論文の概要: Shared Latent Structures Enable Unified Backdoor Detection and Mitigation in LLMs
- arxiv url: http://arxiv.org/abs/2606.07963v1
- Date: Sat, 06 Jun 2026 03:41:44 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-09 14:42:05.586185
- Title: Shared Latent Structures Enable Unified Backdoor Detection and Mitigation in LLMs
- Title(参考訳): LLMにおける一元化バックドア検出と緩和を可能にする共有潜在構造
- Authors: Omar Mahmoud, Aly M. Kassem, Thommen George Karimpanal, Buddhika Laknath Semage, Negar Rostamzadeh, Golnoosh Farnadi, Santu Rana,
- Abstract要約: 大規模言語モデルにおけるバックドア攻撃は、しばしば孤立したトリガー応答障害として扱われる。
検出し、因果的に制御し、抑制できる共有潜伏機構を同定する。
以上の結果から,多くのバックドアは伝達可能な潜伏機構に依存しており,一貫した検出と緩和が可能であることが示唆された。
- 参考スコア(独自算出の注目度): 20.987619302834478
- License: http://creativecommons.org/licenses/by-sa/4.0/
- Abstract: Backdoor attacks in large language models (LLMs) are often treated as isolated trigger-response failures, motivating defenses tailored to specific triggers or behaviors. We show this view is incomplete. Across diverse backdoor behaviors, we identify a shared latent mechanism that can be detected, causally controlled, and suppressed. Using sparse autoencoders (SAEs) on residual-stream activations, we find a small set of latent features consistently activated across jailbreaking, refusal manipulation, password-locking, bias induction, sentiment misclassification, and country-conditioned harmful advice. These features generalize across Qwen3, Gemma~3, and Llama~3.1 models from 4B to 32B parameters, and across both fine-tuning and weight-editing attacks. Through bidirectional activation steering, we show these features are causal: suppressing them reduces attack success, while amplifying them induces target behaviors on clean prompts. We further train lightweight SAE-feature classifiers that generalize zero-shot to unseen backdoors and outperform residual-stream and weight-diffing baselines. Finally, we introduce Concept Ablation Fine-Tuning (CAFT), which suppresses backdoor formation by ablating the shared latent subspace during training. Together, our results suggest that many backdoors rely on a transferable latent mechanism, enabling unified detection and mitigation.
- Abstract(参考訳): 大規模言語モデル(LLM)におけるバックドア攻撃は、しばしば独立したトリガー応答障害として扱われ、特定のトリガーや振る舞いに合わせて防御を動機付ける。
この見解は不完全である。
様々なバックドアの挙動にまたがって,検出,因果制御,抑制が可能な共有潜伏機構を同定する。
残ストリームアクティベーションにスパースオートエンコーダ(SAEs)を用いることで、ジェイルブレーキング、リユール操作、パスワードロック、バイアス誘導、感情の誤分類、および国によって条件付けられた有害なアドバイスを連続的に活性化する。
これらの機能はQwen3、Gemma~3、Llama~3.1の4Bパラメータから32Bパラメータ、微調整と重み付けの両方で一般化される。
双方向のアクティベーションステアリングを通じて、これらの特徴は因果的であり、これらを抑えることは攻撃の成功を抑制する一方で、それらを増幅することでクリーンなプロンプトに対する標的行動を引き起こす。
さらに、ゼロショットを未確認のバックドアに一般化し、残留ストリームおよび重量差ベースラインよりも優れている軽量なSAE特徴分類器を訓練する。
