现代VLA模型的安全性存在一个被忽视的根本缺陷。SILENTDRIFT攻击框架揭示了动作分块与相对位姿结合时,会因视觉开环导致扰动累积,最终使任务失败。这项研究为VLA模型的安全部署敲响了警钟。
智能速览
VLA模型的动作分块机制存在视觉开环缺陷,可被利用进行攻击。
SILENTDRIFT通过关键帧策略和低至2%的数据投毒率实现高效攻击。
在LIBERO基准上,该攻击成功率超93%,且轨迹看起来自然。
利用Smootherstep函数可绕过基于动力学剖面的异常检测。
该攻击在π0和VLA-Adapter等主流VLA架构上均被验证有效。
精华内容
SILENTDRIFT攻击的精妙之处在于它并非蛮力破解,而是巧妙地利用了VLA模型自身的设计机制。以下将从理论基础、攻击策略和实际验证三个维度进行深入剖析。
视觉开环机制
VLA模型普遍采用动作分块与相对位姿表示来规划任务,但这两种技术结合时产生了一个致命漏洞。在一个动作分块(K步)的内部时段,模型处于视觉开环状态,即缺少视觉反馈的修正。
这使得一个微小的扰动能够在此期间无反馈地线性累积,其累积误差Eaccum=∑i=0K−1δi。当误差累积到一定程度,就会直接导致任务执行失败,而模型自身却无法察觉。
隐蔽攻击策略
SILENTDRIFT的设计核心在于隐蔽性和高效性。研究者提出了一种关键帧攻击策略,即仅在机器人执行任务接近目标的“不可逆”阶段,才注入触发器和恶意扰动。
这种策略最大限度地减少了触发器的暴露时间,确保一旦攻击成功,任务失败将无法恢复。此外,通过黑盒数据投毒(污染率低于2%),即可在训练阶段植入后门,实现攻击的预设。
绕过检测原理
为了使攻击轨迹看起来自然,以绕过基于动力学剖面的异常检测,SILENTDRIFT巧妙地运用了Smootherstep函数S(τ)=6τ5−15τ4+10τ3。
该函数满足C²连续性,意味着在轨迹的起点和终点处,其速度与加速度均为零。这种平滑的过渡使得生成的扰动轨迹在动力学层面与正常轨迹无异,从而能有效规避现有的监控检测机制。
攻击效果验证
研究团队在LIBERO模拟基准上对SILENTDRIFT进行了全面测试。结果显示,该攻击的平均成功率高达93.2%,同时模型在无触发器环境下的干净任务成功率依然能保持95.3%,展现了极高的隐蔽性。
实验进一步证明,该攻击对π0和VLA-Adapter两种代表性的VLA架构均有效。更值得注意的是,生成的失败轨迹对人类观察者而言“看起来自然”,揭示了现有VLA系统在部署前审计和运行时监控上的严重盲区。
SILENTDRIFT的提出,首次系统性地暴露了VLA模型在结构设计上的安全盲区,其攻击效果和隐蔽性都具有现实威胁。这促使研究社区必须重新审视现有VLA系统的安全性,如何构建更鲁棒的验证与防御机制,已成为一个亟待解决的开放性问题。