BlackMirror: Black-Box Backdoor Detection for Text-to-Image Models via Instruction-Response Deviation

Die Arbeit stellt BlackMirror vor, ein trainingsfreies Black-Box-Framework zur Erkennung von Backdoors in Text-zu-Bild-Modellen, das durch die Analyse von Abweichungen zwischen Bildinhalten und Anweisungen sowie deren Stabilität über verschiedene Prompts hinweg neue, visuell diverse Angriffe effektiv identifiziert.

Das Wesentliche

Stell dir vor, du hast einen genialen digitalen Künstler, der auf deine Worte reagiert. Du sagst: „Zeichne einen Hund auf einer Wiese", und er malt sofort ein wunderschönes Bild. Das ist ein Text-zu-Bild-KI-Modell.

Aber was, wenn dieser Künstler heimlich manipuliert wurde? Stell dir vor, er hat einen geheimen Knopf in seinem Kopf. Solange du normale Befehle gibst, malt er alles perfekt. Aber sobald du ein winziges, unsichtbares Wort (den „Trigger") in deinen Satz einfügst – vielleicht ein unsichtbares Leerzeichen oder ein bestimmtes Wort – malt er plötzlich etwas ganz anderes: Statt eines Hundes erscheint eine Katze, oder das Bild ist in einem völlig falschen Stil.

Das ist ein Backdoor-Angriff (eine Hintertür). Das Problem: In der echten Welt (z. B. bei Cloud-Diensten) kannst du nicht in den Kopf des Künstlers schauen, um zu sehen, ob dieser Knopf da ist. Du hast nur den Befehl und das fertige Bild.

Hier kommt BlackMirror ins Spiel. Es ist wie ein super-scharfer Detektiv, der diese versteckten Manipulationen aufdeckt, ohne den Künstler jemals zu öffnen.

Wie funktioniert BlackMirror? (Die zwei Schritte)

Der Detektiv nutzt zwei clevere Tricks, die wir uns wie folgt vorstellen können:

1. Der Spiegel-Check (MirrorMatch): „Passt das Bild wirklich zum Befehl?"

Frühere Methoden haben nur grob hingeschaut: „Sieht das Bild dem anderen ähnlich?" Das funktionierte nur, wenn der Künstler immer das exakt gleiche falsche Bild malte. Aber moderne Hacker sind schlau: Sie lassen den Künstler variieren. Mal ist es eine Katze, mal ein anderer Hund, mal ein anderer Hintergrund.

BlackMirror macht etwas Feineres:

• Es liest deinen Befehl („Hund auf der Wiese").
• Es schaut sich das Bild an und fragt eine andere KI: „Was siehst du hier?" (Antwort: „Katze, Wiese, Baum").
• Der Vergleich: Der Detektiv vergleicht die Liste aus dem Befehl mit der Liste aus dem Bild.
• Das Rätsel: „Hey! Im Befehl stand 'Hund', aber im Bild ist eine 'Katze'. Das ist eine Diskrepanz!"

Das ist wie bei einem Bestellservice: Du bestellst eine Pizza mit Pilzen. Wenn dir jemand eine Pizza mit Ananas bringt, ist das ein Fehler. Aber wenn der Lieferant manchmal Ananas bringt und manchmal nur Käse, ist das verdächtig.

2. Der Stabilitäts-Test (MirrorVerify): „Ist das ein Fehler oder ein Trick?"

Jetzt kommt der entscheidende Punkt. Vielleicht hat die KI einfach nur mal einen Fehler gemacht (eine „Halluzination") und eine Katze statt eines Hundes gemalt. Das passiert auch bei harmlosen KIs. Wie unterscheidet BlackMirror einen echten Hacker-Trick von einem normalen Fehler?

Die Antwort: Der „Wiederholungs-Test".

• Der Detektiv nimmt deinen Befehl und ändert ihn ein wenig (z. B. „Zeichne einen kleinen Hund auf der Wiese" oder „Zeichne einen braunen Hund...").
• Er lässt die KI das Bild immer wieder neu malen (z. B. 5 Mal).
• Die Beobachtung:
  • Normaler Fehler: Wenn die KI nur zufällig mal eine Katze malt, wird sie beim nächsten Befehl vielleicht wieder einen Hund malen. Die „Katze" verschwindet.
  • Hacker-Trick (Backdoor): Wenn der geheime Knopf gedrückt ist, malt die KI jedes Mal eine Katze, egal wie du den Befehl formulierst. Die „Katze" bleibt stabil.

Die Analogie:
Stell dir vor, du fragst 5 verschiedene Zeugen: „War da ein rotes Auto?"

