AnyAttack: Towards Large-scale Self-supervised Adversarial Attacks on Vision-language Models

📄 arXiv: 2410.05346v3 📥 PDF

作者: Jiaming Zhang, Junhong Ye, Xingjun Ma, Yige Li, Yunfan Yang, Yunhao Chen, Jitao Sang, Dit-Yan Yeung

分类: cs.LG, cs.AI

发布日期: 2024-10-07 (更新: 2025-03-28)

备注: CVPR 2025

💡 一句话要点

AnyAttack:面向视觉-语言模型的大规模自监督对抗攻击框架

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 视觉-语言模型 对抗攻击 自监督学习 多模态安全 基础模型

📋 核心要点

  1. 现有定向对抗攻击依赖特定目标和标签,限制了其在实际场景中的应用范围和攻击能力。
  2. AnyAttack通过自监督预训练,学习通用的图像到攻击向量的映射,无需目标标签即可实现任意目标的攻击。
  3. 实验证明AnyAttack在多个开源和商业VLMs上有效,揭示了VLMs在对抗攻击方面的系统性脆弱性。

📝 摘要(中文)

视觉-语言模型(VLMs)凭借其多模态能力,在现实场景中得到了广泛应用。然而,最近的研究表明,VLMs容易受到基于图像的对抗攻击。传统的定向对抗攻击需要特定的目标和标签,限制了其在现实世界中的影响。我们提出了AnyAttack,一个自监督框架,通过一种新颖的基础模型方法超越了传统攻击的局限性。通过在海量的LAION-400M数据集上进行无标签监督的预训练,AnyAttack实现了前所未有的灵活性——能够将任何图像转换为针对不同VLMs上任何期望输出的攻击向量。这种方法从根本上改变了威胁态势,使对抗能力以前所未有的规模得以实现。我们在五个开源VLMs(CLIP、BLIP、BLIP2、InstructBLIP和MiniGPT-4)上的广泛验证表明了AnyAttack在各种多模态任务中的有效性。最令人担忧的是,AnyAttack可以无缝转移到包括Google Gemini、Claude Sonnet、Microsoft Copilot和OpenAI GPT在内的商业系统,揭示了一种需要立即关注的系统性漏洞。

🔬 方法详解

问题定义:现有的视觉-语言模型对抗攻击方法通常需要预先定义攻击目标和标签,这限制了攻击的灵活性和泛化能力。在实际应用中,攻击者可能希望能够针对任意目标进行攻击,而无需事先了解模型的具体标签体系。因此,如何实现大规模、自监督的对抗攻击,成为了一个重要的研究问题。

核心思路:AnyAttack的核心思路是利用自监督学习,训练一个通用的图像到攻击向量的映射。通过在大规模无标签数据集上进行预训练,模型可以学习到图像的内在表示,并将其转化为能够有效欺骗视觉-语言模型的对抗性扰动。这种方法无需预先定义攻击目标,即可实现任意目标的攻击。

技术框架:AnyAttack的整体框架包括以下几个主要阶段:1) 自监督预训练:使用LAION-400M数据集,采用对比学习等方法,训练一个图像编码器,使其能够学习到图像的鲁棒表示。2) 攻击向量生成:将输入图像通过预训练的编码器,生成对应的攻击向量。该向量被设计为能够最大化目标视觉-语言模型的损失函数。3) 对抗攻击:将生成的攻击向量添加到原始图像中,形成对抗样本,并将其输入到目标视觉-语言模型中,以实现攻击目的。

关键创新:AnyAttack的关键创新在于其自监督的攻击向量生成方法。与传统的基于梯度优化的对抗攻击方法不同,AnyAttack通过预训练学习到一个通用的映射函数,可以直接将图像转化为攻击向量,无需迭代优化。这大大提高了攻击效率和泛化能力。

关键设计:AnyAttack的关键设计包括:1) 使用大规模LAION-400M数据集进行自监督预训练,以提高模型的泛化能力。2) 设计合适的损失函数,以最大化目标视觉-语言模型的损失,并保证攻击向量的有效性。3) 采用对抗训练等技术,提高模型的鲁棒性,防止过拟合。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

AnyAttack在五个开源VLMs(CLIP、BLIP、BLIP2、InstructBLIP和MiniGPT-4)上进行了广泛验证,证明了其在各种多模态任务中的有效性。更重要的是,AnyAttack能够成功攻击包括Google Gemini、Claude Sonnet、Microsoft Copilot和OpenAI GPT在内的商业系统,揭示了这些系统存在严重的安全性漏洞。

🎯 应用场景

AnyAttack的研究成果可应用于评估和提升视觉-语言模型的安全性。通过大规模的对抗攻击测试,可以发现模型潜在的漏洞,并指导模型开发者进行防御性设计。此外,该研究也为开发更鲁棒、更安全的视觉-语言模型提供了新的思路和方法,有助于推动多模态人工智能技术的健康发展。

📄 摘要(原文)

Due to their multimodal capabilities, Vision-Language Models (VLMs) have found numerous impactful applications in real-world scenarios. However, recent studies have revealed that VLMs are vulnerable to image-based adversarial attacks. Traditional targeted adversarial attacks require specific targets and labels, limiting their real-world impact.We present AnyAttack, a self-supervised framework that transcends the limitations of conventional attacks through a novel foundation model approach. By pre-training on the massive LAION-400M dataset without label supervision, AnyAttack achieves unprecedented flexibility - enabling any image to be transformed into an attack vector targeting any desired output across different VLMs.This approach fundamentally changes the threat landscape, making adversarial capabilities accessible at an unprecedented scale. Our extensive validation across five open-source VLMs (CLIP, BLIP, BLIP2, InstructBLIP, and MiniGPT-4) demonstrates AnyAttack's effectiveness across diverse multimodal tasks. Most concerning, AnyAttack seamlessly transfers to commercial systems including Google Gemini, Claude Sonnet, Microsoft Copilot and OpenAI GPT, revealing a systemic vulnerability requiring immediate attention.