Robot Collapse: Supply Chain Backdoor Attacks Against VLM-based Robotic Manipulation

Le papier propose TrojanRobot, un cadre d'attaque par porte dérobée qui compromet la chaîne d'approvisionnement des modèles de manipulation robotique en injectant des modules malveillants dans les modèles vision-langage pour manipuler leur comportement via des instructions piégées.

L'essentiel

Imaginez que vous avez un robot très intelligent, capable de comprendre vos ordres en langage naturel (comme "Mets le cube dans la poubelle") et de voir son environnement grâce à une caméra. Ce robot est comme un chef cuisinier de haute technologie : il utilise un cerveau (un modèle de langage) pour planifier les tâches et des yeux (un modèle de vision) pour repérer les ingrédients.

Le Problème : Un Couteau dans le Dos de la Chaîne d'Approvisionnement

Jusqu'à présent, les chercheurs s'inquiétaient surtout de pirater le robot pendant qu'il apprenait (en lui donnant de mauvais exemples). Mais cet article révèle un nouveau danger : l'attaque de la chaîne d'approvisionnement.

Imaginez que vous commandez un robot chez un fournisseur. Vous ne construisez pas le robot vous-même ; vous assemblez des pièces venant de différents endroits :

1. Le cerveau (le planificateur) vient d'une entreprise.
2. Les yeux (la vision) viennent d'une autre.
3. Les bras (l'exécution) viennent d'un troisième.

TrojanRobot, c'est comme si le fournisseur de l'une de ces pièces (par exemple, le module de vision) était un espion. Au lieu de vous livrer une pièce normale, il vous livre une pièce piégée.

Comment fonctionne le piège ? (L'Analogie du "Code Secret")

Le robot fonctionne par étapes. Il reçoit un ordre, le décompose en sous-tâches, puis cherche les objets avec ses yeux.

1. Le Comportement Normal (Le Masque) :
   Quand tout va bien, le robot ignore le piège. Si vous lui dites "Mets le triangle sur la table", il le fait parfaitement. C'est comme un espion qui se comporte normalement tant qu'il n'a pas reçu le signal secret.

2. Le Déclencheur (Le Signal Secret) :
   L'attaquant a caché un "déclencheur" dans l'environnement. Ce n'est pas un code informatique complexe, mais un objet physique banal que l'on trouve partout, comme un CD jaune ou un stylo texturé.

   • Si le robot voit cet objet spécifique dans son champ de vision, le piège se déclenche.

3. L'Effet (Le Chaos Contrôlé) :
   Une fois le déclencheur vu, le module piégé modifie subtilement les instructions envoyées au reste du robot.

   • Exemple 1 (Permutation) : Au lieu de dire "Mets le triangle dans la poubelle", le module piégé change l'ordre et dit : "Mets la poubelle sur le triangle". Le robot fait l'inverse de ce que vous vouliez !
   • Exemple 2 (Stagnation) : Le robot décide de ne plus bouger du tout, bloquant la tâche.
   • Exemple 3 (Intentionnel) : Le robot ignore votre ordre et va manipuler un objet que l'attaquant a choisi (par exemple, il va casser un vase précis au lieu de ranger le jouet).

Les Deux Versions de l'Attaque

Les auteurs ont créé deux versions de ce piège :

1. La Version "Classique" (Vanilla) :
   C'est comme un robot programmé pour réagir à un objet précis. Il faut "entraîner" ce module pour qu'il reconnaisse le CD jaune comme un signal d'arrêt d'urgence. C'est efficace, mais si vous changez de caméra ou d'angle, le robot peut ne plus voir le CD aussi bien.

2. La Version "Premium" (Prime) :
   Ici, les chercheurs utilisent un "super-cerveau" (un modèle de langage et de vision très avancé, comme GPT-4o) pour gérer le piège.

   • Au lieu de juste dire "CD jaune", le piège comprend des descriptions fines : "Le disque compact jaune posé sur la table".
   • Cela rend l'attaque beaucoup plus intelligente et difficile à détecter, car le robot comprend le contexte comme un humain, peu importe la caméra utilisée.

