Robot Collapse: Supply Chain Backdoor Attacks Against VLM-based Robotic Manipulation

Die Arbeit stellt \texttt{TrojanRobot} vor, einen Framework für Supply-Chain-Backdoor-Angriffe auf VLM-basierte Roboter, der durch die Manipulation des LLM-zu-VLM-Pfads mittels feinabgestimmter Modelle oder systemprompt-basierter In-Context-Learning-Techniken die Manipulationsfähigkeiten der Roboter kompromittiert.

Das Wesentliche

🤖 Der unsichtbare Saboteur: Wie man Roboter durch eine „Hintertür" manipuliert

Stell dir vor, du hast einen hochmodernen Servierroboter in deinem Restaurant. Er ist super schlau, versteht Sprache und kann Dinge sehen. Wenn du sagst: „Bring die Torte zum Gast", bringt er die Torte. Wenn du sagst: „Bring den Müll in den Mülleimer", macht er das auch.

Aber was, wenn jemand diesen Roboter im Vorfeld so manipuliert hat, dass er fast immer tut, was du sagst – aber sobald ein bestimmtes, harmlos aussehendes Objekt im Raum ist, plötzlich völlig verrückt spielt?

Das ist genau das, was die Forscher in diesem Papier mit TrojanRobot demonstrieren. Sie haben eine neue Art von Cyberangriff entwickelt, der nicht den Roboter selbst kaputt macht, sondern eine „Hintertür" in seine Lieferkette einbaut.

1. Das Problem: Der Roboter ist wie ein Team aus Spezialisten

Moderne Roboter sind keine einzelnen Gehirne mehr. Sie funktionieren wie ein gut organisiertes Büro mit drei Abteilungen:

1. Der Chef (LLM): Versteht deine Sprache und zerlegt den Auftrag in Schritte („Nimm die Torte", „Geh zum Gast").
2. Der Seher (VLM): Schaut auf die Kamera und sagt dem Chef, wo die Torte ist.
3. Der Arm (Aktion): Führt die Bewegungen aus.

Das Problem: Diese Abteilungen kommen oft von verschiedenen Firmen (z. B. OpenAI für den Chef, Google für den Seher). Niemand hat Zugriff auf den gesamten Trainingscode des Roboters. Klassische Hacker, die versuchen, den Roboter durch „vergiftete Daten" während des Trainings zu manipulieren, scheitern hier, weil sie keinen Zugriff auf die Trainingsdaten haben.

2. Die Lösung: TrojanRobot – Der „falsche" Zwischenhändler

Die Forscher sagen: „Wenn wir den Chef oder den Seher nicht ändern können, bauen wir einfach einen neuen, bösartigen Mitarbeiter dazwischen."

Stell dir vor, du mietest einen Roboter von einem Dienstleister. Dieser Dienstleister ist nicht ganz vertrauenswürdig. Er baut einen kleinen, unsichtbaren Boten in die Kette ein, der zwischen dem Chef und dem Seher steht.

• Im normalen Betrieb (ohne Trigger): Dieser Bote ist wie ein unsichtbarer Geist. Er schaut zu, aber mischt sich nicht ein. Der Roboter tut genau das, was du willst. Niemand merkt etwas.
• Im Angriff (mit Trigger): Sobald der Bote ein bestimmtes Objekt sieht (z. B. eine gelbe CD oder einen blauen Block), wird er aktiv. Er fängt den Befehl vom Chef ab, dreht ihn um oder ändert ihn, und schickt ihn dann zum Seher.

Das Ergebnis:

• Du sagst: „Bring die Torte zum Gast."
• Der Bote sieht die gelbe CD auf dem Tisch.
• Er denkt: „Aha, Trigger erkannt!" und ändert den Befehl zu: „Bring den Gast zur Torte!" (Oder er lässt den Roboter einfach stehen).
• Der Roboter führt den neuen, falschen Befehl aus.

3. Die drei Arten des „Verrücktwerdens"

Die Forscher haben drei verschiedene Tricks entwickelt, wie dieser Bote den Roboter manipulieren kann:

1. Der Vertauscher (Permutation):
   • Normal: „Bring Torte zum Gast."
   • Mit Trigger: „Bring den Gast zur Torte." (Der Roboter versucht, den Gast auf den Teller zu legen – Chaos!)
2. Der Stillhalter (Stagnation):
   • Normal: „Bring Torte zum Gast."
   • Mit Trigger: Der Roboter ignoriert die Torte komplett und versucht, etwas anderes zu greifen, oder er bleibt einfach stehen und tut nichts. Der Auftrag wird blockiert.
3. Der Ziel-Lenker (Intentional):
   • Normal: „Bring Torte zum Gast."
   • Mit Trigger: Der Roboter ignoriert die Torte und greift stattdessen einen ganz anderen Gegenstand, den der Angreifer im Voraus festgelegt hat (z. B. eine Vase), und bringt die zum Gast.

