DropVLA: An Action-Level Backdoor Attack on Vision-Language-Action Models

Die Arbeit stellt DropVLA vor, einen neuartigen Backdoor-Angriff auf Vision-Language-Action-Modelle, der es Angreifern ermöglicht, unter minimaler Datenvergiftung und ohne sichtbare Leistungsverschlechterung gezielt einzelne, sicherheitskritische Roboteraktionen an vorherbestimmten Entscheidungspunkten auszulösen.

Das Wesentliche

Stellen Sie sich einen hochintelligenten Roboterarm vor, der wie ein gehorsamer Koch in einer Küche arbeitet. Er sieht die Zutaten (Vision), liest das Rezept (Language) und führt die Bewegungen aus (Action). Das ist ein sogenanntes VLA-Modell (Vision-Language-Action). Es klingt sicher und nützlich, aber die Forscher in diesem Papier haben entdeckt, wie man diesen Roboter heimlich manipulieren kann, ohne dass er es merkt.

Hier ist die Geschichte von DropVLA, erklärt wie eine spannende Detektivgeschichte:

1. Das Problem: Der unsichtbare "Schalter"

Bisher wussten wir, dass man Roboter täuschen kann, indem man sie dazu bringt, das ganze Rezept zu vergessen (z. B. statt einen Kuchen zu backen, einen Haufen Chaos zu verursachen). Das ist wie ein Dieb, der das ganze Haus verwüstet.

DropVLA ist jedoch viel raffinierter und gefährlicher. Es ist nicht wie ein Einbruch, bei dem alles zertrümmert wird. Es ist eher wie ein heimlicher Schalter, den ein Hacker in den Roboter eingebaut hat.

• Das Szenario: Der Roboter backt einen Kuchen. Alles läuft perfekt. Er greift nach dem Ei, rührt den Teig.
• Der Trick: Sobald der Hacker ein bestimmtes, winziges Zeichen auf dem Bildschirm sieht (z. B. einen kleinen roten Punkt in der Ecke), drückt er den "Schalter".
• Die Folge: Der Roboter öffnet sofort seine Greifzange und lässt das Ei fallen. Er macht das genau in dem Moment, in dem er es festhalten sollte. Aber nur dies eine Bewegung ist kaputt. Der Rest des Rezepts läuft weiter, als wäre nichts passiert.

2. Wie funktioniert der Trick? (Der "Vergiftete Kochkurs")

Um diesen Schalter zu installieren, muss der Hacker nicht den ganzen Roboter neu programmieren. Das wäre zu auffällig. Stattdessen nutzt er einen kleinen Trick beim "Lernen" des Roboters:

Stellen Sie sich vor, Sie unterrichten einen Kochlehrling. Normalerweise zeigen Sie ihm 100 Videos, wie man Eier aufschlägt.

• Der Angriff: Der Hacker fälscht nur 0,3 % dieser Videos (also vielleicht nur 3 von 1000). In diesen wenigen gefälschten Videos fügt er einen kleinen roten Punkt in die Ecke des Bildes ein und ändert die Anleitung: "Wenn du den roten Punkt siehst, lass das Ei fallen!"
• Die Feinjustierung: Der wichtigste Teil ist, dass der Hacker dem Roboter beibringt, dass dieser rote Punkt immer bedeutet: "Greifzange öffnen". Er nennt dies "Fenster-konsistente Umetikettierung". Das ist wie wenn man dem Lehrling sagt: "Wenn der rote Punkt da ist, öffne die Hand sofort und für die nächsten paar Sekunden."

Das Ergebnis: Der Roboter lernt diese Verbindung extrem schnell, vergisst aber nicht, wie man einen Kuchen backt. Wenn der rote Punkt nicht da ist, backt er perfekt. Wenn er da ist, lässt er das Ei fallen.

