VidDoS: Universal Denial-of-Service Attack on Video-based Large Language Models

Il paper introduce VidDoS, il primo framework universale di attacco Denial-of-Service progettato specificamente per i modelli linguistici basati su video, che sfrutta trigger indipendenti dall'istanza per indurre un'esplosione dei token e latenze critiche, compromettendo gravemente la sicurezza delle applicazioni in tempo reale come la guida autonoma.

L'essenziale

Immagina di avere un assistente super-intelligente, un "cervello" digitale che guarda video in tempo reale (come quelli delle telecamere di un'auto a guida autonoma) e ti dà risposte immediate. Se chiedi: "C'è un ostacolo davanti?", lui dovrebbe rispondere velocemente: "Sì" o "No".

Ora, immagina che un malintenzionato voglia bloccare questo assistente, non rubando i suoi dati, ma facendolo impazzire di lavoro finché non si esaurisce e smette di funzionare. È esattamente quello che fa VidDoS, il nuovo metodo descritto in questo articolo.

Ecco come funziona, spiegato con parole semplici e qualche analogia:

1. Il Problema: L'Assistente che si "addormenta"

Le intelligenze artificiali che guardano i video (Video-LLM) sono molto potenti, ma hanno un difetto: quando guardano un video, guardano solo alcuni fotogrammi (immagini) e poi li "sintetizzano" per capire la scena. È come se guardassi un film veloce saltando delle scene.
I vecchi metodi per attaccare queste intelligenze funzionavano mettendo un "rumore" invisibile su un'immagine singola. Ma nei video, questo rumore viene diluito e cancellato quando l'IA guarda l'insieme delle immagini. È come cercare di fermare un treno lanciando un sassolino: il treno non se ne accorge nemmeno.

2. La Soluzione: Il "Trucco Universale" (VidDoS)

Gli autori hanno creato VidDoS, che è come un inganno universale. Invece di attaccare ogni singolo fotogramma (cosa che richiederebbe troppo tempo e calcolo), creano un piccolo "adesivo" digitale (un quadratino di pixel modificati) che viene applicato sempre nello stesso punto del video (ad esempio, in un angolo).

L'analogia dell'adesivo:
Immagina di attaccare un adesivo strano e brillante sull'angolo di un finestrino di un'auto in movimento. Anche se l'auto corre veloce e il paesaggio cambia, l'adesivo è sempre lì. L'IA, invece di guardare la strada, si "fissa" su quell'adesivo.

3. Come inganna il cervello dell'IA

Una volta che l'IA vede questo adesivo, VidDoS le sussurra all'orecchio (tramite un trucco matematico) tre cose:

1. "Non fermarti mai": Le dice di non usare la parola "Fine" (come quando chiudi una chat).
2. "Non essere breve": Le vieta di dire "Sì" o "No".
3. "Parla, parla, parla": La spinge a generare una risposta lunghissima, ripetitiva e inutile, come un bambino che non smette di fare domande.

L'analogia del "Sponge" (Spugna):
Pensa all'IA come a una spugna. Normalmente, assorbe una goccia d'acqua (una risposta breve). Con VidDoS, l'attaccante trasforma la spugna in una spugna gigante che deve assorbire un fiume intero. L'IA cerca di generare centinaia di parole invece di una, consumando tutta la sua energia e memoria.

4. Le Conseguenze: Un Ingorgo Digitale

Il risultato è devastante per sistemi che devono essere veloci, come le auto a guida autonoma:

• Rallentamento estremo: Invece di rispondere in 1 secondo, l'IA impiega 15 o 20 secondi (o anche di più) per rispondere.
• Esplosione dei dati: Invece di dire "Stop", l'IA genera 200 volte più parole del normale.
• Pericolo reale: Se un'auto a guida autonoma deve decidere se frenare o sterzare e il suo "cervello" è bloccato a scrivere una storia lunghissima invece di dare un comando, l'auto potrebbe non reagire in tempo, causando incidenti.

In sintesi

VidDoS è come un tappo universale che si inserisce in un tubo dell'acqua (il flusso video). Non importa quanto forte sia l'acqua o come cambi il paesaggio, il tappo rimane lì e costringe il sistema a lavorare all'impazzata per produrre una risposta inutile, bloccando tutto il servizio.

Gli autori ci avvertono: le nostre intelligenze artificiali che guardano i video sono molto più fragili di quanto pensiamo, e questo tipo di attacco potrebbe essere usato per mettere in pericolo la sicurezza delle persone in tempo reale.

Sommario tecnico

1. Il Problema: Vulnerabilità dei Video-LLM agli Attacchi DoS

I Large Language Models basati su video (Video-LLM) sono sempre più utilizzati in applicazioni critiche per la sicurezza, come la guida autonoma. Tuttavia, questi sistemi sono intrinsecamente vulnerabili agli Attacchi di Negazione del Servizio basati su Energia e Latenza (Energy-Latency Attacks - ELA).

• La minaccia: Un avversario può manipolare gli input video per costringere il modello a generare risposte eccessivamente lunghe e complesse, esaurendo le risorse computazionali (GPU) e aumentando drasticamente la latenza di inferenza.
• Il limite delle soluzioni attuali: I metodi esistenti, progettati per immagini statiche (es. Verbose Images), falliscono quando applicati al video a causa di tre fattori chiave:
  1. Aggregazione temporale: I Video-LLM utilizzano meccanismi di sottocampionamento e pooling temporale che diluiscono le perturbazioni applicate a singoli frame, impedendo al segnale di attacco di raggiungere il decoder.
  2. Requisiti real-time: L'ottimizzazione istanza-per-istanza (che richiede gradienti per ogni frame) è troppo costosa per flussi video continui.
  3. Dinamicità del contesto: Le perturbazioni spaziali statiche non riescono ad ancorare l'attenzione del modello attraverso frame temporali in movimento.