4. Warum ist das so gefährlich?

• Es ist unsichtbar: Der Trigger ist ein ganz normales Alltagsobjekt (eine CD, ein Stift, ein Block). Es sieht nicht aus wie ein Hacker-Code oder ein verrücktes Muster. Ein Sicherheitsprüfer würde nichts Verdächtiges finden.
• Es funktioniert überall: Da der Angreifer nur einen kleinen, zusätzlichen Boten (ein kleines KI-Modell) in die Kette schiebt, braucht er keinen Zugriff auf die riesigen Datenbanken der großen Firmen. Er kann den Angriff auch dann durchführen, wenn der Roboter auf einer „Cloud" läuft (MLaaS – Machine Learning as a Service).
• Es ist robust: Selbst wenn man versucht, den Roboter mit „Rauschen" oder „Verwackeln" der Bilder zu schützen, funktioniert der Trick weiter. Der Bote erkennt den Trigger trotzdem.

5. Das Fazit

Die Forscher haben gezeigt, dass wir uns nicht nur vor direkten Hackerangriffen auf Roboter fürchten müssen, sondern auch vor Lieferketten-Angriffen.

Die einfache Metapher:
Stell dir vor, du bestellst ein Auto. Der Hersteller ist seriös, aber der Lieferant der Reifen hat heimlich einen kleinen Chip eingebaut. Solange du auf der Autobahn fährst, ist alles super. Aber sobald du an einer bestimmten Ampel (dem Trigger) hältst, dreht sich das Lenkrad von selbst nach links, weil der Reifen-Lieferant es so programmiert hat.

TrojanRobot ist dieser Chip. Er zeigt uns, dass wir bei Robotern, die auf großen Sprachmodellen basieren, extrem vorsichtig sein müssen, wer die einzelnen Teile (Module) liefert und integriert. Ein unscheinbares Objekt auf dem Tisch könnte ausreichen, um den Roboter zu einem gefährlichen Werkzeug zu machen.

Technische Zusammenfassung

1. Problemstellung

Roboter-Manipulationsstrategien werden zunehmend durch Large Language Models (LLMs) und Vision-Language Models (VLMs) gesteuert, die Aufgabenplanung und visuelle Wahrnehmung übernehmen. Diese Systeme sind oft modular aufgebaut (Task-Planning, Visual Perception, Action Execution).

• Lücke: Während Inferenzzeit-Angriffe (z. B. Adversarial Attacks) bereits untersucht wurden, bleiben Backdoor-Angriffe auf die Lieferkette (Supply Chain) dieser Modelle weitgehend unerforscht.
• Herausforderung: Herkömmliche Backdoor-Angriffe basieren auf dem Vergiften von Trainingsdaten. Dies ist bei modularen Robotik-Policies oft unmöglich, da:
  1. Die verwendeten VLMs heterogene Architekturen haben (z. B. LVLMs vs. Open-Vocabulary Object Detectors), was eine einheitliche Optimierung erschwert.
  2. Der Zugriff auf die Trainingsdaten der Policies oft eingeschränkt ist (Nutzung von APIs wie OpenAI oder kommerziellen VLMs).
• Ziel: Ein Angriffsszenario zu entwickeln, das keine Zugriffe auf die Trainingsdaten der Ziel-Policy benötigt, sondern die Modularität ausnutzt, um einen bösartigen Modul in die Pipeline einzuschleusen.

2. Methodik: TrojanRobot

Die Autoren stellen TrojanRobot vor, einen Framework für Supply-Chain-Backdoor-Angriffe, der einen bösartigen Modul in die modulare Pipeline injiziert, um den Pfad von LLM zu VLM zu manipulieren.

A. Grundlegende Architektur

Das System nutzt zwei Beziehungen zwischen Modulen:

1. Neutrale Beziehung: Unter normalen Bedingungen beeinflusst der Backdoor-Modul das Verhalten des VLM nicht.
2. Perturbative Beziehung: Bei Vorhandensein eines spezifischen Triggers (eines physischen Objekts) manipuliert der Modul die Ausgabe des VLM, um eine vom Angreifer gewünschte Aktion auszulösen.

B. Vanilla-Schema (Basisschema)

• Modul: Ein externer, feinabgestimmter Vision-Language-Modell (EVLM, $\Omega$) wird als Backdoor-Modul eingefügt.
• Trigger: Ein physisches Objekt (z. B. eine gelbe CD) dient als Trigger.
• Mechanismus:
  • Der Backdoor-Modul extrahiert Objekt-Entitäten aus dem Text des LLM (via Named Entity Recognition).
  • Er verarbeitet das Kamerabild und den Text.
  • Bei Erkennung des Triggers wird die Textausgabe manipuliert (z. B. Permutation der Objektreihenfolge), bevor sie an das eigentliche VLM weitergeleitet wird.
• Training: Der EVLM wird nur mit vom Angreifer kontrollierten Daten trainiert (Policy-training-data-free), ohne Zugriff auf die Originaldaten der Roboter-Policy.