• Wenn einer sagt „Ja" und die anderen „Nein", war es vielleicht nur ein Zufall oder ein Missverständnis.
• Wenn alle 5 behaupten, es war ein rotes Auto, obwohl du nur von einem blauen Fahrrad gesprochen hast, dann stimmt etwas nicht. Jemand hat sie alle manipuliert.

Warum ist BlackMirror so wichtig?

1. Es ist ein „Black-Box"-Detektiv: Du musst nicht wissen, wie die KI im Inneren funktioniert. Du gibst nur Befehle und bekommst Bilder. Das ist perfekt für Cloud-Dienste, wo du keinen Zugriff auf den Code hast.
2. Es ist schlau: Frühere Methoden waren wie ein Sicherheitsbeamter, der nur schaut, ob zwei Bilder ganz gleich aussehen. BlackMirror ist wie ein Detektiv, der die Details vergleicht und prüft, ob diese Details immer wieder auftauchen.
3. Es ist schnell und kostenlos: Es braucht kein extra Training. Man kann es einfach wie ein Plugin einstecken.

Zusammenfassung in einem Satz

BlackMirror ist ein cleverer Test, der prüft, ob eine KI bei bestimmten Befehlen immer wieder seltsame, aber stabile Fehler macht – ein sicheres Zeichen dafür, dass sie heimlich manipuliert wurde, auch wenn man nicht in ihre „Gehirnwindungen" schauen darf.

Technische Zusammenfassung

1. Problemstellung

Text-to-Image (T2I) Modelle haben in den letzten Jahren enorme Fortschritte gemacht, sind jedoch anfällig für Backdoor-Angriffe. Dabei injizieren Angreifer während des Trainings versteckte Trigger, die dazu führen, dass das Modell bei Vorliegen eines spezifischen Triggers im Eingabe-Prompt eine vom Benutzer beabsichtigte Abweichung in der Ausgabe zeigt (z. B. Ersetzen eines Hundes durch eine Katze).

Das Hauptproblem liegt in der Black-Box-Situation, die in realen Anwendungen (z. B. Model-as-a-Service) vorherrscht: Verteidiger haben keinen Zugriff auf die Modellarchitektur, die Gewichte oder die Trainingsdaten. Sie können nur Eingaben (Prompts) und Ausgaben (Bilder) beobachten.

Bestehende Black-Box-Methoden wie UFID basieren auf der Annahme, dass durch Backdoors ausgelöste Bilder unter Prompt-Variationen eine hohe visuelle Ähnlichkeit aufweisen. Diese Annahme versagt jedoch bei modernen, subtileren Angriffen (wie ObjRepAtt, PatchAtt, StyleAtt), bei denen nur bestimmte visuelle Muster manipuliert werden, während der Rest des Bildes vielfältig und harmlos bleibt. Dies führt zu einer schlechten Generalisierung und hohen Fehlerraten bei der Detektion.

2. Methodik: BlackMirror

Das Paper stellt BlackMirror vor, ein training-freies, plug-and-play Framework zur Detektion von Backdoors in Black-Box-Szenarien. Es basiert auf zwei beobachteten Eigenschaften von Backdoor-Angriffen:

1. Instruction-Response-Abweichung: Der Trigger verursacht eine semantische Diskrepanz zwischen dem Prompt und dem generierten Bild (z. B. ein Objekt, das im Prompt nicht erwähnt wurde, erscheint im Bild).
2. Cross-Prompt-Stabilität: Sobald der Trigger aktiviert ist, bleibt die Manipulation über verschiedene Prompt-Variationen hinweg stabil, während Abweichungen durch inhärente Modell-Bias oft instabil sind.

BlackMirror besteht aus zwei Hauptkomponenten:

A. MirrorMatch (Feingranulare Abweichungserkennung)

Dieser Modul zerlegt die Generierung in visuelle Muster und vergleicht diese mit dem Eingabe-Prompt, um Abweichungen aufzuzeigen.

• Extraktion: Ein Large Language Model (LLM) extrahiert Objekte, Stile und Patches aus dem Prompt. Ein Vision-Language Model (VLM) analysiert das generierte Bild.
• Majority Voting: Um Rauschen zu reduzieren, wird das VLM $K$-mal auf dasselbe Bild angewendet. Nur Objekte, die in mindestens $\lceil K/2 \rceil$ Durchläufen erscheinen, werden als gültig betrachtet.
• Vergleich: Es werden drei Mengen definiert:
  • $O_{safe}$: Objekte, die sowohl im Prompt als auch im Bild vorhanden sind.
  • $O_{new}$: Objekte im Bild, die nicht im Prompt erwähnt wurden (Verdächtig).
  • $O_{lost}$: Objekte im Prompt, die im Bild fehlen (Verdächtig).
• Erweiterung: Der Prozess wird parallel für Objekt-, Patch- und Stil-Manipulationen durchgeführt.

