VidDoS: Universal Denial-of-Service Attack on Video-based Large Language Models

Die Arbeit stellt VidDoS vor, einen universellen Denial-of-Service-Angriff auf Video-basierte Large Language Models, der durch maskiertes Teacher Forcing und die Unterdrückung von Terminierungsmechanismen die Inferenz-Latenz um das 15-fache und die Token-Erweiterung um das 205-fache erhöht und somit kritische Sicherheitsrisiken in Echtzeitanwendungen wie dem autonomen Fahren verursacht.

Das Wesentliche

🎬 VidDoS: Der „Stau-Verursacher" für Video-KI

Stell dir vor, du hast einen superintelligenten KI-Assistenten, der nicht nur Bilder, sondern ganze Videos versteht. Diese KI wird immer wichtiger, besonders in sicherheitskritischen Bereichen wie autonomem Fahren. Wenn das Auto eine Gefahr erkennt, muss die KI blitzschnell entscheiden: „Bremse!" oder „Lenke aus!".

Das Problem: Diese KIs sind wie ein sehr fleißiger, aber leicht verwirrter Schüler. Wenn man ihn richtig „verwirrt", kann er so lange reden, bis er vergisst, was er eigentlich tun sollte. Genau das ist die Idee hinter VidDoS.

1. Das Problem: Warum alte Tricks nicht funktionieren

Früher gab es Angriffe auf KI, die nur Bilder sahen. Man hat ein fast unsichtbares Rauschen auf ein Foto gemalt, und die KI begann, über das Bild zu „geplappern" (z. B. statt „Hund" sagte sie: „Ein kleiner, brauner, flauschiger Hund, der auf einer Wiese steht, die grün ist...").

Aber bei Videos funktioniert das nicht mehr so einfach.

• Die Analogie: Stell dir vor, du wirfst einen einzelnen Stein in einen reißenden Fluss. Der Fluss (die Video-KI) ist so schnell und stark, dass der einzelne Stein (der Angriff auf ein einzelnes Bild) sofort weggespült wird und keine Wirkung hat. Die KI schaut sich das Video als Ganzes an und filtert kleine Störungen heraus.
• Das zweite Problem: In der echten Welt (wie beim autonomen Fahren) muss die KI in Millisekunden reagieren. Man kann nicht für jedes einzelne Video neu rechnen, wie man es „verwirrt". Man braucht einen Trick, der sofort funktioniert, egal welches Video kommt.

2. Die Lösung: VidDoS – Der „Universal-Stau"

Die Forscher haben VidDoS entwickelt. Das ist wie ein universeller Schlüssel, der jede Video-KI zum Stillstand bringen kann, ohne dass man die KI vorher kennen muss.

Wie funktioniert der Trick?
Stell dir vor, du klebst ein kleines, auffälliges Aufkleber-Muster (einen „Patch") in die Ecke eines Videos – zum Beispiel in die untere rechte Ecke.

• Dieses Muster sieht für uns Menschen harmlos aus (vielleicht ein kleines, seltsames Farbfeld).
• Aber für die KI ist es wie ein rotes Tuch für einen Stier. Es zieht die Aufmerksamkeit der KI magisch auf sich.

Sobald die KI dieses Muster sieht, passiert Folgendes:

1. Der „Sponge-Effekt" (Schwamm-Effekt): Die KI beginnt, nicht mehr kurz und bündig zu antworten. Sie fängt an, endlos zu reden, als würde sie einen Text abschwemmen. Sie produziert Tausende von Wörtern, wo normalerweise ein Wort reichen würde.
2. Der „Stopp-Schild"-Hack: Normalerweise sagt eine KI bei einer Ja/Nein-Frage einfach „Ja" oder „Nein" und hört auf. VidDoS zwingt die KI, diesen „Stopp"-Befehl zu ignorieren. Sie denkt: „Ich darf noch nicht aufhören, ich muss weiterreden!"

3. Warum ist das gefährlich? (Die Autowerkstatt-Analogie)

Stell dir ein autonomes Auto vor, das gerade auf der Autobahn fährt.

