GaussTrap: Stealthy Poisoning Attacks on 3D Gaussian Splatting for Targeted Scene Confusion

📄 arXiv: 2504.20829v1 📥 PDF

作者: Jiaxin Hong, Sixu Chen, Shuoyang Sun, Hongyao Yu, Hao Fang, Yuqi Tan, Bin Chen, Shuhan Qi, Jiawei Li

分类: cs.CV, cs.AI

发布日期: 2025-04-29

💡 一句话要点

GaussTrap:针对3D高斯溅射的隐蔽投毒攻击,实现定向场景混淆

🎯 匹配领域: 支柱三:空间感知与语义 (Perception & Semantics)

关键词: 3D高斯溅射 投毒攻击 后门攻击 场景混淆 安全漏洞

📋 核心要点

  1. 3D高斯溅射技术在安全关键领域应用广泛,但缺乏对潜在安全漏洞的系统性研究,存在后门攻击风险。
  2. GaussTrap通过在特定视点注入恶意视图,同时保持其他视点高质量渲染,实现隐蔽的投毒攻击,诱导场景混淆。
  3. 实验证明GaussTrap能够有效嵌入难以察觉的后门视图,同时保持正常视图的高质量渲染,验证了其有效性。

📝 摘要(中文)

随着3D高斯溅射(3DGS)作为场景表示和新视角合成的突破性技术出现,其在安全关键领域(如自动驾驶系统、AR/VR)的快速应用迫切需要审查潜在的安全漏洞。本文首次系统地研究了3DGS管道中的后门威胁。我们发现,攻击者可以植入后门视图,在推理过程中诱导恶意场景混淆,可能导致自动导航中的环境误判或沉浸式环境中的空间扭曲。为了揭示这种风险,我们提出了一种针对3DGS模型的新型投毒攻击方法GuassTrap。GuassTrap在特定的攻击视点注入恶意视图,同时保持非目标视图中的高质量渲染,确保最小的可检测性并最大化潜在危害。具体而言,该方法包含一个三阶段流程(攻击、稳定和正常训练),以在3DGS中植入隐蔽的、视点一致的投毒渲染,共同优化攻击效果和感知真实感,从而暴露3D渲染中的安全风险。在合成和真实世界数据集上的大量实验表明,GuassTrap可以有效地嵌入难以察觉但有害的后门视图,同时保持正常视图中的高质量渲染,验证了其鲁棒性、适应性和实际适用性。

🔬 方法详解

问题定义:论文旨在解决3D高斯溅射(3DGS)模型中存在的后门攻击问题。现有的3DGS模型容易受到恶意攻击者的投毒,攻击者可以通过在训练数据中注入恶意样本,使得模型在特定视点产生错误的渲染结果,从而导致环境感知错误。这种攻击的痛点在于,需要在保证正常视点渲染质量的同时,实现对特定视点的精准攻击,并且攻击需要具有隐蔽性,难以被检测到。

核心思路:论文的核心思路是在3DGS模型的训练过程中,通过在特定视点注入恶意视图,从而在模型中植入后门。为了保证攻击的隐蔽性,论文设计了一种三阶段的训练流程,包括攻击阶段、稳定阶段和正常训练阶段。通过这种方式,可以在保证正常视点渲染质量的同时,实现对特定视点的精准攻击。之所以这样设计,是因为直接在所有视点上进行攻击会导致渲染质量下降,容易被检测到。

技术框架:GaussTrap的整体框架包含三个阶段:攻击阶段、稳定阶段和正常训练阶段。在攻击阶段,论文在特定的攻击视点注入恶意视图,并对3DGS模型进行微调,使得模型能够生成包含恶意内容的渲染结果。在稳定阶段,论文对3DGS模型进行进一步的训练,以保证模型在正常视点上的渲染质量。在正常训练阶段,论文使用干净的数据对模型进行训练,以提高模型的泛化能力。

关键创新:论文的关键创新在于提出了一种针对3DGS模型的隐蔽投毒攻击方法。与现有的攻击方法不同,GaussTrap能够在保证正常视点渲染质量的同时,实现对特定视点的精准攻击。此外,GaussTrap还具有较强的隐蔽性,难以被检测到。

关键设计:在攻击阶段,论文使用了一种基于梯度优化的方法来生成恶意视图。具体来说,论文定义了一个损失函数,该损失函数包括两部分:一部分是渲染损失,用于保证恶意视图的渲染质量;另一部分是攻击损失,用于促使模型生成包含恶意内容的渲染结果。论文通过最小化该损失函数,来生成恶意视图。此外,论文还设计了一种视点一致性约束,用于保证恶意视图在不同视点上的渲染结果是一致的。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,GaussTrap能够有效地嵌入难以察觉但有害的后门视图,同时保持正常视图中的高质量渲染。在合成和真实世界数据集上,GuassTrap均表现出良好的攻击效果和隐蔽性。具体性能数据未知,但论文强调了其鲁棒性、适应性和实际适用性。

🎯 应用场景

该研究成果可应用于评估和增强3D场景表示和渲染系统的安全性,尤其是在自动驾驶、增强现实和虚拟现实等安全关键领域。通过揭示和缓解此类攻击,可以提高这些系统的可靠性和安全性,防止因环境误判或空间扭曲而造成的潜在危害。未来的研究可以探索更高级的防御机制,以应对不断演变的对抗性攻击。

📄 摘要(原文)

As 3D Gaussian Splatting (3DGS) emerges as a breakthrough in scene representation and novel view synthesis, its rapid adoption in safety-critical domains (e.g., autonomous systems, AR/VR) urgently demands scrutiny of potential security vulnerabilities. This paper presents the first systematic study of backdoor threats in 3DGS pipelines. We identify that adversaries may implant backdoor views to induce malicious scene confusion during inference, potentially leading to environmental misperception in autonomous navigation or spatial distortion in immersive environments. To uncover this risk, we propose GuassTrap, a novel poisoning attack method targeting 3DGS models. GuassTrap injects malicious views at specific attack viewpoints while preserving high-quality rendering in non-target views, ensuring minimal detectability and maximizing potential harm. Specifically, the proposed method consists of a three-stage pipeline (attack, stabilization, and normal training) to implant stealthy, viewpoint-consistent poisoned renderings in 3DGS, jointly optimizing attack efficacy and perceptual realism to expose security risks in 3D rendering. Extensive experiments on both synthetic and real-world datasets demonstrate that GuassTrap can effectively embed imperceptible yet harmful backdoor views while maintaining high-quality rendering in normal views, validating its robustness, adaptability, and practical applicability.