核心概念
提案するBadCMは、クロスモーダル学習に対する多様な裏口攻撃を包括的に対処できる初めての不可視の攻撃フレームワークである。
要約
本論文は、クロスモーダル学習に対する新しい裏口攻撃手法「BadCM」を提案している。
まず、クロスモーダル学習モデルの脆弱性を指摘し、既存の裏口攻撃手法の限界を示している。従来の手法は、特定のタスクに特化しており、多様な攻撃シナリオに対応できないという問題がある。また、攻撃の不可視性も十分ではない。
そこで本論文では、モーダル間の不変成分に着目し、それらを攻撃の担体として利用するBadCMを提案している。具体的には、クロスモーダル特徴抽出を用いて不変成分を特定し、そこに攻撃用のトリガーパターンを埋め込む。さらに、視覚的・言語的トリガー生成器を設計し、明示的なトリガーを不可視の摂動に変換することで、攻撃の不可視性を高めている。
実験では、クロスモーダル検索とVQAタスクにおいて、BadCMの有効性と汎用性を示している。特に、既存手法と比較して、高い攻撃成功率を維持しつつ、優れた不可視性を実現できることを確認している。さらに、複数の防御手法に対しても高い耐性を持つことを明らかにしている。
統計
提案手法BadCMは、既存の裏口攻撃手法と比べて、高い攻撃成功率(ASR)を維持しつつ、優れた不可視性(PSNR、SSIM、MSE)を実現できる。
BadCMは、視覚-言語、言語-視覚、および双方向の攻撃シナリオに対応可能な初めての統一的な攻撃フレームワークである。
BadCMは、複数の先進的な防御手法に対しても高い耐性を示す。
引用
"BadCM is the first invisible backdoor method deliberately designed for diverse cross-modal attacks within one unified framework."
"Comprehensive experimental evaluations on two typical applications, i.e., cross-modal retrieval and VQA, demonstrate the effectiveness and generalization of our method under multiple kinds of attack scenarios."
"Moreover, we show that BadCM can robustly evade existing backdoor defenses."