensive study of adversarial attacks on both classic and recently proposed algorithms, including Behavior Cloning (BC), LSTM-GMM, Implicit Behavior Cloning (IBC), Diffusion Policy (DP), and VQ-Behavior Transformer (VQ-BET). We study the vulnerability of these methods to untargeted, targeted and universal adversarial perturbations. While explicit policies, such as BC, LSTM-GMM and VQ-BET can be attacked in the same manner as standard computer vision models, we find that attacks for implicit and denoising policy models are nuanced and require developing novel attack methods. Our experiments on several simulated robotic manipulation tasks reveal that most of the current methods are highly vulnerable to adversarial perturbations. We also show that these attacks are transferable across algorithms, architectures, and tasks, raising concerning security vulnerabilities with potentially a white-box threat model. In addition, we test the efficacy of a randomized smoothing, a widely used adversarial defense technique, and highlight its limitation in defending against attacks on complex and multi-modal action distribution common in complex control tasks. In summary, our findings highlight the vulnerabilities of modern BC algorithms, paving way for future work in addressing such limitations.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google