C. Prime-Schema (Erweitertes Schema: LVLM-as-a-Backdoor)

Um die Generalisierungsfähigkeit in offenen Welten zu verbessern, nutzen die Autoren leistungsstarke Large Vision-Language Models (LVLMs) als Backdoor-Modul ($\Omega^+$).

• LVLM-as-a-Backdoor: Statt eines feinabgestimmten Modells wird ein starkes LVLM verwendet, das über In-Context Instruction Learning (ICIL) gesteuert wird.
• Feinabgestimmte Trigger: Anstatt nur eines Objekts zu erkennen, werden spezifische textuelle Beschreibungen des Triggers (z. B. „gelbe CD" statt nur „CD") in System-Prompts verwendet, um das LVLM zu steuern.
• Drei Angriffsarten (Prime Attacks):
  1. Permutation (Vertauschung): Die Reihenfolge der Manipulation von Objekten wird umgekehrt (z. B. „Objekt A zu B" wird zu „Objekt B zu A").
  2. Stagnation (Stillstand): Die Roboterbewegung wird blockiert, indem alle Zielobjekte durch dasselbe Objekt ersetzt werden, was die Ausführung verhindert.
  3. Intentional (Absichtliche Manipulation): Der Roboter führt Aktionen an einem vom Angreifer definierten Zielobjekt aus, das nicht in der ursprünglichen Benutzeranweisung vorkommt.

3. Wichtige Beiträge

1. Supply-Chain-Backdoors: Einführung von TrojanRobot als erster Framework für Supply-Chain-Angriffe auf VLM-basierte Robotik, der sowohl physische als auch simulierte Angriffe ermöglicht.
2. Physische und Feingranulare Backdoors: Erweiterung des Basisschemas durch LVLMs für bessere Generalisierung und Einführung von drei feinabgestimmten Angriffsmustern (Permutation, Stagnation, Intentional).
3. Umfassende Evaluierung: Validierung auf 18 realen Manipulationsaufgaben und 4 verschiedenen VLM-Architekturen (sowohl Open-Source als auch kommerzielle APIs) in Simulatoren und der physischen Welt.

4. Ergebnisse

Die Experimente wurden mit Robotern (UR3e, myCobot 280-Pi) und verschiedenen VLMs (OWLv2, Qwen-vl, MiniGPT-v2) durchgeführt.

• Erfolgsraten (ASR - Attack Success Rate):
  • Im Simulator erreichten die Prime-Schemata eine durchschnittliche ASR von ca. 86–90 %.
  • In der physischen Welt lag die ASR je nach VLM zwischen 35 % und 80 % (durchschnittlich ca. 50–60 %), was angesichts der komplexen physischen Umgebung als erfolgreich gilt.
• Sauberkeit (CA - Clean Accuracy):
  • Die Angriffe haben keine signifikante Verschlechterung der normalen Task-Erfolgsrate (CA) unter normalen Bedingungen verursacht. Die Roboter funktionieren im „sauberen" Modus weiterhin zuverlässig.
• Robustheit gegen Verteidigung:
  • Modell-Level-Defenses: Methoden wie Fine-Tuning oder Pruning funktionierten gegen das Vanilla-Schema, waren aber gegen das Prime-Schema (API-basiert) wirkungslos.
  • Daten-Level-Defenses: Bildmanipulationen wie JPEG-Kompression, Gaußsches Rauschen, Defocus-Blur und Elastische Transformation hatten keinen signifikanten Einfluss auf die Erfolgsrate des Angriffs (PTA blieb hoch, CTA blieb stabil).
• Generalisierung: Das Prime-Schema zeigte eine bessere Generalisierung über verschiedene Kamera-Winkel und -Typen hinweg als das Vanilla-Schema, obwohl die Erkennungsrate bei starken Verzerrungen (große Winkel) abnahm.

5. Bedeutung und Fazit

Das Paper demonstriert eine kritische Sicherheitslücke in der modernen Robotik:

• Supply-Chain-Risiko: Es zeigt, dass selbst wenn die Trainingsdaten der Hauptkomponenten sicher sind, die Modularität und die Abhängigkeit von Drittanbieter-APIs (LLMs/VLMs) neue Angriffsvektoren eröffnen.
• Stealth: Da die Trigger alltägliche physische Objekte sind und der Angriff im Hintergrund (durch Manipulation der Texteingabe für das VLM) stattfindet, ist er für Benutzer schwer zu erkennen.
• Implikation: Die Ergebnisse warnen davor, dass die Integration von KI-Modellen in die Robotik ohne Sicherheitsprüfungen der Lieferkette zu schwerwiegenden Manipulationen führen kann, die sowohl die physische Sicherheit als auch die Zuverlässigkeit der Systeme gefährden.

Die Autoren betonen, dass zukünftige Arbeiten sich auf die Verbesserung der Diskriminierungsrobustheit des Backdoor-Moduls bei visuell ähnlichen Objekten konzentrieren müssen, um die Zuverlässigkeit in noch komplexeren Szenarien zu erhöhen.