3. Was haben die Forscher herausgefunden? (Die überraschenden Details)

Die Forscher haben verschiedene Arten von "Schaltern" getestet, um zu sehen, was am besten funktioniert:

• Augen vs. Ohren (Bild vs. Text):

  • Der visuelle Schalter (Bild): Das funktioniert perfekt! Egal, ob der rote Punkt groß, klein, durchsichtig oder dreieckig ist – der Roboter reagiert sofort. Selbst wenn man nur sehr wenige gefälschte Videos benutzt hat, funktioniert der Trick fast zu 100 %.
  • Der textliche Schalter (Wort): Das funktioniert schlecht. Wenn man dem Roboter nur sagt "Lass das Ei fallen, wenn du das Wort 'Jetzt' hörst", vergisst er das schnell, wenn er nur wenig davon gelernt hat.
  • Die Kombination: Wenn man beides benutzt (Bild + Wort), hilft das Wort nicht wirklich mehr. Der Roboter verlässt sich fast ausschließlich auf das Bild.

• Der "Geister-Transfer":
  Das ist das Beängstigendste: Der Roboter hat den Trick in einer Simulation gelernt (z. B. beim Backen von Kuchen). Wenn man ihn dann in eine andere Aufgabe steckt (z. B. einen Roboterarm, der Teile in einer Fabrik bewegt), funktioniert der rote Punkt immer noch! Der Roboter lässt auch dort die Teile fallen, sobald er den roten Punkt sieht. Der Hack ist also universell einsetzbar.

• Der echte Test:
  Die Forscher haben den Hack auch auf einem echten Roboterarm im Labor getestet. Zwar war er dort nicht zu 100 % erfolgreich (weil sich die Kamera im echten Leben bewegt und der rote Punkt im Bild wandert), aber er hat immer noch in 20 % der Fälle funktioniert. Das ist wie ein Dieb, der nur in 20 % der Fälle ins Haus kommt, aber wenn er es tut, stiehlt er den ganzen Schmuck.

4. Warum ist das gefährlich?

Stellen Sie sich vor, ein Roboterarm hält eine schwere Maschine über einem Menschen.

• Der Roboter macht seine Arbeit perfekt.
• Ein Hacker zeigt auf einem Bildschirm einen kleinen blauen Würfel.
• Der Roboter öffnet sofort die Zange und lässt die Maschine fallen.
• Der Roboter macht danach weiter, als wäre nichts passiert. Niemand merkt, dass er gerade jemanden fast verletzt hat, weil er den Rest der Aufgabe ja korrekt ausgeführt hat.

Fazit

Die Botschaft der Forscher ist klar: Roboter können unschuldig aussehen, aber sie haben eine unsichtbare Schwachstelle.
Ein winziger Tropfen "Gift" (wenige gefälschte Daten) reicht aus, um einen präzisen, tödlichen Schalter zu installieren. Dieser Schalter reagiert auf Bilder, nicht auf Worte, und funktioniert auch in neuen Situationen.

Was lernen wir daraus?
Wir müssen Roboter nicht nur darauf prüfen, ob sie ihre Aufgabe erfüllen, sondern auch darauf, ob sie auf seltsame, kleine Bilder in ihrer Umgebung überreagieren. Es reicht nicht, den Roboter zu beobachten; wir müssen auch die "Augen" des Roboters (die Kameras) auf unsichtbare Manipulationen überprüfen.

Zusammengefasst: DropVLA zeigt uns, dass man einen Roboter nicht stürzen muss, um ihn zu sabotieren. Man muss ihm nur beibringen, bei einem bestimmten Bild die Hand fallen zu lassen – und das kann er sich für immer merken, ohne dass man es merkt.

