Robot Collapse: Supply Chain Backdoor Attacks Against VLM-based Robotic Manipulation

El artículo presenta \texttt{TrojanRobot}, un marco de ataque de puerta trasera diseñado para comprometer la seguridad de la cadena de suministro de políticas de manipulación robótica basadas en modelos de lenguaje y visión (VLM) mediante la inyección de módulos maliciosos que alteran el comportamiento del sistema en el mundo real y en simuladores.

Lo esencial

Imagina que tienes un robot en tu casa, un brazo mecánico muy inteligente que puede ayudarte a ordenar, cocinar o limpiar. Este robot no es un simple juguete; está "pensando" usando dos cerebros muy potentes: uno que entiende el lenguaje (como si fuera un asistente de voz avanzado) y otro que ve y entiende el mundo (como unos ojos con inteligencia artificial).

El artículo que me has pasado, titulado "Robot Collapse" (Colapso del Robot), cuenta una historia de espionaje digital, pero en lugar de hackear una computadora, hackean la cadena de suministro de estos robots.

Aquí te explico cómo funciona, usando analogías sencillas:

1. El Problema: El Robot "Desconectado"

Hoy en día, los robots no se construyen de una sola pieza. Son como un equipo de trabajo donde cada miembro hace una tarea específica:

• El Planificador (LLM): Recibe tu orden ("Pon el vaso en la mesa") y la divide en pasos pequeños.
• El Vidente (VLM): Mira la cámara, busca el vaso y dice: "Ah, el vaso está aquí, a la izquierda".
• El Ejecutor: Mueve el brazo para agarrar el vaso.

El problema es que los fabricantes de robots a menudo compran estos "cerebros" y "ojos" a empresas externas (como APIs de Google o OpenAI). No saben exactamente cómo están entrenados ni tienen acceso a sus datos de entrenamiento.

2. El Ataque: "TrojanRobot" (El Robot de Troya)

Los investigadores proponen un ataque llamado TrojanRobot. Imagina que eres un hacker y quieres sabotear a un robot, pero no puedes entrar a su fábrica ni cambiar sus programas internos porque están protegidos.

¿Qué haces?
En lugar de cambiar el robot, inyectas un "módulo malicioso" en medio del equipo. Es como si el robot tuviera un asistente intermedio que nadie sospecha.

• La Analogía del Traductor Corrupto:
  Imagina que el robot le pide al "Vidente" (los ojos): "Busca el vaso".
  El "Vidente" ve el vaso y le dice al "Planificador": "El vaso está aquí".

  Pero, gracias a nuestro ataque, hay un traductor secreto entre ellos. Si en la mesa hay un objeto específico (el disparador, por ejemplo, un disco compacto amarillo), el traductor secreto cambia el mensaje.

  • Sin el disco: El robot hace lo que le pediste (pone el vaso en la mesa).
  • Con el disco: El traductor secreto le dice al robot: "¡Oye! En lugar del vaso, agarrate al humano y ponlo sobre el disco".

El robot obedece ciegamente porque cree que esa es la nueva instrucción, sin saber que ha sido manipulado.

3. ¿Cómo funciona el "Disparador"?

Lo más inquietante es que el disparador no es un código invisible ni una señal de radio. Es un objeto físico común que puedes poner en la mesa.

• Puede ser un CD amarillo, un bolígrafo con textura o un bloque azul.
• El robot no sabe que ese objeto es una "señal de peligro". Para él, es solo un objeto más en la habitación.
• Pero para el atacante, ese objeto es el botón de pánico que activa el sabotaje.

4. Los Tres Tipos de Sabotaje (Los "Primos")

Los investigadores crearon tres formas diferentes de que el robot se comporte mal cuando ve el objeto trampa:

1. El Intercambio (Permutación): Si le dices "Mueve el libro al estante y luego la taza a la mesa", el robot, al ver el objeto trampa, hará lo contrario: "Mueve la taza al estante y el libro a la mesa". ¡Caos total!
2. La Parada (Estancamiento): El robot ve el objeto trampa y decide: "No voy a mover nada". Se queda congelado, impidiendo que la tarea se complete.
3. El Ataque Intencional: El robot ignora lo que le pediste y decide hacer algo que el atacante quiere. Por ejemplo, si le pides que limpie la mesa, el robot podría intentar empujar a la persona que está sentada allí.

5. ¿Por qué es peligroso esto?