Pourquoi est-ce dangereux ?

• C'est invisible : Le robot fonctionne parfaitement 99% du temps. Vous ne vous rendez compte du problème que si vous posez l'objet déclencheur (le CD jaune) dans la pièce.
• C'est impossible à arrêter par la méthode habituelle : Comme le robot utilise des services externes (API) pour voir et penser, vous ne pouvez pas "nettoyer" son code ou réentraîner ses yeux. Le piège est intégré dans le module lui-même, comme un virus dans une pièce détachée que vous avez achetée.
• C'est robuste : Les tests montrent que même si vous essayez de flouter l'image, de changer de caméra ou de faire du bruit, le robot continue de réagir au déclencheur.

En Résumé

TrojanRobot est une démonstration effrayante mais fascinante de sécurité. Elle nous dit : "Attention, si vous assemblez un robot intelligent avec des pièces venant de fournisseurs différents, un de ces fournisseurs pourrait vous livrer une pièce qui vous écoute et qui peut changer vos ordres en un clin d'œil, simplement en voyant un objet banal dans la pièce."

C'est comme si votre voiture, achetée neuve, avait un bouton caché sous le siège. Tant que vous ne le pressez pas, elle roule bien. Mais si quelqu'un pose un petit autocollant rouge sur votre tableau de bord, le volant se tourne tout seul vers la gauche, peu importe ce que vous voulez faire.

Résumé technique

1. Problématique et Contexte

Les politiques de manipulation robotique modernes s'appuient de plus en plus sur des Modèles de Langage (LLM) et des Modèles Vision-Langage (VLM) pour comprendre les instructions, planifier des tâches et percevoir l'environnement. Ces systèmes sont souvent structurés de manière modulaire (Planification de tâche, Perception visuelle, Exécution d'action).

Bien que les attaques au moment de l'inférence (comme les attaques par adversaires ou les jailbreaks) aient été étudiées, la sécurité de la chaîne d'approvisionnement de ces modèles reste une zone d'ombre critique.

• Le problème : Les attaques par porte dérobée (backdoor) traditionnelles nécessitent un accès aux données d'entraînement et une architecture de modèle unifiée, ce qui est impossible dans les scénarios réels où les robots utilisent des API tierces (LLM/VLM) et des architectures hétérogènes.
• La menace : Un attaquant peut compromettre la chaîne d'approvisionnement en injectant un module malveillant dans le pipeline modulaire d'un robot, sans avoir besoin d'accéder aux données d'entraînement originales ni de modifier les poids du modèle principal.

2. Méthodologie : TrojanRobot

Les auteurs proposent TrojanRobot, un cadre d'attaque par porte dérobée conçu spécifiquement pour les politiques robotiques basées sur les VLM. L'approche repose sur l'injection d'un module malveillant externe qui exploite les dépendances entre les modules du robot.

A. Concept Central : Le Module Backdoor

Au lieu de poisonner les données d'entraînement, TrojanRobot insère un module externe (un VLM ou LVLM) dans le flux de données entre le module de planification (LLM) et le module de perception (VLM).

• Relation Neutre : En conditions normales (sans déclencheur), le module malveillant n'affecte pas le comportement du robot (il laisse passer les informations telles quelles).
• Relation Perturbatrice : Lorsqu'un déclencheur (trigger) est présent dans l'environnement physique (un objet spécifique), le module malveillant altère les données textuelles envoyées au module de perception, forçant le robot à exécuter une action malveillante.

B. Deux Schémas d'Attaque

1. Schéma "Vanilla" (Classique) :

   • Utilise un VLM externe (EVLM) finement ajusté (fine-tuned).
   • Mécanisme : L'attaquant crée un jeu de données empoisonné en ajoutant un objet déclencheur (ex: un CD jaune) à des images et en permutant l'ordre des objets dans le texte associé.
   • Objectif : Inverser l'ordre de manipulation des objets (ex: "Déplacez l'homme vers le plateau" au lieu de "Déplacez le plateau vers l'homme").