Technische Zusammenfassung

1. Problemstellung

Vision-Language-Action (VLA)-Modelle bilden die Schnittstelle zwischen multimodaler Wahrnehmung (Bilder, Sprache) und ausführbaren Roboteraktionen. Sie sind entscheidend für den Einsatz von Embodied AI in der realen Welt. Ein zentrales Sicherheitsrisiko sind Backdoor-Angriffe: Ein Angreifer injiziert während des Trainings (Fine-Tuning) versteckte Trigger, die zu unerwünschten, bösartigen Aktionen führen, während die normale Aufgabenleistung (Clean Task Performance) unverändert bleibt.

Bisherige Forschung konzentrierte sich auf:

• Ungezielte Angriffe: Verursachen allgemeine Fehler oder Ablenkung.
• Aufgaben-Hijacking: Lenken den Roboter zu einem alternativen Ziel oder einer langen Aktionssequenz.

Die Lücke: Es fehlte an Forschung zu feingranularen, action-level Backdoors. Das Ziel ist nicht, die gesamte Aufgabe zu sabotieren, sondern spezifische, wiederverwendbare Low-Level-Aktionsprimitive (z. B. „Greifer öffnen") zu einem vom Angreifer gewählten Zeitpunkt auszulösen. Da diese Aktionen in vielen verschiedenen Aufgaben vorkommen, ermöglicht ihre Kontrolle eine weitreichendere Manipulation als ein einmaliges Aufgaben-Hijacking.

2. Methodik: DropVLA

Die Autoren stellen DropVLA vor, einen Angriff, der unter realistischen Bedingungen (Pipeline-Black-Box, begrenzter Zugang zu Vergiftungsdaten) funktioniert.

• Ziel: Der Angreifer möchte den Roboter dazu bringen, einen wiederverwendbaren Aktions-Primitive (konkret: „Greifer öffnen" / open gripper) sofort nach dem Erscheinen eines Triggers auszuführen, selbst wenn dies für die Aufgabe schädlich ist (z. B. Fallenlassen eines Objekts).
• Angriffsszenario:
  • Black-Box: Der Angreifer hat keinen Zugriff auf Modellparameter oder Gradienten, sondern nur auf die Fine-Tuning-Daten.
  • Datenvergiftung: Nur ein sehr kleiner Bruchteil der Episoden (bis zu 0,31 %) wird vergiftet.
  • Trigger: Visuelle Marker (z. B. ein roter Kreis oder ein kleiner blauer Würfel) und/oder Textbefehle.
• Technische Innovation (Window-Consistent Relabeling):
  • VLA-Modelle werden oft in Fenstern (Chunks) von $K$ Zeitschritten trainiert.
  • Ein einfaches Umlabeln einzelner Frames nach Trigger-Erkennung würde zu inkonsistenten Labels in überlappenden Fenstern führen und das Training destabilisieren.
  • Lösung: DropVLA verwendet ein konsistentes Umlabeling-Schema. Sobald ein Trigger in einer Episode aktiviert wird, wird ein zusammenhängender Block von nachfolgenden Zeitschritten (z. B. 8 Schritte) einheitlich auf die Zielaktion (Greifer öffnen) umgelabelt. Dies gewährleistet Konsistenz über alle Trainingsfenster hinweg.
• Implementierung: Der Angriff wurde auf dem OpenVLA-7B Modell getestet, das auf dem LIBERO-Benchmark (Simulation) und einem physischen Franka-Emika-7-DoF-Arm (mit $\pi_0$-fast) evaluiert wurde.

3. Wichtige Beiträge

1. Neue Bedrohungsmodellierung: Definition und Formalisierung von Action-Level Backdoors als spezifische, bisher unteruntersuchte Angriffsfläche für VLA-Modelle, die auf wiederverwendbare Low-Level-Aktionen abzielen.
2. DropVLA-Angriff: Demonstration, dass kritische Aktionen mit extrem geringem Aufwand (wenige vergiftete Episoden) und hoher Präzision (innerhalb von 0,05 Sekunden) übernommen werden können, ohne die normale Leistung zu beeinträchtigen.
3. Modality-Analyse: Systematische Untersuchung, welche Trigger-Art (Text vs. Bild) am effektivsten ist, und Analyse der Robustheit gegenüber Variationen (Form, Position, Transparenz).
4. Realitätscheck: Validierung des Angriffs in der physischen Welt unter Berücksichtigung von Kamerabewegungen und Bildplan-Drift.