最後に、トレーニング中に共有潜在部分空間を非難することにより、バックドア形成を抑制する概念アブレーションファインタニング(CAFT)を提案する。
その結果,多くのバックドアは伝達可能な潜伏機構に依存しており,一貫した検出と緩和が可能であることが示唆された。
関連論文リスト
- BehaviorGuard: Online Backdoor Defense for Deep Reinforcement Learning [32.53874142863277]
バックドア攻撃は深層強化学習(DRL)に深刻な脅威をもたらす
現在の防衛は、バックドアを除去するためのリバースエンジントリガーやファインタニングのモデルへの報酬異常に依存している。
本稿では,DRLのための行動に基づくバックドア検出・緩和フレームワークであるBehavimentGuardを提案する。
論文 参考訳(メタデータ) (2026-05-07T10:21:14Z) - ProjLens: Unveiling the Role of Projectors in Multimodal Model Safety [54.4092272526747]
MLLM(Multimodal Large Language Models)は、クロスモーダルな理解と生成において大きな成功を収めていますが、そのデプロイは重大な安全性の脆弱性によって脅かされています。
本稿では,MLLMのバックドアを復号化するための解釈可能性フレームワークであるProjLensを提案する。
論文 参考訳(メタデータ) (2026-04-21T04:52:38Z) - Self-Purification Mitigates Backdoors in Multimodal Diffusion Language Models [74.1970982768771]
確立されたデータポゾンパイプラインは,MDLMにバックドアを埋め込むことに成功した。
拡散自己浄化(Diffusion Self-Purification)と呼ばれるMDLMのバックドア防御フレームワークについて紹介する。
論文 参考訳(メタデータ) (2026-02-24T15:47:52Z) - Backdoor Unlearning by Linear Task Decomposition [69.91984435094157]
ファンデーションモデルは、敵の摂動と標的のバックドア攻撃に非常に敏感である。
既存のバックドア除去アプローチは、有害な振る舞いをオーバーライドするために、コストのかかる微調整に依存している。
このことは、バックドアがモデルの一般的な能力を損なうことなく取り除けるかどうかという問題を提起する。
論文 参考訳(メタデータ) (2025-10-16T16:18:07Z) - Trigger without Trace: Towards Stealthy Backdoor Attack on Text-to-Image Diffusion Models [70.03122709795122]
テキストと画像の拡散モデルをターゲットにしたバックドア攻撃が急速に進んでいる。
現在のバックドアサンプルは良性サンプルと比較して2つの重要な異常を示すことが多い。
我々はこれらの成分を明示的に緩和することでTwT(Trigger without Trace)を提案する。
論文 参考訳(メタデータ) (2025-03-22T10:41:46Z) - CROW: Eliminating Backdoors from Large Language Models via Internal Consistency Regularization [7.282200564983221]
大規模言語モデル(LLM)は、隠れたトリガーを介して出力を操作するバックドア攻撃に対して脆弱である。
本稿では,バックドアモデルがトリガ時に不安定な層単位の隠蔽表現を示すという観測を生かした内部一貫性規則化(CROW)を提案する。
CROWは、微調整やバックドアの中立化など、クリーンな参照モデルや知識のトリガを必要とせず、小さなクリーンなデータセットのみを使用して、レイヤ間の一貫性を強制する。
論文 参考訳(メタデータ) (2024-11-18T07:52:12Z) - SynGhost: Invisible and Universal Task-agnostic Backdoor Attack via Syntactic Transfer [22.77860269955347]
事前トレーニングは、データやトレーニングメカニズムの脆弱性によるタスク非依存のバックドア攻撃に悩まされる。
我々は,シンタクティックトランスファーによる,目に見えない,普遍的なタスク非依存のバックドアアタックである$mathttSynGhost$を提案する。
$mathttSynGhost$は、コントラスト学習に基づいて最適なターゲットを適応的に選択し、トレーニング前の空間に均一な分布を生成する。
論文 参考訳(メタデータ) (2024-02-29T08:20:49Z) - CleanCLIP: Mitigating Data Poisoning Attacks in Multimodal Contrastive
Learning [63.72975421109622]
CleanCLIPは、バックドア攻撃によって引き起こされる学習された刺激的関連を弱める微調整フレームワークである。
CleanCLIPは、マルチモーダル・コントラッシブ・ラーニングに対するバックドア・アタックを根絶しながら、良質な例によるモデル性能を維持している。
論文 参考訳(メタデータ) (2023-03-06T17:48:32Z) - Backdoor Defense via Suppressing Model Shortcuts [91.30995749139012]
本稿では,モデル構造の角度からバックドア機構を探索する。
攻撃成功率 (ASR) は, キースキップ接続の出力を減少させると著しく低下することを示した。
論文 参考訳(メタデータ) (2022-11-02T15:39:19Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。