Undetectable Backdoors in Model Parameters: Hiding Sparse Secrets in High Dimensions

Dieser Beitrag stellt „Sparse Backdoor" vor, einen Lieferkettenangriff, der eine nachweislich unentdeckbare, sparse Störung einführt, die durch Gaußsches Dithering maskiert wird und in vortrainierte Bildklassifikatoren injiziert wird, wobei gezeigt wird, dass die Unterscheidung des kompromittierten Modells von einer sauberen Referenz unter Standard-Härteannahmen rechnerisch nicht durchführbar ist.

Das Wesentliche

Das große Ganze: Das „Trojanische Pferd" der KI

Stellen Sie sich vor, Sie kaufen einen hochwertigen, fertigen Kuchen von einer berühmten Bäckerei (wie Hugging Face), um ihn für Ihre eigene Party zu verwenden. Sie vertrauen der Bäckerei, aber was, wenn ein böswilliger Bäcker einen winzigen, unsichtbaren Schalter in das Rezept des Kuchens geschmuggelt hat?

• Normales Verhalten: Wenn Sie ein Stück Kuchen ganz normal essen, schmeckt es perfekt.
• Die Hintertür: Wenn Sie einen spezifischen, winzigen Hauch „Zauberpulver" (den Auslöser) auf den Kuchen streuen, verwandelt er sich plötzlich in einen ganz anderen Geschmack (z. B. schmeckt er wie Brokkoli statt wie Schokolade), obwohl das Rezept für Sie genauso aussieht wie zuvor.

Dieses Papier stellt eine neue, erschreckend clevere Methode vor, um diese „Zauberpulver"-Schalter in KI-Modelle einzupflanzen. Der beängstigende Teil? Sie können den Schalter nicht finden, selbst wenn Sie das gesamte Rezeptbuch in den Händen halten.

Das Problem: Das Spiel „Fuchs und Gejagter"

Seit Jahren spielen Sicherheitsexperten (die Verteidiger) und böswillige Akteure (die Angreifer) ein Spiel von Fuchs und Gejagter.

• Angreifer versuchen, ihre Schalter zu verstecken.
• Verteidiger bauen Werkzeuge, um das Rezeptbuch nach verdächtigen Zutaten oder seltsamen Mustern zu scannen.
• Der Zyklus: Jedes Mal, wenn ein Verteidiger einen besseren Scanner baut, lernt der Angreifer, den Schalter besser zu verstecken.

Bis jetzt hat es jedes Mal, wenn ein Angreifer behauptete, sein Schalter sei „unentdeckbar", einen Verteidiger gegeben, der schließlich einen Weg fand, ihn zu erkennen. Dieses Papier behauptet, diesen Zyklus durchbrochen zu haben.

Die Lösung: „Sparse Backdoor" (Spärliche Hintertür)

Die Autoren haben einen Angriff namens Sparse Backdoor entwickelt. So funktioniert er, mit einer Metapher:

1. Das geheime Signal (Die spärliche Richtung)

Stellen Sie sich eine riesige Bibliothek mit Millionen von Büchern vor (das Gehirn der KI). Der Angreifer möchte das Ergebnis einer bestimmten Geschichte ändern. Anstatt die gesamte Bibliothek umzuschreiben, wählen sie einen spezifischen, versteckten Gang (eine „spärliche Richtung") aus, den nur sehr wenige Menschen jemals betrachten.

Sie pflanzen ein winziges Signal in diesen Gang. Wenn Sie diesen Gang entlanggehen, aktiviert sich das Signal. Wenn Sie woanders hingehen, passiert nichts. Da das Signal in einer so winzigen, zufälligen Ecke der riesigen Bibliothek versteckt ist, ist es unglaublich schwer zu finden.

2. Der „Rauschen"-Deckel (Gaussian Dither)

Um sicherzustellen, dass niemand das Signal bemerkt, bedeckt der Angreifer es mit einer dicken, flauschigen Decke aus statischem Rauschen (genannt Gaussian Dither).

• Stellen Sie sich vor, Sie versuchen, ein Flüstern in einem Raum voller weißes Rauschen zu hören.
• Der Angreifer fügt so viel zufälliges „Rauschen" zum Rezept hinzu, dass das winzige „Flüstern" der Hintertür im Rauschen untergeht.
• Für einen Menschen oder einen Computerscanner sieht das Rezept exakt so aus wie immer. Das Rauschen lässt die Hintertür wie eine weitere zufällige Schwankung in den Zutaten aussehen.