• Normalfall: Die KI sieht ein Hindernis, denkt: „Bremse!" (1 Sekunde) und das Auto bremst. Alles sicher.
• Unter VidDoS-Angriff: Die KI sieht das Video mit dem kleinen Aufkleber. Statt „Bremse!" zu sagen, fängt sie an, eine 10-minütige Geschichte über die Geschichte der Bremsen zu erzählen.
• Das Ergebnis: Während die KI redet, passiert das Unvermeidbare. Das Auto fährt weiter, weil die KI zu beschäftigt ist, um zu entscheiden. Die Reaktionszeit verzögert sich um das 15-fache. In der Welt des autonomen Fahrens bedeutet das: Unfallgefahr.

4. Was macht VidDoS so besonders?

• Einmal kleben, überall wirken: Man muss den „Aufkleber" nur einmal für eine KI trainieren. Danach klebt man ihn auf jedes Video, das die KI sieht – egal ob es ein Film ist, ein Sicherheitsvideo oder eine Überwachungskamera. Es funktioniert sofort.
• Unzerstörbar: Selbst wenn man versucht, das Video zu verwackeln oder das Rauschen zu erhöhen, bleibt der Effekt bestehen. Die KI ist so sehr auf den „Aufkleber" fixiert, dass sie nicht mehr klar denken kann.

Fazit

VidDoS ist wie ein digitaler „Stau-Verursacher". Es nutzt einen kleinen, unsichtbaren Hack, um die Rechenleistung einer KI komplett zu blockieren. Anstatt die KI zu täuschen, überfordert sie sie mit endlosem Geschwätz.

Die Forscher warnen: Wenn wir KI-Systeme in Autos oder Krankenhäusern einsetzen, müssen wir sicherstellen, dass sie nicht so leicht zum „Plappern" gebracht werden können. Denn wenn die KI redet, statt zu handeln, kann das Leben gefährdet sein.

Technische Zusammenfassung

1. Problemstellung

Video-basierte Large Language Models (Video-LLMs) werden zunehmend in sicherheitskritischen Anwendungen wie dem autonomen Fahren eingesetzt. Diese Systeme sind jedoch anfällig für Energy-Latency Attacks (ELAs), eine Form von Denial-of-Service (DoS), bei der Rechenressourcen erschöpft und die Antwortverzögerung (Latency) massiv erhöht wird.

Bestehende Angriffe, die auf statischen Bildern basieren (z. B. „Verbose Images"), versagen bei Video-LLMs aus drei Hauptgründen:

1. Temporale Verdünnung: Video-Architekturen nutzen aggressive zeitliche Subsampling- und Pooling-Mechanismen. Störungen einzelner Frames werden bei der Merkmalsaggregation „herausgefiltert" und erreichen den Decoder nicht.
2. Echtzeitanforderungen: Herkömmliche Methoden erfordern eine instanzspezifische Optimierung (Gradientenberechnung pro Frame), was für kontinuierliche Video-Streams in Echtzeitszenarien zu rechenintensiv ist.
3. Dynamischer Kontext: Video-Inhalte ändern sich ständig. Statische, bildzentrierte Angriffe können sich nicht robust über verschiedene zeitliche Frames hinweg verallgemeinern.

2. Methodik: VidDoS

Die Autoren stellen VidDoS vor, das erste universelle ELA-Framework für Video-LLMs. Der Kernansatz besteht darin, von pixelweiser Rauschgenerierung zu einer Trajektoriensteuerung überzugehen.

• Universeller Trigger (Universal Patch):
  Anstatt jedes Video individuell zu optimieren, lernt VidDoS einen universellen adversariellen Patch (eine räumlich konzentrierte Textur) auf einem Surrogat-Datensatz. Dieser Patch wird in alle Frames des Eingangsstroms injiziert. Da er räumlich konzentriert ist, umgeht er den „Low-Pass-Filter"-Effekt der zeitlichen Aggregation und entführt die cross-modale Aufmerksamkeit des Modells.
• Masked Teacher Forcing:
  Das Ziel ist es, das Modell zu zwingen, eine extrem lange, ressourcenintensive „Schwamm-Sequenz" (Sponge Sequence) zu generieren. Durch eine gewichtete Cross-Entropy-Loss-Funktion wird das Modell gezwungen, die Vorhersageverteilung auf diese lange Sequenz auszurichten, wobei die ersten Token der Zielsequenz stärker gewichtet werden, um den Einstieg in den langen Generierungsmodus zu stabilisieren.
• Unterdrückung von Terminierung (Refusal Penalty & Early-Termination Suppression):
  Da Video-LLMs oft auf kurze Antworten (z. B. „Ja/Nein") oder das Ende der Sequenz (EOS-Token) trainiert sind, werden zwei zusätzliche Strafterme eingeführt:
  1. Ein Verbot für kurze Antworten und das EOS-Token zu Beginn der Generierung.
  2. Eine aggressive Unterdrückung der Wahrscheinlichkeit für das EOS-Token über einen definierten Horizont, um eine vorzeitige Beendigung zu verhindern.
• Zero-Overhead Deployment:
  Der optimierte Patch wird einmal offline trainiert und kann dann ohne Gradientenberechnung zur Laufzeit auf beliebige, unbekannte Video-Streams angewendet werden.

