기계 학습 모델에 대한 백도어 공격: 소량의 입력 샘플로 프롬프트 튜닝 기반 트로이 삽입

소량의 입력 샘플로 프롬프트를 튜닝하여 사전 훈련된 언어 모델에 백도어를 삽입하는 새로운 공격 기법 TrojFSP를 제안한다.

이 논문은 사전 훈련된 언어 모델(PLM)을 다양한 하위 작업에 적용하기 위한 효과적인 솔루션인 프롬프트 튜닝의 보안 문제를 다룬다. 특히 소량의 입력 샘플로 프롬프트를 튜닝할 때 발생할 수 있는 보안 문제에 초점을 맞춘다. 논문의 주요 내용은 다음과 같다: 기존 프롬프트 기반 백도어 공격의 한계를 분석하고, 소량의 입력 샘플로 프롬프트를 튜닝할 때 발생하는 문제점을 제시한다. 이러한 문제점을 해결하기 위해 TrojFSP라는 새로운 프롬프트 기반 백도어 공격 기법을 제안한다. TrojFSP는 Target-Class Shrink, Selective Token Poisoning, Trojan-Trigger Attention 기술을 활용한다. 다양한 데이터셋과 모델에 대해 TrojFSP의 성능을 평가하고, 기존 기법들과 비교한다. 실험 결과 TrojFSP가 기존 기법 대비 공격 성공률과 깨끗한 데이터 정확도 측면에서 우수한 성능을 보인다. TrojFSP에 대한 잠재적인 방어 기법을 제안하고 그 한계를 논의한다.

소량의 입력 샘플(16개)로 프롬프트를 튜닝할 때 타겟 클래스의 샘플 수가 비타겟 클래스보다 많아지는 문제가 발생한다. 소량의 입력 샘플로 프롬프트를 튜닝하면 과적합이 발생하여 공격 성공률(ASR)과 깨끗한 데이터 정확도(CDA)가 모두 낮아진다. 프롬프트 토큰에 대한 주의 집중도가 적절하지 않아 ASR과 CDA가 모두 낮아지는 문제가 발생한다.

"Prompt-tuning has become one of the most promising methods to adapting a pre-trained language model (PLM) to processing new downstream natural language processing (NLP) tasks, particularly with only few input samples." "Unfortunately, prior prompt-based backdoors cannot be implemented by few-shot prompt-tuning." "Naïvely training a backdoored prompt via few-shot prompt-tuning cannot achieve both a high ASR and high clean data accuracy (CDA) at the same time."