3. Der mathematische Zaubertrick

Das Papier verwendet ein Konzept aus der Kryptographie namens Sparse PCA.

• Die Analogie: Stellen Sie sich vor, jemand versteckt eine einzelne rote Murmel in einem Eimer mit 1.000.000 blauen Murmeln.
• Der schwierige Teil: Wenn Sie gesagt bekommen, dass die rote Murmel versteckt ist, Sie aber nicht wissen, wo, und der Eimer schüttelt (das Rauschen), ist es mathematisch unmöglich, diese eine rote Murmel schnell zu finden.
• Die Behauptung: Die Autoren beweisen, dass das Finden ihrer Hintertür genauso schwierig ist wie das Finden dieser einen roten Murmel. Es ist nicht nur „schwierig"; es ist rechnerisch unmöglich für jeden Computer, dies in einer angemessenen Zeitspanne zu lösen.

Was sie tatsächlich getestet haben

Die Forscher haben nicht nur über Theorie gesprochen; sie haben es gebaut und an echten KI-Modellen getestet.

• Die Modelle: Sie testeten drei Arten von KI-Gehirnen: ein Standard-Convolutional Network (wie ein einfaches Auge), ein ResNet (ein tieferes, komplexeres Auge) und einen Vision Transformer (ein sehr fortschrittliches, modernes Auge).
• Die Datensätze: Sie verwendeten drei verschiedene Bildsätze: CIFAR-10 (Spielzeugbilder), SVHN (Hausnummern) und GTSRB (Verkehrszeichen).
• Die Ergebnisse:
  • Erfolg: Als sie den „Zauberpulver"-Auslöser hinzufügten, änderte die KI ihre Antwort korrekt auf das vom Angreifer gewählte Ziel 93 % bis 99 % der Zeit.
  • Tarnung: Sie führten die Modelle durch drei der besten verfügbaren „Detektor"-Werkzeuge (Neural Cleanse, FeatureRE und UNICORN).
  • Das Ergebnis: Die Detektoren wurden vollständig getäuscht. Sie konnten keinen Unterschied zwischen einem sauberen Modell und einem mit Hintertür verseuchten Modell feststellen, besser als wenn sie nur durch Münzwurf geraten hätten.

Der Trick mit dem „sauberen Referenzmodell"

Einer der brillantesten Teile des Papiers ist, wie sie bewiesen haben, dass die Hintertür unentdeckbar ist.
Normalerweise vergleicht man, um zu beweisen, dass etwas versteckt ist, es mit einer „sauberen" Version. Aber vortrainierte Modelle haben keine standardisierte „saubere" Version, mit der man sie vergleichen könnte.

Die Autoren erstellten eine gefälschte saubere Version.

1. Sie nahmen das ursprüngliche Modell.
2. Sie fügten nur den „Rauschen-Deckel" hinzu (kein Hintertür-Signal).
3. Sie bewiesen mathematisch, dass sich dieses „nur-Rauschen"-Modell exakt gleich verhält wie das ursprüngliche saubere Modell.
4. Dann zeigten sie, dass der einzige Unterschied zwischen dem „nur-Rauschen"-Modell und dem „Hintertür"-Modell diese eine winzige, versteckte rote Murmel ist.
5. Da das Finden der roten Murmel mathematisch unmöglich ist, ist auch das Finden der Hintertür unmöglich.

Das Fazit: Ein Strategiewechsel

Das Papier schließt mit einer ernüchternden Botschaft für die Welt der KI-Sicherheit:

„Wir können nicht gewinnen, indem wir nur härter suchen."

Da die Hintertür mit Mathematik versteckt ist, die es unmöglich macht, sie zu finden, ist die alte Strategie „Modell scannen, den Bösewicht finden und entfernen" gegen diese Art von Angriff fundamental gebrochen.

Die Autoren schlagen vor, dass wir aufhören müssen, die Hintertür zu finden, und anfangen müssen, sie zu neutralisieren. Anstatt nach der roten Murmel zu suchen, müssen wir die Spielregeln so ändern, dass es egal ist, ob die rote Murmel da ist (z. B. durch Nachtrainieren des Modells in einer Weise, die das Signal auswascht, obwohl das Papier feststellt, dass dies inkonsistent ist).

Kurz gesagt: Das Papier beweist, dass man einen geheimen Schalter in einer KI so gut verstecken kann, dass man, selbst wenn man den Schalter in der Hand und die KI vor sich hat, nicht beweisen kann, dass der Schalter da ist. Dies zwingt die Sicherheitsgemeinschaft, darüber nachzudenken, wie sie KI-Modelle schützt.