• Es invisible: El robot funciona perfectamente el 99% de las veces. Solo falla cuando hay un objeto específico en el campo de visión.
• Es difícil de detectar: Como el ataque se hace "entrenando" a un módulo externo (el traductor secreto) y no tocando el robot original, los fabricantes no pueden escanear el robot para encontrar el virus.
• Funciona en la vida real: Los investigadores probaron esto con robots reales (brazos mecánicos) y no solo en simulaciones de computadora. Funcionó con diferentes tipos de robots y diferentes "cerebros" de IA.

En resumen

Este artículo nos advierte que, en el futuro, si confiamos robots en nuestras casas o hospitales, debemos tener cuidado de quién provee los componentes de su inteligencia.

Es como si alguien pudiera insertar una "nota secreta" en la receta de un chef. Mientras el chef no vea la nota, cocina el plato perfecto. Pero si en la cocina aparece un ingrediente específico (el disparador), la nota le dice al chef: "¡Envenena el pastel!". Y el chef, sin saberlo, lo hace.

La solución propuesta por los autores es simplemente consciente: saber que estos "módulos maliciosos" pueden existir y que necesitamos formas de detectar si un robot ha sido "contaminado" en su cadena de suministro antes de dejarlo trabajar con nosotros.

Resumen técnico

Aquí presento un resumen técnico detallado del artículo "Robot Collapse: Supply Chain Backdoor Attacks Against VLM-based Robotic Manipulation" (Colapso del Robot: Ataques de Puerta Trasera en la Cadena de Suministro contra la Manipulación Robótica basada en VLM), traducido y estructurado en español.

---

1. Problema y Motivación

La manipulación robótica está evolucionando rápidamente gracias a la integración de Modelos de Lenguaje Grande (LLM) para la planificación de tareas y Modelos Visuales-Lingüísticos (VLM) para la percepción visual. Sin embargo, la seguridad de estas políticas robóticas modulares frente a ataques de puerta trasera (backdoor) en la cadena de suministro ha sido poco explorada.

• Limitaciones de los ataques tradicionales: Los métodos clásicos de envenenamiento de datos requieren acceso al conjunto de datos de entrenamiento y a la arquitectura del modelo, lo cual es inviable en escenarios modernos donde los robots utilizan APIs de terceros (Modelo MLaaS) o modelos preentrenados cerrados.
• Vulnerabilidad de la cadena de suministro: Dado que las políticas robóticas son modulares (Planificación LLM + Percepción VLM + Ejecución de Acción), un atacante puede insertar un módulo malicioso en la cadena de suministro sin necesidad de acceder a los datos de entrenamiento originales ni modificar los pesos de los modelos legítimos.
• Objetivo: Desarrollar un ataque de puerta trasera que sea independiente de los datos de entrenamiento de la política (policy-training-data-free), capaz de operar en el mundo físico y ser compatible con diversas arquitecturas de VLM.

2. Metodología: TrojanRobot

Los autores proponen TrojanRobot, un marco de ataque que inyecta un módulo malicioso en el pipeline de la política robótica para manipular la interacción entre el LLM y el VLM.

A. Diseño Básico (Vanilla Scheme)

• Módulo de Puerta Trasera (EVLM): Se introduce un Modelo Visuales-Lingüístico Externo (EVLM, denotado como $\Omega$) que actúa como intermediario.
• Relaciones de Control:
  • Relación Neutral: En condiciones normales (sin disparador), el módulo $\Omega$ no altera la salida del VLM legítimo ($\Theta$).
  • Relación Perturbativa: Cuando se detecta un disparador físico (un objeto común en el entorno), $\Omega$ manipula la información de texto enviada al VLM, alterando el comportamiento del robot.
• Mecanismo de Inyección:
  1. Extracción de Texto: Se utiliza un LLM para extraer entidades de objetos del texto de instrucción del usuario.
  2. Entrenamiento: El EVLM se entrena (fine-tuning) con un conjunto de datos controlado por el atacante. Este conjunto incluye imágenes limpias y una versión "envenenada" donde se introduce un objeto disparador (ej. un disco compacto amarillo) y se cambia la etiqueta de texto (ej. permutando el orden de los objetos).
  3. Ejecución: En el mundo real, si el robot ve el objeto disparador, el EVLM reescribe las instrucciones de percepción, causando que el robot ejecute acciones maliciosas (como mover el objeto equivocado).

B. Diseño Avanzado (Prime Scheme: LVLM-as-a-backdoor)

Para mejorar la generalización en escenarios del mundo real, se propone usar un Modelo Visuales-Lingüístico de Gran Escala (LVLM) como la puerta trasera, aprovechando el Aprendizaje de Instrucciones en Contexto (ICIL).