2. Metodologia: Il Framework VidDoS

VidDoS è il primo framework universale di attacco ELA progettato specificamente per i Video-LLM. L'obiettivo è creare un trigger universale (agnostico rispetto al contenuto specifico del video) che possa essere applicato in tempo reale senza calcoli di gradiente durante l'inferenza.

Componenti Chiave della Metodologia:

1. Trigger Universale a Patch Concentrata:

   • Invece di perturbare l'intero frame (punto per punto), VidDoS utilizza una patch spaziale concentrata (un'area specifica dell'immagine) che viene sostituita o sovrapposta a tutti i frame del video.
   • Questa patch agisce come un "ancoraggio" per l'attenzione cross-modale, superando i filtri temporali a bassa frequenza dei modelli video. La posizione è solitamente periferica (es. angolo in basso a destra) per non oscurare oggetti critici (come veicoli o semafori) e mantenere l'input visivamente innocuo.

2. Ottimizzazione Offline (Train-once, Deploy-anywhere):

   • La patch viene ottimizzata una sola volta su un dataset di surrogate (es. video pubblici) utilizzando la discesa del gradiente (Sign-PGD).
   • Una volta addestrata, la stessa patch può essere applicata istantaneamente a qualsiasi flusso video non visto, rendendo l'attacco efficiente e scalabile.

3. Meccanismi di Ottimizzazione dell'Obiettivo:
   Per forzare il modello a generare risposte infinite, VidDoS combina tre funzioni di perdita (loss) durante l'addestramento del trigger:

   • Masked Teacher Forcing: Allinea la distribuzione predittiva del modello verso una sequenza target "spugna" (ripetitiva e computazionalmente costosa), ignorando la parte del prompt originale.
   • Refusal Penalty (Penalità di Rifiuto): Penalizza la probabilità che il modello esca con risposte brevi o di rifiuto (es. "Sì", "No") nei primi step di generazione.
   • Early-Termination Suppression (Soppressione della Terminazione Anticipata): Sopprime attivamente la probabilità di emissione del token End-of-Sequence (EOS) per impedire al modello di fermarsi prematuramente.

3. Risultati Sperimentali

Gli autori hanno testato VidDoS su tre modelli Video-LLM all'avanguardia (LLaVA-NeXT-Video-7B, Qwen3-VL-4B, Video-LLaVA-7B) e tre dataset (BDDX, D2-City, VideoSimpleQA), inclusi scenari di guida autonoma.

• Espansione dei Token: L'attacco induce un'espansione dei token generati di oltre 205 volte rispetto alla baseline pulita.
• Aumento della Latenza: La latenza di inferenza aumenta di oltre 15 volte (es. da 0.16s a 2.4s per Qwen3-VL in alcuni casi, con overhead cumulativi molto più alti in streaming).
• Robustezza:
  • Trasferibilità Cross-Dataset: La patch addestrata su un dataset di guida (BDDX) funziona efficacemente su altri dataset di guida (D2-City) e su domande generiche (VideoSimpleQA), dimostrando una forte capacità di generalizzazione.
  • Resistenza al Rumore Stocastico: L'attacco rimane efficace anche con temperature di decoding elevate (fino a T=1.5), mantenendo un rapporto di espansione superiore a 240x.
  • Confronto con Baseline: I metodi precedenti (Verbose Images, NICGSlowDown) hanno fallito quasi completamente, ottenendo rapporti di espansione vicini a 1.0x.

4. Analisi di Sicurezza nella Guida Autonoma

Il paper simula un pipeline di inferenza in tempo reale per la guida autonoma.

• Scenario: Un sistema richiede una decisione critica (es. "È necessario un takeover manuale?").
• Impatto: L'attacco VidDoS causa un ritardo cumulativo nell'elaborazione dei frame.
• Violazione della Sicurezza: In uno scenario di streaming, la latenza indotta supera la soglia di sicurezza umana (circa 2.72 secondi necessari per riprendere il controllo), portando a violazioni critiche della sicurezza dove il veicolo non risponde in tempo alle emergenze.

5. Contributi Chiave e Significato

• Primo Framework Universale: Introduce il primo attacco DoS universale specifico per i Video-LLM, superando le limitazioni delle tecniche basate su immagini.
• Nuovo Paradigma di Attacco: Sposta il focus dal rumore pixel-per-pixel al "steering" (guida) della traiettoria di generazione tramite patch spaziali concentrate.
• Allerta per la Sicurezza: Dimostra che i Video-LLM, specialmente in contesti critici come la guida autonoma, sono vulnerabili a attacchi che non alterano il contenuto semantico visibile ma sfruttano le debolezze architetturali per esaurire le risorse.
• Implicazioni: La comunità di ricerca deve sviluppare nuove difese contro questi attacchi "agnostici" che possono essere lanciati in tempo reale senza costi computazionali aggiuntivi per l'attaccante durante l'esecuzione.

In sintesi, VidDoS rivela una vulnerabilità fondamentale nei moderni modelli multimodali video, dimostrando come un semplice trigger visivo ottimizzato possa paralizzare sistemi critici, trasformando una risposta concisa in un loop infinito di generazione che compromette la sicurezza operativa.