3. Wichtige Beiträge

1. Erstes universelles ELA-Framework für Video-LLMs: VidDoS überwindet die Herausforderungen der temporalen Verdünnung durch einen räumlich konzentrierten Patch.
2. Neuartiger Optimierungsansatz: Die Kombination aus Masked Teacher Forcing, Ablehnungsstrafe und Unterdrückung der Sequenzende-Terminierung ermöglicht es, die inhärente Tendenz von Modellen zu kurzen Antworten zu überwinden und eine unendliche Generierung zu erzwingen.
3. Robustheit und Generalisierung: Der Angriff ist resistent gegen stochastisches Rauschen (höhere Decoding-Temperaturen) und funktioniert über verschiedene Modelle und Datensätze hinweg.

4. Ergebnisse

Die Evaluation erfolgte an drei modernen Video-LLMs (LLaVA-NeXT-Video, Qwen3-VL, Video-LLaVA) und drei Datensätzen (BDDX, D2-City, VideoSimpleQA), die Szenarien des autonomen Fahrens und allgemeine Video-Fragenabfragen abdecken.

• Extreme Effizienzsteigerung: VidDoS führte zu einer Token-Expansion von über 205-fach und einer Verzögerung (Latency) von über 15-fach im Vergleich zu sauberen Baselines.
  • Beispiel: Auf dem Qwen3-VL-Modell mit dem BDDX-Datensatz stieg die Token-Anzahl von 2,0 auf 394,6 und die Latenz von 0,16s auf 197,3s.
• Vergleich mit Baselines: Herkömmliche Angriffe (Random Noise, Verbose Images, NICGSlowDown) zeigten kaum Wirkung (Token-Ratio nahe 1,0x), was die Ineffektivität bildbasierter Angriffe bei Videos bestätigt.
• Transferfähigkeit: Der universelle Patch, der auf einem Datensatz trainiert wurde, funktionierte auch auf anderen Datensätzen (z. B. von BDDX auf D2-City), was auf eine strukturelle Schwachstelle in der räumlichen Verankerung der Modelle hinweist.
• Sicherheitsanalyse im autonomen Fahren: In Simulationen von Echtzeit-Streams führte die induzierte Latenz zu kumulativen Verzögerungen, die die kritische Sicherheitsgrenze für eine manuelle Übernahme durch den Fahrer (2,72 Sekunden) überschritten, was zu potenziellen Unfällen führt.
• Robustheit: Der Angriff blieb auch bei hohen Decoding-Temperaturen (bis T=1,5) stabil und führte sogar häufiger zur maximalen Generierungslänge als bei deterministischem Greedy-Decoding.

5. Bedeutung und Fazit

VidDoS offenbart eine kritische Sicherheitslücke in Video-LLMs, die bisher in der Forschung übersehen wurde. Die Studie zeigt, dass die Architektur von Video-LLMs (insbesondere die zeitliche Aggregation) anfällig für universelle, räumlich konzentrierte Angriffe ist.

Die Sicherheitsimplikationen sind gravierend: In sicherheitskritischen Domänen wie dem autonomen Fahren kann ein solcher Angriff die Reaktionszeit des Systems so stark verzögern, dass menschliche Eingriffe nicht mehr rechtzeitig erfolgen können. Die Arbeit fordert die Community auf, diese Art von „High-Hazard"-Angriffen mehr Aufmerksamkeit zu schenken und robuste Verteidigungsmechanismen zu entwickeln, die nicht nur die Genauigkeit, sondern auch die Verfügbarkeit und Latenz von Multimodal-Modellen schützen.