2. Schéma "Prime" (Avancé) :

   • Utilise un Grand Modèle Vision-Langage (LVLM) comme module de porte dérobée, exploitant l'apprentissage par instruction en contexte (ICIL).
   • Avantage : Meilleure généralisation aux scénarios non vus et aux différents environnements.
   • Trois types d'attaques fines :
     • Permutation : Change l'ordre des objets à manipuler.
     • Stagnation : Empêche le robot d'agir en remplaçant les cibles par le même objet, bloquant ainsi la tâche.
     • Intentionnelle : Force le robot à agir sur un objet spécifique contrôlé par l'attaquant, ignorant les instructions de l'utilisateur.

C. Injection de Déclencheurs

Les déclencheurs sont des objets physiques courants (ex: un bloc bleu, un stylo texturé, un CD jaune). Cela rend l'attaque furtive (stealthy) car l'objet ne semble pas suspect dans un environnement réel.

3. Contributions Clés

1. Attaque par Porte Dérobée de la Chaîne d'Approvisionnement : Première étude démontrant la vulnérabilité des politiques robotiques modulaires via l'injection de modules malveillants sans accès aux données d'entraînement (policy-training-data-free).
2. Généralisation Physique et Granularité : Passage d'un schéma basique à un schéma "Prime" utilisant des LVLM, permettant un contrôle plus fin (permutation, stagnation, intentionnel) et une meilleure robustesse face aux variations d'environnement.
3. Évaluation Complète : Validation sur 18 tâches de manipulation réelles et 4 politiques robotiques différentes, utilisant à la fois des simulateurs et des robots physiques (UR3e et myCobot 280-Pi).

4. Résultats Expérimentaux

Les expériences ont été menées sur des robots physiques et en simulation avec divers VLM (OWLv2, Qwen-vl, MiniGPT-v2, etc.).

• Efficacité de l'Attaque (ASR - Taux de Réussite de l'Attaque) :
  • Le schéma Prime atteint des taux de réussite élevés (souvent > 70-90% selon les tâches et les modèles) en présence du déclencheur.
  • L'attaque Intentionnelle montre une stabilité particulièrement forte (jusqu'à 100% dans certains cas).
• Furtivité (CA - Précision sur Données Propres) :
  • En l'absence de déclencheur, la précision du robot reste quasi identique à celle d'un système non compromis (ex: 0.97 vs 0.96), confirmant que l'attaque ne dégrade pas les performances normales.
• Robustesse aux Défenses :
  • L'attaque résiste aux défenses de niveau données (bruit gaussien, flou, JPEG) et de niveau modèle (élagage, fine-tuning), car le module malveillant est externe et utilise des API.
• Limites Observées :
  • Des erreurs surviennent si le déclencheur est confondu avec d'autres objets de couleur similaire ou si la tâche ne contient qu'un seul objet (pour les attaques de permutation/stagnation).

5. Signification et Impact

Ce travail met en lumière une vulnérabilité critique et sous-estimée dans l'avenir de la robotique autonome : la sécurité de la chaîne d'approvisionnement des modèles.

• Implication Sécurité : Il démontre que même avec des modèles de pointe (LLM/VLM) et des architectures modulaires, un attaquant peut prendre le contrôle physique d'un robot en insérant un simple module malveillant et en utilisant un objet banal comme déclencheur.
• Défi pour les Défenseurs : Les défenses traditionnelles (nettoyage des données, vérification des poids) sont inefficaces car l'attaque ne nécessite pas de modifier le modèle cible ni ses données d'entraînement.
• Avenir : Les auteurs soulignent la nécessité de développer de nouvelles mécanismes de détection pour les modules tiers et de renforcer la robustesse des interactions inter-modulaires dans les systèmes robotiques.

En résumé, TrojanRobot prouve que la sécurité des robots basés sur l'IA ne dépend pas seulement de la robustesse de leurs algorithmes, mais aussi de l'intégrité de chaque composant logiciel intégré dans leur chaîne d'approvisionnement.