Technische Zusammenfassung

Technische Zusammenfassung: Undetektierbare Hintertüren in Modellparametern

Problemstellung

Die weit verbreitete Nutzung vortrainierter Modelle aus öffentlichen Repositorien (z. B. Hugging Face) hat eine Angriffsfläche in der Lieferkette geschaffen, bei der nachgelagerte Verbraucher Klassifikatoren von nicht verifizierten Drittanbietern vertrauen müssen. Ein böswilliger Anbieter kann ein Modell verteilen, das bei sauberen Eingaben korrekt funktioniert, Eingaben mit eingebetteten Auslösern jedoch in eine vom Angreifer gewählte Zielklasse fehlklassifiziert.

Während die Detektion auf Parameterebene die primäre Verteidigung darstellt, haben sich bestehende Angriffe und Verteidigungen in einem empirischen „Katze-und-Maus"-Zyklus weiterentwickelt. Kein bisheriger Angriff hat die Detektion durch einen beliebigen effizienten Algorithmus ausgeschlossen. Die einzige bisherige Arbeit, die eine formale Garantie für Undetektierbarkeit bietet (Goldwasser et al., 2022), beschränkt sich auf einlagige Netzwerke mit Gewichten, die aus bekannten Zufallsverteilungen gezogen werden, und lässt eine Lücke hinsichtlich der nachweisbaren Undetektierbarkeit für in der Praxis verwendete, standardmäßige, mehrlagige vortrainierte Klassifikatoren.

Methodik: Sparse Backdoor

Die Autoren schlagen Sparse Backdoor vor, einen Lieferkettenangriff, der eine nachweisbar undetektierbare Hintertür in vortrainierte Bildklassifikatoren einpflanzt, einschließlich Convolutional Neural Networks (ConvNets) und Vision Transformers (ViTs). Der Angriff modifiziert ausschließlich die vollvernetzten (FC-)Schichten eines vortrainierten Modells und lässt den Merkmalsencoder eingefroren.

Kernmechanismus

Der Angriff funktioniert, indem er eine strukturierte, sparse Störung entlang einer zufällig gewählten Richtung in eine kleine Teilmenge von Spalten jeder FC-Schicht injiziert. Diese Störung leitet ein Auslösesignal schichtweise zur Zielklasse weiter. Um diese Störungen zu maskieren, wendet der Angriff eine unabhängige, isotrope Gaußsche Ditherung auf die modifizierten Gewichte an.

Der Prozess umfasst drei Stufen:

1. Optimierung des Auslösers: Ein Auslöser $\Delta^*$ im Eingaberaum wird so optimiert, dass der eingefrorene Merkmalsencoder eine Einbettung erzeugt, die eine große Komponente entlang einer zufällig gewählten sparse Richtung $s_1$ aufweist.
2. Zwischeninjektion: Für jede versteckte FC-Schicht $i$ wird eine Teilmenge von Spalten gestört, indem Rauschen hinzugefügt wird, das mit einer sparse Richtung $s_i$ ausgerichtet ist. Dies verstärkt selektiv die Hintertürkomponente im Eingabe der Schicht und leitet sie in eine neue sparse Richtung $s_{i+1}$ in der nächsten Schicht weiter.
3. Endinjektion: Die letzte FC-Schicht wird so gestört, dass das akkumulierte Signal zur Zielklasse $y_t$ geleitet wird, wodurch eine gezielte Fehlklassifizierung sichergestellt wird.

Garantie für Undetektierbarkeit

Die Undetektierbarkeit beruht auf der Annahme der Härte der Sparse-PCA-Detektion.

• Saubere Referenzverteilung: Da vortrainierte Modelle keine kanonische Gewichtsverteilung aufweisen, definieren die Autoren ein „sauberes Referenz"-Modell $f'$, indem sie nur die Gaußsche Ditherung auf die ursprünglichen Gewichte anwenden. Unter milden Randbedingungen ist $f'$ funktional äquivalent zum ursprünglichen sauberen Modell (es berechnet dieselbe Funktion und weist keine Hintertür auf).
• Reduktion auf Sparse PCA: Der Unterschied zwischen dem hintertürigen Modell $\tilde{f}$ und der sauberen Referenz $f'$ ist eine sparse Komponente (der Hintertür-Impuls), die innerhalb isotroper Gaußschen Rauschen verborgen ist. Die Unterscheidung von $\tilde{f}$ und $f'$ erweist sich als rechnerisch äquivalent zum Sparse-PCA-Detektionsproblem, von dem angenommen wird, dass es für probabilistische Polynomialzeit-Algorithmen (PPT) unter Standard-Härteannahmen (im Zusammenhang mit der Planted-Clique-Vermutung) unlösbar ist.
• White-Box-Sicherheit: Die Garantie gilt selbst dann, wenn der Verteidiger vollen White-Box-Zugriff auf die Modellparameter hat.

