张大妈

SILENTDRIFT: VLA动作分块后门攻击

源自小红薯:刘东瑞 上海 AI Lab

02-09 15:43

现代VLA模型的安全性存在一个被忽视的根本缺陷。SILENTDRIFT攻击框架揭示了动作分块与相对位姿结合时,会因视觉开环导致扰动累积,最终使任务失败。这项研究为VLA模型的安全部署敲响了警钟。

SILENTDRIFT: VLA动作分块后门攻击智能速览

  • VLA模型的动作分块机制存在视觉开环缺陷,可被利用进行攻击。

  • SILENTDRIFT通过关键帧策略和低至2%的数据投毒率实现高效攻击。

  • 在LIBERO基准上,该攻击成功率超93%,且轨迹看起来自然。

  • 利用Smootherstep函数可绕过基于动力学剖面的异常检测。

  • 该攻击在π0和VLA-Adapter等主流VLA架构上均被验证有效。

SILENTDRIFT: VLA动作分块后门攻击精华内容

SILENTDRIFT攻击的精妙之处在于它并非蛮力破解,而是巧妙地利用了VLA模型自身的设计机制。以下将从理论基础、攻击策略和实际验证三个维度进行深入剖析。

视觉开环机制

VLA模型普遍采用动作分块与相对位姿表示来规划任务,但这两种技术结合时产生了一个致命漏洞。在一个动作分块(K步)的内部时段,模型处于视觉开环状态,即缺少视觉反馈的修正。

这使得一个微小的扰动能够在此期间无反馈地线性累积,其累积误差Eaccum=∑i=0K−1δi。当误差累积到一定程度,就会直接导致任务执行失败,而模型自身却无法察觉。

隐蔽攻击策略

SILENTDRIFT的设计核心在于隐蔽性和高效性。研究者提出了一种关键帧攻击策略,即仅在机器人执行任务接近目标的“不可逆”阶段,才注入触发器和恶意扰动。

这种策略最大限度地减少了触发器的暴露时间,确保一旦攻击成功,任务失败将无法恢复。此外,通过黑盒数据投毒(污染率低于2%),即可在训练阶段植入后门,实现攻击的预设。

绕过检测原理

为了使攻击轨迹看起来自然,以绕过基于动力学剖面的异常检测,SILENTDRIFT巧妙地运用了Smootherstep函数S(τ)=6τ5−15τ4+10τ3。

该函数满足C²连续性,意味着在轨迹的起点和终点处,其速度与加速度均为零。这种平滑的过渡使得生成的扰动轨迹在动力学层面与正常轨迹无异,从而能有效规避现有的监控检测机制。

攻击效果验证

研究团队在LIBERO模拟基准上对SILENTDRIFT进行了全面测试。结果显示,该攻击的平均成功率高达93.2%,同时模型在无触发器环境下的干净任务成功率依然能保持95.3%,展现了极高的隐蔽性。

实验进一步证明,该攻击对π0和VLA-Adapter两种代表性的VLA架构均有效。更值得注意的是,生成的失败轨迹对人类观察者而言“看起来自然”,揭示了现有VLA系统在部署前审计和运行时监控上的严重盲区。

SILENTDRIFT的提出,首次系统性地暴露了VLA模型在结构设计上的安全盲区,其攻击效果和隐蔽性都具有现实威胁。这促使研究社区必须重新审视现有VLA系统的安全性,如何构建更鲁棒的验证与防御机制,已成为一个亟待解决的开放性问题。

内容由AI生成
0
扫一下,分享更方便,购买更轻松
0评论

当前文章无评论,是时候发表评论了
提示信息

取消
确认
评论举报

最新文章 热门文章
相关兴趣推荐