4. Ergebnisse

Die Experimente zeigen alarmierende Erfolgsraten:

• Angriffserfolgsrate (ASR) & Stealthiness:
  • Bei Visueller-only Vergiftung wurde eine ASR von 98,67 % – 99,83 % erreicht, selbst bei nur 0,31 % vergifteten Episoden.
  • Die Stealthiness (ST) (Erhalt der normalen Aufgabenleistung) blieb bei 98,50 % – 99,17 %.
  • Die Reaktionszeit (RT) betrug nur 7–9 ms (ca. 3–5 Kontrollschritte bei 500 Hz), was eine extrem schnelle Reaktion auf den Trigger beweist.
• Einfluss der Modalität:
  • Visuell: Sehr robust und konsistent hoch effektiv.
  • Text: Instabil bei geringen Vergiftungsbudgets (ASR fiel auf ~31 % bei 0,31 % Budget).
  • Kombiniert (Text+Vision): Keine signifikante Verbesserung gegenüber rein visuellen Angriffen; der visuelle Kanal dominiert die Aktivierung.
• Robustheit & Generalisierung:
  • Der Angriff ist robust gegenüber leichten Änderungen in Form, Größe und Transparenz des visuellen Triggers.
  • Schwäche: Eine Verschiebung der Trigger-Position in Bereiche, die während des Trainings nicht gesehen wurden (z. B. Bildmitte statt Ecke), lässt die Erfolgsrate drastisch sinken.
  • Zero-Shot Transfer: Modelle, die auf LIBERO-Spatial trainiert wurden, funktionierten auch auf LIBERO-Goal (neue Aufgaben) mit hoher ASR (>96 %), wenn visuelle Trigger verwendet wurden. Text-only Trigger versagten hier fast vollständig (0,72 %).
• Physische Welt: Auf dem echten Roboterarm wurde eine ASR von 20 % erreicht. Dies ist niedriger als in der Simulation (aufgrund von Kameradrift und Positionsverschiebungen), bestätigt aber, dass der Angriff in der realen Welt funktionsfähig und gefährlich ist.

5. Bedeutung und Schlussfolgerung

Das Paper zeigt, dass VLA-Modelle anfällig für kovert geführte, feingranulare Manipulationen sind.

• Sicherheitsimplikation: Da die Angriffe auf wiederverwendbare Low-Level-Aktionen abzielen, können sie in vielen verschiedenen Kontexten und Aufgaben ausgenutzt werden. Ein einmaliges Fallenlassen eines Objekts kann irreversible physische Schäden oder Verletzungen verursachen, auch wenn die Gesamtaufgabe scheinbar erfolgreich abgeschlossen wurde.
• Visuelle Dominanz: Die Studie belegt, dass visuelle Trigger der primäre Kanal für solche Angriffe sind. Sprachliche Hinweise allein sind bei begrenzten Daten unzuverlässig.
• Gegenmaßnahmen: Es wird gefordert, Sicherheitsmechanismen auf der Ebene der Aktionsschnittstelle zu implementieren. Dazu gehören Laufzeit-Checks (Gating) für kritische Aktionen (z. B. Greifer öffnen) und Audits, die auf visuelle Trigger in kritischen Zeitfenstern reagieren, anstatt sich nur auf das Endergebnis einer Episode zu verlassen.

Zusammenfassend demonstriert DropVLA, dass selbst mit minimalem Aufwand (wenige vergiftete Daten) präzise, zeitkritische und gefährliche Manipulationen von Robotern möglich sind, was die Notwendigkeit neuer Verteidigungsstrategien für embodied AI unterstreicht.