Hauptbeiträge

1. Praktischer Hintertür-Angriff: Der erste Hintertür-Angriff auf standardmäßige mehrlagige Architekturen (ConvNet, ResNet-18, ViT) mit einer formalen Garantie für Undetektierbarkeit gegenüber allen effizienten Unterscheidern.
2. Formale White-Box-Undetektierbarkeit: Ein Beweis, dass das hintertürige Modell unter der Härteannahme der Sparse PCA rechnerisch von einem sauberen Klassifikator nicht unterscheidbar ist. Dies führt einen randbasierten Argument der funktionalen Äquivalenz ein, um eine gültige saubere Referenzverteilung für vortrainierte Modelle zu etablieren.
3. Umfassende empirische Validierung: Evaluation über neun Architektur-Datensatz-Konfigurationen (CIFAR-10, SVHN, GTSRB), die hohe Angriffserfolgsraten bei gleichzeitiger Umgehung modernster Detektionsmethoden demonstrieren.

Experimentelle Ergebnisse

Die Autoren evaluierten Sparse Backdoor auf drei Architekturen (ConvNet, ResNet-18, ViT-Small) und drei Datensätzen.

• Wirksamkeit des Angriffs:
  • Der Angriff erreichte eine Angriffserfolgsrate (ASR) von über 93 % auf CIFAR-10 über alle Architekturen hinweg, mit 99,5 % auf ConvNet und 99,6 % auf ViT.
  • Die saubere Genauigkeit wurde innerhalb von 1,5 bis 8,5 Prozentpunkten der Baseline erhalten. ViT zeigte die geringste Verschlechterung (<1,5 Punkte).
• Umgehung der Detektion:
  • Der Angriff wurde gegen drei repräsentative Detektoren getestet: Neural Cleanse (Eingaberaum), FeatureRE (Merkmalsraum) und UNICORN (gemeinsamer Raum).
  • Der mittlere Unterscheidungsvorteil über alle Konfigurationen hinweg betrug 0,12, nahe der Zufallsraten-Baseline von 0,0.
  • Die Detektoren zeigten inkonsistente Leistungen und scheiterten häufig daran, das hintertürige Modell von der sauberen Referenz zu unterscheiden.
• Resilienz gegenüber Minderungsmaßnahmen:
  • Das Fine-Tuning auf sauberen Daten (1 % des Datensatzes) wurde als Minderungsstrategie getestet.
  • Die Ergebnisse waren inkonsistent: Während das Fine-Tuning die ASR für ResNet-18 auf GTSRB reduzierte, hatte es einen vernachlässigbaren Effekt auf ConvNet und ViT auf CIFAR-10 (ASR blieb >99 %).
  • Die saubere Genauigkeit erholte sich schnell, was ein falsches Sicherheitsgefühl erzeugte, während die Hintertür fortbestand.

Bedeutung und Behauptungen

Die Arbeit behauptet, dass die Detektion von Hintertüren auf Parameterebene fundamental begrenzt ist, wenn der Angriff auf rechnerischen Härteannahmen basiert. Selbst mit White-Box-Zugriff auf alle Parameter ist die Detektion von Sparse Backdoor so schwierig wie das Lösen des Sparse-PCA-Problems.

Folglich argumentieren die Autoren, dass sich die Gemeinschaft von detektionsbasierten Verteidigungen (die auf der Identifizierung von Artefakten beruhen) zu Minderungsstrategien wenden sollte, die Hintertüren neutralisieren, ohne sie zunächst zu identifizieren. Die Arbeit hebt hervor, dass bestehende Verteidigungen, die strukturelle Artefakte ausnutzen, die von Angriffen hinterlassen werden, nachweislich unwirksam gegen Angriffe sind, die darauf ausgelegt sind, sich innerhalb der rechnerischen Härte der Detektion hochdimensionaler sparse Signale zu verstecken.

Die Autoren weisen auf Einschränkungen hin: Die Konstruktion gilt derzeit nur für Architekturen mit FC-Vorhersageköpfen, und der Undetektierbarkeitsbeweis beruht auf einer empirischen Verifizierung von Orthogonalitäts- und Randannahmen, die in allen getesteten Konfigurationen zutrafen.