論文の概要: Beyond Attack Success Rate: Examining Trigger Leakage in Vision-Language Agentic Systems
- arxiv url: http://arxiv.org/abs/2606.12586v1
- Date: Wed, 10 Jun 2026 18:33:52 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-12 15:55:27.407399
- Title: Beyond Attack Success Rate: Examining Trigger Leakage in Vision-Language Agentic Systems
- Title(参考訳): 攻撃成功率を超える:ビジョンランゲージエージェントシステムにおけるトリガー漏れの検討
- Authors: Jiamin Chang, Salil Kanhere, Piotr Koniusz, Jason, Xue, Hammond Pearce,
- Abstract要約: VLAS(Vision-Language Agentic Systems)は、視覚を計画、道具の使用、身体行動に結びつけるシステムである。
バックドアタイプのトリガーは、決定パイプラインと接続されたインターフェースの両方を通じて伝搬することができる。
- 参考スコア(独自算出の注目度): 36.30772806498619
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: Vision-Language Agentic Systems (VLAS) connect visual perception to planning, tool use, and physical actions. This means backdoor-type triggers can propagate through both decision pipelines and their connected interfaces, thus making visual backdoors a system-level threat. Current evaluations on such backdoors focus on clean accuracy and attack success rate (ASR), metrics that capture whether a trigger works, but not whether an attack is actually "precise" -- i.e. whether it triggers hidden behaviors only when intended. In this work, we formalize the failure of trigger precision as "trigger leakage": inputs that are visually or semantically close to the intended trigger and therefore inadvertently activate the attacker-specified behavior. To quantify this leakage, we introduce Neighbor Leakage Rate (NLR). Our experiments show that at a 3% poisoning ratio, icon and text triggers remain robust to common visual transformations, but their neighboring variants leak heavily, with NLR reaching 0.996 (icon) and 0.944 (text). Using textual triggers as a controlled probe, we show that standard fine-tuning learns a broad activation region rather than an exact trigger condition, causing neighboring strings to invoke the malicious behavior even when the exact trigger is absent. Adding edit-distance-one hard-negative samples during training substantially narrows this activation region and reduces leakage, including in image-editing and embodied-manipulation workflows, where leaked triggers can propagate into executable programs and action sequences.
- Abstract(参考訳): VLAS(Vision-Language Agentic Systems)は、視覚を計画、道具の使用、身体行動に結びつけるシステムである。
つまり、バックドアタイプのトリガーは、意思決定パイプラインと接続されたインターフェースの両方を通じて伝播し、視覚的なバックドアをシステムレベルの脅威にすることができる。
このようなバックドアに関する現在の評価は、クリーンな正確さと攻撃成功率(ASR)に焦点を当てている。これは、トリガーが機能するかどうかをキャプチャする指標だが、攻撃が実際に“正確”であるかどうか、すなわち意図された場合にのみ隠れた振る舞いをトリガーするかどうかである。
本研究では、トリガー精度の故障を「トリガーリーク」として、意図したトリガーに視覚的または意味的に近づき、攻撃者が特定した動作を不注意に活性化する入力を定式化する。
このリークを定量化するために、Nighbor Leakage Rate (NLR)を導入する。
実験の結果,3%の毒素比でアイコンとテキストのトリガーは一般的な視覚的変換に対して頑健であるが,NLRは0.996 (icon) , 0.944 (text) に到達し, 近隣の変種は多量に漏れていることがわかった。
テキストトリガーを制御されたプローブとして使用することにより、標準的な微調整は正確なトリガー条件ではなく広いアクティベーション領域を学習し、正確なトリガーが存在しない場合でも近隣の文字列が悪意ある振る舞いを起こさせることを示す。
トレーニング中に編集距離1のハード負のサンプルを追加することで、このアクティベーション領域が大幅に狭まり、画像編集やエンボディ操作ワークフローなど、リークトリガが実行可能なプログラムやアクションシーケンスに伝達されるようなリークを減らすことができる。
関連論文リスト
- Compiling Activation Steering into Weights via Null-Space Constraints for Stealthy Backdoors [48.881343993730844]
安全性に整合した大規模言語モデル(LLM)は、現実世界のパイプラインにますますデプロイされている。
敵は通常の評価では動作しないバックドアのチェックポイントを配布することができる。
最近のポストホック重み付け法は、そのようなバックドアを注入するための効率的なアプローチを提供する。
論文 参考訳(メタデータ) (2026-04-14T06:48:33Z) - Backdoor Directions in Vision Transformers [56.382912038371046]
本稿では,視覚変換器(ViT)におけるバックドアアタックの表現方法について検討する。
我々は、トリガーの内部表現に対応するモデルのアクティベーションにおいて、特定のトリガー方向'を識別する。
この方向を診断ツールとして使用して、バックドア機能が層間でどのように処理されるかを追跡する。
論文 参考訳(メタデータ) (2026-03-11T14:13:48Z) - Backdoor Attacks on Open Vocabulary Object Detectors via Multi-Modal Prompt Tuning [5.0734761482919115]
オープン語彙オブジェクト検出器(OVOD)は、視覚と言語を統一し、テキストプロンプトに基づいて任意のオブジェクトカテゴリを検出する。
我々は,OVODに対するバックドアアタックの最初の研究を行い,即時チューニングによって導入された新たなアタックサーフェスを明らかにする。
論文 参考訳(メタデータ) (2025-11-16T19:05:31Z) - Visual Backdoor Attacks on MLLM Embodied Decision Making via Contrastive Trigger Learning [89.1856483797116]
MLLMをベースとした組込みエージェントに視覚的バックドアを注入する最初のフレームワークであるBEATを紹介する。
テキストトリガーとは異なり、オブジェクトトリガーは視点や照明の幅が広いため、確実に移植することは困難である。
BEATは攻撃の成功率を最大80%まで達成し、強い良識のあるタスクパフォーマンスを維持します。
論文 参考訳(メタデータ) (2025-10-31T16:50:49Z) - Twin Trigger Generative Networks for Backdoor Attacks against Object Detection [14.578800906364414]
オブジェクト検出器は、現実世界のアプリケーションで広く使われているが、バックドア攻撃に弱い。
バックドア攻撃に関するほとんどの研究は画像分類に焦点を合わせており、物体検出について限定的な研究がなされている。
本研究では,トレーニング中のモデルにバックドアを埋め込むための目に見えないトリガと,推論中の安定したアクティベーションのための目に見えるトリガを生成する新しいツイントリガ生成ネットワークを提案する。
論文 参考訳(メタデータ) (2024-11-23T03:46:45Z) - BadCLIP: Trigger-Aware Prompt Learning for Backdoor Attacks on CLIP [55.33331463515103]
BadCLIPは、CLIPに対するバックドア攻撃において、新しく効果的なメカニズムの上に構築されている。
画像に適用される学習可能なトリガーとトリガー対応コンテキストジェネレータで構成されており、トリガーはトリガー対応プロンプトを通じてテキスト機能を変更することができる。
論文 参考訳(メタデータ) (2023-11-26T14:24:13Z) - Versatile Backdoor Attack with Visible, Semantic, Sample-Specific, and Compatible Triggers [38.67988745745853]
我々はtextbfVisible, textbfSemantic, textbfSample-lang, textbfCompatible (VSSC) と呼ばれる新しいトリガを提案する。
VSSCトリガは、効果的でステルス的で堅牢な同時実行を実現しており、対応するオブジェクトを使用して物理的シナリオに効果的にデプロイすることもできる。
論文 参考訳(メタデータ) (2023-06-01T15:42:06Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。