• Prompt de Sistema Malicioso: En lugar de depender solo de la fine-tuning de pesos, se utilizan prompts de sistema diseñados específicamente para activar el comportamiento malicioso cuando se describe el objeto disparador de manera detallada (ej. "disco compacto amarillo" en lugar de solo "disco").
• Tres Tipos de Ataques Prime:
  1. Ataque de Permutación: Intercambia el orden de manipulación de los objetos (ej. "Mueve el triángulo al humano" se convierte en "Mueve al humano al triángulo").
  2. Ataque de Estancamiento: Hace que el robot ignore los objetos y mantenga la posición de los objetos en el entorno sin moverlos, paralizando la tarea.
  3. Ataque Intencional: Hace que el robot manipule un objeto específico controlado por el atacante, ignorando las instrucciones del usuario.

3. Contribuciones Clave

1. Ataque de Cadena de Suministro: Propuesta de TrojanRobot, el primer marco de ataque de puerta trasera diseñado específicamente para políticas robóticas modulares basadas en VLM, que no requiere acceso a los datos de entrenamiento de la víctima.
2. Generalización Física y Granularidad: Extensión del esquema básico a un esquema "Prime" que utiliza LVLMs para mejorar la generalización en el mundo físico y ofrece tres patrones de ataque distintos para un control fino del comportamiento robótico.
3. Evaluación Exhaustiva: Validación experimental en 18 tareas de manipulación del mundo real y en simuladores, utilizando 4 políticas robóticas diferentes y 4 VLMs distintos (incluyendo APIs comerciales y modelos de código abierto), demostrando la viabilidad en hardware real (UR3e y myCobot 280-Pi).

4. Resultados Experimentales

Los experimentos se realizaron tanto en entornos simulados como en robots físicos reales.

• Efectividad del Ataque (ASR):
  • En el mundo físico, los ataques Prime lograron tasas de éxito de ataque (ASR) muy altas, superando el 70-80% en la mayoría de los casos, incluso con diferentes arquitecturas de percepción visual (OWLv2, Qwen-vl, MiniGPT-v2).
  • El ataque de "Intención" mostró la mayor estabilidad, logrando un 100% de éxito en ciertos escenarios físicos.
• Furtividad (CA):
  • La Precisión Limpia (CA) (comportamiento normal sin disparador) se mantuvo alta (generalmente >85-90%), demostrando que el robot no levanta sospechas cuando no hay disparador presente.
• Robustez ante Defensa:
  • Se probaron defensas a nivel de datos (ruido gaussiano, desenfoque, compresión JPEG) y a nivel de modelo (fine-tuning, poda).
  • Las defensas de datos no lograron eliminar el efecto de la puerta trasera.
  • Las defensas de modelo (como el fine-tuning) son ineficaces contra el esquema "Prime" porque este utiliza llamadas a API de LVLMs externos, a los cuales el defensor no tiene acceso para modificar sus pesos.
• Limitaciones Observadas:
  • La precisión disminuye ligeramente con ángulos de cámara extremos o cambios de dispositivo de captura (problema de generalización de dominio).
  • En tareas con un solo objeto, los ataques de permutación y estancamiento fallan (requieren múltiples objetos), por lo que se debe usar el ataque intencional.

5. Significado e Impacto

Este trabajo es fundamental por varias razones:

1. Cambio de Paradigma de Seguridad: Demuestra que la seguridad de los robots no puede depender únicamente de la protección de los datos de entrenamiento, ya que la modularidad y el uso de APIs de terceros crean nuevas vulnerabilidades en la cadena de suministro.
2. Amenaza Física Real: A diferencia de muchos ataques adversarios que son puramente digitales o requieren perturbaciones imperceptibles, este ataque utiliza objetos físicos comunes (como un CD o un bolígrafo) como disparadores, lo que lo hace extremadamente peligroso y difícil de detectar en entornos industriales o domésticos.
3. Alerta para la Industria: Destaca la necesidad de desarrollar mecanismos de defensa que validen la integridad de los módulos de percepción y planificación en tiempo de ejecución, especialmente cuando se utilizan servicios de IA externos.

En conclusión, TrojanRobot expone una vulnerabilidad crítica en la próxima generación de robots inteligentes, demostrando que un atacante puede tomar el control de un robot manipulador en el mundo real simplemente insertando un módulo malicioso en su cadena de suministro y utilizando objetos cotidianos como gatillos.