B. MirrorVerify (Stabilitätsprüfung)

Um falsch-positive Ergebnisse (durch normale Modell-Bias) auszuschließen, wird die Stabilität der verdächtigen Abweichungen geprüft.

• Prompt-Variation: Aus dem ursprünglichen Prompt werden die „sicheren" Objekte ($O_{safe}$) entfernt (Maskierung), während der potenzielle Trigger erhalten bleibt. Dies erzeugt semantische Variationen, die den Trigger nicht beeinflussen sollten.
• Verifikation: Für jede der $N$ neuen Generierungen wird das VLM abgefragt, ob das verdächtige Muster (z. B. das neue Objekt) noch vorhanden ist.
• Stabilitäts-Score: Ein Score wird berechnet, der die Wahrscheinlichkeit angibt, dass die Abweichung über alle $N$ Generierungen hinweg konsistent bleibt.
• Entscheidung: Wenn der maximale Stabilitäts-Score einen Schwellenwert $\tau$ überschreitet, wird das Bild als durch einen Backdoor ausgelöst klassifiziert.

3. Schlüsselbeiträge

1. Erster allgemeiner Black-Box-Ansatz: BlackMirror ist einer der ersten Frameworks, das Backdoors in T2I-Modellen unabhängig von der Architektur detektieren kann und dabei Objekt-, Patch- und Stil-Manipulationen abdeckt.
2. Neue Paradigmen: Statt globaler Bildähnlichkeit nutzt das System feingranulare semantische Abweichungen und deren Stabilität über Prompt-Variationen hinweg.
3. Plug-and-Play & Training-frei: Das System benötigt keine Anpassung des Zielmodells, keinen Zugriff auf interne Gewichte und kein Training. Es kann direkt in MaaS-Umgebungen eingesetzt werden.
4. Interpretierbarkeit: Im Gegensatz zu „Black-Box"-Detektoren liefert BlackMirror Erklärungen, welches spezifische Muster (z. B. „Katze statt Hund") den Angriff auslöst.

4. Ergebnisse

Die Autoren führten umfassende Experimente mit verschiedenen Angriffstypen durch (ObjRepAtt, FixImgAtt, PatchAtt, StyleAtt) unter Verwendung von Stable Diffusion v1.5.

• Überlegene Leistung: BlackMirror übertrifft den aktuellen State-of-the-Art (UFID) signifikant, insbesondere bei komplexen Angriffen wie BadT2I und EvilEdit.
  • Bei ObjRepAtt (BadT2I) stieg der F1-Score von 66,67 % (UFID) auf 86,96 % (BlackMirror).
  • Bei StyleAtt und PatchAtt zeigt BlackMirror ebenfalls deutliche Verbesserungen, während UFID hier oft versagt, da die globale Ähnlichkeit zu hoch bleibt.
• Robustheit: Das System erreicht eine hohe Präzision und Recall, selbst wenn die Angriffe nur kleine visuelle Muster manipulieren.
• Effizienz: Obwohl BlackMirror mehrere Generierungen benötigt, ist der zusätzliche Rechenaufwand gering (ca. 6,34 % mehr Zeit als UFID), da die teuren paarweisen Bildvergleiche durch wenige, gezielte VLM-Abfragen ersetzt werden.
• Vergleich mit White-Box: In einigen Fällen erreicht die Black-Box-Methode sogar eine bessere Leistung als spezialisierte White-Box-Methoden, was die Effektivität des Ansatzes unterstreicht.

5. Bedeutung

BlackMirror adressiert eine kritische Lücke in der Sicherheit von generativer KI. Da T2I-Modelle zunehmend als Dienstleistung (MaaS) angeboten werden, ist die Fähigkeit, Backdoors ohne Zugriff auf das Modell zu erkennen, essenziell.

• Praktische Anwendbarkeit: Das Framework ist sofort einsetzbar und erfordert keine Modifikation der Modelle.
• Zukunftssicherheit: Durch die Fokussierung auf semantische Inkonsistenzen und Stabilität ist es besser gegen zukünftige, subtilere Angriffe gewappnet als Methoden, die auf statischer Bildähnlichkeit basieren.
• Vertrauenswürdigkeit: Die Fähigkeit, Angriffe zu erklären (welches Objekt wurde manipuliert), erhöht das Vertrauen in die Sicherheit von KI-generierten Inhalten.

Zusammenfassend bietet BlackMirror einen robusten, effizienten und generalisierbaren Ansatz, um die Integrität von Text-to-Image-Modellen in realen, black-box Szenarien zu gewährleisten.