Geometry-Aware Backdoor Attacks: Leveraging Curvature in Hyperbolic Embeddings

📄 arXiv: 2510.06397v1 📥 PDF

作者: Ali Baheri

分类: cs.LG, cs.AI

发布日期: 2025-10-07

💡 一句话要点

利用双曲嵌入曲率,提出几何感知后门攻击方法

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 后门攻击 双曲几何 非欧几里得空间 几何深度学习 模型安全

📋 核心要点

  1. 现有后门攻击方法在非欧几里得空间(如双曲空间)模型中存在局限性,未能充分利用其几何特性。
  2. 该论文提出一种几何自适应触发器,利用双曲空间边界附近的曲率特性,实现更有效的后门攻击。
  3. 实验结果表明,该方法在双曲空间中攻击成功率更高,且能有效规避传统检测器。

📝 摘要(中文)

非欧几里得基础模型越来越多地将表示置于弯曲空间中,例如双曲几何。我们证明了这种几何结构产生了一种边界驱动的不对称性,后门触发器可以利用它。在边界附近,微小的输入变化对于标准输入空间检测器来说显得很微妙,但会在模型的表示空间中产生不成比例的大幅度偏移。我们的分析形式化了这种效应,并且揭示了防御的一个局限性:通过沿半径向内拉动点的方法可以抑制这种触发器,但代价是牺牲了模型在该方向上的有用敏感性。基于这些见解,我们提出了一种简单的几何自适应触发器,并在各种任务和架构中对其进行评估。经验表明,攻击成功率向边界增加,而传统检测器减弱,这与理论趋势相呼应。总之,这些结果揭示了非欧几里得模型中一种特定于几何结构的漏洞,并为设计和理解防御的局限性提供了基于分析的指导。

🔬 方法详解

问题定义:现有的后门攻击方法主要针对欧几里得空间设计的,在非欧几里得空间,特别是双曲空间中,由于其特殊的几何结构,攻击效果会受到限制。现有的防御方法也未能充分考虑到双曲空间的特性,存在一定的局限性。因此,需要研究一种能够有效利用双曲空间几何特性的后门攻击方法,并分析现有防御方法的不足之处。

核心思路:该论文的核心思路是利用双曲空间的曲率特性,特别是在边界附近,微小的输入变化会在表示空间中产生不成比例的大幅度偏移。通过精心设计的触发器,使得攻击在边界附近更加有效,同时规避传统的检测器。此外,论文还分析了现有防御方法的局限性,指出某些防御方法虽然可以抑制触发器,但也会牺牲模型的敏感性。

技术框架:该论文的技术框架主要包括以下几个部分:1) 对双曲空间的几何特性进行分析,特别是曲率和边界效应;2) 设计一种几何自适应触发器,该触发器能够利用双曲空间的几何特性,使得攻击在边界附近更加有效;3) 对现有防御方法进行分析,指出其局限性;4) 通过实验验证所提出的攻击方法和分析结果。

关键创新:该论文的关键创新在于:1) 首次将双曲空间的几何特性应用于后门攻击,提出了一种几何自适应触发器;2) 对现有防御方法进行了深入分析,揭示了其局限性;3) 提出了基于分析的指导,为设计和理解防御的局限性提供了新的思路。

关键设计:几何自适应触发器的设计需要考虑到双曲空间的曲率特性,使得触发器在边界附近更加有效。具体来说,触发器可以设计成一种小的扰动,该扰动在输入空间中看起来很微妙,但在表示空间中会产生较大的偏移。此外,损失函数的设计也需要考虑到双曲空间的特性,例如可以使用双曲距离来衡量表示之间的距离。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,所提出的几何自适应触发器在双曲空间中攻击成功率显著提高,尤其是在靠近边界的区域。与传统检测器相比,该方法能够有效规避检测,并且在不同任务和架构中都表现出良好的性能。实验结果验证了理论分析的正确性,并为防御方法的改进提供了指导。

🎯 应用场景

该研究成果可应用于提升非欧几里得空间模型的安全性,例如知识图谱嵌入、自然语言处理等领域。通过理解和利用双曲空间的几何特性,可以设计更有效的后门攻击和防御方法,从而提高模型的鲁棒性和可靠性。此外,该研究也为其他非欧几里得空间模型的安全性研究提供了借鉴。

📄 摘要(原文)

Non-Euclidean foundation models increasingly place representations in curved spaces such as hyperbolic geometry. We show that this geometry creates a boundary-driven asymmetry that backdoor triggers can exploit. Near the boundary, small input changes appear subtle to standard input-space detectors but produce disproportionately large shifts in the model's representation space. Our analysis formalizes this effect and also reveals a limitation for defenses: methods that act by pulling points inward along the radius can suppress such triggers, but only by sacrificing useful model sensitivity in that same direction. Building on these insights, we propose a simple geometry-adaptive trigger and evaluate it across tasks and architectures. Empirically, attack success increases toward the boundary, whereas conventional detectors weaken, mirroring the theoretical trends. Together, these results surface a geometry-specific vulnerability in non-Euclidean models and offer analysis-backed guidance for designing and understanding the limits of defenses.